Gestión Seguridad de la InformaciónMarco Normativo

Unidad de Modernización y Gobierno ElectrónicoMinisterio Secretaría General de la Presidencia

Amenazas Tecnológicas

VirusTrojan

Worm

DDoS

P2P SQL Injection

XSS

Phishing

PHP File Include

Spyware

Whaling

Botnet

Social MediaMalware

Pharming

¿Podemos garantizar su control?

Otras Amenazas

• Colusión interna para efectuar delitos

• Errores y omisiones involuntarios del personal

• RIESGO en el trabajo con terceros

Seguridad de la Información

• No es sólo Firewalls o Antivirus...

Seguridad de la Información

• No es sólo tecnología...

Seguridad de la Información

• Las personas son el eslabón más débil y mayoritario en la cadena de la seguridad

Seguridad de la Información

• No se refiere sólo a Disponibilidad...

Seguridad de la Información

• No hay que reinventar la rueda …

– … ya existen

• Mejores prácticas

• Modelos de Gestión

• ISO y su homologación Chilena NCh ISO

Seguridad de la Información

• ENTONCES…

– ¡Qué es?

Activos de Información

• Tres niveles básicos de Activos de Información

– La Información propiamente tal, en sus múltiples formatos (papel, digital, texto, imagen, audio, video, etc.)

– Los Equipos/Sistemas/infraestructuraque soportan esta información

– Las Personas que utilizan la informacióny que tienen el conocimiento de los procesos institucionales

¿Qué proteger?

ACTIVO DE

INFORMACIÓN

Basado en estándar internacional ISO/IEC 27002:2005

Toda institución requiere hacer Gestión de cómo proteger eficaz y eficientemente la

información.

Principio de la Gestión de la Seguridad

Objetivo de esta sección

• Homogenizar conceptos y metodologías por medio de la cual se realiza la definición, implantación, medición de efectividad y mejora de la Seguridad de la Información al interior de las Instituciones.

• Establecer una base y estructuracomún para la definición de unMarco Normativo de Seguridadde la Información

Temario

• Marcos de Referencia

– Nch ISO 27002

• Sistema de Gestión de Seguridad (ISMS)

– Marco Normativo• Estructura y composición

– Indicadores y Medición de la efectividaddel ISMS

– Administración y revisión.

• RoadMap:

– Evaluación, Implementación y Certificación

Nch ISO 27002

Marcos de Referencia

Estándares y Regulaciones

• Nacionales

– NCh ISO 27001 / NCh ISO 27002• PMG-SSI

• Internacionales

– ISO/IEC 27001:2005 / ISO/IEC 27002:2005

– CSIRT

– PCI / SOX / BASILEA

– BS 25999/DRII/BCI/

– CobIT / ITil

• Norma Chilena Oficial NCH-ISO 27002.Of2009:

– Listado de Mejores Prácticas

– Internacionalmente homologada de ISO/IEC 27002:2005

– Antes Norma Chilena Oficial NCh 2777.Of.2003

• Norma Chilena Oficial NCH-ISO 27001.Of2009:

– Sistemas de gestión de la seguridadde la información / SGSI

– ISMS

– Internacionalmente homologadade ISO/IEC 27001:2005

Marcos de Referencia

Políticas de Seguridad

Organización para la Seguridad de la Información

Gestión de activos

Seguridad del Recurso Humano

Seguridad Física y Ambiental

Administración de comunicaciones y operaciones

Control de Acceso

Adquisición, desarrollo y mantención de sistemas de información

Gestión de Incidentes de Seguridad de la información

Administración de la Continuidad del Negocio

Cumplimiento

Áreas de Control (Nch ISO 27002)

5

6

7

8

9

10

11

12

13

14

15

Controles ISO 27002

133 Controles ISO 27002

Estructura Organizacional

• Nivel Estratégico– Comité de Seguridad / Comité de Gerentes

– Gerencia de Riesgo

– CISO / CSO

• Nivel Táctico– Oficial de Seguridad

– Auditoría Interna

• Nivel Operacional– Administradores de Seguridad

– Monitores/Líderes de Seguridadde la Información

– Usuarios Finales

Cuerpo Normativo

• Nivel Estratégico– Política General de Seguridad de la Información

• Nivel Táctico– Políticas de Seguridad de Temas Específicos

• Uso de recursos tecnológicos• Control de Acceso• Escritorios limpios• …

• Nivel Operacional– Procedimientos– Estándares internos– Instructivos– Guías prácticas de seguridad– Tips de seguridad

Base Normativa en Seguridad de la Información

Política General

de Seguridad de

la Información

ISMS / SGSI

Sistemas de Gestión de Seguridad de la Información

ISMS

• Parte de los sistemas de gestión, que basado en los procesos de la institución y en un enfoque de riesgo de seguridad, permite establecer, implementar, operar, monitorear y revisar, así como mantener y mejorar la Seguridad de la Información

ISMS

Information Security

Management Systems

SGSI

Sistemas de Gestión de Seguridad de la Información

PMG-SSI

Gestión de Mejora Continua

• Modelo DEMING

• PDCA

Metodología Pdca

• PLAN

– Definición de un ISMS

– Se identifica las necesidades, recursos, estructura y responsabilidades

– En esta etapa se define las políticas de seguridad, los procesos y procedimientos relevantespara la administración del riesgo ymejoras para la seguridad de lainformación, de acuerdo a las políticasy objetivos de toda la organización

2

9Requisitos ISO 27001:2005

Mandatorio:

4 Sistema de Gestión de Seguridad de la Información-4.1 – Requisitos Generales

-4.2 – Establecer y Administrar el SGSI

-- 4.2.1 Creación del SGSI

-- 4.2.2 Implementación y operación del SGSI

-- 4.2.3 Supervisión y revisión del SGSI

-- 4.2.4 Mantenimiento y mejora del SGSI

-4.3 – Documentación y Registros

5 Responsabilidad de la Dirección-5.1 – Compromiso de la Gerencia

-5.2 – Gestión de los Recursos

6 – Auditorias Internas del SGSI

7 – Revisión por la Gerencia

8 – Mejora del SGSI-8.1 – Mejora Continua

-8.2 – Acción Correctiva

-8.3 – Acción Preventiva

Selección como resultado de la Evaluación de Riesgo:

Anexo A – Controles

Sentencia de Aplicabilidad

(SoA) 4.2.1.j

Metodología pDca

• DO

– Implementación y Operación de un ISMS

– Se refiere a la etapa de puesta en marcha del sistema de gestión, donde se implanta y habilitan las condiciones tecnológicas y organizacionales para operar un ISMS

– Considera, entre otros, la implantaciónde políticas de seguridad, controles,procesos y procedimientos

Metodología pdCa

• CHECK

– Monitoreo y revisión de un ISMS

– Donde se realiza la medición y análisis de la efectividad de los controles implantados, de acuerdo a revisiones de gerencia y auditoría

– Considera los procesos ejecutados conrelación a la política del ISMS, evaluarobjetivos, experiencias e informar losresultados a la administración para surevisión

Metodología pdcA

• ACT

– Mantención y mejora de un ISMS.

– Referido específicamente al tratamiento de acciones correctivas y preventivas, basados en las auditorías internas y revisiones del ISMS ocualquier otra información relevante,para permitir la mejora continuadel ISMS

ROADMAP

Evaluación GAP

Implementación

Certificación

RoadMap: Paso 1 - Evaluación GAP

• El principal objetivo de la consultoría que permita medir el estado actual de implementación de controles de Seguridad de la Información, existentes , respecto de la definición de controles que posee la norma internacional ISO/IEC 27002:2005, identificando las principales fortalezas y debilidades respecto de los controles definidos en dicha norma.

• Identificar la brecha existenteentre el modelo de referenciay la situación actual.

• Genera Plan de Mitigación oPlan de Seguridad

RoadMap: Paso 2 - Implementación

• Habilitación de un ISMS, implementando un Plan de Seguridad acordado• Definición y descripción de los ámbitos de cobertura

y alcance del proyecto y del ISMS.• Definir un comité estratégico y equipos de trabajo,

roles y responsabilidades• Formalización de las actividades así como los

mecanismos para la presentación de avances y control de cambios.

• Habilitación de la infraestructura de soporte al proyecto y gestión documental.

• Generación de estructurasorganizacionales y cuerpo normativode seguridad

• Habilitación de las plataformastecnológicas necesarias.

• Generación de los registros necesariospara las revisiones de cumplimiento.

RoadMap: Paso 3 - Certificación

Alcanzar la certificación ISO 27001 otorgada por algún organismo acreditado.

Cuestionario de Pre-Aplicación

Evaluación/verificación/propuesta

Aplicación

Auditoria Etapa 1 Evaluación/ Tratamiento del Riesgo

Declaración de Aplicabilidad

Auditoria Etapa 2 Revisión detallada de la

implantación y eficacia

Certificación

Evaluación Continua

Ciclo de 3 años

Normalmente 2 visitas por año

Revisión estratégica / Re-certificación

Pre-auditoria opcional

ETAPAS DE UN PROYECTO ROADMAP

Etapa 1: Evaluación GAP ISO 27002: permite identificar brecha respecto a un marco de referencia

Etapa 2: Considera el Establecimiento del ISMS, asociado a la Fase Plan del PDCA.

Etapa 3: Considera la implementación de la estructura organizacional y la definición de los procedimientos necesarios para la gestión ISMS, así como la implementación de controles esenciales ISO 27002.

Etapa 4: Entrega seguimiento a la implementación de los restantes controles de mitigación según la evaluación de riesgos realizada en Etapa 1 y plasmada en un Plan de Seguridad.

Etapa 5: Considera la etapa de supervisión y soporte para el proceso de postulación y supervisión para alcanzar la certificación ISMS por una entidad certificadora.

Gracias.

Ministerio Secretaría General de la PresidenciaUnidad de Modernización y Gobierno Electrónico

@modernizacioncl