Gestión de la Seguridad de la Información con ISO27002

1,088 views
931 views

Published on

El objetivo de este Webinar es mostrar la Gestión de la seguridad en el paradigma actual, y los beneficios de la ISO27000

Hoy en día no se usan solo las infraestructuras proporcionadas por las compañías, cada vez es mas frecuente que el usuario use sus propios dispositivos para acceder a información de la compañía… ¿como puede ayudarnos la ISO27000?

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,088
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
90
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Gestión de la Seguridad de la Información con ISO27002

  1. 1. 1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing #EXINWebinarsEnCastellano GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CON LA ISO27002 Organizaciones invitadas: Con la colaboración de: 16/11/2012N
  2. 2. Con la colaboración de ... 0051 6373513 | 0051 6373514 coordinacion@peru.pmconsultant.es Calle José Chariarse Nro. 880, Oficina 302 Miraflores, Lima - PerúJuanMa Espinoza• Profesional Reconocido a nivel internacional de la Gestión de Servicios y Proyectos IT.• Dispone de los certificados oficiales como: Auditor ISO27001 e ISO20000, ISO27002, ITIL v2 y v3, Cobit v4.1, Prince2, MOF, Cloud Computing e ITIL Practitioner para Strategy, Design and Operations; es entrenador acreditado y reconocido internacionalmente para ITIL, ISO20K y Cloud Computing (entre otras certificaciones); y PMI Member ID No.:1219853.• Vicepresidente y Director de Relaciones Internacionales del itSMF Perú.• Coordinador para Perú en la iniciativa europea IBERCLOUD.• Cocoordinador del GT "Cloud Computing y su impacto en los procesos ITSM" del itSMF España.• Recientemente ha recibido el reconocimiento internacional de EXIN, por ser el Primer Accredited Trainer de Latinoamérica en EXIN Cloud Computing, así como por ser el Primer Profesional Certificado de todo Latinoamérica.
  3. 3. INFORMATION SECURITY FOUNDATION BASED ON ISO/IEC 27002 LA INFORMACION Y SU TRATAMIENTO3
  4. 4. ¿QUÉ ES ISO/IEC 27002?• ISO: International Organization for Standardization• IEC: International Electro-technical Commission• ISO/IEC 27002:2005 Information Technology — Security Techniques — (Código de Prácticas para la Gestión de la Seguridad de la Información (anteriormente conocida como la ISO/IEC 17799)• Apartados: 0. Introducción 9. Seguridad Ambiental y Física 1. Alcance 10. Gestión de Operaciones y 2. Términos y Definiciones Comunicaciones 3. Estructura de la Norma 11. Control de Acceso 4. Evaluación del Riesgo 12. Adquisición de Sistemas de Información, Mantenimiento y 5. Política de la Seguridad Desarrollo 6. Organización de Seguridad de la 13. Gestión de Incidencias de Seguridad Información de la Información 7. Gestión de Activos 14. Gestión de la Continuidad del 8. Seguridad de los Recursos Humanos Negocio 15. Conformidad4
  5. 5. DATOS E INFORMACIÓN BEST according to Foundations of PRACTICE Information Security • Los datos pueden ser procesados por la Tecnología de la Información, pero estos se convierten en Información solo cuando adquieren un significado determinado. • La infomación puede extraer el texto pero también la palabra pronunciada y las imágenes de video. Data: 02-04-09 Information: 02-04-09 mm-dd-yy • Ejemplos de Medios de Almacenamiento – Hoja – Microficha – Magnetico – Ejemplo: Cintas – Óptica – Ejemplo: CD’s5
  6. 6. DIKW: Data, Information, Knowledge, Wisdom BEST according to Contexto PRACTICE ITIL® Version 3 Sabiduría ¿Por qué? Conocimiento ¿Como? Información ¿Quién, Qué, Cuando, Donde?) Datos Comprensión6
  7. 7. Datos e Información BEST according to PRACTICE ITIL® Version 3 • La información es la comprensión de la relación entre las piezas de los datos • La información responde 4 preguntas: – Quién? – Qué? – Cuando? – Donde?7
  8. 8. ¿Qué es la Seguridad de la Información? La conservación de la Confidencialidad, Disponibilidad e Integración de la información; adicionalmente, otras propiedades, como la autenticidad, el rendir cuentas, NON- REPUDIATION, y la fiabilidad también pueden estar involucrados. Note: Repudiation is another word for negation, disclaimer8
  9. 9. ¿Qué es la Seguridad de la Información? BEST according to Foundations of PRACTICE Information Security La seguridad de la Información consiste en la definición, implementación, mantenimiento y evaluación de un sistema métrico coherente que asegure la disponibilidad, confidencialidad e integridad de la información brindada (computarizada y manual).9
  10. 10. Sistema y Tecnología de la Información BEST according to Foundations of Information Security and PRACTICE ITIL® Version 3 Information System Information Technology • El procesamiento y transferencia de la • Implica el uso de la tecnología para el información se dá a través del Sistema de almacenamiento, comunicación y Información procesamiento de la información • Todo sistema que tenga el propósito de • Normalmente, la tecnología incluye transferir información es un Sistema de computadoras, telecomunicaciones, Información aplicaciones y otros software. • Ejemplos de Sistemas de Información son: • La información puede incluir datos los archivos guardados en carpetas, empresariales, de voz, imágenes, videos, etc. teléfonos e impresoras • La Tecnología de la Información es usada • Dentro del contexto de Seguridad de la para apoyar los Procesos Empresariales a Información, el Sistema de Información es la través de Servicios IT. combinación de medios, procedimientos, normas y personas que aseguran la transferencia de información en un proceso operativo10
  11. 11. Valor de la Información BEST according to Foundations of PRACTICE Information Security EL VALOR DE LA INFORMACIÓN ES DETERMINADA A TRAVÉS DEL VALOR QUE EL RECEPTOR OTORGA A LA MISMA • 6.2.1: Para la identificación de riesgos relacionados al acceso externo se debe tener en cuenta: la sensibilidad y el valor de la información en juego ya que es crítica para las operaciones del negocio • 7.2.1: La información debe ser clasificada de acuerdo al valor que posee ya sean requisitos legales, sensibilidad, o de importancia para la empresa • 12.1.1: Los controles y requisitos de Seguridad deben reflejar el valor empresarial de la información implicada. Asi como el daño potencial comercial que podría resultar de un fallo o ausencia de seguridad11
  12. 12. La Información como Factor de Producción BEST according to Foundations of PRACTICE Information Security • Los factores comunes de producción de una compañia u organización son: –Capital –Materia prima y Trabajo • En la Tecnología de la Información, también es común considerar la información como un factor de producción –Sin información no existen los negocios –Aquel almacén que pierde información bursátil y clientes no es capaz de realizar operaciones –Inclusive, aquellos negocios como las oficinas de contadores, bancos y/o compañías de seguro ofrecen Información como su único Producto/Servicio12
  13. 13. El Valor del Negocio BEST according to PRACTICE ITIL® Version 3 La Seguridad de la Información otorga al Proceso de Negocio seguridad aplicando los Controles de Seguridad en todas las áreas de IT y a través de la gestión de Riesgo IT en línea con el Proceso de Gestión de Riesgo Corporativo y Comercial; y Directrices.13
  14. 14. Fiabilidad de la Información BEST according to Foundations of PRACTICE Information Security La fiabilidad de la información consta de 3 aspectos: – Confidentiality (Confidencialidad) – Integrity (Integridad) – Availability (Disponibilidad)14
  15. 15. Confidencialidad BEST according to Foundations of PRACTICE Information Security La confidencialidad es el grado en el cual el acceso a la información es restringida y solo un grupo determinado tiene autorización para acceder a ella. Asimismo, esto incluye medidas que protegen su privacidad.15
  16. 16. Integridad BEST according to Foundations of PRACTICE Information Security • La integridad es el grado en el que la información se encuentra sin errores y actualizada • Las características son: – La exactitud de la información – La integridad de la información16
  17. 17. Disponibilidad BEST according to Foundations of PRACTICE Information Security • El grado de disponibilidad es cuando la información se encuentra disponible tanto para el usuario como para el Sistema de Información. Este se encuentra operativo en el momento que la organización lo requiera • Las características de Disponibilidad son :  Línea del tiempo: El Sistema de Información se encuentra disponible cuando sea necesario.  Continuidad: El personal es capaz de continuar trabajando, en el caso que ocurra algún fallo.  Fuerza : Hay suficiente capacidad la cual permita que todos trabajen al mismo tiempo en el sistema.17
  18. 18. Arquitectura de la Información BEST according to Foundations of PRACTICE Information Security • La Seguridad de la Información casi se podría relacionar con la Arquitectura de la Información • La arquitectura de información es el proceso que se centra en poner a disposición la información dentro de una organización • La Seguridad de la Información puede ayudar a garantizar el suministro de información requerida realizada en la Aquitectura de Información • La Arquitectura Informática se centra principalmente en la Organización de la Información. De acuerdo a la necesidad y la manera en la que ésta se lleve a cabo. La Seguridad Informática apoya el proceso mediante la función de garantizar la Confidencialidad, Integridad y Disponibilidad de la INFORMACIÓN18
  19. 19. Información y Proceso Operativo BEST according to Foundations of PRACTICE Information Security • Un proceso operativo es aquel que se ubica en el núcleo del negocio • En el Proceso Operativo, el personal desarrolla un servicio o producto para el cliente. • El Proceso Operativo se compone principalmente de Actividades de entrada y salida • Existen diferentes tipos de Procesos Operativos Proceso Primario • E.g. Administración del capital – Proceso Guía • E.g. Planeación de estrategia de la compañia – Proceso de apoyo • E.g. Compras, ventas o recursos humanos19
  20. 20. Análisis de la información BEST according to Foundations of PRACTICE Information Security • El analisis de Información brinda una imagen más clara de cómo la compañia maneja la información – cómo es que la información “fluye” a través de la misma. Por ejemplo: – Un huésped se registra en un hotel a través del sitio web – Esta información es enviada directamente al departamento de administración, el cual se encarga de asignarle una habitación. – El área de recepción tiene presente que el huésped llegará el día de hoy – El área de servicio tiene conocimiento de que la habitación debe estar lista y limpia para la llegada del huésped • Durante este proceso es importante que la información sea completamente fiable • Los resultados del Análisis de Información pueden ser utilizados para el diseño de un Sistema Informático20
  21. 21. Gestión de la Información BEST according to Foundations of PRACTICE Information Security • La Gestión de la Información dirige y define la Política relacionada al suministro de información de una organización. • Dentro de este sistema, un administrador de información puede hacer uso de la Arquitectura de la Información y un Análisis de la Información. • La Gestión de la información implica mucho más que un proceso de información automatizado, el cual es llevado a cabo por una organización. • En muchos casos, la comunicación interna y externa forman parte de la estrategia de Gestión de la información.21
  22. 22. Informática BEST according to Foundations of PRACTICE Information Security • Los términos de la infomática se relacionan con uso lógico de la estructura para el desarrollo de los sistemas y la información • Por otro lado, es importante comprender que la informática puede ser utilizada para el desarrollo de programas22
  23. 23. INFORMATION SECURITY FOUNDATION BASED ON ISO/IEC 27002 RIESGOS Y AMENAZAS23
  24. 24. ¿Qué es una amenaza? La causa potencial de un incidente no deseado, el cual podría dañar a la Organización o el Sistema24
  25. 25. Métricas de Seguridad y Amenazas BEST according to Foundations of PRACTICE Information Security • Durante el proceso de Seguridad de la Información, los efectos no deseados (amenazas) se tratan de solucionar lo mejor posible • Para evitar este tipo de efectos se determinan estrategias dentro de la Seguridad de la Información • La Seguridad de la Información determina las Medidas de Seguridad que deben emplearse para evitar estos efectos.25
  26. 26. Riesgos BEST according to Foundations of PRACTICE Information Security Riesgo: La combinación de probabilidad entre un acontecimiento y la consecuencia del mismo Riesgo • Posible daño o perdida de la información • El riesgo se determina por el número de factores. Estos son la amenaza o la posibilidad de que una amenaza se intesifique y por consiguiente las consecuencias26
  27. 27. Análisis del Riesgo BEST according to Foundations of PRACTICE Information Security Utilización sistemática de la información para identificar las fuentes y la estimación del riesgo Análisis del Riesgo • La metodología nos ayuda a tener una idea de aquello que nos afecta y de lo que nos estamos protegiendo. • Existen diversas maneras de Analizar el Riesgo • Un análisis de riesgo se utiliza para describir los riesgos a los que se enfrenta la empresa27
  28. 28. Análisis del Riesgo, Riesgos y Amenazas BEST according to PRACTICE ITIL ® Version 2, 3 and CRAMM Bienes Amenazas Vulnerabilidades Análisis del Riesgo Riesgos Gestión del Contramedidas Riesgo Cuando una amenaza se materializa, nace un riesgo para la organización. Asimismo, tanto la evaluación de la gestión y la magnitud del riesgo determinan si las medidas se deben ejecutar con la finalidad de minimizar el28 riesgo y lo que pueda suceder.
  29. 29. Evaluación del Riesgo BEST according to PRACTICE ITIL ® Version 2, 3 and CRAMM • La evaluación de riesgos deberá incluir el enfoque sistemático para estimar la magnitud de los mismos (Análisis del Riesgo) y el proceso de comparar los riesgos estimados contra los criterios de riesgo; y así determinar la importancia de estos (Evaluación de los Riesgo). • La Evaluación de los Riesgos es la suma total de … – Valoración y Evaluación de los Bienes – Valoración y Evaluación de las Amenazas – Evaluación de la vulnerabilidad29
  30. 30. Desastres e Incidencias BEST according to Foundations of PRACTICE Information Security Incidencia • La amenaza logra manifestarse Ejemplo: – Cuando un hacker realiza operaciones necesarias para tener acceso a la red de la empresa Desastre • Sucede un gran incidente que atenta con la continuidad de la empresa Ejemplo: – Un corte de energía , causada por un helicóptero que dañó algún cable de alta tensión30
  31. 31. Gestión del Riesgo BEST according to Foundations of PRACTICE Information Security Gestión del Riesgo: Proceso desde Amenazas Hacia Riesgo Hasta Métricas de Seguridad • Herramienta que clarifica la visión sobre cuales son las amenazas más relevantes en el Proceso Operativo e identificar los riesgos asociados. Inclusive, el nivel de seguridad apropiado podría ser determinando junto con las Medidas de Seguridad correspondientes.31
  32. 32. Análisis del Riesgo BEST according to Foundations of PRACTICE Information Security Objetivos 1.Identificar el valor y los bienes 2.Determinar amenzas y la vulnerabilidad 3.Para determinar el Riesgo de que las amenazas podrían convertirse en realidad e interrumpan el Proceso Operativo 4.Determina el balance entre los costos de enfrentar algún tipo de Incidencia y de las Métricas de Seguridad Las Métricas de Seguridad son Métricas de Seguridad son rentables, efectivas y Métricas de Seguridad no muy estrictas OPORTUNAS son efectivas32
  33. 33. Análisis de Costos/Beneficios BEST according to Foundations of PRACTICE Information Security Análisis de Costos/Beneficios • Pertenece al Proceso de Análisis del Riesgo • Pregunta: – Un servicio cuesta $100,000) – Las Métricas de Seguridad para este servicio cuesta $150,000 – Conclusión: Las Métricas de Seguridad son realmente caras … – es una correcta o incorrecta conclusión?33
  34. 34. Tipos de Análisis de Riesgo BEST according to Foundations of PRACTICE Information Security Análisis Cuantitativo del Riesgo • El objetivo es calcular el Valor del Riesgo basado en el nivel de las pérdidas económicas y la probabilidad de que una amenaza se convierta en un incidente • El Valor de cada elemento es determinado durante todo el Proceso Operativo • Estos valores se pueden componer de los costos de las Métricas de Seguridad, así como del valor de la propiedad en sí, incluyendo el impacto en edificios, hardware, software, información y en los negocios • El tiempo se extiende antes de que una amenaza aparezca , la eficacia de las Métricas de Seguridad y el Riesgo de que existe algún tipo de Vulnerabilidad; también son elementos que deben considerarse • Un análisis de riesgos puramente cuantitativa es prácticamente imposible34
  35. 35. Tipos de Análisis de Riesgo BEST according to Foundations of PRACTICE Information Security Análisis Cualitativo del Riesgo • Basado en situaciones y escenarios • Las posibilidades de que una amenaza se desarrolle son examinadas bajo una percepción personal • El análisis examina el Proceso Operativo, el cual se relaciona con la amenaza y las Métricas de Seguridad que se han tomado ante la situación • Todo esto conduce a una visión subjetiva de las posibles amenazas • Posteriormente , las Métricas son tomadas para lograr minizar el Riesgo • El mejor resultado se consigue a través del análisis en una sesión de grupo, ya que se intercambiarían ideas entre el personal. Evitando considerar el punto de vista de una sola persona o departamento que logre dominar dicho análisis35
  36. 36. Tipos de Amenazas BEST according to Foundations of PRACTICE Information Security Amenazas Humanas – Intencionales • Piratería , Dañar la propiedad de la compañía, destruir e-mails después de haber sido despedido sin razón e intencionalmente confirmar la acción de eliminar con un “OK” – Ingeniería Social • Engañar a la gente voluntariamente ofreciéndoles información confidencial: el phishing Amenazas NO humanas – Tormentas – Incendios – Inundaciones – Huracanes – Tornados – Etc.36
  37. 37. Tipos de Daño BEST according to Foundations of PRACTICE Information Security Daño Directo – Robo Daño Indirecto – Una pérdida en consecuencia a algo que ocurrió. • E.g.: Si hay una inundación en el centro de datos, esto evitará que el Servicio de IT proporcione ayuda; ocasionando pérdidas en el negocio. Expectativas de Pérdida Anual (ALE) – La amplitud del daño - expresado en términos monetarios - puede ser el resultado de un incidente en un año • E.g.: Un promedio de 10 computadoras portátiles son robados cada año de alguna empresa. Expectativa de Pérdida Simple – El daño causado por un único (one-off) Incidente37
  38. 38. Tipos de Estrategias del Riesgo BEST according to Foundations of PRACTICE Information Security Amortigüando el Riesgo • Algunos riesgos son aceptados • Métricas de Seguridad muy costosas • Métricas de Seguridad superan los posibles daños • Métricas de Seguridad que se toman son por naturaleza represivas Riesgo Neutral • Los resultados de las Métricas de Seguridad son aceptadas • La amenaza ya no se produce • El daño se reduce al mínimo • Métricas de Seguridad adoptadas son una combinación de Prevención, Detección y Represión Evitando el Riesgo •Las Métricas de Seguridad adoptadas son tales que la amenaza se neutraliza hasta el punto en que evita que se convierta en un incidente. •Por ejemplo: La instalación de un nuevo software logra que los errores en el software antigüo dejen de ser una amenaza.38
  39. 39. Soluciones de los Riesgos de la Seguridad Posibles soluciones incluídas dentro del tratamiento de Riesgo: a)Aplicando las reglas apropiadas para la reducción del Riesgo b)Aceptando de manera objetiva y a sabiendas el Riesgo, otorgando así una clara satisfacción c)Política de Organización y criterios de aceptación del Riesgo d)Evitando que el riesgo se desarrolle y pueda provocar algún daño e)Transfiriendo a terceros Riesgos asociados, por ejemplo, aseguradores y/o proveedores.39
  40. 40. INFORMATION SECURITY FOUNDATION BASED ON ISO/IEC 27002 LEGISLACIÓN Y REGLAMENTOS40
  41. 41. Conformidad Objetivo • Evitar el incumplimiento de cualquier ley, estatuto, las obligaciones reglamentarias o contractuales, y sobre los requisitos de seguridad. El diseño, operación, uso y gestión de la información de sistemas puede estar sujeto a la seguridad legal, reglamentaria, y requerimientos contractuales. Asesoramiento sobre requisitos legales específicos se debería pedir a los asesores legales de la organización, o profesionales de la justicia debidamente calificados. Los requisitos legales varían de un país a otro y pueden variar la información creada en un país que se transmite a otro país (es decir, el flujo transfronterizo de datos).41
  42. 42. Secciones de Cumplimiento • Cumplimiento de Requisitos Legales – Identificación de la legislación aplicable – Derechos de propiedad intelectual – Protección de los registros de la organización – Protección de Datos y Privacidad de la Información Personal –Prevención del uso indebido de las instalaciones de procesamiento de información – Reglamento de los controles criptográficos • Cumplimiento con las normas y estándares de seguridad y cumplimiento técnico – Cumplimiento con las normas y estándares de seguridad – Comprobación del cumplimiento técnico • Información de sistema de Consideraciones de auditoría – Información de Control de Sistemas de Auditoría – Protección de las herramientas de auditoría de sistemas de información42
  43. 43. ¿Por qué la legislacion y reglamentos son importantes? BEST according to Foundations of PRACTICE Information Security • Para observar las prescripciones legales • Para observar el cumplimiento • Para abarcar los derechos de propiedad intelectual • Para proteger los documentos de los negocios • Para proteger los datos y la confidencialidad de datos personales ej: Ley de Protección de Datos de Carácter Personal: la protección de los datos personales y la intimidad • Para prevenir el abuso de las instalaciones de IT • Para observar la política de seguridad y normas de seguridad • Para supervisar las medidas de seguridad • Para llevar a cabo auditorías de información del sistema • Para proteger los medios utilizados para los sistemas de información de auditoría43
  44. 44. Información de la legislación sobre seguridad BEST according to Foundations of PRACTICE Information Security Ejemplos • Legislación que implica la Privacidad, Impuestos y Finanzas y el Reglamento para los bancos y las empresas (por ejemplo, Sarbanes Oxley) • Legislaciones Locales, Estatales y Nacionales • Política propia de una empresa respecto a la legislación interna. • Legislación de un país extranjero cuando se hacen negocios internacionales. • Legislación que implica Privacidad44
  45. 45. Con la colaboración de ... 0051 6373513 | 0051 6373514 coordinacion@peru.pmconsultant.es Calle José Chariarse Nro. 880, Oficina 302 Miraflores, Lima - Perú ¡Gracias por su atención! JuanMa Espinoza
  46. 46. 1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing @EXIN_ES ( Hash Tag: #EXINWebinarsEnCastellano ) Obtén este y otros Webinars en nuestro canal Youtube Coporativo http://www.youtube.com/user/ExinExamsOrganizaciones invitadas: Con la colaboración de:

×