MODELO DE SEGURIDAD INFORMATICA MODELO DE SEGURIDAD INFORMATICA BASADO EN LA NORMA ISO 17799BASADO EN LA NORMA ISO 17799

Facilitadores: Jenny Cartas José Carrero

¿Sabía usted que el 94% de las empresas que pierden sus datos desaparecen?

Desastres naturales

Un estudio revela que casi el 95% del correo electrónico es “Spam”

TITULARES DE MUNDO EN LINEA

Por una mala administración de la

información

Errores humanos Virus, hackers entre otros

Chile ocupa el cuarto lugar en delitos en la Web en América Latina

Frente a la importancia creciente de la información.

Frente a la multitud de amenazas posibles.

Frente a la necesidad de los cambios Tecnológicos.

Frente a la complejidad y diversidad de las dependencias.

Frente a los limites para actuar (Asig. Roles).

Frente a la necesidad de garantía (DCI)

Mejor Seguridad

Mejor Seguridad

Más Seguridad

Más Seguridad

PORQUE ES NECESARIA LA GESTIÓN DE LA SEGURIDAD

Correos basura y Acceso a Internet

La Solución de Antivirus Instalada no es suficiente.

La labor de la Ingeniería Social

Efecto:No Existen Políticas de Seguridad basadas en

estándares internacionalmente

reconocidos.

CAUSAS MAS COMUNES(Vulnerabilidad)

ESTANDAR ISOESTANDAR ISO

Que es ISO? (International Organization for Standardization)

Orientada a la creación de Normas dirigidas hacia las áreas de Productos, servicios, procesos, materiales y sistemas.

Aporta una adecuada evaluación gerencial y practica organizacional

Los estándares ISO son diseñados para ser implementados en todo el mundo

ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización.

ISO 17799 define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio.

ESTANDAR ISO 17799ESTANDAR ISO 17799

Un “Modelo de Seguridad de la Información” es un diseño formal que promueve consistentes y efectivos mecanismos para la

definición e implementación de controles a través de políticas..

Debe estar dirigido a identificar los niveles de riesgo presentes y las acciones que se deben implementar

para reducirlos.

MODELO DE SEGURIDAD DE LA INFORMACIÓN

Que son las Políticas de Seguridad de la Información:

Pueden considerarse como reglas de negocio que son el equivalente de una ley propia de la organización.

Es la fuente de instrucciones para proteger tanto la información como los sistemas que la contienen.

Deben estar adecuadas a los requerimientos particulares de la organización y en sintonía con la legislación vigente.

Es necesario conocer muy bien los factores de riesgo, mediante un “Análisis de Riesgos”.

POLÍTICAS DE SEGURIDAD DE LA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓNINFORMACIÓN

UN ADECUADO MODELO DE “SEGURIDAD INFORMÁTICA”

Políticas Sólidas de Seguridad de la Información:

Mejores prácticas internacionales (BS ISO/ IEC 17799:2005 - BS 7799-1:2005)

Soporte Gerencial

Divulgación

Capacitación.

ESTA BASADO EN:

Equipo de Trabajo:

Altamente Calificado

Disponible 7 X 24 X 365

Actualizado Permanentemente (Capacitación)

Sólidos conocimientos en Seguridad de laInformación y Administración del riesgo

UN ADECUADO MODELO DE “SEGURIDAD INFORMÁTICA”

ESTA BASADO EN:

Herramientas de protección:

Última Tecnología

Permanentemente Actualizadas

Alta Disponibilidad

Alta Capacidad de Respuesta

UN ADECUADO MODELO DE “SEGURIDAD INFORMÁTICA”

Nota: No se trata de tener un libro, se trata de contar con una guía basada en las mejores practicas para el mantenimiento y manipulación de la información.

ESTA BASADO EN:

CÓMO IMPLEMENTAR DICHO MODELO

1. Determinar los niveles de riesgos.

2. Establecer los controles a partir de la norma ISO

17799.3. Construir los lineamientos.

4. Aplicar las Políticas de Seguridad

Implementar un Modelo Implementar un Modelo Tecnológico de Tecnológico de

Seguridad Seguridad Informática basado Informática basado

en la norma ISO 17799en la norma ISO 17799

CÓMO IMPLEMENTAR DICHO MODELO

CÓMO IMPLEMENTAR DICHO MODELO

Fase I. Determinar niveles de riegos amenazas y vulnerabilidades

Revisión de estadísticas de incidentes (Help Desk).

Aplicación de un cuestionario online basado en la ISO 17799, disponible en http://autoevaluacion.forosec.com

Identificación de los diferentes tipos de activos en la empresa para determinar todo aquello que la seguridad de la información debe proteger.

Clasificación y valoración de los riesgos detectados (humanos, tecnológicos, de procesos y físicos).

Fase II. Establecer controles a partir de la norma ISO 17799.

Identificación y definición de alternativas para el tratamiento de riesgos.

Seleccionar controles específicos a partir de la ISO 17799 a implementar según los riesgos detectados.

CÓMO IMPLEMENTAR DICHO MODELO

Fase III: Construir los lineamientos

Elaboración y aprobación de una DDA Declaración de Aplicabilidad (qué controles se van a implementar).

Elaboración del documento de políticas de seguridad que abarque tanto el ámbito tecnológico como el ámbito humano.

Elaborar plan estratégico de divulgación sobre mantenimiento de la seguridad de la información a toda la organización.

CÓMO IMPLEMENTAR DICHO MODELO

Fase IV: Aplicar las Políticas

Hacer oficial la política.

Elección del comité de seguridad para el cumplimiento, monitoreo y mejoramiento continuo de las políticas..

Realización de campañas de entrenamiento, charlas de divulgación y sistemas de aprendizaje para garantizar el conocimiento de las políticas de seguridad en toda la organización.

CÓMO IMPLEMENTAR DICHO MODELO

Políticas

Estándares

ProcedimientosPERSONAS

TECNOLOGIA

CULTURA

A DONDE SE ORIENTA

Mas que tecnología utilizada para solucionar problemas específicos o puntuales.

Políticas, procedimientos y estándares definidos de acuerdo con las características del negocio.

Plan de concientización adecuadamente estructurado para la creación de la cultura de seguridad en la organización.

Monitoreo y Revisión

Monitoreo Detectar errores en el proceso, identificar fallos de seguridad y tomar las acciones correspondientes.

Revisión Revisiones periódicas de la política y su alcance.

Revisiones de los niveles de riesgos

Auditorias internas y externas

CÓMO MANTENER EL MODELO

CÓMO MANTENER EL MODELO

Mantenimiento y Mejora

Mantenimiento Comunicar resultados de auditorias

Adoptar acciones correctivas y preventivas

Mejora Continua Medir el rendimiento

Implementar las mejoras identificadas en las revisiones

Gestión de Riesgos cubriendo todos los componentes internos y externos, la naturaleza de los sistemas, las actividades empresariales y las leyes locales.

Identificar todos los terceros involucrados (Clientes / Usuarios / Proveedores / Socios de negocio / Otras Organizaciones / Gobierno).

Identificar todos los activos informáticos.

Políticas desarrolladas según los objetivos de negocio y según la cultura organizacional.

Apoyo y compromiso manifiestos por parte de la alta gerencia.

Participación integral a través de equipos multidisciplinarios.

FACTORES CRÍTICOS DE ÉXITO

Un claro entendimiento de los requerimientos de seguridad.

Sistema de medición para evaluar el desempeño de la gestión de la seguridad.

Disponibilidad de recursos.

FACTORES CRÍTICOS DE ÉXITO

PLAN DE CONCIENTIZACIÓN

Informar y recordar regularmente las obligaciones con respecto a la seguridad de la información a empleados y demás personal vinculado.

La característica principal del proceso de concientización es la difusión del Modelo de Seguridad por diferentes medios de comunicación al interior de la empresa, partiendo de un conocimiento básico de Seguridad Informática hasta lograr la adopción y asimilación de componentes del modelo de seguridad (políticas, estándares y procedimientos).

Política de SeguridadPolítica de Seguridad

Aspectos organizativosAspectos organizativos para la seguridadpara la seguridad

Clasificación y Clasificación y control de activoscontrol de activos

Control deControl deAccesosAccesos

ConformidadConformidad

Seguridad ligada alSeguridad ligada alpersonalpersonal

Seguridad física y Seguridad física y del entornodel entorno

Desarrollo y mantenimientoDesarrollo y mantenimientode sistemasde sistemas

Gestión de comunicacionesGestión de comunicacionesy operacionesy operaciones

Gestión de continuidad Gestión de continuidad del negociodel negocio

Táct

ico

Ope

rativ

o

Estra

tégi

co

Seguridad Organizativa

Seguridad Lógica

Seguridad Física

Seguridad Legal

PRODUCTO FINAL: MODELO DE PRODUCTO FINAL: MODELO DE SEGURIDAD DE LA INFORMACISEGURIDAD DE LA INFORMACIÓÓNN

FUENTES DE CONSULTA

Noticias Mundo en Línea http://www.mundoenlinea.cl

Grupo de Respuesta para Emergencias Informáticas (CERT.gov.ve) http://www.cert.gov.ve

Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) http://www.suscerte.co

Computer Emergency Response Team (CERT) http://www.cert.org

Computer Security Institute (CSI) http://www.gocsi.com

Forosec http://www.forosec.com

Gracias por su atención..

“Las mejores herramientas de seguridad son vulnerables si no existen políticas

adecuadas que definan claramente su utilización”.

La seguridad de la información siempre ha preocupado a la humanidad.

La información comanda las decisiones de cualquier negocio.

LO QUE HAY QUE SABER

Es el principal ACTIVO para la organización.

La seguridad Física y Lógica son aspectos “CLAVE” a tener en cuenta

Se debe proteger la Confidencialidad, la Integridad y Disponibilidad.

Se debe garantizar la identidad de los usuarios y su privacidad.

Los ataques evolucionan y se introducen en una tecnología en desarrollo.

Proteger en todas sus formas: digital, impresa y el conocimiento.

FUNDAMENTAL: Tener conocimiento de los riesgos.