Información segura. Negocios seguros.


     Caso: Implementando SGSI en 
     Caso: Implementando SGSI en
        Institu...
Agenda
1   ¿Por qué Implementar un SGSI?

2   Alineamiento con Objetivos Institucionales

3   Alcance

4   Lecciones Apren...
Lo Público…
Documentos Adulterados




                         4
Documentos Adulterados




                        Papel sumergido en bebida gaseosa Papel sumergido en bebida gaseosa
Pap...
Documentos Adulterados
¿Por qué Implementar un SGSI?

Los procesos y servicios de la Institución

                      que soporta los




     ...
Alineamiento con Objetivos Institucionales


         US01 - Mejorar la percepción del cliente de
         la lid d del
  ...
PLAP - LIMA    Centro Cívico      Departamentales




                    CENTRO DE COMPUTO

Primera
  Etapa:             ...
SGSI en la Institución
SGSI en la Institución


                      SGSI –
                      Proceso n




   SGSI –...
Alcance – Ámbito de implementación

              Ámbito: Centro de Cómputo


                       Soporte Técnico
     ...
Alcance – Lo norma implementada

 ISO 27001: “Sistema de Gestión de Seguridad de la Información”
                         ...
El Proyecto
                Lo implementado en el Centro de Cómputo

   Análisis      Establecimiento
                 E t...
Lección Aprendida

No confunda las normas ISO/IEC 27001 
No confunda las normas ISO/IEC 27001
ISO/IEC 27002 (ISO/IEC 17799...
Lección Aprendida

Si no tiene claro el alcance que quiere cubrir 
Si no tiene claro el alcance que quiere cubrir
con la g...
Lección Aprendida

Obtenga la aprobación de la Jefatura y/o 
Obtenga la aprobación de la Jefatura y/o
Gerencia General de ...
Lección Aprendida

Organice el Comité de Seguridad de la 
Organice el Comité de Seguridad de la
Información.
Tienen que pa...
Lección Aprendida

De ser necesario, modificar el MOF de la 
De ser necesario, modificar el MOF de la
Institución para que...
Lección Aprendida
Desarrolle o revise las políticas de seguridad de la 
                        p              g
Instituci...
Lección Aprendida
Uno de los puntos vitales en la implementación es el 
desarrollo de la Guía de Gestión de Riesgos.
Recom...
Lección Aprendida
Es necesario y recomendable que se ejecute un 
              y              q       j
Análisis de Impact...
Lección Aprendida
De acuerdo al nivel de madurez y la 
disponibilidad presupuestal, es recomendable 
disponibilidad presup...
Lección Aprendida

Activar la seguridad y la auditoria razonable 
Activar la seguridad y la auditoria razonable
de las bas...
Lección Aprendida

No olvide revisar los accesos que los usuarios 
No olvide revisar los accesos que los usuarios
tienen e...
Lección Aprendida

Capacite a los empleados en seguridad de la 
Capacite a los empleados en seguridad de la
información. 
...
LEY Nº 27309 ‐ INCORPORA AL CODIGO PENAL LOS DELITOS 
     LEY Nº 27309 ‐
                      INFORMATICOS (ART. 2007 C....
FIGURAS DELICTIVAS MAS CONOCIDAS
                      EMPLEANDO ALTA TECNOLOGIA
          DELITO CONTRA EL   (Código Pena...
Lección Aprendida
Determine métricas de Seguridad de la 
Información. 
I f     ió
Lección Aprendida

Implemente un procedimiento de 
Implemente un procedimiento de
registro, seguimiento y control de los 
...
Lección Aprendida

De ser el caso no dude en solicitar apoyo de la 
De ser el caso no dude en solicitar apoyo de la
Policí...
Lección Aprendida

Efectúen una revisión del código fuente de sus 
Efectúen una revisión del código fuente de sus
aplicaci...
Lección Aprendida
Estandarice el 
desarrollo de sus 
sistemas de 
información. Debe 
información Debe
incluir los estándar...
Lección Aprendida
 No deje de lado el enfoque de la reducción de fraudes en sus 
organizaciones
Lección Aprendida

Integre los estándares para NO DUPLICAR
        los estándares para NO DUPLICAR 
ESFUERZOS:
COSO
COBIT
...
Integrabilidad

                                         REGULACIONES

             SST                            BCI
Seg...
Integración de Normas – Arman contra la corrupción y el fraude

                       Escenario del Fraude         Contro...
Visión de la seguridad en la Institución

Un Sistema de Gestión de la Seguridad de la Información UNIFICADO


            ...
El Proyecto ‐ Cronograma
                    Lo implementado en el Centro de Cómputo

                                 200...
El Proyecto ‐ Esfuerzo
 RECURSOS:   Equipo consultor y personal de la Institución
        Para el SGSI del Centro de Cómpu...
El Proyecto ‐ Resultados




     La Institución aprobó exitosamente la auditoría de certificación para el
               ...
Por último – desde el Comité EDI
• Para el 2009 en proceso: 
      • PNTP ISO/IEC 27006: 2007 ‐ Information technology Sec...
!MUCHAS GRACIAS por su atención!
                    p

Roberto Puyó Valladares, CISM
Roberto Puyó Valladares CISM
roberto...
Upcoming SlideShare
Loading in …5
×

Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó

2,982 views

Published on

Presentación de Roberto Puyó en Foro Global Crossing Perú 2009

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó

  1. 1. Información segura. Negocios seguros. Caso: Implementando SGSI en  Caso: Implementando SGSI en Instituciones Estatales Roberto Puyó Valladares, CISM Comité Técnico de Normalización e Intercambio  Comité Técnico de Normalización e Intercambio Electrónico de Datos EDI Oficial de Seguridad LOGO ORADOR
  2. 2. Agenda 1 ¿Por qué Implementar un SGSI? 2 Alineamiento con Objetivos Institucionales 3 Alcance 4 Lecciones Aprendidas 5 Integrabilidad de Estándares 6 Visión d l Seguridad d la Información Vi ió de la S id d de l I f ió 7 El Proyecto 8 Trabajo del Comité EDI
  3. 3. Lo Público…
  4. 4. Documentos Adulterados 4
  5. 5. Documentos Adulterados Papel sumergido en bebida gaseosa Papel sumergido en bebida gaseosa Papel sumergido en Té (Cola Cola) (Cola-Cola) (Pepsi Cola) (Pepsi-Cola)
  6. 6. Documentos Adulterados
  7. 7. ¿Por qué Implementar un SGSI? Los procesos y servicios de la Institución que soporta los de la Información Confidencialidad Integridad g Disponibilidad p Seguridad vela por
  8. 8. Alineamiento con Objetivos Institucionales US01 - Mejorar la percepción del cliente de la lid d del l calidad d l servicio. i i US.02- Reducir el fraude 11 PI.02 PI 02 - Mejorar la calidad del servicio *Fuente: PEI 2007 -201 FI.01 - Conciliar rentabilidad con seguridad EN.02 - Mejorar la Imagen Institucional j g : SEGURIDAD DE LA INFORMACIÓN SGSI
  9. 9. PLAP - LIMA Centro Cívico Departamentales CENTRO DE COMPUTO Primera Etapa: • Sistemas Informáticos • Infraestructura Certificar • Servidores en • Comunicaciones ISO/IEC • Aplicaciones 27001 •BBases d D t de Datos
  10. 10. SGSI en la Institución SGSI en la Institución SGSI – Proceso n SGSI – Proceso 1 SGSI Proceso 2
  11. 11. Alcance – Ámbito de implementación Ámbito: Centro de Cómputo Soporte Técnico (Adm. de la Plataforma y las Mesa d M de Comunicaciones) Ayuda (Soporte a Seguridad Usuarios) ) de la Adm. de la Contingencia del C.C. Información Adm. de las Operaciones del Centro de Cómputo
  12. 12. Alcance – Lo norma implementada ISO 27001: “Sistema de Gestión de Seguridad de la Información” Política de  Seguridad Organización de la Seguridad  de Información S G S I Seguridad del  S id d d l Implica a: Gestión de Activos RRHH Gestión de las Comunicaciones y  Seguridad Física Operaciones Organización Tecnología Gestión de Acceso Adquisición, desarrollo y  Legal mantenimiento de sistemas Física Gestión de las  Gestión de la  Continuidad  del Negocio Continuidad del Negocio Cumplimiento p Incidencias de Seguridad Incidencias de Seguridad Personas Procesos Tecnología
  13. 13. El Proyecto Lo implementado en el Centro de Cómputo Análisis Establecimiento E t bl i i t Implementación I l t ió Monitoreo y M it Mantenimiento y Preliminar y del SGSI y Operación Revisión Mejora Planeamiento Normativa de Auditorías Plan de Mejora j Definición Alcance Seguridad Internas Continua Análisis GAP Análisis de Plan de Cuadro de Control Plan para la Impacto Respuesta al y Monitoreo Revisión Ejecutiva Riesgo Análisis de Implementación Riesgo de Controles Preparación para la Certificación Plan de Selección de Educación en Controles Seguridad Certificación Documento Aplicabilidad
  14. 14. Lección Aprendida No confunda las normas ISO/IEC 27001  No confunda las normas ISO/IEC 27001 ISO/IEC 27002 (ISO/IEC 17799). 
  15. 15. Lección Aprendida Si no tiene claro el alcance que quiere cubrir  Si no tiene claro el alcance que quiere cubrir con la gestión de la seguridad:  RECOMENDAMOS NO INICIAR LA  RECOMENDAMOS NO INICIAR LA IMPLEMENTACIÓN de un SGSI.
  16. 16. Lección Aprendida Obtenga la aprobación de la Jefatura y/o  Obtenga la aprobación de la Jefatura y/o Gerencia General de su Institución, si no tiene  este apoyo será difícil implementar. este apoyo será difícil implementar.
  17. 17. Lección Aprendida Organice el Comité de Seguridad de la  Organice el Comité de Seguridad de la Información. Tienen que participar representantes de  Tienen que participar representantes de diversas áreas, tales como RRHH, Legal, TI,  personal de las áreas de los procesos  personal de las áreas de los procesos áreas de los procesos  principales.  principales No olvidar involucrar al área responsable de  N l id i l lá bl d emitir documentos normativos. 
  18. 18. Lección Aprendida De ser necesario, modificar el MOF de la  De ser necesario, modificar el MOF de la Institución para que ciertas funciones clave,  en lo que respecta a la seguridad de la  en lo que respecta a la seguridad de la información y la gestión de riesgos, sean  incluidas.
  19. 19. Lección Aprendida Desarrolle o revise las políticas de seguridad de la  p g Institución. Cambie el enfoque de políticas de  seguridad informática a políticas de seguridad de la  información. Guíese de los dominios de la norma ISO/IEC 17799  (ISO/IEC 27002). ( / ) Busque apoyo en otras Instituciones Públicas para no  tratar de “Inventar la Pólvora”. t t d “I t l Pól ”
  20. 20. Lección Aprendida Uno de los puntos vitales en la implementación es el  desarrollo de la Guía de Gestión de Riesgos. Recomendamos utilizar la norma ISO/IEC 27005:2008 – Gestión de Riesgos de la Seguridad de la Información – Disponible como NTP aproximadamente a fines de año.
  21. 21. Lección Aprendida Es necesario y recomendable que se ejecute un  y q j Análisis de Impacto al Negocio – BIA
  22. 22. Lección Aprendida De acuerdo al nivel de madurez y la  disponibilidad presupuestal, es recomendable  disponibilidad presupuestal es recomendable mantener una persona a tiempo completo  revisando los temas de seguridad.  revisando los temas de seguridad
  23. 23. Lección Aprendida Activar la seguridad y la auditoria razonable  Activar la seguridad y la auditoria razonable de las bases de datos en los ambientes de  producción.  producción. Generar registros de auditorias sobre la  actividad de los administradores. actividad de los administradores
  24. 24. Lección Aprendida No olvide revisar los accesos que los usuarios  No olvide revisar los accesos que los usuarios tienen en los sistemas de información.  No olvide que los accesos dentro de los  No olvide que los accesos dentro de los sistemas deben encontrarse acordes con las   funciones desempeñadas.  funciones desempeñadas
  25. 25. Lección Aprendida Capacite a los empleados en seguridad de la  Capacite a los empleados en seguridad de la información.  Presente casos reales que se hayan efectuado  Presente casos reales que se hayan efectuado en la institución.  Utilice lenguaje apropiado.  Utili l j i d Prepare presentaciones diferenciadas por  áreas pero con el mismo mensaje de fondo. 
  26. 26. LEY Nº 27309 ‐ INCORPORA AL CODIGO PENAL LOS DELITOS  LEY Nº 27309 ‐ INFORMATICOS (ART. 2007 C.P.) INFORMATICOS (ART. 2007 C.P.) Art. 207º A .- El que utiliza o ingresa Art. 207º B .- El que utiliza, ingresa o indebidamente a una base de datos, sistema interfiere indebidamente una base de o red de computadoras o cualquier parte de datos, sistema o red o programa de la misma, para diseñar, ejecutar o alterar un computadoras o cualquier parte de la esquema u otro similar, o para interferir, misma con el fin de alterarlos, dañarlos interceptar, acceder o copiar información en o destruirlos. transito o contenida en una base de datos. CIRCUNSTANCIAS AGRAVANTES Art. 207º C El agente accede a una base de El agente pone en peligro la datos, sistema o red de seguridad nacional". computadoras, haciendo uso de información i f ió privilegiada, i il i d obtenida en función a su cargo.
  27. 27. FIGURAS DELICTIVAS MAS CONOCIDAS EMPLEANDO ALTA TECNOLOGIA DELITO CONTRA EL (Código Penal) DELITO CONTRA LA LIBERTAD PATRIMONIO OFENSAS AL PUDOR PUBLICO (HURTO AGRAVADO) (PORNOGRAFIA INFANTIL) Art. 186º.- El que para obtener Art. 183º A.- El que posee, promueve, provecho, se apodera ilegítimamente fabrica, distribuye, exhibe, ofrece, de un bien mueble, total o comercializa o publica, importa o exporta parcialmente ajeno, sustrayéndolo del por cualquier medio incluido la INTERNET, lugar donde se encuentra, … objetos, libros, IMÁGENES VISUALES o auditivas, o realiza espectáculos en vivo de 3. Mediante la tili ió de i t 3 M di t l utilización d sistemas carácter pornográfico, en los cuales se de transferencia electrónica de utilice a personas de 14 y menos de 18 años fondos, de la telemática en general o de edad, … la violación del empleo de claves secretas. t Cuando el menor tenga menos de 14 años de edad, …
  28. 28. Lección Aprendida Determine métricas de Seguridad de la  Información.  I f ió
  29. 29. Lección Aprendida Implemente un procedimiento de  Implemente un procedimiento de registro, seguimiento y control de los  “Incidentes de Seguridad de la  Información”.
  30. 30. Lección Aprendida De ser el caso no dude en solicitar apoyo de la  De ser el caso no dude en solicitar apoyo de la Policía Informática del Perú – DIVINDAT.  División de Investigaciones de Delitos de Alta  División de Investigaciones de Delitos de Alta Tecnología. http://www.policiainformatica.gob.pe/ http://www policiainformatica gob pe/
  31. 31. Lección Aprendida Efectúen una revisión del código fuente de sus  Efectúen una revisión del código fuente de sus aplicaciones.  Nadie sabe lo que se puede encontrar. Podrían  Nadie sabe lo que se puede encontrar Podrían existir “puertas traseras” colocadas por los  programadores.  programadores
  32. 32. Lección Aprendida Estandarice el  desarrollo de sus  sistemas de  información. Debe  información Debe incluir los estándares  de seguridad en lo que  de seguridad en lo que respecta al código  fuente.  Se recomienda revisar  la página  http://www.owasp.org
  33. 33. Lección Aprendida No deje de lado el enfoque de la reducción de fraudes en sus  organizaciones
  34. 34. Lección Aprendida Integre los estándares para NO DUPLICAR los estándares para NO DUPLICAR  ESFUERZOS: COSO COBIT ISO/IEC 27001 ISO/IEC 27002 Reglamento de Seguridad y Salud en el  Trabajo
  35. 35. Integrabilidad REGULACIONES SST BCI Seguridad y Salud en el Trabajo Business Continuity Institute DRI PMI-PMBOK Disaster Recovery Institute ISO 27.005 CMMI BS 25.999 Gestión de Riesgos de segurida nivel de Madurrez Business Continuity Management COBIT/ ISO 27.001 – 27.002 ISO 20.000 Sistema de Gestión de Seguridad ISO 38500 Sistema de Gestión de Servicios TI de la Información (SGSI) Gobernabilidad TI (ITIL) Sistemas de Gestión y Gobernabilidad alineados con el Negocio COSO - ERM
  36. 36. Integración de Normas – Arman contra la corrupción y el fraude Escenario del Fraude Control a implementar Informe COSO – RC N° Norma ISO/IEC 27001:2005 COBIT v4- Control de 320-2006- CG- Control – Sistema de Gestión de Tecnologías[ Interno] Seguridad Tipo d Fraude Norma de la SBS de Uso indebido de los privilegios Código de Ética 3.2 Segregación de A.11 Control de Accesos. DS5 – Garantizar la Corrupción en los sistemas de información Funciones A.11.1.1 Política de Control Seguridad de los Sistemas para ingresar información sin 4.4 44 Sistemas de de Accesos sustento, adulterar montos, y Información A.11.2.2 Gestión de favorecer a terceros. Privilegios. A.11.2.4 Revisión de los derechos de acceso de los usuarios Obtener información de los Aplicar transformación de datos entre los 4.4 Sistemas de A.10.1.4 Separación de las DS11 Administración de la sistemas de información de los ambientes. Efectuar separación lógica de los Información instalaciones de desarrollo, Información ambientes de pruebas o ambientes. Controlar el acceso a los mismos. prueba y operación. desarrollo, dado que la No entregar copias de las bases de datos de A.11.6 Control de Acceso a información ahí almacenada producción en los ambientes de pruebas o las aplicaciones e es idéntica a la de los desarrollo. información. ambientes de producción. A.11.6.2 Aislamiento de sistemas sensibles. Personal que ingresa a una Se debe hacer un chequeo y verificación de 1.4 Estructura A.8 Seguridad en Recursos PO7 Administrar recursos organización sin que se informaciones anteriores de todos los Organizacional Humanos humanos de TI verifiquen sus documentos. candidatos para el empleo, en concordancia 1.5 Administración de A.8.2.3 Proceso disciplinario con las leyes, regulaciones y ética. Recursos Humanos Se debe limitar el acceso a los sistemas, 4.4 Sistemas de según la necesidad de tener y saber. Información Uso de accesos físicos y Reforzar el procedimiento de baja del 1.5 Administración de A.8.3.1. Responsabilidades PO7 Administrar recursos lógicos de empleados que ya personal. Lo ideal es que sus cuentas se Recursos Humanos de Finalización humanos de TI dejaron de laborar. encuentran centralizadas al momento de la A.8.3.2 Devolución de DS12 Administrar el baja. Aquí debe establecerse apoyo con el Activos ambiente físico personal de vigilancia de la Entidad. A.8.3.3 Al finalizar el empleo DS11 Administrar los Retiro de derechos de datos acceso.
  37. 37. Visión de la seguridad en la Institución Un Sistema de Gestión de la Seguridad de la Información UNIFICADO SGS (UNIFICADO) de la Institución SGSI (U C O) a st tuc ó INTEGRACIÓN Ó SGSI - Centro de Cómputo SGSI SGSI SGSI SGSI SGSI Servicio Servicio de Servicio de Servicio de Servicio de Mantenimien to de Atención al Calificaciones de Verificaciones Administración Aplicaciones Público Expedientes de Aportes de Archivos
  38. 38. El Proyecto ‐ Cronograma Lo implementado en el Centro de Cómputo 2007 2008 2009 SGSI Semestre Semestre Semestre Semestre Semestre Semestre I II I II I II Análisis Preliminar y Planeamiento X X Establecimiento del SGSI X X Implementación y Operación p X X Monitoreo y Revisión X X Mantenimiento y Mejora j X Auditoria para la Certificación X Certificación
  39. 39. El Proyecto ‐ Esfuerzo RECURSOS: Equipo consultor y personal de la Institución Para el SGSI del Centro de Cómputo p 564 días útiles Mas de 02 Esfuerzo total AÑOS del proyecto Desde Hasta dedicados ENE 07 FEB 09 Consultores Instit. Participación p Mas de M d 35 Directa 6 3 personas Participación participando 14 15 Indirecta
  40. 40. El Proyecto ‐ Resultados La Institución aprobó exitosamente la auditoría de certificación para el Centro de Cómputo(*) Se usaron las buenas prácticas internacionales Un Sistema d G tió alineado a l Obj ti U Si t de Gestión li d los Objetivos I tit i Institucionales l En los próximos 18 meses la integración de los 06 SGSI (*) En tramites
  41. 41. Por último – desde el Comité EDI • Para el 2009 en proceso:  • PNTP ISO/IEC 27006: 2007 ‐ Information technology Security PNTP ‐ ISO/IEC 27006: 2007 Information technology – Security  techniques – Requirements for bodies providing audit and  certification of information security management systems. • PNTP ISO/IEC 27005: 2008 ‐ Information technology Security PNTP ‐ ISO/IEC 27005: 2008 Information technology – Security  techniques – Information security risk management • PNTP – ISO 27799:2008 ‐ Health informatics ‐‐ Information  security management in health using security management in health using • PNTP – ISO 28001:2007 ‐ Security management systems for the  supply chain ‐ Best practices for implementing supply chain  security, assessments and plans ‐ Requirements and guidance. security assessments and plans Requirements and guidance
  42. 42. !MUCHAS GRACIAS por su atención! p Roberto Puyó Valladares, CISM Roberto Puyó Valladares CISM robertopuyovalladares@gmail.com 995786312

×