Implantación de un Sistema de Gestión de Seguridad de la Información. Una visión práctica

Implantación de un

Sistema de Gestión de Seguridad

de la Información

Una visión práctica

Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica

Introducción: Información

• Conjunto organizado de datos, que

constituyen un mensaje sobre un

determinado ente o fenómeno

• La información es un recurso que, como

otros aspectos importantes del negocio,

tiene valor para la Organización y requiere

en consecuencia una protección

adecuada



• La Información es cada vez más esencial en los

procesos de negocio para:

– Gestionar efectivamente las operaciones de la

empresa

– Gestionar adecuadamente los recursos internos y

externos

– Obtener y mantener clientes y cuota de mercado

– Gestionar y mantener el conocimiento

– Conseguir o mantener una imagen de marca o

empresa

– La supervivencia del negocio



Introducción: Activos

• Activo de información

– Cualquier cosa que tenga valor para una

organización

– Aquellos activos de una organización que

contienen, procesan, almacenan o transmiten

información

– Información de diferentes tipos con los que

una organización desarrolla su actividad y

que suelen ser vitales para el desarrollo

modelo de negocio de la organización

Introducción: Activos




Confidencialidad

Disponibilidad

Integridad

La información no se

pone a disposición o

se revela a

individuos, entidades

o procesos no

autorizados

Salvaguardar la

exactitud y

completitud de la

información y de

sus métodos de

procesamiento

Los usuarios

autorizados tienen

acceso cuando lo

requieran a la

información y sus

activos asociados


Introducción: Seguridad de la Información

La seguridad de la información se gestiona

implantando un conjunto adecuado de controles,

que pueden ser políticas, prácticas,

procedimientos, estructuras organizativas y

funciones software

ISO 27001

Especificaciones

para los SGSI

ISO 27002

Código de Buenas Prácticas



¡¡Se debe gestionar la seguridad,

no aparentarla!!


Introducción: Gestión de la Seguridad de la

Información

Crear / Planificar

el SGSI

Mantener y

mejorar el SGSI

Requisitos y

expectativas

De la

seguridad

De la

información

Seguridad

de la

información

gestionada

Planificar

Hacer

Verificar

Actuar

Implementar y

operar el SGSI

Supervisar y

revisar el SGSI


Crear / Planificar

el SGSI

Requisitos y

expectativas

De la

seguridad

De la

información

Seguridad

de la

información

gestionada

Planificar

Hacer

Verificar

Actuar


Crear el SGSI

Identificación

de activos


Activo Confidenc. Disp. Integridad Propietario Administrador Descripción

Disponibilidad:

• No Aplicable

• Más de una semana

• Hasta una semana

• Hasta tres días

• Menos de 1 día

Integridad:

• No Aplicable

• Proceso podría finalizarse

• Finalización con errores graves

• No finalización del proceso

Confidencialidad:

• No Aplicable

• Uso público

• Reservado

• Confidencial

Crear / Planificar el SGSI:

Identificación de activos


Crear el SGSI

Identificación

de activos


Crear el SGSI

Identificación

de activos

Análisis riesgos

seguridad


Crear el SGSI: Análisis de riesgos

Identificación de amenazas

• Desastres

naturales

• Errores y fallos no

intencionados • Ataques

deliberados

• Desastres de

origen industrial

Fuego

Agua

Terremotos

…




Identificación vulnerabilidades

Auditorías

Indicadores

Incidencias

y eventos Pruebas de

intrusión

Sistemas de

monitorización





Valorar probabilidad ocurrencia

Valorar impacto

Calcular nivel de riesgos

• Alta

• Media

• Baja • Alto

• Medio

• Bajo






Valorar impacto

Calcular nivel de riesgos

Definir estrategia


Valorar impacto

Calcular riesgo residual

• Alta

• Media

• Baja • Alto

• Medio

• Bajo

• Limitar el riesgo: implantar

controles

• Evitar el riesgo: eliminar la

causa

• Transferir el riesgo

• Aceptar el riesgo


Crear el SGSI

Identificación

de activos

Análisis riesgos

seguridad

Selección

controles


Crear el SGSI: Controles

Política de Seguridad

• Marco para la fijación de objetivos

• Directrices generales

• Alineada con estrategia empresarial

•Revisión periódica






Aspectos organizativos de la

seguridad de la información

• Terceros

– Identificación de riesgos derivados de accesos de terceros

– Tratamiento de la seguridad en la relación con los clientes

– Tratamiento de seguridad en contratos con terceros

• Organización interna

– Comité de Seguridad

– Coordinación

– Responsabilidades

– Acuerdos de confidencialidad

– Contacto con las autoridades

– Contacto con grupos de

especial interés

– Revisión independiente de la

seguridad de la información





seguridad de la información Gestión de activos

• Responsabilidades sobre

los activos:

– Inventario de activos

– Propiedad de los

activos

– Uso aceptable de los

activos

• Clasificación de la

información:

– Directrices de

clasificación

– Etiquetado y

manipulado de la

información






Seguridad ligada a los RRHH

• Antes de la contratación

– Funciones y responsabilidades

– Investigación de antecedentes

– Términos y condiciones de contratación

• Durante el empleo

– Responsabilidades

– Concienciación, formación y entrenamiento sobre la Seguridad de la Información

– Proceso disciplinario

• Finalización o cambio de empleo

– Responsabilidad del cese o cambio

– Devolución de activos

– Retirada de los derechos de acceso






Seguridad ligada a los RRHH Seguridad física y del entorno


Controles: Seguridad física y del entorno

• Áreas seguras

– Perímetro de seguridad

física

– Controles físicos de

entrada

– Seguridad de las oficinas,

despachos e instalaciones

– Protección contra

amenazas externas y de

origen ambiental

– Trabajo en áreas seguras

– Áreas de acceso público,

de carga y de descarga

• Seguridad de los equipos

– Emplazamiento y

protección de los equipos

– Suministros

– Seguridad del cableado

– Mantenimiento de los

equipos

– Seguridad de los equipos

fuera de las instalaciones

– Reutilización o retirada

segura de los equipos







Gestión de las comunicaciones

y operaciones


Controles: Gestión de las comunicaciones y

operaciones

• Planificación y aceptación del sistema

• Protección frente a código malicioso y código móvil

• Copias de seguridad

• Gestión de la seguridad de la red

• Gestión de soportes

• Intercambio de información

• Servicios de comercio electrónico

• Seguimiento

• Procedimientos operativos y responsabilidades

• Gestión de los servicios suministrados por terceros

• Planificación y aceptación del sistema

– Gestión de capacidades

– Aceptación del sistema

• Protección frente a código malicioso y código móvil

– Controles contra código malicioso

– Controles contra el código descargado en el cliente

• Copias de seguridad








y operaciones Control de Accesos


Controles: Control de Acceso

• Política de control de acceso

• Gestión de accesos de los usuarios – Usuarios

– Privilegios

– Contraseñas de usuarios

• Responsabilidades del usuario – Uso de contraseñas

– Equipo de usuario desatendido

– Política de puesto de trabajo despejado y pantalla limpia

• Control de acceso a la red – Política de uso de los

servicios de red

– Autenticación de usuarios para conexiones externas

– Identificación de los equipos en las redes

– Segregación de las redes

– Control de la conexión a la red

– Control de direccionamiento de redes


Controles: Control de Acceso

• Control de acceso a los sistemas en operación – Procedimientos seguros de

inicio de sesión

– Identificación y autenticación de usuario

– Sistemas de gestión de contraseñas

– Uso de recursos del sistema

– Desconexión automática de sesión

– Limitación en el tiempo de conexión

• Control de acceso a las aplicaciones y la información – Restricción del acceso a la

información

– Aislamiento de sistemas sensibles

• Informática móvil y Teletrabajo – Ordenadores portátiles y

comunicaciones móviles

– Teletrabajo









Adquisición, desarrollo y

mantenimiento de los SSII


Controles: Adquisición, desarrollo y

mantenimiento de los sistemas de información

• Requisitos de seguridad de los sistemas de información

• Procesamiento correcto en las aplicaciones – Validación de datos de

entrada

– Control del procesamiento interno

– Integridad de los mensajes

– Validación de los datos de salida

• Controles criptográficos

• Seguridad de los archivos de sistema – Control del software en

explotación

– Protección de los datos de prueba del sistema

– Control de acceso al código fuente de los programas


Controles: Adquisición, desarrollo y

mantenimiento de los sistemas de información

• Seguridad en el desarrollo y procesos de asistencia técnica – Procedimientos de control de cambios

– Revisión técnica de las aplicaciones después de realizar cambios en el sistema operativo

– Restricciones a los cambios en los paquetes de software

– Fuga de información

– Externalización del desarrollo de software

• Gestión de las vulnerabilidades técnicas











Gestión de

incidencias de seguridad


Controles: Gestión de incidencias de seguridad

• Informar de las incidencias de seguridad y las debilidades – Notificación de los eventos de seguridad de la

información

– Notificación de los puntos débiles de la seguridad

• Gestión de los incidentes de la seguridad de la información y mejoras – Responsabilidades y procedimientos

– Aprendizaje de los incidentes de seguridad de la información.

– Recopilación de evidencias











Gestión de


Gestión de la

continuidad del negocio


Controles: Gestión de la continuidad del negocio

• Aspectos de la seguridad de la información de la gestión de la continuidad del negocio – Continuidad del negocio y evaluación de riesgos

– Desarrollo e implantación de planes de continuidad incluyendo en ellos la seguridad de la información

– Marco de referencia para la planificación de la continuidad de negocio

– Pruebas, mantenimiento y re-evaluación de los planes de continuidad











Gestión de


Gestión de la

continuidad del negocio Cumplimiento legal


Controles: Cumplimiento

• Conformidad con los requisitos

– Identificación de la legislación aplicable

– Derechos de propiedad intelectual

– Protección de los documentos de la organización

– Protección de datos y privacidad de la información personal

– Prevención del uso indebido de los recursos de tratamiento de la información

– Regulación de los controles criptográficos

• Conformidad con las políticas de seguridad y los estándares y conformidad técnica

– Cumplimiento de las políticas y normas de seguridad

– Chequeo de cumplimiento técnico

• Consideraciones de auditoría de los sistemas de información – Controles de auditoría de los

sistemas de información

– Protección de las herramientas de auditoría de sistemas de información











Gestión de


Gestión de la

continuidad del negocio Cumplimiento legal


Crear el SGSI

Identificación

de activos

Análisis riesgos

seguridad

Selección

controles


Crear el SGSI

Identificación

de activos

Análisis riesgos

seguridad

Selección

controles

Plan de Seguridad

Plan de Tratamiento

de Riesgos


Crear el SGSI

Identificación

de activos

Análisis riesgos

seguridad

Selección

controles

Plan de Seguridad

Plan de Tratamiento

de Riesgos


Crear el SGSI: Definir procesos, procedimientos

e indicadores

• Procesos y procedimientos – Gestión de Incidencias

– Gestión de No Conformidades

– Auditorías

– Revisión de Indicadores

– Control de Accesos

– Administración de usuarios

– Contratación de personas

– Baja laboral

– Seguridad Física

– Seguridad Lógica

– …

• Indicadores:

– Número de NC

Seguridad

– Número de incidencias

– % de Incidencias

– Tiempo de respuesta

– Tiempo de resolución

– % Éxito backups

– …


Crear el SGSI

Requisitos y

expectativas

De la

seguridad

De la

información

Seguridad

de la

información

gestionada

Planificar

Hacer

Verificar

Actuar

Implementar y

operar el SGSI


Implementar y operar el SGSI

Plan de tratamiento

de riesgos

Implantar

controles

Gestionar

el sistema

Implantar

Procesos y

procedimientos

• Gestión de Incidencias

• Gestión de No Conformidades

• Auditorías

• Revisión de Indicadores

• Control de Accesos

• Administración de usuarios

• Contratación de personas

• Baja laboral

• Seguridad Física

• Seguridad Lógica

• …


Implementar y operar el SGSI

Formación y

concienciación

El usuario siempre es el eslabón

más débil en una cadena de

seguridad informática, por lo tanto

siempre es el primero que es

atacado


Crear el SGSI

Requisitos y

expectativas

De la

seguridad

De la

información

Seguridad

de la

información

gestionada

Planificar

Hacer

Verificar

Actuar

Implementar y

operar el SGSI

Supervisar y

revisar el SGSI


Supervisar y revisar el SGSI

Supervisión y

revisión Auditorías

• Plan de seguridad

• Controles

• Indicadores

• Problemas

• No Conformidades

• Incidencias

• Eventos

• Riesgos

• …


Crear / Planificar

el SGSI

Mantener y

mejorar el SGSI

Requisitos y

expectativas

De la

seguridad

De la

información

Seguridad

de la

información

gestionada

Planificar

Hacer

Verificar

Actuar

Implementar y

operar el SGSI

Supervisar y

revisar el SGSI


Mantener y mejorar el SGSI

Identificar mejoras

Aplicar medidas

Correctivas y preventivas


Crear el SGSI

Mantener y

mejorar el SGSI

Requisitos y

expectativas

De la

seguridad

De la

información

Seguridad

de la

información

gestionada

Planificar

Hacer

Verificar

Actuar

Implementar y

operar el SGSI

Supervisar y

revisar el SGSI

Tomeu Fluxà Cabrer

[email protected]

[email protected]

http://es.linkedin.com/in/tfluxa

mailto:[email protected]



http://es.linkedin.com/in/tfluxa

Business

Implantación de un Sistema de Gestión de Seguridad de la Información. Una visión práctica