NORMA ISO/IEC 27001:2005

Modelo Para Establecer, ImplementarOperar Monitorear Revisar Mantener y Operar, Monitorear, Revisar, Mantener y

Mejorar un ISMS (Information Security Management System)Management System)

Ing Jorge Ceballos (jceballos@iram org ar)Ing. Jorge Ceballos (jceballos@iram.org.ar)

Noviembre 2010

óPara cumplir la misión de:

•• Contribuir a mejorar la calidad de vida, el Contribuir a mejorar la calidad de vida, el bienestar y la seguridad de las personasbienestar y la seguridad de las personasbienestar y la seguridad de las personasbienestar y la seguridad de las personas

•• Promover el uso racional de los recursos y la Promover el uso racional de los recursos y la Promover el uso racional de los recursos y la Promover el uso racional de los recursos y la actividad creativaactividad creativa

óó•• Facilitar la producción, el comercio y la Facilitar la producción, el comercio y la transferencia de conocimientostransferencia de conocimientos

En el ámbito nacional, regional e internacionalEn el ámbito nacional, regional e internacional

Brinda servicios de:

•NORMALIZACIÓN Participación en Organismos de Estudio:NORMALIZACIÓN

•CERTIFICACIÓN

Participación en Organismos de Estudio:ISO - IEC - COPANT – AMN

17.000 Productos Certificados

d Si t d G tió

•CERTIFICACIÓN

4 800 C ifi d E i id

de Productosde Sistemas de Gestión

•FORMACIÓN DE RR HH

4.800 Certificados Emitidos

FORMACIÓN DE RR.HH.4.900 Cursos dictados

71.394 Horas de Capacitación

•CENTRO DE DOCUMENTACIÓN250.000 Documentos Técnicos

RELACIONES RELACIONES INSTITUCIONALES

ESTADO

SECTORES INDUSTRIALES

UNIVERSIDADES

SECTORES CIENTÍFICO TÉCNICOS

CONSUMIDORESCONSUMIDORES

Formas de abordar la mejora en jTecnologías de la Información

GestiónISO 90003ISO 90003

Ci l d Ciclo de vida

ISO 12207

P

ProductosISO 14598 con

ServiciosISO 20000-1

ISO 27001Procesos

Competisoft //ISO 15504

ISO 14598 conISO 9126

27001

ISO/IEC 20000 IT – Gestión del servicio

Procesos de prestación del servicio

ISO/IEC 20000 IT Gestión del servicio

•Gestión de la capacidad

•Gestión de la seguridad de la información

•Elaboración de informes

Gestión de niveles de servicio

Procesos de Control

•Gestión de la disponibilidad y continuidad del

•Elaboración del presupuesto y gestión de costos

Elaboración de informes del servicio

Procesos de Control

Gestión de la configuración

servicio gestión de costos

Procesos de

•Gestión de relaciones

Gestión de cambiosProceso de Liberación

Procesos de Relaciones

Procesos de Gestión de relaciones con clientes

•Gestión de proveedores

•Gestión de la liberación

Resolución

Gestión de incidentesGestión de problemas Gestión de proveedoresGestión de problemas

ITIL - Information Technology gyInfrastructure Library

Es un marco de trabajo (framework) para la Es un marco de trabajo (framework) para la

Administración de Procesos de IT

E t d d d f t S i i d ITEs un standard de facto para Servicios de IT

Fue desarrollado a fines de la década del 80

Originalmente creado por la CCTA (una agencia del

Gobierno del Reino Unido)

InformaciónDefinición, Tipos

“La información es un recurso que, como el resto de los importantes activos tiene valor resto de los importantes activos, tiene valor para una organización y por consiguiente debe ser debidamente protegida.”

Algunos datos

En general todos coinciden en:El 80% de los incidentes/fraudes/ataques sonefectuados por personal internoefectuados por personal internoFuentes:

C SThe Computer Security InstituteCooperative Association for Internet Data Analysis (CAIDA)CERTCERTSANS

Fraude por ComputadorFraude por Computador

ili d bUtilizar un computador para obtener beneficio personal o causar daño a los demás.los demás.

• Dada la proliferación de las redes y del p ypersonal con conocimientos en sistemas, se espera un incremento en la frecuencia y en la cantidad de pérdidasy en la cantidad de pérdidas.

• Se especula que muy pocos fraudes por computador son detectados y una menor p yporción es reportada.

¿De Quién nos Defendemos?¿De Quién nos Defendemos?

• Gente de adentro: Empleados o personas allegadaspersonas allegadas.

• Anti gobernistas: Razones obvias para justificar un ataquejustificar un ataque.

• Un cracker que busca algo en específico: Es problemático pues suele específico: Es problemático pues suele ser un atacante determinado. Puede estar buscando un punto de saltoestar buscando un punto de salto.

De qué nos defendemos?De qué nos defendemos?

• Fraude• Extorsión• Extorsión• Robo de Información

Robo de servicios• Robo de servicios• Actos terroristas• Reto de penetrar un sistema• Deterioro• Desastres Naturales

Efectos de las Amenazas y Efectos de las Amenazas y los Ataques

• Interrupción de actividades• Dificultades para toma de decisiones• Sanciones• Costos excesivos• Pérdida o destrucción de activos• Desventaja competitiva• Insatisfacción del usuario (pérdida de imagen)

¿ Qué Información proteger ?¿ Qué Información proteger ?

Información • en formato electrónico / magnético / óptico

• en formato impreso

• en el conocimiento de las personase e co oc e to de as pe so as

¿QUÉ DEBE SER PROTEGIDO?¿QUÉ DEBE SER PROTEGIDO?

• Sus DatosConfidencialidad – Quiénes deben conocer quéQ qIntegridad – Quiénes deben cambiar quéDisponibilidad - Habilidad para utilizar sus spo b dad ab dad pa a ut a sussistemas

• Sus Recursos Su organización su tecnología y sus sistemas Su organización, su tecnología y sus sistemas

¿Qué es la seguridad de la información?

L id d d i f ió t i l La seguridad de información se caracteriza como la preservación de la:

Confidencialidad: asegurar que la información – Confidencialidad: asegurar que la información sea accesible sólo para aquellos usuarios autorizados para tener accesoautorizados para tener acceso

– Integridad: salvaguardar que la información y los métodos de procesamiento sean exactos y p ycompletos

– Disponibilidad: asegurar que los usuarios autorizados tengan acceso a la información y bienes asociados cuando lo requieran

¿ Cómo se logra la seguridad de g gla información ?

La seguridad de información se logra mediante la implementación de un adecuado conjunto de implementación de un adecuado conjunto de controles, los que podrían ser:Políticas, prácticas, procedimientos, estructuras

organizacionales y funciones de software.

S it t bl t t l Se necesita establecer estos controles para asegurar que se cumplan los objetivos específicos de seguridad de la organizaciónde seguridad de la organización.

Seguridad de la información

RIESGOS O AMENAZASRIESGOS O AMENAZASActos de la naturaleza Fraudes

VULNERABILIDADESVULNERABILIDADESFallas de Hard, Soft

o instalación Daño intencionalo instalación

Errores y omisiones Invasión a la privacidad

CONSECUENCIASCONSECUENCIASCONSECUENCIASCONSECUENCIAS

RIESGO PERDIDA ESPERADARIESGO PERDIDA ESPERADA

Sistema de gestión de riesgosg g

Figura 1 de la norma IRAM 17551

Objetivos a cumplirObjetivos a cumplir

Objetivos corporativos de negocio

Objetivos corporativos de TIObjetivos corporativos de TI

Objetivos de Seguridad O j os d gu d d

Informática

El problema de la Seguridad Informática está El problema de la Seguridad Informática está en su Gerenciamiento y no en las en su Gerenciamiento y no en las

tecnologías disponiblestecnologías disponibles

SGSI: Sistema de Gestión de Seguridad d l I f ió

ISMS – Information Security Management System

de la Información

y g y

Qué es? Forma sistemática de administrar la Qinformación sensible

Cómo? Gestionando los riesgosg

Para qué? Proteger la información:Para qué? Proteger la información:Confidencialidad – Integridad – Disponibilidad

A quiénes abarca? Personas, Procesos yTecnologíaTecnología

ORIGEN: BS 7799ORIGEN: BS 7799

NNormaDefine requisitos para un Sistema de

Gestión deSeguridad de la Información (ISMS).g ( )Comprende 10 seccionesCompuesta por 2 partes:Compuesta por 2 partes:Parte 1: ControlesParte 2: ISMS - Certificación

ISO 27001:2005ISO 27001:2005

• Actualización de BS 7799 bajo los lineamientos de • Actualización de BS 7799 bajo los lineamientos de ISO, se creó ISO 27001

• El nombre oficial del nuevo estándar es:BS 7799-2:2005 (ISO/IEC 27001:2005) Information

Technology Security Techniques InformationTechnology - Security Techniques – InformationSecurity Management - Systems – Requirements.

Cambios con respecto a BS 7799-2: por ejemplo• requiere la definición de los mecanismos de

medi ión de l efe ti id d de lo ont olemedición de la efectividad de los controles.

Modelo SGSIModelo SGSI

Modelo SGSIModelo SGSI

Objetivos del SGSIj

Implementación de un programa de SeguridadImplementación de un programa de Seguridad

• Comprensivo• Adaptado a la Cultura de la organizaciónAdaptado a la Cultura de la organización• Que Proteja la información sensible de las

amenazas• amenazas

Objetivos de SeguridadTres componentes a tener en cuenta para la seguridad

1) Ataques a la seguridad: Cualquier acción que compromete la seguridad de la información perteneciente a la organización.

2) Mecanismos de seguridad: Es un mecanismo diseñado para detectar, prevenir y/o recuperar frente a un ataque a la seguridad.

3) Prestación de seguridad:3) Prestación de seguridad: Es un servicio que mejora la seguridad de un sistema de procesamiento de datos y de la información que transfiere la

ó forganización. El servicio enfrenta los ataques a la seguridad utilizando para poder hacerlo, uno o más mecanismos de seguridad.

Antes de comenzar….Antes de comenzar….Requisitos para comenzar…existe alguno???

COMPROMISO Y RESPALDO DE LA DIRECCION

El Proceso de Implementación - SGSIEl Proceso de Implementación - SGSI

La clave de la implementación es: La clave de la implementación es: Comunicación y Entrenamiento

Considerar documentaciónConsiderar documentación

SGSI: El Proceso de ImplementaciónSGSI: El Proceso de Implementación

SGSI: El Proceso de ImplementaciónSGSI: El Proceso de Implementación

El Proceso de Certificación

No hay calidad de la gestión sin seguridad de lasin seguridad de la

información que procesan los q psistemas de información que

d t l tiódan soporte a la gestión

Propuesta de plan del PMG en el SGSIp p

A realizar por Red de Expertos PMG

A realizar por funcionarios

A realizar por IRAM Chile

Gap analysis + Diagnóstico

Capacitación Asesoramiento para diseño del plan

Implementación Fase 1

pChile

pdiseño del plan ESTABLECER el SGSI

(s/6 dominios)Auditoría de Verificación Fase 1 Asesoramiento sobre Implementación Fase 2 Verificación Fase 1

acciones correctivas Fase 1

Implementación Fase 2 IMPLEMENTAR el SGSI (s/6 dominios)

Auditoría de Auditoría de Verificación Fase 2 Asesoramiento sobre

acciones correctivas Fase 2

Implementación Fase 3 Seguimiento y Revisión de SGSI (s/6 dominios)de SGSI (s/6 dominios)

Auditoría de Verificación Fase 3

Asesoramiento sobre acciones correctivas Preparación para

CertificaciónFase 3 Certificación

35

PREGUNTASPREGUNTASPREGUNTASPREGUNTASPREGUNTAS PREGUNTAS YY

PREGUNTAS PREGUNTAS YY

COMENTARIOSCOMENTARIOSCOMENTARIOSCOMENTARIOS