View
4.265
Download
4
Embed Size (px)
DESCRIPTION
Presentacion de la Conferencia Certificacion ISO 17799 - ISO 27001 . Realizada en el Securinf V3.0 - Dirigida por el Expositor y Experto en Seguridad de la Informacion a Organizacion Privadas y Publicas.¿Como Me Certifico en Seguridad de la Informacion?Securinf.com -
Citation preview
Seguridad de la Información
NORMA ISO 17799 / ISO 27001
Seguridad de la Información
NORMA ISO 17799 / ISO 27001
Objetivos
Implementación de medidascon los requerimientos de
� Identificación de los requerimientosnorma en sus 11 dominios
� Comprender el proceso de
con los requerimientos de27001:
� Comprender el proceso delograr la Certificación ISO
medidas de seguridad de acuerdola Norma ISO 17799 / ISO
requerimientos específicos dedominios.
de adecuar la compañía para
la Norma ISO 17799 / ISO
de adecuar la compañía paraISO 27001.
QUE ES SEGURIDAD DE LA INFORMACIÓN?
QUE ES SEGURIDAD DE LA INFORMACIÓN?
Por que?Por que?
Reconocer los riesgos y su impacto en los negocios
Por que?Por que?
Reconocer los riesgos y su impacto en los negocios
INTERNET
Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundoApenas 150 “spammers” norteamericanos son los responsables del
Algunos datos
11:22 | EL GUSANO
Un nuevo virus se esconde en tarjetas Apenas 150 “spammers” norteamericanos son los responsables del
90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico.
esconde en tarjetas navideñas
Un virus informático, que se esconde en una tarjeta electrónica de felicitación, comenzó a circular por la red, informó Panda Software. La compañía advirtió a los usuarios que extremen las medidas de seguridad durante estas fiestas.
ESTAFAS EN INTERNET El “phishing” ya pesca en todo AmericaDetectaron casos que afectaron a numerosas empresas y a los clientes de bancos estadounidenses y del resto de America.
INTERNET
Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundoApenas 150 “spammers” norteamericanos son los responsables del Apenas 150 “spammers” norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico.
Detectaron casos que afectaron a numerosas empresas y a los clientes de bancos
Algunos hechos
12:50 | A TRAVES DE MAILUtilizan las siglas del FBI para propagar un viruspropagar un virus
La famosa policía federal estadounidense advirtió sobre la difusión de falsos correos electrónicos que llevan su nombre.
La pregunta secreta del caso "Paris Hilton"caso "Paris Hilton"------------------------------
Hace apenas unos días saltó la noticia de que los contenidos del teléfono móvil de Paris Hilton habían sido publicados en Internet. Enun principio se barajó la posibilidad de que hubieran accedido a la tarjeta SIM, o de que se tratara de una intrusión a los servidoresde T-Mobile aprovechando inyecciones SQL. Al final parece ser que el método empleado fue mucho más sencillo, bastaba con contestar a lamucho más sencillo, bastaba con contestar a lapregunta "¿cuál es el nombre de su mascota favorita?".
Legales | Infracciones Graves El delito informático En forma amplia, es "toda acción reputada como delito para
Algunos hechos
En forma amplia, es "toda acción reputada como delito para cuya consumación se utilizan o afectan medios informáticos". Vulneran tanto los equipos como los programas, e incluyen virus, sustracción de información o piratería. En un terreno más restringido, son sólo aquellas acciones que vulneran los equipos fijos de computación.
Libertad, control y responsabilidad en Internet
Diario judicial.com publica hoy un polémico fallo por el que
los responsables de un sitio de internet por un mensaje injurioso anónimo ingresado en un libro de visitas, de libre acceso por los navegantes. La resolución preocupa a los
sitios web y puede sentar un duro precedente para aquellos que contengan foros y libros de visitas abiertos al público.
Infracciones Graves El delito informático En forma amplia, es "toda acción reputada como delito para En forma amplia, es "toda acción reputada como delito para cuya consumación se utilizan o afectan medios informáticos". Vulneran tanto los equipos como los programas, e incluyen virus, sustracción de información o piratería. En un terreno más restringido, son sólo aquellas acciones que vulneran los equipos fijos de computación.
Libertad, control y responsabilidad en Internet
Diario judicial.com publica hoy un polémico fallo por el que se condena a se condena a los responsables de un sitio de internet por un
mensaje injurioso anónimo ingresado en un libro , de libre acceso por los navegantes. La resolución preocupa a los
sitios web y puede sentar un duro precedente para aquellos que contengan foros y libros de visitas abiertos al público.
Algunos datos
La seguridad de redes, una prioridad para las empresasempresas
Cisco publicó los resultadosrealizado a directivos latinoamericanoscon los resultados, el 79 %Latinoamérica opina que laextrema prioridad".
La seguridad de redes, una prioridad para las
resultados de un estudio de seguridadlatinoamericanos de IT. De acuerdo
% de los Directivos de ITla seguridad es un tema
NEGOCIOS
Algunos datos
Una nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad de la informaciónUna nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad de la información
No existe la “verdad absoluta”Información.
Algunas premisas
No es posible eliminar todos
La alta Gerencia está convencidade la Información nocompañía.
Cada vez los riesgos y elson mayores.
absoluta” en Seguridad de
todos los riesgos.
convencida que la Seguridadhace al negocio de
el impacto en los negocios
En mi compañía ya tenemos
... implementamos un firewall
... contratamos una persona
... en la última auditoríaobservaciones importantes
... ya escribí las políticas.
... hice un penetration testing
tenemos seguridad porque ...
firewall.
persona para el área.
de sistemas no hicieronimportantes.
testing y ya arreglamos todo.
En general todos coinciden en
Algunos datos
El 80% de los incidentes/fraudes/ataquesefectuados por personal interno
Fuentes:
The Computer Security Institute
Cooperative Association forCooperative Association for(CAIDA)
CERT
SANS
en:
incidentes/fraudes/ataques soninterno
Institute
for Internet Data Analysisfor Internet Data Analysis
Según una encuesta del DepartamentoUSA:
Algunos datos
USA:
Sobre aprox 9000 computadores
7,900 fueron dañados.
400 detectaron el ataque.
Sólo 19 informaron el ataqueSólo 19 informaron el ataque
Departamento de Defensa de
computadores atacados,
.
ataque.ataque.
en formato electrónico / magnético
Qué Información proteger
en formato impreso
en el conocimiento de las
El capital más valioso en las organizaciones
magnético / óptico
proteger
personas
El capital más valioso en las organizaciones
Principales riesgos y su impacto en los negocios
Principales riesgos y su impacto en los negocios
Captura
Violación de eViolación de contraseñas Intercepción y modificación de e
Spamming
Mails “anónimos” con información crítica o con agresiones
Violación de contraseñas
Interrupción de los servicios
Intercepción y modificación de e
VirusFraudes informáticos
Incumplimiento de leyes y regulaciones
Destrucción de soportes documentales
Acceso clandestino a redes
Ingenierí
Acceso clandestino a redes
Intercepción de comunicaciones
Acceso indebido a documentos impresos
Falsificación de información para terceros
Indisponibilidad de información clave
Captura de PC desde el exterior
Violación de e-mailsIntercepción y modificación de e-mails
Robo de información
Destrucción de equipamiento
Mails “anónimos” con información crítica o con agresiones
Intercepción y modificación de e-mails
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks
empleados deshonestos
Destrucción de soportes documentales
Acceso clandestino a redes
Programas “bomba”
Violación de la privacidad de los empleados
ía socialPropiedad de la Información
Acceso clandestino a redes
Intercepción de comunicaciones
Software ilegal
Password crackingInstalaciones default
Password cracking
Man in the middle
Denegación de servicio
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Backups inexistentesÚltimos parches no instalados
Replay attackKeylogging
Desactualización
Backups inexistentesÚltimos parches no instalados
Escalamiento de privilegiosdefault
Exploits
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Backups inexistentes
KeyloggingPort scanning
Backups inexistentes
Se puede estar preparado para que ocurran lo menos
Principales riesgos y el impacto
posible:
sin grandes inversiones en software
sin mucha estructura de personal
Tan solo:
Ordenando la Gestión de Seguridad
Se puede estar preparado para que ocurran lo menos
impacto en los negocios
sin grandes inversiones en software
sin mucha estructura de personal
Ordenando la Gestión de Seguridad
NORMAS APLICABLESNORMAS APLICABLES
Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las
Normas Internacionales aplicables
Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las
Normas Internacionales aplicables
Information Systems and Audit Control Association
British Standards Institute: BS
Normas y Metodologías aplicables
International Standards Organization:
Departamento de Defensa de USA:
ITSEC – Information Technology Security Evaluation Criteria: White Book
Sans Institute, Security Focus, etc
Sarbanes Oxley Act, Basilea II, HIPAA Act,
Leyes NACIONALES
OSSTMM, ISM3, ISO17799:2005, ISO27001OSSTMM, ISM3, ISO17799:2005, ISO27001
BS 25999
DRII
Information Systems and Audit Control Association - ISACA: COBIT
aplicables
International Standards Organization: Normas ISO
Departamento de Defensa de USA: Orange Book / Common Criteria
Information Technology Security Evaluation Criteria: White Book
Sarbanes Oxley Act, Basilea II, HIPAA Act,
ISO17799:2005, ISO27001ISO17799:2005, ISO27001
Norma ISO 27001Norma ISO 27001Gestión de SeguridadNorma ISO 27001Norma ISO 27001
Gestión de Seguridad
Normas de Gestión ISO
� ISO9001 – Calidad
� ISO14001 – Ambiental
� ISO17799-1 – Seguridad de la Información NORMALIZACION (Mejores Prácticas)
� ISO 27001 – CERTIFICACION de Seguridad de la Información
ISO
Seguridad de la Información - 1 . NORMALIZACION (Mejores Prácticas)
CERTIFICACION de Seguridad de la Información
Está organizada en capítulos (dominios)los distintos criterios a ser tenidos
Norma ISO 17799 /Información
los distintos criterios a ser tenidospara llevar adelante una correcta
GESTION DE SEGURIDAD(SGSI –
Alcance
Recomendaciones para lainformación
Base común para el desarrollo
(dominios) en los que se tratantenidos en cuenta en cada tema
27001 Seguridad de la
tenidos en cuenta en cada temacorrecta:
SEGURIDAD DE LA INFORMACION– ISMS)
gestión de la seguridad de
desarrollo de estándares de seguridad
Qué cambió de la versión anteriorQué cambió de la versión anterior
Norma ISO 17799: 2005
ISO 27001ISO 27001
Qué cambió de la versión anteriorQué cambió de la versión anterior
Norma ISO 17799: 2005 –
ISO 27001ISO 27001
NUEVA SECCIONNUEVA SECCION
antes 10 ahora 11 Dominios
NUEVA SECCIONNUEVA SECCION
antes 10 ahora 11 Dominios
Alcance 1.
Términos y definiciones 2.
3.
4.
Política de Seguridad 5.
Organización de la Seguridad de la Información
6.
Clasificación y Control de Activos
7.
Seguridad del Personal 8.
Seguridad Física y Ambiental 9.
Administración de las Comunicaciones y Operaciones
10.
Administración de Accesos 11.
Desarrollo y Mantenimiento de Sistemas
12.
13.
Administración de la
Alcance
Términos y definiciones
Estructura del Estándar
Evaluación y Manejo de los Riesgos
Política de Seguridad
Organización de la Seguridad de la Información
Administración de Activos
Seguridad de los Recursos Humanos
Physical & Environmental Security
Administración de las Comunicaciones y Operaciones
Administración de Accesos
Adquisición , Desarrollo y Mantenimiento de Sistemas de Información
Administración de Incidentes de Seguridad de la Información
3: Estructura del Estandar
• Detalle para asistir al uso y aplicación más ameno y fácil del
Hay dos SECCIONES GENERALES nuevas
• Detalle para asistir al uso y aplicación más ameno y fácil del estándar.
4: Risk Assessment & Treatment
• Highlights sobre la importancia de efectuar un risk assessment para definir los CONTROLES APLICABLES.
• La necesidad de una continua evaluación y administración de • La necesidad de una continua evaluación y administración de los RIESGOS
• Highlights sobre la importancia de la participación de la GERENCIA en el análisis de RIESGOS
• Detalle para asistir al uso y aplicación más ameno y fácil del
Hay dos SECCIONES GENERALES nuevas
• Detalle para asistir al uso y aplicación más ameno y fácil del
4: Risk Assessment & Treatment
• Highlights sobre la importancia de efectuar un risk assessment para definir los CONTROLES APLICABLES.
• La necesidad de una continua evaluación y administración de • La necesidad de una continua evaluación y administración de
• Highlights sobre la importancia de la participación de la GERENCIA en el análisis de RIESGOS
BS7799
Fue revisado y se ha convertido en la nuevaFue revisado y se ha convertido en la nueva
ISO 27001Octubre 15, 2005Octubre 15, 2005
De la misma forma se espera quela ISO 17799 se convierta en ISO 27002
BS7799-2
Fue revisado y se ha convertido en la nuevaFue revisado y se ha convertido en la nueva
ISO 27001Octubre 15, 2005Octubre 15, 2005
De la misma forma se espera quela ISO 17799 se convierta en ISO 27002
NACE LA FAMILIA DE LAS NORMAS ISO 27000
BS ISO/IEC 27000 – Fundamentos y Vocabulario Vocabulario
BS ISO/IEC 27001 – Sistema de Gestión de Seguridad de la Información – Requisitos
BS ISO/IEC 27002 – Código de práctica para la Gestión de la Seguridad de la información
BS ISO/IEC 27003 – Guía de Implementación
BS ISO/IEC 27004 – Métricas y Medidas
BS ISO/IEC 27005 – Gestión de Riesgos BS ISO/IEC 27005 – Gestión de Riesgos en Seguridad de la Información
BS ISO/IEC 27006 – Versión Internacional de EA7/03
27007…...27011
NACE LA FAMILIA DE LAS NORMAS ISO 27000
2008/2009
Publicado en Octubre 2005
Anteriormente ISO/IEC 17799:2005Cambio a 27002 en el 2007 (solo se fue un cambio de número)
2008/2009
2007/2008
2008/2009. Actualmente BS 7799-3, 2008/2009. Actualmente BS 7799-3, Publicada Marzo 2006
Versión Internacional Se decidirá durante 2Q06 si este será el número
Reservados para futuros desarrollos (productos manejados por BSI y potencialmente ISO TC)
NACE LA FAMILIA DE LAS NORMAS ISO 27000
En junio de este año salio la ISO27005 que es la versión ACTUALIZADA Y En junio de este año salio la ISO27005 que es la versión ACTUALIZADA Y AMPLIADA de la ISO13335 (gestión de riesgos en TI), que se basaba en la BS7799-3. Con esta versión se puede cubrir el requerimiento de la ISO 27001 de tener una metodología de riesgo simple, es bien practica y en realidad, técnicamente es igual a como se clasificaba y administraba el riesgo anteriormente (impacto, probabilidad de ocurrencia, etc), y ya estaba en las metodologías como CRAMM, COBRA, MAGERIT, BS7799
NACE LA FAMILIA DE LAS NORMAS ISO 27000
En junio de este año salio la ISO27005 que es la versión ACTUALIZADA Y En junio de este año salio la ISO27005 que es la versión ACTUALIZADA Y AMPLIADA de la ISO13335 (gestión de riesgos en TI), que se basaba en la
3. Con esta versión se puede cubrir el requerimiento de la ISO 27001 de tener una metodología de riesgo simple, es bien practica y en realidad, técnicamente es igual a como se clasificaba y administraba el riesgo anteriormente (impacto, probabilidad de ocurrencia, etc), y ya estaba en las metodologías como CRAMM, COBRA, MAGERIT, BS7799
Preservar la:
confidencialidad:
Norma ISO 17799 Seguridad
confidencialidad:accesible sólo a aquellasacceso.
integridad:exactitud y totalidad deprocesamiento.
disponibilidad:acceso a la informaciónella toda vez que se requiera
Seguridad de la Información
aquellas personas autorizadas a
de la información y los métodos
información y a los recursos relacionadosrequiera.
Cómo es un Proceso de Certificación ISO 27001 de una
Organización?
Cómo es un Proceso de Certificación ISO 27001 de una
Organización?
QUÉ ES CERTIFICAR?
proceso de CertificaciónINFORME Firmado por parte
organización) que defineCRITERIO PROFESIONAL,CUMPLE o NO CUMPLEestablecidos en la Normativaestablecidos en la Normativa
Certificación es la Generación de unparte de un TERCERO (ajeno
define que, de acuerdo con suPROFESIONAL, dicha Organización
CUMPLE con los RequerimientosNormativa.Normativa.
PORQUE CERTIFICAR?
Para poder Mostrar al Mercadoadecuado SISTEMAadecuado SISTEMA
SEGURIDAD DE LA INFORMACIÓN
Una empresa CERTIFICADAMAS RIESGOS DE SEGURIDADsino que tienen un adecuadoRiesgos y Proceso de MEJORARiesgos y Proceso de MEJORA
Mercado que la Organización tieneDE GESTION DE LADE GESTION DE LA
INFORMACIÓN.
CERTIFICADA no implica que NO TIENESEGURIDAD DE LA INFORMACION,
Sistema de Gestión de dichosMEJORA CONTINUA.MEJORA CONTINUA.
Empresas certificadas en el mundoEmpresas certificadas en el mundo
500
750
1000
1250
0
250
2002 2003 2004
QUE ORGANIZACIONES PUEDEN
Cualquier Organización, grandeprivada, de Gobierno o sincondiciones y habilitada para
PUEDEN CERTIFICAR?
grande o pequeña, públicasin fines de lucro, etc, está
para CERTIFICARSE.
QUIENES ESTAN AUTORIZADOSCERTIFICACION?
Cualquier Agente ajeno a la OrganizaciónCualquier Agente ajeno a la OrganizaciónCompañía) puede Firmar el Informe
Pero dado que la Certificación ademásAsegurarse de Cumplir con la Normativa,poder Mostrar dicha Certificación al
recurre a Organizaciones queademás reconocidas INTERNACIONALMENTEtrabajo. Por ello se recurretrabajo. Por ello se recurreACREDITADAS (este es el términoInternacional de Acreditación. Ejemplo
el Bureau Veritas BVQI, Det Norske
AUTORIZADOS A EFECTUAR LA
Organización (Profesional IndependienteOrganización (Profesional IndependienteInforme antes mencionado.
además de un valor InternoNormativa, tiene un fin principal
al Mercado Externo, generalmenteestén Técnicamente Aceptadas
INTERNACIONALMENTE para efectuar dichoa Organizaciones que esténa Organizaciones que esténtécnico utilizado) en el Organismo
Ejemplo de este tipo de OrganizacionesNorske Veritas DNV, TÜV, etc.
COMO ES EL PROCESO DE
El requerimiento previo escon la Implementación delanterior.
Luego se convoca alCERTIFICACION.CERTIFICACION.
DE CERTIFICACION?
que la Organización cumplaSGSI definido en la Sección
Tercero para efectuar
Los principales PASOS son:
Preparar la Documentación Soporte
Efectuar la PREAUDITORIAAnalysis respecto al Estándar
Identificar conjuntamente:
•las NO CONFORMIDADESacuerdo al Estándar)acuerdo al Estándar)•las NO CONFORMIDADES(sólo se documentan•las NO CONFORMIDADESACEPTADAS (se definen
Soporte a Presentar
PREAUDITORIA para conocer el GAP
CONFORMIDADES (incumplimientosEstándar)Estándar)CONFORMIDADES que son ACEPTADAS
documentan los argumentos de justificación)CONFORMIDADES que NO
definen las MEJORAS a implementar)
Implementar las MEJORASDocumentales correspondientes
Efectuar la AUDITORIAGeneración del Informe Final
NO CONFORMIDADES (aceptadasResiduales aceptados por la Dirección
MEJORAS y Generar los Soportescorrespondientes
AUDITORIA DE CERTIFICACIONFinal de Certificación incluyendo
(aceptadas o NO y sus RiesgosDirección de la Organización)
PUEDE UNA ORGANIZACIONCERTIFICACION?
una Organización no cumplepuede ocurrir que en la AuditoríaCertificadora solicite que se saqueinicialmente.
ORGANIZACION PERDER
cumple con los requerimientos,Auditoría Periódica la Empresasaque la Certificación Obtenida
Cómo se implementa un Cómo se implementa un Programa de Gestión de
Seguridad de la Información (SGSI -
Cómo se implementa un Cómo se implementa un Programa de Gestión de
Seguridad de la Información - ISMS)?
SGSI SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Está basado en el Modelo utilizado por las NORMAS
Actuar
Está basado en el Modelo utilizado por las NORMAS ISO en general:
Verificar
SGSI SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION
Está basado en el Modelo utilizado por las NORMAS
Planificar
Está basado en el Modelo utilizado por las NORMAS ISO en general:
Hacer
Principales PASOS a seguir enSGSISGSI
Implementación del SGSI en 12
Definir el alcance del SGSI desdecaracterísticas de la actividad, lasus activos y su tecnología
Definir una Política GENERAL
en la IMPLEMENTACION del
PASOS:
desde el punto de vista de lasla organización, su ubicación,
GENERAL del SGSI
Qué es una Política?
Son instrucciones gerenciales que trazan una dirección y describen la manera de administrar o dar solución a un problema o situación.
Son planteamientos de alto nivel que transmiten a los trabajadores la Son planteamientos de alto nivel que transmiten a los trabajadores la orientación que necesitan para tomar decisiones presentes y futuras.
Son requisitos generalizados que deben ser documentados y comunicados dentro, y en algunos casos fuera, de la organización.
Son reglas de negocio de obligatorio cumplimiento debido a que son equivalente de una ley propia de la organización lo cual garantiza que los controles serán aplicados de manera consistente.que los controles serán aplicados de manera consistente.
Son diferentes a los controles.
No SON LAS REGLAS DE CONFIGURACION DEL FIREWALL
Son instrucciones gerenciales que trazan una dirección y describen la manera de administrar o dar solución a un problema o situación.
Son planteamientos de alto nivel que transmiten a los trabajadores la Son planteamientos de alto nivel que transmiten a los trabajadores la orientación que necesitan para tomar decisiones presentes y futuras.
Son requisitos generalizados que deben ser documentados y comunicados dentro, y en algunos casos fuera, de la organización.
Son reglas de negocio de obligatorio cumplimiento debido a que son el equivalente de una ley propia de la organización lo cual garantiza que los controles serán aplicados de manera consistente.que los controles serán aplicados de manera consistente.
No SON LAS REGLAS DE CONFIGURACION DEL FIREWALL
Definir una METODOLOGIAlos RIESGOS
Identificar y Valorar los riesgosIdentificar y Valorar los riesgos
Identificar y definir ALTERNATIVASriesgos:
• Aplicar controles• Aceptar los riesgos• Aceptar los riesgos• Evitar riesgos• Transferir los riesgos.
METODOLOGIA para la CLASIFICACION de
riesgosriesgos
ALTERNATIVAS para el tratamiento
HighHighHighHigh
21
Mapa de Riesgos Mapa de Riesgos
8
9
12
21
2
3
5
7
13
10
1519
20
22
23
251018
16
17
Mapa de Riesgos Mapa de Riesgos
11
16
26
1
4
Seleccionar objetivos de controlIMPLEMENTAR
EVIDENCIAS
control y controles específicos
)Preparar una DDA DeclaraciónCONTROLES se van a IMPLEMENTAR)
)Obtener la aprobación de la Dirección)Obtener la aprobación de la Dirección• DDA Declaración de Aplicabilidad• Riesgos Residuales no cubiertos
Formular un plan CONCRETO• Tratamiento de los riesgos• Controles a Implementar• Programas de entrenamiento• Programas de entrenamiento• Gestionar el SGSI• Procesos de detección yseguridad
Declaración de Aplicabilidad (quéIMPLEMENTAR)
Dirección de:Dirección de:Aplicabilidadcubiertos
CONCRETO y DETALLADO para:riesgos
entrenamiento y concientización.entrenamiento y concientización.
respuesta a los incidentes de
) Implementar los CONTROLES) Implementar los CONTROLES• En los Procesos
)Realizar Revisiones Periódicas
)Implementar las mejoras identificadas
CONTROLESCONTROLES
Periódicas
identificadas en el SGSI
Requisitos FUNDAMENTALESSOPORTE en un SGSI
MANTENIMIENTO ACTUALIZADOde la Documentación
FUNDAMENTALES de la Documentación
ACTUALIZADO Y PROTEGIDO
Cómo establecer los requerimientos
Evaluar los riesgos:
• se identifican las amenazas a los• se evalúan vulnerabilidades y probabilidades• se evalúan vulnerabilidades y probabilidades• se estima el impacto potencial.
Requisitos legales, normativos,que deben cumplir:
• la organización,• sus socios comerciales,• los contratistas y los prestadores• los contratistas y los prestadores
Conjunto específico de principios,procesamiento de la información,organización para respaldar sus
requerimientos de Seguridad
los activos,probabilidades de ocurrencia, yprobabilidades de ocurrencia, y
normativos, reglamentarios y contractuales
prestadores de servicios.prestadores de servicios.
principios, objetivos y requisitos parainformación, que ha desarrollado
operaciones.
Contexto Legal
Código Civil de 1887
Código de Comercio de 1971 Código de Comercio de 1971
Ley 23 de 1982
Articulo 15, 20 y 333 de la Constitución Política
Decisión 351 de 1993
Decreto 1900 de 1990
Ley 527 de 1999
Contexto Legal
Código de Comercio de 1971 Código de Comercio de 1971
Articulo 15, 20 y 333 de la Constitución Política
Áreas de Contingencias Jurídica
• Protección de Datos Personales
• Contratación Informática
• Propiedad Intelectual
• Servicios de Comercio Electrónico
• Aspectos Laborales en entornos Informáticos
• Incidentes Informáticos
• Telecomunicaciones
Áreas de Contingencias Jurídica
Protección de Datos Personales
Servicios de Comercio Electrónico
Aspectos Laborales en entornos Informáticos
política de seguridad, objetivosreflejen los objetivos de launa estrategia de implementación
Factores críticos del éxito
una estrategia de implementaciónsea consecuente con la culturaapoyo y compromiso manifiestosgerencia;un claro entendimientoseguridad, la evaluaciónadministración de los mismosadministración de los mismoscomunicación eficaz aempleados;
objetivos y actividades quela empresa;
implementación de seguridad queimplementación de seguridad quecultura organizacional;manifiestos por parte de
de los requerimientos deevaluación de riesgos y
mismos;mismos;a todos los gerentes
distribución de guías sobreseguridad de la informacióncontratistas;
Factores críticos del éxito
contratistas;instrucción y entrenamientoun sistema integral y equilibradoutilice para evaluar el desempeñoseguridad de la informaciónsugerencias tendientes a
sobre políticas y estándares deinformación a todos los empleados
entrenamiento adecuados;equilibrado de medición que sedesempeño de la gestión de
información y para brindarmejorarlo.
Alejandro Hernández, CBCPAlejandro Hernández, CBCPAlejandro Hernández, CBCPAlejandro Hernández, CBCP
(571) 758 6955(571) 758 6955
[email protected]@isec
Alejandro Hernández, CBCPAlejandro Hernández, CBCPAlejandro Hernández, CBCPAlejandro Hernández, CBCP
[email protected]@isec --global.comglobal.com