normas iso 27001 iso 27032 gel y pci dss
TRANSCRIPT
IntroducciónalasNormasISO27001:2013,GEL,ISO27032:2012yPCIDSS
Agenda
Introducción
Gobiernoenlínea
Modelosdeseguridadymudurez
ElestándarISO27001
Conclusiones
Introducción
Cambios en la tecnología
Reducción presupuestos
Cooperación
Cumplimientos
Globalización
Innovación continua
Privacidad, seguridad y ética
Orientación a procesos
Protección propiedad intelectual
Gobierno
Entornoactual
Lainformación comoactivo
Es el conjunto de datos omensajes inteligiblescreados con un lenguaje derepresentación y quedebemos proteger ante lasamenazas del entorno,durante su transmisión oalmacenamiento, usandodiferentes tecnologíaslógicas, físicas oprocedimentales.
Tiposdeinformación
Impresos oescritos enpapel
Almacenadaelectrónicamente
EnvideosGrabacionesdesonido
Loquesehabla
Lainformación
LainformaciónesunactivoquecomocualquierotroactivoimportantedelaEntidadtienevalorporloquenecesitaserprotegido.
ElproblemaLas entidades a nivel nacional son cada vez másdependientes de la información, de las tecnologíasinformáticas, de las aplicaciones y de lascomunicaciones, por lo tanto, podemos afirmar, queson cada vez más vulnerables a las amenazas deseguridad de la información.
Ciberterrorismo
Algunascreenciasycomentarios
q Existe cierta mentalidad de que no hay nada importante porproteger en su computador personal
q Existe el concepto errado de que la tecnología por si misma puederesolver sus problemas de seguridad (firewalls, antivirus)
q Continuamente se generan nuevos métodos de “Ingeniería Social”que mediante engaños buscan obtener información confidencial
q La seguridad es un productoq La seguridad de la información sólo tiene que ver con los sistemasde información, computadores y redes.
q La seguridad de la información no se relaciona con la gestión deriesgos.
Requerimientos
Apoyodirectivo Recursoseconómicos Educación Rolesy
responsabilidades
Tiempoparaplanearyejecutar
Revisionescontinuas
Modelodeseguridad
Medicionesdelsistema
¿Necesitamospolíticas?
GEL
AntecedentesLa estrategia de Gobierno en Línea incorporó elcomponente de seguridad como elementotransversal, para que las entidades públicasimplementen un Sistema de Gestión de laSeguridad de la Información (SGSI) para lograr laconfidencialidad, la integridad y la disponibilidadde la información.
GELEstosignificaqueelGobierno:
◦ Prestarálosmejoresserviciosenlíneaalciudadano
◦ Lograrálaexcelenciaenlagestión◦ Empoderaráygeneraráconfianzaenlosciudadanos
◦ ImpulsaráyfacilitarálasaccionesrequeridasparaavanzarenlosObjetivosdeDesarrolloSostenible-ODS,facilitandoelgoceefectivodederechosatravésdelusodeTIC
Objetivos
Confidencialidad
Integridad
Disponibilidad
Agentesintervinientes
Personas
Procesos
Tecnologías
Información
CiclodelMSPI
Planificación
Implementación
Evaluación dedesempeño
MejoracontinuaDiagnóstico
Actividadesencadafase
1.Planear:1. Definicióndelalcancedelsistema
2. Metodologíadeevaluaciónderiesgos
3. Plandetratamientoderiesgos
4. Definicióndepolíticasdeseguridaddelainformación
2.Hacer:1. Implementacióndepolíticas,
controlesyprocedimientos
2. Asignaciónderecursos(personas,tiempo,dinero)
3. Programadesensibilización,educaciónyentrenamiento
4. Tratamientoderiesgo
3. Verificar:1. Mediciónderesultados
2. Análisisdetendencias
3. Auditoriainterna4. Revisióndelagerencia
4.Actuar:1. Accionespreventivasycorrectivas
(VeranexoA).
Planificación
Implementación
Evaluación de2desempeño
Mejora2continua
Modelo de seguridad y madurez
ProcesosPROCESO 1
Func
ión
4Fu
nció
n 3
Func
ión
2Fu
nció
n 1
Almacenar orden
Revisar inventario
PrepararDespacho Entrega
PrepararFactura
EnviarFactura
Archivar
`
`
ModelodeseguridadPrincipios
Políticas
Procedimientos
Estándares
Productos
Modelodemadurez
USCMarshalBusinesModelforInformationSecurity
3D…ModelodelaSeguridaddelaInformación
ISO 27001
ISO27001
!
Dominio&ISO&27001& Objetivo&de&control&
Política&de&seguridad.&& Objetivo&de&control&A.5&Organización&de&la&seguridad&de&la&información.&& Objetivo&de&control&A.6&Seguridad&de&los&RRHH.&& Objetivo&de&control&A.7&Gestión&de&activos.&&& Objetivo&de&control&A.8&Control&de&accesos.&& Objetivo&de&control&A.9&Criptografía.&& Objetivo&de&control&A.10&Seguridad&física&y&ambiental.&& Objetivo&de&control&A.11&Seguridad&en&las&operaciones.&& Objetivo&de&control&A.12&Seguridad&en&las&comunicaciones.&& Objetivo&de&control&A.13&Adquisición& de& sistemas,& desarrollo& y&mantenimiento.&&
Objetivo&de&control&A.14&
Relación&con&proveedores.&& Objetivo&de&control&A.15&Gestión&de&los&incidentes&de&seguridad.&& Objetivo&de&control&A.16&Continuidad&del&negocio.&& Objetivo&de&control&A.17&Cumplimiento& con& requerimientos& legales& y&contractuales.&&
Objetivo&de&control&A.18&
Dominios
0"
0,1"
0,2"
0,3"
0,4"
0,5"
0,6"
0,7"
0,8"
0,9"
1""A.5"
"A.6"
"A.7"
"A.8"
"A.9"
"A.10"
"A.11"
"A.12"
"A.13"
"A.14"
"A.15"
"A.16"
"A.17"
"A.18"
VALORACION"GAP
ISO 27032:2012
ISO27032:2012“preservation of confidentiality, integrity and availability of information inthe Cyberspace”. In turn “the Cyberspace” is defined as “the complexenvironment resulting from the interaction of people, software andservices on the Internet by means of technology devices and networksconnected to it, which does not exist in any physical form”.
Personas
Software
Servicios Dispositivos
Redes
Tecnología
ISO27032:2012
Seguridadenlasredes
SeguridadenInternet
Seguridaddela
información
Seguridaden
aplicaciones
ISO27032:2012La normativa ISO 27032 es un nuevo estándar de ciberseguridad publicada por ISO. La Norma ISO/IEC 27032:2012 "Tecnologías de la información -Técnicas de seguridad - Directrices para la Ciberseguridad" ofrece unas líneas generales para fortalecer la Ciberseguridad en una empresa, con base en:
1.La Seguridad en la Redes
2.Seguridad en Internet
3.Seguridad de la información
4.La Seguridad de las Aplicaciones
ISO27032:2012
Prevención Respuesta
Recuperación Protección
ISO27032:2012Prevención: La prevención se basa en la implantación de contramedidas y controles que limiten los impactos de eventos de ciberseguridadRespuesta y Comunicación: la comunicación al interior de la organización debe ir de la mano de una respuesta adecuada al incidente.Recuperación y Aprendizaje: Aprender del pasado es importante junto con la recuperación de los sistemas afectados.Protección y Detección: monitorización de eventos de seguridad con el fin de detectarlos a tiempo y protegernos de ellos.
Estructuradelanorma5.Overview6.Assets in the Cyberspace7.Threats against the security of the Cyberspace8.Roles of stakeholders in Cybersecurity9.Guidelines for stakeholders10.Cybersecurity controls11.Framework of information sharing and coordination
PCI DSS
¿QuéesPCIDSS?Origen
La norma PCI DSS (Payment Card Industry Data Security Standard) fue desarrollada por unconjunto de compañías de tarjetas de débito y crédito en el año 2006 entre las queestaban: America Express, Discover, JCB, Mastercard y VISA. De esta unión se creó elPayment Card Industry Security Standards Council (PCI-SSC), el cual es responsable de lacreación, desarrollo, y difusión de la norma PCI DSS.
Requisitos
PCI es una de las normas más exigentes a nivel mundial en lo relacionado con la protecciónde la información sensible debido al énfasis que pone en los requerimientos de tipotecnológicos y la rigurosidad que exige en el proceso de evaluación para otorgar lacertificación de cumplimiento. La evaluación, para obtener la certificación, exige que el100% de los requerimientos y sub-requerimientos estén implementados correctamente.Se logra así una mejora sustancial en la ciberseguridad y la protección de la información.
1. Confianza por parte de los clientes hacia las empresas que son certificadas ya que estoasegura que su información es protegida contra robos o exposición.
2. Disminución importante de los riesgos relacionados con la seguridad de la información.
3. Sobrevivencia hacia el futuro ya que las compañias expuestas a un ciberataque puedenverse afectadas gravemente en sus finanzas por las multas y demandas a que pueden sersometidas.
4. Al ser la norma PCI DSS de reconocimiento mundial facilita los procesos de negociacióninternacionales.
5. Consecución de nuevos clientes al generarse con la certificación una ventaja competitiva ypor tanto una mejora en los ingresos.
6. Pagos electrónicos seguros.
7. Contribución a la transformación digital segura.
Beneficios
AspectosconsideradosporPCIDSS
Requerimientos DescripcióndelRequerimiento
1 Instalar y mantener un firewall para proteger los datos de sensibles.2 No utilizar los valores predeterminados suministrados por el proveedor.3 Proteger los datos almacenados sensibles.4 Cifrar la transmisión de los datos sensibles a través de redes públicas abiertas.5 Usar y actualizar con regularidad el software antivirus y contar con una consola centralizadora.6 Desarrollar y mantener aplicaciones seguras.7 Limitar el acceso a los datos sensibles.8 Asignar una identificación única a cada persona con acceso a los sistemas.9 Restringir el acceso físico a los datos sensibles.10 Rastrear y monitorizar todo acceso a los recursos de la red y a los datos sensibles.11 Realizar continuamente análisis de vulnerabilidades y test de intrusión.12 Mantener una política que aborde la seguridad de la información, riesgos e incidentes
FIN