ISO 27002

Gestin en Seguridad
Ing. Alvaro Fernandez
alvaro.fernandez@agesic.gub.uy
@agesic
@certuy
Introduccin
Definiciones
Sistema de Gestin de SI
ISO 2!!2
Factores "r#ticos de $%ito
Agenda
Introduccin
De &ue 'ablamos cuando 'ablamos de Seguridad de la
Informacin
La Informacin

(a informacin es un activo) &ue
al igual &ue los dem*s) tiene
valor +ara la organizacin y +or
lo tanto necesita ser +rotegido
adecuadamente
Definiciones
,
Amenaza: Acciones &ue +ueden causar
da-o seg.n la severidad y +osibilidad de
ocurrencia.
,
Vulnerabilidades: +untos d/biles del
e&ui+amiento) a+licaciones) +ersonal y
mecanismos de control &ue facilitan la
concrecin de una amenaza.
,
iesgo: 0s la +osibilidad &ue una amenaza
+ueda causar cierto im+acto negativo en un
activo determinado &ue +resenta una
vulnerabilidad a dic'a amenaza.
!ormas o "edios de Distribucin
,
Im+resa
,
0scrita en +a+el
,
Almacenada electrnicamente
,
1ransmitida +or correo o utilizando medios electrnicos
,
2resentada en im*genes
,
0%+uesta en una conversacin
#$u% es Seguridad de la Informacin&
0s el con3unto de medidas +reventivas y reactivas)
tomadas +or +ersonas) sistemas y organizaciones &ue
+ermitan resguardar y +roteger la informacin buscando
mantener la confidencialidad) la dis+onibilidad e
integridad de la misma.
Seguridad de la informacin
Seguridad inform'tica
(rinci)ios de Seguridad de la Informacin
,
*onfidencialidad
Asegurar &ue solamente +ersonas
autorizadas accedan a la informacin.
,
Dis)onibilidad
Asegurar &ue la informacin est/
dis+onible cuando se la necesite.
,
Integridad
Asegurar la e%actitud y com+letitud de la
informacin.
Gestin de Seguridad de la Informacin
Im)lementando un con+unto adecuado de ,*O-.OL/S0
, 2ol#ticas
, 4e3ores 2r*cticas
, 5ormas
, 2rocedimientos
, 2lanes
, 0st*ndares 1ecnolgicos
, 0structuras Organizacionales
, Soft6are 7 8ard6are
Sistema de Gestin de Seguridad de la
Informacin 1SGSI2
,
(a seguridad de 9!!: como tal no e%iste) +or lo
&ue es necesario definir una estrategia de control
,
0s un tema de riesgos
,
(a SI no se consigue de un solo intento) 'ay me3ora
continua
,
Seguimiento y evaluacin
Sistema de Gestin de Seguridad de la
Informacin 1SGSI2
*mo establecer los re3uerimientos de Seguridad&
,
0valuar los riesgos;
<elevamiento de los activos
Identificar las amenazas
0valuar vulnerabilidades y +robabilidad de ocurrencia
0stimar im+acto +otencial
Determinar el nivel de riesgo de cada activo
Sistema de Gestin de Seguridad de la
Informacin 1SGSI2
*mo establecer los re3uerimientos de Seguridad&
,
0valuar re&uisitos legales) normativas y
reglamentaciones &ue deben cum+lir;
(a Organizacin
Sus Socios "omerciales
(os "ontratistas y los 2restadores de Servicios
Sistema de Gestin de Seguridad de la
Informacin 1SGSI2
Seleccin de *ontroles
,
"ontroles considerados =buenas +r*cticas>;
Documentacin de la 2ol#tica
Asignacin de res+onsabilidades en materia de seguridad
"oncientizacin) ca+acitacin y entrenamiento
"omunicacin de incidentes relativos a la seguridad
Administracin de la continuidad del negocio
Sistema de Gestin de Seguridad de la
Informacin 1SGSI2
Seleccin de *ontroles
,
"ontroles =esenciales> desde el +unto de vista legal;
2roteccin de datos y confidencialidad de informacin
+ersonal
2roteccin de registros y documentos de la
organizacin
<esguardo de derec'os de +ro+iedad intelectual
2roteccin contra los delitos inform*ticos
Plan
ifica
r
(Pla
n)
H a c e r
( D o )
Verificar
(Check)
A c t
u a r
( A c t
)
SGSI: (lan4Do4*5ec64Act
, Acciones correctivas
, Acciones preventivas
, Definir poltica de
seguridad
, Establecer alcance
, Anlisis de iesgos
, Aplicabilidad
, Definir indicadores
, evisi!n por la
direcci!n
, Auditorias internas
, Auditorias e"ternas
, #$ple$entar el siste$a
de gesti!n de iesgos
, #$plantar el %&%#
, #$plantar controles
, #$plantar indicadores
, espuesta a incidentes
7-I.4ISO8I/* 27002:2009
4arcando el rumbo
-orma 7-I.4ISO8I/* 27002:2009
0st* organizada en 99 ca+#tulos en los &ue se tratan los
distintos criterios a ser tenidos en cuenta en cada tema
+ara llevar adelante una correcta;
G/S.I:- D/ LA S/G7IDAD D/ LA I-!O"A*I:-
Alcance;
,
<ecomendaciones +ara la gestin de la seguridad de la
informacin
,
Sirve de base +ara el desarrollo de las +ol#ticas de
seguridad en las organizaciones
-orma 7-I.4ISO8I/* 27002:2009
0%isten 2 normas similares;
,
2!!2; 5ormalizacin
,
2!!9; "ertificacin
-orma 7-I.4ISO8I/* 27002:2009
Dominio ;: (ol<tica de Seguridad
-i=el Gerencial debe:

A+robar y +ublicar la 2ol#tica de Seguridad

"omunicarlo a todos los em+leados

Debe incluir

Ob3etivos y alcance generales de seguridad

A+oyo e%+reso de la direccin

?reve e%+licacin de los valores de seguridad de la

organizacin

Definicin de res+onsabilidades generales y es+ec#ficas en

materia de seguridad de la informacin
Dominio 2: Organizacin de la Seguridad
Infraestructura de Seguridad de la Informacin

Debe establecerse un marco gerencial +ara iniciar y

controlar la im+lementacin

Debe establecerse un <es+onsable o "omit/ de Seguridad de

la Informacin &ue lleve adelante el +royecto

0stablecer una fuente de asesoramiento es+ecializado en

Seguridad de la Informacin
Dominio >: Gestin de Acti=os

8acer un inventario de los activos de informacin

Designar a un +ro+ietario +ara cada uno de ellos

"lasificar la informacin
!actores *r<ticos de ?@ito
"omo logro im+lantar un SGSI
,
A+oyo y com+romiso manifiesto +or +arte de la
gerencia
,
2ol#ticas de seguridad
,
0strategia de im+lementacin consecuente con la
cultura organizacional
,
0ntendimiento de los re&uerimientos de seguridad)
evaluacin de riesgos y administracin de los mismos
,
"omunicacin eficaz de los temas de seguridad a todos
los gerentes y em+leados
,
"a+acitacin del *rea de 1I
!actores *r<ticos de ?@ito
!actores *r<ticos de ?@ito
,
Distribucin de las +ol#ticas y standares de seguridad a
todos los em+leados y contratistas
,
"oncientizacin) ca+acitacin y entrenamientos
adecuados
,
@n sistema de medicin &ue se utilice +ara evaluar el
desem+e-o de la gestin en seguridad
Sistema de Gestin de Seguridad de la
Informacin 1SGSI2
,
(a seguridad de 9!!: como tal no e%iste) +or lo
&ue es necesario definir una estrategia de control
,
(a SI no se consigue de un solo intento) 'ay me3ora
continua
,
Seguimiento y evaluacin
Im)lantacin de un SGSI
en el /stado
Ing. Alvaro Fernandez
alvaro.fernandez@agesic.gub.uy
@agesic
@certuy
'arco (or$ativo ) Polticas
'arco (or$ativo ) Polticas
*rgani+aci!n de %eguridad en el Estado
*rgani+aci!n de %eguridad en el Estado
Acciones Concretas
Acciones Concretas
Principales Desafos
Principales Desafos
,ecciones Aprendidas
,ecciones Aprendidas
Agenda
,
Decreto; AB27!!C
,
<esolucin t/cnicas de Agesic
,
Set de +ol#ticas obligatorias;

2ol#tica de seguridad de la informacin

2ol#tica de gestin de incidentes

2ol#tica de gestin de riesgos

"arco -ormati=o A (ol<ticas
,
0stablecer ob3etivos anuales con relacin a la
Seguridad
,
"lasificar y +roteger la informacin) evaluar riesgos
,
?rindar concientizacin y formacin en materia de
seguridad de la informacin a todo el +ersonal
,
0stablecer los medios necesarios +ara garantizar la
continuidad de las o+eraciones del Organismo
es)onsabilidades del Organismo
#(C#%*
esponsable %#
-E
esponsable
-E
-E
esponsable
-E
./cnico
0ase de Datos
./cnico
#nfraestructura
./cnico
Aplicaciones
./cnico
12
1
esponsable
-E
/s3uema (ro)uesto )or AG/SI*
C*'#.3 DE
%E&-#DAD
&-P* DE
.A0A4*
"etodolog<a de .raba+o
,
"onsultor#as de me3ora del SGSI
,
1aller de intercambio

Desarrollo de metodolog#as

?uenas +r*cticas

Intercambio de e%+eriencias
,
"a+acitacin

"ursos @5I1

1alleres AG0SI"

2artici+acin en eventos
,
"'arlas de concientizacin
*onsultor<as SGSI
,
"omenzaron en el a-o 2!9!
,
Se realizaron en;

AI5

I50

40"

4I04

41SS

4DO14A

40F

2residencia
*a)acitaciones
,
1aller SGSI;

E ! funcionarios
,
"ursos @5I1;

E B! funcionarios
,
"'arlas de "oncientizacin;

E 9!
(rinci)ales Acti=idades ealizadas
,
A+oyo de la Direccin
,
Asignacin de +resu+uesto +ro+io
,
Designacin de <es+onsable de Seguridad
,
"onformacin del "omit/ de Seguridad
,
A+robacin de 2ol#ticas

2ol#tica de Seguridad de la Informacin

2ol#tica de Gestin de <iesgos

2ol#tica de Gestin de Incidentes de Seguridad

(rinci)ales Acti=idades ealizadas
,
Identificacin de activos cr#ticos
,
"oncientizacin a funcionarios
,
Firmas de com+romisos y acuerdos de
confidencialidad.
(rinci)ales Desaf<os
,
Desarrollo de la seguridad con ba3o nivel de integracin
y coordinacin.
,
Insuficiente documentacin sobre seguridad.
,
Ausencia de formacin y concienciacin en seguridad de
la informacin.
,
Ine%istencia de an*lisis y gestin de riesgos de
seguridad de la informacin.
(rinci)ales Desaf<os
,
Desarrollo de la seguridad con ba3o nivel de integracin
y coordinacin.
,
Insuficiente documentacin sobre seguridad.
,
Ausencia de formacin y concienciacin en seguridad de
la informacin.
,
Ine%istencia de an*lisis y gestin de riesgos de
seguridad de la informacin.
Lecciones A)rendidas
,
4e3orar la seguridad re&uiere tiem)o A dedicacin
,
0%+licando los ob3etivos se obtiene la colaboracin del
)ersonal
,
8ay muc'o conocimiento sobre +rocesos en la cabeza de
las +ersonas
Lecciones A)rendidas
,
4e3orar la seguridad re&uiere tiem)o A dedicacin
,
0%+licando los ob3etivos se obtiene la colaboracin del
)ersonal
,
8ay muc'o conocimiento sobre +rocesos en la cabeza de
las +ersonas
"uc5as Gracias
Ing. Alvaro Fernandez
alvaro.fernandez@agesic.gub.uy
@agesic
@certuy