IntroducciónalasNormasISO27001:2013,GEL,ISO27032:2012yPCIDSS

Agenda

Introducción

Gobiernoenlínea

Modelosdeseguridadymudurez

ElestándarISO27001

Conclusiones

Introducción

Cambios en la tecnología

Reducción presupuestos

Cooperación

Cumplimientos

Globalización

Innovación continua

Privacidad, seguridad y ética

Orientación a procesos

Protección propiedad intelectual

Gobierno

Entornoactual

Lainformación comoactivo

Es el conjunto de datos omensajes inteligiblescreados con un lenguaje derepresentación y quedebemos proteger ante lasamenazas del entorno,durante su transmisión oalmacenamiento, usandodiferentes tecnologíaslógicas, físicas oprocedimentales.

Tiposdeinformación

Impresos oescritos enpapel

Almacenadaelectrónicamente

EnvideosGrabacionesdesonido

Loquesehabla

Lainformación

LainformaciónesunactivoquecomocualquierotroactivoimportantedelaEntidadtienevalorporloquenecesitaserprotegido.

ElproblemaLas entidades a nivel nacional son cada vez másdependientes de la información, de las tecnologíasinformáticas, de las aplicaciones y de lascomunicaciones, por lo tanto, podemos afirmar, queson cada vez más vulnerables a las amenazas deseguridad de la información.

Ciberterrorismo

Algunascreenciasycomentarios

q Existe cierta mentalidad de que no hay nada importante porproteger en su computador personal

q Existe el concepto errado de que la tecnología por si misma puederesolver sus problemas de seguridad (firewalls, antivirus)

q Continuamente se generan nuevos métodos de “Ingeniería Social”que mediante engaños buscan obtener información confidencial

q La seguridad es un productoq La seguridad de la información sólo tiene que ver con los sistemasde información, computadores y redes.

q La seguridad de la información no se relaciona con la gestión deriesgos.

Requerimientos

Apoyodirectivo Recursoseconómicos Educación Rolesy

responsabilidades

Tiempoparaplanearyejecutar

Revisionescontinuas

Modelodeseguridad

Medicionesdelsistema

¿Necesitamospolíticas?

GEL

AntecedentesLa estrategia de Gobierno en Línea incorporó elcomponente de seguridad como elementotransversal, para que las entidades públicasimplementen un Sistema de Gestión de laSeguridad de la Información (SGSI) para lograr laconfidencialidad, la integridad y la disponibilidadde la información.

GELEstosignificaqueelGobierno:

◦ Prestarálosmejoresserviciosenlíneaalciudadano

◦ Lograrálaexcelenciaenlagestión◦ Empoderaráygeneraráconfianzaenlosciudadanos

◦ ImpulsaráyfacilitarálasaccionesrequeridasparaavanzarenlosObjetivosdeDesarrolloSostenible-ODS,facilitandoelgoceefectivodederechosatravésdelusodeTIC

Objetivos

Confidencialidad

Integridad

Disponibilidad

Agentesintervinientes

Personas

Procesos

Tecnologías

Información

CiclodelMSPI

Planificación

Implementación

Evaluación dedesempeño

MejoracontinuaDiagnóstico

Actividadesencadafase

1.Planear:1. Definicióndelalcancedelsistema

2. Metodologíadeevaluaciónderiesgos

3. Plandetratamientoderiesgos

4. Definicióndepolíticasdeseguridaddelainformación

2.Hacer:1. Implementacióndepolíticas,

controlesyprocedimientos

2. Asignaciónderecursos(personas,tiempo,dinero)

3. Programadesensibilización,educaciónyentrenamiento

4. Tratamientoderiesgo

3. Verificar:1. Mediciónderesultados

2. Análisisdetendencias

3. Auditoriainterna4. Revisióndelagerencia

4.Actuar:1. Accionespreventivasycorrectivas

(VeranexoA).

Planificación

Implementación

Evaluación de2desempeño

Mejora2continua

Modelo de seguridad y madurez

ProcesosPROCESO 1

Func

ión

4Fu

nció

n 3

Func

ión

2Fu

nció

n 1

Almacenar orden

Revisar inventario

PrepararDespacho Entrega

PrepararFactura

EnviarFactura

Archivar

`

`

ModelodeseguridadPrincipios

Políticas

Procedimientos

Estándares

Productos

Modelodemadurez

USCMarshalBusinesModelforInformationSecurity

3D…ModelodelaSeguridaddelaInformación

ISO 27001

ISO27001

!

Dominio&ISO&27001& Objetivo&de&control&

Política&de&seguridad.&& Objetivo&de&control&A.5&Organización&de&la&seguridad&de&la&información.&& Objetivo&de&control&A.6&Seguridad&de&los&RRHH.&& Objetivo&de&control&A.7&Gestión&de&activos.&&& Objetivo&de&control&A.8&Control&de&accesos.&& Objetivo&de&control&A.9&Criptografía.&& Objetivo&de&control&A.10&Seguridad&física&y&ambiental.&& Objetivo&de&control&A.11&Seguridad&en&las&operaciones.&& Objetivo&de&control&A.12&Seguridad&en&las&comunicaciones.&& Objetivo&de&control&A.13&Adquisición& de& sistemas,& desarrollo& y&mantenimiento.&&

Objetivo&de&control&A.14&

Relación&con&proveedores.&& Objetivo&de&control&A.15&Gestión&de&los&incidentes&de&seguridad.&& Objetivo&de&control&A.16&Continuidad&del&negocio.&& Objetivo&de&control&A.17&Cumplimiento& con& requerimientos& legales& y&contractuales.&&

Objetivo&de&control&A.18&

Dominios

0"

0,1"

0,2"

0,3"

0,4"

0,5"

0,6"

0,7"

0,8"

0,9"

1""A.5"

"A.6"

"A.7"

"A.8"

"A.9"

"A.10"

"A.11"

"A.12"

"A.13"

"A.14"

"A.15"

"A.16"

"A.17"

"A.18"

VALORACION"GAP

ISO 27032:2012

ISO27032:2012“preservation of confidentiality, integrity and availability of information inthe Cyberspace”. In turn “the Cyberspace” is defined as “the complexenvironment resulting from the interaction of people, software andservices on the Internet by means of technology devices and networksconnected to it, which does not exist in any physical form”.

Personas

Software

Servicios Dispositivos

Redes

Tecnología

ISO27032:2012

Seguridadenlasredes

SeguridadenInternet

Seguridaddela

información

Seguridaden

aplicaciones

ISO27032:2012La normativa ISO 27032 es un nuevo estándar de ciberseguridad publicada por ISO. La Norma ISO/IEC 27032:2012 "Tecnologías de la información -Técnicas de seguridad - Directrices para la Ciberseguridad" ofrece unas líneas generales para fortalecer la Ciberseguridad en una empresa, con base en:

1.La Seguridad en la Redes

2.Seguridad en Internet

3.Seguridad de la información

4.La Seguridad de las Aplicaciones

ISO27032:2012

Prevención Respuesta

Recuperación Protección

ISO27032:2012Prevención: La prevención se basa en la implantación de contramedidas y controles que limiten los impactos de eventos de ciberseguridadRespuesta y Comunicación: la comunicación al interior de la organización debe ir de la mano de una respuesta adecuada al incidente.Recuperación y Aprendizaje: Aprender del pasado es importante junto con la recuperación de los sistemas afectados.Protección y Detección: monitorización de eventos de seguridad con el fin de detectarlos a tiempo y protegernos de ellos.

Estructuradelanorma5.Overview6.Assets in the Cyberspace7.Threats against the security of the Cyberspace8.Roles of stakeholders in Cybersecurity9.Guidelines for stakeholders10.Cybersecurity controls11.Framework of information sharing and coordination

PCI DSS

¿QuéesPCIDSS?Origen

La norma PCI DSS (Payment Card Industry Data Security Standard) fue desarrollada por unconjunto de compañías de tarjetas de débito y crédito en el año 2006 entre las queestaban: America Express, Discover, JCB, Mastercard y VISA. De esta unión se creó elPayment Card Industry Security Standards Council (PCI-SSC), el cual es responsable de lacreación, desarrollo, y difusión de la norma PCI DSS.

Requisitos

PCI es una de las normas más exigentes a nivel mundial en lo relacionado con la protecciónde la información sensible debido al énfasis que pone en los requerimientos de tipotecnológicos y la rigurosidad que exige en el proceso de evaluación para otorgar lacertificación de cumplimiento. La evaluación, para obtener la certificación, exige que el100% de los requerimientos y sub-requerimientos estén implementados correctamente.Se logra así una mejora sustancial en la ciberseguridad y la protección de la información.

1. Confianza por parte de los clientes hacia las empresas que son certificadas ya que estoasegura que su información es protegida contra robos o exposición.

2. Disminución importante de los riesgos relacionados con la seguridad de la información.

3. Sobrevivencia hacia el futuro ya que las compañias expuestas a un ciberataque puedenverse afectadas gravemente en sus finanzas por las multas y demandas a que pueden sersometidas.

4. Al ser la norma PCI DSS de reconocimiento mundial facilita los procesos de negociacióninternacionales.

5. Consecución de nuevos clientes al generarse con la certificación una ventaja competitiva ypor tanto una mejora en los ingresos.

6. Pagos electrónicos seguros.

7. Contribución a la transformación digital segura.

Beneficios

AspectosconsideradosporPCIDSS

Requerimientos DescripcióndelRequerimiento

1 Instalar y mantener un firewall para proteger los datos de sensibles.2 No utilizar los valores predeterminados suministrados por el proveedor.3 Proteger los datos almacenados sensibles.4 Cifrar la transmisión de los datos sensibles a través de redes públicas abiertas.5 Usar y actualizar con regularidad el software antivirus y contar con una consola centralizadora.6 Desarrollar y mantener aplicaciones seguras.7 Limitar el acceso a los datos sensibles.8 Asignar una identificación única a cada persona con acceso a los sistemas.9 Restringir el acceso físico a los datos sensibles.10 Rastrear y monitorizar todo acceso a los recursos de la red y a los datos sensibles.11 Realizar continuamente análisis de vulnerabilidades y test de intrusión.12 Mantener una política que aborde la seguridad de la información, riesgos e incidentes

FIN