seguridad ISO

3,172 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,172
On SlideShare
0
From Embeds
0
Number of Embeds
96
Actions
Shares
0
Downloads
181
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

seguridad ISO

  1. 1. MODELO DE SEGURIDAD INFORMATICA BASADO EN LA NORMA ISO 17799 Facilitadores: Jenny Cartas José Carrero
  2. 2. <ul><li>¿Sabía usted que el 94% de las empresas que pierden sus datos desaparecen? </li></ul>Desastres naturales <ul><li>Un estudio revela que casi el 95% del correo electrónico es “Spam” </li></ul>TITULARES DE MUNDO EN LINEA Por una mala administración de la información Errores humanos Virus, hackers entre otros <ul><li>Chile ocupa el cuarto lugar en delitos en la Web en América Latina </li></ul>
  3. 3. PORQUE ES NECESARIA LA GESTIÓN DE LA SEGURIDAD <ul><li>Frente a la importancia creciente de la información. </li></ul><ul><li>Frente a la multitud de amenazas posibles. </li></ul><ul><li>Frente a la necesidad de los cambios Tecnológicos. </li></ul><ul><li>Frente a la complejidad y diversidad de las dependencias. </li></ul><ul><li>Frente a los limites para actuar (Asig. Roles). </li></ul><ul><li>Frente a la necesidad de garantía (DCI) </li></ul>Mejor Seguridad Más Seguridad
  4. 4. Correos basura y Acceso a Internet La Solución de Antivirus Instalada no es suficiente. La labor de la Ingeniería Social Efecto: No Existen Políticas de Seguridad basadas en estándares internacionalmente reconocidos. CAUSAS MAS COMUNES (Vulnerabilidad)
  5. 5. ESTANDAR ISO <ul><li>Que es ISO? ( International Organization for Standardization) </li></ul><ul><ul><li>Orientada a la creación de Normas dirigidas hacia las áreas de Productos, servicios, procesos, materiales y sistemas. </li></ul></ul><ul><ul><li>Aporta una adecuada evaluación gerencial y practica organizacional </li></ul></ul><ul><ul><li>Los estándares ISO son diseñados para ser implementados en todo el mundo </li></ul></ul>
  6. 6. <ul><li>ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. </li></ul><ul><li>ISO 17799 define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio , minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio. </li></ul>ESTANDAR ISO 17799
  7. 7. Un “Modelo de Seguridad de la Información” es un diseño formal que promueve consistentes y efectivos mecanismos para la definición e implementación de controles a través de políticas.. Debe estar dirigido a identificar los niveles de riesgo presentes y las acciones que se deben implementar para reducirlos. MODELO DE SEGURIDAD DE LA INFORMACIÓN
  8. 8. <ul><li>Que son las Políticas de Seguridad de la Información: </li></ul><ul><li>Pueden considerarse como reglas de negocio que son el equivalente de una ley propia de la organización. </li></ul><ul><li>Es la fuente de instrucciones para proteger tanto la información como los sistemas que la contienen. </li></ul><ul><li>Deben estar adecuadas a los requerimientos particulares de la organización y en sintonía con la legislación vigente. </li></ul><ul><li>Es necesario conocer muy bien los factores de riesgo, mediante un “ Análisis de Riesgos” . </li></ul>POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
  9. 9. UN ADECUADO MODELO DE “ SEGURIDAD INFORMÁTICA” <ul><li>Políticas Sólidas de Seguridad de la Información: </li></ul><ul><ul><li>Mejores prácticas internacionales ( BS ISO/ IEC 17799:2005 - BS 7799-1:2005) </li></ul></ul><ul><ul><li>Soporte Gerencial </li></ul></ul><ul><ul><li>Divulgación </li></ul></ul><ul><ul><li>Capacitación. </li></ul></ul>ESTA BASADO EN:
  10. 10. <ul><li>Equipo de Trabajo: </li></ul><ul><ul><li>Altamente Calificado </li></ul></ul><ul><ul><li>Disponible 7 X 24 X 365 </li></ul></ul><ul><ul><li>Actualizado Permanentemente (Capacitación) </li></ul></ul><ul><ul><li>Sólidos conocimientos en Seguridad de la </li></ul></ul><ul><ul><li>Información y Administración del riesgo </li></ul></ul>UN ADECUADO MODELO DE “ SEGURIDAD INFORMÁTICA” ESTA BASADO EN:
  11. 11. <ul><li>Herramientas de protección: </li></ul><ul><ul><li>Última Tecnología </li></ul></ul><ul><ul><li>Permanentemente Actualizadas </li></ul></ul><ul><ul><li>Alta Disponibilidad </li></ul></ul><ul><ul><li>Alta Capacidad de Respuesta </li></ul></ul>UN ADECUADO MODELO DE “ SEGURIDAD INFORMÁTICA” Nota: No se trata de tener un libro, se trata de contar con una guía basada en las mejores practicas para el mantenimiento y manipulación de la información. ESTA BASADO EN:
  12. 12. C Ó MO IMPLEMENTAR DICHO MODELO
  13. 13. 1. Determinar los niveles de riesgos. 2. Establecer los controles a partir de la norma ISO 17799. 3. Construir los lineamientos. 4. Aplicar las Políticas de Seguridad Implementar un Modelo Tecnológico de Seguridad Informática basado en la norma ISO 17799 C Ó MO IMPLEMENTAR DICHO MODELO
  14. 14. C Ó MO IMPLEMENTAR DICHO MODELO <ul><li>Revisión de estadísticas de incidentes (Help Desk) . </li></ul><ul><li>Aplicación de un cuestionario online basado en la ISO 17799, disponible en http://autoevaluacion.forosec.com </li></ul><ul><li>Identificación de los diferentes tipos de activos en la empresa para determinar todo aquello que la seguridad de la información debe proteger. </li></ul><ul><li>Clasificación y valoración de los riesgos detectados (humanos, tecnológicos, de procesos y físicos). </li></ul><ul><li>Fase I. Determinar niveles de riegos amenazas y vulnerabilidades </li></ul>
  15. 15. C Ó MO IMPLEMENTAR DICHO MODELO <ul><li>Identificación y definición de alternativas para el tratamiento de riesgos. </li></ul><ul><li>Seleccionar controles específicos a partir de la ISO 17799 a implementar según los riesgos detectados. </li></ul><ul><li>Fase II. Establecer controles a partir de la norma ISO 17799 . </li></ul>
  16. 16. C Ó MO IMPLEMENTAR DICHO MODELO <ul><li>Fase III: Construir los lineamientos </li></ul><ul><li>Elaboración y aprobación de una DDA Declaración de Aplicabilidad (qué controles se van a implementar). </li></ul><ul><li>Elaboración del documento de políticas de seguridad que abarque tanto el ámbito tecnológico como el ámbito humano. </li></ul><ul><li>Elaborar plan estratégico de divulgación sobre mantenimiento de la seguridad de la información a toda la organización. </li></ul>
  17. 17. C Ó MO IMPLEMENTAR DICHO MODELO <ul><li>Hacer oficial la política. </li></ul><ul><li>Elección del comité de seguridad para el cumplimiento, monitoreo y mejoramiento continuo de las políticas. . </li></ul><ul><li>Realización de campañas de entrenamiento, charlas de divulgación y sistemas de aprendizaje para garantizar el conocimiento de las políticas de seguridad en toda la organización. </li></ul><ul><li>Fase IV: Aplicar las Políticas </li></ul>
  18. 18. Políticas Estándares Procedimientos PERSONAS TECNOLOGIA CULTURA A DONDE SE ORIENTA <ul><li>Mas que tecnología utilizada para solucionar problemas específicos o puntuales. </li></ul><ul><li>Políticas, procedimientos y estándares definidos de acuerdo con las características del negocio. </li></ul><ul><li>Plan de concientización adecuadamente estructurado para la creación de la cultura de seguridad en la organización . </li></ul>
  19. 19. C Ó MO MANTENER EL MODELO <ul><li>Revisiones periódicas de la política y su alcance. </li></ul><ul><li>Revisiones de los niveles de riesgos </li></ul><ul><li>Auditorias internas y externas </li></ul>Revisión <ul><li>Detectar errores en el proceso, identificar fallos de seguridad y tomar las acciones correspondientes. </li></ul>Monitoreo Monitoreo y Revisión
  20. 20. C Ó MO MANTENER EL MODELO <ul><li>Medir el rendimiento </li></ul><ul><li>Implementar las mejoras identificadas en las revisiones </li></ul>Mejora Continua <ul><li>Comunicar resultados de auditorias </li></ul><ul><li>Adoptar acciones correctivas y preventivas </li></ul>Mantenimiento Mantenimiento y Mejora
  21. 21. <ul><li>Gestión de Riesgos cubriendo todos los componentes internos y externos, la naturaleza de los sistemas, las actividades empresariales y las leyes locales. </li></ul><ul><li>Identificar todos los terceros involucrados (Clientes / Usuarios / Proveedores / Socios de negocio / Otras Organizaciones / Gobierno). </li></ul><ul><li>Identificar todos los activos informáticos. </li></ul><ul><li>Políticas desarrolladas según los objetivos de negocio y según la cultura organizacional. </li></ul><ul><li>Apoyo y compromiso manifiestos por parte de la alta gerencia. </li></ul><ul><li>Participación integral a través de equipos multidisciplinarios. </li></ul>FACTORES CRÍTICOS DE ÉXITO
  22. 22. <ul><li>Un claro entendimiento de los requerimientos de seguridad. </li></ul><ul><li>Sistema de medición para evaluar el desempeño de la gestión de la seguridad. </li></ul><ul><li>Disponibilidad de recursos. </li></ul>FACTORES CRÍTICOS DE ÉXITO
  23. 23. PLAN DE CONCIENTIZACIÓN Informar y recordar regularmente las obligaciones con respecto a la seguridad de la información a empleados y demás personal vinculado. La característica principal del proceso de concientización es la difusión del Modelo de Seguridad por diferentes medios de comunicación al interior de la empresa, partiendo de un conocimiento básico de Seguridad Informática hasta lograr la adopción y asimilación de componentes del modelo de seguridad (políticas, estándares y procedimientos).
  24. 24. Política de Seguridad Aspectos organizativos para la seguridad Clasificación y control de activos Control de Accesos Conformidad Seguridad ligada al personal Seguridad física y del entorno Desarrollo y mantenimiento de sistemas Gestión de comunicaciones y operaciones Gestión de continuidad del negocio Táctico Operativo Estratégico Seguridad Organizativa Seguridad Lógica Seguridad Física Seguridad Legal PRODUCTO FINAL: MODELO DE SEGURIDAD DE LA INFORMACI Ó N
  25. 25. FUENTES DE CONSULTA <ul><li>Noticias Mundo en Línea http:// www.mundoenlinea.cl </li></ul><ul><li>Grupo de Respuesta para Emergencias Informáticas (CERT.gov.ve) http://www.cert.gov.ve </li></ul><ul><li>Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) http://www.suscerte.co </li></ul><ul><li>Computer Emergency Response Team (CERT) http://www.cert.org </li></ul><ul><li>Computer Security Institute (CSI) http://www.gocsi.com </li></ul><ul><li>Forosec http://www.forosec.com </li></ul>
  26. 26. Gracias por su atención.. “ Las mejores herramientas de seguridad son vulnerables si no existen políticas adecuadas que definan claramente su utilización”.
  27. 27. <ul><li>La seguridad de la información siempre ha preocupado a la humanidad. </li></ul><ul><li>La información comanda las decisiones de cualquier negocio. </li></ul>LO QUE HAY QUE SABER <ul><li>Es el principal ACTIVO para la organización. </li></ul><ul><li>La seguridad Física y Lógica son aspectos “CLAVE” a tener en cuenta </li></ul><ul><li>Se debe proteger la Confidencialidad, la Integridad y Disponibilidad. </li></ul><ul><li>Se debe garantizar la identidad de los usuarios y su privacidad. </li></ul><ul><li>Los ataques evolucionan y se introducen en una tecnología en desarrollo. </li></ul><ul><li>Proteger en todas sus formas: digital, impresa y el conocimiento. </li></ul><ul><li>FUNDAMENTAL: Tener conocimiento de los riesgos. </li></ul>

×