Diseño e implantación de un cuerpo normativo de...

Diseño e implantación de un cuerpo normativo de

Seguridad de la Información

Juan Fco. Cornago BaratechCoordinador Técnico Consultoría Estratégica. CISA

[email protected]

Madrid a 1 de Octubre de 2008

Definición e implantación de un Marco Normativo de Seguridad de la Información

Madrid. Octubre de 2008

Haga clic para modificar el estilo de título del patrónAgenda

• Quién es SIA

• Antecedentes

• Definición y Objetivos de un Marco Normativo

• Nuestro modelo

• Aspectos Clave

• Integración con el futuro



Haga clic para modificar el estilo de título del patrónSIA en el mercado de la Seguridad de la Información

• Compañía española fundada en 1989.

• +10 años de experiencia en Seguridad de la Información. Certificación UNE 71502 por AENOR (ISO 27001).

• +45 consultores especialistas en Seguridad de la Información, formados en las mejores prácticas en seguridad y con certificaciones reconocidas:

– CISA, CISSP, CISM, CEH, ITIL, PRINCE2, AUDITORES SGSI.

– Tiger Team de reconocido prestigio (514.es).

• Resultados con enfoque pragmático gracias al complemento de la experiencia de SIA en la puesta en marcha de infraestructuras de seguridad.

• Cultura corporativa basada en la especialización y en la orientación al cliente.

SIA es una referencia de primer orden a nivel nacional en trabajos relacionados con la seguridad de la información, líder en el número de consultorías, proyectos y servicios de seguridad realizados




• Quién es SIA

• Antecedentes


• Nuestro modelo

• Aspectos Clave




Haga clic para modificar el estilo de título del patrónPlanteamiento de necesidades

• ¿Sabemos cómo estamos?.

• ¿Qué riesgos tenemos?.

• ¿Cómo priorizamos las acciones de mejora?.

• ¿Sabemos medir el estado de la seguridad?.

• ¿Cómo rentabilizo mis inversiones?.

• ¿Cómo defino mi(s) política(s)?.

• ¿Quién es responsable de qué?.

• ¿Está alineada la estrategia de seguridad con los objetivos del negocio?.

• ¿Cómo defino el ROI?.



Haga clic para modificar el estilo de título del patrónQué entendemos por Seguridad

Garantizar de la información

Evitar suDESTRUCCIÓNMODIFICACIÓNREVELACIÓN

PrevenciónDetecciónRecuperación

Reducir PÉRDIDARIESGO DE PÉRDIDA

AUTENTICIDADCONFIDENCIALIDAD

INTEGRIDADDISPONIBILIDADAUDITABILIDAD

Basada en los criterios del Estándar Internacional ISO/IEC 27002:2005



Haga clic para modificar el estilo de título del patrón¿Dónde tener en cuenta la seguridad?

Dominio de clientes

Internet

Backend/CPD

RTBExtranet

Líneas dedicadas

Usuarios

Administradores

WWW

Directivos

Pasarela SMTP

BBDD

File & Print

Servidor de aplicacionesOtros servidores

Autenticación

En todas partes......



Haga clic para modificar el estilo de título del patrón¿Qué necesitamos?..

Sistema de Gestión de la

Seguridad (SGSI)(SGSI)

• Diagnóstico de seguridad.• Análisis y gestión de riesgos.• Plan Integral de Seguridad.• Plan Estratégico de Seguridad.• Plan de Seguridad.• Plan Director de Seguridad.• ......

En definitiva...

1. Un sistema basado en normativas y estándares reconocidos...2. ...que sea aplicable, “mantenible” y evaluable en la operación del día a

día...3. ...y que permita obtener la Certificación.



Haga clic para modificar el estilo de título del patrón¿Cómo desarrollo el Marco Normativo?

Objetivos deNegocioPolítica de Seguridad

CON LA AYUDADE SIA

ISO 27002

s

s

Inventario de Activ

Normas yProcedimientos

ModeloSGSI

UNE-ISO/IEC 27001Métrica

Mejora Continuaos

Controle




• Quién es SIA

• Antecedentes


• Nuestro modelo

• Aspectos Clave




Haga clic para modificar el estilo de título del patrónDefinición de un SGSI. Establecimiento del Marco Normativo

• Un Marco normativo de la Seguridad de la Información comprende:– La política de Seguridad– La estructura organizativa– Los procedimientos– Los procesos– Los recursos necesarios– Los Planes de Formación

• Alinea la Seguridad de la Información, con los Planes Estratégicos de la Organización.

• Es la herramienta que dispone la Dirección para implantar las políticas y objetivos de Seguridad de la Información.

• Establece el ciclo de mejora continua de la Gestión de la Seguridad de la Información.

• Adecua a las necesidades y requerimientos legales y establece los procedimientos para su continua actualización.



Haga clic para modificar el estilo de título del patrónVentajas y objetivos del SGSI

• Establecimiento de una metodologmetodologíía a de seguridad clara y estructurada.

•• ReducciReduccióón de los riesgosn de los riesgos y reacción temprana ante ataques.

•• AutomatizaciAutomatizacióónn de actividades de SI (Workflows, procedimientos).

• Incremento de la concienciaciconcienciacióónn respecto a la seguridad de la Información.

• La seguridad de la información queda alineada con la estrategia de la estrategia de la organizaciorganizacióónn y con normas y buenas prácticas reconocidas.

• Garantiza el valor avalor aññadidoadido de las actividades de seguridad así como de la inversión realizada (ROI).

• Conformidad con los requisitos legalesrequisitos legales.

• Reconocimiento y mejora de la imagen corporativa (Aumento de Aumento de ConfianzaConfianza).

• Mejora de la gestión de la continuidad del negociocontinuidad del negocio.

• Incorpora actividades para la mejora continuamejora continua (procesos y actividades de revisión, auditorias, etc).




• Quién es SIA

• Antecedentes


• Nuestro modelo

• Aspectos Clave




Haga clic para modificar el estilo de título del patrónModelo PDCA de un SGSI. Motor del Marco Normativo

Fuente: ISO 9001UNE 71502

UNE-ISO/IEC 17799:2002

PLANPlanificacióny Diseño

DO

Operación y ejecución

CHECKRevisión

y Auditoría

ACT

Mejoracontinua

ÁREAS INVOLUCRADAS

Requerimientosde Seguridad dela Información

ÁREAS INVOLUCRADAS

Gestión de laSeguridad dela Información



Haga clic para modificar el estilo de título del patrónInteracción ISO 27001 vs ISO 27002

ISO/IEC 27002:2005

Política de Seguridad.Aspectos Organización para la Seguridad.Clasificación y control de activos.Seguridad ligada al personal.Seguridad física y del entorno.Gestión de Comunicaciones y Operaciones.Control de Accesos.Desarrollo y Mantenimiento de sistemas.Gestión de Incidencias de SeguridadGestión de Continuidad del negocio.Conformidad.

11 secciones36 Objetivos de Seguridad

133 ControlesModelo de

GestiónSGSI

UNE-ISO/IEC 27001:2007



Haga clic para modificar el estilo de título del patrónMETODOLOGÍA

GestiónImpl.Análisis y Definición

Adoptar accionesCorrectivas

Adoptar accionespreventivas

MARCONORMATIVO

PLAN DE PROYECTOS

FORMACIÓNY

DIVULGACIÓN

IMPLANTACIÓN

ORGANIZACIÓNDE SEGURIDAD

Planificación deEntrevistas

DefiniciónDe

Hitos

Definir alcance

Divulgación yPetición

InformaciónAUDITORIAS

CUADRO DE MANDO

REVISIONES

REGISTROS

INVENTARIOIdentificación y Valoración de

Activos

Conocimientodel Entorno y Análisis Info.

Entrevistas

CONTRASTECumplimiento UNE/ISO 17799

ANÁLISISDE RIESGOS

Identificar Amenazas y

Vulnerabilidades

Recomendación y Selección de

Controles

PLAN

ModeloPDCA DO

CHECK

ACT

UNE-ISO/IEC 27001

GestiónPlanArranque Identificación Diagnóstico Implantación




• Quién es SIA

• Antecedentes


• Nuestro modelo

• Aspectos Clave




Haga clic para modificar el estilo de título del patrónAspectos clave para implantar un Marco Normativo

• Compromiso y apoyo de la dirección de la Organización.

• Compromiso del usuario y formación.

• Compromiso de mejora continua.

• Establecimiento de políticas y normas.

• Organización y comunicaciones.

• Integración del Marco Normativo en la Organización.

Política de Seguridad

5Política de seguridad

6Organización de la Seguridad de la Información

1Alcance y diseño del Proyecto

8Seguridad

relacionada con los recursos

humanos

7Gestión de

activos

9Seguridad física

y del entorno

7.1Inventario

Activos

6.2Contratació

n de Acceso de Terceros

6.1Modelo

Organizativo

5.3Índice Marco

Normativo

5.2Control y Gestión

Documental

5.1Definición

SGSI1.1

Organigrama

1.3Actas

reunión

7.2 Clasificació

n y Tratamiento Información

8.2Plan

Concienciación

9.2Protección del Medio

Físico

9.3Control de

Acceso Físico

8.1Contratació

n de personal

7.2.1Tratamiento

Técnico de la Información

9.2.4Protección

de Sistemas de Terceros

8.2.2Presentación

plan de concienciación

Directivos

9.2.3Protección

de Sistemas Críticos y

CPDs

8.2.1Presentación

Plan de concienciación

Usuarios

9.2.2Protección de Sistemas de

Usuario

9.2.1Instalación de Equipos de Usuario

8.2.3Carteles y material de

concienciación

7.2.0.1Revisión Periódica

Clasificación Activos

1.2AARR

1.2.4Selección Objetivos Control

6.2.1Identificación Riesgo por

Acceso Terceros

1.2.0.0.2Gráficos

auxiliares del AARR 1.3.0.0.1

Guiones de Entrevistas y Check-List

1.3.0.0.2Planificación

deEntrevistas 1.3.0.0.3

Plantilla Actas de Reunión

5.0.0.1Revisión Periódica Política

Seguridad

1.0.1Presentación de Arranque del Proyecto

1.2.3Diagrama del

Proceso Seleccionado

8.2.0.0.1 Planning

Plan Concienciaci

ón

8.3Funciones Obligaciones Personal

9.2.5Protección

de Sistemas Móviles y Remotos

7.2.0.0.1Plantilla

Cuadro de Mando de

Clasificación

8.4Plan de

Formación

Consultoría

QMI

Explotación

Legal

RRHH

8.3Funciones Obligaciones Personal

1.2.0.0.1Cuadro de Mandos

1.2.0.1Revisión del Análisis de

Riesgos

1.2.2AARR

Intrínseco Proceso

1.2.1Plan de Acción

1 Pendiente 4 Revisado

3 Pendiente Revisión5 Modificándose2 Iniciado6 Pendiente Aprobación7 Aprobado

3

7

7

77

7

77

7

7 7

7

7

7

7

7

7

7

7

7

7

7

7

7

7

7

7

7

7

7

3 3

3

3

3 3 31

1

1

1 1

1

1

5

7

33

10Gestión de

comunicaciones y operaciones

13Gestión de incidentes

12Adquisición, desarrollo y

mantenimiento de sistemas

11Control de

acceso

Política de Seguridad

11.2 Admon.. SS.OO.

POS

10.6Copias

Respaldo y Recuperación

10.4Operación Mantenimiento

Seguro

10.2Control de Software

11.1Seguridad en Redes y Comunic.

11.3Gestión de Usuarios

12.2Especifi.

Requerimientos seguridad

12.1Análisis de software de

terceros

13.1Gestión de Incidencias Seguridad

10.6.2Backup y restore de

servidores en producción

10.4.2Pase a

Producción Aplicaciones

11.1.1.1Revisión

de Logs

10.2.1Instalación,

Implantacióny Distribución de Software

11.1.1Gestión de Firewalls

11.3.1Administración de cuentas de usuario

11.3.2Gestión de Accesos

13.1.0.0.1Plantilla

Informes de Incidencias

10.6.1.1Revisión

de Logs

10.4.2.1Revisión

de Logs

10.1Procedimie

nto Recuperación Fallos

10.2.2Protección

contra Software malicioso

10.2.3Gestión de Licencias

11.5Gestión Accesos Remotos

10.2.2.1 Gestión de Antivirus

10.2.2.2Gestión de

IDS

10.7Cifrado de la Información

10.2.2.3 Servidores Públicos

13.1.1Gestión de Incidencias

Lógicas

13.1.2Gestión de Incidencias

Físicas

8.3Funciones Obligaciones

Personal

11.5.1Gestión de Accesos

Remotos Internos

11.5.2 Gestión de Accesos Remotos Redes de Clientes

7 77 7

7

7

1

1 1

1

11

1 11

1 1 1

1

1

1

1

11

2 1

7

3 3

3

3

3

3 3

3

3

10.4.3.Planes de

Implantación Servidores

3

10.4.4Gestión de cambios

3

10.4.1Gestión de laCapacidad y Rendimiento del Sistema

3

10.3.2Distribución de Soportes

1

10.3.1Baja de

Soportes

1

10.3Gestión de Soportes

110.5

Seguridad del Correo Electrónico

3

10.5.1Seguridad del Correo Electrónico

7

10.6.1Copias de Respaldo,

Recuperación y pruebas

3



Haga clic para modificar el estilo de título del patrónFactores de Éxito

• La concienciaciconcienciacióónn del empleado por la seguridad. Principal objetivo a conseguir.

• Realización de comités de dirección con descubrimiento continuo de “No No conformidadesconformidades” o acciones de mejora.

• Creación de un sistema de gestisistema de gestióón de incidenciasn de incidencias que recoja notificaciones continuas por parte de los usuarios (Los incidentes de seguridad deben se reportados y analizados).

• La seguridad absolutaseguridad absoluta NO existe, se trata de reducir el riesgo a niveles aceptables.

• La seguridadseguridad no es un proyecto, es una actividad continuaactividad continua y el programa de protección requiere el soporte de la Organización para tener éxito.

• La SeguridadSeguridad debe ser inherenteinherente a los procesos de Informática y del negocionegocio.



Haga clic para modificar el estilo de título del patrónRiesgos

• Exceso de tiempos de Implantación (Costos).

• Temor ante el cambio (Resistencia).

• Discrepancias en los comités de dirección.

• Planes de formación inadecuados.

• Calendario de revisiones que no se puedan cumplir.

• Definición poco clara del alcance.

• Exceso de medidas técnicas vs formación y concienciación.

• Falta de comunicación de los progresos al personal de la organización.




• Quién es SIA

• Antecedentes


• Nuestro modelo

• Aspectos Clave




Haga clic para modificar el estilo de título del patrón¿Y para el futuro?...

“La Seguridad de los SI es un proceso. No es un producto”

GRACIAS

Juan Fco. Cornago BaratechCoordinador Técnico Consultoría Estratégica. CISA

[email protected]

Diseño e implantación de un cuerpo normativo de...

Documents

Transcript of Diseño e implantación de un cuerpo normativo de...