taller nacional sistema de seguridad de la información

Taller NacionalSistema de Seguridad de la

Información

Departamento de Gestión

Sectorial TIC

Octubre 2014

1. Introducción, fundamentos y definiciones sobre laSeguridad de la Información.

2. Estructura de la Norma NCh-ISO 27001.Of2009.

3. Revisión de dominios del SSI.

4. Buenas Práctica en la implementación de un SSI.

TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION

Agenda

2

Cualquiera sea la forma que tome la información o los medios porlos que se comparta o almacene, debería ser siempre protegida deforma adecuada.

NCh-ISO 27001.Of2009.

SEGURIDAD DE LA INFORMACION

4

La gestión de la seguridad de la información busca proteger todos los activos de información con el fin de asegurar su

Confidencialidad, Integridad y Disponibilidad

SEGURIDAD DE LA INFORMACION

Información

Disponibilidad

5

Información correcta

Para la persona correcta

En el momento correcto

SEGURIDAD DE LA INFORMACION

SEGURIDAD DE LA INFORMACION

SEGURIDAD DE LA INFORMACION

9

ACTIVOS

Activos de Información

Datos digitales: Bases de datos, copias de seguridad, claves

Activos tangibles: correos, libros,

archivadores, llaves

Activos intangibles: conocimiento,

relaciones

Software

Sistemas Operativos

Activos Físicos

Infraestructura de TI: CPD, edificios, oficinas

Equipamiento : Hardware, estaciones de trabajo, portátiles,

discos duros…

Controles del entorno TI, aire acondicionado,

alarmas

Activos de Servicios TI

Servicios de autentificación, servicios de red

Activos Humanos

Funcionarios

Externos

10

Desastres naturales

Ataques internos

Acciones no autorizadas

Interrupciones de servicio

Ataques externosRobos de medios o información

SEGURIDAD DE LA INFORMACIONEjemplos de Amenaza de los Activos

OBJETIVO DEL SISTEMA DE SEGURIDAD DE LA INFORMACIÓN

Lograr niveles adecuados de integridad,disponibilidad y confidencialidad para toda lainformación institucional relevante, con elobjeto de asegurar la continuidad operacionalde los procesos y servicios.

11

SISTEMA DE SEGURIDAD DE LA INFORMACION

¿Cómo se conforma un Sistema de Seguridad de la información?

ACTUAR PLANIFICAR

HACERVERIFICAR

¿Qué es el Sistema de Seguridad de la Información?

• Acciones preventivas y

correctivas (corrección de no

conformidades del SGSI)

• Conformar el Comité de

Seguridad.

• Nombrar al Encargado de

Seguridad.

• Definir la Política de Seguridad

de la Información.

• Definir el Alcance del SGSI.

• Definir el tratamiento de Riesgos.

• Implementar los controles (ISO

27001)

• Definir el sistema de métricas.• Revisar la efectividad del

SGSI (cumplimiento de

políticas, objetivos,

procedimientos, etc.)

• Auditorías.

• Revisión del Encargado de

Seguridad

• Revisiones del Comité de

Seguridad.

• Reducción de Riesgos.

• Contar con un proceso definido para Administrar laseguridad de la información

• Una mejora continua en la gestión de la seguridad.

• Una garantía de continuidad y disponibilidad del negocio.

• Reducción de los costos vinculados a los incidentes.

• Cumplimiento Legal

13

Por qué es necesario un Sistema de Seguridad de la Información?

Sistema de Seguridad de la Información (SSI),Estructura

11 Dominios

39 Objetivos

133

Controles

Dominio ObjetivosControles/Requisitos

Política de Seguridad 1 2

Organización de la Seguridad de la Información 2 11

Gestión de Activos 2 5

Seguridad de Recursos Humanos 3 9

Seguridad Física y Ambiental 2 13

Gestión de las comunicaciones y las operaciones 10 32

Control de acceso 7 25

Adquisición, desarrollo y mantenimiento de los sistemas de información

6 16

Gestión de incidentes de SI 2 5

Gestión de la continuidad del negocio 1 5

Cumplimiento 3 10

TOTAL (11) 39 133

DOMINIO 5: POLITICA DE SEGURIDAD

OBJETIVO

Proporcionar orientación y apoyo de la dirección para la seguridad de la información, de acuerdo con los requisitos delnegocio y con las regulaciones y leyes pertinentes.

Información correcta

Para la persona correcta

En el momento correcto

DOMINIO 6: ORGANIZACION DE LA SEGURIDAD DE LA INFORMACION

DIRECCION

AREAS AREAS AREAS

COMITEENCARGADO

DE SEGURIDAD

OBJETIVO

Establecer un marco referencial a nivel directivo para iniciar y controlar la implementación de la Seguridad de laInformación dentro de la institución.

• Aprueba las políticas de seguridad• Valida el proceso de gestión de

Seguridad de la Información• Sanciona las estrategias y mecanismos

de control para el tratamiento deriesgos

• Aprueba los recursos necesarios para laejecución de SGSI

DOMINIO 7: GESTION DE ACTIVOS

OBJETIVO

Lograr y mantener una apropiada protección de los activos institucionales. Todos los activos deben ser inventariados ycontar con un propietario nombrado.

Todos los activos relevantes deben ser

inventariados

DOMINIO 8: SEGURIDAD RELATIVA A LOS RECURSOS HUMANOS

OBJETIVO

Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles paralos cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios.

DOMINIO 9: SEGURIDAD FISICA Y DEL AMBIENTE

OBJETIVO

Este dominio consiste en prevenir el acceso no autorizado, daño e interferencia a las instalaciones de la institución y a lainformación.Los equipos de procesamiento de información crítica o sensible de la institución se deben mantener en áreas seguras,protegidos por un perímetro de seguridad definido, con barreras apropiadas de seguridad y controles de entrada. Éstosdeben estar físicamente protegidos del acceso no autorizado, daño e interferencia.

DOMINIO 10: GESTION DE COMUNICACIONES Y OPERACIONES

OBJETIVOS

• Documentar las operaciones (Procedimientos Documentados)• Gestionar los servicios provistos por terceros.• Minimizar los riesgos de fallas e integridad de los sistemas.• Garantizar la integridad y disponibilidad de la información (respaldos)• Proteger la información en redes y la infraestructura de soporte.• Proteger los intercambios de información y software.

DOMINIO 11: CONTROL DE ACCESO

OBJETIVOS

• Gestión de los accesos de los usuarios.• Responsabilidades del usuario.• Control de acceso a la red.• Control de acceso al sistema operativo.• Control de acceso a las aplicaciones y a la información.

DOMINIO 12: ADQUISICION, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS

OBJETIVOS

• Requisitos de seguridad para los sistemas de información.• Procesamiento correcto de las aplicaciones (pérdida, modificación o mal uso de la información).• Seguridad en los procesos de desarrollo y soporte.

Requisitos de

seguridad

Procesamiento

correcto de las

aplicaciones

Seguridad en los

procesos de

desarrollo

DESARROLLO

DE SISTEMAS

DOMINIO 13: GESTION DE INCIDENTES DE LA SEGURIDAD DE INFORMACION

OBJETIVO

Asegurar que las debilidades y eventos de seguridad sean comunicados y gestionados.

DOMINIO 14: GESTION DE LA CONTINUIDAD DEL NEGOCIO

OBJETIVOS

Contrarrestar interrupciones a las actividades del negocio y proteger los procesos críticos del negocio contra los efectosde fallas importantes en los sistemas de información o contra desastres, y asegurar su restauración oportuna.

DOMINIO 15: CUMPLIMIENTO

OBJETIVOS

• Asegurar que los sistemas cumplen con las normas y políticas de seguridad de la organización.• Evitar los incumplimientos de cualquier ley, estatuto, regulación, u obligación contractual, y de cualquier requisito de

seguridad.

Cumplir normas y políticas de seguridad.

Evitar incumplimientos de leyes,

estatutos, etc..

26

BUENAS PRACTICAS EN AL IMPLEMENTACION DE UN SISTEMA DE SEGURIDAD DE LA INFORMACION

1. Conformar el Comité de Seguridad de la Información (obtener el

compromiso de la Dirección).

2. Nombrar al Encargado de Seguridad de la Información.

3. Establecer la Política General de Seguridad.

4. Definir el alcance del Sistema (procesos de generación de productos

y servicios).

5. Identificar los activos de información.

6. Levantar los riesgos asociados a los activos.

7. Implementar los procesos para mitigar los riesgos (Políticas,

procedimientos, instructivos).

27

Link Minsal: http://web.minsal.cl/seguridad_de_la_informacion

Dipres:http://www.dipres.gob.cl/594/w3-propertyvalue-16887.html

Sistema de Seguridad de la Información (SSI),Documentación de Seguridad

28

Sistema de Seguridad de la Información (SSI),

Rodrigo Vidal Arteaga rodrigo.vidal@minsal.cl teléfono 2 57 40049

José Villa Catalán jose.villa@minsal.cl teléfono 2 57 40020