Gestión seguridad de la información y marco normativo
-
Upload
modernizacion-y-gobierno-digital-gobierno-de-chile -
Category
Technology
-
view
5.507 -
download
2
description
Transcript of Gestión seguridad de la información y marco normativo
![Page 1: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/1.jpg)
Gestión Seguridad de la InformaciónMarco Normativo
Unidad de Modernización y Gobierno ElectrónicoMinisterio Secretaría General de la Presidencia
![Page 2: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/2.jpg)
Amenazas Tecnológicas
VirusTrojan
Worm
DDoS
P2P SQL Injection
XSS
Phishing
PHP File Include
Spyware
Whaling
Botnet
Social MediaMalware
Pharming
¿Podemos garantizar su control?
![Page 3: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/3.jpg)
Otras Amenazas
• Colusión interna para efectuar delitos
• Errores y omisiones involuntarios del personal
• RIESGO en el trabajo con terceros
![Page 4: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/4.jpg)
Seguridad de la Información
• No es sólo Firewalls o Antivirus...
![Page 5: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/5.jpg)
Seguridad de la Información
• No es sólo tecnología...
![Page 6: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/6.jpg)
Seguridad de la Información
• Las personas son el eslabón más débil y mayoritario en la cadena de la seguridad
![Page 7: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/7.jpg)
Seguridad de la Información
• No se refiere sólo a Disponibilidad...
![Page 8: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/8.jpg)
Seguridad de la Información
• No hay que reinventar la rueda …
– … ya existen
• Mejores prácticas
• Modelos de Gestión
• ISO y su homologación Chilena NCh ISO
![Page 9: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/9.jpg)
Seguridad de la Información
• ENTONCES…
– ¡Qué es?
![Page 10: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/10.jpg)
Activos de Información
• Tres niveles básicos de Activos de Información
– La Información propiamente tal, en sus múltiples formatos (papel, digital, texto, imagen, audio, video, etc.)
– Los Equipos/Sistemas/infraestructuraque soportan esta información
– Las Personas que utilizan la informacióny que tienen el conocimiento de los procesos institucionales
![Page 11: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/11.jpg)
¿Qué proteger?
ACTIVO DE
INFORMACIÓN
Basado en estándar internacional ISO/IEC 27002:2005
![Page 12: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/12.jpg)
Toda institución requiere hacer Gestión de cómo proteger eficaz y eficientemente la
información.
Principio de la Gestión de la Seguridad
![Page 13: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/13.jpg)
Objetivo de esta sección
• Homogenizar conceptos y metodologías por medio de la cual se realiza la definición, implantación, medición de efectividad y mejora de la Seguridad de la Información al interior de las Instituciones.
• Establecer una base y estructuracomún para la definición de unMarco Normativo de Seguridadde la Información
![Page 14: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/14.jpg)
Temario
• Marcos de Referencia
– Nch ISO 27002
• Sistema de Gestión de Seguridad (ISMS)
– Marco Normativo• Estructura y composición
– Indicadores y Medición de la efectividaddel ISMS
– Administración y revisión.
• RoadMap:
– Evaluación, Implementación y Certificación
![Page 15: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/15.jpg)
Nch ISO 27002
Marcos de Referencia
![Page 16: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/16.jpg)
Estándares y Regulaciones
• Nacionales
– NCh ISO 27001 / NCh ISO 27002• PMG-SSI
• Internacionales
– ISO/IEC 27001:2005 / ISO/IEC 27002:2005
– CSIRT
– PCI / SOX / BASILEA
– BS 25999/DRII/BCI/
– CobIT / ITil
![Page 17: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/17.jpg)
• Norma Chilena Oficial NCH-ISO 27002.Of2009:
– Listado de Mejores Prácticas
– Internacionalmente homologada de ISO/IEC 27002:2005
– Antes Norma Chilena Oficial NCh 2777.Of.2003
• Norma Chilena Oficial NCH-ISO 27001.Of2009:
– Sistemas de gestión de la seguridadde la información / SGSI
– ISMS
– Internacionalmente homologadade ISO/IEC 27001:2005
Marcos de Referencia
![Page 18: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/18.jpg)
Políticas de Seguridad
Organización para la Seguridad de la Información
Gestión de activos
Seguridad del Recurso Humano
Seguridad Física y Ambiental
Administración de comunicaciones y operaciones
Control de Acceso
Adquisición, desarrollo y mantención de sistemas de información
Gestión de Incidentes de Seguridad de la información
Administración de la Continuidad del Negocio
Cumplimiento
Áreas de Control (Nch ISO 27002)
5
6
7
8
9
10
11
12
13
14
15
![Page 19: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/19.jpg)
Controles ISO 27002
![Page 20: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/20.jpg)
133 Controles ISO 27002
![Page 21: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/21.jpg)
Estructura Organizacional
• Nivel Estratégico– Comité de Seguridad / Comité de Gerentes
– Gerencia de Riesgo
– CISO / CSO
• Nivel Táctico– Oficial de Seguridad
– Auditoría Interna
• Nivel Operacional– Administradores de Seguridad
– Monitores/Líderes de Seguridadde la Información
– Usuarios Finales
![Page 22: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/22.jpg)
Cuerpo Normativo
• Nivel Estratégico– Política General de Seguridad de la Información
• Nivel Táctico– Políticas de Seguridad de Temas Específicos
• Uso de recursos tecnológicos• Control de Acceso• Escritorios limpios• …
• Nivel Operacional– Procedimientos– Estándares internos– Instructivos– Guías prácticas de seguridad– Tips de seguridad
![Page 23: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/23.jpg)
Base Normativa en Seguridad de la Información
Política General
de Seguridad de
la Información
![Page 24: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/24.jpg)
ISMS / SGSI
Sistemas de Gestión de Seguridad de la Información
![Page 25: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/25.jpg)
ISMS
• Parte de los sistemas de gestión, que basado en los procesos de la institución y en un enfoque de riesgo de seguridad, permite establecer, implementar, operar, monitorear y revisar, así como mantener y mejorar la Seguridad de la Información
![Page 26: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/26.jpg)
ISMS
Information Security
Management Systems
SGSI
Sistemas de Gestión de Seguridad de la Información
PMG-SSI
![Page 27: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/27.jpg)
Gestión de Mejora Continua
• Modelo DEMING
• PDCA
![Page 28: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/28.jpg)
Metodología Pdca
• PLAN
– Definición de un ISMS
– Se identifica las necesidades, recursos, estructura y responsabilidades
– En esta etapa se define las políticas de seguridad, los procesos y procedimientos relevantespara la administración del riesgo ymejoras para la seguridad de lainformación, de acuerdo a las políticasy objetivos de toda la organización
![Page 29: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/29.jpg)
2
9Requisitos ISO 27001:2005
Mandatorio:
4 Sistema de Gestión de Seguridad de la Información-4.1 – Requisitos Generales
-4.2 – Establecer y Administrar el SGSI
-- 4.2.1 Creación del SGSI
-- 4.2.2 Implementación y operación del SGSI
-- 4.2.3 Supervisión y revisión del SGSI
-- 4.2.4 Mantenimiento y mejora del SGSI
-4.3 – Documentación y Registros
5 Responsabilidad de la Dirección-5.1 – Compromiso de la Gerencia
-5.2 – Gestión de los Recursos
6 – Auditorias Internas del SGSI
7 – Revisión por la Gerencia
8 – Mejora del SGSI-8.1 – Mejora Continua
-8.2 – Acción Correctiva
-8.3 – Acción Preventiva
Selección como resultado de la Evaluación de Riesgo:
Anexo A – Controles
Sentencia de Aplicabilidad
(SoA) 4.2.1.j
![Page 30: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/30.jpg)
Metodología pDca
• DO
– Implementación y Operación de un ISMS
– Se refiere a la etapa de puesta en marcha del sistema de gestión, donde se implanta y habilitan las condiciones tecnológicas y organizacionales para operar un ISMS
– Considera, entre otros, la implantaciónde políticas de seguridad, controles,procesos y procedimientos
![Page 31: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/31.jpg)
Metodología pdCa
• CHECK
– Monitoreo y revisión de un ISMS
– Donde se realiza la medición y análisis de la efectividad de los controles implantados, de acuerdo a revisiones de gerencia y auditoría
– Considera los procesos ejecutados conrelación a la política del ISMS, evaluarobjetivos, experiencias e informar losresultados a la administración para surevisión
![Page 32: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/32.jpg)
Metodología pdcA
• ACT
– Mantención y mejora de un ISMS.
– Referido específicamente al tratamiento de acciones correctivas y preventivas, basados en las auditorías internas y revisiones del ISMS ocualquier otra información relevante,para permitir la mejora continuadel ISMS
![Page 33: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/33.jpg)
ROADMAP
Evaluación GAP
Implementación
Certificación
![Page 34: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/34.jpg)
RoadMap: Paso 1 - Evaluación GAP
• El principal objetivo de la consultoría que permita medir el estado actual de implementación de controles de Seguridad de la Información, existentes , respecto de la definición de controles que posee la norma internacional ISO/IEC 27002:2005, identificando las principales fortalezas y debilidades respecto de los controles definidos en dicha norma.
• Identificar la brecha existenteentre el modelo de referenciay la situación actual.
• Genera Plan de Mitigación oPlan de Seguridad
![Page 35: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/35.jpg)
RoadMap: Paso 2 - Implementación
• Habilitación de un ISMS, implementando un Plan de Seguridad acordado• Definición y descripción de los ámbitos de cobertura
y alcance del proyecto y del ISMS.• Definir un comité estratégico y equipos de trabajo,
roles y responsabilidades• Formalización de las actividades así como los
mecanismos para la presentación de avances y control de cambios.
• Habilitación de la infraestructura de soporte al proyecto y gestión documental.
• Generación de estructurasorganizacionales y cuerpo normativode seguridad
• Habilitación de las plataformastecnológicas necesarias.
• Generación de los registros necesariospara las revisiones de cumplimiento.
![Page 36: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/36.jpg)
RoadMap: Paso 3 - Certificación
Alcanzar la certificación ISO 27001 otorgada por algún organismo acreditado.
Cuestionario de Pre-Aplicación
Evaluación/verificación/propuesta
Aplicación
Auditoria Etapa 1 Evaluación/ Tratamiento del Riesgo
Declaración de Aplicabilidad
Auditoria Etapa 2 Revisión detallada de la
implantación y eficacia
Certificación
Evaluación Continua
Ciclo de 3 años
Normalmente 2 visitas por año
Revisión estratégica / Re-certificación
Pre-auditoria opcional
![Page 37: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/37.jpg)
ETAPAS DE UN PROYECTO ROADMAP
Etapa 1: Evaluación GAP ISO 27002: permite identificar brecha respecto a un marco de referencia
Etapa 2: Considera el Establecimiento del ISMS, asociado a la Fase Plan del PDCA.
Etapa 3: Considera la implementación de la estructura organizacional y la definición de los procedimientos necesarios para la gestión ISMS, así como la implementación de controles esenciales ISO 27002.
Etapa 4: Entrega seguimiento a la implementación de los restantes controles de mitigación según la evaluación de riesgos realizada en Etapa 1 y plasmada en un Plan de Seguridad.
Etapa 5: Considera la etapa de supervisión y soporte para el proceso de postulación y supervisión para alcanzar la certificación ISMS por una entidad certificadora.
![Page 38: Gestión seguridad de la información y marco normativo](https://reader033.fdocuments.mx/reader033/viewer/2022052316/5593a4a51a28ab5f728b4791/html5/thumbnails/38.jpg)
Gracias.
Ministerio Secretaría General de la PresidenciaUnidad de Modernización y Gobierno Electrónico
@modernizacioncl