Facultad de Ingeniería Industrial y de Sistemas
SEGURIDAD DE LA INFORMACION Norma ISO 27001 Ysabel Rojas Solís
Agenda Introduccion Sistema
de Gestion de Seguridad de la Informaci Informacion on Intro Introduction duction to ISO 27001-2:2005 T Tareas areas a Realizar Realizar E!eriencia Euro!ea de Eito "onclusiones
Agenda Introduccion Sistema
de Gestion de Seguridad de la Informaci Informacion on Intro Introduction duction to ISO 27001-2:2005 T Tareas areas a Realizar Realizar E!eriencia Euro!ea de Eito "onclusiones
#or$u% &a'lar de la Seguridad de la Informaci(n)
•
Porque el negocio se sustenta a partir de la inor!aci"n que !ane#a$$$$$
*a informaci(n !uede estar : • • • • •
I!preso o escrito en papel$ Al!acenado electr"nica!ente$ En%iado por correo ordinario o por e&!ail$ 'ideos corporati%os$ 'er(al & en con%ersaciones
“……cualquier tipo de inormaci!n" o si#niicado que se encuentre medido o almacenado" deber$ encontrarse siempre prote#ido%& –
'ISO(I)* 27001+ 200,-
*a informacion !uede ser : "reada Guardada +estruida #rocesada Transmitida ,sada
.#ara !ro!ositos correctos / im!ro!ios
"orrom!ida #erdida Ro'ada
+ominios de la Inor!aci"n La inor!aci"n de(e cu!plir - principios
•
)aga clic para !odiicar el estilo de te*to del –
Segundo ni%el
–
+ercer ni%el •
Cuarto ni%el – ,uinto ni%el
Porqu0 1a(lar de la Seguridad de la Inor!aci"n2 •
Porque no s"lo es un te!a +ecnol"gico$
•
Porque se requiere de Pol.ticas de Seguridad de la Inor!aci"n or!al!ente aceptadas / conocidas por todos $
Porqu0 1a(lar de la Seguridad de la Inor!aci"n2 •
Porque la seguridad tiene un costo3 4pero la INSEGURIDAD es !uc1o !as costosa
5Ninguna !edicina es 6til a !enos que el paciente la to!e7 8 Entonces3 por donde e!pe9ar2$$$$$$$$
Pro(le!a : Necesidad
Pro(le!a : Necesidad
Pro(le!a : Necesidad
Pro(le!a : Necesidad
Pro(le!a : Necesidad
"OO S,#ERR ESTOS #RO3*ES)
Soluci"n
,ue es la Seguridad de la Inor!aci"n •
)aga clic para !odiicar el estilo de te*to del –
Segundo ni%el
–
+ercer ni%el •
Cuarto ni%el – ,uinto ni%el
Seguridad de la Inor!aci"n
Seguridad de la Inor!aci"n
Seguridad de la Inor!aci;n
La seguridad no es algo que se compra es algo que se hace….
Seguridad de inor!acion
La arquitectura donde se integran / co!(inan aplicaciones3 siste!as / soluciones3 sot
* ?
E*ige tener gente3 Procesos3 +ecnologia3 politicas3 procedi!ientos3
La seguridad es integral @PP+ / no solo para dispositi%os / equipos
O r g a n i a ! i o n S ! a " "
PEOPLE
PROCESSES
TECHNOLOGY
P # u r o s i c e n e s s s e s s
T % e c $ h O n o r g l a o n g $ i s a u s e ! i o d n
Acti%o de Inor!acion •
)aga clic para !odiicar el estilo de te*to del –
Segundo ni%el
–
+ercer ni%el •
Cuarto ni%el – ,uinto ni%el
,ue es una A!ena9a •
)aga clic para !odiicar el estilo de te*to del –
Segundo ni%el
–
+ercer ni%el •
Cuarto ni%el – ,uinto ni%el
,ue es una A!ena9a
,ue es una 'ulnera(ilidad •
)aga clic para !odiicar el estilo de te*to del –
Segundo ni%el
–
+ercer ni%el •
Cuarto ni%el – ,uinto ni%el
Reconocer las 'ulnera(ilidades •
•
'ulnera(ilidadB 5 una de(ilidad que acilita la !ateriali9aci"n de una a!ena9a7 E#e!plosB –
Ine*istencia de procedi!ientos de tra(a#o – Concentraci"n de unciones en una sola persona – Inraestructura insuiciente
Clasiicaci"n de 'ulnera(ilidades )aga clic para !odiicar el estilo de te*to del patr –
Segundo ni%el
–
+ercer ni%el •
Cuarto ni%el – ,uinto ni%el
,ue es un I!pacto •
)aga clic para !odiicar el estilo de te*to del –
Segundo ni%el
–
+ercer ni%el •
Cuarto ni%el – ,uinto ni%el
,ue es Riesgo •
)aga clic para !odiicar el estilo de te*to del –
Segundo ni%el
–
+ercer ni%el •
Cuarto ni%el – ,uinto ni%el
Matri9 de Riesgo •
)aga clic para !odiicar el estilo de te*to del –
Segundo ni%el
–
+ercer ni%el •
Cuarto ni%el – ,uinto ni%el
La Gestion del Riesgo
La Gesti"n del Riesgo
Siste!a de Gesti"n de Seguridad de Inor!acion SGSI
Siste!a de Gesti"n de Seguridad de Inor!acion SGSI
Siste!a de Gesti"n de Seguridad de Inor!acion SGSI
O(#eti%os Generales del SGI
SGSI Requeri!ientos Generales
Requeri!ientos de docu!entacion General
I!plantaci"n SGSI
Siste!a de gesti"n de seguridad de la inor!aci"n •
)aga clic para !odiicar el estilo de te*to del p –
Segundo ni%el
–
+ercer ni%el •
Cuarto ni%el – ,uinto ni%el
Alcance del SGI
)aga clic para !odiicar el estilo de te*to del patr –
Segundo ni%el
–
+ercer ni%el •
Cuarto ni%el – ,uinto ni%el
#or $u% Im!lementar un SGSI)
Los procesos y servicios de la Institución
que soporta los Confidencialidad
Integridad
Seguridad vela por de la Información
Disponibilidad
I!ple!entaci"n del SGSI
)aga clic para !odiicar el estilo de te*to del patr –
Segundo ni%el
–
+ercer ni%el •
Cuarto ni%el – ,uinto ni%el
Etapas del SGSI )aga clic para !odiicar el estilo de te*to del patr –
Segundo ni%el
–
+ercer ni%el •
Cuarto ni%el – ,uinto ni%el
eneicios del SGI 1% 2% % %
. ni/el or#aniati/o Co!pro!iso )n el plano jurídico Cu!pli!iento . ni/el operati/o & Gesti"n del riesgo )n el plano comercial & Credi(ilidad / conian9a ,% . ni/el inanciero & Reducci"n de costes 3% . ni/el 4umano & Me#ora de la concienciaci"n de los e!pleados
Por el contrario las (rec1as de seguridad lle%an a B
Reputaci"n p0rdida Perdida inancieros P0rdida de propiedad intelectual Las inracciones legislati%as que condu9can a acciones legales @C/(er La< La p0rdida de la conian9a de los clientes Costos de interrupci"n de negocios
Perdida de #uena &olun!ad
)istoria de la Nor!a ISO =? )aga clic para !odiicar el estilo de te*to del patr –
Segundo ni%el
–
+ercer ni%el •
Cuarto ni%el – ,uinto ni%el
O(#eti%os de ISO =? • • • • •
Pol.ticas de Seguridad Organi9aci"n de Seguridad Gesti"n de Acti%os Seguridad de los Recursos )u!anos Cu!pli!iento de Pol.ticas / Nor!ati%idad Legal
Integridad
Inor!aci"n
conidencialidad
Disponi(ilidad
La ISO =?
Contenido de la ISO =?
ISO =? B Estructura
ISO =? B Estructura
Ciclo P)'A o PDCA
eneicios de la Nor!a ISO =? $
Esta(leci!iento de una !etodolog.a de gesti"n de la seguridad de la inor!aci"n clara / (ien estructurada$ =$ Reducci"n de riesgos de p0rdida3 ro(o o corrupci"n de la inor!aci"n$ Los usuarios tienen acceso a la inor!aci"n de !anera segura3 lo que se traduce en conian9a$ -$ Los riesgos / sus respecti%os controles son re%isados constante!ente$ >$ Las auditorias e*ternas e internas per!iten identiicar posi(les de(ilidades del siste!a$ H$ Continuidad en las operaciones del negocio tras incidentes de gra%edad$ $ Garanti9ar el cu!pli!iento de las le/es / regulaciones esta(lecidas en !ateria de gesti"n de inor!aci"n$ ?$ Incre!enta el ni%el de concienti9aci"n del personal con respecto a los t"picos de seguridad inor!Jtica$
ISO =?=
ISO =?=B Estructura
ISO =?= B Estructura
+areas a reali9ar
+areas a reali9ar
+areas a reali9ar
Etapa: Certificar en ISO/IEC 2!!"
•
•
•
•
•
•
Sistemas Inform#ticos Infraestructura Servidores Comunicaciones $plicaciones %ases de Datos
Las )erra!ientas / los ser%icios E*periencia Europea •
Les guides – –
•
Le logiciel li(re – –
•
Lense!(le du r00rentiel est disponi(le gratuite!ent en ranais3 en anglais3 en alle!and et en espagnol
Les co!p0tences – – –
•
Gratuit3 disponi(le sur de!ande ou en t0l0c1arge!ent Plus de = c0d0ro!s en%o/0s dans H pa/s
Les traductions –
•
La !0t1ode et ses (ases de connaissances @H sections3 ses !eilleures pratiques e*pliquant co!!ent utiliser EIOS selon le conte*te Des plaquettes et un !0!ento s/nt10tiques
Les or!ations au CFSSI pour les agents de lad!inistration @or!ation de = #ours3 or!ation de or!ateurs de H #ours3 or!ations ad&1oc La or!ation en ligne sur la gestion des risques @en cours La la(ellisation de personnes @en cours d0la(oration
Le Clu( EIOS –
?H e*perts du secteur pu(lic et du secteur pri%03 ranais et 0trangers
Co!pati(ilidad con otros Siste!as de Gestion
Conclusiones • • • • • • •
La Inor!aci"n es uno de los acti%os !as %aliosos de la organi9aci"n Las Pol.ticas de seguridad per!iten dis!inuir los riesgos Las pol.ticas de seguridad no a(ordan s"lo aspectos tecnol"gicos El co!pro!iso e in%olucra!iento de todos es la pre!isa (Jsica para que sea real$ La seguridad es una in%ersi"n / no un gasto$ No e*iste nada seguro E*ige e%aluaci"n per!anente$
Conclusiones
Seguridad de la Inor!aci"n es pro(le!a de organi9aci"n en lugar de pro(le!a MJs del ? de las a!ena9as son internas MJs de son culpa(les los estaadores por Pri!era 'e9 El !a/or riesgoB personas Principal acti%oB las personas Ingenier.a Social es una gran a!ena9a MJs de =:- e*presa su incapacidad para deter!inar si !is siste!as estJn actual!ente en peligro2
"RE=+O "O="IE="I •
La inor!aci"n de las co!paQ.as de(en !antener la conia(ilidad3 integridad / disponi(ilidad de la !is!a3 que son actores i!portantes para asegurar el 0*ito del negocio / asegurar que las necesidades de sus clientes / socios sean cu!plidas a satisacci"n$
• •
+anto la i!ple!entaci"n co!o el cu!pli!iento de las nor!as es el tra(a#o de cada e!pleado de la e!presa / serJn eecti%as3 si todas las personas in%olucradas se encuentran instruidas en te!as relacionados con Seguridad de la Inor!aci"n / utili9an este conoci!iento para actuar con seguridad / siendo responsa(les / consistentes con sus acciones$
'suarios con conocimen!o especialiado (T S$s!ems
Sis!emas , Redes con "alla
Ro%o) Sa%o!age) mal uso
-al!a de ocumen!acion
*!aque de +irus
Calamidades Na!urales, -uego
Lapso en seguridad -isica 71
•
La cla%e es encontrar el #usto equili(rio de acuerdo al giro de cada negocio que per!ita !antener controlado el RIESGO$
PC* Process SGS(
Interested 5arties
S:SI 5RO*)SS
Interested 5arties
=ana#ement Responsibilit6
59.N )stablis4 S:SI
@O
.*?
Implement Operate t4e S:SI
Inormation Securit6 Requirements )8pectations
=aintain Impro/e
*;)*< =onitor
Re/ie> S:SI
=ana#ed Inormation Securit6
/uien es el cen!ro 01
SEC '
R(TY '2R
CUL+URA de la seguridad 3 responsa(ilidad de +ODOS
AC+I+UD proacti%a3 In%estigaci"n per!anente
)sueros inte#rados del personal es siempre mejor que un Aire>all
. . . e%emos cons!ruir un 3uro humano 4un!o con el "ire5all
