SEGURIDAD DE INFORMACION

ISO 27001:2014

1

Objetivo: Conocer los conceptosbásicos de Seguridad deInformación NTP ISO27001:2014

Duración: 1.45 Minutos

Fecha: 02-03-2015

Juan Carlos Reátegui Moralesjreategui@foncodes.gob.pe

Oficial de Seguridad de Información de FONCODES

El enemigo que actúa aisladamente, que carece de estrategia y que toma a la ligera a sus adversarios, inevitablemente acabará siendo derrotado.

Tzun Su

Se entiende por seguridad de la información a todas aquellas medidas preventivas y

reactivas de efectúa una institución que permitan resguardar y proteger la información

buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma.

La información es un activo que, como otros activos importantes del negocio, tiene valor para

la organización y requiere en consecuencia una protección adecuada. Esto es muy importante

en el creciente ambiente interconectado de negocios. Como resultado de esta creciente

interconectividad, la información esta expuesta a un mayor rango de amenazas y

vulnerabilidades.

¿Qué es seguridad de la Información?

2

“Tú naciste siendo un ganador pero para ganar debes planear ganar, estar preparado para ganar y esperar ganar.”

ZIG ZIGLAR

La seguridad de la información, según ISO 27001, consiste en la preservaciónde su confidencialidad, integridad y disponibilidad, así como de los sistemasimplicados en su tratamiento, dentro de una organización.

3

Problemática de la Seguridad de Información

"SI PUDIÉRAMOS DARNOS CUENTA PRIMERO EN DÓNDE ESTAMOS Y HACIA DÓNDE VAMOS, SERÍAMOS

MÁS CAPACES DE JUZGAR QUÉ HACER Y CÓMO HACERLO.“ ABRAHAM LINCOLN

Algunos Peligros

4

5

Integridad

Confidencialidad

Disponibilidad

No alteración de la

información

en su contenido.

Acceso a la información por la persona autorizada.

Información disponible cuando sea requerida.

PRINCIPIOS BASICOS DE SEGURIDAD

“La razón básica de las organizaciones es que en situaciones de rápido cambio sólo aquellas que sean flexibles, adaptables y productivas se

destacarán. Para que esto suceda las organizaciones necesitan descubrir cómo aprovechar el compromiso de la gente y la capacidad de

aprender en todos los niveles”.

Peter Senge (The Fifth Discipline)

Relaciones de la Seguridad

6

7

Modelos de GestiónMirad, yo os envío como ovejas en medio de lobos; por tanto, sed astutos como las serpientes e inocentes como las palomas.

Mateo 10:16

LA ISO 27001 EN LA ESTRATEGIA DE FONCODES

8

QUE ES LA NTP ISO 27001:2014

ISO 27001 es una norma internacional emitida por la OrganizaciónInternacional de Normalización (ISO) y describe cómo gestionar la seguridadde la información en una empresa . La revisión más reciente de esta normafue publicada en 2014 y ahora su nombre completo es ISO/IEC 27001:2014.

ISO 27001 puede ser implementada en cualquier tipo de organización, con osin fines de lucro, privada o pública, pequeña o grande. Está redactada por losmejores especialistas del mundo en el tema y proporciona una metodologíapara implementar la gestión de la seguridad de la información en unaorganización. También permite que una empresa sea certificada; esto significaque una entidad de certificación independiente confirma que la seguridad de lainformación ha sido implementada en esa organización en cumplimiento con lanorma ISO 27001.

La NTP ISO 27001:2014 (Norma Técnica Peruana) es una traducción de laNTP 27001, para el Perú realizada en el año 2014. Es la norma validada porINDECOPI.

NORMATIVIDAD LEGAL A CONSIDERAR

9Esperar que la vida te trate bien, por que seas una buena persona, es igual que esperar que un

tigre no te ataque porque seas vegetariano. Bruce Lee

RM N° 129-2012-PCM Implementación Obligatoria de la NTP ISO IEC/27001:2008

LEY N° 29664 Ley que Crea el Sistema Nacional de Gestión de Desastres(SINAGERD)

Ley 29733, Ley de Protección de Datos Personales y su reglamento, aprobadopor Decreto Supremo N° 003-2013-JUS

Decreto Supremo Nº 013-2003-PCM, Dictan medidas para garantizar lalegalidad de la adquisición de programas de software en entidades ydependencias del Sector Público.

Resolución Ministerial Nº 179-2004-PCM, que aprueba el uso obligatorio de la“Norma Técnica Peruana NTP-ISO/IEC 12207:2004, Tecnología de laInformación, Procesos del ciclo de vida del software 1ª Edición” y modificatoria.

10

4. Contexto de la organización

ESTRUCTURA DE LA ISO 27001:2014

Estructura la Seguridad Norma NTP ISO 27001:2008

11

Políticas de Seguridad de la InformaciónA.5

La Política de Seguridad de la Información de una organización debe definir lasdecisiones que ha tomado la organización en relación a la seguridad delalmacenamiento y procesamiento de la información. Este conjunto dedecisiones debería basarse en requisitos legales y regulatorios, en la demandadel mercado, en los objetivos de negocio y en la filosofía y cultura de laempresa.

En base a la Política de Seguridad de la Información se tomarán muchasmedidas de seguridad y se definirán otras políticas y documentos y todosdeberán estar alineados con la Política de Seguridad de la Información.

Todos los miembros de la organización, deben conocer la Política deSeguridad de la Información y deben comprometerse a cumplirla.

Debe existir un documento llamado Política de Seguridad de Información.

Objetivo: Proporcionar dirección y apoyo de la gerencia para la seguridad de la

información en concordancia con los requisitos del negocio y las leyes y regulaciones

relevantes.

RDE N° 081-2013 FONCODES-DE Políticas de Seguridad de Información

Organización de la Seguridad de InformaciónA.6

El SGSI (Sistema de Gestión de Seguridad de la Información) es el conceptocentral sobre el que se construye ISO 27001.La gestión de la seguridad de la información debe realizarse mediante unproceso sistemático, documentado y conocido por toda la organización.• Una Política de Seguridad de Información• Un Responsable de Seguridad de Información• Un Comité de Gestión de Seguridad de Información

Objetivo: Establecer un marco de referencia de gestión para iniciar y

controlar la implementación y operación de la seguridad de la información dentro de

la organización.

Seguridad en los Recursos Humanos

La seguridad en esta gestión debe tener en cuenta la selección y contratación, la formación de

empleados y la salida de la empresa.

El recurso humano, es el recurso más importante de la organización.

• Selección y contratación.

• Formación de empleados

• Finalización o cambio de puesto de trabajo

A.7

Objetivo: Asegurar que los empleados y contratistas entienden sus responsabilidades

y son convenientes para los roles para los que se les considera.

Gestión de Activos

Responsabilidad por los Activos:Lograr mantener la protección adecuada de los activos de la organización.Todos los activos se deben incluir y deben tener un dueño designado.Se deben identificar los dueños para todos los activos y asignar laresponsabilidad para el mantenimiento de los controles adecuados.La implementación de los controles específicos puede ser delegada por eldueño de la información según el caso, pero él sigue siendo responsable de laprotección adecuada de los activos.

Clasificación de la Información:Asegurar que la información recibe el nivel de protección adecuado.

La información se debería clasificar para indicar la necesidad, las prioridadesy el grado esperado de protección al manejar la información.La información tiene diferentes grados de sensibilidad e importancia. Algunoselementos pueden requerir un grado adicional de protección o manejoespecial

A.8

Objetivo: Identificar los activos de la organización y definir responsabilidades de

protección apropiadas.

Control de Accesos

Como parte de este dominio se desarrollan los lineamientos para la política de controlde acceso, la gestión de accesos de usuarios, los controles de acceso a la red, al

sistema operativo, a las aplicaciones y a la información. Además incluye las

consideraciones para el manejo de ordenadores portátiles y teletrabajo.

Gestión de acceso del usuarioA la hora de gestionar el control de acceso, es necesario definir unos

procedimientos que describan cómo gestionar los privilegios de los

usuarios.

Registro de usuarioGestión de privilegiosResponsabilidades de usuarioLa gestión de contraseñas.La protección de equipos desatendidos.Seguir una política de puesto de trabajo despejado y pantalla limpia.

A.9

Objetivo: Limitar el acceso a la información y a las instalaciones de procesamiento de

la información.

Criptografía

La introducción de algún control tiene que determinarse siempre conforme a laidentificación de cualquier riesgo que la empresa no asume, y cuya inversiónno puede llegar a más que el valor del activo el cual se protege, por lo queentonces no llegaría a ser rentable.Los datos tienen que estar sometidos al control y se tiene que saber qué tipode algoritmos de encriptación se han establecido para cada uno de los casos,siendo a lo largo de la recuperación de información, la gestión, la legislaciónaplicable, las responsabilidades de cada proceso y la reglamentación.

Se debe establecer un procedimiento que exponga como se ha de llevar acabo la generación de las claves y certificados, como se tiene que almacenar,como se debe actualizar, como se van a distribuir, o por consiguiente, revocar.

A.10

Objetivo: Asegurar el uso apropiado y efectivo de la criptografía para

proteger la confidencialidad, autenticidad y/o integridad de la información.

Seguridad Física y Ambiental

Los instalaciones que estén involucradas con los activos de información debencumplir con las normas de seguridad física y ambiental, para garantizar que lainformación manejada en éstas permanezca siempre protegida de accesosfísicos por parte de personal no autorizado o por factores ambientales que nose puedan controlar.La seguridad es proporcional a los riesgos identificados.Se debe evitar la pérdida, daño, robo o puesta en peligro de los activos y lainterrupción de las actividades de la Organización.

Las normas sobre seguridad física deben contener los controles de acceso apersonal no autorizado en las instalaciones y centros de procesamiento deinformación de la Organización, para garantizar la seguridad de los activos deinformación.

A.11

Objetivo: Impedir acceso físico no autorizado, daño e interferencia a la información y a

las instalaciones de procesamiento de la información de la organización

19

Seguridad en las Operaciones

• Procedimientos y responsabilidades de operación.• Gestión de servicios tercerizados.• Planificación y aceptación del sistema.• Protección contra software malicioso.• Gestión de respaldo y recuperación.• Gestión de seguridad en redes.

Utilización de los medios de informaciónIntercambio de informaciónServicios de comercio electrónicoMonitoreo.

A.12

Aplicar:Monitorización, Métricas eIndicadores, Incidentes,SeguridadGestionada, Vulnerabilidades,Formación, Gestión de Recursos,

etc.

Objetivo: Asegurar que las operaciones de instalaciones de procesamiento de la

información sean correctas y seguras.

20

Seguridad en las Comunicaciones

Manejo de los MediosEvitar la divulgación, modificación, retiro o destrucción de activos noautorizada, y la interrupción en las actividades del negocio. Estos medios sedeberían controlar y proteger de forma física.

Intercambio de la InformaciónMantener la seguridad de la información y delsoftware que se intercambian dentro de laorganización y con cualquier entidad externa.

Los intercambios de información y de software entrelas organizaciones se deberían basar en una políticaformal de intercambio, ejecutar según los acuerdosde intercambio y cumplir la legislacióncorrespondiente.Se deberían establecer procedimientos y normaspara proteger la información y los medios físicos Quecontienen información en tránsito.

A.13

Objetivo: Asegurar la protección de la información en las redes y sus instalaciones de

procesamiento de la información de apoyo.

21

Adquisición, Desarrollo y Mantenimiento de Sistemas

Este domino está dirigido a aquellas organizaciones que desarrollen softwareinternamente o que tengan un contrato con otra organización que sea laencargada de desarrollarlo. Se tiene que establecer los requisitos en la etapade implementación o desarrollo del software para que sea seguro.

Asegurar todos la infraestructura que soporta la información de laOrganización, proporcionándoles controles adecuados para proteger toda lainformación de propiedad de la Organización.

A.14Objetivo: Garantizar que la seguridad de la información es una parte integral de los

sistemas de información a través del ciclo de vida completo. Esto también incluye los

requisitos para sistemas de información que proporcionen servicios sobre redes

públicas.

22

Relaciones con ProveedoresA.15

En los tiempos de incertidumbre y altibajos económicos que corren, ¿lasempresas deben establecer relaciones a largo plazo con los proveedores oadoptar un enfoque flexible de la colaboración cliente-proveedor?

Entre esos “miembros de la tripulación” se cuentan no sólo los empleados dela propia empresa sino, además, los socios externos, siendo muchos losbeneficios que se derivan de una relación sólida y transparente con losclientes, lo cual proporciona una ventaja sostenible y segura.

(RSE) Responsabilidad Social Empresarial: “Hacer negocios basados en principios ético y apegados a la ley.La empresa (no el empresario) tiene un rol ante la sociedad, ante el entorno en el cual opera.

Objetivo: Asegurar protección a los activos de la organización que son accesibles por

los proveedores.

23

Gestión de Incidentes de Seguridad de la Información

Un incidente de seguridad es un evento o un conjunto de eventos, nodeseados o no esperados, que tienen una probabilidad significativa decomprometer las operaciones de negocio y amenazar la seguridad de lainformación.

Incidencias de seguridad siempre van a existir, siempre va a existir un riesgoresidual.Todas los incidentes de seguridad significativos deben quedar registradas.

El procedimiento de gestión de incidencias debe documentar cláramente losroles y responsabilidades de los actores participantes.

A.16 Objetivo: Asegurar un enfoque consistente y efectivo a la gestión de incidentes de

seguridad de la información, incluyendo la comunicación sobre eventos de seguridad y

debilidades.

24

Aspectos de la Seguridad de la Información dentro

de la Continuidad del Negocio

Objetivo: La continuidad de seguridad de la información debe estar embebida en los

sistemas de gestión de continuidad del negocio de la organización

• Incluir la Seguridad de la Información en el proceso de Gestión deContinuidad del Negocio.

• Continuidad del Negocio y Análisis de Riesgos.• Desarrollar Planes de Continuidad del Negocio incluyendo aspectos de

seguridad de la información.• Marco Referencial para la Planeación de la Continuidad del Negocio.• Prueba, mantenimiento y actualización de los planes de continuidad del

negocio.

A.17

25

CumplimientoA.18

Objetivo: Evitar infracciones de las obligaciones legales, estatutarias,

regulatorias o contractuales relacionadas a la seguridad de la información y a

cualquier requisito de seguridad.

Razones para Tener un Plan de Continuidad del

Negocio

Es mejor tener un plan para evitar la confusión durante el evento

– “Proactivo” Vs “Reactivo”

– Tomar las acciones correctivas cuando sea necesario

– Se deben establecer controles que mitiguen el riesgo

– Continuidad del servicio

– Respuesta ordenada ante un desastre

Objetivo de control:

Neutralizar las interrupciones a las actividades del negocio y proteger losprocesos críticos del negocio de los efectos de fallas mayores o desastres enlos sistemas de información y asegurar su reanudación oportuna.

ISO 27001:2008

26

Razones para Tener un Plan de Continuidad del

Negocio

Sismo / Terremoto Incendio

Indisponibilidad de los Sistemas

de Información

Terrorismo

Huelgas / Manifestaciones 27

Razones para Tener un Plan de Continuidad del

Negocio

28 de setiembre del 2013

Incendio en mesa redonda

28

Es un conjunto de actividades y procedimientos aprobados con el objetivoestructurar y organizar los recursos humanos y los medios de seguridaddisponibles de la organización, con el fin de preparar a todo el personal quelabora en él, a reaccionar en forma rápida, eficaz, oportuna y coordinadamenteen los primeros momentos que se presente una emergencia, hasta que lleguenlos servicios de ayuda exterior.

PLANES DE RESPUESTA A EMERGENCIASPCN

29

Es un conjunto de actividades y procedimientos aprobados, que define demanera precisa, las acciones a seguir para la optimización de las actividadesdesde el instante del incidente hasta la adopción, o no, del BCP / DRP.

PLANES DE GESTIÓN DE CRISIS (CMP)

30

BCP: Business Continuity Plan

DRP: Disaster Recovery Plan

¡Muchas Gracias…!

31

No ores por una vida fácil, ora para tener fuerza para aguantar una vida difícil.

Bruce Lee