Presentacin de PowerPoint

ADMINISTRACION DE CENTROS TECNOLOGICOS DE INFORMACION

UTEA-APURIMAC-ABANCAYE.P. INGENIERIA DE SISTEMAS E INFORMATICA

DOCENTE: EDUARDO CHAVEZ NOSE

INTEGRANTES: MILAN ENRIQUE DURAND SEQUEIROS ALGIRIO NOSE JORGE LUIS ARIAS NOSE WILY SEQUEIROS NOSEImplementacin de la norma ISO-IEC 27001:2014Seccin 1: Principios fundamentales de la Seguridad de la Informacin.

Seccin 2: Estndar y Marco Normativo.

Seccin 3: Implementacin de la Norma ISO 27001.

Seccin 1Principios fundamentales de la Seguridad de la Informacin

Qu es Seguridad?El trmino seguridad proviene de la palabra securitas del latn. Cotidianamente se puede referir a la seguridad como la reduccin del riesgo o tambin a la confianza en algo o alguien. Sin embargo, el trmino puede tomar diversos sentidos segn el rea o campo a la que haga referencia.

Informacin y ActivoInformacin: Datos significativos Activo: Cualquier bien que tiene valor para la organizacin

Activo de InformacinLas organizaciones poseen informacin que deben proteger frente a riesgos y amenazas para asegurar el correcto funcionamiento de su negocio. Este tipo de informacin imprescindible para las empresas es lo que se denomina activo de informacin.

Tipos de Activos de InformacinServicios: Procesos de negocio de la organizacin Datos/Informacin: Que son manipulados dentro de la organizacin, suelen ser el ncleo del sistema, los dems activos les dan soporte. Aplicaciones (Software) Equipo Informtico (Hardware) Personal Redes de Comunicacin Soporte de Informacin Equipamiento Auxiliar Instalaciones Intangibles

Documento - RegistroDocumento: Informacin y su medio de soporte.Registro: Documento que indique los resultados obtenidos o proporcione evidencia de las actividades desempeadas.

Seguridad de la InformacinLa seguridad de la informacin es el conjunto de medidas preventivas y reactivas de las organizaciones que permiten resguardar y proteger la informacin buscando mantener las dimensiones (confidencialidad, disponibilidad e integridad) de la misma.Seguridad de la InformacinAbarca todo tipo de informacin Impresa o escrita a mano Grabada con asistencia tcnica Transmitida por correo electrnico o electrnicamente Incluida en un sitio web Mostrada en videos corporativos Mencionada durante las conversaciones Etc.

PRINCIPIOS BASICOS DE SEGURIDADLa razn bsica de las organizaciones es que en situaciones de rpido cambio slo aquellas que sean flexibles, adaptables y productivas se destacarn. Para que esto suceda las organizaciones necesitan descubrir cmo aprovechar el compromiso de la gente y la capacidad de aprender en todos los niveles.

Confidencialidad La confidencialidad es la propiedad que impide la divulgacin de informacin a personas o sistemas no autorizados. A grandes rasgos, asegura el acceso a la informacin nicamente a aquellas personas que cuenten con la debida autorizacin.

Integridad Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. La integridad es mantener con exactitud la informacin tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados.

Disponibilidad La disponibilidad es la caracterstica, cualidad o condicin de la informacin de encontrarse a disposicin de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. La disponibilidad es el acceso a la informacin y a los sistemas por personas autorizadas en el momento que as lo requieran.

Anlisis de Riesgos Vulnerabilidad La debilidad de un activo o de un control que puede ser explotada por una o ms amenazas. Las vulnerabilidades pueden ser intrnsecas o extrnsecas.

16Anlisis de Riesgos Amenazas Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o accin que puede producir un dao (material o inmaterial) sobre los Elementos de Informacin.

Anlisis de Riesgos Relacin: Vulnerabilidad y Amenaza

Impacto Cambio adverso importante en el nivel de los objetivos de negocios logrados.

Riesgo para la Seguridad de la Informacin Potencialidad de que una amenaza explote una vulnerabilidad en un activo o grupo de activos y por lo tanto causar dao a la organizacin.

Probabilidad de OcurrenciaConsecuencia(Impacto)Riesgo

El Riesgo en funcin del Impacto y la Probabilidad zona 1 riesgos muy probables y de muy alto impacto. zona 2 franja amarilla: cubre un amplio rango desde situaciones improbables y de impacto medio, hasta situaciones muy probables pero de impacto bajo o muy bajo.zona 3 riesgos improbables y de bajo impacto.zona 4 riesgos improbables pero de muy alto impacto.

Objetivo de Control y Control Objetivo de Control Declaracin de describir lo que se quiere lograr como resultado de los controles de aplicacin. Control Mtodos para gestionar a riesgo. Incluye las polticas, procedimientos, directrices y prcticas o estructuras organizativas. Sinnimo: medida, contra medida, dispositivo de seguridad.

22Tipos de Controles Control preventivo Desalentar o evitar la aparicin de problemas Ejemplos: Publicacin de la poltica de seguridad de la informacin. Hacer que socios y empleados firmen un acuerdo de confidencialidad. Establecer y mantener contactos apropiados con los grupos de especialistas en seguridad de la informacin. Contratar slo personal calificado.

Tipos de Controles Control de investigacin Buscar e identificar anomalas Ejemplos: Controles en trabajos de produccin. Control de ecos en las telecomunicaciones. Alarmas para detectar el calor, humo, fuego o riesgos relacionados con el agua. Verificacin de los dobles clculos. Cmaras de vdeo. Sistema de deteccin de intrusiones (IDS).

Tipos de Controles Control correctivo Evitar la repeticin de anomalas Ejemplos: Implementar planes de emergencia con la formacin, concienciacin, pruebas, procedimientos y actividades de mantenimiento necesarios. Procedimientos de emergencia, tales como copias de seguridad peridicas, el almacenamiento en un lugar seguro y la recuperacin de las transacciones. Procedimientos re-ejecutados.

Las Relaciones entre Conceptos de Gestin de Riesgos Seccin 2 Estndar y Marco Normativo

Qu es ISO? ISO es una red de organismos nacionales de estandarizacin de mas de 160 pases. Los resultados finales de los trabajos realizados por ISO son publicados como normas internacionales.Se han publicado mas de 19,000 normas desde 1947.

QUE ES LA NTP ISO 27001:2014ISO 27001 es una norma internacional emitida por la Organizacin Internacional de Normalizacin (ISO) y describe cmo gestionar la seguridad de la informacin en una empresa. La revisin ms reciente de esta norma fue publicada en 2014 y ahora su nombre completo es ISO/IEC 27001:2014.

ISO 27001 puede ser implementada en cualquier tipo de organizacin, con o sin fines de lucro, privada o pblica, pequea o grande. Est redactada por los mejores especialistas del mundo en el tema y proporciona una metodologa para implementar la gestin de la seguridad de la informacin en una organizacin. Tambin permite que una empresa sea certificada; esto significa que una entidad de certificacin independiente confirma que la seguridad de la informacin ha sido implementada en esa organizacin en cumplimiento con la norma ISO 27001.

La NTP ISO 27001:2014 (Norma Tcnica Peruana) es una traduccin de la NTP 27001, para el Per realizada en el ao 2014. Es la norma validada por INDECOPI.NORMATIVIDAD LEGAL A CONSIDERARRM N 129-2012-PCM Implementacin Obligatoria de la NTP ISO IEC/ 27001:2008.LEY N 29664 Ley que Crea el Sistema Nacional de Gestin de Desastres (SINAGERD).Ley 29733, Ley de Proteccin de Datos Personales y su reglamento, aprobado por Decreto Supremo N 003-2013-JUS.Decreto Supremo N 013-2003-PCM, Dictan medidas para garantizar la legalidad de la adquisicin de programas de software en entidades y dependencias del Sector Pblico.Resolucin Ministerial N 179-2004-PCM, que aprueba el uso obligatorio de la Norma Tcnica Peruana NTP-ISO/IEC 12207:2004, Tecnologa de la Informacin, Procesos del ciclo de vida del software 1 Edicin y modificatoria.ESTRUCTURA DE LA ISO 27001:2014

Estructura la Seguridad Norma NTP ISO 27001:2008

Principios Bsicos de las Normas ISO 1. Representacin igualitaria: 1 voto por pas2. Adhesin voluntaria: ISO no tiene la autoridadpara forzar la adopcin de sus normas3. Orientacin al negocio: ISO slo desarrolla normas para las que existe demanda del mercado4. Enfoque de consenso: busca un amplio consensoentre las distintas partes interesadas5. Cooperacin internacional: ms de 160 pasesadems de organismos de enlace

PrincipiosBsicos de las Normas ISO

Qu son los Sistemas de Gestin? Un sistema de gestin es una estructura probada para la gestin y mejora continua de las polticas, los procedimientos y procesos de la organizacin. Un sistema de gestin ayuda a lograr los objetivos de la organizacin mediante una serie de estrategias, que incluyen la optimizacin de procesos, el enfoque centrado en la gestin y el pensamiento disciplinado.

Los Sistemas de Gestin se Integran CALIDAD ISO 9001SISTEMA DE GESTIONAMBIENTALISO ISO 14001SEGURIDAD DE LA INFORMACIONISO 27001SALUD Y SEGURIDAD TRABAJOOHSAS 1800135Qu es un SGSI? Un SGSI (Sistema de Gestin de Seguridad de la Informacin) proporciona un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la proteccin de los activos de informacin para lograr objetivos de negocio. El anlisis de los requisitos para la proteccin de los activos de informacin y la aplicacin de controles adecuados para garantizar la proteccin de estos activos de informacin, contribuye a la exitosa implementacin de un SGSI. El Sistema de Gestin de la Seguridad de la Informacin (SGSI) en las empresas ayuda a establecer estas polticas, procedimientos y controles en relacin a los objetivos de negocio de la organizacin.

En ingles se conoce con las siglas ISMS (Information security management system)Enfoque a Procesos

Ciclo de Deming El circulo de DEMING se constituye como una de las principales herramientas para lograr la mejora continua en las organizaciones o empresas que desean aplicar a la excelencia en sistemas de gestion. El conocido Ciclo Deming o tambin se le denomina el ciclo PHVA que quiere decir segn las iniciales (planear, hacer, verificar y actuar) o ingles PDCA (Plan, Do, Check, Act)

Ciclo de Deming

Familia ISO 27000 VocabularioISO 27000VocabularioRequisitosGeneralidadesIndustriaISO 27001Requisitos del SGSIISO 27009Requisitos organizacin certificadoraISO 27002Cdigo buenasprticasISO 27003Gua de ImplementacinISO 27004MtricasISO 27005Gestin de RiesgosISO 27007-27008Guias de AuditoriaISO 27011TelecomunicacionesISO 27799SaludISO 270XX Vocabulario

ISO 27001 Especifica los requisitos de gestin de un SGSI (Clusula 4 a 10) Los requisitos (clusulas) son escritos utilizando el verbo "debern" en imperativo Anexo A: 14 clusulas que contienen 35 objetivos de control y 114 controles La organizacin puede ser certificada en esta norma

41ISO 27002 Gua para el cdigo de prcticas para los controles de la seguridad de la informacin (Documento de referencia) Clusulas escritas utilizando el verbo "debera" Compuesto de 14 clusulas, 35 objetivos de control y 114 controles Una organizacin no puede ser certificada en esta norma Tambin conocida como ISO 17799

ISO 27003 Gua para el cdigo de prcticas para la implementacin de un SGSI Documento de referencia para ser utilizado con las normas ISO 27001 e ISO 27002 Consta de 9 clusulas que definen 28 etapas para implementar un SGSI La certificacin con esta norma no es posible

Historia de la Norma ISO 27001

Estructura de la Norma ISO 27001

Seccin 3 Implementacin de la Norma ISO 27001

Enfoque a Procesos La aplicacin del enfoque de proceso variar de una organizacin a otra en funcin de su tamao, complejidad y actividades A menudo las organizaciones identifican demasiados procesos Los procesos se pueden definir como un grupo lgico de tareas relacionadas entre s, para alcanzar un objetivo definido.

ENTRADAPROCESOSALIDAInformacin Documentada Ciclo de Vida de los Documentos

ISO 30301 Informacin y documentacin. Sistemas de gestin para documentos. Requisitos.La organizacin puede ser certificada en esta norma.

La implantacin de un Sistema de Gestin de Seguridad de la Informacin es una decisin estratgica que debe involucrar a toda la organizacin y que debe ser apoyada y dirigida desde la direccinEtapas Ciclo de Deming

Iniciando el SGSI Definicin del enfoque para la aplicacin del SGSI Velocidad de Implementacin Nivel de madurez del proceso y controles Expectativas y mbito Seleccin de un marco metodolgico Metodologa para gestionar el proyecto (PMBOK) Alineacin con las mejores practicas ISO 27001 ISO 27002 ISO 27003 ISO 27004

Nivel de Madurez Es importante determinar en que nivel se encuentra la organizacin, para ello CMM muestra la madurez de una organizacin basndose en la capacidad de sus procesos FASE I Organizacin

Fase I Organizacin Desarrollar las actividades principales para la direccin e inicio de la implantacin del SGSI. Obtener el apoyo institucional.

Determinar el alcance del Sistema de Gestin de Seguridad de la Informacin.

Determinar la declaracin de Poltica de Seguridad de la Informacin y objetivos.

Determinar criterios para la evaluacin y aceptacin de riesgos.

Obtener el Apoyo Institucional Existen 4 ejes de apoyo para sustentar el apoyo institucional, estos son: 1. Cumplimiento 2. Proteccin de Procesos de Negocio 3. Disminucin de incidentes 4. Ordenamiento de su negocio

Organizacin de la Seguridad

Comit Gestin El Comit de Gestin de Seguridad de la Informacin es el mximo rgano consultivo de carcter no tcnico sobre la seguridad de la informacin. Se reunir por lo menos una vez al mes para evaluar la situacin institucional en materia de seguridad de la informacin y el plan de accin para mejorarla continuamente. Las funciones del Comit de Gestin de Seguridad de la Informacin son las siguientes:

Informar la situacin Institucional en materia de seguridad de la informacin. Proponer la designacin del Oficial de Seguridad de la Informacin. Designar a los miembros del Comit Tcnico de Seguridad de la Informacin. Patrocinar y participar en la implementacin, operacin, monitoreo, revisin, mantenimiento y mejora continua del Sistema de Gestin Seguridad de la Informacin (SGSI).Comit Tcnico El Comit Tcnico de Seguridad de la Informacin es un rgano consultivo de carcter tcnico y est integrado por los Jefes de los procesos involucrados en el alcance quienes debern tener un amplio conocimiento de los procesos que se realizan en la institucin. Las funciones del Comit Consultivo de Seguridad de la Informacin son las siguientes: Proponer mejoras o iniciativas en materia de seguridad de la informacin al Comit de Gestin o al Oficial de Seguridad de la Informacin en materia de gestin de riesgos, activos de informacin, procesamiento de la informacin, mejoras al SGSI, entre otros. Ser embajadores de seguridad de la informacin para influenciar las opiniones de una forma positiva y, recoger las necesidades y expectativas de los trabajadores. Reunirse peridicamente a fin de analizar y evaluar la seguridad de la informacin y emitir informes al Comit de Gestin de Seguridad de la Informacin. Participar de las reuniones convocadas por el Comit de Gestin de Seguridad de la Informacin.

58

Determinar el Alcance del SGSI Se debe definir en funcin de caractersticas del negocio, organizacin, localizacin, activos y tecnologa, definir el alcance y los lmites del SGSI (el SGSI no tiene por qu abarcar toda la organizacin; de hecho, es recomendable empezar por un alcance limitado).Determinar el Alcance del SGSI Definir los limites de la organizacin. Definir los limites de los sistemas de informacin. Definir el mbito y limites fsicos. Definir el alcance del SGSI. Cambios en el alcance. Extensin del mbito de aplicacin.

Cualquier cambio en el alcance debe ser evaluado, aprobado y documentado.

Determinar la Declaracin de Poltica de Seguridad de la Informacin y Objetivos Debe tener el marco general y los objetivos de seguridad de la informacin de la organizacin Debe explicar los requisitos de negocio, legales y contractuales en cuanto a seguridad Debe de estar alineada con la gestin de riesgo general, establecer criterios de evaluacin de riesgo y ser aprobada por la Direccin. La poltica de seguridad es un documento muy general, una especie de "declaracin e intenciones" de la Direccin, por lo que no pasar de dos o tres pginas. Tipos de Poltica

Estructura de una Poltica Resumen Introduccin mbito de aplicacin Objetivos Principios Responsabilidades Resultados importantes Polticas relacionadas Definiciones Sanciones

Determinar Criterios para la Evaluacin y Aceptacin de Riesgos Se debe definir una metodologa de evaluacin de riesgos apropiada para el SGSI y las necesidades de la organizacin, desarrollar criterios de aceptacin de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodologas de evaluacin de riesgos aceptadas; la organizacin puede optar por una de ellas, hacer una combinacin de varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones adicionales sobre cmo definirla.

Algunas Metodologas para la Evaluacin de Riesgos Magerit (Espaa) Octave (EE.UU.) Cramm (Reino Unido) Microsoft (EE.UU.) Tra (Canada) Nist 800-30 (EE.UU.) Ebios (Francia) Mehari (Francia)

Factores en la Seleccin de la Metodologa Compatibilidad con los criterios de la ISO 27001. Idioma del mtodo.Posibilidad de herramientas de software.Documentacin, formacin, apoyo. Facilidad de uso .Costo de utilizacin. Existencia de material de comparacin (mtricas, estudios, casos, etc.).FASE II Planificacin

Realizar evaluacin de Riesgos Conducir un anlisis entre los riesgos identificados y las medidas correctivas existentes Desarrollar un plan de tratamiento de riesgos Desarrolla la declaracin de Aplicabilidad Desarrollar las actividades de planificacin requeridas por la norma de manera metodolgica y en concordancia con la poltica y objetivos del SGSI dentro del alcance del mismo. Realizar Evaluacin de Riesgos Inventario de Activos Todos aquellos activos de informacin que tienen algn valor para la organizacin y que quedan dentro del alcance del SGSI Se debe inventariar el nombre activo, tipo, responsable y ubicacin como campos mnimos. Se debe realizar la dependencia de activos

Realizar Evaluacin de Riesgos Inventario de Activos

Realizar Evaluacin de Riesgos Anlisis de Riesgos Anlisis de los riesgos: evaluar el dao resultante de un fallo de seguridad (es decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en funcin de los niveles definidos previamente) o requiere tratamiento.

Realizar Evaluacin de Riesgos Anlisis de Riesgos

Plan de Tratamiento de Riesgos

Seleccin de Controles y SOA Confeccionar una Declaracin de Aplicabilidad: la llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razn de su seleccin, los controles actualmente implementados y la justificacin de cualquier control del Anexo A excluido. Es, en definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.

Redaccin de la Declaracin de Aplicabilidad

FASE III Despliegue

Desplegar las actividades de implementacin del SGSI Elaborar el plan de trabajo priorizado Desarrollar documentos y registros necesarios Implementar los controles seleccionados

Plan de Trabajo del SGSI Un plan de trabajo es un instrumento de planificacin. Estructura actividades, responsables, tiempos, recursos, generalmente se expresa por medio de un diagrama de gantt.

Plan de Capacitacin Definir las necesidades de capacitacin.Diseo y planificacin de la capacitacin. Provisin de la capacitacin. Evaluacin de los resultados de la capacitacin.

Plan de Capacitacin

Plan de Capacitacin La gran diferencia entre la formacin y la concientizacin es que la capacitacin tiene por objeto proporcionar los conocimientos para permitir que la persona ejerza sus funciones mientras que el objetivo de concientizar es centrar la atencin en un inters individual o una serie de asuntos sobre la seguridad.Plan de Comunicacin Determinar qu queremos conseguir, cules son nuestros objetivos. Decidir a quin vamos a dirigir nuestra comunicacin. Pensar cul es la idea que queremos transmitir. Fijar el presupuesto con el que contamos (cunto). Seleccionar los medios apropiados y su frecuencia de utilizacin. Ejecutar el plan de medios y medir su impacto.

Plan de Comunicacin Partes Interesadas Clientes Proveedores Empleados Comunidades Medios de Comunicacin Inversores

El compromiso con las partes interesadas constituye una oportunidad para que una organizacin pueda conocer sus problemas e inquietudes; puede llevar a que el conocimiento sea adquirido por ambos lados y pueden influir en las opiniones y percepciones.Controles de la ISO 17799 ahora 27002

FASE IV Revisin 82

Realizar actividades de revisin del SGSI evidenciando el cumplimiento de los requisitos de la norma.Monitorear el desempeo del SGSI Fortalecer la gestin de incidentes Desarrollar documentos y registros necesarios Desarrollar las actividades para evidenciar la mejora continua

Monitoreo Determinar los Objetivos de la Medicin La norma no indica lo que debe ser objeto de supervisin o medicin.Corresponde a la empresa determinar qu es lo que necesita ser controlado y medido.Es una mejor prctica centrarse en la vigilancia y medicin de las actividades que estn vinculadas a los procesos crticos que permiten a la organizacin alcanzar sus metas y objetivos de seguridad de la informacin.Demasiadas medidas pueden distorsionar el enfoque de una organizacin y desenfocar lo que es verdaderamente importante.Monitoreo Objetivos de la Medicin Los objetivos de la medicin en el marco de un sistema de gestin incluyen:

Evaluacin de la eficacia de los procesos y procedimientos implementados; Verificacin de la medida en que los requisitos identificados de la norma se han cumplido. Facilitar la mejora del rendimiento; Aportar para la revisin de la gestin para facilitar la toma de decisiones y justificar las mejoras que necesita el sistema de gestin implementado.

88Monitoreo Tableros de Mando

Gestin de Incidentes Asegurarse de que los eventos de seguridad son detectados e identificados. Educar a los usuarios acerca de los factores de riesgo que podran causar incidentes de seguridad. Tratar los incidentes de seguridad en la forma ms adecuada y eficaz. Reducir el posible impacto de los incidentes sobre las operaciones de la organizacin. Prevenir futuros incidentes de seguridad y reducir su probabilidad de ocurrencia. Mejorar la seguridad de los controles de la organizacin.

FASE V Consolidacin

Auditar internamente el SGSI Implementar las acciones correctivas Implementar las acciones preventivas pertinentes Desarrollar, corregir y mejorar documentacin nueva o existente Auditar e implementar las mejoras y correcciones del SGSI a fin de cumplir con los requisitos de la norma. Auditoria Interna Crear el programa de auditora interna Designar al responsable.Establecer la independencia, objetividad e imparcialidad.Planificacin de las actividades. Asignar y administrar los recursos del programa de auditora.Crear procedimientos de auditora. Realizar actividades de auditora. Seguimiento de no conformidades.

Tratamiento de Problemas y no Conformidades Definir un proceso para resolver problemas y no conformidades. Definir un procedimiento de accin correctiva. Definir un procedimiento de accin preventiva. Elaborar Planes de Accin. FASE VI Certificacin

Definiciones de la Certificacin Organismo de Certificacin: Terceros que realizan la evaluacin de la conformidad de los sistemas de gestin. Certificacin: Procedimiento en el cual un tercero garantiza por escrito que un producto, proceso o servicio es conforme a las condiciones indicadas

Proceso de Certificacin Seleccin de la entidad certificadora. Auditoria de Pre-evaluacin. Etapa 1 de la auditoria, se fija en el diseo del SGSI. Etapa 2 de la auditoria, se lleva a cabo en la empresa. Auditoria de seguimiento, si tuviera no conformidades. Confirmacin de la inscripcin.

Preguntas

SI NO HAY PREGUNTAS, GRACIAS POR SU ATENCIONNO INSISTA ATENTAMENTE LA DIRECCION