Post on 21-Jun-2015
Seguridad de la Información
NORMA ISO 17799 / ISO 27001
Implementación Práctica
TRACK I :
APERTURA
Recepción
Presentación General
• Objetivos• Director• Sugerencias• Participantes• Roadmap
• Identificación de los requerimientos específicos de la norma ISO 17799 en sus 11 dominios.
• Comprender el proceso de adecuar la compañía para lograr la Certificación ISO 27001.
• Talleres prácticos de implementaciones: soluciones y problemas ocurridos.
• Al final del Entrenamiento se entregará a cada participante un Manual de Gestión de Seguridad de la Información basado en la Norma ISO 17799 / ISO 27001.
Objetivos
Adquirir conocimientos y metodologías de implementación de medidas de seguridad de acuerdo con los requerimientos de la Norma ISO 17799 / ISO 27001 :
Instructor: Martín Vila
martin.vila@i-sec.org
Business Director I -Sec Information Security (2001 - 2006)Gerente experimentado de la práctica de Business Risk Management de Pistrelli, Díaz y Asociados, miembro de Arthur Andersen (abril 1992 -abril 2001)Ha liderado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en Entidads de primer nivel en el ámbito local e internacional, basados en distintas Normativas (ISO 17799, BS7799, COBIT, NIST, Sarbanes Oxley).Ha desarrollado y participado como instructor en Information Security Courses en USA, Centroamérica y Latinoamérica (Arthur Andersen, ISACA, Guarded Networks, Ernst & Young, Microsoft, IT College, ISEC, IDEA, ERC-Computer, ATS, IT Services, Global Solution, INFOSECURITY, Universidad CAECE). Ha sido invitado como Especialista en diversos medios de comunicación masivo como ser CNN, Diario Clarín, El Cronista Comercial, InfoBAE, entre otros.
Instructor: Sixto Flores R.
sixto.flores@i-sec.org
Country Manager I -Sec Information Security EcuadorGerente IT Services S.A.Gerente Producto Symantec Nexsys del EcuadorGerente Administrativo-Financiero Inacom-EcuadorGerente Dinformatica Grupo Diners-Banco Pichincha
Especialista en Dirección Internacional de Empresas (POST GRADO)Ing. De EmpresasAnalista de SistemasTecnólogo Programador
Identificar objetivos.Anotar respuestas.Intercambiar experiencias.Generar un plan de acción propio.Participar activamente.Aclarar las dudas.Ser positivo y entusiasta.Comunicar los inconvenientes o disconformidades.
Sugerencias
TRACK I : APERTURATRACK II : QUE ES SEGURIDAD?TRACK III : NORMAS APLICABLESTRACK IV : Cómo se implementa un Programa de Gestión de Seguridad de la Información (ISMS)?TRACK V : Cómo es un Proceso de Certificación ISO 27001 de una Organización?TRACK VI : Principales controles definidos en cada uno de los Dominios de la ISO17799:2005TRACK VII : Taller Práctico FINAL: Elaboración de un Programa General de Seguridad para preparar a la Compañía para CertificarTRACK VIII : MODELO ANUAL DE GESTION CONTINUA
Roadmap
TRACK II :
QUE ES SEGURIDAD?
Por que?
Reconocer los riesgos y su impacto en los negocios
INTERNET
Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundoApenas 150 “spammers” norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico.
Algunos datos
11:22 | EL GUSANO
Un nuevo virus se esconde en tarjetas navideñas
Un virus informático, que se esconde en una tarjeta electrónica de felicitación, comenzó a circular por la red, informóPanda Software. La compañía advirtió a los usuarios que extremen las medidas de seguridad durante estas fiestas.
ESTAFAS EN INTERNET El “phishing” ya pesca en todo AmericaDetectaron casos que afectaron a numerosas empresas y a los clientes de bancos estadounidenses y del resto de America.
Algunos hechos
12:50 | A TRAVES DE MAILUtilizan las siglas del FBI para propagar un virus
La famosa policía federal estadounidense advirtió sobre la difusión de falsos correos electrónicos que llevan su nombre.
La pregunta secreta del caso "Paris Hilton"-------------------------------------------
Hace apenas unos días saltó la noticia de que los contenidos delteléfono móvil de Paris Hilton habían sido publicados en Internet. Enun principio se barajó la posibilidad de que hubieran accedido ala tarjeta SIM, o de que se tratara de una intrusión a los servidoresde T-Mobile aprovechando inyecciones SQL. Al final parece ser que elmétodo empleado fue mucho más sencillo, bastaba con contestar a lapregunta "¿cuál es el nombre de su mascota favorita?".
Legales | Infracciones Graves El delito informático En forma amplia, es "toda acción reputada como delito para cuya consumación se utilizan o afectan medios informáticos". Vulneran tanto los equipos como los programas, e incluyen virus, sustracción de información o piratería.En un terreno más restringido, son sólo aquellas acciones que vulneran los equipos fijos de computación.
Libertad, control y responsabilidad en Internet
Diariojudicial.com publica hoy un polémico fallo por el que se condena a los responsables de un sitio de internet por un mensaje injurioso anónimo ingresado en un libro de visitas, de
libre acceso por los navegantes. La resolución preocupa a los sitios web y puede sentar un duro precedente para aquellos que contengan foros y libros de visitas abiertos al público.
Algunos hechos
Algunos datos
La seguridad de redes, una prioridad para las empresasCisco publicó los resultados de un estudio de seguridad realizado a directivos latinoamericanos de IT. De acuerdo a los resultados, el 79 % de los Directivos de IT de Latinoamérica opina que la seguridad de redes es un tema "de extrema prioridad" o "muy prioritario" para los directivos de sus compañías.
NEGOCIOSUna nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad de la informaciónLa gestión de las políticas de seguridad de la información obsesiona a miles de empresas de todoel mundo. Ahora, ya no se conforman con controlarlos datos circulantes; también quieren ahorrarmillones.
Algunos datos
No existe la “verdad absoluta” en SeguridadInformática.No es posible eliminar todos los riesgos.La Dirección está convencida de que la SeguridadInformática no hace al negocio de la compañía.Cada vez los riesgos y el impacto en los negocios son mayores.
Algunas premisas
En mi compañía ya tenemos seguridad porque ...
... implementamos un firewall.
... contratamos una persona para el área.
... en la última auditoría de sistemas no me sacaron observaciones importantes.
... ya escribí las políticas.
... hice un penetration testing y ya arreglamos todo.
Algunas realidades
En general todos coinciden en:
El 80% de los incidentes/fraudes/ataques son efectuados por personal interno
Fuentes:The Computer Security InstituteCooperative Association for Internet Data Analysis (CAIDA)CERTSANS
Algunos datos
Según una encuesta del Departamento de Defensa de USA:
Sobre aproximadamente 9000 computadores atacados,7,900 fueron dañados.400 detectaron el ataque.Sólo 19 informaron el ataque.
Algunos datos
• en formato electrónico / magnético / óptico
• en formato impreso
• en el conocimiento de las personas
Qué Información proteger
Principales riesgos y su impacto en los negocios
Captura de PC desde el exterior
Violación de e-mailsViolación de contraseñas
Interrupción de los servicios
Intercepción y modificación de e-mails
VirusFraudes informáticos
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones
Destrucción de equipamiento
Programas “bomba”
Acceso indebido a documentos impresos Software ilegal
Agujeros de seguridad de redes conectadas
Falsificación de información para terceros
Indisponibilidad de información clave
Spamming
Violación de la privacidad de los empleados
Ingeniería social
Principales riesgos
Propiedad de la Información
Mails “anónimos” con información crítica o con agresiones
Password cracking
Man in the middle Exploits
Denegación de servicio
Escalamiento de privilegios
Replay attackKeylogging
Port scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualización
Backups inexistentesÚltimos parches no instalados
Principales riesgos
En estos tipos de problemas es difícil:
• Darse cuenta que pasan, hasta que pasan.
• Poder cuantificarlos económicamente, por ejemplo¿cuánto le cuesta a la compañía 4 horas sin sistemas?
• Poder vincular directamente sus efectos sobre losresultados de la compañía.
Principales riesgos y el impacto en los negocios
Se puede estar preparado para que ocurran lo menos posible:
• sin grandes inversiones en software • sin mucha estructura de personal
Tan solo:
• ordenando la Gestión de Seguridad• parametrizando la seguridad propia de los sistemas• utilizando herramientas licenciadas y libres en la web
Principales riesgos y el impacto en los negocios
TRACK III :
NORMAS APLICABLES
Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas
Internacionales aplicables
Information Systems and Audit Control Association - ISACA:COBITBritish Standards Institute: BSInternational Standards Organization: Normas ISODepartamento de Defensa de USA: Orange Book / Common Criteria
ITSEC – Information Technology Security Evaluation Criteria: White Book
Sans Institute, Security Focus, etcSarbanes Oxley Act, Basilea II, HIPAA Act, Leyes NACIONALESOSSTMM, ISM3, ISO17799:2005, ISO27001
Normas y Metodologías aplicables
Elegimos la más aceptada a nivel mundial
Norma ISO 17799Gestión de Seguridad
0
250
500
750
1000
1250
2002 2003 2004 2005
Empresas certificadas en el mundo
2.299 Empresas certificadas en el mundo a mar-2006
Japón 1.338, India 163, Taiwan 77, Inglaterra 74, USA 34, España 6 ,Brazil 5, Mexico 4, Argentina 3, Colombia 2, Chile 1
www.Xisec.com
China, 10
India, 81
Taiwan, 46
Qatar, 1
Saudi Arabia, 3UAE, 3
Australia, 11
Hong Kong, 17
Japan, 480Korea, 30
Macau, 1
Malaysia, 2
Singapore, 10
Austria, 5Belgium, 5
Czech Republic, 1
Denmark, 2
Finland, 13
Germany, 36
Greece, 3
Hungary, 12
Iceland, 4
Ireland, 10
Isle of Man, 2
Italy, 23
Lithuania, 1
Luxemburg, 1
Macedonia, 1
Netherlands, 18
Norway, 9
Poland, 5
Slovakia, 1
Spain, 3
Sweden, 7
Switzerland, 5
UK, 185
Empresas certificadas en el mundo
BSI (UK)
BSI-J (Japón)
JQA (Japón)
DNV (Noruega)
JACO (Japón)KPMG (Suiza)
LRQA (UK)
SGS (Suiza)
JICQA (Japón)
JUSE (Japón)
NQA (UK)
CIS (Austria)
SAI (Australia)
IMQ (Italia)
CE (Irlanda)
PSB (Singapur)
BVQI (UK)
SFS (Finlandia)
KEMA (Holanda)
TÜV (Alemania)
DQS (Alemania)
Otros
STQC (India)
Certification bodies:
• ISO9001 – Calidad• ISO14001 – Ambiental
• ISO17799-1 – Seguridad de la Información - 1 . NORMALIZACION (Mejores Prácticas)
• ISO 27001 – CERTIFICACION de Seguridad de la Información
Normas de Gestión ISO
Está organizada en capítulos en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta:
GESTION DE SEGURIDAD DE LA INFORMACION
Alcance
Recomendaciones para la gestión de la seguridad de la información
Base común para el desarrollo de estándares de seguridad
Norma ISO 17799 Seguridad de la Información
1. Política de Seguridad2. Organización de Seguridad3. Administración de Activos4. Seguridad de los Recursos Humanos5. Seguridad Física y Ambiental6. Gestión de Comunicaciones y Operaciones7. Sistema de Control de Accesos8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información9. Administración de Incidentes de Seguridad de la Información10. Plan de Continuidad del Negocio11.Cumplimiento
Norma ISO17799 (versión 2005)
Qué cambió de la versión anterior
Norma ISO 17799: 2005
NUEVA SECCION
antes 10 ahora 11 Dominios
ADMINISTRACION DE INCIDENTES
3: Estructura del Estandar
• Detalle para Asistir al uso y aplicación más ameno y fácil del estándar
4: Risk Assessment & Treatment
• Highlights sobre la importancia de efectuar un risk assessment para definir los CONTROLES APLICABLES
• La necesidad de un continuo assesment y administración de los RIESGOS
• Highlights sobre la importancia de la participación del Management en el análisis de RIESGOS
Hay dos SECCIONES GENERALES nuevas
Cumplimiento15. Cumplimiento12.
Administración de la Continuidad del Negocio
14. Administración de la Continuidad del Negocio
11.
Administración de Incidentes de Seguridad de la Información
13.
Adquisición , Desarrollo y Mantenimiento de Sistemas de Información
12. Desarrollo y Mantenimiento de Sistemas
10.
Administración de Accesos11. Administración de Accesos9.
Administración de las Comunicaciones y Operaciones
10. Administración de las Comunicaciones y Operaciones
8.
Physical & Environmental Security9. Seguridad Físca y Ambiental7.
Seguridad de los Recursos Humanos8. Seguridad del Personal6.
Administración de Activos7. Clasificación y Control de Activos
5.
Organización de la Seguridad de la Información
6. Organización de la Seguridad de la Información
4.
Política de Seguridad5. Política de Seguridad3.
Evaluación y Manejo de los Riesgos4.
Estructura del Estándar3.
Términos y definiciones2. Términos y definiciones2.
Alcance1. Alcance1.
ISO17799:2005ISO17799:2000
ISO17799:2000 vs ISO17799:2005
BS7799-2
Fue revisado y se ha convertido en la nueva
ISO 27001Octubre 15, 2005
De la misma forma se espera quela ISO 17799 se convierta en ISO 27002
NACE LA FAMILIA DE LAS NORMAS ISO 27000
• ISO/IEC 27001 (BS7799-Part 2) - ‘Information Security Management System’. Due for release in November 2005. (Once ISO/IEC 27001 is released, BS7799-2:2002 will be withdrawn)
• ISO/IEC 27002 (ISO/IEC 17799 & BS7799- Part 1) - The planned ‘Code of Practice’ replacement for ISO/IEC 17799:2005 scheduled for April 2007
• ISO/IEC 27003 (BS7799-3) ‘Risk Assessment’. No announcement has yet been made regarding ISO/IEC 27003 however, the BSI expect to release BS7799-3 in November 2005
• ISO/IEC 27004 (BS7799-4) ‘Information Security Metrics and Measurement’. No launch date is available, although the BSI will publish a description in July/August 2005
Preservar la:
confidencialidad:accesible sólo a aquellas personas autorizadas a tener acceso.
integridad:exactitud y totalidad de la información y los métodos de procesamiento.
disponibilidad:acceso a la información y a los recursos relacionados con ella toda vez que se requiera.
Norma ISO 17799 Seguridad de la Información
TRACK IV :
Cómo se implementa un Programa de Gestión de
Seguridad de la Información (ISMS)?
Porqué Implementar un ISMS / SISTEMA DE GESTION ISO 17799?
Algunas consideraciones generales de porquéimplementarlo:
•Para poder tener una Metodológica dedicada a la seguridad de información reconocida internacionalmente
•Contar con un proceso definido para Evaluar, Implementar, Mantener y Administrar la seguridad de la información
•Diferenciarse en el mercado de otras organizaciones
•Satisfacer requerimientos de clientes, proveedores y Organismos de Contralor
•Potenciales disminuciones de costos e inversiones
•FORMALIZAR las responsabilidades operativas y LEGALES de los USUARIOS Internos y Externos de la Información
•Cumplir con disposiciones legales (por ej. Leyes de Protección de Datos, Privacidad, etc.)
•Tener una Metodología para poder ADMINISTRAR los RIESGOS
Planificar
Hacer
Actuar
Verificar
SGSI SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Está basado en el Modelo utilizado por las NORMAS ISO en general:
• política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa;
• una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional;
• apoyo y compromiso manifiestos por parte de la gerencia;
• un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos;
• comunicación eficaz de los temas de seguridad a todos los gerentes y empleados;
Factores críticos del éxito
• distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas;
• instrucción y entrenamiento adecuados;• un sistema integral y equilibrado de medición que
se utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo.
Factores críticos del éxito
Principales PASOS a seguir en la IMPLEMENTACION del SGSI
Implementación del SGSI en 12 PASOS:
Para un entendimiento PRACTICO del Proceso de IMPLEMENTACION del SGSI, se definen a continuación las principales TAREAS a incluir en el PLAN de ACCION son:
1)Definir el alcance del SGSI desde el punto de vista de las características de la actividad, la organización, su ubicación, sus activos y su tecnología
2)Definir una Política GENERAL del SGSI
3)Definir una METODOLOGIA para la CLASIFICACION de los RIESGOS
4)Identificar y Valorar los riesgos
5)Identificar y definir ALTERNATIVAS para el tratamiento de riesgos:
•Aplicar controles•Aceptar los riesgos•Evitar riesgos•Transferir los riesgos asociados de las actividades a otras
partes (ejemplo a Compañías de Seguros)
6)Seleccionar objetivos de control y controles específicos a IMPLEMENTAR
El detalle de los controles se incluye en la Sección Dominios de ISO 17799.
Cualquier EXCLUSION de controles que se considera como necesaria para satisfacer el criterio de aceptación de riesgo, se debe justificar y se debe proporcionar la evidencia. Cuando se realizan exclusiones, no se podráalegar conformidad con esta norma a menos que dichas exclusiones no afecten la capacidad de la organización, y/o su responsabilidad para proveer seguridad de información cumpliendo con los requisitos de seguridad determinados por la evaluación de riesgo y los requisitos regulatorios aplicables.
7)Preparar una DDA Declaración de Aplicabilidad (quéCONTROLES se van a IMPLEMENTAR)
8)Obtener la aprobación de la Dirección de:• DDA Declaración de Aplicabilidad• Riesgos Residuales no cubiertos
9) Formular un plan CONCRETO y DETALLADO para:• Tratamiento de los riesgos• Controles a Implementar• Programas de entrenamiento y concientización de
usuarios• Gestionar el SGSI• Procesos de detección y respuesta a los incidentes
de seguridad
10) Implementar los CONTROLES•Controles en los Procesos de Usuarios•Controles Automáticos en las Tecnologías•Documentación de respaldo•Registros de respaldo
11)Realizar Revisiones Periódicas (Auditoría Interna y la Dirección):
•controles implementados•nuevos riesgos•riesgos residuales
12)Implementar las mejoras identificadas en el SGSI
Requisitos FUNDAMENTALES de la Documentación SOPORTE en un SGSI
Es necesario también tener en cuenta que más allá de la implementación, es necesario el MANTENIMIENTO ACTUALIZADO Y PROTEGIDO de la Documentación de respaldo del SGSI, para lo cual hay que establecer:
•Documentación mínima de respaldo•Procedimiento de Gestión de dicha documentación
Documentación MINIMA del SGSI:
a) Declaraciones documentadas de la política de seguridad y los objetivos de control
b) El alcance, los procedimientos y controles de apoyo
c) El informe de evaluación de riesgos
d) El plan de tratamiento de riesgo
e) Los procedimientos documentados necesarios para la planificación, la operación y el control del SGSI
f)Los registros requeridos:
Los registros se deben establecer y mantener para proveer evidencia de conformidad con los requisitos, deben permanecer legibles, fácilmente identificables y recuperables. Algunos ejemplos: logs de los sistemas para auditorías, formularios firmados de accesos, etc.
g) La DDA Declaración de Aplicabilidad
Procedimiento de GESTION de la Documentación
Los documentos requeridos deben cumplir con los requerimientos FORMALES del ISMS para:
a) aprobar los documentos previos a su distribución
b) revisar y actualizar los documentos según la necesidad y aprobarlos nuevamente
c) asegurarse de que los cambios y las revisiones de los documentos estén identificados
d) asegurarse de que las versiones más recientes de los documentos pertinentes están disponibles en cualquier punto de uso
e) asegurarse de que los documentos se mantengan legibles y fácilmente identificables
f) asegurarse de que los documentos de origen externo estén identificados
g) asegurarse de que la distribución de documentos este controlada
h) prevenir el uso no intencionado de documentos obsoletos
i) realizar una adecuada identificación si se retienen por cualquier causa
NOTA: existen Software que ayudan al mantenimiento de esta Gestión Documental disponibles en el mercado.
Cómo establecer los requerimientos de Seguridad
Evaluar los riesgos: • se identifican las amenazas a los activos,• se evalúan vulnerabilidades y probabilidades de ocurrencia, y• se estima el impacto potencial.
Requisitos legales, normativos, reglamentarios y contractuales que deben cumplir:• la organización,• sus socios comerciales,• los contratistas y los prestadores de servicios.
Conjunto específico de principios, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar sus operaciones.
TRACK V :
Cómo es un Proceso de Certificación ISO 27001 de una
Organización?
QUÉ ES CERTIFICAR?
El proceso de Certificación es la Generación de un INFORME Firmado por parte de un TERCERO (ajeno a la organización) que define que, de acuerdo con su CRITERIO PROFESIONAL, dicha Organización CUMPLE o NO CUMPLE con los Requerimientos establecidos en la Normativa.
PORQUE CERTIFICAR?
Para poder Mostrar al Mercado que la Organización tiene un adecuado SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACIÓN.
Una empresa CERTIFICADA no implica que NO TIENE MAS RIESGOS DE SEGURIDAD DE LA INFORMACION, sino que tienen un adecuado Sistema de Gestión de dichos Riesgos y Proceso de MEJORA CONTINUA.
QUE ORGANIZACIONES PUEDEN CERTIFICAR?
Cualquier Organización, grande o pequeña, pública o privada, de Gobierno o sin fines de lucro, etc, estáen condiciones y habilitada para CERTIFICARSE.
QUIENES ESTAN AUTORIZADOS A EFECTUAR LA CERTIFICACION?
Cualquier Agente ajeno a la Organización (Profesional Independiente o Compañía) puede Firmar el Informe antes mencionado.Pero dado que la Certificación además de un valor Interno de Asegurarse de Cumplir con la Normativa, tiene un fin principal de poder Mostrar dicha Certificación al Mercado Externo, generalmente se recurre a Organizaciones que estén Técnicamente Aceptadas y además reconocidas INTERNACIONALMENTE para efectuar dicho trabajo. Por ello se recurre a Organizaciones que estén ACREDITADAS (este es el término técnico utilizado) en el Organismo Internacional de Acreditación. Ejemplo de este tipo de Organizaciones son el Bureau Veritas BVQI, Det Norske Veritas DNV, TÜV, etc.
LA CERTIFICACION ES SEGÚN ISO 17799 O SEGÚN ISO27001?
Las Organizaciones implementan de acuerdo a ISO17799-1 pero las Empresas Certificadoras utilizan el ISO27001 (antes BS7799-2) para hacer los Informes de Certificación.
COMO ES EL PROCESO DE CERTIFICACION?
El requerimiento previo es que la Organización cumpla con la Implementación del SGSI definido en la Sección anterior.
Luego se convoca al Tercero para efectuar la CERTIFICACION.
Los principales PASOS son:
•Preparar la Documentación Soporte a Presentar
•Efectuar la PREAUDITORIA para conocer el GAP Analisis respecto al Estándar
•Identificar conjuntamente:
•las NO CONFORMIDADES (incumplimientos de acuerdo al Estándar)•las NO CONFORMIDADES que son ACEPTADAS (sólo se documentan los argumentos de justificación)•las NO CONFORMIDADES que NO son ACEPTADAS (se definen las MEJORAS a implementar)
•Implementar las MEJORAS y Generar los Soportes Documentales correspondientes
•Efectuar la AUDITORIA DE CERTIFICACION y Generación del Informe Final de Certificación incluyendo las NO CONFORMIDADES (aceptadas o NO y sus Riesgos Residuales aceptados por la Dirección de la Organización)
•Gestionar los respaldos para la Acreditación Internacional de la Certificación lograda
•Auditorías periódicas de la Empresa Certificadora para validar el continuo cumplimiento de los Requerimientos de la Normativa
PUEDE UNA ORGANIZACION PERDER LA CERTIFICACION?
Si una Organización no cumple con los requerimientos, puede ocurrir que en la Auditoría Periódica la Empresa Certificadora solicite que se saque la Certificación Obtenida inicialmente.
TRACK VI :
Principales controles definidos en cada uno de los Dominios de
la ISO17799:2005
Dominios de Norma ISO 17799
Dominio 1 - Política de Seguridad
Política de Seguridad
AutorizaciónProtección Física
Propiedad
Eficacia
Eficiencia
ExactitudIntegridad
Legalidad
Disponibilidad
Confidencialidad
Confiabilidad
Dominio 1: POLÍTICA DE SEGURIDAD
Dominio 1: POLÍTICA DE SEGURIDAD
Procedimientos Estándares técnicos
Normas
Política General
Manual de Gestión de Seguridad
Dominio 2
Organización de la Seguridad
Sponsoreo y seguimiento• Dirección de la Compañía• Foro / Comité de Seguridad
Autorización• Dueño de datos
Definición• Área de Seguridad Informática• Área de Legales
AdministraciónAdministrador de Seguridad
Cumplimiento directoUsuarios finalesTerceros y personal contratadoÁrea de sistemas
ControlAuditoría InternaAuditoría Externa
Dominio 2: ORGANIZACION DE LA SEGURIDAD
Principales roles y funciones
Dominio 3
Administración de Activos
Dominio 3: Administración de Activos
1. Identificación de la información más crítica
Identificar información: cuál es la más crítica
Identificación de los sistemas / equipos / documentos donde se conserva la información
Dominio 3: Administración de Activos
2. Identificación de los principales riesgos
Para facilitar la identificación de los riesgos más críticos se pueden utilizar las siguientes categorías:
Fraudes informáticosAtaques externos a las redesModificaciones no autorizadas de datos por empleadosAcceso y difusión inoportuna de datos sensiblesFalta de disponibilidad de los sistemas Software ilegalFalta de control de uso de los sistemasDestrucción de información y equipos
Dominio 3: Administración de Activos
Según su origen se pueden agrupar en:
NaturalesIntencionalesNo intencionales
Estos riesgos pueden ser clasificados en los siguientes tipos:
Difusión indebidaAlteración no autorizadaFalta de disponibilidad
Dominio 3: Administración de Activos
Se debe definir quiénes son los principales agentes de riesgo para la información de cada Dueño de Datos:
Espías comerciales / CompetidoresEmpleados deshonestosDelincuentes profesionalesTerroristas informáticosEx-empleados disconformes“Hackers”, “Crackers” y similaresProveedoresClientesOperadores BursátilesCompañías asociadas
Dominio 3: Administración de Activos
3. Clasificación de la información teniendo en cuenta los riesgos identificados
1. Análisis de los principales riesgos a la que está expuesta.
2. Categorización en Confidencial, Restringida o Pública.3. Identificación para determinar si se encuentra en medios
electrónicos y/o en medios físicos.4. Aprobación de los sectores / usuarios que deben acceder a la
información crítica con permisos
5. Consolidación.
Dominio 4
Seguridad de los Recursos Humanos
Dominio 4: Seguridad de los Recursos Humanos
4.1 Seguridad en la definición de puestos de trabajo y la asignación de recursos
Objetivo:
Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalaciones.
Las responsabilidades en materia de seguridad deben ser:
expliicadas en la etapa de reclutamiento,incluidas en los contratos ymonitoreadas durante el desempeño como empleado.
Dominio 4: Seguridad de los Recursos Humanos
Acuerdos de confidencialidad
Los empleados deben firmar habitualmente un acuerdo de esta índole como parte de sus términos y condiciones iniciales de empleo.
El personal ocasional y los usuarios externos aún no contemplados en un contrato formalizado (que contenga el acuerdo de confidencialidad) deberán firmar el acuerdo mencionado antes de que se les otorgue acceso a las instalaciones de procesamiento de información.
Los acuerdos de confidencialidad deben ser revisados cuando se identifican cambios en los términos y condiciones de empleo o del contrato.
Dominio 4: Seguridad de los Recursos Humanos
4.2 Capacitación del usuario
Objetivo:
Garantizar que los usuarios están al corriente de las amenazas e incumbencias en materia de seguridad de la información, y están capacitados para respaldar la política de seguridad de la organización en el transcurso de sus tareas normales.
Dominio 4: Seguridad de los Recursos Humanos
Algunas consideraciones a tener en cuenta en el procesode concientización
Involucrar a TODO el personal de la Compañía.“Sponsorearlo” por la Dirección.
Asegurar su permanencia a lo largo del tiempo."Agregar valor” a los usuarios.Definir mecanismos de control de la participación de todo el personal.Implementar sanciones disciplinarias para los que no participen.Definir medidas en caso que algún miembro del personal deje la Compañía.
Dominio 4: Seguridad de los Recursos Humanos
Estrategias de Concientizaciòn
Usuarios finalesTercerosPersonal del Area de Sistemas
Dominio 4: Seguridad de los Recursos Humanos
Usuarios Finales
Actividades
En persona Por escritoEn los sistemas
En persona
• Presentaciones gráficas al personal de cada sector.• Inducción a recursos nuevos.• Videoconferencias a usuarios.• Trabajos en grupos para análisis de casos prácticos.• Reuniones con el personal clave de cada grupo humano.• Inventarios de software en las estaciones de trabajo.
Dominio 4: Seguridad de los Recursos Humanos
Por escrito
• Incorporación de conceptos de seguridad en evaluaciones anuales de performance.
• Compromisos firmados por el personal actual y nuevo, adjuntar en sus respectivos legajos (carpetas).
• Firma anual de actualización de la conformidad.• Distribución de material gráfico al personal.• Mensajes en cartelera.
Dominio 4: Seguridad de los Recursos Humanos
En los sistemas
• Pantalla de inicio en los sistemas.• Correos electrónicos periódicos.• Entrenamiento interactivo.• Intranet de seguridad informática.• Concursos con temarios relacionados y premios atractivos.
Dominio 4: Seguridad de los Recursos Humanos
Personal de Sistemas
• Seleccionar los temas y procedimientos más críticos• Identificar dentro de las normas de Seguridad desarrolladas,
cuáles son:– Los temas más sensibles a la operatoria de la compañía.– Los procedimientos que requieran un mayor conocimiento
de la gente.• Definir capacitación según perfil de cada sector:
– Operaciones– Analistas– Programadores– Desarrollo– Tecnología– Responsables de área
Dominio 4: Seguridad de los Recursos Humanos
Terceros: identificar los distintos “tipos”• De contacto directo
– Clientes– Proveedores– Auditores externos– Compañías asociadas
• De contacto institucional– Cámaras empresariales– Organismos de contralor– Gobierno– Accionistas– Comunidad en general
Dominio 4: Seguridad de los Recursos Humanos
Dominio 4: Seguridad de los Recursos Humanos
4.3 Proceso disciplinario
Debe existir un proceso disciplinario formal para los empleados que violen las políticas y procedimientos de seguridad de la organización.
Dominio 5
Seguridad Física y Ambiental
Dominio 5: SEGURIDAD FISICA Y AMBIENTAL
Protección de:
SedesInstalacionesDocumentos Impresos
Dominio 6
Gestión de Operaciones y Comunicaciones
Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES
6.1 Procedimientos y responsabilidades operativas
Objetivo:
Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.
Se deben establecer las responsabilidades y procedimientos para la gestión y operación de todas las instalaciones de procesamiento de información.
Se debe implementar la separación de funciones cuando corresponda.
Dominio 7
Sistema de Control de Accesos
Dominio 7: SISTEMA DE CONTROL DE ACCESOS
7.1 Requerimientos de negocio para el control de accesos
Objetivo:
Controlar el acceso de información.
Dominio 7: SISTEMA DE CONTROL DE ACCESOS
Política de control de accesos
Requerimientos de políticas y de negocios
Las reglas y derechos del control de accesos, para cada usuario o grupo de usuarios, deben ser claramente establecidos en una declaración de política de accesos:
requerimientos de seguridad de cada una de las aplicaciones comerciales;identificación de toda información relacionada con las aplicaciones comerciales;políticas de divulgación y autorización de información;
Dominio 7: SISTEMA DE CONTROL DE ACCESOS
coherencia entre las políticas de control de acceso y de clasificación de información de los diferentes sistemas y redes;legislación aplicable y obligaciones contractuales con respecto a la protección del acceso a datos y servicios;perfiles de acceso de usuarios estándar, comunes a cada categoría de puestos de trabajo ;administración de derechos de acceso.
Dominio 7: SISTEMA DE CONTROL DE ACCESOS
Reglas de control de accesos
diferenciar entre reglas que siempre deben imponerse y reglas optativas o condicionales; establecer reglas sobre la base de la premisa “debe estar prohibido a menos que se permita expresamente”;reglas que requieren aprobación antes de entrar en vigencia.
Dominio 8
Adquisición, Desarrollo y Mantenimiento de Sistemas de
Información
Dominio 8: Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
8.1 Requerimientos de seguridad de los sistemas.
Objetivo:
Asegurar que la seguridad es incorporada a los sistemas de información.
Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de información.
Dominio 8: Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
Análisis y especificaciones de los requerimientos de seguridad
Se deben considerar los controles automáticos a incorporar al sistema y la necesidad de controles manuales de apoyo.
Los controles introducidos en la etapa de diseño son significativamente más baratos de implementar y mantener que aquellos incluidos durante o después de la implementación.
Dominio 9
Administración de Incidentes de Seguridad de la Información
Dominio 9: Administración de Incidentes de Seguridad de la Información
Respuesta a incidentes y anomalías en materia de seguridad
Objetivo:
Minimizar el daño producido por incidentes y anomalías en materia de seguridad, y monitorear dichos incidentes y aprender de los mismos.
Dominio 9: Administración de Incidentes de Seguridad de la Información
Los incidentes que afectan la seguridad deben ser comunicados mediante canales gerenciales.
Se debe concientizar a todos los empleados y contratistas acerca de los procedimientos de comunicación de los diferentes tipos de incidentes.
La organización debe establecer un proceso disciplinario formal para ocuparse de los empleados que perpetren violaciones de la seguridad.
Comunicación de incidentes relativos a la seguridad
Se debe establecer un procedimiento formal de:
comunicación,respuesta a incidentes, "feedback" a la persona luego de resueltos.
Estos incidentes pueden ser utilizados durante la capacitación a fin de crear conciencia de seguridad en el usuario.
Dominio 9: Administración de Incidentes de Seguridad de la Información
Dominio 10
Plan de Continuidad del Negocio
Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO
Principales etapas
• Clasificación de los distintos escenarios de desastres• Evaluación de impacto en el negocio• Desarrollo de una estrategia de recupero• Implementación de la estrategia• Documentación del plan de recupero• Testeo y mantenimiento del plan
Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO
Clasificación de los distintos escenarios de desastres
Identificar los distintos tipos de “desastres”Ponderar su ocurrencia Fijar el alcance del proyecto a los desastres de mayor probabilidad
Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO
Evaluación de impacto en el negocio
Definir los perjuicios “claves” en la evaluación del impacto en el negocio.Identificar los usuarios claves de cada sector.Relevar las funciones críticas del negocio.Definir un tiempo máximo para disponer de la información sin que impacte en el negocio.Efectuar estimaciones económicas del perjuicio para la compañía.Definir las funciones críticas que se identifican para la recuperación.
Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO
Selección de una estrategia de recupero
Analizar impacto de desastres seleccionados y funciones críticas identificadas en los equipos de procesamiento.Definir alternativas de recupero del procesamiento.Analizar los costos actuales y futuros de las solucionesElegir la/las soluciones a implementar
Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO
Implementación de la estrategiaDesarrollar las medidas a implementar en cada una de las etapas:
Identificación del desastre.“Declaración” del desastre.Actividades a desarrollar durante el desastre.Recuperación del procesamiento para volver a la “situación normal”.
Suscribir los contratos comerciales necesarios para la ejecución de los procedimientos seleccionados.Suscribir los contratos de seguros en caso de ser definido.
Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO
Implementar los mecanismos tecnológicos necesarios.Asignar las responsabilidades a cada una de laspersonas / sectores de la Compañía involucradas en el Plan.Capacitar al personal involucrado.Definir acciones complementarias:
Comunicación a clientes y proveedores.Distribución física de lugares de trabajo del personal.Estrategias de trabajo “en cada casa”.Otros recursos (teléfonos, fax, etc).Aspecto “humano” del plan.
Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO
Documentación del plan de recupero
Desarrollar los procedimientos técnicos y funcionales.Desarrollar los inventarios de personal, hardware, software, etc.
Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO
Testeo y mantenimiento del plan
Testeoo Desarrollar pruebaso Asemejar pruebas a la realidad.
Mantenimientoo Definir mecanismo para su actualización.o Efectuar pruebas periódicas del correcto
funcionamiento
Dominio 11
Cumplimiento
Dominio 11: Cumplimiento
11.1 Cumplimiento de requisitos legales
Objetivo:
Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.
Dominio 11: Cumplimiento
El diseño, operación, uso y administración de los sistemas de información pueden estar sujetos a requisitos de seguridad legal, normativa y contractual.
Se debe procurar asesoramiento sobre requisitos legales específicos por parte de los asesores jurídicos de la organización, o de abogados convenientemente calificados.
Los requisitos legales varían según el país y en relación con la información que se genera en un país y se transmite a otro.
Dominio 11: Cumplimiento
Identificación de la legislación aplicable
Se deben definir y documentar claramente todos los requisitos legales, normativos y contractuales pertinentes para cada sistema de información.
Dominio 11: Cumplimiento
11.2 Revisiones de la política de seguridad y la compatibilidad técnica
Objetivo:
Garantizar la compatibilidad de los sistemas con las políticas y estándares (normas) de seguridad de la organización.
Dominio 11: Cumplimiento
La seguridad de los sistemas de información debe revisarse periódicamente.
Dichas revisiones deben llevarse a cabo con referencia a las políticas de seguridad pertinentes y las plataformas técnicas y sistemas de información deben ser auditados para verificar su compatibilidad con los estándares (normas) de implementación de seguridad.
Dominio 11: Cumplimiento
11.3 Consideraciones de auditoria de sistemas
Objetivo:
Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo.
Deben existir controles que protejan los sistemas de operaciones y las herramientas de auditoria en el transcurso de las auditorias de sistemas.
Asimismo, se requiere una protección adecuada para salvaguardar la integridad y evitar el uso inadecuado de las herramientas de auditoria.
TRACK VII :
Taller Práctico FINALElaboración de un Programa General de Seguridad para
preparar a la Compañía para Certificar
R Identificación de los principales riesgosinformáticos para su compañía
P Definición por la Dirección de una políticabásica de seguridad
A Acción concreta en dos frentes:
Normativo
Implementación de un Programa de Seguridad
Ejecutivo
Identificación de riesgos en su compañía
Fraudes informáticos
Ataques externos a las redes
Modificaciones no autorizadas de datos por empleados
Acceso y difusión inoportuna de datos sensibles
Falta de disponibilidad de los sistemas
Software ilegal
Falta de control de uso de los sistemas
Destrucción de información y equipos
R
Clasificación de los más críticos
Personas y Organizacionesdentro y/o fuera
Identificación de riesgos en su compañíaR
Competidores
Empleados descontentos
Proveedores
Clientes
Hackers
Consultores “in company”
Compañías asociadas
en los sistemas centrales
en las PC´s
en las laptops
en los e mails
en contratos
en documentos impresos
en los legajos del personal
Donde hay información sensible
Identificación de riesgos en su compañíaR
Definición de una política básica de seguridad
Breve
Clara
Implementable
Puesta en marcha por la Dirección
Difundida al personal y terceros
P
Definición de una política básica de seguridad
P
Política de Seguridad
AutorizaciónProtección Física
Propiedad
Eficacia
Eficiencia
ExactitudIntegridad
Legalidad
Disponibilidad
Confidencialidad
Confiabilidad
Sponsoreo y seguimiento
• Dirección de la Compañía
• Comité de Seguridad
Autorización
• Dueños de datos
Definición
• Area de Seguridad Informática
• Area de Legales
Identificación de responsabilidades de seguridad
Acción concreta: Plano NormativoA
Cumplimiento directo
• Usuarios finales
• Terceros y personal contratado
• Area de sistemas
Administración
• Administrador de Seguridad
Control
• Auditoría Interna / Externa
Acción concreta: Plano Normativo
Normas con definiciones
Procedimientos con acción de usuarios
Estándares técnicos para los sistemas
Esquema de reportes de auditoría
De acuerdo con regulaciones y legislaciones vigentes
Desarrollo de la normativa básica y publicación
A
Definición de acciones a sancionar y medidas disciplinarias a imponer
Comunicación al personal y terceros “in company”
Utilización de convenios de confidencialidad
Definición de un sistema de “premios y castigos” en su compañía
Acción concreta: Plano NormativoA
Perfil de la función
Análisis de riesgos informáticos
Participación en proyectos especiales
Administración del día a día
Objetivos y tareas básicas
Programas de trabajo rutinarios
Automatización de tareas y reportes en los sistemas
Definición e implementación de la función de Seguridad Informática
Acción concreta: Plano EjecutivoA
Administración de Usuarios y Permisos en los SistemasSeparación de Ambientes de TrabajoLicencias legales de SoftwareCopias de RespaldoSeguridad Física de las Instalaciones y RecursosPrevención de Virus y Programas MaliciososSeguridad en las ComunicacionesAuditoría Automática y Administración de Incidentes de SeguridadUso del Correo ElectrónicoUso de Servicios de Internet
Mejoras en los procesos del área de Sistemas
Acción concreta: Plano EjecutivoA
Redes internasAccesos externosBases de datos
Sistemas aplicativosCorreo electrónico
Servidores, PC´s y laptopsSeguridad física
Integración con otras tecnologías
Parametrización de las redes y lossistemas de una forma más segura
Análisis de la posibilidad de uso de softwares de seguridad avanzada(encripción, administración centralizada, monitoreo automático)
Acción concreta: Plano EjecutivoA
Acciones preventivas de monitoreo las 24 hsImplementación de Help Desk de SeguridadCircuitos de reportes de incidenciasMonitoreos periódicosAuditorías
Implementación de monitoreos de incidentes de seguridad
Acción concreta: Plano EjecutivoA
Capacitación a los usuarios en seguridad
Usuarios finales
Usuarios del área de sistemas
Terceros “in company”
Intranet de seguridad
Correo electrónico
Mensajes en cartelera
Presentaciones grupales
Videos institucionales
Firma de compromisos
Acción concreta: Plano EjecutivoA
Utilizando la tecnología y los medios disponibles
TRACK VIII :
MODELO ANUAL DE GESTION CONTINUA
Diagnóstico Inicial:
• Efectuar Diagnóstico Inicial de la situación de la Compañía en relación a los requerimientos de la ISO 17799.
• 2 a 3 semanas
Implemente Ud. Mismo el ISMS ISO 17799
Módulos:
• Se agrupan por Módulos cada conjunto de tareas, debiendo identificarse la duración de cada uno de ellos, en general, podrávariar entre 2 a 4 semanas c/u dependiendo del Diagnóstico y del grado de involucramiento del personal.
Implemente Ud. Mismo el ISMS ISO 17799
Implemente Ud. Mismo el ISMS ISO 17799
Módulo 1:
• Relevar los planes de seguridad funcionales y técnicos en proceso en la compañía
• Iniciar proceso de Identificación de Riesgos y Clasificación de Información Sensible
• Definir el Plan de Tareas para los 2 primeros años (integrando otros proyectos de seguridad en curso)
Módulo 2:
• Definir, aprobar y difundir la Política de Seguridad de la Compañía
• Definir la estructura y alcance del Manual de Seguridad de la Información de la Compañía
• Definir y difundir las responsabilidades de Seguridad de la Información de cada sector de la Compañía
• Implementar Esquema de Propietarios de Datos
Implemente Ud. Mismo el ISMS ISO 17799
Módulo 3:
• Definir e iniciar el proceso de Concientización de Usuarios internos y Terceros
• Iniciar proceso de redacción de las Normas
Implemente Ud. Mismo el ISMS ISO 17799
Módulo 4:
• Finalizar Clasificación de Información• Relevar medidas implementadas en
las funciones del área de sistemas
Implemente Ud. Mismo el ISMS ISO 17799
Módulo 5:
• Finalizar la Redacción y Difundir las Normas de Seguridad
• Implementar las definiciones de las Normas
Implemente Ud. Mismo el ISMS ISO 17799
Módulo 6:
• Implementar las mejoras de seguridad en las Funciones y Roles del área de Sistemas
• Implementar mejoras en los sectores usuarios para información impresa
Implemente Ud. Mismo el ISMS ISO 17799
Módulo 7:
• Iniciar proceso de redacción de Procedimientos críticos
• Iniciar Programa de Continuidad del Negocio / Procesamiento Crítico de la Información
Implemente Ud. Mismo el ISMS ISO 17799
Módulo 8:
• Finalizar la redacción y difundir los Procedimientos críticos
• Relevamiento general del cumplimiento del Marco Legal y Regulatorio (leyes vigentes, etc)
Implemente Ud. Mismo el ISMS ISO 17799
Módulo 9:
• Implementar los Procedimientos de Seguridad Críticos
• Relevar e Integrar los Estándares Técnicos de Seguridad desarrollados dentro del Manual de Seguridad
Implemente Ud. Mismo el ISMS ISO 17799
Módulo 10:
• Definir junto a RRHH mecanismos de Control y Sanciones
• Efectuar la Concientización de Usuarios de toda la Compañía
Implemente Ud. Mismo el ISMS ISO 17799
Módulo 11:
• Diagnóstico General respecto Norma ISO 17799 (similar a una Preauditoríade Certificación ISO)
Implemente Ud. Mismo el ISMS ISO 17799
Módulo 12:
• Implementación de las mejoras identificadas en el Diagnóstico según ISO 17799
Implemente Ud. Mismo el ISMS ISO 17799
• Muchas Gracias !!!
• Sixto Flores R.
• sixto.flores@i-sec.org