SEMINARIO-TALLER : SISTEMAS DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN (ISO/IEC 27001:2013) – MODULO 1

OBJETIVOS

1. Ofrecer las bases conceptuales de la GESTIÓN DE LA INFORMACIÓN y suimportancia para el sostenimiento del negocio.

2. Analizar los factores que influyen en la SEGURIDAD DE LA INFORMACIÓN.

3. Establecer los requerimientos hoy en día de un buen Sistema de Gestión para laSeguridad de la Información SGSI [SIMS].

4. Revisar y analizar los aspectos Normativos de un Sistema de Gestión para laSeguridad de la Información basados en la ISO/IEC 27001:2013.

5. Brindar una adecuada capacitación y formación para el cumplimiento de losObjetivos Estratégicos relacionados con la gestión y seguridad de la Información dela empresa.

1. Gestión de la INFORMACION.

2. Políticas de Gestión de la INFORMACIÓN.

3. Amenazas a la INFORMACIÓN y continuidad del negocio.

4. La Seguridad de la Información como estrategia de Negocios.

5. Estándares para la Gestión y Seguridad de la Información.

1. CONCEPTOS GENERALES

Es el ACTIVO mas VALIOSO y debe ser PROTEGIDOADECUADAMENTE para brindar respaldo a la Gerencia y lasOperaciones de una empresa.

Es utilizada para una eficaz TOMA DE DECISIONES.

Permite generar VENTAJA COMPETITIVA.

Elemento principal para una adecuada GESTIÓN de laCALIDAD y del CONOCIMIENTO ORGANIZACIONAL.

INFORMACIÓN

La INFORMACIÓN debe ser GESTIONADA !!!

Integración de los SISTEMAS DE INFORMACIÓN

Fuente: Ing. Jorge Ugarte F (SlideShare)

Fuente: Ing. Jorge Ugarte F (SlideShare)

Problemas de SEGURIDAD en el Software.

Inadecuada GESTIÓN de la información clave del negocio.

Ineficaces POLÍTICAS de Seguridad para la Gestión de laInformación.

Integración de REDES DE INFORMACIÓN y Sistemas deGestión.

BYOD (Bring your Own Devices) - Utilización de la TecnologíaMÓVIL para el acceso a los recursos de la empresa.

Alto nivel de COMPETITIVIDAD y fácil acceso a los recursos deINFORMACIÓN (CyberAtach – Threats)

Problemas con la Seguridad de la INFORMACIón

Fuente: Ing. Jorge Ugarte F (SlideShare)

Fuente: Ing. Jorge Ugarte F (SlideShare)

Fuente: Ing. Jorge Ugarte F (SlideShare)

Fuente: Ing. Jorge Ugarte F (SlideShare)

Fuente: Olimpiada Informática 2013 - Vanessa Hernández

Fuente: Ing. Jorge Ugarte F (SlideShare)

La Gestión de Riesgo como Estrategia para la Continuidad del Negocio [ISO 22301:2012]

Evolución en los Sistemas de Protección…

Fuente: ENCUESTA DE FRAUDE EN COLOMBIA [KPMG]

MAYORES ATAQUES INFORMÁTICOS EN LA HISTORIA

Fuente: Webminar ISO27001:2013 – BSGrupo, Perú (Lima), Nov 2013

GESTIÓN DE LA SEGURIDAD EN LA INFORMACIÓN

Ciclo PHVA para la implementación Modelo SGSI

Modelo PHVA y la Gestión de PROCESOS en un SGSI

Implementación e Integración Modelo de Gestión SGSI

De acuerdo a la ISO27001:2005 se define la SEGURIDAD DE LA INFORMACIÓN como aquellaárea encargada de preservar la Confidencialidad, Integridad y Disponibilidad de lainformación. También se pueden involucrar otras propiedades como la Autenticación,Responsabilidad, No-repudio y Confiabilidad de los Sistemas.

Definición de la SEGURIDAD DE LA INFORMACIÓN ISO27001

Documentación para un SGSI

Documentos Nivel 1

Manual de Seguridad : Documento que inspira y dirige todo el Sistema y queexpone y determina las intenciones, alcance, objetivos, responsabilidades, políticasy directrices principales del SGSI.

Documentos Nivel 2

Procedimientos : Documentos en el nivel operativo que aseguran que se realicende forma eficaz la Planificación, Operación y Control de los procesos de Seguridadde la Información.

Documentos Nivel 3

Instrucciones, Checklists y Formularios : Documentos que describen cómo serealizan las tareas y las actividades específicas relacionadas con la Seguridad de laInformación.

Documentación para un SGSI (Cont)

Documentos Nivel 4

Registros : Documentos que proporcionan una evidencia objetiva del cumplimiento derequisitos del SGSI y que están asociados a los documentos de los otros tres nivelescomo Output que demuestran que se ha cumplido lo indicado.

La ISO 27001:xx de manera específica indica que un SGSI debe estar formado por lossiguientes documentos (en cualquier formato o tipo de medio) :

Alcance del SGSI : Ámbito de la Organización que queda sometido al SGSIincluyendo una identificación clara de las dependencias, relaciones y límites queexisten entre el ALCANCE y aquellas partes que no hayan sido consideradas (se daen aquellos casos en los que el ámbito de influencia del SGSI considere unsubconjunto de la organización como delegaciones, divisiones, áreas, procesos,sistemas o tareas concretas)….

Política y Objetivos de Seguridad : Documento de contenido genérico queestablece el compromiso de la DIRECCIÓN y el ENFOQUE DE LA ORGANIZACIÓN en laGestión de la Seguridad de la Información.

Documentación para un SGSI (Cont)

Procedimientos y Mecanismos de Control que soportan al SGSI : Aquellosprocedimientos que regulan el propio funcionamiento del SGSI.

Enfoque de Evaluación de RIESGOS : Descripción de la metodología a emplear(cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades deocurrencia e impactos en relación a los ACTIVOS DE INFORMACIÓN contenidosdentro del alcance seleccionado), desarrollo de CRITERIOS DE ACEPTACIÓN DELRIESGO y fijación de NIVELES DE RIESGO ACEPTABLES.

Informe de EVALUACIÓN DE RIESGOS : Estudio resultante de aplicar la metodologíade evaluación anteriormente mencionada a los Activos de Información de laOrganización.

Plan de TRATAMIENTO DE RIESGOS : Documento que identifica las acciones de laDirección, los recursos, las responsabilidades y las prioridades para gestionar losRIESGOS de la Seguridad de la Información en función de las conclusiones obtenidasde la EVALUACIÓN DE RIESGOS, de los Objetivos de Control identificados, de losrecursos disponibles, niveles de capacitación del personal a cargo, etc….

Diagrama de Implementación ISO 27000: xxxx

Representación del Modelo PHVA

Fuente: Evolución del Estándar ISO 27000:xx; Giovanni Zucardi, Juan David Gutierrez, Sep 2006

Metodología aplicada a un SGSI según la Norma ISO 27001

Evolución de la Norma ISO 27001

Fuente: Cambios respecto a ISO 27001:2005. William Hálaby CISSP, PMP. Capitulo Colombia Board Member

TÉRMINOS Y DEFINICIONES

Recurso (asset) : Cualquier cosa que tenga valor para la organización.

Disponibilidad (availability) : Propiedad de ser accesible y usable bajo demandapor una entidad autorizada

Confidencialidad (confidenciality) : Propiedad que la información no estédisponible o pueda ser descubierta por usuarios no autorizados, entidades oprocesos…

Seguridad de la Información : Preservación de la confidencialidad, integridad ydisponibilidad de la información, en adición también de otras propiedades comoautenticación, autorización, registro de actividad, no repudio y confiabilidad puedenser también consideradas.

Evento de Seguridad (de la información) : Ocurrencia de un evento identificadosobre un sistema, servicio o red, cuyo estado indica una posible brecha en lapolítica de seguridad de la información o fallo en el almacenamiento de la misma,también cualquier situación previa desconocida que pueda ser relevante desde elpunto de vista de la seguridad.

TÉRMINOS Y DEFINICIONES (CONT)

Incidente de Seguridad : Uno o varios eventos de seguridad de la información, nodeseados o inesperados que tienen una cierta probabilidad de comprometer lasoperaciones de la empresa y amenazan a la seguridad de la información.

Sistema de Gestión para la Seguridad de la Información (ISMS - InformationSecurity Management System) : Modelo de Gestión de la empresa, basado en elAnálisis de Riesgo del negocio, cuya finalidad es establecer, implementar, operar,monitorizar, revisar, mantener y mejorar la seguridad de la información.

NOTA: El ISMS incluye las políticas, planes, actividades, responsabilidades, prácticas, procedimientos,procesos y recursos…

Integridad de la Información : Propiedad de salvaguardar la precisión ycompletitud de los recursos y el contenido de los datos contenidos…

Riesgo residual : El riesgo remanente que queda luego de una amenaza a laseguridad y aplicación de las Políticas y recursos para preservar la información…

Aceptación de riesgo : Decisión de aceptar un riesgo después de hacer un Análisispormenorizado de RIESGO en la gestión de la información y activos de la empresa…

TÉRMINOS Y DEFINICIONES (CONT)

Análisis de Riesgos : Uso sistemático y del análisis en los sistemas de gestión paraidentificar fuentes y hacer una valoración de los riesgos en la Seguridad de laInformación.

Valoración de Riesgos : Totalidad de los procesos de análisis y evaluación deriesgo.

Evaluación de Riesgo : Proceso de comparar los riesgos estimados contra loscriterios de riesgo establecidos o dados, para determinar el grado de significativodel riesgo…

Administración del Riesgo : Actividades coordinadas para dirigir y controlar lasmedidas necesarias para la observación del riesgo dentro de la organización.

Tratamiento del riesgo : Proceso de selección e implementación de medicionespara modificar el riesgo.

Declaración de aplicabilidad : Documento que describe los objetivos del control,y los controles que son relevantes y aplicables a la organización del ISMS.

Valoración de RIESGO de un HACKER !!!

Lineamientos de la ISO 27001 para la implementación de un SGSI

Aspectos Fundamentales de un SGSI :

Política de Seguridad.

Organización y Seguridad de la INFORMACIÓN

Gestión de COMUNICACIÓN y OPERACIONES.

Control de Acceso.

Adquisición, desarrollo y Mantenimiento del Sistema.

Gestión de los Incidentes relacionados con la SEGURIDAD.

Conformidad con los equipos LEGALES y ORGANIZATIVOS.

LA ADOPCIÓN DE UN SGSI DEBE SER UNA DECISIÓN ESTRATÉGICA DE LA ORGANIZACIÓN !!

ASPECTOS FUNDAMENTALES DE UNA CERTIFICACIÓN ISO 27001

La GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN en los procesos de una empresa

Beneficios de una CERTIFICACIÓN ISO 27001

ISO 27005 - Gestión de Riesgos (Código de buenas prácticas)ISO 31000 – Riesgos totales

Implementación ciclo PHVA OPERACIONAL para la ISO 27001

Dificultades en la Implementación Normatividad ISO 27001

ENTIDADES DE CERTIFICACIÓN ISO 27001

FIN MODULO 1 !!