Segu Seguri rida dad d Digita Digitall (Norma (Normass Peruan ruanas as)) Mas allá de la Seguridad Digital…. SEGURIDAD DE LAINFORMACIÓN
Agenda • La no norm rma a ISO 27001, Cont Controles roles y Política Política de
seguridad
Gesti Ge stión ón de la Segu Seguririda dadd de la Información La Nor Norma ma ISO 27001
¿... ¿... Y en el Perú?
COMISIÓN DE R EGLAMENTOS EGLAMENTOS TÉCNICOS Y COMERCIALES
COMITÉTÉCNICO DENORMALIZACIÓN DECODIF CODIFIC ICACI ACIÓN ÓN E INTERCAMBIOELECTRÓNICO DE DATOS
¿... Y en el Perú?
Implementan Implemen tando do la No Norm rmaa NTP IIS SO/IEC27 EC2700 001: 1:20 2014 14 Conceptos
Estableciendo una política de se segu guririda dad d
Asignando recursos y concientizando
Siem Siempr pre, e, to todo do ser será perfecti perfectible ble
NTP27001:2014 (14 Do Domi mini nios os,, 35 Ob Obje jeti tivo voss de co cont ntro roll, 114 Co Cont ntro role les) s) Seguridad organizativa Seguridad lógica Seguridad física Seguridad legal
5 Política deSeguridad
6
Organización Organización dela del a seguridad dela información
15 Relacionamientocon Relacionamiento con proveedores
8
9
Gestión Gestión de deactiv activos os
Control deacceso
18 Cumplimiento
11
7
Seguridad Seguridad física yydel del medioambie medio ambiente nte
16
Gestión Gestión deincidentes de Seguridad Seguridad dela de la Información
17 Gestión Gestión dela de la continuidaddel continuidad del negocio
Seguridad Seguridad ligada alos a los Recursos RecursosHumanos Humanos
12 Seguridad Seguridad enlas en las operaciones
10
13 Criptografía
Seguridad Seguridad enlas en las comunicaciones
14
Adquisición, sición, desarrollo y mantenimientode sistemas
Política de seguridad seguridad de la in info form rmac ació ión n 1)Proporcionar dirección y apoyo de la gerencia para la 1)Proporcionar seguridad de la información en concordancia con los requisitos del negocio y las leyes y regulaciones relevantes.
2 Controles
Aspectos organizativos de la seguri seg uridad dad de la información 1)Establecer un marco de referencia de gestión para
iniciar y controlar iniciar controlar la implem implementa entación ción y operació operación n de la seguridad de la información dentro de la organización. 2) Asegu Asegurar rar la segurid seguridad ad del teletrab teletrabajo ajo y el uso de los
disp di spos osit itiv ivos os mó móvi vile les. s.
7 Controles
Seguridad Seguridad ligada a los recu recurso rsoss hum humano anoss entienden 1)Asegurar que los empleados y contratistas entienden sus responsabilidades y son convenientes para los roles rol es para para los los que se les les con consid sidera era. . 2)Asegurar que los empleados y contratistas sean
conscientes y cumpla conscientes cumplan n con sus respon responsabil sabilidad idades es de seguri seg uridad dad de la inf inform ormaci ación. ón. 3)Proteger los intereses de la organización como parte
del proceso proceso de cambio cambio o terminac terminación ión de de empleo empleo. .
6 Controles
Gest Ge stió ión n de act activos ivos 1)Identificar los activos de la organización y definir
responsabi respo nsabilidad lidades es de de protecc protección ión apro apropiad piadas. as. 2)Asegurar que la información recibe un nivel apropiado
de protección en concordancia con su importancia para la or orga gani niza zaci ción ón. . modificación, remoción o 3)Prevenir la divulgación, modificación, destrucción no autorizada de información almacenada almacenada en medios.
1 0 Controles
Control Control de accesos Limitar r el acceso a la inform información ación y a las instal instalacio aciones nes de 1)Limita proce pro cesam samie iento nto de la la inf inform ormaci ación. ón. Asegurar ar el acceso acceso de usuarios usuarios autoriza autorizados dos y prevenir prevenir el 2)Asegur acceso no autoriz autorizado ado a los los sistemas sistemas y serv servicio icios. s. los usuarios usuarios respondan respondan por la salvagu salvaguarda arda de de su 3)Hacer que los infor inf ormac mació ión n de aut autent entifi ificac cación ión. . Prevenir ir el acceso acceso no autoriza autorizado do a los los sistemas sistemas y 4)Preven aplicaciones.
1 3 Controles
Cifrado 1)Asegurar el uso apropiado y efectivo de la criptografía para proteger la confidencialid confidencialidad, ad, autenticid auten ticidad ad y/o inte integrid gridad ad de la la infor informació mación. n.
2 Controles
Segu Seguririda dad d físi física ca y ambiental ambiental 1)Impedir acceso físico no autorizado, daño e
interferencia a la información y a las instalaciones de procesamiento de la información de la organización. 2)Prevenir la pérdida, daño, robo o compromiso de
activos e interrupción de las operaciones de la organización.
1 5 Controles
Segu Segurid ridad ad de la lass operaciones operaciones 1)Asegurar que las operaciones de instalaciones de procesam proc esamient iento o de la informaci información ón sean sean correctas correctas y segu seguras. ras. 2) Asegurar que la información y las instalaciones instalaciones de procesamiento de la información estén protegidas contra códi có digo gos s ma mali lici cios osos os 3)Protege 3)Prot eger r contra contra la la pérdi pérdida da de dat datos os 4)Regi 4)Re gist stro ros s y mo moni nito tore reo o 5)Asegurar 5)Asegura r la integr integridad idad de los los sistemas sistemas oper operacio acional nales es
6)Prevenir 6)Preveni r la explotac explotación ión de vulne vulnerab rabilid ilidades ades técn técnicas icas 7)Consideraciones 7)Consideraci ones para la audit auditoría oría de los los sistema sistemas s de información
1 4 Controles
Seguridad en las telecomunicaciones 1)Asegurar la protección de la información en las redes
y sus instalaciones de procesamiento de la info in form rmac ació ión n de de ap apoy oyo. o. transferida 2)Mantener la seguridad de la información transferida dentro de una organización y con cualquier entidad externa.
7 Controles
Adquis Adquisici ición, ón, desa desarroll rrolloo y mantenimiento de los los SI 1)Garantizar que la seguridad de la información es una
parte integral de los sistemas de información a través del ciclo de vida completo. Esto también incluye los requisitos para sistemas de información que proporcio proporcionen nen servicios servicios sobre sobre redes redes públ públicas icas. . 2)Garantizar que la seguridad de la información esté
diseñada e implement diseñada implementada ada dentro dentro del del ciclo de de vida de desarrollo desar rollo de los los sistemas sistemas de info informac rmación. ión. 3)Asegur Asegurar ar la protecc protección ión de datos datos utiliz utilizados ados para para las
pruebas.
1 3 Controles
Rela Re laci cion ones es con proveedores Asegurar ar protección protección a los los activos activos de la organ organizació ización n 1)Asegur que son acces accesibles ibles por los prove proveedore edores. s. 2)Manten Mantener er un nivel nivel de segurida seguridad d de la informac información ión y
entrega de servicios acordado en línea con los acuerdo acue rdos s con pro provee veedor dores. es.
5 Controles
Gestión de incidentes en la seguri seg uridad dad de la información 1)Asegurar un enfoque consistente y efectivo a la gestión gestió n de incident incidentes es de segurida seguridad d de la infor información mación, , incluyendo la comunicación sobre eventos de seguridad y de deb bil ilid ida ade des. s.
7 Controles
Gestión de la continuida d del del ne nego goci cioo 1)La continuidad de seguridad de la información debe
estar embebida en los sistemas de gestión de continuida conti nuidad d del negoc negocio io de la orga organiza nización ción. . Asegurar ar la disponi disponibilid bilidad ad de las insta instalaci laciones ones y 2)Asegur proces pro cesami amient ento o de la la inf inform ormaci ación. ón.
4 Controles
Cumplimiento obligaciones s legales, 1)Evitar infracciones de las obligacione estatutarias, regulatorias o contractuales relacionadas a la seguridad de la información y a cualqu cua lquier ier requi requisit sito o de seg seguri uridad dad. . Asegurar ar que la seguridad seguridad de la inform información ación está 2)Asegur implementada y es operada de acuerdo con las políticas políti cas y proced procedimie imientos ntos orga organiza nizativos tivos. .
8 Controles
NTP 27001:2014 (14 Do Domi mini nios os,, 35 Ob Objjet etiv ivos os de co con ntro roll, 114 Controles)
Implement Implem entand andoo la No Norm rmaa NTP ISO ISO/IEC IEC27 270001: 1:2 2014 A5-Po A5 -Polít lítica icass de seg segurid uridad ad de de la inf inform ormaci ación ón
Implementación Implementa ción de la lass Políti Políticas cas
Plantilla Configuración Corporativa
Producto Estándar Corporativo
ISO 2700 27001 1 CoBIT ITIL
Proced. Corporatvos Desktop
Firewall AntiVirus
Config. VPN VPN
Configuración IDS
Reglas Reglas de Password
…
¿Cómo logramos logramos nue nuest stro ro objetivo?
Logrem Log remos os nue nuest stro ro Objetivo…
Creer Creer en los emplead empleados, os,
Prevenir las “debilidades naturales” de la política deseguridad,
Educ Educar ar a los usuarios usuarios en la políti política ca y el valor de losactivos, los activos,
(explicar a usu usuario arioss porqué), “Está prohibido hacer eso” (explicar
Revi Re visar sar regularmente el cumplimiento cumplimiento de los losobjetivos, objetivos,
Hacer Hacer correcciones si es es necesario.
Educ Educac ació ión n de los usuarios usuarios
Cam ampa pañña de de difus difusión ión de la seguridad, seguridad,
Actualizacion Actualizaciones es periódicas,
Boletines, trípticos, posters…
Reun Re unio ione ness en Grupos, Grupos,
Salvapantallas,
Firm Firmas as digitales,
Destructor Destructor de doc docume umento ntos, s,
Auditorías Perió Periódi dicas cas,,
“Recompensas”,
Los “amigos” no son siempre “amigos”.
Concienciación y sensibilización…
Una buena política de seguridad, debe…
Ser corta corta (1 (1 o 2 pág página inas), s),
Ser fácilmente comprensibl comprensible e y cla clara, ra,
Declara Declararr abiertamente abiertamente la importancia importancia de la información información (y su seguridad) seguridad) para el negoc negocio, io,
Info forrmar a los empleados de sus res responsabilidades y cómo usar adecuadamente adecuadamente los recursos recursos de la empresa,
Sentar Sentar la bas basee para su desarroll desarrollo o en otras políticas funcionales y proce procedim dimien ientos tos,,
Declarar la exist encia de sanciones y rec ecompen ompensas sas (especificadas (especificadas en otras políticas políticas de concienciación).
Declaración de Política de Seguridad
Recordar … Una sesión formativa formativa NO es suficiente suficiente
Actualizaciones periódicas para para mantener mantener al personal personal ATENTO
No te con convie vierta rtass enotra en otra fuente de “ruido” a ser ignorada Hacer la Política ACCESIBLE: publícala en una página páginaWeb Web,, un tríptico, facilitar su búsqueda
Ser creativos
Evitar Evitarse serr el enemigo
Transmitir aplicación aplicaciónpers personal onal a su vida… ¡Actualízala!
¡Comprom ¡Compromiso iso Dirección!
FIN
