Post on 12-Jun-2015
MODELO DE SEGURIDAD INFORMATICA MODELO DE SEGURIDAD INFORMATICA BASADO EN LA NORMA ISO 17799BASADO EN LA NORMA ISO 17799
Facilitadores: Jenny Cartas José Carrero
¿Sabía usted que el 94% de las empresas que pierden sus datos desaparecen?
Desastres naturales
Un estudio revela que casi el 95% del correo electrónico es “Spam”
TITULARES DE MUNDO EN LINEA
Por una mala administración de la
información
Errores humanos Virus, hackers entre otros
Chile ocupa el cuarto lugar en delitos en la Web en América Latina
Frente a la importancia creciente de la información.
Frente a la multitud de amenazas posibles.
Frente a la necesidad de los cambios Tecnológicos.
Frente a la complejidad y diversidad de las dependencias.
Frente a los limites para actuar (Asig. Roles).
Frente a la necesidad de garantía (DCI)
Mejor Seguridad
Mejor Seguridad
Más Seguridad
Más Seguridad
PORQUE ES NECESARIA LA GESTIÓN DE LA SEGURIDAD
Correos basura y Acceso a Internet
La Solución de Antivirus Instalada no es suficiente.
La labor de la Ingeniería Social
Efecto:No Existen Políticas de Seguridad basadas en
estándares internacionalmente
reconocidos.
CAUSAS MAS COMUNES(Vulnerabilidad)
ESTANDAR ISOESTANDAR ISO
Que es ISO? (International Organization for Standardization)
Orientada a la creación de Normas dirigidas hacia las áreas de Productos, servicios, procesos, materiales y sistemas.
Aporta una adecuada evaluación gerencial y practica organizacional
Los estándares ISO son diseñados para ser implementados en todo el mundo
ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización.
ISO 17799 define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio.
ESTANDAR ISO 17799ESTANDAR ISO 17799
Un “Modelo de Seguridad de la Información” es un diseño formal que promueve consistentes y efectivos mecanismos para la
definición e implementación de controles a través de políticas..
Debe estar dirigido a identificar los niveles de riesgo presentes y las acciones que se deben implementar
para reducirlos.
MODELO DE SEGURIDAD DE LA INFORMACIÓN
Que son las Políticas de Seguridad de la Información:
Pueden considerarse como reglas de negocio que son el equivalente de una ley propia de la organización.
Es la fuente de instrucciones para proteger tanto la información como los sistemas que la contienen.
Deben estar adecuadas a los requerimientos particulares de la organización y en sintonía con la legislación vigente.
Es necesario conocer muy bien los factores de riesgo, mediante un “Análisis de Riesgos”.
POLÍTICAS DE SEGURIDAD DE LA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓNINFORMACIÓN
UN ADECUADO MODELO DE “SEGURIDAD INFORMÁTICA”
Políticas Sólidas de Seguridad de la Información:
Mejores prácticas internacionales (BS ISO/ IEC 17799:2005 - BS 7799-1:2005)
Soporte Gerencial
Divulgación
Capacitación.
ESTA BASADO EN:
Equipo de Trabajo:
Altamente Calificado
Disponible 7 X 24 X 365
Actualizado Permanentemente (Capacitación)
Sólidos conocimientos en Seguridad de laInformación y Administración del riesgo
UN ADECUADO MODELO DE “SEGURIDAD INFORMÁTICA”
ESTA BASADO EN:
Herramientas de protección:
Última Tecnología
Permanentemente Actualizadas
Alta Disponibilidad
Alta Capacidad de Respuesta
UN ADECUADO MODELO DE “SEGURIDAD INFORMÁTICA”
Nota: No se trata de tener un libro, se trata de contar con una guía basada en las mejores practicas para el mantenimiento y manipulación de la información.
ESTA BASADO EN:
CÓMO IMPLEMENTAR DICHO MODELO
1. Determinar los niveles de riesgos.
2. Establecer los controles a partir de la norma ISO
17799.3. Construir los lineamientos.
4. Aplicar las Políticas de Seguridad
Implementar un Modelo Implementar un Modelo Tecnológico de Tecnológico de
Seguridad Seguridad Informática basado Informática basado
en la norma ISO 17799en la norma ISO 17799
CÓMO IMPLEMENTAR DICHO MODELO
CÓMO IMPLEMENTAR DICHO MODELO
Fase I. Determinar niveles de riegos amenazas y vulnerabilidades
Revisión de estadísticas de incidentes (Help Desk).
Aplicación de un cuestionario online basado en la ISO 17799, disponible en http://autoevaluacion.forosec.com
Identificación de los diferentes tipos de activos en la empresa para determinar todo aquello que la seguridad de la información debe proteger.
Clasificación y valoración de los riesgos detectados (humanos, tecnológicos, de procesos y físicos).
Fase II. Establecer controles a partir de la norma ISO 17799.
Identificación y definición de alternativas para el tratamiento de riesgos.
Seleccionar controles específicos a partir de la ISO 17799 a implementar según los riesgos detectados.
CÓMO IMPLEMENTAR DICHO MODELO
Fase III: Construir los lineamientos
Elaboración y aprobación de una DDA Declaración de Aplicabilidad (qué controles se van a implementar).
Elaboración del documento de políticas de seguridad que abarque tanto el ámbito tecnológico como el ámbito humano.
Elaborar plan estratégico de divulgación sobre mantenimiento de la seguridad de la información a toda la organización.
CÓMO IMPLEMENTAR DICHO MODELO
Fase IV: Aplicar las Políticas
Hacer oficial la política.
Elección del comité de seguridad para el cumplimiento, monitoreo y mejoramiento continuo de las políticas..
Realización de campañas de entrenamiento, charlas de divulgación y sistemas de aprendizaje para garantizar el conocimiento de las políticas de seguridad en toda la organización.
CÓMO IMPLEMENTAR DICHO MODELO
Políticas
Estándares
ProcedimientosPERSONAS
TECNOLOGIA
CULTURA
A DONDE SE ORIENTA
Mas que tecnología utilizada para solucionar problemas específicos o puntuales.
Políticas, procedimientos y estándares definidos de acuerdo con las características del negocio.
Plan de concientización adecuadamente estructurado para la creación de la cultura de seguridad en la organización.
Monitoreo y Revisión
Monitoreo Detectar errores en el proceso, identificar fallos de seguridad y tomar las acciones correspondientes.
Revisión Revisiones periódicas de la política y su alcance.
Revisiones de los niveles de riesgos
Auditorias internas y externas
CÓMO MANTENER EL MODELO
CÓMO MANTENER EL MODELO
Mantenimiento y Mejora
Mantenimiento Comunicar resultados de auditorias
Adoptar acciones correctivas y preventivas
Mejora Continua Medir el rendimiento
Implementar las mejoras identificadas en las revisiones
Gestión de Riesgos cubriendo todos los componentes internos y externos, la naturaleza de los sistemas, las actividades empresariales y las leyes locales.
Identificar todos los terceros involucrados (Clientes / Usuarios / Proveedores / Socios de negocio / Otras Organizaciones / Gobierno).
Identificar todos los activos informáticos.
Políticas desarrolladas según los objetivos de negocio y según la cultura organizacional.
Apoyo y compromiso manifiestos por parte de la alta gerencia.
Participación integral a través de equipos multidisciplinarios.
FACTORES CRÍTICOS DE ÉXITO
Un claro entendimiento de los requerimientos de seguridad.
Sistema de medición para evaluar el desempeño de la gestión de la seguridad.
Disponibilidad de recursos.
FACTORES CRÍTICOS DE ÉXITO
PLAN DE CONCIENTIZACIÓN
Informar y recordar regularmente las obligaciones con respecto a la seguridad de la información a empleados y demás personal vinculado.
La característica principal del proceso de concientización es la difusión del Modelo de Seguridad por diferentes medios de comunicación al interior de la empresa, partiendo de un conocimiento básico de Seguridad Informática hasta lograr la adopción y asimilación de componentes del modelo de seguridad (políticas, estándares y procedimientos).
Política de SeguridadPolítica de Seguridad
Aspectos organizativosAspectos organizativos para la seguridadpara la seguridad
Clasificación y Clasificación y control de activoscontrol de activos
Control deControl deAccesosAccesos
ConformidadConformidad
Seguridad ligada alSeguridad ligada alpersonalpersonal
Seguridad física y Seguridad física y del entornodel entorno
Desarrollo y mantenimientoDesarrollo y mantenimientode sistemasde sistemas
Gestión de comunicacionesGestión de comunicacionesy operacionesy operaciones
Gestión de continuidad Gestión de continuidad del negociodel negocio
Táct
ico
Ope
rativ
o
Estra
tégi
co
Seguridad Organizativa
Seguridad Lógica
Seguridad Física
Seguridad Legal
PRODUCTO FINAL: MODELO DE PRODUCTO FINAL: MODELO DE SEGURIDAD DE LA INFORMACISEGURIDAD DE LA INFORMACIÓÓNN
FUENTES DE CONSULTA
Noticias Mundo en Línea http://www.mundoenlinea.cl
Grupo de Respuesta para Emergencias Informáticas (CERT.gov.ve) http://www.cert.gov.ve
Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) http://www.suscerte.co
Computer Emergency Response Team (CERT) http://www.cert.org
Computer Security Institute (CSI) http://www.gocsi.com
Forosec http://www.forosec.com
Gracias por su atención..
“Las mejores herramientas de seguridad son vulnerables si no existen políticas
adecuadas que definan claramente su utilización”.
La seguridad de la información siempre ha preocupado a la humanidad.
La información comanda las decisiones de cualquier negocio.
LO QUE HAY QUE SABER
Es el principal ACTIVO para la organización.
La seguridad Física y Lógica son aspectos “CLAVE” a tener en cuenta
Se debe proteger la Confidencialidad, la Integridad y Disponibilidad.
Se debe garantizar la identidad de los usuarios y su privacidad.
Los ataques evolucionan y se introducen en una tecnología en desarrollo.
Proteger en todas sus formas: digital, impresa y el conocimiento.
FUNDAMENTAL: Tener conocimiento de los riesgos.