Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Infosecu

1,703 views

Published on

Published in: Education
  • Be the first to comment

  • Be the first to like this

Infosecu

  1. 1. Seguridad de la Informaci ó n “De la NTP ISO 17799-2007 al SGSI (ISO 27001)” Ing. Carlos Trigo P é rez [email_address] 18/07/07
  2. 2. AGENDA <ul><li>¿ Qu é hace a un Sistema inseguro? </li></ul><ul><li>¿ C ó mo se rompe la Seguridad de un Sistema? </li></ul><ul><li>Visi ó n Global del enfoque de Seguridad </li></ul><ul><li>Dimensiones cr í ticas de la informaci ó n </li></ul><ul><li>Modelo de Seguridad </li></ul><ul><li>Las ETAPAS DEL PROYECTO </li></ul><ul><ul><li>An á lisis y Evaluaci ó n de Riesgos </li></ul></ul><ul><ul><li>Determinaci ó n de la Infraestructura de la Seguridad </li></ul></ul><ul><ul><li>Sensibilizaci ó n del Personal </li></ul></ul><ul><li>Dominios de la NTP – ISO/IEC 17799 </li></ul><ul><li>El proyecto : SGSI – ISO 27001 </li></ul>
  3. 3. ¿ Qu é hace a un sistema inseguro? <ul><li>Huecos de Seguridad F í sicos. </li></ul><ul><li>Huecos de Seguridad en el Software. </li></ul><ul><li>Falta de Experiencia. </li></ul><ul><li>Ausencia de un Esquema de Seguridad. </li></ul>
  4. 4. ¿ C ó mo se rompe la seguridad de un sistema? <ul><li>Intrusi ó n F í sica </li></ul><ul><li>Intrusi ó n por Sistema </li></ul><ul><li>Intrusi ó n Remota </li></ul>
  5. 5. Evaluación de Riesgos Elaboración de Planes Plan de Seguridad de la Información Plan de Continuidad del Negocio Análisis de Riesgos Análisis de Impacto Análisis de Necesidades Plan de Contingencias <ul><li>Interpretación y Clasificación de Riesgos </li></ul><ul><li>Identificación y Estimación de acci ones para: </li></ul><ul><li>Actividades Preventivas </li></ul><ul><li>Actividades Correctivas </li></ul><ul><li>Actividades para la Reanudación y Continuidad del negocio </li></ul><ul><li>Identificación y Selección de los Mejores Mecanismos de Seguridad </li></ul><ul><li>Especificaciones de los Mecanismos de seguridad a Implantar . </li></ul><ul><li>Planificación del proceso de Implantación </li></ul><ul><li>Concientización del personal en la Seguridad. </li></ul><ul><li>Respuestas inmediatas ante eventos que originen pérdida de datos o interrupción de las operaciones. </li></ul><ul><li>Especificaciones del Plan de Acción a tomar de acuerdo al tipo de evento: Grupos de Trabajo y responsabilidades, definición de Recursos, niveles de Contingencia, escenarios de Contingencia. Activación de la Contingencia. </li></ul><ul><li>Inventario de Procesos del Negocio. </li></ul><ul><li>Identificación de Procesos Críticos </li></ul><ul><li>Especificaciones de los mecanismos de Acción a seguir para la continuidad </li></ul><ul><li>Plan de Recuperación de los estados de Seguridad </li></ul>Mejora Continua Revisión de la Estrategia Revisión del Plan Actual Revisión de Programas Pruebas del Plan Actual 1 - 8 9 10 Visión Global del Enfoque de Seguridad ISO 17799 Requerimientos para Minimizar Impacto Cuantificación Finan. y no Finan. por tiempo de interrupción Identificar Ac tivos Identificar Am enazas Determinar V ulnerabilidades e I mpactos Plan de respuesta a incidentes Plan de Recuperación de desastres
  6. 6. Dimensiones cr í ticas de la informaci ó n C I D Información ( dimensiones ) Prevenir Divulgación no autorizada de Activos de Información Prevenir Cambios no autorizados en Activos de Información Prevenir Destrucción no autorizada de Activos de Información <ul><ul><ul><li>Secreto impuesto de acuerdo con políticas de seguridad </li></ul></ul></ul><ul><ul><ul><li>SINO: Fugas y filtraciones de información; accesos no autorizados; pérdida de confianza de los demás (incumplimiento de leyes y compromisos ) </li></ul></ul></ul><ul><ul><ul><li>Validez y Precisión de información y sistemas. </li></ul></ul></ul><ul><ul><ul><li>SINO: Información manipulada, incompleta, corrupta y por lo tanto mal desempeño de funciones </li></ul></ul></ul><ul><li>Acceso en tiempo correcto y confiable a datos y recursos. </li></ul><ul><li>SINO: Interrupción de Servicios o Baja Productividad </li></ul>Autenticidad de quien hace uso de datos o servicios Trazabilidad del uso de servicios (quién, cuándo) o datos (quien y que hace) No repudio (Compromisos) Confiabilidad (Inform.) Qué es Seguridad de la Información Información E D T 6 + 5 = 7x24x365 E-commerce
  7. 7. Modelo de Seguridad NSTISSC Politica, Educación y Tecnología Alm Proc Transm Almac Proces Transm Política Educación y Tecnología C I D C I D Modelo de Seguridad NSTISSC dimensiones objetivos Medidas para implementar N ational S ecurity T elecommunications and I nformation S ystems S ecurity C ommittee ISO 27001 ISO17799
  8. 8. CAPAS DE DEPENDENCIA Serv. Externos (comunicaciones, energía, Internet); PERSONAL, Mobiliario y edificio ENTORNO NETWORK CENTER D A T A C E N T E R HARDWARE Aplicaciones Base de Datos, S. Operativos SOFTWARE Datos, claves, etc DATOS Funciones/Procesos FUNCIONALIDADES Visi ón , Imagen OTROS
  9. 9. LAS ETAPAS DEL PROYECTO ETAPA 1: Análisis y Evaluación de Riesgos En el dominio de activos ETAPA 0: Determinación del Dominio de los Activos de Información Sujetos a riesgos ETAPA 2: Determinación de las Brechas de Seguridad de la Información ETAPA 3: Elaboración del Plan de Implementación
  10. 10. LAS ETAPAS DEL PROYECTO ETAPA 1: Análisis y Evaluación de Riesgos En el dominio de activos Clasificación de Activos D eterminaci ón de Vulnerabilidades Lista de Amenazas Matriz de Amenazas Vulnerabilidades por ambiente Definición de Tipos De impacto por Nivel de riesgos Determinación del Umbral de Rie sgos Matriz de Cálculo de Riesgos Matriz Resumen de Riesgos
  11. 11. LAS ETAPAS DEL PROYECTO ETAPA 2: Determinación de las Brechas de Seguridad de la Información Elaboración del Plan de Trabajo Encuestas , cuestionarios y consideraciones Determinación de Brechas de Seguridad Documento de Identificación de Brechas Entregable 1
  12. 12. LAS ETAPAS DEL PROYECTO ETAPA 3: Elaboración del Plan de Implementación Estructura Detallada del Trabajo Entregable 2 Diagrama Gantt del Plan de Implement. Entregable 3 Presupuesto Detallado del Plan de Implement. Entregable 4
  13. 13. Los 11 Dominios de la NTP ISO 17799 - 2007 Control de accesos Gestiòn de Activos Política de seguridad Organización de la Seguridad Seguridad del personal Seguridad física y medioambiental Gestión de comunicaciones y operaciones Desarrollo y mantenimiento Gestión de la continuidad Cumplimiento Información Confidencialidad disponibilidad integridad Gestión de incidentes
  14. 14. 1. Politique de sécurité 2. Sécurité de l’organisation 3. Classification et contrôle des actifs 7. Contrôle des accès 4. Sécurité du personnel 5. Sécurité physique et environnementale 8. Développement et maintenance 6. Gestion des communications et opérations 9. Gestion de la continuité 10. Conformité 1. Política de seguridad 2. Seguridad de la organización 3. Clasificación y control de los activos 7. Control de accesos 4. Seguridad del personal 5. Seguridad física y medioambiental 8. Desarrollo y mantenimiento de los sistemas 6. Gestión de las telecomunicaciones y operaciones 9. Gestión de Incidentes 10. Continuidad Organizacional Operacional Los 11 Dominios de ISO 17799 - 2007) 11. Conformidad
  15. 15. Entregables – ISO 17799 – 2007 (27001) IMPLEMENTACIÓN PROC XXX
  16. 16. Mejora contin ú a
  17. 17. Hacia el Sistema de Gesti ó n de la Seguridad de la Informaci ó n-SGSI (ISO 27001) * PDCA en ingles <ul><li>Definir Política y Alcance </li></ul><ul><li>Identificar Riesgos para gestionarlos </li></ul><ul><li>Analizar las Brechas </li></ul><ul><li>Plan de Implementacion </li></ul>FASE I FASE II FASE III <ul><li>Monitorear y Revisar SGSI </li></ul><ul><li>Verificar controles implementados </li></ul><ul><li>Cumplimientos legales y técnicos </li></ul><ul><li>Identificar opciones para Gestionar los Riesgos </li></ul><ul><li>Seleccionar e implementar Cont. </li></ul><ul><li>Determinar Organización de Seguridad; </li></ul><ul><li>Comités de Seg. </li></ul><ul><li>Preparar e implementar Plan </li></ul><ul><li>de Continuidad </li></ul><ul><li>Entrenamiento al Personal </li></ul><ul><li>Declaración de Aplicabilidad </li></ul>
  18. 18. ISO17799 - 2007 SGSI (Nov. ISO 27001) ( P lanear- H acer- V erificar- A ctuar) Fallas de Infraestructura Información& Facilidades de Procesamiento de Información Procesos de negocio Gente Tecnología ISO17799 La Solución Sistema de Gesti ó n de Seguridad de la informaci ó n Peligros Naturales Ataques Error humano
  19. 19. Sistema de Gesti ó n de Seguridad de la informaci ó n (ISO 27001)
  20. 20. Estrategia para implementar el SGSI en los procesos u Organización Patrocinador Equipo del Proyecto Stakeholders Gerente del Proyecto <ul><li>ENTREGABLES DEL </li></ul><ul><li>PROYECTO: </li></ul><ul><li>Acta de Constitución </li></ul><ul><li>Declaración del </li></ul><ul><li> Alcance </li></ul><ul><li>2. Plan de Gestión </li></ul><ul><li>Plan de G. Cambios </li></ul><ul><li>Plan de G. Comunic </li></ul><ul><li>Plan de G. Riesgos </li></ul><ul><li>ENTREGABLES DEL </li></ul><ul><li>PRODUCTO: </li></ul><ul><li>Documento de Política de Seguridad de la Información </li></ul><ul><li>Documento de i dentificación de los riesgos. </li></ul><ul><li>Informe de la Identificación y evaluació n el tratamiento de los riesgos. </li></ul><ul><li>Análisis de Brechas . </li></ul><ul><li>Procedimientos para actualizar el manual de Seguridad </li></ul><ul><li>VALOR AGREGADO: Herramientas para la Implementación y Gestión </li></ul>

×