Comité de Coordinación del

Sistema de InformáticaPresentación

Directiva Nº 001-95-IN-010800

Normas para el funcionamiento de los sistemas de informática y telecomunicaciones en el MININTER

•Objeto : Dictar normas y establecer procedimientos para estandarizar el funcionamiento de Sistemas de Informática y Telecomunicaciones en todos los Órganos del MININTER (SITEMI)

•Alcance : A todos los Órganos, Unidades y Dependencias del MININTER

Objetivos del Comité

• Definir los estándares técnicos de hardware, software y de telecomunicaciones.

• Formular el requerimiento de recursos para la detección de virus informáticos.

• Establecer lineamientos de política de capacitación informática.

• Emitir disposiciones al respecto.

Estructura del Comité

• Está presidido por el Director General de OFITEL.

• Conformado por representantes de las Oficinas/Direcciones Generales de los Órganos No-Policiales del MININTER.

• Quienes no cuenten con una unidad orgánica especializada de Informática designarán entre su personal a un funcionario encargado de mantener enlace con OFITEL

Tareas Inmediatas del Comité

• Implantación y empleo de la Norma Técnica Peruana NTP-ISO/IEC 17799:2004 “Tecnología de la Información. Código de Buenas Prácticas para la Gestión de la Seguridad de la Información”.

ISO 17799Presentación

Indice

• ¿Que es ISO 17799?

• Reseña Historica

• ¿Quien puede usarla?

• Implementación

• Herramientas

¿Que es ISO 17799?

.• Una serie de controles basados en las mejores practicas para la seguridad de la información;

• Un estandard internacional que cubre cada aspecto de la seguridad de la información:– Equipamiento;– Políticas Administrativas– Recursos Humanos;– Aspectos Legales.

¿De que consiste ISO 17799 ?

.•ISO 17799 (parte 1) es el Código de Práctica, es una guia que da recomendaciones sobre métodos para desarrollar un sistema de gestíon de la seguridad de la seguridad.

•ISO 17799 (parte 2) (BS 7799) esta parte detalla los elementos que tienen que implementarse para que una organización este preparada para una Auditoria previa a la certificación ISO.

Cualidades de ISO 17799

• Facil de entender• No depende de la tecnología• Buena practica• No es solo tecnología de información• Flexible, se adapta a todo contexto• Es un estandard internacional• Un nombre asociado con CALIDAD

Controlde

accesos

Clasificacióny control

de activos

Políticas de seguridad Seguridad

de la organización

Seguridad ligada al personal

Seguridadfísica y del

entorno Gestión de comunicaciones y

operaciones

Desarrolloy mantenimiento

de sistemas

Gestión decontinuidad del

negocio

Cumplimiento

Información

Integridad Confidencialidad

Disponibilidad

Las 10 claves de ISO 17799

Organizacional

Operacional

1. Políticas de

seguridad

2. Seguridad de la organización

3. Clasificación y control de

activos7. Control de

accesos

4. Seguridad ligada al personal

5. Seguridad física y del entorno

8. Desarrollo y mantenimiento

de sistemas

6. Gestión de comunicaciones y

operaciones

9. Gestión de continuidad del

negocio

10. Cumplimiento

Las 10 claves de ISO 17799

History and Development of ISMS

19951998

BS 7799 Parte 1

BS 7799 Parte 2

2000

ISO/IEC 17799:2000

Agosto 2003PCM elabora la NTP-IOS/IEC 17799:2003

tomando como referencia a la norma internacional ISO/IEC 17799:2000

Julio 2004 Aprobación de Uso Obligatoriode norma NTP-ISO/IEC 17799:2004

RM Nº 224-2004-PCM

Reseña Historica

¿Quién puede usarla?

• ISO 17799 puede ser usada por cualquier organización. Si la organización usa sistemas computacionales internamente o externamente, posee datos confidenciales, depende de sistemas de información en el contexto de sus actividades económicas o gubernamentales, o simplemente necesita adoptar un alto nivel de seguridad para cumplir con sus funciones, entonces el estandard, ISO 17799 es la solución.

ISO 17799 Auditoria y Certificación

• ISO 17799, por el momento no hay certificación disponible.

• Una organización puede cumplir con ISO 17799 y prepararse para una futura certificación.

• Los procesos de auditoria son documentados:– Auditoria interna– Auditoria Externa (carta de opinión)– Registro ISO (certificación oficial)

Organizaciones internacionales que usan la norma

• Más de 80,000 organizaciones alrededor del mundo usan la norma ISO 17799:• Fujitsu Limited;• Marconi Secure Systems ;• Samsung Electronics Co Ltd;• Sony Bank inc. ;• Symantec Security Services ;• Toshiba IS Corporate

Ventajas

• Conformidad con las reglas del gobierno para la gestión del riesgo;

• Una protección mejor de la información confidencial de la institución;

• Reduce los riesgos de los ataques de hacker`s ;

• Una recuperación más rápida y más fácil luego de un ataque.

Ventajas (cont.)

• Metodología estructurada de la seguridad que ha ganado el reconocimiento internacional;

• Confianza mutua creciente entre las entidades del estado;

• Prácticas y conformidad mejoradas de la privacidad y confidencialidad de la información.

Gestión (Modelo PHVA)

Metodología y Ciclo de Implementación

•Identifique y evalúe las amenazas y las vulnerabilidades;•Calcule el valor de riesgos asociados;•Diagnostique el nivel de la conformidad conISO 17799;•Inventariar y evaluar los activos ha proteger.

Evaluación de Riesgos

Identificar el alcance y los límites del marco de la gestión de la seguridad de la información, es crucial para el éxito del proyecto.

Definición de la SGSI (Sistema de Gestión de la Seguridad Informática)

•Asegurar el compromiso de la gerencia superior;•Seleccionar y entrenar a miembros del equipo de proyecto inicial.

Inicio del proyecto

DescripciónPasos de la metodología y ciclo para implementar el

estandard

Metodología y Ciclo de Implementación (cont.)

Auditoría

Validar el marco de la gestión y qué debe ser hecho antes de que se proceda con la Auditoría.

Preparación para la Audioría

El personal puede ser el eslabón más débil de la seguridad de la información de su organización.

Entrenamiento y puesta en conocimiento

Encontrar cómo seleccionar e implementar los controles a los accesos que pueden permitir a una organización reducir el riesgo a un nivel aceptable.

Tratamiento del Riesgo

DescripciónPasos de la metodología y ciclo para implementar el

estandard

Deliverables – ISO 17799Así funciona – ISO 17799

Obstaculos Potenciales Factores de éxito

• Personal y recursos dedicados;

• Experiencia externa;• La buena comprensión de la

gestión de riesgo funciona (organizacional) y los procesos (operaciones);

• Comunicación frecuente;• Conocimiento del director y

del empleado; • Compromiso de la dirección

superior.

• Miedo, resistencia al cambio;

• Riesgo de continuismo;• Incremento de costos; • Insuficiente

conocimiento para ejecutar la tarea;

• Tarea aparentemente insuperable.

Referencias

• Administración del Riesgo IT - José Ponce, Ernst & Young.

• Expectativas de la norma técnica peruana NTP-ISO/IEC 17799:2004 EDI - José Parra, Oficina Nacional de Gobierno Electrónico e Informática de la Presidencia del Consejo de Ministros.

• Implantación de un Sistema de Gestión de Seguridad de Información - Alberto Alexander, CENTRUM Católica.

• Norma Técnica Peruana NTP-ISO/IEC 17799:2004 EDI. Tecnología de la Información. Código de Buenas Prácticas para la Gestión de la Seguridad de la Información. 1º Edición, PCM.

Conclusion

La seguridad se logra implementando un conjunto adecuado de controles basados en metodologías o estándares de seguridad