Professional Documents
Culture Documents
Gestin en Seguridad
Ing. Alvaro Fernandez
alvaro.fernandez@agesic.gub.uy
@agesic
@certuy
Introduccin
Definiciones
Sistema de Gestin de SI
ISO 2!!2
Factores "r#ticos de $%ito
Agenda
Introduccin
De &ue 'ablamos cuando 'ablamos de Seguridad de la
Informacin
La Informacin
(a informacin es un activo) &ue
al igual &ue los dem*s) tiene
valor +ara la organizacin y +or
lo tanto necesita ser +rotegido
adecuadamente
Definiciones
,
Amenaza: Acciones &ue +ueden causar
da-o seg.n la severidad y +osibilidad de
ocurrencia.
,
Vulnerabilidades: +untos d/biles del
e&ui+amiento) a+licaciones) +ersonal y
mecanismos de control &ue facilitan la
concrecin de una amenaza.
,
iesgo: 0s la +osibilidad &ue una amenaza
+ueda causar cierto im+acto negativo en un
activo determinado &ue +resenta una
vulnerabilidad a dic'a amenaza.
!ormas o "edios de Distribucin
,
Im+resa
,
0scrita en +a+el
,
Almacenada electrnicamente
,
1ransmitida +or correo o utilizando medios electrnicos
,
2resentada en im*genes
,
0%+uesta en una conversacin
#$u% es Seguridad de la Informacin&
0s el con3unto de medidas +reventivas y reactivas)
tomadas +or +ersonas) sistemas y organizaciones &ue
+ermitan resguardar y +roteger la informacin buscando
mantener la confidencialidad) la dis+onibilidad e
integridad de la misma.
Seguridad de la informacin
Seguridad inform'tica
(rinci)ios de Seguridad de la Informacin
,
*onfidencialidad
Asegurar &ue solamente +ersonas
autorizadas accedan a la informacin.
,
Dis)onibilidad
Asegurar &ue la informacin est/
dis+onible cuando se la necesite.
,
Integridad
Asegurar la e%actitud y com+letitud de la
informacin.
Gestin de Seguridad de la Informacin
Im)lementando un con+unto adecuado de ,*O-.OL/S0
, 2ol#ticas
, 4e3ores 2r*cticas
, 5ormas
, 2rocedimientos
, 2lanes
, 0st*ndares 1ecnolgicos
, 0structuras Organizacionales
, Soft6are 7 8ard6are
Sistema de Gestin de Seguridad de la
Informacin 1SGSI2
,
(a seguridad de 9!!: como tal no e%iste) +or lo
&ue es necesario definir una estrategia de control
,
0s un tema de riesgos
,
(a SI no se consigue de un solo intento) 'ay me3ora
continua
,
Seguimiento y evaluacin
Sistema de Gestin de Seguridad de la
Informacin 1SGSI2
*mo establecer los re3uerimientos de Seguridad&
,
0valuar los riesgos;
<elevamiento de los activos
Identificar las amenazas
0valuar vulnerabilidades y +robabilidad de ocurrencia
0stimar im+acto +otencial
Determinar el nivel de riesgo de cada activo
Sistema de Gestin de Seguridad de la
Informacin 1SGSI2
*mo establecer los re3uerimientos de Seguridad&
,
0valuar re&uisitos legales) normativas y
reglamentaciones &ue deben cum+lir;
(a Organizacin
Sus Socios "omerciales
(os "ontratistas y los 2restadores de Servicios
Sistema de Gestin de Seguridad de la
Informacin 1SGSI2
Seleccin de *ontroles
,
"ontroles considerados =buenas +r*cticas>;
Documentacin de la 2ol#tica
Asignacin de res+onsabilidades en materia de seguridad
"oncientizacin) ca+acitacin y entrenamiento
"omunicacin de incidentes relativos a la seguridad
Administracin de la continuidad del negocio
Sistema de Gestin de Seguridad de la
Informacin 1SGSI2
Seleccin de *ontroles
,
"ontroles =esenciales> desde el +unto de vista legal;
2roteccin de datos y confidencialidad de informacin
+ersonal
2roteccin de registros y documentos de la
organizacin
<esguardo de derec'os de +ro+iedad intelectual
2roteccin contra los delitos inform*ticos
Plan
ifica
r
(Pla
n)
H a c e r
( D o )
Verificar
(Check)
A c t
u a r
( A c t
)
SGSI: (lan4Do4*5ec64Act
, Acciones correctivas
, Acciones preventivas
, Definir poltica de
seguridad
, Establecer alcance
, Anlisis de iesgos
, Aplicabilidad
, Definir indicadores
, evisi!n por la
direcci!n
, Auditorias internas
, Auditorias e"ternas
, #$ple$entar el siste$a
de gesti!n de iesgos
, #$plantar el %&%#
, #$plantar controles
, #$plantar indicadores
, espuesta a incidentes
7-I.4ISO8I/* 27002:2009
4arcando el rumbo
-orma 7-I.4ISO8I/* 27002:2009
0st* organizada en 99 ca+#tulos en los &ue se tratan los
distintos criterios a ser tenidos en cuenta en cada tema
+ara llevar adelante una correcta;
G/S.I:- D/ LA S/G7IDAD D/ LA I-!O"A*I:-
Alcance;
,
<ecomendaciones +ara la gestin de la seguridad de la
informacin
,
Sirve de base +ara el desarrollo de las +ol#ticas de
seguridad en las organizaciones
-orma 7-I.4ISO8I/* 27002:2009
0%isten 2 normas similares;
,
2!!2; 5ormalizacin
,
2!!9; "ertificacin
-orma 7-I.4ISO8I/* 27002:2009
Dominio ;: (ol<tica de Seguridad
-i=el Gerencial debe:
"lasificar la informacin
!actores *r<ticos de ?@ito
"omo logro im+lantar un SGSI
,
A+oyo y com+romiso manifiesto +or +arte de la
gerencia
,
2ol#ticas de seguridad
,
0strategia de im+lementacin consecuente con la
cultura organizacional
,
0ntendimiento de los re&uerimientos de seguridad)
evaluacin de riesgos y administracin de los mismos
,
"omunicacin eficaz de los temas de seguridad a todos
los gerentes y em+leados
,
"a+acitacin del *rea de 1I
!actores *r<ticos de ?@ito
!actores *r<ticos de ?@ito
,
Distribucin de las +ol#ticas y standares de seguridad a
todos los em+leados y contratistas
,
"oncientizacin) ca+acitacin y entrenamientos
adecuados
,
@n sistema de medicin &ue se utilice +ara evaluar el
desem+e-o de la gestin en seguridad
Sistema de Gestin de Seguridad de la
Informacin 1SGSI2
,
(a seguridad de 9!!: como tal no e%iste) +or lo
&ue es necesario definir una estrategia de control
,
(a SI no se consigue de un solo intento) 'ay me3ora
continua
,
Seguimiento y evaluacin
Im)lantacin de un SGSI
en el /stado
Ing. Alvaro Fernandez
alvaro.fernandez@agesic.gub.uy
@agesic
@certuy
'arco (or$ativo ) Polticas
'arco (or$ativo ) Polticas
*rgani+aci!n de %eguridad en el Estado
*rgani+aci!n de %eguridad en el Estado
Acciones Concretas
Acciones Concretas
Principales Desafos
Principales Desafos
,ecciones Aprendidas
,ecciones Aprendidas
Agenda
,
Decreto; AB27!!C
,
<esolucin t/cnicas de Agesic
,
Set de +ol#ticas obligatorias;
Desarrollo de metodolog#as
?uenas +r*cticas
Intercambio de e%+eriencias
,
"a+acitacin
"ursos @5I1
1alleres AG0SI"
2artici+acin en eventos
,
"'arlas de concientizacin
*onsultor<as SGSI
,
"omenzaron en el a-o 2!9!
,
Se realizaron en;
AI5
I50
40"
4I04
41SS
4DO14A
40F
2residencia
*a)acitaciones
,
1aller SGSI;
E ! funcionarios
,
"ursos @5I1;
E B! funcionarios
,
"'arlas de "oncientizacin;
E 9!
(rinci)ales Acti=idades ealizadas
,
A+oyo de la Direccin
,
Asignacin de +resu+uesto +ro+io
,
Designacin de <es+onsable de Seguridad
,
"onformacin del "omit/ de Seguridad
,
A+robacin de 2ol#ticas