FORMULACIÓN DE UN MODELO ELECTRÓNICO Y UNA FORMULACIÓN DE UN MODELO ELECTRÓNICO Y UNA METODOLOGÍA QUE PERMITAN DISEÑAR, IMPLANTAR y METODOLOGÍA QUE PERMITAN DISEÑAR, IMPLANTAR y

MANTENER UN PLAN DEMANTENER UN PLAN DE SISTEMA DE GESTIÓN DE SEGURIDAD SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA PYMES: eDE LA INFORMACIÓN PARA PYMES: e--SGSISGSI

Tesis para optar al grado de Magister en Seguridad Informática y Protección de Información

UNIVERSIDAD CENTRAL DE CHILEFACULTAD DE CIENCIAS FÍSICAS Y MATEMÁTICAS

Eric José Donders Orellana2010

Profesor Guía: GABRIEL ROSENBERG LEVITProfesores Informantes: JULIO GODOY DEL CAMPO y PEDRO ESCÁRATE MONETTA

Agenda

Fundamentos

Estado del Arte

Objetivos

Introducción

Metodología

Servicio e-SGSI

Caso de Estudio

Resultados y Conclusiones

Introducción: Contexto

Gobierno de

Seguridad de las TIC’s

Seguridad de la Información

Gestión de Seguridad de la Información

Gobierno de Seguridad de la Información

¿Dónde se encuentra inmerso

este trabajo de Tesis?

Introducción: Antecedentes

�Seguridad de la Información

�ISO 27003

�Estado de Chile

�OCDE�OCDE

�Corfo

Introducción: Motivación

�Dado experiencias previas de

implantación de SGSI en grandes

organizaciones

�Existen desafíos importantes para

desarrollarlo en un PYME versus una desarrollarlo en un PYME versus una

organización grande

�Existe una oportunidad de negocio de

implantar el SGSI en el Estado

Objetivo: Objetivo General

Disminuir los tiempos y costos de Implementación de un Sistema de Gestión de Seguridad de la información para las PYMES en el mediano plazo, en para las PYMES en el mediano plazo, en conformidad con la norma ISO 27001 y dar cumplimiento a las mejores prácticas según lo establecido en la norma ISO 27002

Objetivo: Objetivos Específicos

• Diseño de una Plataforma Electrónica paraimplantar SGSI en PYMES

• Diseño de una Metodología de Implantación de unSGSI para PYMES

• Elaboración de un programa de trabajo para elLevantamiento de los Procesos de PYMES

• Generación de un Análisis Diferencial (estudio debrechas) para PYMES

• Elaboración de un Programa de Trabajo paraimplantar y mantener un SGSI para PYMES••Elaboración de un curso para Capacitación paraPYMES.

• Generación de un conjunto de Políticas de Seguridadde la Información para PYMES

• Elaboración de un informe ejecutivo final paraPYMES

Introducción: Trabajo

MetodologíaPlataforma

Electrónica

ee--SGSISGSI

Estado del Arte en Gobierno de Seguridad de la Información: GRC

GobiernoSeguridad

Información

Gobernabilidad de Seguridad de la Información GSI

http://www.itgi.org/

ISACA Organización de profesionales de Seguridad

http://www.isaca.org/

Gobierno

RiesgosCumplimie

nto

Estado del Arte en Gestión de Seguridadde la Información: SGSI

GestiónSeguridad

Información

http://www.iso27000.es/http://www.27000.org/iso-27003.htm

Fundamentos

� ISO 9001

� NCh2909-2004

� CMM (Capability Maturity Model)

� COSO y COBIT en el ámbito de la Auditoría

� Balanced Score Card y Métricas

� ITIL (IT Infrastructure Library)� ITIL (IT Infrastructure Library)

� ISO 20000 Gestión de Servicio TI

� Serie ISO 27000

� (ISO 27001, ISO 27002, ISO 27005, ISO 27003)

� Ciclo de Demming PDCA

� Gestión de Riesgo

� PPI

� Plataforma Comercio Electrónico e-commerce

e-SGSI

Tesis

Metodología: Propuesta

� Metodología de Implantación de un SGSI

Metodología: Levantamiento de Procesos en una PYME

� Metodología para el levantamiento de procesos en la organización

Metodología: Identificación de Activos de Información

� Metodología de las Elipses en la

Identificación de activos de la

Información

� Clasificación de activos de la

Información

� Por cada activo se indica su nivel de

confidencialidad, integridad y

disponibilidad

� Cada activo se asigna ranking de

1 (bajo) a 5 (alto) según tabla

Metodología: Análisis y Evaluación de Riesgos

� Roles y Responsabilidades � Análisis de Amenazas y

Vulnerabilidades

� Matriz de Riesgo

Muy Alta 5 2 3 4 5 5

Alta 4 2 2 4 5 5

Moderada 3 1 2 3 4 5

Baja 2 1 1 3 4 4

Muy Baja 1 1 1 3 4 4

1 2 3 4 5Insignificante Menor Moderado Mayor Muy Alto

IMPACTO

PROBABILIDAD

Metodología: Tratamiento de Riesgos

� Flujo de Decisiones del CSI

Metodología: Análisis Diferencial de Seguridad básico

Lo mínimo de acuerdo a la ISO

27002

Controles de Controles

Legislativos

Controles de prácticas de la seguridad de la

información

Metodología: Evaluación de Controles

Evaluación de controles

Evaluación de controles basado

en ISO 27002

Evaluación de Controles

Asociados a las TI

Aplicaciones

Administración y

Gestión de

Comunicaciones y

Operaciones

Metodología: Resumen de Evaluación

� Resumen de la evaluación de controles basado en ISO 27002 (un Ejemplo)

CláusulaObjetivo

de Control

Práctica EsperadaDocume

ntos

AplicaS/N Score

RiesgoTipo Clase

Fortaleza

Nivel Exposición

6.2.1

Formación y capacitación en materia de seguridad de la información

A pesar de los mecanismos deseguridad que se implanten esta siemprerecae en último término en los usuarios.Es necesario establecer programas queenseñen a los usuarios que es laseguridad y cómo les protegen losdistintos controles existentes, además deconcienciarlesde la necesidadde la

Si Si 4 C M 1 3

información concienciarlesde la necesidadde laseguridad.

Cláusula: Indica el objetivo específico

Objetivo de Control: Establece lo que se

debe lograr

Práctica Esperada: La acción a realizar

Documentos de referencia: Documentos

de la organización

Aplica S/N: Indica si el control aplica o no

Score de Riesgo: Indica el nivel de riesgo

obtenido en la evaluación de riesgos

Tipo: Indica el tipo control (P, D, C)

Clase: Indica la naturaleza del control (M, S, A)

Fortaleza: Tipo*Clase

Nivel de Exposición: Indica el nivel de

exposición del control

Metodología: Iniciativas y Proyectos

� Conjunto estructurado y priorizado con la lista de actividades inmediatas

y las propuestas de proyectos de segurización orientados al mediano y

largo plazo.

Sección ISO

Ámbito Temporal

Actividad o Proyecto

3 Largo Plazo Proyecto de Implantación de Procedimientos de S.I.

4 Largo Plazo Cooperación con organizaciones externas

5Actividad Inmediata

Difusión de Política de Clasificación de la Información

5Mediano

PlazoEfectuar una clasificación de Activos

6Actividad Inmediata

Charlas de sensibilización a empleados

Metodología: Métricas

ADMINISTRACIÓN DE LA CONTINUIDAD DE LOS NEGOCIOS

DESARROLLO Y MANTENIMIENTO DE SISTEMAS.

CONTROL DE ACCESOS

GESTIÓN DE COMUNICACIONES Y OPERACIONES

SEGURIDAD FÍSICA Y AMBIENTAL

SEGURIDAD DEL PERSONAL

CLASIFICACIÓN Y CONTROL DE ACTIVOS

SEGURIDAD ORGANIZACIONAL

POLITICA DE SEGURIDAD

% de Cumplimiento por Sección según Modelo ISO 1779 9:2000

� % de cumplimiento por sección

de los controles

� Madurez de los controles

por área

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

CUMPLIMIENTO LEGALES

0% 20% 40% 60% 80%

1

INTERCAMBIOS DE INFORMACIÓN YSOFTWARE 8.7

ADMINISTRACIÓN Y SEGURIDAD DE LOSMEDIOS DE ALMACENAMIENTO 8.6

ADMINISTRACIÓN DE LA RED 8.5

MANTENIMIENTO 8.4

PROTECCIÓN CONTRA SOFTWAREMALICIOSO 8.3

PLANIFICACIÓN Y APROBACIÓN DESISTEMAS 8.2

PROCEDIMIENTOS Y RESPONSABILIDADESOPERATIVAS 8.1

� Detalle del % de cumplimiento por sección de los

controles, por ejemplo área de Gestión y Operaciones.

Metodología: Plan de Implantación SGSI

� “El Como”

Aportes de la Metodología

� PYME

� No solo el Que sino el Como con entregables bien

definidos

� Es flexibles a cambios futuros

� Es aplicable, es una metodología simple

Plataforma e-SGSI: Fuentes de Información

� Sitios Web de Seguridad

• ISC2

• CERT/CC

� Profesionales de Seguridad y Organización de

Seguridad Internacional y Local (Chile)

• ISACA y Capítulo chileno de ISACA

• ISSA y Capítulo chileno de ISSA

Consultoría Tradicional versus e-sgsi

• Tradicional • e-sgsi

Plataforma e-SGSI: Atributos

• Atributos de valor de la

plataforma e-SGSI

– Operación

– Adaptación

– Reutilización de los procesos

de la organización

• Requerimientos de un e-SGSI

de la organización

– Adaptación de las cadenas

de valor asociadas al SGSI

– Posicionamiento como un

atributo de calidad

– Toma de decisión en tiempo

real

Plataforma e-SGSI: Requerimientos y modelo

� Uso del modelo electrónico B2B

para el e-SGSI

� Plataforma e-SGSI desarrollado

hasta el prototipo

Servicio e-SGSI: Prototipo

• Plataforma e-SGSI

• Toolkit de

Implantación

Caso de Negocios: Descripción

� El sistema de Gestión de la Seguridad de la Información (SGSI) se aplicó a

todas las actividades de la Dirección de Presupuesto (DIPRES) establecidas

en los sistemas PMG (Programa de Mejoramiento de la Gestión) que se

encuentran en proceso de acreditación externa, bajo norma ISO 9001:2000,

vale decir:

• Servicio Planificación-Control de Gestión

• Servicio Capacitación• Servicio Capacitación

• Servicio de Compras y Abastecimiento

• Servicio de Higiene y Seguridad

• Servicio de Auditoría Interna

� http://www.dipres.cl/transparencia/doc/honorarios01/2007/hon01.asp

Caso de Negocios: Actividades y Entregables

� “Diagnostico ISO 27001”

EtapaDuración

(días)

Inicio del proyecto 5

Definición del SGSI 10

Gestión de Activos 10

� El caso de negocio permitió validar

los entregables de la metodología

propuesta y así dar cumplimiento a

los objetivos específicos de la tesis

� Programa de Trabajo para

proyecto de consultoría

Material del curso de capacitaciónGestión de Activos 10

Análisis y Evaluación de Riesgos 10

Tratamiento de Riesgos 15

Revisión de fase de planificación 10

� Duración

� 3 meses (60 días hábiles)

� Costo Aprox.

� 300 UF

� Material del curso de capacitación

� Políticas Actuales revisadas

� Diagramas de Procesos

� Políticas faltantes

� Cartera de Proyectos

� Plan de Implantación

Resultados con un par de ejemplos

� Reducción de riesgos

� Gestión de código malicioso;

la activación de Virus en el

interior de la organización

Perdida anual sin Gestión AV

US$25.000 = (5000*5)

Perdida anual con Gestión AV

US$5.000 = (5000*1)US$5.000 = (5000*1)

� Cumplimiento Legal

� Publicación de una política de

cumplimiento del derecho de

propiedad intelectual de

software que defina el uso

legal de productos de

información y de software

Resultados: Costos

� Costo de Implantación de un SGSI

Fase1: Diagnóstico ISO 27001. Evaluar la

condición en que se encuentra el ámbito

a ser certificado respecto de los

estándares que impone la norma

� Costo de Implantación de un SGSI

Fase 1 + Fase2 : Consultoría SGSI.

Implantación de la Norma SGSI 27001

en el ámbito que se determine

Conclusiones

� La aplicación de la metodología desarrollada en esta tesis

mediante la plataforma e-sgsi en el caso de negocio

permiten emitir dos conclusiones.

� La metodología propuesta es aplicable, es decir, permite

implantar un SGSI en la PYMEimplantar un SGSI en la PYME

� El uso de la plataforma e-sgsi en su calidad de prototipo

permiten en forma efectiva acortar los tiempos y costos de

implantar un SGSI en la PYME

Lo que sigue

� Desarrollo de un proyecto CORFO que permita transformar el

prototipo en producto final y crear el plan de negocios para su

venta

� Desarrollo de un nuevo PMG (Programa de Mejoramiento de � Desarrollo de un nuevo PMG (Programa de Mejoramiento de

Gestión) de Gobierno para la implantación de un SGSI en el

Estado

“Cuando los vientos de cambios “Cuando los vientos de cambios soplan, algunos construyen refugios y soplan, algunos construyen refugios y se ponen a salvo… otros construyen se ponen a salvo… otros construyen

molinos y se hacen ricos”molinos y se hacen ricos”(Claus (Claus MöllerMöller))