Implantación de un Sistema de Gestión de Seguridad de la Información. Una visión práctica.

1,320 views

Published on

Presentación que ofrece una visión a alto nivel de las pautas principales para la implantación de un Sistema de Gestión de Seguridad de la Información.

Published in: Business
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,320
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
99
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Implantación de un Sistema de Gestión de Seguridad de la Información. Una visión práctica.

  1. 1. Implantación de un Sistema de Gestión de Seguridad de la Información Una visión práctica
  2. 2. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Introducción: Información • Conjunto organizado de datos, que constituyen un mensaje sobre un determinado ente o fenómeno • La información es un recurso que, como otros aspectos importantes del negocio, tiene valor para la Organización y requiere en consecuencia una protección adecuada
  3. 3. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Introducción: Información • La Información es cada vez más esencial en los procesos de negocio para: – Gestionar efectivamente las operaciones de la empresa – Gestionar adecuadamente los recursos internos y externos – Obtener y mantener clientes y cuota de mercado – Gestionar y mantener el conocimiento – Conseguir o mantener una imagen de marca o empresa – La supervivencia del negocio
  4. 4. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
  5. 5. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Introducción: Activos • Activo de información – Cualquier cosa que tenga valor para una organización – Aquellos activos de una organización que contienen, procesan, almacenan o transmiten información – Información de diferentes tipos con los que una organización desarrolla su actividad y que suelen ser vitales para el desarrollo modelo de negocio de la organización
  6. 6. Introducción: Activos Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
  7. 7. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Introducción: Información Confidencialidad Disponibilidad Integridad La información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados Salvaguardar la exactitud y completitud de la información y de sus métodos de procesamiento Los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados
  8. 8. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Introducción: Seguridad de la Información La seguridad de la información se gestiona implantando un conjunto adecuado de controles, que pueden ser políticas, prácticas, procedimientos, estructuras organizativas y funciones software ISO 27001 Especificaciones para los SGSI ISO 27002 Código de Buenas Prácticas
  9. 9. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
  10. 10. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica ¡¡Se debe gestionar la seguridad, no aparentarla!!
  11. 11. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Introducción: Gestión de la Seguridad de la Información Crear / Planificar el SGSI Mantener y mejorar el SGSI Requisitos y expectativas De la seguridad De la información Seguridad de la información gestionada Planificar Hacer Verificar Actuar Implementar y operar el SGSI Supervisar y revisar el SGSI
  12. 12. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear / Planificar el SGSI Requisitos y expectativas De la seguridad De la información Seguridad de la información gestionada Planificar Hacer Verificar Actuar
  13. 13. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI Identificación de activos
  14. 14. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Activo Confidenc. Disp. Integridad Propietario Administrador Descripción Disponibilidad: • No Aplicable • Más de una semana • Hasta una semana • Hasta tres días • Menos de 1 día Integridad: • No Aplicable • Proceso podría finalizarse • Finalización con errores graves • No finalización del proceso Confidencialidad: • No Aplicable • Uso público • Reservado • Confidencial Crear / Planificar el SGSI: Identificación de activos
  15. 15. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI Identificación de activos
  16. 16. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI Identificación de activos Análisis riesgos seguridad
  17. 17. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI: Análisis de riesgos Identificación de amenazas • Desastres naturales • Errores y fallos no intencionados• Ataques deliberados • Desastres de origen industrial Fuego Agua Terremotos …
  18. 18. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI: Análisis de riesgos Identificación de amenazas Identificación vulnerabilidades Auditorías Indicadores Incidencias y eventos Pruebas de intrusión Sistemas de monitorización
  19. 19. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI: Análisis de riesgos Identificación de amenazas Identificación vulnerabilidades Valorar probabilidad ocurrencia Valorar impacto Calcular nivel de riesgos • Alta • Media • Baja • Alto • Medio • Bajo
  20. 20. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI: Análisis de riesgos Identificación de amenazas Identificación vulnerabilidades Valorar probabilidad ocurrencia Valorar impacto Calcular nivel de riesgos Definir estrategia Valorar probabilidad ocurrencia Valorar impacto Calcular riesgo residual • Alta • Media • Baja • Alto • Medio • Bajo • Limitar el riesgo: implantar controles • Evitar el riesgo: eliminar la causa • Transferir el riesgo • Aceptar el riesgo
  21. 21. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI Identificación de activos Análisis riesgos seguridad Selección controles
  22. 22. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI: Controles Política de Seguridad • Marco para la fijación de objetivos • Directrices generales • Alineada con estrategia empresarial •Revisión periódica
  23. 23. Crear el SGSI: Controles Política de Seguridad
  24. 24. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI: Controles Política de Seguridad Aspectos organizativos de la seguridad de la información • Terceros – Identificación de riesgos derivados de accesos de terceros – Tratamiento de la seguridad en la relación con los clientes – Tratamiento de seguridad en contratos con terceros • Organización interna – Comité de Seguridad – Coordinación – Responsabilidades – Acuerdos de confidencialidad – Contacto con las autoridades – Contacto con grupos de especial interés – Revisión independiente de la seguridad de la información
  25. 25. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI: Controles Política de Seguridad Aspectos organizativos de la seguridad de la información Gestión de activos • Responsabilidades sobre los activos: – Inventario de activos – Propiedad de los activos – Uso aceptable de los activos • Clasificación de la información: – Directrices de clasificación – Etiquetado y manipulado de la información
  26. 26. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI: Controles Política de Seguridad Aspectos organizativos de la seguridad de la información Gestión de activos Seguridad ligada a los RRHH • Antes de la contratación – Funciones y responsabilidades – Investigación de antecedentes – Términos y condiciones de contratación • Durante el empleo – Responsabilidades – Concienciación, formación y entrenamiento sobre la Seguridad de la Información – Proceso disciplinario • Finalización o cambio de empleo – Responsabilidad del cese o cambio – Devolución de activos – Retirada de los derechos de acceso
  27. 27. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI: Controles Política de Seguridad Aspectos organizativos de la seguridad de la información Gestión de activos Seguridad ligada a los RRHH Seguridad física y del entorno
  28. 28. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Controles: Seguridad física y del entorno • Áreas seguras – Perímetro de seguridad física – Controles físicos de entrada – Seguridad de las oficinas, despachos e instalaciones – Protección contra amenazas externas y de origen ambiental – Trabajo en áreas seguras – Áreas de acceso público, de carga y de descarga • Seguridad de los equipos – Emplazamiento y protección de los equipos – Suministros – Seguridad del cableado – Mantenimiento de los equipos – Seguridad de los equipos fuera de las instalaciones – Reutilización o retirada segura de los equipos
  29. 29. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI: Controles Política de Seguridad Aspectos organizativos de la seguridad de la información Gestión de activos Seguridad ligada a los RRHH Seguridad física y del entorno Gestión de las comunicaciones y operaciones
  30. 30. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Controles: Gestión de las comunicaciones y operaciones • Planificación y aceptación del sistema • Protección frente a código malicioso y código móvil • Copias de seguridad • Gestión de la seguridad de la red • Gestión de soportes • Intercambio de información • Servicios de comercio electrónico • Seguimiento • Procedimientos operativos y responsabilidades • Gestión de los servicios suministrados por terceros • Planificación y aceptación del sistema – Gestión de capacidades – Aceptación del sistema • Protección frente a código malicioso y código móvil – Controles contra código malicioso – Controles contra el código descargado en el cliente • Copias de seguridad
  31. 31. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI: Controles Política de Seguridad Aspectos organizativos de la seguridad de la información Gestión de activos Seguridad ligada a los RRHH Seguridad física y del entorno Gestión de las comunicaciones y operaciones Control de Accesos
  32. 32. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Controles: Control de Acceso • Política de control de acceso • Gestión de accesos de los usuarios – Usuarios – Privilegios – Contraseñas de usuarios • Responsabilidades del usuario – Uso de contraseñas – Equipo de usuario desatendido – Política de puesto de trabajo despejado y pantalla limpia • Control de acceso a la red – Política de uso de los servicios de red – Autenticación de usuarios para conexiones externas – Identificación de los equipos en las redes – Segregación de las redes – Control de la conexión a la red – Control de direccionamiento de redes
  33. 33. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Controles: Control de Acceso • Control de acceso a los sistemas en operación – Procedimientos seguros de inicio de sesión – Identificación y autenticación de usuario – Sistemas de gestión de contraseñas – Uso de recursos del sistema – Desconexión automática de sesión – Limitación en el tiempo de conexión • Control de acceso a las aplicaciones y la información – Restricción del acceso a la información – Aislamiento de sistemas sensibles • Informática móvil y Teletrabajo – Ordenadores portátiles y comunicaciones móviles – Teletrabajo
  34. 34. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI: Controles Política de Seguridad Aspectos organizativos de la seguridad de la información Gestión de activos Seguridad ligada a los RRHH Seguridad física y del entorno Gestión de las comunicaciones y operaciones Control de Accesos Adquisición, desarrollo y mantenimiento de los SSII
  35. 35. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Controles: Adquisición, desarrollo y mantenimiento de los sistemas de información • Requisitos de seguridad de los sistemas de información • Procesamiento correcto en las aplicaciones – Validación de datos de entrada – Control del procesamiento interno – Integridad de los mensajes – Validación de los datos de salida • Controles criptográficos • Seguridad de los archivos de sistema – Control del software en explotación – Protección de los datos de prueba del sistema – Control de acceso al código fuente de los programas
  36. 36. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Controles: Adquisición, desarrollo y mantenimiento de los sistemas de información • Seguridad en el desarrollo y procesos de asistencia técnica – Procedimientos de control de cambios – Revisión técnica de las aplicaciones después de realizar cambios en el sistema operativo – Restricciones a los cambios en los paquetes de software – Fuga de información – Externalización del desarrollo de software • Gestión de las vulnerabilidades técnicas
  37. 37. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI: Controles Política de Seguridad Aspectos organizativos de la seguridad de la información Gestión de activos Seguridad ligada a los RRHH Seguridad física y del entorno Gestión de las comunicaciones y operaciones Control de Accesos Adquisición, desarrollo y mantenimiento de los SSII Gestión de incidencias de seguridad
  38. 38. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Controles: Gestión de incidencias de seguridad • Informar de las incidencias de seguridad y las debilidades – Notificación de los eventos de seguridad de la información – Notificación de los puntos débiles de la seguridad • Gestión de los incidentes de la seguridad de la información y mejoras – Responsabilidades y procedimientos – Aprendizaje de los incidentes de seguridad de la información. – Recopilación de evidencias
  39. 39. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI: Controles Política de Seguridad Aspectos organizativos de la seguridad de la información Gestión de activos Seguridad ligada a los RRHH Seguridad física y del entorno Gestión de las comunicaciones y operaciones Control de Accesos Adquisición, desarrollo y mantenimiento de los SSII Gestión de incidencias de seguridad Gestión de la continuidad del negocio
  40. 40. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Controles: Gestión de la continuidad del negocio • Aspectos de la seguridad de la información de la gestión de la continuidad del negocio – Continuidad del negocio y evaluación de riesgos – Desarrollo e implantación de planes de continuidad incluyendo en ellos la seguridad de la información – Marco de referencia para la planificación de la continuidad de negocio – Pruebas, mantenimiento y re-evaluación de los planes de continuidad
  41. 41. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI: Controles Política de Seguridad Aspectos organizativos de la seguridad de la información Gestión de activos Seguridad ligada a los RRHH Seguridad física y del entorno Gestión de las comunicaciones y operaciones Control de Accesos Adquisición, desarrollo y mantenimiento de los SSII Gestión de incidencias de seguridad Gestión de la continuidad del negocio Cumplimiento legal
  42. 42. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Controles: Cumplimiento • Conformidad con los requisitos – Identificación de la legislación aplicable – Derechos de propiedad intelectual – Protección de los documentos de la organización – Protección de datos y privacidad de la información personal – Prevención del uso indebido de los recursos de tratamiento de la información – Regulación de los controles criptográficos • Conformidad con las políticas de seguridad y los estándares y conformidad técnica – Cumplimiento de las políticas y normas de seguridad – Chequeo de cumplimiento técnico • Consideraciones de auditoría de los sistemas de información – Controles de auditoría de los sistemas de información – Protección de las herramientas de auditoría de sistemas de información
  43. 43. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI: Controles Política de Seguridad Aspectos organizativos de la seguridad de la información Gestión de activos Seguridad ligada a los RRHH Seguridad física y del entorno Gestión de las comunicaciones y operaciones Control de Accesos Adquisición, desarrollo y mantenimiento de los SSII Gestión de incidencias de seguridad Gestión de la continuidad del negocio Cumplimiento legal
  44. 44. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI Identificación de activos Análisis riesgos seguridad Selección controles
  45. 45. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI Identificación de activos Análisis riesgos seguridad Selección controles Plan de Segu Plan de Tratam de Riesgo
  46. 46. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI Identificación de activos Análisis riesgos seguridad Selección controles Plan de Seguridad Plan de Tratamiento de Riesgos
  47. 47. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI: Definir procesos, procedimientos e indicadores • Procesos y procedimientos – Gestión de Incidencias – Gestión de No Conformidades – Auditorías – Revisión de Indicadores – Control de Accesos – Administración de usuarios – Contratación de personas – Baja laboral – Seguridad Física – Seguridad Lógica – … • Indicadores: – Número de NC Seguridad – Número de incidencias – % de Incidencias – Tiempo de respuesta – Tiempo de resolución – % Éxito backups – …
  48. 48. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI Requisitos y expectativas De la seguridad De la información Seguridad de la información gestionada Planificar Hacer Verificar Actuar Implementar y operar el SGSI
  49. 49. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Implementar y operar el SGSI Plan de tratamiento de riesgos Implantar controles Gestionar el sistema Implantar Procesos y procedimientos • Gestión de Incidencias • Gestión de No Conformidades • Auditorías • Revisión de Indicadores • Control de Accesos • Administración de usuarios • Contratación de personas • Baja laboral • Seguridad Física • Seguridad Lógica • …
  50. 50. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Implementar y operar el SGSI Formación y concienciación El usuario siempre es el eslabón más débil en una cadena de seguridad informática, por lo tanto siempre es el primero que es atacado
  51. 51. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI Requisitos y expectativas De la seguridad De la información Seguridad de la información gestionada Planificar Hacer Verificar Actuar Implementar y operar el SGSI Supervisar y revisar el SGSI
  52. 52. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Supervisar y revisar el SGSI Supervisión y revisión Auditorías • Plan de seguridad • Controles • Indicadores • Problemas • No Conformidades • Incidencias • Eventos • Riesgos • …
  53. 53. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear / Planificar el SGSI Mantener y mejorar el SGSI Requisitos y expectativas De la seguridad De la información Seguridad de la información gestionada Planificar Hacer Verificar Actuar Implementar y operar el SGSI Supervisar y revisar el SGSI
  54. 54. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Mantener y mejorar el SGSI Identificar mejoras Aplicar medidas Correctivas y preventivas
  55. 55. Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica Crear el SGSI Mantener y mejorar el SGSI Requisitos y expectativas De la seguridad De la información Seguridad de la información gestionada Planificar Hacer Verificar Actuar Implementar y operar el SGSI Supervisar y revisar el SGSI
  56. 56. Tomeu Fluxà Cabrer tfluxa@brujula.es tfluxa@gmail.com http://es.linkedin.com/in/tfluxa

×