NORMA ISO/IEC 27001:2005

Modelo Para Establecer, Implementar Operar Monitorear, Operar, Monitorear Revisar, Revisar Mantener y Mejorar un ISMS (Information Security
Management System)

Ing Jorge Ceballos (jceballos@iram.org.ar) Ing. (jceballos@iram org ar)

Noviembre 2010

Para cumplir la misión ó de:
• Contribuir a mejorar la calidad de vida, el bienestar y la seguridad de las personas • Promover el uso racional de los recursos y la actividad creativa • Facilitar la producción, ó el comercio y la transferencia de conocimientos En el ámbito nacional, regional e internacional

Brinda servicios de:
•NORMALIZACIÓN •CERTIFICACIÓN
de Productos de d Sistemas Si t de d G Gestión tió
17.000 Productos Certificados 4 800 Certificados 4.800 C ifi d E Emitidos i id

Participación en Organismos de Estudio: ISO - IEC - COPANT – AMN

•FORMACIÓN DE RR RR.HH. HH

4.900 Cursos dictados 71.394 Horas de Capacitación

•CENTRO DE DOCUMENTACIÓN
250.000 Documentos Técnicos

RELACIONES INSTITUCIONALES
ESTADO SECTORES INDUSTRIALES UNIVERSIDADES SECTORES CIENTÍFICO TÉCNICOS CONSUMIDORES

Formas de abordar la mejora j en Tecnologías de la Información
Gestión
ISO 90003
Ciclo Ci l d de vida ISO 12207 Servicios ISO 20000-1

P Procesos
Competisoft // ISO 15504

ISO 27001

Productos
ISO 14598 con ISO 9126

ISO/IEC 20000 IT – Gestión del servicio
Procesos de prestación del servicio
• Gestión de la capacidad • Gestión de la disponibilidad y continuidad del servicio Gestión de niveles de servicio • Elaboración de informes del servicio • Gestión de la seguridad de la información • Elaboración del presupuesto y gestión de costos

Procesos de Control
Gestión de la configuración Gestión de cambios

Proceso de Liberación
• Gestión de la liberación

Procesos de Relaciones
• Gestión de relaciones con clientes • Gestión de proveedores

Procesos de Resolución
Gestión de incidentes Gestión de problemas

ITIL - Information Technology gy Infrastructure Library
Es un marco de trabajo (framework) para la Administración de Procesos de IT E un standard Es t d d de d facto f t para Servicios S i i de d IT Fue desarrollado a fines de la década del 80 Originalmente creado por la CCTA (una agencia del Gobierno del Reino Unido)

Información
Definición, Tipos
“La información es un recurso que, como el resto de los importantes activos, activos tiene valor para una organización y por consiguiente debe ser debidamente protegida.”

Algunos datos
En general todos coinciden en: El 80% de los incidentes/fraudes/ataques son efectuados por personal interno Fuentes: The Computer C S Security Institute Cooperative Association for Internet Data Analysis (CAIDA) CERT SANS

Fraude por Computador
Utilizar ili un computador d para obtener b beneficio personal o causar daño a los demás. • Dada la p proliferación de las redes y del personal con conocimientos en sistemas, se espera un incremento en la frecuencia y en la cantidad de pérdidas. pérdidas • Se especula que muy pocos fraudes por p son detectados y una menor computador porción es reportada.

¿De Quién nos Defendemos?
• Gente de adentro: Empleados o personas allegadas. allegadas • Anti gobernistas: Razones obvias para justificar un ataque. ataque • Un cracker que busca algo en específico: Es problemático pues suele ser un atacante determinado. Puede estar buscando un punto de salto. salto

De qué nos defendemos?
• • • • • • • • Fraude Extorsión Robo de Información Robo de servicios Actos terroristas Reto de penetrar un sistema Deterioro Desastres Naturales

Efectos de las Amenazas y los Ataques
• • • • • • • Interrupción de actividades Dificultades para toma de decisiones Sanciones Costos excesivos Pérdida o destrucción de activos Desventaja competitiva Insatisfacción del usuario (pérdida de imagen)

¿ Qué Información proteger ? Información
• en formato electrónico / magnético / óptico • en formato impreso • e en e el co conocimiento oc e to de las as pe personas so as

¿QUÉ DEBE SER PROTEGIDO?
• Sus Datos
Confidencialidad – Q Quiénes deben conocer q qué Integridad – Quiénes deben cambiar qué Disponibilidad spo b dad - Habilidad ab dad para pa a utilizar ut a sus sistemas

• Sus Recursos
 Su organización, organización su tecnología y sus sistemas

¿Qué es la seguridad de la información?
La seguridad L id d de d información i f ió se caracteriza t i como la l preservación de la: – Confidencialidad: asegurar que la información sea accesible sólo para aquellos usuarios autorizados para tener acceso – Integridad: salvaguardar que la información y los métodos de p procesamiento sean exactos y completos – Disponibilidad: asegurar que los usuarios autorizados tengan acceso a la información y bienes asociados cuando lo requieran

¿ Cómo se logra g la seguridad g de la información ?
 La seguridad de información se logra mediante la

implementación de un adecuado conjunto de controles, los que podrían ser:

 Políticas, prácticas, procedimientos, estructuras organizacionales y funciones de software.

 Se S necesita it establecer t bl estos t controles t l para

asegurar que se cumplan los objetivos específicos de seguridad de la organización. organización

Seguridad de la información
RIESGOS O AMENAZAS
Actos de la naturaleza Fraudes

Fallas de Hard, Soft o instalación

VULNERABILIDADES

Daño intencional

Errores y omisiones CONSECUENCIAS RIESGO

Invasión a la privacidad

PERDIDA ESPERADA

Sistema de g gestión de riesgos g

Figura 1 de la norma IRAM 17551

Objetivos a cumplir
Objetivos corporativos de negocio Objetivos corporativos de TI Objetivos O j os de d Seguridad gu d d Informática El problema de la Seguridad Informática está en su Gerenciamiento y no en las tecnologías disponibles

SGSI: Sistema de Gestión de Seguridad d la de l Información I f ió
ISMS – Information Security y Management g System y Qué es? Forma sistemática de administrar la Q información sensible Cómo? Gestionando los riesgos g Para qué? Proteger la información: Confidencialidad – Integridad – Disponibilidad A quiénes abarca? Personas, Procesos y Tecnología

ORIGEN: BS 7799
Norma Define requisitos para un Sistema de Gestión de g de la Información ( (ISMS). ) Seguridad Comprende 10 secciones Compuesta por 2 partes: Parte 1: Controles Parte 2: ISMS - Certificación

ISO 27001:2005
• Actualización de BS 7799 bajo los lineamientos de ISO, se creó ISO 27001 • El nombre oficial del nuevo estándar es: BS 7799-2:2005 (ISO/IEC 27001:2005) Information Technology - Security Techniques – Information Security Management - Systems – Requirements. Cambios con respecto a BS 7799-2: por ejemplo • requiere la definición de los mecanismos de medi ión de la medición l efectividad efe ti id d de los lo controles. ont ole

Modelo SGSI

Modelo SGSI

Objetivos j del SGSI
Implementación de un programa de Seguridad • • • • Comprensivo Adaptado a la Cultura de la organización Que Proteja la información sensible de las amenazas

Objetivos de Seguridad
Tres componentes a tener en cuenta para la seguridad

1) Ataques a la seguridad:
Cualquier acción que compromete la seguridad de la información perteneciente a la organización.

2) Mecanismos de seguridad:
Es un mecanismo diseñado para detectar, prevenir y/o recuperar frente a un ataque a la seguridad.

3) Prestación de seguridad:
Es un servicio que mejora la seguridad de un sistema de procesamiento de datos y de la información que transfiere la organización. ó El servicio enfrenta f los ataques a la seguridad utilizando para poder hacerlo, uno o más mecanismos de seguridad.

Antes de comenzar…. Requisitos para comenzar…existe alguno???

COMPROMISO Y RESPALDO DE LA DIRECCION
El Proceso de Implementación - SGSI La clave de la implementación es: Comunicación y Entrenamiento

Considerar documentación

SGSI: El Proceso de Implementación

SGSI: El Proceso de Implementación

El Proceso de Certificación

No hay calidad de la gestión sin seguridad de la información q que p procesan los sistemas de información que d dan soporte t a la l gestión tió

Propuesta p de p plan del PMG en el SGSI
A realizar por IRAM Chile A realizar por Red de Expertos p PMG A realizar por funcionarios Implementación Fase 1 ESTABLECER el SGSI (s/6 dominios) Implementación Fase 2 IMPLEMENTAR el SGSI (s/6 dominios) Implementación Fase 3 Seguimiento y Revisión de SGSI (s/6 dominios) Preparación para Certificación Gap analysis + Diagnóstico Asesoramiento para Capacitación p diseño del plan Auditoría de Verificación Fase 1 Auditoría de Verificación Fase 2 Asesoramiento sobre acciones correctivas Fase 1 Asesoramiento sobre acciones correctivas Fase 2 Asesoramiento sobre acciones correctivas Fase 3

Auditoría de Verificación Fase 3

35

PREGUNTAS Y COMENTARIOS

Sign up to vote on this title
UsefulNot useful