Gestión seguridad de la información y marco normativo

7,992 views

Published on

Presentación de Seminario Seguridad de la Información, organizado por la Unidad de Modernización y Gobierno Electrónico.

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
7,992
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
443
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Gestión seguridad de la información y marco normativo

  1. 1. Gestión Seguridad de la InformaciónMarco NormativoUnidad de Modernización y Gobierno ElectrónicoMinisterio Secretaría General de la Presidencia
  2. 2. Amenazas Tecnológicas Social Media Pharming Malware Botnet PHP File IncludeVirus Spyware Trojan Worm Whaling Phishing XSS DDoS P2P SQL Injection ¿Podemos garantizar su control?
  3. 3. Otras Amenazas• Colusión interna para efectuar delitos• Errores y omisiones involuntarios del personal• RIESGO en el trabajo con terceros
  4. 4. Seguridad de la Información• No es sólo Firewalls o Antivirus...
  5. 5. Seguridad de la Información• No es sólo tecnología...
  6. 6. Seguridad de la Información• Las personas son el eslabón más débil y mayoritario en la cadena de la seguridad
  7. 7. Seguridad de la Información• No se refiere sólo a Disponibilidad...
  8. 8. Seguridad de la Información• No hay que reinventar la rueda … – … ya existen • Mejores prácticas • Modelos de Gestión • ISO y su homologación Chilena NCh ISO
  9. 9. Seguridad de la Información• ENTONCES… – ¡Qué es?
  10. 10. Activos de Información• Tres niveles básicos de Activos de Información – La Información propiamente tal, en sus múltiples formatos (papel, digital, texto, imagen, audio, video, etc.) – Los Equipos/Sistemas/infraestructura que soportan esta información – Las Personas que utilizan la información y que tienen el conocimiento de los procesos institucionales
  11. 11. ¿Qué proteger? ACTIVO DE INFORMACIÓNBasado en estándar internacional ISO/IEC 27002:2005
  12. 12. Toda institución requiere hacer Gestión de cómo proteger eficaz y eficientemente la información. Principio de la Gestión de la Seguridad
  13. 13. Objetivo de esta sección • Homogenizar conceptos y metodologías por medio de la cual se realiza la definición, implantación, medición de efectividad y mejora de la Seguridad de la Información al interior de las Instituciones. • Establecer una base y estructura común para la definición de un Marco Normativo de Seguridad de la Información
  14. 14. Temario• Marcos de Referencia – Nch ISO 27002• Sistema de Gestión de Seguridad (ISMS) – Marco Normativo • Estructura y composición – Indicadores y Medición de la efectividad del ISMS – Administración y revisión.• RoadMap: – Evaluación, Implementación y Certificación
  15. 15. Nch ISO 27002Marcos de Referencia
  16. 16. Estándares y Regulaciones• Nacionales – NCh ISO 27001 / NCh ISO 27002 • PMG-SSI• Internacionales – ISO/IEC 27001:2005 / ISO/IEC 27002:2005 – CSIRT – PCI / SOX / BASILEA – BS 25999/DRII/BCI/ – CobIT / ITil
  17. 17. Marcos de Referencia• Norma Chilena Oficial NCH-ISO 27002.Of2009: – Listado de Mejores Prácticas – Internacionalmente homologada de ISO/IEC 27002:2005 – Antes Norma Chilena Oficial NCh 2777.Of.2003• Norma Chilena Oficial NCH-ISO 27001.Of2009: – Sistemas de gestión de la seguridad de la información / SGSI – ISMS – Internacionalmente homologada de ISO/IEC 27001:2005
  18. 18. Áreas de Control (Nch ISO 27002) 5 Políticas de Seguridad 6 Organización para la Seguridad de la Información 7 Gestión de activos 8 Seguridad del Recurso Humano 9 Seguridad Física y Ambiental 10 Administración de comunicaciones y operaciones 11 Control de Acceso 12 Adquisición, desarrollo y mantención de sistemas de información 13 Gestión de Incidentes de Seguridad de la información 14 Administración de la Continuidad del Negocio 15 Cumplimiento
  19. 19. Controles ISO 27002
  20. 20. 133 Controles ISO 27002
  21. 21. Estructura Organizacional • Nivel Estratégico – Comité de Seguridad / Comité de Gerentes – Gerencia de Riesgo – CISO / CSO • Nivel Táctico – Oficial de Seguridad – Auditoría Interna • Nivel Operacional – Administradores de Seguridad – Monitores/Líderes de Seguridad de la Información – Usuarios Finales
  22. 22. Cuerpo Normativo• Nivel Estratégico – Política General de Seguridad de la Información• Nivel Táctico – Políticas de Seguridad de Temas Específicos • Uso de recursos tecnológicos • Control de Acceso • Escritorios limpios • …• Nivel Operacional – Procedimientos – Estándares internos – Instructivos – Guías prácticas de seguridad – Tips de seguridad
  23. 23. Base Normativa en Seguridad de laInformación Política General de Seguridad de la Información
  24. 24. ISMS / SGSI Sistemas de Gestión deSeguridad de la Información
  25. 25. ISMS• Parte de los sistemas de gestión, que basado en los procesos de la institución y en un enfoque de riesgo de seguridad, permite establecer, implementar, operar, monitorear y revisar, así como mantener y mejorar la Seguridad de la Información
  26. 26. ISMS SGSI Information Sistemas de Security Gestión deManagement Seguridad de la Systems Información PMG-SSI
  27. 27. Gestión de Mejora Continua• Modelo DEMING• PDCA
  28. 28. Metodología Pdca• PLAN – Definición de un ISMS – Se identifica las necesidades, recursos, estructura y responsabilidades – En esta etapa se define las políticas de seguridad, los procesos y procedimientos relevantes para la administración del riesgo y mejoras para la seguridad de la información, de acuerdo a las políticas y objetivos de toda la organización
  29. 29. 2 Requisitos ISO 27001:2005 9Mandatorio:4 Sistema de Gestión de Seguridad de la Información-4.1 – Requisitos Generales-4.2 – Establecer y Administrar el SGSI-- 4.2.1 Creación del SGSI-- 4.2.2 Implementación y operación del SGSI-- 4.2.3 Supervisión y revisión del SGSI-- 4.2.4 Mantenimiento y mejora del SGSI-4.3 – Documentación y Registros5 Responsabilidad de la Dirección Sentencia de Aplicabilidad-5.1 – Compromiso de la Gerencia (SoA) 4.2.1.j-5.2 – Gestión de los Recursos6 – Auditorias Internas del SGSI7 – Revisión por la Gerencia8 – Mejora del SGSI-8.1 – Mejora Continua-8.2 – Acción Correctiva-8.3 – Acción PreventivaSelección como resultado de la Evaluación de Riesgo:Anexo A – Controles
  30. 30. Metodología pDca• DO – Implementación y Operación de un ISMS – Se refiere a la etapa de puesta en marcha del sistema de gestión, donde se implanta y habilitan las condiciones tecnológicas y organizacionales para operar un ISMS – Considera, entre otros, la implantación de políticas de seguridad, controles, procesos y procedimientos
  31. 31. Metodología pdCa• CHECK – Monitoreo y revisión de un ISMS – Donde se realiza la medición y análisis de la efectividad de los controles implantados, de acuerdo a revisiones de gerencia y auditoría – Considera los procesos ejecutados con relación a la política del ISMS, evaluar objetivos, experiencias e informar los resultados a la administración para su revisión
  32. 32. Metodología pdcA• ACT – Mantención y mejora de un ISMS. – Referido específicamente al tratamiento de acciones correctivas y preventivas, basados en las auditorías internas y revisiones del ISMS o cualquier otra información relevante, para permitir la mejora continua del ISMS
  33. 33. ROADMAP Evaluación GAPImplementación Certificación
  34. 34. RoadMap: Paso 1 - Evaluación GAP • El principal objetivo de la consultoría que permita medir el estado actual de implementación de controles de Seguridad de la Información, existentes , respecto de la definición de controles que posee la norma internacional ISO/IEC 27002:2005, identificando las principales fortalezas y debilidades respecto de los controles definidos en dicha norma. • Identificar la brecha existente entre el modelo de referencia y la situación actual. • Genera Plan de Mitigación o Plan de Seguridad
  35. 35. RoadMap: Paso 2 - Implementación • Habilitación de un ISMS, implementando un Plan de Seguridad acordado • Definición y descripción de los ámbitos de cobertura y alcance del proyecto y del ISMS. • Definir un comité estratégico y equipos de trabajo, roles y responsabilidades • Formalización de las actividades así como los mecanismos para la presentación de avances y control de cambios. • Habilitación de la infraestructura de soporte al proyecto y gestión documental. • Generación de estructuras organizacionales y cuerpo normativo de seguridad • Habilitación de las plataformas tecnológicas necesarias. • Generación de los registros necesarios para las revisiones de cumplimiento.
  36. 36. RoadMap: Paso 3 - Certificación Cuestionario de Pre-Aplicación Alcanzar la Evaluación/verificación/propuesta certificación ISO 27001 otorgada por Aplicación algún organismo Pre-auditoria opcional acreditado. Auditoria Etapa 1 Evaluación/ Tratamiento del Riesgo Declaración de Aplicabilidad Auditoria Etapa 2 Revisión detallada de la implantación y eficacia Certificación Evaluación Continua Ciclo de 3 años Normalmente 2 visitas por año Revisión estratégica / Re-certificación
  37. 37. ETAPAS DE UN PROYECTO ROADMAPEtapa 1: Evaluación GAP ISO 27002: permite identificarbrecha respecto a un marco de referencia Etapa 2: Considera el Establecimiento del ISMS, asociado a la Fase Plan del PDCA. Etapa 3: Considera la implementación de la estructura organizacional y la definición de los procedimientos necesarios para la gestión ISMS, así como la implementación de controles esenciales ISO 27002. Etapa 4: Entrega seguimiento a la implementación de los restantes controles de mitigación según la evaluación de riesgos realizada en Etapa 1 y plasmada en un Plan de Seguridad. Etapa 5: Considera la etapa de supervisión y soporte para el proceso de postulación y supervisión para alcanzar la certificación ISMS por una entidad certificadora.
  38. 38. Gracias.Ministerio Secretaría General de la Presidencia Unidad de Modernización y Gobierno Electrónico @modernizacioncl

×