Sistemas de Gestin de Seguridad de la Informacin

REPBLICA BOLIVARIANA DE VENEZUELAUNIVERSIDAD RAFAEL BELLOSO CHACINDIVISIN DE POSTGRADODOCTORADO CIENCIA MENCIN GERENCIAParticipante:ING. Jairo Luis DazaRepblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*Docente:Dr. Guillermo Rodrguez Medina

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

ContenidoConcepto fundamentales, SGSIISO 27000, ISO 27002Planificar /Hacer /Verificar /Actuar

AuditoriasRepblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*INTRODUCCIN

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

INTRODUCCINLa certificacin bajo la norma ISO 27001 garantiza que unaempresa tiene implantado un SGSI y refuerza su imagen demarca.SGSIRepblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Es un conjunto de datos acerca de algn suceso, hecho, fenmeno o situacin, que organizados en un contexto determinado tienen un significado y que tiene el propsito de reducir la incertidumbre o incrementar el conocimiento de algo.Informacin existe en diferentes formatos:Capital HumanoImpresa o escrita en papelDispositivos de almacenamiento (Discos, CDs, etc)Oral (telfono, mvil, etc.)Video, fotos.Fuente: AREITIO, Javier Areitio Qu es Informacin?Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

La Informacin en las EmpresasEstos activos pueden ser clasificados de la siguiente forma:Activos de Informacin (datos, manuales de usuario, etc.)Documentos en Papel (contratos)Activos de software (aplicacin, software de sistema, etc.)Activos fsicos (computadores, medios magnticos, etc.)Personal (clientes, trabajadores)Imagen y reputacin de la organizacinServicios (comunicaciones, etc.)Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*Fuente: AREITIO, Javier Areitio

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

ConfidencialidadIntegridadDisponibilidad de la informacin La seguridad de informacin se caracteriza por la preservacin de:Qu es seguridad de la Informacin?Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Identificacin de AmenazasTipos de AmenazasRepblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*Fuente: ABC de la gestin de riesgo

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Tipos de VulnerabilidadesRepblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*Fuente: ABC de la gestin de riesgo

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Seguridad de la Informacin ?La informacin es un activo que como otros activos importantes tiene valor y requiere en consecuencia una proteccin adecuada.La informacin puede estar:Impresa o escrita en papel.Almacenada electrnicamente.Trasmitida por correo o medios electrnicosMostrada en filmes.Hablada en conversacin.Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene.Fuente: Enrique Daltabuit GodsRepblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Qu es norma ISO 27001?

ISO 27001 es una norma internacional emitida por la Organizacin Internacional de Normalizacin (ISO) y describe cmo gestionar la seguridad de la informacin en una empresa.

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*Fuente: http://www.iso.org/iso/home/standards/management-standards/iso27001.htm

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

SISTEMAS DE GESTIN DE SEGURIDAD DE LA INFORMACINEs una norma internacional que permite el aseguramiento, la confidencialidad e integridad de los datos y de la informacin, as como de los sistemas que la procesan.

Permite a las organizaciones la evaluacin del riesgo y la aplicacin de los controles necesarios para mitigarlos o eliminarlos.

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

SISTEMAS DE GESTIN DE SEGURIDAD DE LA INFORMACIN

Un Sistema de Gestin abarca una estructura, unos recursos, unos procesos y unos procedimienntos que tienden a poner en prctica los objetivos y politicas de una organizacin.

La Gestin de la seguridad de la informacion necesita medidad de seguridade tcnica, de procedimento, fsica, lgicas, de personal, y de gestin.

Fuente: AREITIO, Javier AreitioRepblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

SISTEMAS DE GESTIN LA SEGURIDAD DE LA INFORMACINISO 27001 se ha convertido en la principal norma a nivel mundial para la seguridad de la informacin y muchas empresas han certificado su cumplimiento:

Fuente: Encuesta ISO sobre certificaciones de la norma para sistemas de gestinRepblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

(Planificar /Hacer /Verificar /Actuar)El SGSI adopta el siguiente modelo para establecer, implementar, monitorear y mejorar.PHVAPlanificarVerificarHacer Actuar Definir la poltica de seguridad Establecer el alcance del SGSI Realizar los anlisis de riesgos Seleccionar los controles Implantar el plan de gestin de riesgos Implantar el SGSI Implantar los controles.Implantar indicadores. Revisiones del SGSI por parte de la Direccin.Realizar auditoras internas del SGSI Adoptar acciones correctivas Adoptar acciones preventivasRepblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Establecer el SGSI (Plan)Establecer la poltica de seguridad, objetivos, metas, procesos y procedimientos relevantes para manejar riesgos y mejorar la seguridad de la informacin para generar resultados de acuerdo con una poltica y objetivos marco de la organizacin.

Definir el alcance del SGSI a la luz de la organizacin.

Definir la Poltica de Seguridad.

Aplicar un enfoque sistmico para evaluar el riesgo.

No se establece una metodologa a seguir.Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Establecer el SGSI (Plan)Identificar y evaluar opciones para tratar el riesgoMitigar, eliminar, transferir, aceptar

Seleccionar objetivos de Control y controles a implementar (Mitigar).A partir de los controles definidos por la ISO/IEC 17799

Establecer enunciado de aplicabilidadRepblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Implementar y operar (Do)Implementar y operar la poltica de seguridad, controles, procesos y procedimientos.

Implementar plan de tratamiento de riesgos.Transferir, eliminar, aceptar

Implementar los controles seleccionados.MitigarAceptar riesgo residual.Firma de la alta direccin para riesgos que superan el nivel definido.Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Implementar y operar (Do)Implementar medidas para evaluar la eficacia de los controles

Gestionar operaciones y recursos.

Implementar programas de Capacitacin y concientizacin.

Implementar procedimientos y controles de deteccin y respuesta a incidentes.Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Monitoreo y Revisin (Check)Evaluar y medir la performance de los procesos contra la poltica de seguridad, los objetivos y experiencia practica y reportar los resultados a la direccin para su revisin.

Revisar el nivel de riesgo residual aceptable, considerando:Cambios en la organizacin.Cambios en la tecnologas.Cambios en los objetivos del negocio.Cambios en las amenazas.Cambios en las condiciones externas (ej. Regulaciones, leyes).Realizar auditorias internas.Realizar revisiones por parte de la direccin del SGSI.Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

21

Monitoreo y Revisin (Check)Se debe establecer y ejecutar procedimientos de monitoreo para:Detectar errores.Identificar ataques a la seguridad fallidos y exitosos.Brindar a la gerencia indicadores para determinar la adecuacin de los controles y el logro de los objetivos de seguridad.Determinar las acciones realizadas para resolver brechas a la seguridad.

Mantener registros de las acciones y eventos que pueden impactar al SGSI.

Realizar revisiones regulares a la eficiencia del SGSI.Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

21

Monitoreo y Revisin (Check)Se debe establecer y ejecutar procedimientos de monitoreo para:Detectar errores.Identificar ataques a la seguridad fallidos y exitosos.Brindar a la gerencia indicadores para determinar la adecuacin de los controles y el logro de los objetivos de seguridad.Determinar las acciones realizadas para resolver brechas a la seguridad.

Mantener registros de las acciones y eventos que pueden impactar al SGSI.

Realizar revisiones regulares a la eficiencia del SGSI.Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

21

Monitoreo y Revisin (Check)Se debe establecer y ejecutar procedimientos de monitoreo para:Detectar errores.Identificar ataques a la seguridad fallidos y exitosos.Brindar a la gerencia indicadores para determinar la adecuacin de los controles y el logro de los objetivos de seguridad.Determinar las acciones realizadas para resolver brechas a la seguridad.

Mantener registros de las acciones y eventos que pueden impactar al SGSI.

Realizar revisiones regulares a la eficiencia del SGSI.Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

22Mantenimiento y mejora del SGSI Tomar acciones correctivas y preventivas, basadas en los resultados de la revisin de la direccin, para lograr la mejora continua del SGSI.

Medir el desempeo del SGSI.Identificar mejoras en el SGSI a fin de implementarlas.Tomar las apropiadas acciones a implementar en el ciclo en cuestin (preventivas y correctivas). Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas.Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

MANUAL DE SEGURIDAD

Contenido de los documentosDescribe el sistema de gestin de la seguridadDescribe los procesos y las actividadesSon evidencias objetivas de la ejecucin de procesos, actividades o tareasDescribe tareas y requisitosDocumentacin del SGSIRepblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Etapas a seguir Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*Fuente: Ramiro Cid

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Requisitos de Certificacin del SGSILanorma establece requisitos para Establecer, Implementar y Documentar un SGSI. Definir el alcance del SGSI (fronteras)Definir una poltica de seguridadIdentificar activosRealizar el anlisis de riesgos de activos.Identificar las reas dbiles de los activoTomar decisiones para manejar el riesgoSeleccionar los controles apropiadosImplementar y manejar los controles seleccionados.Elaborar la declaracin de aplicabilidadRepblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*Fuente: http://www.iso.org/iso/home/standards/management-standards/iso27001.htm

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

26

Objetivos de auditoriaPara obtener la certificacin.Revisar conformidad con la norma (ISO/IEC 27001)Revisar grado de puesta en prctica del sistemaRevisar la eficacia y adecuacin en el cumplimiento de:Poltica de seguridadObjetivos de seguridadIdentificar las fallas y debilidades en la seguridadProporcionar una oportunidad para mejorar el SGSICumplir requisitos contractuales.Cumplir requisitos regulatorios.Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015Fuente: http://www.iso.org/iso/home/standards/management-standards/iso27001.htm

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Dentro de la auditoriaGua: persona de la empresa que acompaa al equipo auditor y le facilita la informacin solicitada. Normalmente ser el Responsable del Sistema de Gestin de la Seguridad de la Informacin. Representante de la direccin: persona con autorizacin suficiente en la empresa para confirmar la implicacin y compromiso de la direccin con las polticas de seguridad y aprobadas. Observadores, personal en formacin: normalmente personal de la empresa en formacin para auditor interno. Consultores: cuando la empresa contrata un consultor externo paraasesorarle en el desarrollo del SGSI, este puede asistir a la auditora pero no debe intervenir en ningn momento.Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Dentro de la auditoria del SGSIRepblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Dentro de la auditoria del SGSIRepblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Dentro de la auditoria del SGSIRepblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*Revisin Documental1. Poltica de seguridad de la organizacin.2. Alcance de la certificacin.3. Anlisis de riesgos de la organizacin4. La seleccin de controles de acuerdo con a declaracin de aplicabilidad.5. Revisin de la documentacin de los controles seleccionados.

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

BibliografiaAREITIO J,Javier Areitio, Seguridaddelainformacin.Redes,informticaysistemasdeinformacin, editorial paraninfo, 2008.

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*Daltabuit, E. y Hernandez, L. La seguridad de la informacin, Editorial: Limusa S.A, 2007

ISO/IEC 27001:2005: http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=42103ISO/IEC 27002:2005: http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=50297Ramir CidDirector de Seguridad | CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

PreguntasCundo y porque implantar un SGSI en una organizacin?Implantar un SGSI en una empresa no es precisamente cuando se le haya presentado un incidente de seguridad sobre su informacin, sino, cuando sta desea tener un crecimiento y posicionamiento ante un mercado exigente y global teniendo en cuenta que para ello, requerir del uso de la Tecnologa de la informacin y las comunicaciones para lograrlo.

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

PreguntasEs necesario certificarme en la ISO/IEC 27001:2005?

El hecho de que la empresa no se certifique no supone perjuicio para ella, pero si desea competir en un mercado globalizado, marcar un posicionamiento en la empresa y ampliar su cobertura es necesario que lo haga. Ya que le permite crear en los clientes la confianza de estar en una empresa con un alto grado de proteccin de la informacin que manejan y de la informacin que mantiene de ellos. Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

PreguntasExprese el proceso del SGSI?

Un buen SGSI puede ver como un ciclo cerrado, que comienza con la prevencin de amenaza, la reduccin de las mismas , la deteccin de incidentes y la contencin de los mismos. Los daos ocasionados se corrigen y se pasan a la recuperacin, seguida de la evaluacin y de nuevo, se vuelve al comienzo del ciclo con la prevencin de amenazas.

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

Gracias,,,Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015*

Repblica Bolivariana de Venezuela, Maracaibo, Mayo de 2015

*Maracaibo, Mayo de 2015Maracaibo, Mayo de 2015Maracaibo, Mayo de 2015*Maracaibo, Mayo de 2015*Dentro de una Empresa, la informacin es considerada un Activo (un recurso) que tiene valor o utilidad para sus operaciones comerciales y su continuidad. Por esta razn, esta informacin necesita tener proteccin para asegurar una correcta operacin del negocio y una continuidad en sus operaciones.

An asset is anything of value, something to protect or take care of (e.g. records, buildings).A resource is a source to get energy from (e.g knowledge)Maracaibo, Mayo de 2015Maracaibo, Mayo de 2015Maracaibo, Mayo de 2015*Maracaibo, Mayo de 2015*Information security: to prevent damage to something of value a thing that guards or guaranteesincludes protection of information with the following aspects:1. Confidentiality - users only have access to information to which they are authorised.2. Integrity - protection against unauthorised changes or damage; i. e. safeguarding the accuracy and completeness of the information. 3. Availability - information is available, in the correct context, when required by authorised users.Summary:ISMS breaks into three areas - Confidentiality, Integrity and Availability

High Confidentiallity will normally give low Availability and vice versa.Integrity (as per definition): the condition of being whole and undamaged

Maracaibo, Mayo de 2015Maracaibo, Mayo de 2015*Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o accin que puede producir un dao (material o inmaterial) sobre los elementos de un sistema, en el caso de laSeguridad Informtica, losElementos de Informacin.Maracaibo, Mayo de 2015Maracaibo, Mayo de 2015*La Vulnerabilidad es la capacidad, las condiciones y caractersticas del sistema mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algn dao.Maracaibo, Mayo de 2015Maracaibo, Mayo de 2015*Activo empresarialAn asset is anything of value, something to protect or take care of (e.g. records, buildings).A resource is a source to get energy from (e.g knowledge)Maracaibo, Mayo de 2015Maracaibo, Mayo de 2015significa una diferenciacin respecto al resto, que mejora la competitividad y la imagen de una organizacin.LaGestin de la Seguridad de la Informacinse complementa con las buenas prcticas o controles establecidos en la normaISO 27002*Maracaibo, Mayo de 2015Maracaibo, Mayo de 2015Un SGSI asegura la aptitud de un sistema de informacin en base a la disuasin, la proteccin, la deteccin, la respuesta y la capacidad de recuperacin, proporcionando las garantas en sus activos en base a la confidencialidad, la integralidad, la disponibilidad, las responsabilidad o auditoria, la autenticidad y la fiabilidad, teniendo en cuenta las amenaza percibidas. Un buen SGSI puede ver como un ciclo cerrado, que comienza con la prevencin de amenaza, la reduccin de las mismas , la deteccin de incidentes y la contencin de los mismos. Los daos ocasionados se corrigen y se pasan a la recuperacin, seguida de la evaluacin y de nuevo, se vuelve al comienzo del ciclo con la prevencin de amenazas.

*Maracaibo, Mayo de 2015Maracaibo, Mayo de 2015*Requisitos y expectativas ,,,,,,,,,,, Seguridad Gestionada

Maracaibo, Mayo de 2015Maracaibo, Mayo de 2015Equipo del solicitante:

Maracaibo, Mayo de 2015*Maracaibo, Mayo de 2015PROCESO DE CERTIFICACIN

Maracaibo, Mayo de 2015*Maracaibo, Mayo de 2015Equipo del solicitante:

Maracaibo, Mayo de 2015*Maracaibo, Mayo de 2015Por parte del equipo auditor, en esta primera fase se revisa:

Maracaibo, Mayo de 2015*Maracaibo, Mayo de 2015*Maracaibo, Mayo de 2015Maracaibo, Mayo de 2015