Uploaded on

 

More in: Education
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
1,057
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
45
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • Propiedades de la información a proteger: Confidencialidad, Disponibilidad e Integridad C= información protegida de difusión no autorizada según clasificación de Seguridad de Información I= Protección de información de alteraciones no autorizadas o modificaciones no intencionales (Ej. FECHAS INVERTIDAS)= ddmmaa aammdd CONSISTENCIA D= Información y servicios críticos disponibles cuando se necesiten y respondan necesidades de negocio. Datos puedan ser ecuperados en casode pérdidas o errores en la operación
  • This graphic informs the fundamental approach of the chapter and can be used to illustrate the intersection of information states (x-axis), key objectives of C.I.A. (y-axis) and the three primary means to implement (policy, education and technology).
  • Notes:
  • These activities relates to the implementation of an ISMS and are similar to those necessary to later maintain and develop the system. This approach is also called the ‘Deming circle’. Plan - Define policy and scope, and identify risks to manage. A Risk Assessment is crucial. A relative value and importance is set for each asset of the company. The business need of the asset is weight against threats, probability that the threat should occur; that is, the risks, and the consequences. Do - Identify options for managing the risks, select and implement controls The Security Organisation is established - responsibilities and authorities are documented and communicated. The Security Forum, with management representative(s) is operative. With the risk analysis as a base, control objectives and control plans are made and implemented. A Business continuity plan is prepared and implemented. Education and training take place to ensure that the organisation understands the signification of the security work and that it can live up to the implemented level of security. A Statement of Applicability is made addressing selected control objectives and controls. Check - Monitor and review the ISMS The policy is reviewed to ensure it remains appropriate. Managers follow up that security procedures are carried out correctly and are in compliance with policies and standards. Verification of implemented controls: -Compliance with legal requirements and the information security policy -Technical compliance; Incident reporting, software copyright, etc. Act - Improve the ISMS Incidents and discrepancies from standards are analysed. Specialists and stakeholders are consulted and necessary preventive actions are implemented. Changes to the system are communicated. This process must assure that changes in the environment that effects the information security of the business trigs a renewed risk analysis.
  • Stakeholders: Grupo de Interés - Interesados en el proyecto, personas que pueden ser influenciada o pueden influir en los Objetivos

Transcript

  • 1. Seguridad de la Informaci ó n “De la NTP ISO 17799-2007 al SGSI (ISO 27001)” Ing. Carlos Trigo P é rez [email_address] 18/07/07
  • 2. AGENDA
    • ¿ Qu é hace a un Sistema inseguro?
    • ¿ C ó mo se rompe la Seguridad de un Sistema?
    • Visi ó n Global del enfoque de Seguridad
    • Dimensiones cr í ticas de la informaci ó n
    • Modelo de Seguridad
    • Las ETAPAS DEL PROYECTO
      • An á lisis y Evaluaci ó n de Riesgos
      • Determinaci ó n de la Infraestructura de la Seguridad
      • Sensibilizaci ó n del Personal
    • Dominios de la NTP – ISO/IEC 17799
    • El proyecto : SGSI – ISO 27001
  • 3. ¿ Qu é hace a un sistema inseguro?
    • Huecos de Seguridad F í sicos.
    • Huecos de Seguridad en el Software.
    • Falta de Experiencia.
    • Ausencia de un Esquema de Seguridad.
  • 4. ¿ C ó mo se rompe la seguridad de un sistema?
    • Intrusi ó n F í sica
    • Intrusi ó n por Sistema
    • Intrusi ó n Remota
  • 5. Evaluación de Riesgos Elaboración de Planes Plan de Seguridad de la Información Plan de Continuidad del Negocio Análisis de Riesgos Análisis de Impacto Análisis de Necesidades Plan de Contingencias
    • Interpretación y Clasificación de Riesgos
    • Identificación y Estimación de acci ones para:
    • Actividades Preventivas
    • Actividades Correctivas
    • Actividades para la Reanudación y Continuidad del negocio
    • Identificación y Selección de los Mejores Mecanismos de Seguridad
    • Especificaciones de los Mecanismos de seguridad a Implantar .
    • Planificación del proceso de Implantación
    • Concientización del personal en la Seguridad.
    • Respuestas inmediatas ante eventos que originen pérdida de datos o interrupción de las operaciones.
    • Especificaciones del Plan de Acción a tomar de acuerdo al tipo de evento: Grupos de Trabajo y responsabilidades, definición de Recursos, niveles de Contingencia, escenarios de Contingencia. Activación de la Contingencia.
    • Inventario de Procesos del Negocio.
    • Identificación de Procesos Críticos
    • Especificaciones de los mecanismos de Acción a seguir para la continuidad
    • Plan de Recuperación de los estados de Seguridad
    Mejora Continua Revisión de la Estrategia Revisión del Plan Actual Revisión de Programas Pruebas del Plan Actual 1 - 8 9 10 Visión Global del Enfoque de Seguridad ISO 17799 Requerimientos para Minimizar Impacto Cuantificación Finan. y no Finan. por tiempo de interrupción Identificar Ac tivos Identificar Am enazas Determinar V ulnerabilidades e I mpactos Plan de respuesta a incidentes Plan de Recuperación de desastres
  • 6. Dimensiones cr í ticas de la informaci ó n C I D Información ( dimensiones ) Prevenir Divulgación no autorizada de Activos de Información Prevenir Cambios no autorizados en Activos de Información Prevenir Destrucción no autorizada de Activos de Información
        • Secreto impuesto de acuerdo con políticas de seguridad
        • SINO: Fugas y filtraciones de información; accesos no autorizados; pérdida de confianza de los demás (incumplimiento de leyes y compromisos )
        • Validez y Precisión de información y sistemas.
        • SINO: Información manipulada, incompleta, corrupta y por lo tanto mal desempeño de funciones
    • Acceso en tiempo correcto y confiable a datos y recursos.
    • SINO: Interrupción de Servicios o Baja Productividad
    Autenticidad de quien hace uso de datos o servicios Trazabilidad del uso de servicios (quién, cuándo) o datos (quien y que hace) No repudio (Compromisos) Confiabilidad (Inform.) Qué es Seguridad de la Información Información E D T 6 + 5 = 7x24x365 E-commerce
  • 7. Modelo de Seguridad NSTISSC Politica, Educación y Tecnología Alm Proc Transm Almac Proces Transm Política Educación y Tecnología C I D C I D Modelo de Seguridad NSTISSC dimensiones objetivos Medidas para implementar N ational S ecurity T elecommunications and I nformation S ystems S ecurity C ommittee ISO 27001 ISO17799
  • 8. CAPAS DE DEPENDENCIA Serv. Externos (comunicaciones, energía, Internet); PERSONAL, Mobiliario y edificio ENTORNO NETWORK CENTER D A T A C E N T E R HARDWARE Aplicaciones Base de Datos, S. Operativos SOFTWARE Datos, claves, etc DATOS Funciones/Procesos FUNCIONALIDADES Visi ón , Imagen OTROS
  • 9. LAS ETAPAS DEL PROYECTO ETAPA 1: Análisis y Evaluación de Riesgos En el dominio de activos ETAPA 0: Determinación del Dominio de los Activos de Información Sujetos a riesgos ETAPA 2: Determinación de las Brechas de Seguridad de la Información ETAPA 3: Elaboración del Plan de Implementación
  • 10. LAS ETAPAS DEL PROYECTO ETAPA 1: Análisis y Evaluación de Riesgos En el dominio de activos Clasificación de Activos D eterminaci ón de Vulnerabilidades Lista de Amenazas Matriz de Amenazas Vulnerabilidades por ambiente Definición de Tipos De impacto por Nivel de riesgos Determinación del Umbral de Rie sgos Matriz de Cálculo de Riesgos Matriz Resumen de Riesgos
  • 11. LAS ETAPAS DEL PROYECTO ETAPA 2: Determinación de las Brechas de Seguridad de la Información Elaboración del Plan de Trabajo Encuestas , cuestionarios y consideraciones Determinación de Brechas de Seguridad Documento de Identificación de Brechas Entregable 1
  • 12. LAS ETAPAS DEL PROYECTO ETAPA 3: Elaboración del Plan de Implementación Estructura Detallada del Trabajo Entregable 2 Diagrama Gantt del Plan de Implement. Entregable 3 Presupuesto Detallado del Plan de Implement. Entregable 4
  • 13. Los 11 Dominios de la NTP ISO 17799 - 2007 Control de accesos Gestiòn de Activos Política de seguridad Organización de la Seguridad Seguridad del personal Seguridad física y medioambiental Gestión de comunicaciones y operaciones Desarrollo y mantenimiento Gestión de la continuidad Cumplimiento Información Confidencialidad disponibilidad integridad Gestión de incidentes
  • 14. 1. Politique de sécurité 2. Sécurité de l’organisation 3. Classification et contrôle des actifs 7. Contrôle des accès 4. Sécurité du personnel 5. Sécurité physique et environnementale 8. Développement et maintenance 6. Gestion des communications et opérations 9. Gestion de la continuité 10. Conformité 1. Política de seguridad 2. Seguridad de la organización 3. Clasificación y control de los activos 7. Control de accesos 4. Seguridad del personal 5. Seguridad física y medioambiental 8. Desarrollo y mantenimiento de los sistemas 6. Gestión de las telecomunicaciones y operaciones 9. Gestión de Incidentes 10. Continuidad Organizacional Operacional Los 11 Dominios de ISO 17799 - 2007) 11. Conformidad
  • 15. Entregables – ISO 17799 – 2007 (27001) IMPLEMENTACIÓN PROC XXX
  • 16. Mejora contin ú a
  • 17. Hacia el Sistema de Gesti ó n de la Seguridad de la Informaci ó n-SGSI (ISO 27001) * PDCA en ingles
    • Definir Política y Alcance
    • Identificar Riesgos para gestionarlos
    • Analizar las Brechas
    • Plan de Implementacion
    FASE I FASE II FASE III
    • Monitorear y Revisar SGSI
    • Verificar controles implementados
    • Cumplimientos legales y técnicos
    • Identificar opciones para Gestionar los Riesgos
    • Seleccionar e implementar Cont.
    • Determinar Organización de Seguridad;
    • Comités de Seg.
    • Preparar e implementar Plan
    • de Continuidad
    • Entrenamiento al Personal
    • Declaración de Aplicabilidad
  • 18. ISO17799 - 2007 SGSI (Nov. ISO 27001) ( P lanear- H acer- V erificar- A ctuar) Fallas de Infraestructura Información& Facilidades de Procesamiento de Información Procesos de negocio Gente Tecnología ISO17799 La Solución Sistema de Gesti ó n de Seguridad de la informaci ó n Peligros Naturales Ataques Error humano
  • 19. Sistema de Gesti ó n de Seguridad de la informaci ó n (ISO 27001)
  • 20. Estrategia para implementar el SGSI en los procesos u Organización Patrocinador Equipo del Proyecto Stakeholders Gerente del Proyecto
    • ENTREGABLES DEL
    • PROYECTO:
    • Acta de Constitución
    • Declaración del
    • Alcance
    • 2. Plan de Gestión
    • Plan de G. Cambios
    • Plan de G. Comunic
    • Plan de G. Riesgos
    • ENTREGABLES DEL
    • PRODUCTO:
    • Documento de Política de Seguridad de la Información
    • Documento de i dentificación de los riesgos.
    • Informe de la Identificación y evaluació n el tratamiento de los riesgos.
    • Análisis de Brechas .
    • Procedimientos para actualizar el manual de Seguridad
    • VALOR AGREGADO: Herramientas para la Implementación y Gestión