You are on page 1of 77

Facultad de Ingeniera

Industrial y de Sistemas

SEGURIDAD DE LA
INFORMACION

Norma ISO 27001


Ysabel Rojas Sols
Agenda

Introduccion
Sistema de Gestion de Seguridad
de la Informacion
Introduction to ISO 27001-2:2005
Tareas a Realizar
Experiencia Europea de Exito
Conclusiones

2
Porqu hablar de la Seguridad de
la Informacin?

Porque el negocio se sustenta a partir


de la informacin que maneja.....
La informacin puede estar :

Impreso o escrito en papel.


Almacenado electrnicamente.
Enviado por correo ordinario o por e-mail.
Videos corporativos.
Verbal - en conversaciones

cualquier tipo de informacin,


o significado que se encuentre
medido o almacenado, deber
encontrarse siempre protegido.
(ISO/IEC 27001: 2005)
La informacion puede ser :

Creada
Guardada

Destruida
Procesada

Transmitida
Usada (Para propositos correctos &
impropios)
Corrompida

Perdida
Robada
5
Dominios de la Informacin
La informacin debe cumplir 3 principios

Haga clic para modificar el estilo de texto del


Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Porqu hablar de la Seguridad de
la Informacin?
Porque no slo es un tema Tecnolgico.

Porque se requiere de Polticas de


Seguridad de la Informacin formalmente
aceptadas y conocidas por todos.
Porqu hablar de la Seguridad de
la Informacin?
Porque la seguridad tiene un costo, pero la
INSEGURIDAD es mucho
mas costosa

Ninguna medicina es til a menos que el


paciente la tome

Entonces, por donde empezar?........


Problema / Necesidad
Problema / Necesidad
Problema / Necesidad
Problema / Necesidad
Problema / Necesidad
COMO SUPERAR
ESTOS
PROBLEMAS?

14
Solucin
Que es la Seguridad de la
Informacin
Haga clic para modificar el estilo de texto del p
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Seguridad de la Informacin
Seguridad de la Informacin
Seguridad de la Informacin

La seguridad no es algo que se compra es


algo que se hace.
Seguridad de informacion

La arquitectura donde se integran y combinan


aplicaciones, sistemas y soluciones, software,
alarmas, y las exploraciones de vulnerabilidad a
fin de trabajar juntos y monitoreo 24 x 7

Exige tener gente, Procesos, Tecnologia,


politicas, procedimientos,

La seguridad es integral (PPT) y no solo para


dispositivos y equipos

20
5/02/13
ed
us ion
gy t
lo isa 21
no an
ch rg
Te O
by
ss
ne es
si ss
Bu oce
f Pr
af
St
on
ti
za
TECHNOLOGY
PROCESSES

i
an
PEOPLE

rg
O

5/02/13
Activo de Informacion

Haga clic para modificar el estilo de texto del


Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Que es una Amenaza

Haga clic para modificar el estilo de texto del


Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Que es una Amenaza
Que es una Vulnerabilidad

Haga clic para modificar el estilo de texto del


Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Reconocer las Vulnerabilidades

Vulnerabilidad: una debilidad que


facilita la materializacin de una
amenaza
Ejemplos:
Inexistencia de procedimientos de
trabajo
Concentracin de funciones en una
sola persona
Infraestructura insuficiente
Clasificacin de Vulnerabilidades
Haga clic para modificar el estilo de texto del patr
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Que es un Impacto

Haga clic para modificar el estilo de texto del


Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Que es Riesgo
Haga clic para modificar el estilo de texto del
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Matriz de Riesgo

Haga clic para modificar el estilo de texto del


Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
La Gestion del Riesgo
La Gestin del Riesgo
Sistema de Gestin de Seguridad de
Informacion SGSI
Sistema de Gestin de Seguridad de
Informacion SGSI
Sistema de Gestin de Seguridad de
Informacion SGSI
Objetivos Generales del SGI
SGSI Requerimientos Generales
Requerimientos de documentacion
General
Implantacin SGSI
Sistema de gestin de seguridad
de la informacin

Haga clic para modificar el estilo de texto del p


Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Alcance del SGI
Haga clic para modificar el estilo de texto del patr
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
PorquImplementarunSGSI?

Los procesos y servicios de la Institucin

que soporta los

Confidencialidad Integridad Disponibilidad

Seguridad vela por


de la Informacin
Implementacin del SGSI

Haga clic para modificar el estilo de texto del patr


Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Etapas del SGSI
Haga clic para modificar el estilo de texto del patr
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Beneficios del SGI

1. A nivel organizativo Compromiso


2. En el plano jurdico Cumplimiento
3. A nivel operativo - Gestin del riesgo
4. En el plano comercial - Credibilidad y
confianza
5. A nivel financiero - Reduccin de costes
6. A nivel humano - Mejora de la
concienciacin de los empleados

47
Por el contrario las brechas de
seguridad llevan a :
Reputacin prdida
Perdida financieros
Prdida de propiedad intelectual
Las infracciones legislativas que conduzcan a

acciones legales (Cyber Law)
La prdida de la confianza de los clientes
Costos de interrupcin de negocios

Perdida de Buena Voluntad

48
5/02/13
Historia de la Norma ISO 27001

Haga clic para modificar el estilo de texto del patr


Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Objetivos de ISO 27001
Polticas de Seguridad
Organizacin de Seguridad
Gestin de Activos
Integridad

Seguridad de los Recursos


Humanos
Cumplimiento de Polticas y
Normatividad Legal
Informacin

confidencialidad Disponibilidad
La ISO 27001
Contenido de la ISO 27001
ISO 27001 : Estructura
ISO 27001 : Estructura
Ciclo PHVA o PDCA
Beneficios de la Norma
ISO 27001
1. Establecimiento de una metodologa de gestin de la seguridad de la
informacin clara y bien estructurada.

2. Reduccin de riesgos de prdida, robo o corrupcin de la informacin.


Los usuarios tienen acceso a la informacin de manera segura, lo que se
traduce en confianza.

3. Los riesgos y sus respectivos controles son revisados constantemente.

4. Las auditorias externas e internas permiten identificar posibles debilidades del


sistema.

5. Continuidad en las operaciones del negocio tras incidentes de gravedad.

6. Garantizar el cumplimiento de las leyes y regulaciones establecidas en


materia de gestin de informacin.

7. Incrementa el nivel de concientizacin del personal con respecto a los tpicos


de seguridad informtica.

8. Proporciona confianza y reglas claras al personal de la empresa.


ISO 27002
ISO 27002: Estructura
ISO 27002 : Estructura
Tareas a realizar
Tareas a realizar
Tareas a realizar
Etapa: Sistemas Informticos
Infraestructura
Certificar Servidores
en Comunicaciones
ISO/IEC Aplicaciones
Bases de Datos
27001
Las Herramientas y los servicios
Experiencia Europea
Les guides
La mthode et ses bases de connaissances (5 sections), ses meilleures
pratiques expliquant comment utiliser EBIOS selon le contexte
Des plaquettes et un mmento synthtiques
Le logiciel libre
Gratuit, disponible sur demande ou en tlchargement
Plus de 2000 cdroms envoys dans 50 pays
Les traductions
Lensemble du rfrentiel est disponible gratuitement en franais, en
anglais, en allemand et en espagnol
Les comptences
Les formations au CFSSI pour les agents de ladministration (formation de 2
jours, formation de formateurs de 5 jours, formations ad-hoc)
La formation en ligne sur la gestion des risques (en cours)
La labellisation de personnes (en cours dlaboration)
Le Club EBIOS
75 experts du secteur public et du secteur priv, franais et trangers
Compatibilidad con otros
Sistemas de Gestion
Conclusiones

La Informacin es uno de los activos mas


valiosos de la organizacin
Las Polticas de seguridad permiten disminuir
los riesgos
Las polticas de seguridad no abordan slo
aspectos tecnolgicos
El compromiso e involucramiento de todos es
la premisa bsica para que sea real.
La seguridad es una inversin y no un gasto.
No existe nada 100% seguro
Exige evaluacin permanente.
Conclusiones

Seguridad de la Informacin es "problema de


organizacin en lugar de "problema"

Ms del 70% de las amenazas son internas

Ms de 60% son culpables los estafadores por Primera


Vez

El mayor riesgo: personas

Principal activo: las personas

Ingeniera Social es una gran amenaza

Ms de 2/3 expresa su incapacidad para determinar "si


mis sistemas estn actualmente en peligro?"
69
5/02/13
CREANDO CONCIENCIA

La informacin de las compaas deben mantener la


confiabilidad, integridad y disponibilidad de la misma,
que son factores importantes para asegurar el xito
del negocio y asegurar que las necesidades de sus
clientes y socios sean cumplidas a satisfaccin.

Tanto la implementacin como el cumplimiento de las


normas es el trabajo de cada empleado de la
empresa y sern efectivas, si todas las personas
involucradas se encuentran instruidas en temas
relacionados con Seguridad de la Informacin y
utilizan este conocimiento para actuar con seguridad
y siendo responsables y consistentes con sus
acciones.
Usuarios con Robo, Ataque de virus
conocimento Sabotage,
especializado IT mal uso
Systems

Sistemas & Falta de Lapso en Calamidades


Redes con Documentacion seguridad Naturales&
falla Fisica Fuego

71
La clave es encontrar el justo equilibrio de
acuerdo al giro de cada negocio que permita
mantener controlado el RIESGO.
PDCA Process SGSI

SGSI PROCESS
Interested Interested
Parties Parties
Management Responsibility

PLAN
Establish
SGSI

DO ACT
Implement &
Maintain &
Operate the
Improve
SGSI

Information
Security Managed
Requirements CHECK Information
Monitor &
& Security
Review SGSI
Expectations

Mohan Kamat
73
5/02/13
Quien es el centro ?

SEC RITY
U
U-R
Mohan Kamat
74
5/02/13
CULTURA de la seguridad ,
responsabilidad de TODOS

ACTITUD proactiva,
Investigacin permanente
Esfuerzos integrados del personal es siempre mejor que un
Firewall

. . . Debemos construir un Muro humano junto con el firewall


76
Muchas Gracias!!