View
5.504
Download
2
Embed Size (px)
DESCRIPTION
Presentación de Seminario Seguridad de la Información, organizado por la Unidad de Modernización y Gobierno Electrónico.
Citation preview
Gestión Seguridad de la InformaciónMarco Normativo
Unidad de Modernización y Gobierno ElectrónicoMinisterio Secretaría General de la Presidencia
Amenazas Tecnológicas
VirusTrojan
Worm
DDoS
P2P SQL Injection
XSS
Phishing
PHP File Include
Spyware
Whaling
Botnet
Social MediaMalware
Pharming
¿Podemos garantizar su control?
Otras Amenazas
• Colusión interna para efectuar delitos
• Errores y omisiones involuntarios del personal
• RIESGO en el trabajo con terceros
Seguridad de la Información
• No es sólo Firewalls o Antivirus...
Seguridad de la Información
• No es sólo tecnología...
Seguridad de la Información
• Las personas son el eslabón más débil y mayoritario en la cadena de la seguridad
Seguridad de la Información
• No se refiere sólo a Disponibilidad...
Seguridad de la Información
• No hay que reinventar la rueda …
– … ya existen
• Mejores prácticas
• Modelos de Gestión
• ISO y su homologación Chilena NCh ISO
Seguridad de la Información
• ENTONCES…
– ¡Qué es?
Activos de Información
• Tres niveles básicos de Activos de Información
– La Información propiamente tal, en sus múltiples formatos (papel, digital, texto, imagen, audio, video, etc.)
– Los Equipos/Sistemas/infraestructuraque soportan esta información
– Las Personas que utilizan la informacióny que tienen el conocimiento de los procesos institucionales
¿Qué proteger?
ACTIVO DE
INFORMACIÓN
Basado en estándar internacional ISO/IEC 27002:2005
Toda institución requiere hacer Gestión de cómo proteger eficaz y eficientemente la
información.
Principio de la Gestión de la Seguridad
Objetivo de esta sección
• Homogenizar conceptos y metodologías por medio de la cual se realiza la definición, implantación, medición de efectividad y mejora de la Seguridad de la Información al interior de las Instituciones.
• Establecer una base y estructuracomún para la definición de unMarco Normativo de Seguridadde la Información
Temario
• Marcos de Referencia
– Nch ISO 27002
• Sistema de Gestión de Seguridad (ISMS)
– Marco Normativo• Estructura y composición
– Indicadores y Medición de la efectividaddel ISMS
– Administración y revisión.
• RoadMap:
– Evaluación, Implementación y Certificación
Nch ISO 27002
Marcos de Referencia
Estándares y Regulaciones
• Nacionales
– NCh ISO 27001 / NCh ISO 27002• PMG-SSI
• Internacionales
– ISO/IEC 27001:2005 / ISO/IEC 27002:2005
– CSIRT
– PCI / SOX / BASILEA
– BS 25999/DRII/BCI/
– CobIT / ITil
• Norma Chilena Oficial NCH-ISO 27002.Of2009:
– Listado de Mejores Prácticas
– Internacionalmente homologada de ISO/IEC 27002:2005
– Antes Norma Chilena Oficial NCh 2777.Of.2003
• Norma Chilena Oficial NCH-ISO 27001.Of2009:
– Sistemas de gestión de la seguridadde la información / SGSI
– ISMS
– Internacionalmente homologadade ISO/IEC 27001:2005
Marcos de Referencia
Políticas de Seguridad
Organización para la Seguridad de la Información
Gestión de activos
Seguridad del Recurso Humano
Seguridad Física y Ambiental
Administración de comunicaciones y operaciones
Control de Acceso
Adquisición, desarrollo y mantención de sistemas de información
Gestión de Incidentes de Seguridad de la información
Administración de la Continuidad del Negocio
Cumplimiento
Áreas de Control (Nch ISO 27002)
5
6
7
8
9
10
11
12
13
14
15
Controles ISO 27002
133 Controles ISO 27002
Estructura Organizacional
• Nivel Estratégico– Comité de Seguridad / Comité de Gerentes
– Gerencia de Riesgo
– CISO / CSO
• Nivel Táctico– Oficial de Seguridad
– Auditoría Interna
• Nivel Operacional– Administradores de Seguridad
– Monitores/Líderes de Seguridadde la Información
– Usuarios Finales
Cuerpo Normativo
• Nivel Estratégico– Política General de Seguridad de la Información
• Nivel Táctico– Políticas de Seguridad de Temas Específicos
• Uso de recursos tecnológicos• Control de Acceso• Escritorios limpios• …
• Nivel Operacional– Procedimientos– Estándares internos– Instructivos– Guías prácticas de seguridad– Tips de seguridad
Base Normativa en Seguridad de la Información
Política General
de Seguridad de
la Información
ISMS / SGSI
Sistemas de Gestión de Seguridad de la Información
ISMS
• Parte de los sistemas de gestión, que basado en los procesos de la institución y en un enfoque de riesgo de seguridad, permite establecer, implementar, operar, monitorear y revisar, así como mantener y mejorar la Seguridad de la Información
ISMS
Information Security
Management Systems
SGSI
Sistemas de Gestión de Seguridad de la Información
PMG-SSI
Gestión de Mejora Continua
• Modelo DEMING
• PDCA
Metodología Pdca
• PLAN
– Definición de un ISMS
– Se identifica las necesidades, recursos, estructura y responsabilidades
– En esta etapa se define las políticas de seguridad, los procesos y procedimientos relevantespara la administración del riesgo ymejoras para la seguridad de lainformación, de acuerdo a las políticasy objetivos de toda la organización
2
9Requisitos ISO 27001:2005
Mandatorio:
4 Sistema de Gestión de Seguridad de la Información-4.1 – Requisitos Generales
-4.2 – Establecer y Administrar el SGSI
-- 4.2.1 Creación del SGSI
-- 4.2.2 Implementación y operación del SGSI
-- 4.2.3 Supervisión y revisión del SGSI
-- 4.2.4 Mantenimiento y mejora del SGSI
-4.3 – Documentación y Registros
5 Responsabilidad de la Dirección-5.1 – Compromiso de la Gerencia
-5.2 – Gestión de los Recursos
6 – Auditorias Internas del SGSI
7 – Revisión por la Gerencia
8 – Mejora del SGSI-8.1 – Mejora Continua
-8.2 – Acción Correctiva
-8.3 – Acción Preventiva
Selección como resultado de la Evaluación de Riesgo:
Anexo A – Controles
Sentencia de Aplicabilidad
(SoA) 4.2.1.j
Metodología pDca
• DO
– Implementación y Operación de un ISMS
– Se refiere a la etapa de puesta en marcha del sistema de gestión, donde se implanta y habilitan las condiciones tecnológicas y organizacionales para operar un ISMS
– Considera, entre otros, la implantaciónde políticas de seguridad, controles,procesos y procedimientos
Metodología pdCa
• CHECK
– Monitoreo y revisión de un ISMS
– Donde se realiza la medición y análisis de la efectividad de los controles implantados, de acuerdo a revisiones de gerencia y auditoría
– Considera los procesos ejecutados conrelación a la política del ISMS, evaluarobjetivos, experiencias e informar losresultados a la administración para surevisión
Metodología pdcA
• ACT
– Mantención y mejora de un ISMS.
– Referido específicamente al tratamiento de acciones correctivas y preventivas, basados en las auditorías internas y revisiones del ISMS ocualquier otra información relevante,para permitir la mejora continuadel ISMS
ROADMAP
Evaluación GAP
Implementación
Certificación
RoadMap: Paso 1 - Evaluación GAP
• El principal objetivo de la consultoría que permita medir el estado actual de implementación de controles de Seguridad de la Información, existentes , respecto de la definición de controles que posee la norma internacional ISO/IEC 27002:2005, identificando las principales fortalezas y debilidades respecto de los controles definidos en dicha norma.
• Identificar la brecha existenteentre el modelo de referenciay la situación actual.
• Genera Plan de Mitigación oPlan de Seguridad
RoadMap: Paso 2 - Implementación
• Habilitación de un ISMS, implementando un Plan de Seguridad acordado• Definición y descripción de los ámbitos de cobertura
y alcance del proyecto y del ISMS.• Definir un comité estratégico y equipos de trabajo,
roles y responsabilidades• Formalización de las actividades así como los
mecanismos para la presentación de avances y control de cambios.
• Habilitación de la infraestructura de soporte al proyecto y gestión documental.
• Generación de estructurasorganizacionales y cuerpo normativode seguridad
• Habilitación de las plataformastecnológicas necesarias.
• Generación de los registros necesariospara las revisiones de cumplimiento.
RoadMap: Paso 3 - Certificación
Alcanzar la certificación ISO 27001 otorgada por algún organismo acreditado.
Cuestionario de Pre-Aplicación
Evaluación/verificación/propuesta
Aplicación
Auditoria Etapa 1 Evaluación/ Tratamiento del Riesgo
Declaración de Aplicabilidad
Auditoria Etapa 2 Revisión detallada de la
implantación y eficacia
Certificación
Evaluación Continua
Ciclo de 3 años
Normalmente 2 visitas por año
Revisión estratégica / Re-certificación
Pre-auditoria opcional
ETAPAS DE UN PROYECTO ROADMAP
Etapa 1: Evaluación GAP ISO 27002: permite identificar brecha respecto a un marco de referencia
Etapa 2: Considera el Establecimiento del ISMS, asociado a la Fase Plan del PDCA.
Etapa 3: Considera la implementación de la estructura organizacional y la definición de los procedimientos necesarios para la gestión ISMS, así como la implementación de controles esenciales ISO 27002.
Etapa 4: Entrega seguimiento a la implementación de los restantes controles de mitigación según la evaluación de riesgos realizada en Etapa 1 y plasmada en un Plan de Seguridad.
Etapa 5: Considera la etapa de supervisión y soporte para el proceso de postulación y supervisión para alcanzar la certificación ISMS por una entidad certificadora.
Gracias.
Ministerio Secretaría General de la PresidenciaUnidad de Modernización y Gobierno Electrónico
@modernizacioncl