DanielRomagoza
seguridadInformtica
Politicas deseguridad:iso27001/27002
QueeslaISO27001/27002?LaISO27001esunEstndarInternacionaldeSistemasdeGestindeSeguridaddelaInformacinquepermiteaunaorganizacinevaluarsuriesgoeimplementarcontrolesapropiadosparapreservarlaconfidencialidad,laintegridadyladisponibilidaddelvalordelainformacin.
LaISO27002es unconjuntodecontrolessobrelasmejoresprcticasparalaseguridaddelainformacin
Historiade27001
Historiade27002DesarrollodelEstndarISO/IEC27002: 2000ISO/IEC17799:2000Cdigodebuenasprcticas 2002UNEISO/IEC17799Cdigodebuenasprcticas 2004UNE71502EspecificacionesSGSI 2005ISO17799:2005.Cdigodebuenasprcticas 2007ISO/IEC27001EspecificacionesSGSI 2007ISO/IEC17799ISO/IEC27002 2013ISO/IEC27001:2013.Borradorfinalen07/2013.
Normaafinesde2013.Estaversintendr114controlesen14dominios(enIa actualversinson133controlesen11dominios).
ObjetivosAdquirirconocimientosymetodologasdeimplementacindemedidasdeseguridaddeacuerdoconlosrequerimientosdeunSISTEMADEGESTIONDESEGURIDADDELAINFORMACION,basadosprincipalmenteenlasNormasISO27001/27002: Identificacindelosrequerimientosespecficosdelanorma
ISO27002ensus11dominios. Comprenderelprocesodeadecuarlacompaaparalograrla
certificacinISO27001 Talleresprcticosdeimplementaciones:solucionesy
problemasocurridos.
Pordondeempezamos?
Preguntasbiensimples:
CUALESELACTIVOMASIMPORTANTEDELA
EMPRESA???
Pordondeempezamos?
Preguntasbiensimples:
QUESUCESOS/INCIDENTESIMPACTARIANMASENEL
NEGOCIO???
Pordondeempezamos?
Preguntasbiensimples:
QUIENESSONLASPERSONASCLAVESAPROTEGER???
Pordondeempezamos?
Preguntasbiensimples:
CUALESSONLASPROCESOSMASIMPORTANTESDELA
ORGANIZACION???
Pordondeempezamos?
Preguntasbiensimples:
CUALESSONLASINSTALACIONES,MAQUINAS,EQUIPOSMASCOSTOSOS???
Comovaloramosomedimosloanterior
Confidencialidad:Accesiblesloaaquellaspersonasautorizadasateneracceso.
Integridad:Exactitudytotalidaddelainformacinylosmtodosde
procesamiento.
Disponibilidad:Accesoalainformacinyalosrecursosrelacionadosconella
todovezqueserequiera.
Pordondeempezamos?
Preguntasbiensimples:
QUEDICEELULTIMOINFORMEDEAUDITORIAEXTERNAO
INTERNA???
Visindeunaauditoria
Pordondeempezamos?
Preguntasbiensimples:
QUESUCESOS/INCIDENTESHARIANQUEMEDESPIDAN???
ESASPREGUNTASYALGUNASMASSONLASQUENOSAYUDANAHACEREL
RISKASSESMENT
PARALUEGOPODERDEFINIREL
INFORMATIONSECURITYMANAGEMENTSYSTEM
INFORMATIONSECURITYMANAGEMENTSYSTEM
QUETAMBIENREQUIEREDE
PROTECCIONLOGICAYFISICADEREDESYEQUIPOSTECNOLOGICOS
PROTECCIONFISICADEMAQUINARIASSEGURIDADDEEJECUTIVOS
INTELIGENCIAYCONTRAINTELIGENCIA
INFORMATIONSECURITYMANAGEMENTSYSTEM
ASPECTOSLEGALESANALISISFORENSE
CONTINUIDADDELNEGOCIOCONCIENTIZACIONDEUSUARIOSCUMPLIMIENTODENORMAS
PROTECCIONDETELEFONICAFIJAYMOVILPROTECCIONDEVIDEOCONFERENCIAS,MICROFONOS
ETCETC
YENTONCESPORDONDEEMPIEZOLAPROTECCIONDE
LASAMENAZAS?
NECESARIAMENTEHAYQUEHACEREL
RISKASSESMENT
ENLAORGANIZACION
PARALUEGOPODERDEFINIREL
INFORMATIONSECURITYMANAGEMENTSYSTEM
Principalesriesgosysuimpactoenlosnegocios
Principalesriesgosyamenazas:InstalacindefaultEscalamientodeprivilegiosPassword crackingPuertosvulnerablesabiertosMan inthe middleExploitsServiciosdeloginexistentesoquenosonchequeadosDenegacindeServicioltimosparchesnoinstaladosBackup inexistentesDesactualizacinPortScanningKeyloggingReplayAttack
Principalesriesgosyamenazas:
CapturadePCdesdeelexteriorMailannimosconinformacincriticaoconagresionesRobodeinformacinSpammingViolacindeemailDestruccindeequipamientoViolacindecontraseaIntercepcinymodificacindeemailVirusIncumplimientodeleyesyregulacionesViolacindeprivacidaddelosempleadosEmpleadosDeshonestosIngenieraSocialFraudesInformticosProgramasBomba
Principalesriesgosyamenazas:
ProgramasBombaInterrupcindeServiciosDestruccindesoportesdocumentalesAccesoClandestinoaredesRobooextravidenotebooksAccesoindebidoadocumentosimpresosSoftwareilegalIndisponibilidaddeinformacinclaveIntercepcindecomunicacionesFalsificacindeinformacinparatercerosAgujerosdeSeguridadconectadas.
PrincipalesriesgosysuimpactoenlosnegociosEnestostiposdeproblemasesdificil:
Darsecuentaquepasan,hastaquepasan.
Podercuantificarloseconmicamente,porejemplo cuntolecuestaalacompaa4horassinsistemas?
Podervinculardirectamentesusefectossobrelosresultadosdelacompaa.
Principalesriesgosysuimpactoenlosnegocios
SePuedeestarpreparadoparaqueocurranlomenosposible:
Singrandesinversionesensoftware Sinmuchaestructuradepersonal Hardenning.
TanSolo:
OrdenandolaGestindeSeguridad Parametrizandolaseguridadpropiadelossistemas UtilizandoherramientaslicenciadasylibresenlaWeb
Identificacinderiesgosensucompaa
IdentificacinderiesgosensucompaiaPersonasyOrganizacin
Dentroy/ofuera
Competidores Empleadosdescontentos Proveedores Clientes Hackers Consultoresincompany Compaias Asociadas
IdentificacinderiesgosensucompaiaDondehayinformacinsensible
EnlosSistemasCentrales EnlasPCs EnlasLaptops EnlosEmail EnContratos Endocumentosimpresos Enloslegajosdelpersonal EnlosServidores EnserviciosenlaNube
NORMASAPLICABLES
Information System andAudit ControlAssociation ISACA:COBIT BritishStandards Institute:BS InternationalStandards Organization:NormasISO DepartamentodeDefenza deUSA:OrangeBook/Common Criteria ITSEC Information Technology SecurityEvaluation Criteria:WhiteBook SansInstitute,SecurityFocus,etc Sarbanes Oxley Act,BasileaII,HIPAAAct,LeyesNACIONALES OSSTMM,ISM3,ISO17799:2005,ISO27001,ISO27002 PCI
Elegimoslamsaceptadaanivelmundial
NormaISO27002(exISO17799)GestindeSeguridad
NormasdeGestinISO ISO9001 Calidad ISO14001 Ambiental
ISO27002 SeguridaddelaInformacinNORMALIZACION(MejoresPrcticas)
ISO27001 CERTIFICACIONdeSeguridaddelaInformacin
NormasISO27002SeguridaddelaInformacin
Estorganizadaencaptulosenlosquesetratanlosdistintoscriteriosasertenidosencuentaencadatemaparallevaradelanteunacorrecta:
GESTIONDESEGURIDADDELAINFORMACIONAlcanceRecomendacionesparalagestindelaseguridaddelainformacinBasecomnparaeldesarrollodeestndaresdeseguridad
NormasISO27002(exISO1779versin2005)1. Politica deSeguridad2. OrganizacindeSeguridad3. AdministracindeActivos4. SeguridaddelosRecursosHumanos5. SeguridadFsicayAmbiental6. Gestindecomunicacionesyoperaciones7. Sistemasdecontroldeaccesos8. Adquisicin,DesarrolloyMantenimientodeSistemasde
Informacin9. AdministracindeIncidentesdeSeguridaddelaInformacin10. PlandeContinuidaddelNegocio11. Cumplimiento
NormaISO27002SeguridaddelaInformacinPreservarla:
Confidencialidad:Accesiblesloaaquellaspersonasautorizadasateneracceso.
Integridad:Exactitudytotalidaddelainformacinylosmtodosde
procesamiento.
Disponibilidad:Accesoalainformacinyalosrecursosrelacionadosconella
todovezqueserequiera.
ComoseimplementaunprogramadeGestindeSeguridaddela
Informacin(ISMS)?
PorquImplementarunISMS/SISTEMADEGESTIONISO?
Algunasconsideracionesgeneralesdeporquimplementarlo
ParapodertenerunaMetodolgicadedicadaalaseguridaddeinformacinreconocidainternacionalmente.
ContarconunprocesodefinidoparaEvaluar,Implementar,ManteneryAdministrarlaseguridaddelainformacin.
Diferenciarseenelmercadodeotrasorganizaciones
Satisfacerrequerimientosdeclientes,proveedoresyOrganismosdecontralor.
PotencialesDisminucionesdecostoseinversiones
FORMALIZARlasresponsabilidadesoperativasyLEGALESdelosUSUARIOSInternosyExternosdelainformacin
Cumplircondisposicioneslegales(porej.LeyesdeProteccindeDatos,Privacidad,etc.)
TenerunaMetodologia parapoderADMINISTRARlosRIESGOS
SGSISISTEMADEGESTIONDESEGURIDADDELAINFORMACIONEstbasadoenelModeloutilizadoporlasNORMASISOenGeneral:
Factorescrticosdelxito:
Polticadeseguridad,objetivosyactividadesquereflejenlosobjetivosdelaempresa;
Unaestrategiadeimplementacindeseguridadqueseaconsecuenteconlaculturaorganizacional;
Apoyoycompromisomanifiestoporpartedelagerencia; UnClaroentendimientodelosrequerimientosdeseguridad,
laevaluacinderiesgosylaadministracindelosmismos; Comunicacineficazdelostemasdeseguridadatodoslos
gerentesyempleados.
Factorescrticosdelxito:
Distribucindeguassobrepolticasyestndaresdeseguridaddelainformacinatodoslosempleadosycontratistas;
Instruccinyentrenamientoadecuados; Unsistemaintegralyequilibradodemedicinqueseutilice
paraevaluareldesempeodelagestindelaseguridaddelainformacinyparabrindarsugerenciastendientesamejorarlo.
PrincipalesPASOSaseguirenlaIMPLEMENTACIONdelSGSIImplementacindelSGSIen12PASOS:
ParaunentendimientoPRACTICOdelProcesodeIMPLEMENTACIONdelSGSI,sedefinenacontinuacinlasprincipalesTAREASaincluirenelPLANdeACCIONson:
PrincipalesPASOSaseguirenlaIMPLEMENTACIONdelSGSI1)DefinirelalcancedelSGSIdesdeelpuntodevistadelascaractersticasdelaactividad,laorganizacin,suubicacin,susactivosysutecnologa.
.
PrincipalesPASOSaseguirenlaIMPLEMENTACIONdelSGSI2)DefinirunapolticaGENERALdelSGSI.
PrincipalesPASOSaseguirenlaIMPLEMENTACIONdelSGSI3)DefinirunaMetodologaparalaCLASIFICACIONdelosRIESGOS4)IdentificaryValorarlosriesgos
PrincipalesPASOSaseguirenlaIMPLEMENTACIONdelSGSI5)IdentificarydefinirALTERNATIVASparaeltratamientoderiesgos:
PrincipalesPASOSaseguirenlaIMPLEMENTACIONdelSGSI6)SeleccionarobjetivosdecontrolycontrolesespecficosaIMPLEMENTAR7)PrepararunaDDADeclaracindeAplicabilidad
PrincipalesPASOSaseguirenlaIMPLEMENTACIONdelSGSI8)ObtenerlaaprobacindelaDireccinde: DDADeclaracindeAplicabilidad RiesgosResidualesnoCubiertos
PrincipalesPASOSaseguirenlaIMPLEMENTACIONdelSGSI9)FormularunplanCONCRETOyDETALLADOpara: Tratamientodelosriesgos ControlesaImplementar Programasdeentrenamientoyconcientizacindeusuarios GestionarelSGSI Procesosdedeteccinyrespuestaalosincidentesdeseguridad
PrincipalesPASOSaseguirenlaIMPLEMENTACIONdelSGSI10)ImplementarlosCONTROLES ControlesenlosProcesosdeUsuarios ControlesAutomticosenlasTecnologas DocumentacinRespaldara RegistrosRespaldatorios
11)RealizarRevisionesPeridicas(AuditoriasInternaylaDireccin): ControlesImplementados NuevosRiesgos RiesgosResiduales
12)ImplementarlasmejorasidentificadasenelSGSI
COMOESTABLECERLOSREQUERIMIENTOSDESEGURIDAD
Evaluarlosriesgos: Seidentificanlasamenazasalosactivos SeEvalanVulnerabilidadesyprobabilidadesdeocurrencia Seestimaelimpactopotencial
Requisitoslegales,normativos,reglamentariosycontractualesquedebencumplir: Laorganizacin Sussocioscomerciales Loscontratistasylosprestadoresdeservicios
Conjuntoespecificodeprincipios,objetivosyrequisitosparaelprocesamientodelainformacin,quehadesarrolladolaorganizacinpararespaldarsusoperaciones.
PrincipalescontrolesdefinidosencadaunodelosdominiosdelaISO27002
DominiosdeNormaISO27002
Dominio1 PolticadeSeguridad
Dominio1 PolticadeSeguridad
Proteccinfsica Autorizacin
PolticadeSeguridad
Confiabilidad
Confidencialidad
disponibilidad
EficaciaEficiencia
Exactitud
Integridad
Legalidad
Propiedad
Dominio1 PolticadeSeguridad
ManualdeGestindeSeguridadPolticaGeneral
Normas
ProcedimientosEstndarTcnicos
DominiosdeNormaISO27002
Dominio2 OrganizacindelaSeguridad
Dominio2:ORGANIZACINDELASEGURIDAD
Principalesrolesyfunciones:
Sponsoreo yseguimiento DireccindelaCompaa Foro/ComitdeSeguridad/Altadireccion
Autorizacin Dueodedatos/responsabledeinformacion quieneslomanejan
Definicin readeSeguridadInformatica readeLegales
Dominio2:ORGANIZACINDELASEGURIDAD
Principalesrolesyfunciones:
Administracin AdministradordeSeguridad
CumplimientoDirecto UsuariosFinales Tercerosypersonalcontratado readeSistemas
Control AuditoriaInterna AuditoriaExterna
DominiosdeNormaISO27002
Dominio3 AdministracindeActivos
Dominio3:AdministracindeActivos
1.Identificacindelainformacinmscritica
Identificarinformacin:culeslamscrtica
Identificacindelossistemas/equipos/documentosdondeseconservalainformacin
Dominio3:AdministracindeActivos
2.Identificacindelosprincipalesriesgos
Parafacilitarlaidentificacindelosriesgosmascrticossepuedenutilizarlassiguientescategoras:
Fraudesinformticos Ataquesexternosalasredes Modificacionesnoautorizadasdedatosporempleados Accesoydifusininoportunadedatossensibles Faltadedisponibilidaddelossistemas Softwareilegal Faltadecontroldeusodelossistemas Destruccindeinformacinyequipos.
Dominio3:AdministracindeActivos
Segnsuorigensepuedenagruparen:
Naturales Intencionales Nointencionales
EstosRiesgospuedenserclasificadosenlossiguientestipos:
Difusinindebida Alteracinnoautorizada Faltadedisponibilidad
Dominio3:AdministracindeActivos
3.Clasificacindelainformacinteniendoencuentalosriesgosidentificados
1. Anlisisdelosprincipalesriesgosalaqueestaexpuesta2. CategorizacinenConfidencial,RestringidaoPblica3. Identificacinparadeterminarsiseencuentraenmedioselectrnicosy/o
enmediosfsicos4. Aprobacindelossectores/usuariosquedebenaccederala
informacincrticaconpermisos5. Consolidacin
DominiosdeNormaISO27002
Dominio4 SeguridaddelosRecursosHumanos
Dominio4:SeguridaddelosRecursosHumanos
4.1.Seguridadenladefinicindepuestosdetrabajoylaasignacinderecurso
Objetivo:
Reducirlosriesgosdeerrorhumano,robo,fraudeousoinadecuadodeinstalaciones
Lasresponsabilidadesenmateriadeseguridaddebenser: Explicitadasenlaetapadereclutamiento Incluidasenloscontratos Monitoreadasduranteeldesempeocomoempleado
Dominio4:SeguridaddelosRecursosHumanos
4.2.Capacitacindelusuario
Objetivo:
Garantizarquelosusuariosestnalcorrientedelasamenazaseincumbenciasenmateriadeseguridaddelainformacin,yestncapacitadospararespaldarlapolticadeseguridaddelaorganizacineneltranscursodesustareasnormales.
Dominio4:SeguridaddelosRecursosHumanos
4.3.Procesodisciplinario
Debeexistirunprocesodisciplinarioformalparalosempleadosqueviolenlaspolticasyprocedimientosdeseguridaddelaorganizacin.
DominiosdeNormaISO27002
Dominio5 SeguridadFsicayAmbiental
Dominio5:SEGURIDADFISICAYAMBIENTAL
Proteccinde:
Sedes Instalaciones DocumentosImpresos
DominiosdeNormaISO27002
Dominio6 GestindeOperacionesyComunicaciones
Dominio6:Gestion deoperacionesycomunicaciones
6.1.Procedimientosyresponsabilidadesoperativas
Objetivo:
Garantizarelfuncionamientocorrectoysegurodelasinstalacionesdeprocesamientodelainformacin.
Sedebenestablecerlasresponsabilidadesyprocedimientosparalagestion yoperacindetodaslasinstalacionesdeprocesamientodeinformacin
Sedebeimplementarlaseparacindefuncionescuandocorresponda.
DominiosdeNormaISO27002
Dominio7 SistemadeControldeAccesos
Dominio7:SISTEMADECONTROLDEACCESOS
7.1 Requerimientosdenegocioparaelcontroldeaccesos
Objetivo:
Controlarelaccesodeinformacin.
Dominio7:SISTEMADECONTROLDEACCESOS
Polticadecontroldeaccesos
Requerimientospolticosydenegocios:
LasReglasyderechoselcontroldeaccesos,paracadausuarioogrupodeusuario,debenserclaramenteestablecidosenunadeclaracindepolticadeaccesos:
Requerimientosdeseguridaddecadaunadelasaplicacionescomerciales Identificacindetodainformacinrelacionadaconlasaplicaciones
comerciales Polticasdedivulgacinyautorizacindeinformacin
Dominio7:SISTEMADECONTROLDEACCESOS
Coherenciaentrelaspolticasdecontroldeaccesoydeclasificacindeinformacindelosdiferentessistemasyredes;
Legislacinaplicableyobligacionescontractualesconrespectoalaproteccindelaccesoadatosyservicios;
Perfilesdeaccesodeusuariosestndar,comunesacadacategoradepuestosdetrabajo;
Administracindederechosdeacceso.
DominiosdeNormaISO27002
Dominio8 Adquisicin,DesarrolloyMantenimientodeSistemasde
Informacin
Dominio8:Adquisicin,DesarrolloyMantenimientodeSistemasdeInformacin
8.1Requerimientosdeseguridaddelossistemas.
Objetivo
Asegurarquelaseguridadesincorporadaalossistemasdeinformacin.
Losrequerimientosdeseguridaddebenseridentificadosyaprobadosantesdeldesarrollodelossistemasdeinformacin.
DominiosdeNormaISO27002
Dominio9 AdministracindeincidentesdeSeguridaddela
Informacin
Dominio9:AdministracindeIncidentesdeSeguridaddelaInformacin
Respuestaaincidentesyanomalasenmateriadeseguridad
Objetivo:
Minimizareldaoproducidoporincidentesyanomalasenmateriadeseguridad,ymonitoreardichosincidentesyaprenderdelosmismos.
Dominio9:AdministracindeIncidentesdeSeguridaddelaInformacin
Losincidentesqueafectenlaseguridaddebensercomunicadosmediantecanalesgerenciales.
Sedebeconcientizaratodoslosempleadosycontratistasacercadelosprocedimientosdecomunicacindelosdiferentestiposdeincidentes.
Laorganizacindebeestablecerunprocesodisciplinarioformalparaocuparsedelosempleadosqueperpetrenviolacionesdelaseguridad.
DominiosdeNormaISO27002
Dominio10 PlandeContinuidaddelNegocio
Dominio10:PlandeContinuidaddelnegocio
Principalesetapas
Clasificacindelosdistintosescenariosdedesastres Evaluacindeimpactoenelnegocio Desarrollodeunaestrategiaderecuperacin Implementacindelaestrategia Documentacindelplanderecuperacin Testeoymantenimientodeplan
DominiosdeNormaISO27002
Dominio11 Cumplimiento
Dominio11:Cumplimiento
11.1Cumplimientoderequisitoslegales
Objetivo:
Impedirinfraccionesyviolacionesdelasleyesdelderechocivilypenal;delasobligacionesestablecidasporleyes,estatutos,normas,reglamentosocontratos;ydelosrequisitosdeseguridad.
Dominio11:Cumplimiento
11.2Revisindelapolticadeseguridadylacompatibilidadtcnica
Objetivo:
Garantizarlacompatibilidaddelossistemasconlospolticasyestndares(normas)deseguridaddelaorgranizacion.
Dominio11:Cumplimiento
11.3Consideracionesdeauditoriadesistemas
Objetivo:
Optimizarlaeficaciadelprocesodeauditoriadesistemasyminimizarlosproblemasquepudieraocasionarelmismo,olosobstculosquepudieranafectarlo.
Debenexistircontrolesqueprotejanlossistemasdeoperacionesylasherramientasdeauditoriaeneltranscursodelasauditoriasdesistemas.
Asimismo,serequiereunaproteccinadecuadaparasalvaguardarlaintegridadyevitarelusoinadecuadodelasherramientasdeauditoria.
Visindeunaauditoria
Definicion deunapolitica basicadeseguridad
Breve Clara Implementable PuestaenmarchaporlaDireccin Difundidaalpersonalyterceros
DefinicindeunaPolticabsicadeSeguridad
Proteccinfsica Autorizacin
PolticadeSeguridad
Confiabilidad
Confidencialidad
disponibilidad
EficaciaEficiencia
Exactitud
Integridad
Legalidad
Propiedad
Accinconcreta:PlanoNormativo
Principalesrolesyfunciones:
Sponsoreo yseguimiento DireccindelaCompaa Foro/ComitdeSeguridad/Altadireccion
Autorizacin Dueodedatos/responsabledeinformacion quieneslomanejan
Definicin readeSeguridadInformatica readeLegales
Principalesrolesyfunciones:
Administracin AdministradordeSeguridad
CumplimientoDirecto UsuariosFinales Tercerosypersonalcontratado readeSistemas
Control AuditoriaInterna AuditoriaExterna
Accinconcreta:PlanoNormativo
Definicion deunsistemadepremiosycastigosensucompaia:
DefinicindeaccionesasancionarymedidasdisciplinariasaimponercomunicacinalpersonalyterceroincompanyUtilizacion deconveniosdeconfidencialidad
Accinconcreta:PlanoEjecutivo
Mejorasenlosprocesosdearea deSistemas Administracindeusuariosypermisosenlossistemas Separacindeambientesdetrabajo LicenciaslegalesdeSoftware CopiasdeRespaldo SeguridadFsicadelasinstalacionesyRecursos Prevencindevirusyprogramasmaliciosos Seguridadenlascomunicaciones Auditoriasautomticoyadministracindeincidentesdeseguridad Usodelcorreoelectrnico Usodeserviciosdeinternet. Implementarmantenimientopreventivoycorrectivo Implementarmonitoreodesistemashelp desk Capacitacion alpersonal Creacion de intranet de seguridad
FINDanielRomagoza.
Top Related