Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
Upcoming SlideShare
Loading in...5
×
 

Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó

on

  • 2,735 views

Presentación de Roberto Puyó en Foro Global Crossing Perú 2009

Presentación de Roberto Puyó en Foro Global Crossing Perú 2009

Statistics

Views

Total Views
2,735
Views on SlideShare
2,735
Embed Views
0

Actions

Likes
0
Downloads
136
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó Presentation Transcript

    • Información segura. Negocios seguros. Caso: Implementando SGSI en  Caso: Implementando SGSI en Instituciones Estatales Roberto Puyó Valladares, CISM Comité Técnico de Normalización e Intercambio  Comité Técnico de Normalización e Intercambio Electrónico de Datos EDI Oficial de Seguridad LOGO ORADOR
    • Agenda 1 ¿Por qué Implementar un SGSI? 2 Alineamiento con Objetivos Institucionales 3 Alcance 4 Lecciones Aprendidas 5 Integrabilidad de Estándares 6 Visión d l Seguridad d la Información Vi ió de la S id d de l I f ió 7 El Proyecto 8 Trabajo del Comité EDI
    • Lo Público…
    • Documentos Adulterados 4
    • Documentos Adulterados Papel sumergido en bebida gaseosa Papel sumergido en bebida gaseosa Papel sumergido en Té (Cola Cola) (Cola-Cola) (Pepsi Cola) (Pepsi-Cola)
    • Documentos Adulterados
    • ¿Por qué Implementar un SGSI? Los procesos y servicios de la Institución que soporta los de la Información Confidencialidad Integridad g Disponibilidad p Seguridad vela por
    • Alineamiento con Objetivos Institucionales US01 - Mejorar la percepción del cliente de la lid d del l calidad d l servicio. i i US.02- Reducir el fraude 11 PI.02 PI 02 - Mejorar la calidad del servicio *Fuente: PEI 2007 -201 FI.01 - Conciliar rentabilidad con seguridad EN.02 - Mejorar la Imagen Institucional j g : SEGURIDAD DE LA INFORMACIÓN SGSI
    • PLAP - LIMA Centro Cívico Departamentales CENTRO DE COMPUTO Primera Etapa: • Sistemas Informáticos • Infraestructura Certificar • Servidores en • Comunicaciones ISO/IEC • Aplicaciones 27001 •BBases d D t de Datos
    • SGSI en la Institución SGSI en la Institución SGSI – Proceso n SGSI – Proceso 1 SGSI Proceso 2
    • Alcance – Ámbito de implementación Ámbito: Centro de Cómputo Soporte Técnico (Adm. de la Plataforma y las Mesa d M de Comunicaciones) Ayuda (Soporte a Seguridad Usuarios) ) de la Adm. de la Contingencia del C.C. Información Adm. de las Operaciones del Centro de Cómputo
    • Alcance – Lo norma implementada ISO 27001: “Sistema de Gestión de Seguridad de la Información” Política de  Seguridad Organización de la Seguridad  de Información S G S I Seguridad del  S id d d l Implica a: Gestión de Activos RRHH Gestión de las Comunicaciones y  Seguridad Física Operaciones Organización Tecnología Gestión de Acceso Adquisición, desarrollo y  Legal mantenimiento de sistemas Física Gestión de las  Gestión de la  Continuidad  del Negocio Continuidad del Negocio Cumplimiento p Incidencias de Seguridad Incidencias de Seguridad Personas Procesos Tecnología
    • El Proyecto Lo implementado en el Centro de Cómputo Análisis Establecimiento E t bl i i t Implementación I l t ió Monitoreo y M it Mantenimiento y Preliminar y del SGSI y Operación Revisión Mejora Planeamiento Normativa de Auditorías Plan de Mejora j Definición Alcance Seguridad Internas Continua Análisis GAP Análisis de Plan de Cuadro de Control Plan para la Impacto Respuesta al y Monitoreo Revisión Ejecutiva Riesgo Análisis de Implementación Riesgo de Controles Preparación para la Certificación Plan de Selección de Educación en Controles Seguridad Certificación Documento Aplicabilidad
    • Lección Aprendida No confunda las normas ISO/IEC 27001  No confunda las normas ISO/IEC 27001 ISO/IEC 27002 (ISO/IEC 17799). 
    • Lección Aprendida Si no tiene claro el alcance que quiere cubrir  Si no tiene claro el alcance que quiere cubrir con la gestión de la seguridad:  RECOMENDAMOS NO INICIAR LA  RECOMENDAMOS NO INICIAR LA IMPLEMENTACIÓN de un SGSI.
    • Lección Aprendida Obtenga la aprobación de la Jefatura y/o  Obtenga la aprobación de la Jefatura y/o Gerencia General de su Institución, si no tiene  este apoyo será difícil implementar. este apoyo será difícil implementar.
    • Lección Aprendida Organice el Comité de Seguridad de la  Organice el Comité de Seguridad de la Información. Tienen que participar representantes de  Tienen que participar representantes de diversas áreas, tales como RRHH, Legal, TI,  personal de las áreas de los procesos  personal de las áreas de los procesos áreas de los procesos  principales.  principales No olvidar involucrar al área responsable de  N l id i l lá bl d emitir documentos normativos. 
    • Lección Aprendida De ser necesario, modificar el MOF de la  De ser necesario, modificar el MOF de la Institución para que ciertas funciones clave,  en lo que respecta a la seguridad de la  en lo que respecta a la seguridad de la información y la gestión de riesgos, sean  incluidas.
    • Lección Aprendida Desarrolle o revise las políticas de seguridad de la  p g Institución. Cambie el enfoque de políticas de  seguridad informática a políticas de seguridad de la  información. Guíese de los dominios de la norma ISO/IEC 17799  (ISO/IEC 27002). ( / ) Busque apoyo en otras Instituciones Públicas para no  tratar de “Inventar la Pólvora”. t t d “I t l Pól ”
    • Lección Aprendida Uno de los puntos vitales en la implementación es el  desarrollo de la Guía de Gestión de Riesgos. Recomendamos utilizar la norma ISO/IEC 27005:2008 – Gestión de Riesgos de la Seguridad de la Información – Disponible como NTP aproximadamente a fines de año.
    • Lección Aprendida Es necesario y recomendable que se ejecute un  y q j Análisis de Impacto al Negocio – BIA
    • Lección Aprendida De acuerdo al nivel de madurez y la  disponibilidad presupuestal, es recomendable  disponibilidad presupuestal es recomendable mantener una persona a tiempo completo  revisando los temas de seguridad.  revisando los temas de seguridad
    • Lección Aprendida Activar la seguridad y la auditoria razonable  Activar la seguridad y la auditoria razonable de las bases de datos en los ambientes de  producción.  producción. Generar registros de auditorias sobre la  actividad de los administradores. actividad de los administradores
    • Lección Aprendida No olvide revisar los accesos que los usuarios  No olvide revisar los accesos que los usuarios tienen en los sistemas de información.  No olvide que los accesos dentro de los  No olvide que los accesos dentro de los sistemas deben encontrarse acordes con las   funciones desempeñadas.  funciones desempeñadas
    • Lección Aprendida Capacite a los empleados en seguridad de la  Capacite a los empleados en seguridad de la información.  Presente casos reales que se hayan efectuado  Presente casos reales que se hayan efectuado en la institución.  Utilice lenguaje apropiado.  Utili l j i d Prepare presentaciones diferenciadas por  áreas pero con el mismo mensaje de fondo. 
    • LEY Nº 27309 ‐ INCORPORA AL CODIGO PENAL LOS DELITOS  LEY Nº 27309 ‐ INFORMATICOS (ART. 2007 C.P.) INFORMATICOS (ART. 2007 C.P.) Art. 207º A .- El que utiliza o ingresa Art. 207º B .- El que utiliza, ingresa o indebidamente a una base de datos, sistema interfiere indebidamente una base de o red de computadoras o cualquier parte de datos, sistema o red o programa de la misma, para diseñar, ejecutar o alterar un computadoras o cualquier parte de la esquema u otro similar, o para interferir, misma con el fin de alterarlos, dañarlos interceptar, acceder o copiar información en o destruirlos. transito o contenida en una base de datos. CIRCUNSTANCIAS AGRAVANTES Art. 207º C El agente accede a una base de El agente pone en peligro la datos, sistema o red de seguridad nacional". computadoras, haciendo uso de información i f ió privilegiada, i il i d obtenida en función a su cargo.
    • FIGURAS DELICTIVAS MAS CONOCIDAS EMPLEANDO ALTA TECNOLOGIA DELITO CONTRA EL (Código Penal) DELITO CONTRA LA LIBERTAD PATRIMONIO OFENSAS AL PUDOR PUBLICO (HURTO AGRAVADO) (PORNOGRAFIA INFANTIL) Art. 186º.- El que para obtener Art. 183º A.- El que posee, promueve, provecho, se apodera ilegítimamente fabrica, distribuye, exhibe, ofrece, de un bien mueble, total o comercializa o publica, importa o exporta parcialmente ajeno, sustrayéndolo del por cualquier medio incluido la INTERNET, lugar donde se encuentra, … objetos, libros, IMÁGENES VISUALES o auditivas, o realiza espectáculos en vivo de 3. Mediante la tili ió de i t 3 M di t l utilización d sistemas carácter pornográfico, en los cuales se de transferencia electrónica de utilice a personas de 14 y menos de 18 años fondos, de la telemática en general o de edad, … la violación del empleo de claves secretas. t Cuando el menor tenga menos de 14 años de edad, …
    • Lección Aprendida Determine métricas de Seguridad de la  Información.  I f ió
    • Lección Aprendida Implemente un procedimiento de  Implemente un procedimiento de registro, seguimiento y control de los  “Incidentes de Seguridad de la  Información”.
    • Lección Aprendida De ser el caso no dude en solicitar apoyo de la  De ser el caso no dude en solicitar apoyo de la Policía Informática del Perú – DIVINDAT.  División de Investigaciones de Delitos de Alta  División de Investigaciones de Delitos de Alta Tecnología. http://www.policiainformatica.gob.pe/ http://www policiainformatica gob pe/
    • Lección Aprendida Efectúen una revisión del código fuente de sus  Efectúen una revisión del código fuente de sus aplicaciones.  Nadie sabe lo que se puede encontrar. Podrían  Nadie sabe lo que se puede encontrar Podrían existir “puertas traseras” colocadas por los  programadores.  programadores
    • Lección Aprendida Estandarice el  desarrollo de sus  sistemas de  información. Debe  información Debe incluir los estándares  de seguridad en lo que  de seguridad en lo que respecta al código  fuente.  Se recomienda revisar  la página  http://www.owasp.org
    • Lección Aprendida No deje de lado el enfoque de la reducción de fraudes en sus  organizaciones
    • Lección Aprendida Integre los estándares para NO DUPLICAR los estándares para NO DUPLICAR  ESFUERZOS: COSO COBIT ISO/IEC 27001 ISO/IEC 27002 Reglamento de Seguridad y Salud en el  Trabajo
    • Integrabilidad REGULACIONES SST BCI Seguridad y Salud en el Trabajo Business Continuity Institute DRI PMI-PMBOK Disaster Recovery Institute ISO 27.005 CMMI BS 25.999 Gestión de Riesgos de segurida nivel de Madurrez Business Continuity Management COBIT/ ISO 27.001 – 27.002 ISO 20.000 Sistema de Gestión de Seguridad ISO 38500 Sistema de Gestión de Servicios TI de la Información (SGSI) Gobernabilidad TI (ITIL) Sistemas de Gestión y Gobernabilidad alineados con el Negocio COSO - ERM
    • Integración de Normas – Arman contra la corrupción y el fraude Escenario del Fraude Control a implementar Informe COSO – RC N° Norma ISO/IEC 27001:2005 COBIT v4- Control de 320-2006- CG- Control – Sistema de Gestión de Tecnologías[ Interno] Seguridad Tipo d Fraude Norma de la SBS de Uso indebido de los privilegios Código de Ética 3.2 Segregación de A.11 Control de Accesos. DS5 – Garantizar la Corrupción en los sistemas de información Funciones A.11.1.1 Política de Control Seguridad de los Sistemas para ingresar información sin 4.4 44 Sistemas de de Accesos sustento, adulterar montos, y Información A.11.2.2 Gestión de favorecer a terceros. Privilegios. A.11.2.4 Revisión de los derechos de acceso de los usuarios Obtener información de los Aplicar transformación de datos entre los 4.4 Sistemas de A.10.1.4 Separación de las DS11 Administración de la sistemas de información de los ambientes. Efectuar separación lógica de los Información instalaciones de desarrollo, Información ambientes de pruebas o ambientes. Controlar el acceso a los mismos. prueba y operación. desarrollo, dado que la No entregar copias de las bases de datos de A.11.6 Control de Acceso a información ahí almacenada producción en los ambientes de pruebas o las aplicaciones e es idéntica a la de los desarrollo. información. ambientes de producción. A.11.6.2 Aislamiento de sistemas sensibles. Personal que ingresa a una Se debe hacer un chequeo y verificación de 1.4 Estructura A.8 Seguridad en Recursos PO7 Administrar recursos organización sin que se informaciones anteriores de todos los Organizacional Humanos humanos de TI verifiquen sus documentos. candidatos para el empleo, en concordancia 1.5 Administración de A.8.2.3 Proceso disciplinario con las leyes, regulaciones y ética. Recursos Humanos Se debe limitar el acceso a los sistemas, 4.4 Sistemas de según la necesidad de tener y saber. Información Uso de accesos físicos y Reforzar el procedimiento de baja del 1.5 Administración de A.8.3.1. Responsabilidades PO7 Administrar recursos lógicos de empleados que ya personal. Lo ideal es que sus cuentas se Recursos Humanos de Finalización humanos de TI dejaron de laborar. encuentran centralizadas al momento de la A.8.3.2 Devolución de DS12 Administrar el baja. Aquí debe establecerse apoyo con el Activos ambiente físico personal de vigilancia de la Entidad. A.8.3.3 Al finalizar el empleo DS11 Administrar los Retiro de derechos de datos acceso.
    • Visión de la seguridad en la Institución Un Sistema de Gestión de la Seguridad de la Información UNIFICADO SGS (UNIFICADO) de la Institución SGSI (U C O) a st tuc ó INTEGRACIÓN Ó SGSI - Centro de Cómputo SGSI SGSI SGSI SGSI SGSI Servicio Servicio de Servicio de Servicio de Servicio de Mantenimien to de Atención al Calificaciones de Verificaciones Administración Aplicaciones Público Expedientes de Aportes de Archivos
    • El Proyecto ‐ Cronograma Lo implementado en el Centro de Cómputo 2007 2008 2009 SGSI Semestre Semestre Semestre Semestre Semestre Semestre I II I II I II Análisis Preliminar y Planeamiento X X Establecimiento del SGSI X X Implementación y Operación p X X Monitoreo y Revisión X X Mantenimiento y Mejora j X Auditoria para la Certificación X Certificación
    • El Proyecto ‐ Esfuerzo RECURSOS: Equipo consultor y personal de la Institución Para el SGSI del Centro de Cómputo p 564 días útiles Mas de 02 Esfuerzo total AÑOS del proyecto Desde Hasta dedicados ENE 07 FEB 09 Consultores Instit. Participación p Mas de M d 35 Directa 6 3 personas Participación participando 14 15 Indirecta
    • El Proyecto ‐ Resultados La Institución aprobó exitosamente la auditoría de certificación para el Centro de Cómputo(*) Se usaron las buenas prácticas internacionales Un Sistema d G tió alineado a l Obj ti U Si t de Gestión li d los Objetivos I tit i Institucionales l En los próximos 18 meses la integración de los 06 SGSI (*) En tramites
    • Por último – desde el Comité EDI • Para el 2009 en proceso:  • PNTP ISO/IEC 27006: 2007 ‐ Information technology Security PNTP ‐ ISO/IEC 27006: 2007 Information technology – Security  techniques – Requirements for bodies providing audit and  certification of information security management systems. • PNTP ISO/IEC 27005: 2008 ‐ Information technology Security PNTP ‐ ISO/IEC 27005: 2008 Information technology – Security  techniques – Information security risk management • PNTP – ISO 27799:2008 ‐ Health informatics ‐‐ Information  security management in health using security management in health using • PNTP – ISO 28001:2007 ‐ Security management systems for the  supply chain ‐ Best practices for implementing supply chain  security, assessments and plans ‐ Requirements and guidance. security assessments and plans Requirements and guidance
    • !MUCHAS GRACIAS por su atención! p Roberto Puyó Valladares, CISM Roberto Puyó Valladares CISM robertopuyovalladares@gmail.com 995786312