Taller Nacional Sistema de Seguridad de la Información
Transcript of Taller Nacional Sistema de Seguridad de la Información
Taller NacionalSistema de Seguridad de la
Información
Departamento de Gestión
Sectorial TIC
Octubre 2014
1. Introducción, fundamentos y definiciones sobre laSeguridad de la Información.
2. Estructura de la Norma NCh-ISO 27001.Of2009.
3. Revisión de dominios del SSI.
4. Buenas Práctica en la implementación de un SSI.
TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION
Agenda
2
Cualquiera sea la forma que tome la información o los medios porlos que se comparta o almacene, debería ser siempre protegida deforma adecuada.
NCh-ISO 27001.Of2009.
SEGURIDAD DE LA INFORMACION
4
La gestión de la seguridad de la información busca proteger todos los activos de información con el fin de asegurar su
Confidencialidad, Integridad y Disponibilidad
SEGURIDAD DE LA INFORMACION
Información
Disponibilidad
5
Información correcta
Para la persona correcta
En el momento correcto
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACION
SEGURIDAD DE LA INFORMACION
9
ACTIVOS
Activos de Información
Datos digitales: Bases de datos, copias de seguridad, claves
Activos tangibles: correos, libros,
archivadores, llaves
Activos intangibles: conocimiento,
relaciones
Software
Sistemas Operativos
Activos Físicos
Infraestructura de TI: CPD, edificios, oficinas
Equipamiento : Hardware, estaciones de trabajo, portátiles,
discos duros…
Controles del entorno TI, aire acondicionado,
alarmas
Activos de Servicios TI
Servicios de autentificación, servicios de red
Activos Humanos
Funcionarios
Externos
10
Desastres naturales
Ataques internos
Acciones no autorizadas
Interrupciones de servicio
Ataques externosRobos de medios o información
SEGURIDAD DE LA INFORMACIONEjemplos de Amenaza de los Activos
OBJETIVO DEL SISTEMA DE SEGURIDAD DE LA INFORMACIÓN
Lograr niveles adecuados de integridad,disponibilidad y confidencialidad para toda lainformación institucional relevante, con elobjeto de asegurar la continuidad operacionalde los procesos y servicios.
11
SISTEMA DE SEGURIDAD DE LA INFORMACION
¿Cómo se conforma un Sistema de Seguridad de la información?
ACTUAR PLANIFICAR
HACERVERIFICAR
¿Qué es el Sistema de Seguridad de la Información?
• Acciones preventivas y
correctivas (corrección de no
conformidades del SGSI)
• Conformar el Comité de
Seguridad.
• Nombrar al Encargado de
Seguridad.
• Definir la Política de Seguridad
de la Información.
• Definir el Alcance del SGSI.
• Definir el tratamiento de Riesgos.
• Implementar los controles (ISO
27001)
• Definir el sistema de métricas.• Revisar la efectividad del
SGSI (cumplimiento de
políticas, objetivos,
procedimientos, etc.)
• Auditorías.
• Revisión del Encargado de
Seguridad
• Revisiones del Comité de
Seguridad.
• Reducción de Riesgos.
• Contar con un proceso definido para Administrar laseguridad de la información
• Una mejora continua en la gestión de la seguridad.
• Una garantía de continuidad y disponibilidad del negocio.
• Reducción de los costos vinculados a los incidentes.
• Cumplimiento Legal
13
Por qué es necesario un Sistema de Seguridad de la Información?
Sistema de Seguridad de la Información (SSI),Estructura
11 Dominios
39 Objetivos
133
Controles
Dominio ObjetivosControles/Requisitos
Política de Seguridad 1 2
Organización de la Seguridad de la Información 2 11
Gestión de Activos 2 5
Seguridad de Recursos Humanos 3 9
Seguridad Física y Ambiental 2 13
Gestión de las comunicaciones y las operaciones 10 32
Control de acceso 7 25
Adquisición, desarrollo y mantenimiento de los sistemas de información
6 16
Gestión de incidentes de SI 2 5
Gestión de la continuidad del negocio 1 5
Cumplimiento 3 10
TOTAL (11) 39 133
DOMINIO 5: POLITICA DE SEGURIDAD
OBJETIVO
Proporcionar orientación y apoyo de la dirección para la seguridad de la información, de acuerdo con los requisitos delnegocio y con las regulaciones y leyes pertinentes.
Información correcta
Para la persona correcta
En el momento correcto
DOMINIO 6: ORGANIZACION DE LA SEGURIDAD DE LA INFORMACION
DIRECCION
AREAS AREAS AREAS
COMITEENCARGADO
DE SEGURIDAD
OBJETIVO
Establecer un marco referencial a nivel directivo para iniciar y controlar la implementación de la Seguridad de laInformación dentro de la institución.
• Aprueba las políticas de seguridad• Valida el proceso de gestión de
Seguridad de la Información• Sanciona las estrategias y mecanismos
de control para el tratamiento deriesgos
• Aprueba los recursos necesarios para laejecución de SGSI
DOMINIO 7: GESTION DE ACTIVOS
OBJETIVO
Lograr y mantener una apropiada protección de los activos institucionales. Todos los activos deben ser inventariados ycontar con un propietario nombrado.
Todos los activos relevantes deben ser
inventariados
DOMINIO 8: SEGURIDAD RELATIVA A LOS RECURSOS HUMANOS
OBJETIVO
Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles paralos cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios.
DOMINIO 9: SEGURIDAD FISICA Y DEL AMBIENTE
OBJETIVO
Este dominio consiste en prevenir el acceso no autorizado, daño e interferencia a las instalaciones de la institución y a lainformación.Los equipos de procesamiento de información crítica o sensible de la institución se deben mantener en áreas seguras,protegidos por un perímetro de seguridad definido, con barreras apropiadas de seguridad y controles de entrada. Éstosdeben estar físicamente protegidos del acceso no autorizado, daño e interferencia.
DOMINIO 10: GESTION DE COMUNICACIONES Y OPERACIONES
OBJETIVOS
• Documentar las operaciones (Procedimientos Documentados)• Gestionar los servicios provistos por terceros.• Minimizar los riesgos de fallas e integridad de los sistemas.• Garantizar la integridad y disponibilidad de la información (respaldos)• Proteger la información en redes y la infraestructura de soporte.• Proteger los intercambios de información y software.
DOMINIO 11: CONTROL DE ACCESO
OBJETIVOS
• Gestión de los accesos de los usuarios.• Responsabilidades del usuario.• Control de acceso a la red.• Control de acceso al sistema operativo.• Control de acceso a las aplicaciones y a la información.
DOMINIO 12: ADQUISICION, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS
OBJETIVOS
• Requisitos de seguridad para los sistemas de información.• Procesamiento correcto de las aplicaciones (pérdida, modificación o mal uso de la información).• Seguridad en los procesos de desarrollo y soporte.
Requisitos de
seguridad
Procesamiento
correcto de las
aplicaciones
Seguridad en los
procesos de
desarrollo
DESARROLLO
DE SISTEMAS
DOMINIO 13: GESTION DE INCIDENTES DE LA SEGURIDAD DE INFORMACION
OBJETIVO
Asegurar que las debilidades y eventos de seguridad sean comunicados y gestionados.
DOMINIO 14: GESTION DE LA CONTINUIDAD DEL NEGOCIO
OBJETIVOS
Contrarrestar interrupciones a las actividades del negocio y proteger los procesos críticos del negocio contra los efectosde fallas importantes en los sistemas de información o contra desastres, y asegurar su restauración oportuna.
DOMINIO 15: CUMPLIMIENTO
OBJETIVOS
• Asegurar que los sistemas cumplen con las normas y políticas de seguridad de la organización.• Evitar los incumplimientos de cualquier ley, estatuto, regulación, u obligación contractual, y de cualquier requisito de
seguridad.
Cumplir normas y políticas de seguridad.
Evitar incumplimientos de leyes,
estatutos, etc..
26
BUENAS PRACTICAS EN AL IMPLEMENTACION DE UN SISTEMA DE SEGURIDAD DE LA INFORMACION
1. Conformar el Comité de Seguridad de la Información (obtener el
compromiso de la Dirección).
2. Nombrar al Encargado de Seguridad de la Información.
3. Establecer la Política General de Seguridad.
4. Definir el alcance del Sistema (procesos de generación de productos
y servicios).
5. Identificar los activos de información.
6. Levantar los riesgos asociados a los activos.
7. Implementar los procesos para mitigar los riesgos (Políticas,
procedimientos, instructivos).
27
Link Minsal: http://web.minsal.cl/seguridad_de_la_informacion
Dipres:http://www.dipres.gob.cl/594/w3-propertyvalue-16887.html
Sistema de Seguridad de la Información (SSI),Documentación de Seguridad
28
Sistema de Seguridad de la Información (SSI),
Rodrigo Vidal Arteaga [email protected] teléfono 2 57 40049
José Villa Catalán [email protected] teléfono 2 57 40020