Your SlideShare is downloading. ×
Gestión seguridad de la información y marco normativo
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Gestión seguridad de la información y marco normativo

5,138
views

Published on

Presentación de Seminario Seguridad de la Información, organizado por la Unidad de Modernización y Gobierno Electrónico.

Presentación de Seminario Seguridad de la Información, organizado por la Unidad de Modernización y Gobierno Electrónico.

Published in: Technology

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
5,138
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
284
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Gestión Seguridad de la InformaciónMarco NormativoUnidad de Modernización y Gobierno ElectrónicoMinisterio Secretaría General de la Presidencia
  • 2. Amenazas Tecnológicas Social Media Pharming Malware Botnet PHP File IncludeVirus Spyware Trojan Worm Whaling Phishing XSS DDoS P2P SQL Injection ¿Podemos garantizar su control?
  • 3. Otras Amenazas• Colusión interna para efectuar delitos• Errores y omisiones involuntarios del personal• RIESGO en el trabajo con terceros
  • 4. Seguridad de la Información• No es sólo Firewalls o Antivirus...
  • 5. Seguridad de la Información• No es sólo tecnología...
  • 6. Seguridad de la Información• Las personas son el eslabón más débil y mayoritario en la cadena de la seguridad
  • 7. Seguridad de la Información• No se refiere sólo a Disponibilidad...
  • 8. Seguridad de la Información• No hay que reinventar la rueda … – … ya existen • Mejores prácticas • Modelos de Gestión • ISO y su homologación Chilena NCh ISO
  • 9. Seguridad de la Información• ENTONCES… – ¡Qué es?
  • 10. Activos de Información• Tres niveles básicos de Activos de Información – La Información propiamente tal, en sus múltiples formatos (papel, digital, texto, imagen, audio, video, etc.) – Los Equipos/Sistemas/infraestructura que soportan esta información – Las Personas que utilizan la información y que tienen el conocimiento de los procesos institucionales
  • 11. ¿Qué proteger? ACTIVO DE INFORMACIÓNBasado en estándar internacional ISO/IEC 27002:2005
  • 12. Toda institución requiere hacer Gestión de cómo proteger eficaz y eficientemente la información. Principio de la Gestión de la Seguridad
  • 13. Objetivo de esta sección • Homogenizar conceptos y metodologías por medio de la cual se realiza la definición, implantación, medición de efectividad y mejora de la Seguridad de la Información al interior de las Instituciones. • Establecer una base y estructura común para la definición de un Marco Normativo de Seguridad de la Información
  • 14. Temario• Marcos de Referencia – Nch ISO 27002• Sistema de Gestión de Seguridad (ISMS) – Marco Normativo • Estructura y composición – Indicadores y Medición de la efectividad del ISMS – Administración y revisión.• RoadMap: – Evaluación, Implementación y Certificación
  • 15. Nch ISO 27002Marcos de Referencia
  • 16. Estándares y Regulaciones• Nacionales – NCh ISO 27001 / NCh ISO 27002 • PMG-SSI• Internacionales – ISO/IEC 27001:2005 / ISO/IEC 27002:2005 – CSIRT – PCI / SOX / BASILEA – BS 25999/DRII/BCI/ – CobIT / ITil
  • 17. Marcos de Referencia• Norma Chilena Oficial NCH-ISO 27002.Of2009: – Listado de Mejores Prácticas – Internacionalmente homologada de ISO/IEC 27002:2005 – Antes Norma Chilena Oficial NCh 2777.Of.2003• Norma Chilena Oficial NCH-ISO 27001.Of2009: – Sistemas de gestión de la seguridad de la información / SGSI – ISMS – Internacionalmente homologada de ISO/IEC 27001:2005
  • 18. Áreas de Control (Nch ISO 27002) 5 Políticas de Seguridad 6 Organización para la Seguridad de la Información 7 Gestión de activos 8 Seguridad del Recurso Humano 9 Seguridad Física y Ambiental 10 Administración de comunicaciones y operaciones 11 Control de Acceso 12 Adquisición, desarrollo y mantención de sistemas de información 13 Gestión de Incidentes de Seguridad de la información 14 Administración de la Continuidad del Negocio 15 Cumplimiento
  • 19. Controles ISO 27002
  • 20. 133 Controles ISO 27002
  • 21. Estructura Organizacional • Nivel Estratégico – Comité de Seguridad / Comité de Gerentes – Gerencia de Riesgo – CISO / CSO • Nivel Táctico – Oficial de Seguridad – Auditoría Interna • Nivel Operacional – Administradores de Seguridad – Monitores/Líderes de Seguridad de la Información – Usuarios Finales
  • 22. Cuerpo Normativo• Nivel Estratégico – Política General de Seguridad de la Información• Nivel Táctico – Políticas de Seguridad de Temas Específicos • Uso de recursos tecnológicos • Control de Acceso • Escritorios limpios • …• Nivel Operacional – Procedimientos – Estándares internos – Instructivos – Guías prácticas de seguridad – Tips de seguridad
  • 23. Base Normativa en Seguridad de laInformación Política General de Seguridad de la Información
  • 24. ISMS / SGSI Sistemas de Gestión deSeguridad de la Información
  • 25. ISMS• Parte de los sistemas de gestión, que basado en los procesos de la institución y en un enfoque de riesgo de seguridad, permite establecer, implementar, operar, monitorear y revisar, así como mantener y mejorar la Seguridad de la Información
  • 26. ISMS SGSI Information Sistemas de Security Gestión deManagement Seguridad de la Systems Información PMG-SSI
  • 27. Gestión de Mejora Continua• Modelo DEMING• PDCA
  • 28. Metodología Pdca• PLAN – Definición de un ISMS – Se identifica las necesidades, recursos, estructura y responsabilidades – En esta etapa se define las políticas de seguridad, los procesos y procedimientos relevantes para la administración del riesgo y mejoras para la seguridad de la información, de acuerdo a las políticas y objetivos de toda la organización
  • 29. 2 Requisitos ISO 27001:2005 9Mandatorio:4 Sistema de Gestión de Seguridad de la Información-4.1 – Requisitos Generales-4.2 – Establecer y Administrar el SGSI-- 4.2.1 Creación del SGSI-- 4.2.2 Implementación y operación del SGSI-- 4.2.3 Supervisión y revisión del SGSI-- 4.2.4 Mantenimiento y mejora del SGSI-4.3 – Documentación y Registros5 Responsabilidad de la Dirección Sentencia de Aplicabilidad-5.1 – Compromiso de la Gerencia (SoA) 4.2.1.j-5.2 – Gestión de los Recursos6 – Auditorias Internas del SGSI7 – Revisión por la Gerencia8 – Mejora del SGSI-8.1 – Mejora Continua-8.2 – Acción Correctiva-8.3 – Acción PreventivaSelección como resultado de la Evaluación de Riesgo:Anexo A – Controles
  • 30. Metodología pDca• DO – Implementación y Operación de un ISMS – Se refiere a la etapa de puesta en marcha del sistema de gestión, donde se implanta y habilitan las condiciones tecnológicas y organizacionales para operar un ISMS – Considera, entre otros, la implantación de políticas de seguridad, controles, procesos y procedimientos
  • 31. Metodología pdCa• CHECK – Monitoreo y revisión de un ISMS – Donde se realiza la medición y análisis de la efectividad de los controles implantados, de acuerdo a revisiones de gerencia y auditoría – Considera los procesos ejecutados con relación a la política del ISMS, evaluar objetivos, experiencias e informar los resultados a la administración para su revisión
  • 32. Metodología pdcA• ACT – Mantención y mejora de un ISMS. – Referido específicamente al tratamiento de acciones correctivas y preventivas, basados en las auditorías internas y revisiones del ISMS o cualquier otra información relevante, para permitir la mejora continua del ISMS
  • 33. ROADMAP Evaluación GAPImplementación Certificación
  • 34. RoadMap: Paso 1 - Evaluación GAP • El principal objetivo de la consultoría que permita medir el estado actual de implementación de controles de Seguridad de la Información, existentes , respecto de la definición de controles que posee la norma internacional ISO/IEC 27002:2005, identificando las principales fortalezas y debilidades respecto de los controles definidos en dicha norma. • Identificar la brecha existente entre el modelo de referencia y la situación actual. • Genera Plan de Mitigación o Plan de Seguridad
  • 35. RoadMap: Paso 2 - Implementación • Habilitación de un ISMS, implementando un Plan de Seguridad acordado • Definición y descripción de los ámbitos de cobertura y alcance del proyecto y del ISMS. • Definir un comité estratégico y equipos de trabajo, roles y responsabilidades • Formalización de las actividades así como los mecanismos para la presentación de avances y control de cambios. • Habilitación de la infraestructura de soporte al proyecto y gestión documental. • Generación de estructuras organizacionales y cuerpo normativo de seguridad • Habilitación de las plataformas tecnológicas necesarias. • Generación de los registros necesarios para las revisiones de cumplimiento.
  • 36. RoadMap: Paso 3 - Certificación Cuestionario de Pre-Aplicación Alcanzar la Evaluación/verificación/propuesta certificación ISO 27001 otorgada por Aplicación algún organismo Pre-auditoria opcional acreditado. Auditoria Etapa 1 Evaluación/ Tratamiento del Riesgo Declaración de Aplicabilidad Auditoria Etapa 2 Revisión detallada de la implantación y eficacia Certificación Evaluación Continua Ciclo de 3 años Normalmente 2 visitas por año Revisión estratégica / Re-certificación
  • 37. ETAPAS DE UN PROYECTO ROADMAPEtapa 1: Evaluación GAP ISO 27002: permite identificarbrecha respecto a un marco de referencia Etapa 2: Considera el Establecimiento del ISMS, asociado a la Fase Plan del PDCA. Etapa 3: Considera la implementación de la estructura organizacional y la definición de los procedimientos necesarios para la gestión ISMS, así como la implementación de controles esenciales ISO 27002. Etapa 4: Entrega seguimiento a la implementación de los restantes controles de mitigación según la evaluación de riesgos realizada en Etapa 1 y plasmada en un Plan de Seguridad. Etapa 5: Considera la etapa de supervisión y soporte para el proceso de postulación y supervisión para alcanzar la certificación ISMS por una entidad certificadora.
  • 38. Gracias.Ministerio Secretaría General de la Presidencia Unidad de Modernización y Gobierno Electrónico @modernizacioncl