Tesis r urbina_abril2012_v3_presentacion_pb
-
Upload
ricardo-urbina-miranda -
Category
Technology
-
view
508 -
download
0
description
Transcript of Tesis r urbina_abril2012_v3_presentacion_pb
METODOLOGÍA PARA RELACIONAR LA EFECTIVIDAD DEL SISTEMA DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN CON LOS ELEMENTOS DEL NEGOCIO
RICARDO MARIO URBINA MIRANDA
MEMORIA PARA OPTAR AL TÍTULO DE INGENIERO EN INFORMÁTICA Y GESTIÓN
ABRIL, 2012
Abril 2012
Temario
• Contexto
• Objetivo
• Problemática a resolver
• Marco Conceptual
• Metodología propuesta
• Pasos definidos por metodología
• Aplicación Práctica
• Conclusiones
Abril 2012
Contexto
Dado el avance tecnológico que ha permitido uso masivo de las tecnologías de información se hace necesario definir metodologías y buenas prácticas para proteger que la información sea utilizada de manera correcta y no se haga mal uso de ésta, sea de manera accidental o intencionada.
La Seguridad de la Información tiene como objetivo el aportar herramientas para proteger la información.
Abril 2012
Objetivo
Proponer una metodología para relacionar la efectividad de un Sistema de Gestión de la Seguridad de la Información (SGSI) con los elementos críticos del negocio de modo que la Administración pueda visualizar donde están los riesgos.
Abril 2012
Marco Conceptual
NormaAño
publicaciónObjetivo
ISO/IEC 27001 2005Establece requerimientos a cumplir un Sistema de Gestión de
Seguridad de la Información (SGSI). Es certificable.
ISO/IEC 27002 2005
Código o Guía de buenas prácticas para la Seguridad de la
Información, detalla los 133 controles reunidos en 11 grupos,
más 39 “Objetivos de control”.
ISO/IEC 27003 2010Guía de Implementación. Describe los aspectos a tener en cuenta
para la implantación de un SGSI.
ISO/IEC 27004 2009describe todos los aspectos de métricas, indicadores y
mediciones que deben realizarse sobre un SGSI.
ISO/IEC 27005 2008/2011 Trata los aspectos relacionados a la Gestión de riesgos.
ISO/IEC 27006 2006Especifica los requisitos que debe reunir cualquier organización que
desee acreditarse como “Entidad certificadora” de ISO 27001.
ISO/IEC 27007 2011Es una guía de auditoría de un SGSI, como complemento a lo
especificado en ISO 19011
ISO/IEC TR 27008 2011Es una guía de auditoría de los controles seleccionados en el marco
de implantación de un SGSI.
ISO/IEC 27011 2008Guía de implementación de un SGSI para el sector de
Telecomunicaciones.
ISO/IEC 27031 2011Directrices para la preparación de las TIC en la Continuidad de
Negocio.
ISO/IEC 27033-1 2009Seguridad en redes conceptos generales, corresponde a la parte 1 de
7.
ISO/IEC 27034-1 2011Seguridad en aplicaciones informáticas, consistente en 5 partes,
donde 27034-1 corresponde a los conceptos generales.
ISO/IEC 27035 2011Guía sobre la gestión de incidentes de seguridad en la información de
grandes y medianas empresas
ISO/IEC 27799 2008Orientada a la aplicación de un SGSI en el
ámbito sanitario.
Abril 2012
Problemática a resolver La familia de normas ISO 27000 plantea qué se debe considerar para gestionar la Seguridad de la Información, sin embargo, no plantea cómo hacerlo.
Luego la problemática consiste en presentar desde la visión del negocio los riesgos existentes a nivel técnico.
E
S
Pj . . .
E
S
P1 R
ob
o d
e
info
rmac
ión
Abril 2012
Metodología propuesta
Procesos
Activos
Riesgos Controles
Indicadores
Proceso
Entrada
Salida
R = D * p(D)
5. POLÍTICA DE SEGURIDAD
5.1 Política de seguridad de la información.
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
6.1 Organización interna.
6.2 Terceros.
7. GESTIÓN DE ACTIVOS
7.1 Responsabilidad sobre los activos.
7.2 Clasificación de la información.
8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
8.1 Antes del empleo.
8.2 Durante el empleo.
8.3 Cese del empleo o cambio de puesto de trabajo.
9. SEGURIDAD FÍSICA Y DEL ENTORNO
9.1 Áreas seguras.
9.2 Seguridad de los equipos.
10. GESTIÓN DE COMUNICACIONES Y OPERACIONES
10.1 Responsabilidades y procedimientos de operación.
10.2 Gestión de la provisión de servicios por terceros.
10.3 Planificación y aceptación del sistema.
10.4 Protección contra el código malicioso y descargable.
10.5 Copias de seguridad.
Procesos SGSI = { P(1), … , P(m) } (m ≤ n)
Activos(i) = { Act(1,i), Act(2,i), … , Act(j,i) }
Act(i,j) R(i,j) R(i,j) Cs(i,j)
Cs(1,i) ==> I1, I2, …, Ia
5. POLÍTICA DE SEGURIDAD
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
7. GESTIÓN DE ACTIVOS
8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
9. SEGURIDAD FÍSICA Y DEL ENTORNO
10. GESTIÓN DE COMUNICACIONES Y OPERACIONES 1
11. CONTROL DE ACCESO
12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN
13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN
14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
15. CUMPLIMIENTO
Abril 2012
P(i) Act(j,i) R(j,i) Cs(j,i) It, Is, In, …
Metodología propuesta -continuación-
5. POLÍTICA DE SEGURIDAD
6. ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN
7. GESTIÓN DE ACTIVOS
8. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
9. SEGURIDAD FÍSICA Y DEL ENTORNO
10. GESTIÓN DE COMUNICACIONES Y OPERACIONES 1
11. CONTROL DE ACCESO
12. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN
13. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACIÓN
14. GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO
15. CUMPLIMIENTO
ID Medida
NombreC_Act_P
Nombre ActivoProceso ID CONTROL Act P
I1 Antivirus en servidores actualizado C50(4,2) Equipamiento para diseñar Desarrollo 50 4 2
I2 Cantidad de parches críticos en servidores C50(4,2) Equipamiento para diseñar Desarrollo 50 4 2
I3 Antivirus en estaciones actualizado C50(7,1) Detalle del producto vendido Venta 50 7 1
I3 Antivirus en estaciones actualizado C50(1,2) Detalle del producto vendido Desarrollo 50 1 2
I3 Antivirus en estaciones actualizado C50(5,2) Diseño del producto Desarrollo 50 5 2
I3 Antivirus en estaciones actualizado C50(1,3) Diseño del producto Moldeo 50 1 3
I3 Antivirus en estaciones actualizado C50(6,1) Cotización Venta 50 6 1
I4 Cantidad de parches críticos en estaciones de trabajo C50(7,1) Detalle del producto vendido Venta 50 7 1
I4 Cantidad de parches críticos en estaciones de trabajo C50(1,2) Detalle del producto vendido Desarrollo 50 1 2
I4 Cantidad de parches críticos en estaciones de trabajo C50(5,2) Diseño del producto Desarrollo 50 5 2
I4 Cantidad de parches críticos en estaciones de trabajo C50(1,3) Diseño del producto Moldeo 50 1 3
I4 Cantidad de parches críticos en estaciones de trabajo C50(6,1) Cotización Venta 50 6 1
I5 Política de intercambio de información con terceros C59(3,1) Ejecutivos de venta Venta 59 3 1
I5 Política de intercambio de información con terceros C59(3,2) Equipo de diseño Desarrollo 59 3 2
I5 Política de intercambio de información con terceros C59(3,3) Personal de moldeo Moldeo 59 3 3
I6 Perfilamiento de usuarios en aplicaciones C94(3,1) Ejecutivos de venta Venta 94 3 1
I6 Perfilamiento de usuarios en aplicaciones C94(3,2) Equipo de diseño Desarrollo 94 3 2
I6 Perfilamiento de usuarios en aplicaciones C94(3,3) Personal de moldeo Moldeo 94 3 3
Abril 2012
1. Identificación y ordenamiento de procesos (n)
2. Definición alcance del SGSI (m)
3. Identificación de activos por proceso
4. Asociación de relación Proceso <-> Activo
5. Evaluación de riesgos
6. Selección de controles
7. Definición de indicadores
8. Generación del Panel de Control
Pasos definidos por metodología
Abril 2012
Aplicación Práctica
Empresa productiva que fabrica envases de vidrio, dado que sólo tiene un objetivo académico todas las consideraciones serán simplificaciones de la realidad.
1. Identificación y ordenamiento de procesos Venta
Desarrollo de productos
Generación de moldes
Producción del envase
Embalaje
Distribución
Facturación
n=7
Abril 2012
Aplicación Práctica
2. Definición alcance del SGSI
Procesos SGSI={ 1 Venta, 2 Desarrollo de productos, 3 Proceso de moldeo}
3. Identificación de activos por proceso
P(1) venta ==> Activos={ Listado clientes (1,1), Listado productos (2,1), Ejecutivos (3,1), Estudios mercado (4,1), Planes venta (5,1), Cotización (6,1), Detalle producto (7,1)}
P(2) desarrollo ==> Activos={ Detalle producto (1,2), Productos desarrollados (2,2), Equipo diseño (3,2), Equipamiento diseño (4,2), Diseño producto (5,2)}
P(3) moldeo ==> Activos={ Diseño producto (1,3), Materias moldeo (2,3), Personal moldeo (3,3), Horno (4,3), Molde producto (5,3)}
Existen 17 activos, solo 15 son distintos, por lo tanto, j=15.
m=3
Abril 2012
Aplicación Práctica
4. Asociación de relación Proceso <-> Activo
Abril 2012
Aplicación Práctica
5. Evaluación de riesgos
Abril 2012
Aplicación Práctica
5. Evaluación de riesgos -continuación-
Abril 2012
Aplicación Práctica
5. Evaluación de riesgos -continuación-
Abril 2012
Aplicación Práctica
5. Evaluación de riesgos -continuación-
Para el ejemplo se considera Mitigar los riesgos aplicando controles y se define nivel de aceptación para el valor 4,0
Abril 2012
Proceso Activo
ID Riesgo
TR
AT
AM
IEN
TO
DE
L
RIE
SG
O
Có
dig
o m
ali
cio
so
- V
iru
s -
Gu
sa
no
s -
Tro
ya
no
s
Fu
ga
de
in
form
ac
ión
Fa
lta
/ A
use
nc
ia d
e p
erso
na
l
Fa
lla
de
lo
s s
erv
icio
s d
e c
om
un
ica
cio
ne
s
Inte
rru
pc
ión
de
la
s a
cti
vid
ad
es y
pro
ce
so
s d
e n
eg
oc
io
Ac
ce
so
fís
ico
no
au
toriz
ad
o
Fa
lla
s d
el
ha
rd
wa
re
Ac
tos M
ali
nte
nc
ion
ad
os -
Va
nd
ali
sm
o
Te
rre
mo
to
Inc
en
dio
Inu
nd
ac
ion
es
Erro
re
s h
um
an
os
Ac
ce
so
no
au
toriz
ad
os a
la
re
d
Desarrollo (2) Equipamiento para diseñar (4,2) MITIGAR 2 0 0 1 1 1 1 0 1 1 1 0 1
Venta (1) Detalle del producto vendido(7,1)
(1,2) MITIGAR 2 0 0 1 0 0 0 0 1 1 1 0 1
Desarrollo (2) Diseño del producto(5,2)
(1,3) MITIGAR 2 0 0 1 0 0 0 0 1 1 1 0 1
Venta (1) Ejecutivos de venta (3,1) MITIGAR 0 2 1 0 1 0 0 1 0 0 0 1 0
Desarrollo (2) Equipo de diseño (3,2) MITIGAR 0 2 1 0 0 0 0 1 0 0 0 1 0
Moldeo (3) Personal de moldeo (3,3) MITIGAR 0 2 1 0 0 0 0 1 0 0 0 1 0
Venta (1) Cotización (6,1) MITIGAR 2 0 0 1 0 0 0 0 1 1 1 1 1
Aplicación Práctica 6. Selección de controles
Siete activos con riesgos a mitigar, considerando dos amenazas, se seleccionaron los controles 50, 59 y 94.
Códig
o mali
cioso
- Viru
s - G
usan
os -
Troy
anos
Fuga
de in
form
ación
2 0
2 0
2 0
0 2
0 2
0 2
2 0
Có
dig
o M
alic
ioso
–
Vir
us
- G
usa
no
s
Fuga
in
form
ació
n
Control seleccionado Cod. #
ID CONTROL
10.4.1 Controles contra el código malicioso. 50 C50(4,2)
10.4.1 Controles contra el código malicioso. 50C50(7,1)
C50(1,2)
10.4.1 Controles contra el código malicioso. 50C50(5,2)
C50(1,3)
10.8.1 Políticas y procedimientos de intercambio de
información.
11.6.1 Restricción del acceso a la información.
59
94
C59(3,1)
C94(3,1)
10.8.1 Políticas y procedimientos de intercambio de
información.
11.6.1 Restricción del acceso a la información.
59
94
C59(3,2)
C94(3,2)
10.8.1 Políticas y procedimientos de intercambio de
información.
11.6.1 Restricción del acceso a la información.
59
94
C59(3,3)
C94(3,3)
10.4.1 Controles contra el código malicioso. 50 C50(6,1)
Abril 2012
Aplicación Práctica
7. Definición de indicadores
Activo Control seleccionado ID CONTROLNombre
Indicador
Id.
IndicadorMedida
Responsable de la
medida
Periodo de
mediciónDescripción Rango
> =98% bueno
Equipamiento para
diseñar10.4.1 Controles contra el código
malicioso.C50(4,2)
Antivirus en servidores
actualizadoI1
Porcentaje de servidores con
antivirus actualizado
Administración
servidoresSemanalmente 96% ó 97% Regular
< =95% es malo
> =98% bueno
C50(4,2)Cantidad de parches
críticos en servidoresI2
Cantidad de parches críticos de
seguridad instalados en los
servidores Microsoft
Administración
servidores
Por cada parche
crítico96% ó 97% Regular
< =95% es malo
> =98% bueno
Detalle del producto
vendido10.4.1 Controles contra el código
malicioso.
C50(7,1)
C50(1,2)
Antivirus en estaciones
actualizadoI3
Porcentaje de estaciones con
antivirus actualizado
Administración
estacionesSemanalmente 96% ó 97% Regular
< =95% es malo
> =98% bueno
C50(7,1)
C50(1,2)
Cantidad de parches
críticos en estaciones
de trabajo
I4Cantidad de estaciones de
trabajo actualizadas del último
parche crítico de MS
Por cada parche
crítico
Por cada parche
crítico96% ó 97% Regular
< =95% es malo
> =98% bueno
Diseño del producto10.4.1 Controles contra el código
malicioso.
C50(5,2)
C50(1,3)
Antivirus en estaciones
actualizadoI3
Porcentaje de estaciones con
antivirus actualizado
Administración
estacionesSemanalmente 96% ó 97% Regular
< =95% es malo
> =98% bueno
C50(5,2)
C50(1,3)
Cantidad de parches
críticos en estaciones de
trabajoI4
Cantidad de estaciones de
trabajo actualizadas del último
parche crítico de MS
Por cada parche
crítico
Por cada parche
crítico96% ó 97% Regular
< =95% es malo
10.8.1 Políticas y procedimientos de
intercambio de información.C59(3,1)
Política de intercambio de
información con tercerosI5 Revisión/actualización política OSI Trimestralmente SI
NO
Ejecutivos de venta > = 96% bueno
11.6.1 Restricción del acceso a la
información.C94(3,1)
Perfilamiento de
usuarios en
aplicaciones
I6Porcentaje de aplicaciones con
perfilamiento de usuarios
Responsable de
aplicacionesTrimestralmente 90% al 95% Regular
< = 89% es malo
10.8.1 Políticas y procedimientos de
intercambio de información.C59(3,2)
Política de intercambio de
información con tercerosI5 Revisión/actualización política OSI Trimestralmente SI
NO
Equipo de diseño > = 96% bueno
11.6.1 Restricción del acceso a la
información.C94(3,2)
Perfilamiento de usuarios
en aplicaciones I6Porcentaje de aplicaciones con
perfilamiento de usuarios
Responsable de
aplicacionesTrimestralmente 90% al 95% Regular
< = 89% es malo
10.8.1 Políticas y procedimientos de
intercambio de información.C59(3,3)
Política de intercambio de
información con terceros I5 Revisión/actualización política OSI Trimestralmente SI
NO
Personal de moldeo > = 96% bueno
11.6.1 Restricción del acceso a la
información.C94(3,3)
Perfilamiento de usuarios
en aplicaciones I6Porcentaje de aplicaciones con
perfilamiento de usuarios
Responsable de
aplicacionesTrimestralmente 90% al 95% Regular
< = 89% es malo
> =98% bueno
Cotización10.4.1 Controles contra el código
malicioso.C50(6,1)
Antivirus en estaciones
actualizadoI3
Porcentaje de estaciones con
antivirus actualizado
Administración
estacionesSemanalmente 96% ó 97% Regular
< =95% es malo
> =98% bueno
C50(6,1)
Cantidad de parches
críticos en estaciones de
trabajoI4
Cantidad de estaciones de
trabajo actualizadas del último
parche crítico de MS
Por cada parche
crítico
Por cada parche
crítico96% ó 97% Regular
< =95% es malo
El período de instalación considerado es
5 días luego de liberado el parche crítico
de seguridad.
Corresponde a la validación que el
antivirus está actualizado a la última
versión liberada por el fabricante
Verificar existencia de perfiles de
usuarios dentro de las aplicaciones
Corresponde a la verificación que la
política haya sido revisada y/o
actualizada
Verificar existencia de perfiles de
usuarios dentro de las aplicaciones
Corresponde a la validación que el
antivirus está actualizado a la última
versión liberada por el fabricante
El período de instalación considerado es
5 días luego de liberado el parche crítico
de seguridad.
Corresponde a la verificación que la
política haya sido revisada y/o
actualizada
El período de instalación considerado es
5 días luego de liberado el parche crítico
de seguridad.
El período de instalación considerado es
5 días luego de liberado el parche crítico
de seguridad.
Verificar existencia de perfiles de
usuarios dentro de las aplicaciones
Corresponde a la verificación que la
política haya sido revisada y/o
actualizada
Corresponde a la validación que el
antivirus está actualizado a la última
versión liberada por el fabricante
Corresponde a la validación que el
antivirus está actualizado a la última
versión liberada por el fabricante
Activo Control seleccionadoID
CONTROL
Nombre
Indicador
Id.
IndicadorMedida
Responsable de
la medida
Periodo de
mediciónDescripción Rango
> =98% bueno
Equipamiento para diseñar10.4.1 Controles contra el código
malicioso.C50(4,2)
Antivirus en servidores
actualizadoI1
Porcentaje de servidores
con antivirus actualizado
Administración
servidoresSemanalmente 96% ó 97% Regular
< =95% es malo
> =98% bueno
C50(4,2)Cantidad de parches
críticos en servidoresI2
Cantidad de parches
críticos de seguridad
instalados en los
servidores Microsoft
Administración
servidores
Por cada parche
crítico96% ó 97% Regular
< =95% es malo
Corresponde a la validación que
el antivirus está actualizado a la
última versión liberada por el
fabricante
El período de instalación
considerado es 5 días luego de
liberado el parche crítico de
seguridad.
Ejecutivos de venta10.8.1 Políticas y procedimientos de
intercambio de información.C59(3,1)
Política de intercambio
de información con
terceros
I5Revisión/actualización
políticaOSI Trimestralmente SI
NO
Corresponde a la verificación
que la política haya sido revisada
y/o actualizada
Para los 7 activos. Se definen 6 indicadores del I1 al I6. Tanto los controles como los indicadores asociados se aplican a dos o más activos.
Abril 2012
Aplicación Práctica
8. Generación del Panel de Control
10. GESTIÓN DE COMUNICACIONES Y OPERACIONES 1
10.4 Protección contra el código malicioso y descargable. 1
10.4.1 Controles contra el código malicioso.
I1 Antivirus en servidores actualizado 2
I2 Cantidad de parches críticos en servidores 1
I3 Antivirus en estaciones actualizado 3
I4 Cantidad de parches críticos en estaciones de trabajo 2
10.8 Intercambio de información. 1
10.8.1 Políticas y procedimientos de intercambio de información.
I5 Política de intercambio de información con terceros 1
11. CONTROL DE ACCESO 2
11.6 Control de acceso a las aplicaciones y a la información. 2
11.6.1 Restricción del acceso a la información.
I6 Perfilamiento de usuarios en aplicaciones 2
Abril 2012
Aplicación Práctica
Uso de Tabla de relación
ID Medida
NombreC_Act_P
Nombre ActivoProceso ID CONTROL Act P
(Act,P)
I1 Antivirus en servidores actualizado C50(4,2) Equipamiento para diseñar Desarrollo 50 4 2 (4,2)
I2 Cantidad de parches críticos en servidores C50(4,2) Equipamiento para diseñar Desarrollo 50 4 2 (4,2)
I3 Antivirus en estaciones actualizado C50(7,1) Detalle del producto vendido Venta 50 7 1 (7,1)
I3 Antivirus en estaciones actualizado C50(1,2) Detalle del producto vendido Desarrollo 50 1 2 (1,2)
I3 Antivirus en estaciones actualizado C50(5,2) Diseño del producto Desarrollo 50 5 2 (5,2)
I3 Antivirus en estaciones actualizado C50(1,3) Diseño del producto Moldeo 50 1 3 (1,3)
I3 Antivirus en estaciones actualizado C50(6,1) Cotización Venta 50 6 1 (6,1)
I4 Cantidad de parches críticos en estaciones de trabajo C50(7,1) Detalle del producto vendido Venta 50 7 1 (7,1)
I4 Cantidad de parches críticos en estaciones de trabajo C50(1,2) Detalle del producto vendido Desarrollo 50 1 2 (1,2)
I4 Cantidad de parches críticos en estaciones de trabajo C50(5,2) Diseño del producto Desarrollo 50 5 2 (5,2)
I4 Cantidad de parches críticos en estaciones de trabajo C50(1,3) Diseño del producto Moldeo 50 1 3 (1,3)
I4 Cantidad de parches críticos en estaciones de trabajo C50(6,1) Cotización Venta 50 6 1 (6,1)
I5 Política de intercambio de información con terceros C59(3,1) Ejecutivos de venta Venta 59 3 1 (3,1)
I5 Política de intercambio de información con terceros C59(3,2) Equipo de diseño Desarrollo 59 3 2 (3,2)
I5 Política de intercambio de información con terceros C59(3,3) Personal de moldeo Moldeo 59 3 3 (3,3)
I6 Perfilamiento de usuarios en aplicaciones C94(3,1) Ejecutivos de venta Venta 94 3 1 (3,1)
I6 Perfilamiento de usuarios en aplicaciones C94(3,2) Equipo de diseño Desarrollo 94 3 2 (3,2)
I6 Perfilamiento de usuarios en aplicaciones C94(3,3) Personal de moldeo Moldeo 94 3 3 (3,3)
ID Medida
NombreC_Act_P
Nombre ActivoProceso ID CONTROL Act P
(Act,P)
I5 Política de intercambio de información con terceros C59(3,1) Ejecutivos de venta Venta 59 3 1 (3,1)
I5 Política de intercambio de información con terceros C59(3,2) Equipo de diseño Desarrollo 59 3 2 (3,2)
I5 Política de intercambio de información con terceros C59(3,3) Personal de moldeo Moldeo 59 3 3 (3,3)
I5 Política de intercambio de información con terceros 1
Política de intercambio
de información con
tercerosI5
Revisión/actualización
políticaOSI Trimestralmente SI
NO
Corresponde a la verificación
que la política haya sido revisada
y/o actualizada
Abril 2012
Conclusiones
La metodología presentada relaciona todos los elementos que forman parten del Sistema de Gestión de la Seguridad de la información.
Se evidencio que es factible alcanzar el objetivo utilizando como herramienta una planilla Excel.
Se puede concluir que la metodología propuesta permite relacionar la efectividad de un SGSI con los elementos del negocio y así apoyar la toma de decisiones para proteger los activos críticos de la Organización.
Abril 2012
Abril 2012
Gracias
Abril 2012
Abril 2012
ISO/IEC 27001:2005 Definir SGSI
Abril 2012
ISO/IEC 27005:2008 Gestión de Riesgos
Proceso
Entrada
Salida
R = D * p(D)
Evitar -- Mitigar -- Transferir -- Aceptar
La norma no proporciona metodología alguna para la gestión de riesgos Cada Organización debe elegir la que le acomode
Abril 2012
ISO/IEC 27002:2005 Controles (133)
Política de Seguridad (2)
Aspectos Organizativos de la Seguridad (11)
Gestión de activos (5)
Seguridad ligada a los RRHH (9)
Seguridad física y del entorno (13)
Gestión de comunicaciones y operaciones (32)
Control de acceso (25)
Adquisición, desarrollo y mantenimiento de sistemas de información (16)
Gestión de incidentes de seguridad de la información (5)
Gestión de la continuidad del negocio (5)
Cumplimiento (10)
Abril 2012
ISO/IEC 27004:200 Indicadores
Evaluar la efectividad de la implementación de los controles de seguridad.
Evaluar la eficiencia del SGSI, incluyendo continuas mejoras.
Verificar que los requerimientos de seguridad fueron logrados
Servir como entradas al plan de análisis y tratamiento de riesgos.
Proveer estados de seguridad que guíen las revisiones Gerenciales del SGSI, facilitando mejoras a la seguridad y nuevas entradas para el SGSI.
Se debe desarrollar un programa de mediciones que considera: • Desarrollo de medidas y mediciones • Proceso de medición • Análisis y reporte de resultados • Evaluación y mejora del programa de medición de seguridad de la información
Abril 2012
ISO/IEC 27004:200 Indicadores
Abril 2012
8. Generación del Panel de Control
Control seleccionado Cod. # ID CONTROL Nombre Identificación MedidaResponsable de la
medidaPeriodo de medición Descripción Rango Color Valor
> =98% bueno
10.4.1 Controles contra el código
malicioso.50 C50(4,2) I1
Porcentaje de servidores con
antivirus actualizado
Administración
servidoresSemanalmente
96% ó 97%
Regular
< =95% es malo
> =98% bueno
C50(4,2) I2Cantidad de parches críticos de
seguridad instalados en los
servidores Microsoft
Administración
servidores
Por cada parche
crítico
96% ó 97%
Regular
< =95% es malo
C50(7,1) I3C50(1,2)
I3 > =98% bueno
C50(5,2) I3Porcentaje de estaciones con
antivirus actualizado
Administración
estacionesSemanalmente
96% ó 97%
Regular
C50(1,3) I3 < =95% es malo
C50(6,1) I3
C50(7,1) I4C50(1,2)
I4 > =98% bueno
C50(5,2) I4Cantidad de estaciones de
trabajo actualizadas del último
parche crítico de MS
Por cada parche
crítico
Por cada parche
crítico
96% ó 97%
Regular
C50(1,3) I4 < =95% es malo
C50(6,1) I4
10.8.1 Políticas y procedimientos de
intercambio de información.59 C94(3,1) I5 Revisión/actualización política OSI Trimestralmente SI
C94(3,2)I5 NO
C94(3,3) I5
C94(3,1) I6 > = 96% bueno
11.6.1 Restricción del acceso a la
información.94
C94(3,2)I6
Porcentaje de aplicaciones con
perfilamiento de usuarios
Responsable de
aplicacionesTrimestralmente
90% al 95%
Regular
C94(3,3) I6 < = 89% es malo
Cantidad de parches críticos en
estaciones de trabajo
Política de intercambio de
información con terceros
Corresponde a la validación que el antivirus está actualizado a la
última versión liberada por el fabricante2
3
Antivirus en servidores
actualizado
Perfilamiento de usuarios en
aplicaciones
Corresponde a la verificación que la política haya sido revisada y/o
actualizada
El período de instalación considerado es 5 días luego de liberado el
parche crítico de seguridad.
El período de instalación considerado es 5 días luego de liberado el
parche crítico de seguridad.2
1
2
Corresponde a la validación que el antivirus está actualizado a la
última versión liberada por el fabricante
1
Verificar existencia de perfiles de usuarios dentro de las
aplicaciones
Cantidad de parches críticos en
servidores
Antivirus en estaciones
actualizado
Abril 2012