Información segura. Negocios seguros.

Caso: Implementando SGSI enCaso: Implementando SGSI en Instituciones Estatales

Roberto Puyó Valladares, CISMComité Técnico de Normalización e Intercambio

LOGO ORADOR

Comité Técnico de Normalización e Intercambio Electrónico de Datos EDI

Oficial de Seguridad

Agenda

¿Por qué Implementar un SGSI?1Alineamiento con Objetivos Institucionales

Alcance

23

Integrabilidad de Estándares5Vi ió d l S id d d l I f ió6

Lecciones Aprendidas4

El Proyecto7Visión de la Seguridad de la Información6

Trabajo del Comité EDI8 Trabajo del Comité EDI8

Lo Público…

Documentos Adulterados

4

Documentos Adulterados

Papel sumergido en Té Papel sumergido en bebida gaseosa(Cola-Cola)

Papel sumergido en bebida gaseosa(Pepsi-Cola)(Cola Cola) (Pepsi Cola)

Documentos Adulterados

¿Por qué Implementar un SGSI?

Los procesos y servicios de la Institución

que soporta los

de la Informaciónde la Información

Confidencialidad Integridad Disponibilidad

Seguridad vela por

g p

Alineamiento con Objetivos Institucionales

US01 - Mejorar la percepción del cliente de l lid d d l i ila calidad del servicio.

US.02- Reducir el fraude

PI 02 - Mejorar la calidad del servicio 11PI.02 - Mejorar la calidad del servicio

FI.01 - Conciliar rentabilidad con seguridad

EN.02 - Mejorar la Imagen Institucional : PE

I 200

7 -2

01

j g

*Fue

nte:

SEGURIDAD DE LA INFORMACIÓNSGSI

DepartamentalesPLAP - LIMA Centro Cívico

Primera Etapa:

CENTRO DE COMPUTO

• Sistemas InformáticosEtapa:Certificar

en ISO/IEC

Sistemas Informáticos• Infraestructura• Servidores• Comunicaciones• Aplicaciones

B d D t27001 • Bases de Datos

SGSI en la InstituciónSGSI en la Institución

SGSISGSI –Proceso n

SGSI –Proceso 1

SGSI Proceso 2SGSI Proceso 2

Alcance – Ámbito de implementación

Ámbito: Centro de Cómputo

Soporte Técnico(Adm. de la Plataforma y las M d(Adm. de la Plataforma y las

Comunicaciones)

Seguridad

Mesa de Ayuda

(Soporte a Usuarios)

Adm. de la Contingencia del C.C.de la Información

)

Adm. de las Operaciones del Centro de Cómputo

Alcance – Lo norma implementada

ISO 27001: “Sistema de Gestión de Seguridad de la Información”Política de Política de Seguridad

Organización de la Seguridad de Información

S id d d l

Seguridad

Organización de la Seguridad de Información

S G S I

OrganizaciónTecnología

Implica a:Implica a:Gestión de ActivosSeguridad del 

RRHH

Seguridad FísicaGestión de las Comunicaciones y 

OperacionesTecnologíaLegal

FísicaGestión de Acceso

Adquisición, desarrollo y mantenimiento de sistemas

Gestión de las Incidencias de Seguridad

Gestión de la Continuidad del Negocio Cumplimiento

Incidencias de Seguridad Continuidad  del Negocio p

Personas Procesos Tecnología

El Proyecto

Análisis E t bl i i t

Lo implementado en el Centro de Cómputo

I l t ió M it MantenimientoAnálisis Preliminar y

Planeamiento

Establecimiento del SGSI

Implementación y Operación

Monitoreo y Revisión

Mantenimiento y Mejora

Definición Alcance Normativa de Plan de Mejora Auditorías Definición Alcance

Análisis de Impacto

Seguridad

Plan de Respuesta al

Riesgo

jContinua

Cuadro de Control y Monitoreo

Internas

Plan para la Revisión Ejecutiva

Análisis GAP

Preparación para la Certificación

Análisis de Riesgo

Riesgo

Implementación de Controles

Selección de Controles

Documento

Plan de Educación en

Seguridad Certificación

Documento Aplicabilidad

Lección Aprendida

No confunda las normas ISO/IEC 27001No confunda las normas ISO/IEC 27001 ISO/IEC 27002 (ISO/IEC 17799). 

Lección Aprendida

Si no tiene claro el alcance que quiere cubrirSi no tiene claro el alcance que quiere cubrir con la gestión de la seguridad: RECOMENDAMOS NO INICIAR LARECOMENDAMOS NO INICIAR LA IMPLEMENTACIÓN de un SGSI.

Lección Aprendida

Obtenga la aprobación de la Jefatura y/oObtenga la aprobación de la Jefatura y/o Gerencia General de su Institución, si no tiene este apoyo será difícil implementar.este apoyo será difícil implementar.

Lección Aprendida

Organice el Comité de Seguridad de laOrganice el Comité de Seguridad de la Información.

Tienen que participar representantes deTienen que participar representantes de diversas áreas, tales como RRHH, Legal, TI, personal de las áreas de los procesosáreas de los procesospersonal de las áreas de los procesos áreas de los procesos principalesprincipales. 

N l id i l l á bl dNo olvidar involucrar al área responsable de emitir documentos normativos. 

Lección Aprendida

De ser necesario, modificar el MOF de laDe ser necesario, modificar el MOF de la Institución para que ciertas funciones clave, en lo que respecta a la seguridad de laen lo que respecta a la seguridad de la información y la gestión de riesgos, sean incluidas.incluidas.

Lección Aprendida

Desarrolle o revise las políticas de seguridad de la p gInstitución. Cambie el enfoque de políticas de seguridad informática a políticas de seguridad de la información.

Guíese de los dominios de la norma ISO/IEC 17799 ( / )(ISO/IEC 27002).

Busque apoyo en otras Instituciones Públicas para no t t d “I t l Pól ”tratar de “Inventar la Pólvora”.

Lección AprendidaUno de los puntos vitales en la implementación es el desarrollo de la Guía de Gestión de Riesgos.

Recomendamos utilizar la norma ISO/IEC 27005:2008 –

Gestión de Riesgos de la Seguridad de la Información –Disponible como NTP aproximadamente a fines de año.

Lección Aprendida

Es necesario y recomendable que se ejecute un y q jAnálisis de Impacto al Negocio – BIA

Lección AprendidaDe acuerdo al nivel de madurez y la disponibilidad presupuestal es recomendabledisponibilidad presupuestal, es recomendable mantener una persona a tiempo completo revisando los temas de seguridadrevisando los temas de seguridad. 

Lección Aprendida

Activar la seguridad y la auditoria razonableActivar la seguridad y la auditoria razonable de las bases de datos en los ambientes de producción.producción. 

Generar registros de auditorias sobre la actividad de los administradoresactividad de los administradores.

Lección Aprendida

No olvide revisar los accesos que los usuariosNo olvide revisar los accesos que los usuarios tienen en los sistemas de información. 

No olvide que los accesos dentro de losNo olvide que los accesos dentro de los sistemas deben encontrarse acordes con las  funciones desempeñadasfunciones desempeñadas. 

Lección Aprendida

Capacite a los empleados en seguridad de laCapacite a los empleados en seguridad de la información. 

Presente casos reales que se hayan efectuadoPresente casos reales que se hayan efectuado en la institución. 

Utili l j i dUtilice lenguaje apropiado. 

Prepare presentaciones diferenciadas por áreas pero con el mismo mensaje de fondo. 

LEY Nº 27309 LEY Nº 27309 ‐‐ INCORPORA AL CODIGO PENAL LOS DELITOS INCORPORA AL CODIGO PENAL LOS DELITOS INFORMATICOS INFORMATICOS (ART. 2007 C.P.)(ART. 2007 C.P.)

Art. 207º A .- El que utiliza o ingresaindebidamente a una base de datos, sistemao red de computadoras o cualquier parte dela misma, para diseñar, ejecutar o alterar un

Art. 207º B .- El que utiliza, ingresa ointerfiere indebidamente una base dedatos, sistema o red o programa decomputadoras o cualquier parte de la

esquema u otro similar, o para interferir,interceptar, acceder o copiar información entransito o contenida en una base de datos.

misma con el fin de alterarlos, dañarloso destruirlos.

CIRCUNSTANCIAS AGRAVANTESArt. 207º C

El agente accede a una base dedatos, sistema o red decomputadoras, haciendo uso dei f ió i il i d

El agente pone en peligro laseguridad nacional".

información privilegiada,obtenida en función a su cargo.

DELITO CONTRA EL DELITO CONTRA LA LIBERTAD

FIGURAS DELICTIVAS MAS CONOCIDASFIGURAS DELICTIVAS MAS CONOCIDASEMPLEANDO ALTA TECNOLOGIAEMPLEANDO ALTA TECNOLOGIA

(Código Penal)(Código Penal)DELITO CONTRA EL PATRIMONIO

(HURTO AGRAVADO)

DELITO CONTRA LA LIBERTADOFENSAS AL PUDOR PUBLICO

(PORNOGRAFIA INFANTIL)

(Código Penal)(Código Penal)

Art. 183º A.- El que posee, promueve,fabrica, distribuye, exhibe, ofrece,

Art. 186º.- El que para obtenerprovecho, se apodera ilegítimamente

comercializa o publica, importa o exportapor cualquier medio incluido la INTERNET,objetos, libros, IMÁGENES VISUALES oauditivas, o realiza espectáculos en vivo de

provecho, se apodera ilegítimamentede un bien mueble, total oparcialmente ajeno, sustrayéndolo dellugar donde se encuentra, …

3 M di t l tili ió d i t carácter pornográfico, en los cuales seutilice a personas de 14 y menos de 18 añosde edad, …

Cuando el menor tenga menos de 14 años

3. Mediante la utilización de sistemasde transferencia electrónica defondos, de la telemática en general ola violación del empleo de claves

t Cuando el menor tenga menos de 14 añosde edad, …

secretas.

Lección Aprendida

Determine métricas de Seguridad de la I f ióInformación. 

Lección Aprendida

Implemente un procedimiento deImplemente un procedimiento de registro, seguimiento y control de los “Incidentes de Seguridad de la Información”.

Lección Aprendida

De ser el caso no dude en solicitar apoyo de laDe ser el caso no dude en solicitar apoyo de la Policía Informática del Perú – DIVINDAT. División de Investigaciones de Delitos de AltaDivisión de Investigaciones de Delitos de Alta Tecnología.

http://www policiainformatica gob pe/http://www.policiainformatica.gob.pe/

Lección Aprendida

Efectúen una revisión del código fuente de susEfectúen una revisión del código fuente de sus aplicaciones. 

Nadie sabe lo que se puede encontrar PodríanNadie sabe lo que se puede encontrar. Podrían existir “puertas traseras” colocadas por los programadoresprogramadores. 

Lección Aprendida

Estandarice el desarrollo de sus sistemas de información Debeinformación. Debe incluir los estándares de seguridad en lo quede seguridad en lo que respecta al código fuente. 

Se recomienda revisar la página http://www.owasp.org

Lección AprendidaNo deje de lado el enfoque de la reducción de fraudes en sus organizaciones

Lección Aprendida

Integre los estándares para NO DUPLICARIntegre los estándares para NO DUPLICAR ESFUERZOS:

COSOCOSO

COBIT

ISO/IEC 27001

ISO/IEC 27002

Reglamento de Seguridad y Salud en el TrabajoTrabajo

Integrabilidad

REGULACIONES

DRIDisaster Recovery Institute

PMI-PMBOKSSTSeguridad y Salud en el Trabajo

BCIBusiness Continuity Institute

REGULACIONES

ISO 27.005Gestión de Riesgos de segurida

CMMInivel de Madurrez

BS 25.999Business Continuity Management

Disaster Recovery InstituteBusiness Continuity Institute

ISO 27.001 – 27.002Sistema de Gestión de Seguridad

de la Información (SGSI)

COBIT/ISO 38500Gobernabilidad TI

ISO 20.000Sistema de Gestión de Servicios TI

(ITIL)

Sistemas de Gestión y Gobernabilidadalineados con el Negocio

COSO - ERM

Integración de Normas – Arman contra la corrupción y el fraude

Tip

o d

Escenario del Fraude Control a implementar Informe COSO – RC N°320-2006- CG- Control

Interno]

Norma ISO/IEC 27001:2005 – Sistema de Gestión de

Seguridad Norma de la SBS

COBIT v4- Control de Tecnologías[

de Frau

de

Corru

Uso indebido de los privilegiosen los sistemas de informaciónpara ingresar información sin

Código de Ética 3.2 Segregación deFunciones4 4 Sistemas de

A.11 Control de Accesos.A.11.1.1 Política de Controlde Accesos

DS5 – Garantizar laSeguridad de los Sistemas

pción

para ingresar información sinsustento, adulterar montos, yfavorecer a terceros.

4.4 Sistemas deInformación

de AccesosA.11.2.2 Gestión dePrivilegios.A.11.2.4 Revisión de losderechos de acceso de losusuarios

Obtener información de lossistemas de información de losambientes de pruebas odesarrollo, dado que lainformación ahí almacenadaes idéntica a la de losambientes de producción.

Aplicar transformación de datos entre losambientes. Efectuar separación lógica de losambientes. Controlar el acceso a los mismos.No entregar copias de las bases de datos deproducción en los ambientes de pruebas odesarrollo.

4.4 Sistemas deInformación

A.10.1.4 Separación de lasinstalaciones de desarrollo,prueba y operación.A.11.6 Control de Acceso alas aplicaciones einformación.A.11.6.2 Aislamiento desistemas sensibles.

DS11 Administración de laInformación

Personal que ingresa a unaorganización sin que severifiquen sus documentos.

Se debe hacer un chequeo y verificación deinformaciones anteriores de todos loscandidatos para el empleo, en concordanciacon las leyes, regulaciones y ética.Se debe limitar el acceso a los sistemas,según la necesidad de tener y saber.

1.4 Estructura Organizacional 1.5 Administración de Recursos Humanos4.4 Sistemas de Información

A.8 Seguridad en Recursos HumanosA.8.2.3 Proceso disciplinario

PO7 Administrar recursoshumanos de TI

Uso de accesos físicos ylógicos de empleados que yadejaron de laborar.

Reforzar el procedimiento de baja delpersonal. Lo ideal es que sus cuentas seencuentran centralizadas al momento de labaja. Aquí debe establecerse apoyo con elpersonal de vigilancia de la Entidad.

1.5 Administración deRecursos Humanos

A.8.3.1. Responsabilidadesde FinalizaciónA.8.3.2 Devolución deActivosA.8.3.3 Al finalizar el empleoRetiro de derechos de

PO7 Administrar recursos humanos de TIDS12 Administrar el ambiente físicoDS11 Administrar los datos

acceso.

Visión de la seguridad en la Institución

Un Sistema de Gestión de la Seguridad de la Información UNIFICADO

SGSI (UNIFICADO) de la Institución

Ó

SGS (U C O) de a st tuc ó

INTEGRACIÓN

SGSI - Centro de Cómputo

SGSIServicio de Atención al

SGSIServicio de

Calificaciones de

SGSIServicio de

Verificaciones

SGSIServicio de

Administración

SGSIServicio

Mantenimiento de

Público Expedientes de Aportes de Archivosto de

Aplicaciones

El Proyecto ‐ CronogramaLo implementado en el Centro de Cómputo

Análisis Preliminar y Análisis Preliminar y

SemestreI

SemestreII

SemestreI

SemestreII

SemestreI

SemestreII

2007 2008 2009SGSI

yPlaneamiento Establecimiento del Establecimiento del SGSI Implementación y

X X

X X

pImplementación y Operación Monitoreo y Revisión Mantenimiento y

X X

X Xj

Mantenimiento y Mejora

Auditoria para la Certificación

XX

Certificación

El Proyecto ‐ EsfuerzoRECURSOS: Equipo consultor y personal de la Institución

Para el SGSI del Centro de Cómputop564 días útiles

Esfuerzo total del proyecto

Mas de 02 AÑOS Desde Hasta

dedicadosDesde ENE 07

Hasta FEB 09

6Participación 3M d 35Consultores Instit.

6

14

pDirecta

3

Participación Indirecta 15

Mas de 35 personas

participando

El Proyecto ‐ Resultados

La Institución aprobó exitosamente la auditoría de certificación para el Centro de Cómputo(*)

Se usaron las buenas prácticas internacionales

U Si t d G tió li d l Obj ti I tit i lUn Sistema de Gestión alineado a los Objetivos Institucionales

En los próximos 18 meses la integración de los 06 SGSI

(*) En tramites

Por último – desde el Comité EDI

• Para el 2009 en proceso: • PNTP ISO/IEC 27006: 2007 Information technology Security• PNTP ‐ ISO/IEC 27006: 2007 ‐ Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems.

• PNTP ISO/IEC 27005: 2008 Information technology Security• PNTP ‐ ISO/IEC 27005: 2008 ‐ Information technology – Security techniques – Information security risk management

• PNTP – ISO 27799:2008 ‐ Health informatics ‐‐ Information security management in health usingsecurity management in health using

• PNTP – ISO 28001:2007 ‐ Security management systems for the supply chain ‐ Best practices for implementing supply chain security assessments and plans Requirements and guidancesecurity, assessments and plans ‐ Requirements and guidance.

!MUCHAS GRACIAS por su atención!p

Roberto Puyó Valladares CISMRoberto Puyó Valladares, CISM

robertopuyovalladares@gmail.com

995786312