Diseño e implantación de un cuerpo normativo de
Seguridad de la Información
Juan Fco. Cornago BaratechCoordinador Técnico Consultoría Estratégica. CISA
Madrid a 1 de Octubre de 2008
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrónAgenda
• Quién es SIA
• Antecedentes
• Definición y Objetivos de un Marco Normativo
• Nuestro modelo
• Aspectos Clave
• Integración con el futuro
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrónSIA en el mercado de la Seguridad de la Información
• Compañía española fundada en 1989.
• +10 años de experiencia en Seguridad de la Información. Certificación UNE 71502 por AENOR (ISO 27001).
• +45 consultores especialistas en Seguridad de la Información, formados en las mejores prácticas en seguridad y con certificaciones reconocidas:
– CISA, CISSP, CISM, CEH, ITIL, PRINCE2, AUDITORES SGSI.
– Tiger Team de reconocido prestigio (514.es).
• Resultados con enfoque pragmático gracias al complemento de la experiencia de SIA en la puesta en marcha de infraestructuras de seguridad.
• Cultura corporativa basada en la especialización y en la orientación al cliente.
SIA es una referencia de primer orden a nivel nacional en trabajos relacionados con la seguridad de la información, líder en el número de consultorías, proyectos y servicios de seguridad realizados
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrónAgenda
• Quién es SIA
• Antecedentes
• Definición y Objetivos de un Marco Normativo
• Nuestro modelo
• Aspectos Clave
• Integración con el futuro
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrónPlanteamiento de necesidades
• ¿Sabemos cómo estamos?.
• ¿Qué riesgos tenemos?.
• ¿Cómo priorizamos las acciones de mejora?.
• ¿Sabemos medir el estado de la seguridad?.
• ¿Cómo rentabilizo mis inversiones?.
• ¿Cómo defino mi(s) política(s)?.
• ¿Quién es responsable de qué?.
• ¿Está alineada la estrategia de seguridad con los objetivos del negocio?.
• ¿Cómo defino el ROI?.
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrónQué entendemos por Seguridad
Garantizar de la información
Evitar suDESTRUCCIÓNMODIFICACIÓNREVELACIÓN
PrevenciónDetecciónRecuperación
Reducir PÉRDIDARIESGO DE PÉRDIDA
AUTENTICIDADCONFIDENCIALIDAD
INTEGRIDADDISPONIBILIDADAUDITABILIDAD
Basada en los criterios del Estándar Internacional ISO/IEC 27002:2005
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrón¿Dónde tener en cuenta la seguridad?
Dominio de clientes
Internet
Backend/CPD
RTBExtranet
Líneas dedicadas
Usuarios
Administradores
WWW
Directivos
Pasarela SMTP
BBDD
File & Print
Servidor de aplicacionesOtros servidores
Autenticación
En todas partes......
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrón¿Qué necesitamos?..
Sistema de Gestión de la
Seguridad (SGSI)(SGSI)
• Diagnóstico de seguridad.• Análisis y gestión de riesgos.• Plan Integral de Seguridad.• Plan Estratégico de Seguridad.• Plan de Seguridad.• Plan Director de Seguridad.• ......
En definitiva...
1. Un sistema basado en normativas y estándares reconocidos...2. ...que sea aplicable, “mantenible” y evaluable en la operación del día a
día...3. ...y que permita obtener la Certificación.
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrón¿Cómo desarrollo el Marco Normativo?
Objetivos deNegocioPolítica de Seguridad
CON LA AYUDADE SIA
ISO 27002
s
s
Inventario de Activ
Normas yProcedimientos
ModeloSGSI
UNE-ISO/IEC 27001Métrica
Mejora Continuaos
Controle
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrónAgenda
• Quién es SIA
• Antecedentes
• Definición y Objetivos de un Marco Normativo
• Nuestro modelo
• Aspectos Clave
• Integración con el futuro
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrónDefinición de un SGSI. Establecimiento del Marco Normativo
• Un Marco normativo de la Seguridad de la Información comprende:– La política de Seguridad– La estructura organizativa– Los procedimientos– Los procesos– Los recursos necesarios– Los Planes de Formación
• Alinea la Seguridad de la Información, con los Planes Estratégicos de la Organización.
• Es la herramienta que dispone la Dirección para implantar las políticas y objetivos de Seguridad de la Información.
• Establece el ciclo de mejora continua de la Gestión de la Seguridad de la Información.
• Adecua a las necesidades y requerimientos legales y establece los procedimientos para su continua actualización.
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrónVentajas y objetivos del SGSI
• Establecimiento de una metodologmetodologíía a de seguridad clara y estructurada.
•• ReducciReduccióón de los riesgosn de los riesgos y reacción temprana ante ataques.
•• AutomatizaciAutomatizacióónn de actividades de SI (Workflows, procedimientos).
• Incremento de la concienciaciconcienciacióónn respecto a la seguridad de la Información.
• La seguridad de la información queda alineada con la estrategia de la estrategia de la organizaciorganizacióónn y con normas y buenas prácticas reconocidas.
• Garantiza el valor avalor aññadidoadido de las actividades de seguridad así como de la inversión realizada (ROI).
• Conformidad con los requisitos legalesrequisitos legales.
• Reconocimiento y mejora de la imagen corporativa (Aumento de Aumento de ConfianzaConfianza).
• Mejora de la gestión de la continuidad del negociocontinuidad del negocio.
• Incorpora actividades para la mejora continuamejora continua (procesos y actividades de revisión, auditorias, etc).
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrónAgenda
• Quién es SIA
• Antecedentes
• Definición y Objetivos de un Marco Normativo
• Nuestro modelo
• Aspectos Clave
• Integración con el futuro
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrónModelo PDCA de un SGSI. Motor del Marco Normativo
Fuente: ISO 9001UNE 71502
UNE-ISO/IEC 17799:2002
PLANPlanificacióny Diseño
DO
Operación y ejecución
CHECKRevisión
y Auditoría
ACT
Mejoracontinua
ÁREAS INVOLUCRADAS
Requerimientosde Seguridad dela Información
ÁREAS INVOLUCRADAS
Gestión de laSeguridad dela Información
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrónInteracción ISO 27001 vs ISO 27002
ISO/IEC 27002:2005
Política de Seguridad.Aspectos Organización para la Seguridad.Clasificación y control de activos.Seguridad ligada al personal.Seguridad física y del entorno.Gestión de Comunicaciones y Operaciones.Control de Accesos.Desarrollo y Mantenimiento de sistemas.Gestión de Incidencias de SeguridadGestión de Continuidad del negocio.Conformidad.
11 secciones36 Objetivos de Seguridad
133 ControlesModelo de
GestiónSGSI
UNE-ISO/IEC 27001:2007
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrónMETODOLOGÍA
GestiónImpl.Análisis y Definición
Adoptar accionesCorrectivas
Adoptar accionespreventivas
MARCONORMATIVO
PLAN DE PROYECTOS
FORMACIÓNY
DIVULGACIÓN
IMPLANTACIÓN
ORGANIZACIÓNDE SEGURIDAD
Planificación deEntrevistas
DefiniciónDe
Hitos
Definir alcance
Divulgación yPetición
InformaciónAUDITORIAS
CUADRO DE MANDO
REVISIONES
REGISTROS
INVENTARIOIdentificación y Valoración de
Activos
Conocimientodel Entorno y Análisis Info.
Entrevistas
CONTRASTECumplimiento UNE/ISO 17799
ANÁLISISDE RIESGOS
Identificar Amenazas y
Vulnerabilidades
Recomendación y Selección de
Controles
PLAN
ModeloPDCA DO
CHECK
ACT
UNE-ISO/IEC 27001
GestiónPlanArranque Identificación Diagnóstico Implantación
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrónAgenda
• Quién es SIA
• Antecedentes
• Definición y Objetivos de un Marco Normativo
• Nuestro modelo
• Aspectos Clave
• Integración con el futuro
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrónAspectos clave para implantar un Marco Normativo
• Compromiso y apoyo de la dirección de la Organización.
• Compromiso del usuario y formación.
• Compromiso de mejora continua.
• Establecimiento de políticas y normas.
• Organización y comunicaciones.
• Integración del Marco Normativo en la Organización.
Política de Seguridad
5Política de seguridad
6Organización de la Seguridad de la Información
1Alcance y diseño del Proyecto
8Seguridad
relacionada con los recursos
humanos
7Gestión de
activos
9Seguridad física
y del entorno
7.1Inventario
Activos
6.2Contratació
n de Acceso de Terceros
6.1Modelo
Organizativo
5.3Índice Marco
Normativo
5.2Control y Gestión
Documental
5.1Definición
SGSI1.1
Organigrama
1.3Actas
reunión
7.2 Clasificació
n y Tratamiento Información
8.2Plan
Concienciación
9.2Protección del Medio
Físico
9.3Control de
Acceso Físico
8.1Contratació
n de personal
7.2.1Tratamiento
Técnico de la Información
9.2.4Protección
de Sistemas de Terceros
8.2.2Presentación
plan de concienciación
Directivos
9.2.3Protección
de Sistemas Críticos y
CPDs
8.2.1Presentación
Plan de concienciación
Usuarios
9.2.2Protección de Sistemas de
Usuario
9.2.1Instalación de Equipos de Usuario
8.2.3Carteles y material de
concienciación
7.2.0.1Revisión Periódica
Clasificación Activos
1.2AARR
1.2.4Selección Objetivos Control
6.2.1Identificación Riesgo por
Acceso Terceros
1.2.0.0.2Gráficos
auxiliares del AARR 1.3.0.0.1
Guiones de Entrevistas y Check-List
1.3.0.0.2Planificación
deEntrevistas 1.3.0.0.3
Plantilla Actas de Reunión
5.0.0.1Revisión Periódica Política
Seguridad
1.0.1Presentación de Arranque del Proyecto
1.2.3Diagrama del
Proceso Seleccionado
8.2.0.0.1 Planning
Plan Concienciaci
ón
8.3Funciones Obligaciones Personal
9.2.5Protección
de Sistemas Móviles y Remotos
7.2.0.0.1Plantilla
Cuadro de Mando de
Clasificación
8.4Plan de
Formación
Consultoría
QMI
Explotación
Legal
RRHH
8.3Funciones Obligaciones Personal
1.2.0.0.1Cuadro de Mandos
1.2.0.1Revisión del Análisis de
Riesgos
1.2.2AARR
Intrínseco Proceso
1.2.1Plan de Acción
1 Pendiente 4 Revisado
3 Pendiente Revisión5 Modificándose2 Iniciado6 Pendiente Aprobación7 Aprobado
3
7
7
77
7
77
7
7 7
7
7
7
7
7
7
7
7
7
7
7
7
7
7
7
7
7
7
7
3 3
3
3
3 3 31
1
1
1 1
1
1
5
7
33
10Gestión de
comunicaciones y operaciones
13Gestión de incidentes
12Adquisición, desarrollo y
mantenimiento de sistemas
11Control de
acceso
Política de Seguridad
11.2 Admon.. SS.OO.
POS
10.6Copias
Respaldo y Recuperación
10.4Operación Mantenimiento
Seguro
10.2Control de Software
11.1Seguridad en Redes y Comunic.
11.3Gestión de Usuarios
12.2Especifi.
Requerimientos seguridad
12.1Análisis de software de
terceros
13.1Gestión de Incidencias Seguridad
10.6.2Backup y restore de
servidores en producción
10.4.2Pase a
Producción Aplicaciones
11.1.1.1Revisión
de Logs
10.2.1Instalación,
Implantacióny Distribución de Software
11.1.1Gestión de Firewalls
11.3.1Administración de cuentas de usuario
11.3.2Gestión de Accesos
13.1.0.0.1Plantilla
Informes de Incidencias
10.6.1.1Revisión
de Logs
10.4.2.1Revisión
de Logs
10.1Procedimie
nto Recuperación Fallos
10.2.2Protección
contra Software malicioso
10.2.3Gestión de Licencias
11.5Gestión Accesos Remotos
10.2.2.1 Gestión de Antivirus
10.2.2.2Gestión de
IDS
10.7Cifrado de la Información
10.2.2.3 Servidores Públicos
13.1.1Gestión de Incidencias
Lógicas
13.1.2Gestión de Incidencias
Físicas
8.3Funciones Obligaciones
Personal
11.5.1Gestión de Accesos
Remotos Internos
11.5.2 Gestión de Accesos Remotos Redes de Clientes
7 77 7
7
7
1
1 1
1
11
1 11
1 1 1
1
1
1
1
11
2 1
7
3 3
3
3
3
3 3
3
3
10.4.3.Planes de
Implantación Servidores
3
10.4.4Gestión de cambios
3
10.4.1Gestión de laCapacidad y Rendimiento del Sistema
3
10.3.2Distribución de Soportes
1
10.3.1Baja de
Soportes
1
10.3Gestión de Soportes
110.5
Seguridad del Correo Electrónico
3
10.5.1Seguridad del Correo Electrónico
7
10.6.1Copias de Respaldo,
Recuperación y pruebas
3
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrónFactores de Éxito
• La concienciaciconcienciacióónn del empleado por la seguridad. Principal objetivo a conseguir.
• Realización de comités de dirección con descubrimiento continuo de “No No conformidadesconformidades” o acciones de mejora.
• Creación de un sistema de gestisistema de gestióón de incidenciasn de incidencias que recoja notificaciones continuas por parte de los usuarios (Los incidentes de seguridad deben se reportados y analizados).
• La seguridad absolutaseguridad absoluta NO existe, se trata de reducir el riesgo a niveles aceptables.
• La seguridadseguridad no es un proyecto, es una actividad continuaactividad continua y el programa de protección requiere el soporte de la Organización para tener éxito.
• La SeguridadSeguridad debe ser inherenteinherente a los procesos de Informática y del negocionegocio.
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrónRiesgos
• Exceso de tiempos de Implantación (Costos).
• Temor ante el cambio (Resistencia).
• Discrepancias en los comités de dirección.
• Planes de formación inadecuados.
• Calendario de revisiones que no se puedan cumplir.
• Definición poco clara del alcance.
• Exceso de medidas técnicas vs formación y concienciación.
• Falta de comunicación de los progresos al personal de la organización.
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrónAgenda
• Quién es SIA
• Antecedentes
• Definición y Objetivos de un Marco Normativo
• Nuestro modelo
• Aspectos Clave
• Integración con el futuro
Definición e implantación de un Marco Normativo de Seguridad de la Información
Madrid. Octubre de 2008
Haga clic para modificar el estilo de título del patrón¿Y para el futuro?...
“La Seguridad de los SI es un proceso. No es un producto”
GRACIAS
Juan Fco. Cornago BaratechCoordinador Técnico Consultoría Estratégica. CISA