TIPs para cumplimiento en la Gestión de Seguridad de la Información en instituciones de Gobierno...
27
TIPs para cumplimiento en la TIPs para cumplimiento en la Gestión de Seguridad de la Gestión de Seguridad de la Información en instituciones de Información en instituciones de Gobierno Gobierno Jorge Olivares Olmos Consultor Senior en Seguridad de la Información [email protected]
-
Upload
agueda-navar -
Category
Documents
-
view
108 -
download
3
Transcript of TIPs para cumplimiento en la Gestión de Seguridad de la Información en instituciones de Gobierno...
TIPs para cumplimiento en la Gestión de TIPs para cumplimiento en la Gestión de Seguridad de la Información en instituciones Seguridad de la Información en instituciones
de Gobiernode Gobierno
Jorge Olivares OlmosConsultor Senior en Seguridad de la Informació[email protected]
Objetivo
Analizar algunos TIPs que permitan comprender y cumplir
con los requerimientos establecidos por la PMG-SSI
(2010 -> 2011)
Tip 1: Definir qué es Información
Información
• La información es un bien que, como otros bienes de la organización, tiene gran valor y necesita ser protegida en forma apropiada.
• Esta puede existir de muchas formas, pudiendo ser:– Impresa o escrita en papel– Almacenada electrónicamente– Transmitida por correo o medios electrónicos– Mostrada en películas o en una conversación
Tip 2: Identificar los Activos de Información
Activos de Información
• Tres niveles básicos de Activos de Información– La Información propiamente tal, en sus múltiples formatos
(papel, digital, texto, imagen, audio, video, etc.)– Los Equipos/Sistemas/infraestructura que soportan esta
información.– Las Personas que utilizan la información, y que tienen el
conocimiento de los procesos institucionales.
Tip 3: Identificar ámbitos de protección de los Activos de Información
Protección a los Activos de Información
• La TRIADA CIA:– La Integridad: La información está completa, actualizada y es
veraz, sin modificaciones inapropiadas o corrupción.– La Confidencialidad: La información está protegida de
personas/usuarios no autorizados.– La Disponibilidad: Los usuarios autorizados pueden acceder a las
aplicaciones y sistemas cuando lo requieran para utilizar la información apropiadamente al desempeñar sus funciones.
Tip 4: Marcos de Referencia
Marcos de Referencia
• Norma Chilena Oficial NCH-ISO 27002.Of2009: Tecnología de la información - código de prácticas para la gestión de la seguridad de la información.– Listado de Mejores Prácticas– Norma Chilena Oficial NCh 2777.Of.2003
• Decreto Supremo 83• ISO/IEC 17799:2000
• Norma Chilena Oficial NCH-ISO 27001.Of2009: Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la seguridad de la información - Requisitos.– ISMS
Tip 5: Analizar requerimientos concretos en Seguridad de la Información
PMG SSI (2010-2011)
• Programa de Mejoramiento de la Gestión – Sistema de Seguridad de la Información.– Cuatro Etapas
• Etapa I Diagnóstico Inicial y detección de brechas• Etapa II Plan de Seguridad para mitigar brechas• Etapa III Implementación del Plan (Fines 2011)• Etapa IV Evaluación de Resultados de Gestión
– Integra requerimientos del Decreto 83– http://ssi.pmg.gov.cl/
Plazos !!!
Tip 6: Diagnosticar brechas en la situación actual
Diagnosticar Brechas
• http://www.dipres.cl/572/articles-51683_Matriz_Diagnostico_2011.xlsMens.
Tip 7: Hay que mitigar los riesgos
Plan de Mitigación de Riesgos
Tip 8: Necesidad de Controles de Seguridad
Controles como Cartera de Proyectos
Tip 9: Apoyo experto
Apoyo experto
• En Seguridad de la Información• En Evaluación de Riesgo• En Diagnóstico de Cumplimiento• En Confección de un Plan de Mitigación• En generación de evidencias de Gestión de Seguridad de la
Información.
ADEXUS
Una empresa integradora de tecnología LIDER en el mercado con FOCO en el cliente y sus procesos de negocios.
Presencia nacional e internacional; gobierno y sector privado.
Más de 600 personas al servicio de nuestros clientes
Con certificaciones internacionales que aseguran y dan confianza a los clientes en los productos y servicios entregados
Soluciones de Negocioi
Respaldo Certificado
ISO 27001
ISO 20000
ADEXUS ofrece a sus clientes aumentar la eficiencia, eficacia y seguridad en el uso de las TI cuando se integran procesos de negocios del cliente, a través de la aplicación de las mejores prácticas de la industria.Modelo para desarrollo eficaz y
eficiente de sistemas.
Estándar de Seguridad de la Información
Mejores prácticas para entrega de servicios TI
Estándar mundial en gestión de servicios TI
Metodología de mejora en procesos sin fallas en entrega de prod / serv a
clientes
• Consultor Senior de Seguridad• Ingeniero Civil Informático – UTFSM• Certified Information System Security Professional,
CISSP – (ISC)2• Instructor cursos CSIRT del CERT/CC – SEI /
CMU:Carnegie Mellon University• Examen DRII aprobado como Certified Business
Continuity Professional CBCP• Auditor Líder ISO 27001:2005 (BSI)• Instructor de Seguridad de la Información MTI/UTFSM
TIPs para cumplimiento en la Gestión de Seguridad de la Información en instituciones de Gobierno
Jorge E. Olivares [email protected]
TIPs para cumplimiento en la Gestión de TIPs para cumplimiento en la Gestión de Seguridad de la Información en instituciones Seguridad de la Información en instituciones
de Gobiernode Gobierno
