Implantación de un
Sistema de Gestión de Seguridad
de la Información
Una visión práctica
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Introducción: Información
• Conjunto organizado de datos, que
constituyen un mensaje sobre un
determinado ente o fenómeno
• La información es un recurso que, como
otros aspectos importantes del negocio,
tiene valor para la Organización y requiere
en consecuencia una protección
adecuada
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Introducción: Información
• La Información es cada vez más esencial en los
procesos de negocio para:
– Gestionar efectivamente las operaciones de la
empresa
– Gestionar adecuadamente los recursos internos y
externos
– Obtener y mantener clientes y cuota de mercado
– Gestionar y mantener el conocimiento
– Conseguir o mantener una imagen de marca o
empresa
– La supervivencia del negocio
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Introducción: Activos
• Activo de información
– Cualquier cosa que tenga valor para una
organización
– Aquellos activos de una organización que
contienen, procesan, almacenan o transmiten
información
– Información de diferentes tipos con los que
una organización desarrolla su actividad y
que suelen ser vitales para el desarrollo
modelo de negocio de la organización
Introducción: Activos
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Introducción: Información
Confidencialidad
Disponibilidad
Integridad
La información no se
pone a disposición o
se revela a
individuos, entidades
o procesos no
autorizados
Salvaguardar la
exactitud y
completitud de la
información y de
sus métodos de
procesamiento
Los usuarios
autorizados tienen
acceso cuando lo
requieran a la
información y sus
activos asociados
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Introducción: Seguridad de la Información
La seguridad de la información se gestiona
implantando un conjunto adecuado de controles,
que pueden ser políticas, prácticas,
procedimientos, estructuras organizativas y
funciones software
ISO 27001
Especificaciones
para los SGSI
ISO 27002
Código de Buenas Prácticas
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
¡¡Se debe gestionar la seguridad,
no aparentarla!!
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Introducción: Gestión de la Seguridad de la
Información
Crear / Planificar
el SGSI
Mantener y
mejorar el SGSI
Requisitos y
expectativas
De la
seguridad
De la
información
Seguridad
de la
información
gestionada
Planificar
Hacer
Verificar
Actuar
Implementar y
operar el SGSI
Supervisar y
revisar el SGSI
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear / Planificar
el SGSI
Requisitos y
expectativas
De la
seguridad
De la
información
Seguridad
de la
información
gestionada
Planificar
Hacer
Verificar
Actuar
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Identificación
de activos
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Activo Confidenc. Disp. Integridad Propietario Administrador Descripción
Disponibilidad:
• No Aplicable
• Más de una semana
• Hasta una semana
• Hasta tres días
• Menos de 1 día
Integridad:
• No Aplicable
• Proceso podría finalizarse
• Finalización con errores graves
• No finalización del proceso
Confidencialidad:
• No Aplicable
• Uso público
• Reservado
• Confidencial
Crear / Planificar el SGSI:
Identificación de activos
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Identificación
de activos
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Identificación
de activos
Análisis riesgos
seguridad
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Análisis de riesgos
Identificación de amenazas
• Desastres
naturales
• Errores y fallos no
intencionados • Ataques
deliberados
• Desastres de
origen industrial
Fuego
Agua
Terremotos
…
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Análisis de riesgos
Identificación de amenazas
Identificación vulnerabilidades
Auditorías
Indicadores
Incidencias
y eventos Pruebas de
intrusión
Sistemas de
monitorización
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Análisis de riesgos
Identificación de amenazas
Identificación vulnerabilidades
Valorar probabilidad ocurrencia
Valorar impacto
Calcular nivel de riesgos
• Alta
• Media
• Baja • Alto
• Medio
• Bajo
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Análisis de riesgos
Identificación de amenazas
Identificación vulnerabilidades
Valorar probabilidad ocurrencia
Valorar impacto
Calcular nivel de riesgos
Definir estrategia
Valorar probabilidad ocurrencia
Valorar impacto
Calcular riesgo residual
• Alta
• Media
• Baja • Alto
• Medio
• Bajo
• Limitar el riesgo: implantar
controles
• Evitar el riesgo: eliminar la
causa
• Transferir el riesgo
• Aceptar el riesgo
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Identificación
de activos
Análisis riesgos
seguridad
Selección
controles
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
• Marco para la fijación de objetivos
• Directrices generales
• Alineada con estrategia empresarial
•Revisión periódica
Crear el SGSI: Controles
Política de Seguridad
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información
• Terceros
– Identificación de riesgos derivados de accesos de terceros
– Tratamiento de la seguridad en la relación con los clientes
– Tratamiento de seguridad en contratos con terceros
• Organización interna
– Comité de Seguridad
– Coordinación
– Responsabilidades
– Acuerdos de confidencialidad
– Contacto con las autoridades
– Contacto con grupos de
especial interés
– Revisión independiente de la
seguridad de la información
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
• Responsabilidades sobre
los activos:
– Inventario de activos
– Propiedad de los
activos
– Uso aceptable de los
activos
• Clasificación de la
información:
– Directrices de
clasificación
– Etiquetado y
manipulado de la
información
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
Seguridad ligada a los RRHH
• Antes de la contratación
– Funciones y responsabilidades
– Investigación de antecedentes
– Términos y condiciones de contratación
• Durante el empleo
– Responsabilidades
– Concienciación, formación y entrenamiento sobre la Seguridad de la Información
– Proceso disciplinario
• Finalización o cambio de empleo
– Responsabilidad del cese o cambio
– Devolución de activos
– Retirada de los derechos de acceso
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
Seguridad ligada a los RRHH Seguridad física y del entorno
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Controles: Seguridad física y del entorno
• Áreas seguras
– Perímetro de seguridad
física
– Controles físicos de
entrada
– Seguridad de las oficinas,
despachos e instalaciones
– Protección contra
amenazas externas y de
origen ambiental
– Trabajo en áreas seguras
– Áreas de acceso público,
de carga y de descarga
• Seguridad de los equipos
– Emplazamiento y
protección de los equipos
– Suministros
– Seguridad del cableado
– Mantenimiento de los
equipos
– Seguridad de los equipos
fuera de las instalaciones
– Reutilización o retirada
segura de los equipos
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
Seguridad ligada a los RRHH Seguridad física y del entorno
Gestión de las comunicaciones
y operaciones
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Controles: Gestión de las comunicaciones y
operaciones
• Planificación y aceptación del sistema
• Protección frente a código malicioso y código móvil
• Copias de seguridad
• Gestión de la seguridad de la red
• Gestión de soportes
• Intercambio de información
• Servicios de comercio electrónico
• Seguimiento
• Procedimientos operativos y responsabilidades
• Gestión de los servicios suministrados por terceros
• Planificación y aceptación del sistema
– Gestión de capacidades
– Aceptación del sistema
• Protección frente a código malicioso y código móvil
– Controles contra código malicioso
– Controles contra el código descargado en el cliente
• Copias de seguridad
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
Seguridad ligada a los RRHH Seguridad física y del entorno
Gestión de las comunicaciones
y operaciones Control de Accesos
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Controles: Control de Acceso
• Política de control de acceso
• Gestión de accesos de los usuarios – Usuarios
– Privilegios
– Contraseñas de usuarios
• Responsabilidades del usuario – Uso de contraseñas
– Equipo de usuario desatendido
– Política de puesto de trabajo despejado y pantalla limpia
• Control de acceso a la red – Política de uso de los
servicios de red
– Autenticación de usuarios para conexiones externas
– Identificación de los equipos en las redes
– Segregación de las redes
– Control de la conexión a la red
– Control de direccionamiento de redes
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Controles: Control de Acceso
• Control de acceso a los sistemas en operación – Procedimientos seguros de
inicio de sesión
– Identificación y autenticación de usuario
– Sistemas de gestión de contraseñas
– Uso de recursos del sistema
– Desconexión automática de sesión
– Limitación en el tiempo de conexión
• Control de acceso a las aplicaciones y la información – Restricción del acceso a la
información
– Aislamiento de sistemas sensibles
• Informática móvil y Teletrabajo – Ordenadores portátiles y
comunicaciones móviles
– Teletrabajo
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
Seguridad ligada a los RRHH Seguridad física y del entorno
Gestión de las comunicaciones
y operaciones Control de Accesos
Adquisición, desarrollo y
mantenimiento de los SSII
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Controles: Adquisición, desarrollo y
mantenimiento de los sistemas de información
• Requisitos de seguridad de los sistemas de información
• Procesamiento correcto en las aplicaciones – Validación de datos de
entrada
– Control del procesamiento interno
– Integridad de los mensajes
– Validación de los datos de salida
• Controles criptográficos
• Seguridad de los archivos de sistema – Control del software en
explotación
– Protección de los datos de prueba del sistema
– Control de acceso al código fuente de los programas
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Controles: Adquisición, desarrollo y
mantenimiento de los sistemas de información
• Seguridad en el desarrollo y procesos de asistencia técnica – Procedimientos de control de cambios
– Revisión técnica de las aplicaciones después de realizar cambios en el sistema operativo
– Restricciones a los cambios en los paquetes de software
– Fuga de información
– Externalización del desarrollo de software
• Gestión de las vulnerabilidades técnicas
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
Seguridad ligada a los RRHH Seguridad física y del entorno
Gestión de las comunicaciones
y operaciones Control de Accesos
Adquisición, desarrollo y
mantenimiento de los SSII
Gestión de
incidencias de seguridad
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Controles: Gestión de incidencias de seguridad
• Informar de las incidencias de seguridad y las debilidades – Notificación de los eventos de seguridad de la
información
– Notificación de los puntos débiles de la seguridad
• Gestión de los incidentes de la seguridad de la información y mejoras – Responsabilidades y procedimientos
– Aprendizaje de los incidentes de seguridad de la información.
– Recopilación de evidencias
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
Seguridad ligada a los RRHH Seguridad física y del entorno
Gestión de las comunicaciones
y operaciones Control de Accesos
Adquisición, desarrollo y
mantenimiento de los SSII
Gestión de
incidencias de seguridad
Gestión de la
continuidad del negocio
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Controles: Gestión de la continuidad del negocio
• Aspectos de la seguridad de la información de la gestión de la continuidad del negocio – Continuidad del negocio y evaluación de riesgos
– Desarrollo e implantación de planes de continuidad incluyendo en ellos la seguridad de la información
– Marco de referencia para la planificación de la continuidad de negocio
– Pruebas, mantenimiento y re-evaluación de los planes de continuidad
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
Seguridad ligada a los RRHH Seguridad física y del entorno
Gestión de las comunicaciones
y operaciones Control de Accesos
Adquisición, desarrollo y
mantenimiento de los SSII
Gestión de
incidencias de seguridad
Gestión de la
continuidad del negocio Cumplimiento legal
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Controles: Cumplimiento
• Conformidad con los requisitos
– Identificación de la legislación aplicable
– Derechos de propiedad intelectual
– Protección de los documentos de la organización
– Protección de datos y privacidad de la información personal
– Prevención del uso indebido de los recursos de tratamiento de la información
– Regulación de los controles criptográficos
• Conformidad con las políticas de seguridad y los estándares y conformidad técnica
– Cumplimiento de las políticas y normas de seguridad
– Chequeo de cumplimiento técnico
• Consideraciones de auditoría de los sistemas de información – Controles de auditoría de los
sistemas de información
– Protección de las herramientas de auditoría de sistemas de información
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Controles
Política de Seguridad
Aspectos organizativos de la
seguridad de la información Gestión de activos
Seguridad ligada a los RRHH Seguridad física y del entorno
Gestión de las comunicaciones
y operaciones Control de Accesos
Adquisición, desarrollo y
mantenimiento de los SSII
Gestión de
incidencias de seguridad
Gestión de la
continuidad del negocio Cumplimiento legal
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Identificación
de activos
Análisis riesgos
seguridad
Selección
controles
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Identificación
de activos
Análisis riesgos
seguridad
Selección
controles
Plan de Seguridad
Plan de Tratamiento
de Riesgos
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Identificación
de activos
Análisis riesgos
seguridad
Selección
controles
Plan de Seguridad
Plan de Tratamiento
de Riesgos
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI: Definir procesos, procedimientos
e indicadores
• Procesos y procedimientos – Gestión de Incidencias
– Gestión de No Conformidades
– Auditorías
– Revisión de Indicadores
– Control de Accesos
– Administración de usuarios
– Contratación de personas
– Baja laboral
– Seguridad Física
– Seguridad Lógica
– …
• Indicadores:
– Número de NC
Seguridad
– Número de incidencias
– % de Incidencias
– Tiempo de respuesta
– Tiempo de resolución
– % Éxito backups
– …
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Requisitos y
expectativas
De la
seguridad
De la
información
Seguridad
de la
información
gestionada
Planificar
Hacer
Verificar
Actuar
Implementar y
operar el SGSI
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Implementar y operar el SGSI
Plan de tratamiento
de riesgos
Implantar
controles
Gestionar
el sistema
Implantar
Procesos y
procedimientos
• Gestión de Incidencias
• Gestión de No Conformidades
• Auditorías
• Revisión de Indicadores
• Control de Accesos
• Administración de usuarios
• Contratación de personas
• Baja laboral
• Seguridad Física
• Seguridad Lógica
• …
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Implementar y operar el SGSI
Formación y
concienciación
El usuario siempre es el eslabón
más débil en una cadena de
seguridad informática, por lo tanto
siempre es el primero que es
atacado
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Requisitos y
expectativas
De la
seguridad
De la
información
Seguridad
de la
información
gestionada
Planificar
Hacer
Verificar
Actuar
Implementar y
operar el SGSI
Supervisar y
revisar el SGSI
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Supervisar y revisar el SGSI
Supervisión y
revisión Auditorías
• Plan de seguridad
• Controles
• Indicadores
• Problemas
• No Conformidades
• Incidencias
• Eventos
• Riesgos
• …
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear / Planificar
el SGSI
Mantener y
mejorar el SGSI
Requisitos y
expectativas
De la
seguridad
De la
información
Seguridad
de la
información
gestionada
Planificar
Hacer
Verificar
Actuar
Implementar y
operar el SGSI
Supervisar y
revisar el SGSI
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Mantener y mejorar el SGSI
Identificar mejoras
Aplicar medidas
Correctivas y preventivas
Bartomeu Fluxà Cabrer – Implantación de un SGSI – Una visión práctica
Crear el SGSI
Mantener y
mejorar el SGSI
Requisitos y
expectativas
De la
seguridad
De la
información
Seguridad
de la
información
gestionada
Planificar
Hacer
Verificar
Actuar
Implementar y
operar el SGSI
Supervisar y
revisar el SGSI
Tomeu Fluxà Cabrer
http://es.linkedin.com/in/tfluxa
Top Related