unidad 2 controles de seguridad informacion alumnos

Seguridad de la Información 2

Curso: Seguridad de la Información

Sesión 3 – 4

Unidad 2: Controles de Seguridad de la Información

UPC

2013

http://www.google.com.pe/url?sa=i&rct=j&q=seguridad+de+la+informacion&source=images&cd=&cad=rja&docid=jNpnnQ2S4r4FaM&tbnid=h0qI175sojoSyM:&ved=0CAUQjRw&url=http://www.leafar.com.pe/seccion.asp?sc=45&ei=mm2JUe-pM4-C9gTX1oGADA&bvm=bv.46226182,d.eWU&psig=AFQjCNGwwZN6t1pnm6kQ5YKtrRTdWYrhZg&ust=1368047375972912


Agenda de la Unidad 2

Ag

en

da Estructura organizacional para la seguridad

Controles requeridos por las normas de seguridad

Interpretación de los controles de seguridad

Modelos de madurez de la seguridad

Gap analysis – análisis de brecha


Organización del SGSI


Uno de los factores claves para diseñar e implementar un SGSI es el compromiso y participación y de la Alta Dirección con respecto a la gestión de la Seguridad de la Información.

Este compromiso se debe materializar en el establecimiento de una Política de Seguridad de la Información, la cual deberá ser el punto de partida para establecer el SGSI.

Es necesario también establecer los roles y responsabilidades del personal en materia de Seguridad de la Información.

Para ello será necesario conformar un Comité de Gestión de Seguridad de la Información, un Comité Operativo o Grupo Interdisciplinario, así como, el rol del Oficial de Seguridad de la Información.

Estructura Organizacional de Seguridad


Estructura Organizacional del SGSI

Comité de Gestión de Seguridad de la Información (CGSI)

Gerencia General, Gerentes de línea

Grupo Interdisciplinario de Seguridad de la Información (GISI)

- Jefes de Área, Supervisores

Oficial de Seguridad de la Información

Propietarios, Custodios, Usuarios


Comité de Gestión de Seguridad de la Información (CGSI)

Revisar y aprobar las Políticas específicas de Seguridad de la Información.

Proveer los recursos necesarios para la Seguridad de la Información.

Asignación de roles específicos y responsabilidades en materia de seguridad dentro de la organización.

Iniciar planes y programas para lograr y mantener la concientización en la seguridad de la información.

Velar por el cumplimiento de programas de seguridad, normas y leyes vigentes. Realizar evaluaciones periódicas del funcionamiento del SGSI.

¿Qué implica las funciones y los roles del CGSI?


Grupo Interdisciplinario de Seguridad de la Información (GISI)

¿Qué implica las funciones y los roles del GISI?

Asegurar que las actividades de seguridad sean ejecutadas en cumplimiento

con la Política de seguridad de la información.

Aprobar las principales iniciativas para incrementar la seguridad de la información.

Permitir que el personal exprese sus inquietudes sobre asuntos de seguridad

Aprobar metodologías y procesos de seguridad de información

Promover la difusión y apoyo a la seguridad de la información dentro de la

organización.


Oficial de Seguridad de la Información

¿Qué implican las funciones y responsabilidades del Oficial de Seguridad?

Proponer metodologías, herramientas, planes, programas y procesos para la seguridad

de la información..

Asegurar el buen funcionamiento del Sistema de Gestión de Seguridad de la información.

Supervisar el cumplimiento de controles de seguridad.

Administrar los incidentes y vulnerabilidades de la seguridad de la información a fin de

identificar los controles a implementar.

Elaborar y actualizar el Planes de Seguridad de la Información.

Es la persona encargada de diseñar, desarrollar, implantar y mantener el Sistema de Gestión de Seguridad de la información en la organización


Propietario de los Activos de Información

¿Qué implican las funciones y responsabilidades del Propietario del Activo?

Identificar y Clasificar los activos de su propiedad. Determinar los periodos de retención de los activos de información (electrónica e

impresa). Determinar los criterios y niveles de acceso a los activos de su propiedad. Revisar periódicamente la clasificación de la información con la finalidad de verificar el

cumplimiento de los requerimientos de seguridad de la organización.

Verificar que los controles de seguridad aplicados sean consistentes con la clasificación

realizada.

En coordinación con el Oficial de Seguridad de la Información, revisar y evaluar los resultados de la implementación de controles aplicados a los activos de su propiedad.

Es la persona o entidad que tiene la responsabilidad gerencial aprobada sobre los activos de información que se generan y se utilizan en las Unidades u Oficinas administrativas.


Custodio de los Activos de Información

¿Qué implican las funciones y responsabilidades del Custodio?

Dar acceso a los usuarios de acuerdo con las especificaciones establecidas por los

propietarios. Administrar los accesos a los activos Cumplir con los controles implementados para la protección de los activos asignados

para su custodia

Administrar los procedimientos de backup, recuperación y restauración de información

Reportar incidentes y debilidades de seguridad de la información

En caso de identificar oportunidades de mejora, debe comunicarlas a los responsables de Seguridad de la Información (Oficial de Seguridad de la Información y propietarios de la información).

Es el responsable de la administración y resguardo de los activos de información; asimismo, del monitoreo del cumplimiento de los controles de seguridad en los activos que se encuentren bajo su administración.


Usuario de los Activos de Información

¿Qué implican las funciones y responsabilidades del Usuario?

Cumplimiento a las políticas y directivas de seguridad de la información.

Mantener la confidencialidad de las contraseñas para el acceso a aplicaciones, sistemas

de información y recursos informáticos.

Utilizar la información de su organización sólo para el cumplimiento de sus funciones y/o fines institucionales.

Reportar incidentes y debilidades de seguridad de la información.

En caso de identificar oportunidades de mejora, debe comunicarlas a los responsables de Seguridad de la Información (Oficial de Seguridad de la Información).

Son aquellas personas, llámese personal permanente, personal temporal, consultores y proveedores de bienes y/o servicios, que utilizan los activos de información de la organización como parte de sus actividades diarias.


Organización de la Norma ISO 27001

La norma ISO 27001 está organizada de la siguiente manera:

Introducción • Generalidades, • Enfoque, • Compatibilidad con otros sistemas de gestión

Objeto • Generalidades y aplicación

Referencias normativas • Otras normas

Términos y definiciones • Terminología principal usada en la norma

El SGSI

• Requisitos generales • Establecimiento del SGSI • Requisitos de Documentación • Responsabilidades de la Dirección • Auditorías internas del SGSI • Revisión por la Dirección del SGSI • Mejora del SGSI

Anexos

• Anexo A: Objetivos de Control y Controles • Anexo B: Principios OECD y el Modelo PDCA • Anexo C: Correspondencia entre normas ISO 9001, ISO 14001 e

ISO 27001.


Introducción a la norma Generalidades:

Proporcionar un modelo para establecer, implementar, operar, revisar, mantener y mejorar un SGSI.

La adopción de un SGSI debería ser una decisión estratégica para la organización.

Enfoque basado en Procesos:

Una organización tiene que identificar y gestionar muchas actividades para que funcione de manera eficaz

Un proceso es cualquier actividad que utiliza recursos y se gestiona con el fin de permitir que los elementos de entrada se transformen en elementos de salida.

A la aplicación y gestión de un Sistema de Procesos en una organización se le puede denominar “enfoque basado en procesos”.

Compatibilidad: Diseñada para permitir a una organización alinear e integrar su SGSI con otras

normas de sistemas de gestión relacionados (ISO 9001, ISO 14001, etc.)


Objeto de la Norma Generalidades:

Cubre todos los tipos de organizaciones (empresas comerciales, organismos gubernamentales, organizaciones sin fines de lucro)

Especifica los requisitos para la implementación de controles de seguridad adaptados a las necesidades de las organizaciones.

El SGSI está diseñado para asegurar la selección de controles de seguridad adecuados que protejan los activos de información, brindando confianza a los stakeholders.

Aplicación:

Requisitos genéricos y se pretende que sean aplicables a todas las organizaciones, independiente de su tipo, tamaño y naturaleza. La exclusión de cualquier de los requisitos especificados en los capítulos 4, 5, 6, 7 y 8 no son aceptables, cuando una organización alega conformidad con esta norma.


Referencias Normativas Indispensable para la aplicación de la norma ISO 27001.

ISO / IEC 27002. Tecnología de la Información – Técnicas de Seguridad – Código de práctica para la gestión de Seguridad de la Información.

Política de Seguridad

Organización de la

Seguridad de Información

Seguridad de los Recursos

Humanos

Seguridad Física y

Ambiental

Gestión de activos Control de Accesos

Gestión de Operaciones y

Comunicaciones

Adquisición, Desarrollo y

Mant. de Sistemas

Gestión de Continuidad

de Negocios

Gestión de Incidentes de

Seguridad Cumplimiento


Términos y Definiciones

Se presenta una serie de términos de seguridad de la información y sus definiciones respectivas.

Para comprender bien los requerimientos del estándar, es necesario conocer los términos y definiciones respectivas.

Terminología utilizada:

Activo

Seguridad de la Información

Incidente de Seguridad de la Información

Riesgo Residual

Tratamiento del Riesgo

Declaración de Aplicabilidad (SOA)


EL SGSI Requisitos Generales:

La organización debe establecer, implementar, operar, revisar, mantener y mejorar un SGSI documentado, dentro del contexto de las actividades generales del negocio de la organización y los riesgos a los que se enfrenta.

Establecimiento y gestión del SGSI:

ESTABLECER EL SGSI:

Definir el alcance y los límites del SGSI

Definir una política del SGSI

Definir el enfoque para la evaluación de riesgos de la organización

Identificar los riesgos

Análizar y evaluar los riesgos

Identificar y evaluar las opciones para Tratamiento Riesgos

Seleccionar objetivos de control y controles Tratamiento Riesgos

Obtener aprobación dirección del riesgo residual propuesto

Obtener autorización dirección para implementar y operar el SGSI

Elaborar el SOA (Declaración de Aplicabilidad)


EL SGSI

IMPLEMENTAR Y OPERAR EL SGSI:

Formular un Plan de Tratamiento de Riesgos (PTR)

Implementar un Plan de Tratamiento de Riesgos

Implementar los controles seleccionados para el TR

Definir como medir la eficacia de los controles o grupos de controles

seleccionados.

Implementar programas de capacitación y toma de conciencia

Gestionar la operación del SGSI

Gestionar los recursos del SGSI

Implementar procedimientos y otros controles para permitir

inmediata detección y respuesta a incidentes de seguridad.


EL SGSI

MONITOREAR Y REVISAR EL SGSI:

Ejecutar los Procedimientos de Monitoreo y Revisión

Realizar revisiones regulares de la eficacia del SGSI

Medir eficacia de los controles para verificar que se han cumplido con

los requisitos de seguridad.

Revisar las evaluaciones de riesgos a intervalos planificados (revisar

riesgos residuales y los niveles de riesgos aceptables)

Llevar a cabo auditorías internas del SGSI

Realizar una revisión por la dirección del SGSI

Registrar acciones y hechos que podrían tener un impacto sobre el

desempeño del SGSI.


EL SGSI

MANTENER Y MEJORAR EL SGSI:

Implementar mejoras identificadas en el SGSI

Ejecutar acciones correctivas y preventivas apropiadas (aplicar las

lecciones aprendidas de experiencias de seguridad de la misma

organización u otras organizaciones)

Comunicar acciones y mejoras a todas las partes interesadas.

Asegurarse que las mejoras logren sus objetivos previstos.


Requisitos de Documentación (1/3)

Generalidades:

La documentación del SGSI debe incluir:

Declaraciones documentadas de la Política y objetivos del SGSI

Alcance del SGSI

Procedimientos y controles en apoyo del SGSI

Descripción de la Metodología de Gestión de Riesgos

Informe de Evaluación de Riesgos

Plan de Tratamiento de Riesgos

Procedimientos de Seguridad de la Información

Registros exigidos por esta norma (numeral 4.3.3 de la ISO 27001)

Declaración de Aplicabilidad (SOA)

Nota: Los documentos y registros pueden estar en cualquier formato o medio.



Control de Documentos:

Se deben proteger y controlar los documentos exigidos por el SGSI. Se debe establecer un Procedimiento de Control de Documentos que defina las acciones de gestión necesarias para:

Aprobar los documentos en cuanto a su adecuación antes de su emisión.

Revisar y actualizar los documentos cuando sea necesario y aprobarlos nuevamente.

Llevar un adecuado control de cambios de los documentos

Llevar un adecuado control de versiones y verificar que se encuentren disponibles en los puntos de uso.

Llevar un adecuado control de los documentos para que sean almacenados, transferidos y finalmente eliminados de acuerdo a su clasificación.

Identificación de documentos de origen externo

Llevar un adecuada distribución de los documentos

Prevenir el uso no intencional de documentos obsoletos



Control de Registros

Se deben establecer y mantener registros para proporcionar evidencia de la conformidad con los requisitos y la operación eficaz del SGSI, para lo cual se recomienda elaborar un Procedimiento de Control de Registros que contemple lo siguiente:

Los Registros deberán estar protegidos y controlados

El SGSI debe tomar en cuenta los requisitos legales y las obligaciones contractuales

Los registros deben permanecer legibles, fácilmente identificables y recuperables.

Documentar e implementar controles para la identificación, almacenamiento, protección, recuperación, tiempo de conservación y disposición de los registros.

Ejemplos de Registros:

Libro de visitantes

Bitácora de actividades en el Centro de Cómputo

Formato de autorización de accesos


Responsabilidad de la Dirección (1/3)

Compromiso de la Dirección:

La dirección debe proporcionar evidencia de su compromiso con el establecimiento del SGSI:

Estableciendo una Política del SGSI

Asegurando de que se establezcan los objetivos y planes del SGSI

Estableciendo las funciones y responsabilidades para la Seguridad de la Información.

Comunicando a la organización la importancia de cumplir con los objetivos de Seguridad de la Información.

Proporcionando los recursos suficientes para establecer y mantener el SGSI.

Decidiendo los criterios de aceptación de riesgos y los niveles de riesgos aceptables.

Asegurando que se lleven a cabo las auditorías internas del SGSI.

Llevando a cabo las revisiones por la dirección del SGSI.



Gestión de los Recursos:

La organización debe determinar y proporcionar los recursos necesarios para:

Establecer , mantener y mejorar el SGSI

Asegurar que los Procedimientos de Seguridad de la Información apoyen los requisitos del negocio.

Mantener una adecuada seguridad mediante la correcta aplicación de los controles implementados.

Realizar las revisiones del SGSI y reaccionar apropiadamente a los resultados de las mismas.

Mejorar la eficacia del SGSI.



Capacitación y Concienciación:

La organización debe asegurarse que el personal que tiene asignado responsabilidades en el SGSI, sea competente para realizar las tareas requeridas:

Determinando la competencia necesaria para el personal que realiza trabajos que afectan al SGSI.

Proporcionando capacitación o contratando personal competente para satisfacer estas necesidades.

Evaluando la eficacia de las acciones tomadas

Manteniendo registros de la capacitación, habilidades y calificaciones realizadas.


Auditorías Internas del SGSI

La organización debe llevar a cabo a intervalos planificados, auditorías internas del SGSI para determinar si los objetivos de control, controles, procesos y procedimientos del SGSI:

Cumplen con los requisitos de la norma y la legislación pertinente.

Cumplen con los requisitos de Seguridad de la Información.

Se han implementado y se mantienen de manera eficaz.

Están dando el resultado esperado.

Consideraciones de la Auditoría Interna:

o Se debe planificar un Programa de Auditorías en base al estado e importancia de los procesos y áreas a auditar.

o Revisar resultados de Auditorías anteriores

o Los Auditores no deben auditar su propio trabajo

o Definir un Procedimiento y Plan de Auditoría interna


Revisión por la Dirección del SGSI (1/3)

Generalidades: La alta dirección debe, a intervalos planificados (mínimo una vez al año) revisar el SGSI para asegurar su correcto funcionamiento, considerando:

Evaluación de oportunidades de mejora y la necesidad de efectuar cambios en el SGSI.

Ejemplo:

o Política de Seguridad de la Información.

o Objetivos de Seguridad de la Información

Documentar los resultados de las revisiones

Mantener los registros y evidencias de las revisiones efectuadas.



Información para la revisión: La información inicial o de entrada para la revisión por la dirección del SGSI debe incluir:

Resultados de auditorías y revisiones del SGSI

Retroalimentación de las partes interesadas

Técnicas, productos o procedimientos, que podrían utilizarse en la organización para mejorar el desempeño del SGSI

Estado de las acciones preventivas y correctivas

Vulnerabilidades o Amenazas no tratadas adecuadamente en la revisión de riesgos anterior

Cambios que podrían afectar al SGSI

Recomendaciones u oportunidades de mejora.



Resultados de la revisión:

Los resultados de la revisión por la dirección deben incluir todas las decisiones y acciones relacionadas con lo sgte:

La mejora de la eficacia del SGSI

Actualización del Plan de evaluación y tratamiento de riesgos.

Actualización y modificación de los Procedimientos y demás controles de Seguridad de la información.

Las necesidades de los recursos

La mejora en la medición de la eficacia de los controles.


Mejora del SGSI (1/3)

Mejora Continua:

La organización debe mejorar contínuamente la eficacia del SGSI, mediante el uso de la Política de Seguridad de la Información, objetivos de seguridad, resultados de las auditorías, análisis de hechos monitoreados, acciones correctivas y preventivas.



Acciones Correctivas:

La organización debe tomar acciones para eliminar la causa de las no conformidades con el SGSI y evitar así que vuelvan a presentarse.

Se recomienda elaborar un Procedimiento para Acciones Correctivas que permita:

Identificar las no conformidades

Determinar las causas de las no conformidades

Evaluar la necesidad de implementar acciones para asegurarse que no se vuelvan a presentar las no conformidades.

Determinar e implementar acciones correctivas

Registrar y revisar los resultados de acciones tomadas



Acciones Preventivas:

La organización debe tomar acciones para eliminar la causa de potenciales no conformidades con el SGSI y prevenir su ocurrencia.

Las acciones preventivas deben ser apropiadas para el impacto de los potenciales problemas, para ello se debe elaborar un Procedimiento de Acciones Preventivas que permita:

Identificar los potenciales no conformidades y sus causas,

Evaluar la toma de acciones para prevenir la ocurrencia de no conformidades,

Determinar e implementar las acciones preventivas necesarias,

Registrar y revisar los resultados de las acciones preventivas tomadas.


Break: de 10 minutos


Anexo A: Objetivos de control y controles

Se obtienen de los capítulos 1 al 15 de la ISO/IEC 17799:2005 y se han alineado con estos, el detalle de su implementación y orientación se puede encontrar en la norma indicada.

Los objetivos de control y controles de estas tablas deben seleccionarse como parte del proceso del SGSI especificado en el numeral 4.2.1 g de la norma.

El Anexo A está organizado de la siguiente manera:

11 cláusulas

39 Categorias y Objetivos de Control

133 Controles


Anexo A: Objetivos de control y controles


Relación de Cláusulas y la Organización


Evaluación de Cumplimiento

Generalidades:

Tiene como objetivo determinar el nivel de madurez y grado de cumplimiento que posee la organización con respecto a cada uno de los controles y cláusulas de la norma ISO 27001:2005 – Anexo A.

Determinar que modelo de evaluación del nivel de madurez se utilizara para realizar la evaluación.

El modelo de evaluación del nivel de madurez puede realizarse utilizando el modelo Cobit 4.1, CMMI, ISO 15504, entre otros.

Es necesario realizar revisiones en situo de cada control para determinar su cumplimiento.

Realizar entrevistas y reuniones de trabajo con cada usuario y personal de las áreas involucradas para cada cláusula del Anexo “A” de la norma.


Cumplimiento de las cláusulas de la norma:

Cuadro de Cumplimiento


Grado de Cumplimiento de cada Cláusula

25% 36%

40%

33%

27% 25% 25%

23%

25% 5%

18%

50% 61%

65%

58%

52%

50% 50%

48%

50%

30%

43%

0%

20%

40%

60%

80%

100%

5. POLÍTICA DE

SEGURIDAD

6. ASPECTOS

ORGANIZATIVOS

PARA LA SEGURIDAD

7. CLASIFICACIÓN Y

CONTROL DE

ACTIVOS

8. SEGURIDAD EN

RECURSOS HUMANOS

9. SEGURIDAD FÍSICA

Y DEL ENTORNO

10. GESTIÓN DE

COMUNICACIONES Y

OPERACIONES

11. CONTROL DE

ACCESOS

12. ADQUISICION,

DESARROLLO Y

MANTENIMIENTO DE SISTEMAS

13. GESTIÓN DE

INCIDENTES EN LA

SEGURIDAD DE INFORMACIÓN

14. GESTIÓN DE

CONTINUIDAD DEL

NEGOCIO

15. CUMPLIMIENTO


Nivel de Madurez de los Controles de la Norma

Matriz de Brecha de la norma:


Resultados Finales

ISO 17799:2005

CONTROLES APROBADOS (Nivel de Madurez 3) 73

CONTROLES NO APROBADOS (Nivel de Madurez inferior a 3) 58

CONTROLES NO APLICABLES 2

Grado de Cumplimiento de la norma: 56%

73

58

2

CONTROLES APROBADOS (Nivel de Madurez 3)

CONTROLES NO APROBADOS (Nivel de Madurez inferior a 3)

CONTROLES NO APLICABLES


Taller 3: ANÁLISIS DE BRECHA – GAP ANALYSIS


Ejecución del Taller 3 Matriz de Brecha:

Cláusula: 11. Control de Accesos Controles: 11.1.1 al 11.3.3 (8 controles)


RONDA DE PREGUNTAS DE REPASO DE LA UNIDAD


Conclusiones Finales i. Se constituye como el modelo de 4 etapas que utiliza para operar el

Sistema de Gestión de Seguridad de la Información (SGSI) basado en la

norma ISO 27001:2005:

ii. Se considera como el control principal para iniciar la implementación del

SGSI, el cual permite obtener el compromiso y la responsabilidad de la

alta dirección con respecto a la gestión de la seguridad de la información:

iii. Es considerado el Procedimiento que permite gestionar los documentos

del SGSI, para llevar un adecuado control de su codificación, versión,

disponibilidad, vigencia, eliminación, entre otros:


Muchas Gracias

unidad 2 controles de seguridad informacion alumnos

Documents