gestión de la seguridad de la información con iso27002

N

o

Organizaciones invitadas: Con la colaboración de:

1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing

#EXINWebinarsEnCastellano

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CON

LA ISO27002

16/11/2012

Con la colaboración de ...

0051 6373513 | 0051 6373514

[email protected]

Calle José Chariarse Nro. 880, Oficina 302

Miraflores, Lima - Perú

JuanMa Espinoza

• Profesional Reconocido a nivel internacional de la Gestión de Servicios y Proyectos IT.

• Dispone de los certificados oficiales como: Auditor ISO27001 e ISO20000, ISO27002, ITIL v2 y v3, Cobit v4.1, Prince2, MOF, Cloud Computing e ITIL Practitioner para Strategy, Design and Operations; es entrenador acreditado y reconocido internacionalmente para ITIL, ISO20K y Cloud Computing (entre otras certificaciones); y PMI Member ID No.:1219853.

• Vicepresidente y Director de Relaciones Internacionales del itSMF Perú. • Coordinador para Perú en la iniciativa europea IBERCLOUD. • Cocoordinador del GT "Cloud Computing y su impacto en los procesos ITSM"

del itSMF España. • Recientemente ha recibido el reconocimiento internacional de EXIN, por ser

el Primer Accredited Trainer de Latinoamérica en EXIN Cloud Computing, así como por ser el Primer Profesional Certificado de todo Latinoamérica.

3

INFORMATION SECURITY FOUNDATION

BASED ON ISO/IEC 27002

LA INFORMACION Y SU TRATAMIENTO

• ISO: International Organization for Standardization

• IEC: International Electro-technical Commission

• ISO/IEC 27002:2005 Information Technology — Security Techniques — (Código de

Prácticas para la Gestión de la Seguridad de la Información (anteriormente conocida como

la ISO/IEC 17799)

• Apartados:

¿QUÉ ES ISO/IEC 27002?

0. Introducción

1. Alcance

2. Términos y Definiciones

3. Estructura de la Norma

4. Evaluación del Riesgo

5. Política de la Seguridad

6. Organización de Seguridad de la

Información

7. Gestión de Activos

8. Seguridad de los Recursos Humanos

9. Seguridad Ambiental y Física

10. Gestión de Operaciones y

Comunicaciones

11. Control de Acceso

12. Adquisición de Sistemas de

Información, Mantenimiento y

Desarrollo

13. Gestión de Incidencias de Seguridad

de la Información

14. Gestión de la Continuidad del

Negocio

15. Conformidad

4

• Los datos pueden ser procesados por la Tecnología de la Información, pero estos se

convierten en Información solo cuando adquieren un significado determinado.

• La infomación puede extraer el texto pero también la palabra pronunciada y las

imágenes de video.

• Ejemplos de Medios de Almacenamiento

– Hoja

– Microficha

– Magnetico – Ejemplo: Cintas

– Óptica – Ejemplo: CD’s

DATOS E INFORMACIÓN

BEST

PRACTICE

according to Foundations of

Information Security

Data: 02-04-09

Information: 02-04-09

mm-dd-yy

5

Datos

Contexto

Comprensión

Sabiduría

¿Por qué?

Conocimiento

¿Como?

Información

¿Quién, Qué,

Cuando, Donde?)

DIKW: Data, Information, Knowledge, Wisdom

BEST

PRACTICE

according to

ITIL® Version 3

6

• La información es la comprensión de la relación entre las piezas de los datos

• La información responde 4 preguntas:

– Quién?

– Qué?

– Cuando?

– Donde?

Datos e Información BEST

PRACTICE according to

ITIL® Version 3

7

La conservación de la Confidencialidad, Disponibilidad e

Integración de la información; adicionalmente, otras

propiedades, como la autenticidad, el rendir cuentas, NON-

REPUDIATION, y la fiabilidad también pueden estar

involucrados.

¿Qué es la Seguridad de la Información?

Note: Repudiation is another word for negation, disclaimer

8

La seguridad de la Información consiste en la definición, implementación,

mantenimiento y evaluación de un sistema métrico coherente que asegure

la disponibilidad, confidencialidad e integridad de la información brindada

(computarizada y manual).

¿Qué es la Seguridad de la Información?

BEST

PRACTICE according to Foundations of


9

• Implica el uso de la tecnología para el

almacenamiento, comunicación y

procesamiento de la información

• Normalmente, la tecnología incluye

computadoras, telecomunicaciones,

aplicaciones y otros software.

• La información puede incluir datos

empresariales, de voz, imágenes, videos, etc.

• La Tecnología de la Información es usada

para apoyar los Procesos Empresariales a

través de Servicios IT.

Sistema y Tecnología de la Información

BEST

PRACTICE

according to Foundations of Information Security and

ITIL® Version 3

• El procesamiento y transferencia de la

información se dá a través del Sistema de

Información

• Todo sistema que tenga el propósito de

transferir información es un Sistema de

Información

• Ejemplos de Sistemas de Información son:

los archivos guardados en carpetas,

teléfonos e impresoras

• Dentro del contexto de Seguridad de la

Información, el Sistema de Información es la

combinación de medios, procedimientos,

normas y personas que aseguran la

transferencia de información en un proceso

operativo

Information System Information Technology

10

EL VALOR DE LA INFORMACIÓN ES DETERMINADA A TRAVÉS DEL

VALOR QUE EL RECEPTOR OTORGA A LA MISMA

• 6.2.1: Para la identificación de riesgos relacionados al acceso externo se

debe tener en cuenta: la sensibilidad y el valor de la información en juego ya

que es crítica para las operaciones del negocio

• 7.2.1: La información debe ser clasificada de acuerdo al valor que posee ya

sean requisitos legales, sensibilidad, o de importancia para la empresa

• 12.1.1: Los controles y requisitos de Seguridad deben reflejar el valor

empresarial de la información implicada. Asi como el daño potencial comercial

que podría resultar de un fallo o ausencia de seguridad

Valor de la Información BEST

PRACTICE



11

• Los factores comunes de producción de una compañia u organización son:

–Capital

–Materia prima y Trabajo

• En la Tecnología de la Información, también es común considerar la información

como un factor de producción

–Sin información no existen los negocios

–Aquel almacén que pierde información bursátil y clientes no es capaz de realizar

operaciones

–Inclusive, aquellos negocios como las oficinas de contadores, bancos y/o

compañías de seguro ofrecen Información como su único Producto/Servicio

La Información como Factor de Producción

BEST

PRACTICE



12

La Seguridad de la Información otorga al Proceso de Negocio

seguridad aplicando los Controles de Seguridad en todas las áreas de

IT y a través de la gestión de Riesgo IT en línea con el Proceso de

Gestión de Riesgo Corporativo y Comercial; y Directrices.

El Valor del Negocio

BEST

PRACTICE

according to

ITIL® Version 3

13

La fiabilidad de la información consta de 3 aspectos:

– Confidentiality (Confidencialidad)

– Integrity (Integridad)

– Availability (Disponibilidad)

Fiabilidad de la Información

BEST

PRACTICE



14

La confidencialidad es el grado en el cual el acceso a la información es restringida y

solo un grupo determinado tiene autorización para acceder a ella. Asimismo, esto

incluye medidas que protegen su privacidad.

Confidencialidad

BEST

PRACTICE



15

• La integridad es el grado en el que la información se encuentra sin

errores y actualizada

• Las características son:

– La exactitud de la información

– La integridad de la información

Integridad

BEST

PRACTICE



16

• El grado de disponibilidad es cuando la información se encuentra disponible

tanto para el usuario como para el Sistema de Información. Este se

encuentra operativo en el momento que la organización lo requiera

• Las características de Disponibilidad son :

Línea del tiempo: El Sistema de Información se encuentra disponible

cuando sea necesario.

Continuidad: El personal es capaz de continuar trabajando, en el caso

que ocurra algún fallo.

Fuerza : Hay suficiente capacidad la cual permita que todos trabajen al

mismo tiempo en el sistema.

Disponibilidad BEST

PRACTICE



17

• La Seguridad de la Información casi se podría relacionar con la Arquitectura de la

Información

• La arquitectura de información es el proceso que se centra en poner a disposición

la información dentro de una organización

• La Seguridad de la Información puede ayudar a garantizar el suministro de

información requerida realizada en la Aquitectura de Información

• La Arquitectura Informática se centra principalmente en la Organización de la

Información. De acuerdo a la necesidad y la manera en la que ésta se lleve a

cabo. La Seguridad Informática apoya el proceso mediante la función de

garantizar la Confidencialidad, Integridad y Disponibilidad de la INFORMACIÓN

Arquitectura de la Información

BEST

PRACTICE



18

• Un proceso operativo es aquel que se ubica en el núcleo del negocio

• En el Proceso Operativo, el personal desarrolla un servicio o producto para el cliente.

• El Proceso Operativo se compone principalmente de Actividades de entrada y salida

• Existen diferentes tipos de Procesos Operativos

Proceso Primario

• E.g. Administración del capital

– Proceso Guía

• E.g. Planeación de estrategia de la compañia

– Proceso de apoyo

• E.g. Compras, ventas o recursos humanos

Información y Proceso Operativo

BEST

PRACTICE



19

• El analisis de Información brinda una imagen más clara de cómo la compañia maneja la

información – cómo es que la información “fluye” a través de la misma. Por ejemplo:

– Un huésped se registra en un hotel a través del sitio web

– Esta información es enviada directamente al departamento de

administración, el cual se encarga de asignarle una habitación.

– El área de recepción tiene presente que el huésped llegará el día de hoy

– El área de servicio tiene conocimiento de que la habitación debe estar lista

y limpia para la llegada del huésped

• Durante este proceso es importante que la información sea completamente fiable

• Los resultados del Análisis de Información pueden ser utilizados para el diseño de un

Sistema Informático

Análisis de la información

BEST

PRACTICE



20

• La Gestión de la Información dirige y define la Política relacionada al suministro de

información de una organización.

• Dentro de este sistema, un administrador de información puede hacer uso de la

Arquitectura de la Información y un Análisis de la Información.

• La Gestión de la información implica mucho más que un proceso de información

automatizado, el cual es llevado a cabo por una organización.

• En muchos casos, la comunicación interna y externa forman parte de la estrategia

de Gestión de la información.

Gestión de la Información BEST

PRACTICE



21

• Los términos de la infomática se relacionan con uso lógico de la estructura

para el desarrollo de los sistemas y la información

• Por otro lado, es importante comprender que la informática puede ser

utilizada para el desarrollo de programas

Informática BEST

PRACTICE



22

23

RIESGOS Y AMENAZAS



La causa potencial de un incidente no deseado, el cual

podría dañar a la Organización o el Sistema

¿Qué es una amenaza?

24

• Durante el proceso de Seguridad de la Información, los efectos no deseados

(amenazas) se tratan de solucionar lo mejor posible

• Para evitar este tipo de efectos se determinan estrategias dentro de la

Seguridad de la Información

• La Seguridad de la Información determina las Medidas de Seguridad que

deben emplearse para evitar estos efectos.

Métricas de Seguridad y Amenazas

BEST

PRACTICE



25

Riesgo:

La combinación de probabilidad entre un acontecimiento y la

consecuencia del mismo

Riesgos BEST

PRACTICE



Riesgo

• Posible daño o perdida de la información

• El riesgo se determina por el número de factores. Estos son la amenaza o

la posibilidad de que una amenaza se intesifique y por consiguiente las

consecuencias

26

Análisis del Riesgo

• La metodología nos ayuda a tener una idea de aquello que nos afecta y de lo

que nos estamos protegiendo.

• Existen diversas maneras de Analizar el Riesgo

• Un análisis de riesgo se utiliza para describir los riesgos a los que se enfrenta

la empresa

Análisis del Riesgo BEST

PRACTICE



Utilización sistemática de la información para identificar las fuentes y la

estimación del riesgo

27

Riesgos

Amenazas Vulnerabilidades

Contramedidas

Bienes

Análisis

del Riesgo

Gestión del

Riesgo

Análisis del Riesgo, Riesgos y Amenazas BEST

PRACTICE

according to

ITIL ® Version 2, 3 and CRAMM

Cuando una amenaza se materializa, nace un riesgo para la organización.

Asimismo, tanto la evaluación de la gestión y la magnitud del riesgo

determinan si las medidas se deben ejecutar con la finalidad de minimizar el

riesgo y lo que pueda suceder. 28

• La evaluación de riesgos deberá incluir el enfoque sistemático para estimar la

magnitud de los mismos (Análisis del Riesgo) y el proceso de comparar los

riesgos estimados contra los criterios de riesgo; y así determinar la

importancia de estos (Evaluación de los Riesgo).

• La Evaluación de los Riesgos es la suma total de …

– Valoración y Evaluación de los Bienes

– Valoración y Evaluación de las Amenazas

– Evaluación de la vulnerabilidad

Evaluación del Riesgo BEST

PRACTICE

according to

ITIL ® Version 2, 3 and CRAMM

29

Incidencia

• La amenaza logra manifestarse

Ejemplo:

– Cuando un hacker realiza operaciones necesarias para tener acceso a la

red de la empresa

Desastre

• Sucede un gran incidente que atenta con la continuidad de la empresa

Ejemplo:

– Un corte de energía , causada por un helicóptero que dañó algún cable de

alta tensión

Desastres e Incidencias

BEST

PRACTICE



30

Gestión del Riesgo:

Proceso desde

Hacia

Hasta

• Herramienta que clarifica la visión sobre cuales son las amenazas más relevantes

en el Proceso Operativo e identificar los riesgos asociados. Inclusive, el nivel de

seguridad apropiado podría ser determinando junto con las Medidas de Seguridad

correspondientes.

Gestión del Riesgo BEST

PRACTICE



Amenazas

Riesgo

Métricas de Seguridad

31

Objetivos

1.Identificar el valor y los bienes

2.Determinar amenzas y la vulnerabilidad

3.Para determinar el Riesgo de que las amenazas podrían convertirse en

realidad e interrumpan el Proceso Operativo

4.Determina el balance entre los costos de enfrentar algún tipo de Incidencia y

de las Métricas de Seguridad

Análisis del Riesgo BEST

PRACTICE



Métricas de Seguridad son

muy estrictas

Métricas de Seguridad no

son efectivas

Las Métricas de Seguridad son

rentables, efectivas y

OPORTUNAS

32

Análisis de Costos/Beneficios

• Pertenece al Proceso de Análisis del Riesgo

• Pregunta:

– Un servicio cuesta $100,000)

– Las Métricas de Seguridad para este servicio cuesta $150,000

– Conclusión: Las Métricas de Seguridad son realmente caras …

– es una correcta o incorrecta conclusión?

Análisis de Costos/Beneficios BEST

PRACTICE



33

Análisis Cuantitativo del Riesgo

• El objetivo es calcular el Valor del Riesgo basado en el nivel de las pérdidas

económicas y la probabilidad de que una amenaza se convierta en un incidente

• El Valor de cada elemento es determinado durante todo el Proceso Operativo

• Estos valores se pueden componer de los costos de las Métricas de Seguridad, así

como del valor de la propiedad en sí, incluyendo el impacto en edificios, hardware,

software, información y en los negocios

• El tiempo se extiende antes de que una amenaza aparezca , la eficacia de las

Métricas de Seguridad y el Riesgo de que existe algún tipo de Vulnerabilidad;

también son elementos que deben considerarse

• Un análisis de riesgos puramente cuantitativa es prácticamente imposible

Tipos de Análisis de Riesgo BEST

PRACTICE



34

Análisis Cualitativo del Riesgo

• Basado en situaciones y escenarios

• Las posibilidades de que una amenaza se desarrolle son examinadas bajo una

percepción personal

• El análisis examina el Proceso Operativo, el cual se relaciona con la amenaza y

las Métricas de Seguridad que se han tomado ante la situación

• Todo esto conduce a una visión subjetiva de las posibles amenazas

• Posteriormente , las Métricas son tomadas para lograr minizar el Riesgo

• El mejor resultado se consigue a través del análisis en una sesión de grupo, ya

que se intercambiarían ideas entre el personal. Evitando considerar el punto

de vista de una sola persona o departamento que logre dominar dicho análisis

Tipos de Análisis de Riesgo BEST

PRACTICE



35

Amenazas Humanas

– Intencionales

• Piratería , Dañar la propiedad de la compañía, destruir e-mails después de

haber sido despedido sin razón e intencionalmente confirmar la acción de

eliminar con un “OK”

– Ingeniería Social

• Engañar a la gente voluntariamente ofreciéndoles información confidencial: el

phishing

Amenazas NO humanas

– Tormentas

– Incendios

– Inundaciones

– Huracanes

– Tornados

– Etc.

Tipos de Amenazas BEST

PRACTICE



36

Daño Directo

– Robo

Daño Indirecto

– Una pérdida en consecuencia a algo que ocurrió.

• E.g.: Si hay una inundación en el centro de datos, esto evitará que el

Servicio de IT proporcione ayuda; ocasionando pérdidas en el negocio.

Expectativas de Pérdida Anual (ALE)

– La amplitud del daño - expresado en términos monetarios - puede ser el

resultado de un incidente en un año

• E.g.: Un promedio de 10 computadoras portátiles son robados cada año

de alguna empresa.

Expectativa de Pérdida Simple

– El daño causado por un único (one-off) Incidente

Tipos de Daño

BEST

PRACTICE



37

Amortigüando el Riesgo

• Algunos riesgos son aceptados

• Métricas de Seguridad muy costosas

• Métricas de Seguridad superan los posibles daños

• Métricas de Seguridad que se toman son por naturaleza represivas

Riesgo Neutral

• Los resultados de las Métricas de Seguridad son aceptadas

• La amenaza ya no se produce

• El daño se reduce al mínimo

• Métricas de Seguridad adoptadas son una combinación de Prevención, Detección y

Represión

Evitando el Riesgo

•Las Métricas de Seguridad adoptadas son tales que la amenaza se neutraliza hasta el

punto en que evita que se convierta en un incidente.

•Por ejemplo: La instalación de un nuevo software logra que los errores en el software

antigüo dejen de ser una amenaza.

Tipos de Estrategias del Riesgo BEST



38

Posibles soluciones incluídas dentro del tratamiento de Riesgo:

a)Aplicando las reglas apropiadas para la reducción del Riesgo

b)Aceptando de manera objetiva y a sabiendas el Riesgo, otorgando así una

clara satisfacción

c)Política de Organización y criterios de aceptación del Riesgo

d)Evitando que el riesgo se desarrolle y pueda provocar algún daño

e)Transfiriendo a terceros Riesgos asociados, por ejemplo, aseguradores y/o

proveedores.

Soluciones de los Riesgos de la Seguridad

39

40

LEGISLACIÓN Y REGLAMENTOS



Objetivo

• Evitar el incumplimiento de cualquier ley, estatuto, las obligaciones

reglamentarias o contractuales, y sobre los requisitos de seguridad.

Conformidad

El diseño, operación, uso y gestión de la información de sistemas puede estar

sujeto a la seguridad legal, reglamentaria, y requerimientos contractuales.

Asesoramiento sobre requisitos legales específicos se debería pedir a los

asesores legales de la organización, o profesionales de la justicia debidamente

calificados. Los requisitos legales varían de un país a otro y pueden variar la

información creada en un país que se transmite a otro país (es decir, el flujo

transfronterizo de datos).

41

• Cumplimiento de Requisitos Legales

– Identificación de la legislación aplicable

– Derechos de propiedad intelectual

– Protección de los registros de la organización

– Protección de Datos y Privacidad de la Información Personal

–Prevención del uso indebido de las instalaciones de procesamiento de información

– Reglamento de los controles criptográficos

• Cumplimiento con las normas y estándares de seguridad y cumplimiento técnico

– Cumplimiento con las normas y estándares de seguridad

– Comprobación del cumplimiento técnico

• Información de sistema de Consideraciones de auditoría

– Información de Control de Sistemas de Auditoría

– Protección de las herramientas de auditoría de sistemas de información

Secciones de Cumplimiento

42

• Para observar las prescripciones legales

• Para observar el cumplimiento

• Para abarcar los derechos de propiedad intelectual

• Para proteger los documentos de los negocios

• Para proteger los datos y la confidencialidad de datos personales

ej: Ley de Protección de Datos de Carácter Personal: la protección de los datos

personales y la intimidad

• Para prevenir el abuso de las instalaciones de IT

• Para observar la política de seguridad y normas de seguridad

• Para supervisar las medidas de seguridad

• Para llevar a cabo auditorías de información del sistema

• Para proteger los medios utilizados para los sistemas de información de auditoría

BEST



¿Por qué la legislacion y reglamentos son importantes?

43

Ejemplos

• Legislación que implica la Privacidad, Impuestos y Finanzas y el Reglamento

para los bancos y las empresas (por ejemplo, Sarbanes Oxley)

• Legislaciones Locales, Estatales y Nacionales

• Política propia de una empresa respecto a la legislación interna.

• Legislación de un país extranjero cuando se hacen negocios internacionales.

• Legislación que implica Privacidad

BEST



Información de la legislación sobre seguridad

44

Con la colaboración de ...

0051 6373513 | 0051 6373514

[email protected]

Calle José Chariarse Nro. 880, Oficina 302

Miraflores, Lima - Perú

JuanMa Espinoza

¡Gracias por su atención!

N

o

Organizaciones invitadas: Con la colaboración de:

1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing

@EXIN_ES ( Hash Tag: #EXINWebinarsEnCastellano )

Obtén este y otros Webinars en nuestro canal Youtube Coporativo

http://www.youtube.com/user/ExinExams

gestión de la seguridad de la información con iso27002

Documents