Un Modelo Electrónico y una Metodología de un SGSI para PYMES (e-SGSI)
-
Upload
eric-donders-orellana -
Category
Documents
-
view
1.644 -
download
6
Transcript of Un Modelo Electrónico y una Metodología de un SGSI para PYMES (e-SGSI)
FORMULACIÓN DE UN MODELO ELECTRÓNICO Y UNA FORMULACIÓN DE UN MODELO ELECTRÓNICO Y UNA METODOLOGÍA QUE PERMITAN DISEÑAR, IMPLANTAR y METODOLOGÍA QUE PERMITAN DISEÑAR, IMPLANTAR y
MANTENER UN PLAN DEMANTENER UN PLAN DE SISTEMA DE GESTIÓN DE SEGURIDAD SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN PARA PYMES: eDE LA INFORMACIÓN PARA PYMES: e--SGSISGSI
Tesis para optar al grado de Magister en Seguridad Informática y Protección de Información
UNIVERSIDAD CENTRAL DE CHILEFACULTAD DE CIENCIAS FÍSICAS Y MATEMÁTICAS
Eric José Donders Orellana2010
Profesor Guía: GABRIEL ROSENBERG LEVITProfesores Informantes: JULIO GODOY DEL CAMPO y PEDRO ESCÁRATE MONETTA
Agenda
Fundamentos
Estado del Arte
Objetivos
Introducción
Metodología
Servicio e-SGSI
Caso de Estudio
Resultados y Conclusiones
Introducción: Contexto
Gobierno de
Seguridad de las TIC’s
Seguridad de la Información
Gestión de Seguridad de la Información
Gobierno de Seguridad de la Información
¿Dónde se encuentra inmerso
este trabajo de Tesis?
Introducción: Antecedentes
�Seguridad de la Información
�ISO 27003
�Estado de Chile
�OCDE�OCDE
�Corfo
Introducción: Motivación
�Dado experiencias previas de
implantación de SGSI en grandes
organizaciones
�Existen desafíos importantes para
desarrollarlo en un PYME versus una desarrollarlo en un PYME versus una
organización grande
�Existe una oportunidad de negocio de
implantar el SGSI en el Estado
Objetivo: Objetivo General
Disminuir los tiempos y costos de Implementación de un Sistema de Gestión de Seguridad de la información para las PYMES en el mediano plazo, en para las PYMES en el mediano plazo, en conformidad con la norma ISO 27001 y dar cumplimiento a las mejores prácticas según lo establecido en la norma ISO 27002
Objetivo: Objetivos Específicos
• Diseño de una Plataforma Electrónica paraimplantar SGSI en PYMES
• Diseño de una Metodología de Implantación de unSGSI para PYMES
• Elaboración de un programa de trabajo para elLevantamiento de los Procesos de PYMES
• Generación de un Análisis Diferencial (estudio debrechas) para PYMES
• Elaboración de un Programa de Trabajo paraimplantar y mantener un SGSI para PYMES••Elaboración de un curso para Capacitación paraPYMES.
• Generación de un conjunto de Políticas de Seguridadde la Información para PYMES
• Elaboración de un informe ejecutivo final paraPYMES
Introducción: Trabajo
MetodologíaPlataforma
Electrónica
ee--SGSISGSI
Estado del Arte en Gobierno de Seguridad de la Información: GRC
GobiernoSeguridad
Información
Gobernabilidad de Seguridad de la Información GSI
http://www.itgi.org/
ISACA Organización de profesionales de Seguridad
http://www.isaca.org/
Gobierno
RiesgosCumplimie
nto
Estado del Arte en Gestión de Seguridadde la Información: SGSI
GestiónSeguridad
Información
http://www.iso27000.es/http://www.27000.org/iso-27003.htm
Fundamentos
� ISO 9001
� NCh2909-2004
� CMM (Capability Maturity Model)
� COSO y COBIT en el ámbito de la Auditoría
� Balanced Score Card y Métricas
� ITIL (IT Infrastructure Library)� ITIL (IT Infrastructure Library)
� ISO 20000 Gestión de Servicio TI
� Serie ISO 27000
� (ISO 27001, ISO 27002, ISO 27005, ISO 27003)
� Ciclo de Demming PDCA
� Gestión de Riesgo
� PPI
� Plataforma Comercio Electrónico e-commerce
e-SGSI
Tesis
Metodología: Propuesta
� Metodología de Implantación de un SGSI
Metodología: Levantamiento de Procesos en una PYME
� Metodología para el levantamiento de procesos en la organización
Metodología: Identificación de Activos de Información
� Metodología de las Elipses en la
Identificación de activos de la
Información
� Clasificación de activos de la
Información
� Por cada activo se indica su nivel de
confidencialidad, integridad y
disponibilidad
� Cada activo se asigna ranking de
1 (bajo) a 5 (alto) según tabla
Metodología: Análisis y Evaluación de Riesgos
� Roles y Responsabilidades � Análisis de Amenazas y
Vulnerabilidades
� Matriz de Riesgo
Muy Alta 5 2 3 4 5 5
Alta 4 2 2 4 5 5
Moderada 3 1 2 3 4 5
Baja 2 1 1 3 4 4
Muy Baja 1 1 1 3 4 4
1 2 3 4 5Insignificante Menor Moderado Mayor Muy Alto
IMPACTO
PROBABILIDAD
Metodología: Tratamiento de Riesgos
� Flujo de Decisiones del CSI
Metodología: Análisis Diferencial de Seguridad básico
Lo mínimo de acuerdo a la ISO
27002
Controles de Controles
Legislativos
Controles de prácticas de la seguridad de la
información
Metodología: Evaluación de Controles
Evaluación de controles
Evaluación de controles basado
en ISO 27002
Evaluación de Controles
Asociados a las TI
Aplicaciones
Administración y
Gestión de
Comunicaciones y
Operaciones
Metodología: Resumen de Evaluación
� Resumen de la evaluación de controles basado en ISO 27002 (un Ejemplo)
CláusulaObjetivo
de Control
Práctica EsperadaDocume
ntos
AplicaS/N Score
RiesgoTipo Clase
Fortaleza
Nivel Exposición
6.2.1
Formación y capacitación en materia de seguridad de la información
A pesar de los mecanismos deseguridad que se implanten esta siemprerecae en último término en los usuarios.Es necesario establecer programas queenseñen a los usuarios que es laseguridad y cómo les protegen losdistintos controles existentes, además deconcienciarlesde la necesidadde la
Si Si 4 C M 1 3
información concienciarlesde la necesidadde laseguridad.
Cláusula: Indica el objetivo específico
Objetivo de Control: Establece lo que se
debe lograr
Práctica Esperada: La acción a realizar
Documentos de referencia: Documentos
de la organización
Aplica S/N: Indica si el control aplica o no
Score de Riesgo: Indica el nivel de riesgo
obtenido en la evaluación de riesgos
Tipo: Indica el tipo control (P, D, C)
Clase: Indica la naturaleza del control (M, S, A)
Fortaleza: Tipo*Clase
Nivel de Exposición: Indica el nivel de
exposición del control
Metodología: Iniciativas y Proyectos
� Conjunto estructurado y priorizado con la lista de actividades inmediatas
y las propuestas de proyectos de segurización orientados al mediano y
largo plazo.
Sección ISO
Ámbito Temporal
Actividad o Proyecto
3 Largo Plazo Proyecto de Implantación de Procedimientos de S.I.
4 Largo Plazo Cooperación con organizaciones externas
5Actividad Inmediata
Difusión de Política de Clasificación de la Información
5Mediano
PlazoEfectuar una clasificación de Activos
6Actividad Inmediata
Charlas de sensibilización a empleados
Metodología: Métricas
ADMINISTRACIÓN DE LA CONTINUIDAD DE LOS NEGOCIOS
DESARROLLO Y MANTENIMIENTO DE SISTEMAS.
CONTROL DE ACCESOS
GESTIÓN DE COMUNICACIONES Y OPERACIONES
SEGURIDAD FÍSICA Y AMBIENTAL
SEGURIDAD DEL PERSONAL
CLASIFICACIÓN Y CONTROL DE ACTIVOS
SEGURIDAD ORGANIZACIONAL
POLITICA DE SEGURIDAD
% de Cumplimiento por Sección según Modelo ISO 1779 9:2000
� % de cumplimiento por sección
de los controles
� Madurez de los controles
por área
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
CUMPLIMIENTO LEGALES
0% 20% 40% 60% 80%
1
INTERCAMBIOS DE INFORMACIÓN YSOFTWARE 8.7
ADMINISTRACIÓN Y SEGURIDAD DE LOSMEDIOS DE ALMACENAMIENTO 8.6
ADMINISTRACIÓN DE LA RED 8.5
MANTENIMIENTO 8.4
PROTECCIÓN CONTRA SOFTWAREMALICIOSO 8.3
PLANIFICACIÓN Y APROBACIÓN DESISTEMAS 8.2
PROCEDIMIENTOS Y RESPONSABILIDADESOPERATIVAS 8.1
� Detalle del % de cumplimiento por sección de los
controles, por ejemplo área de Gestión y Operaciones.
Metodología: Plan de Implantación SGSI
� “El Como”
Aportes de la Metodología
� PYME
� No solo el Que sino el Como con entregables bien
definidos
� Es flexibles a cambios futuros
� Es aplicable, es una metodología simple
Plataforma e-SGSI: Fuentes de Información
� Sitios Web de Seguridad
• ISC2
• CERT/CC
� Profesionales de Seguridad y Organización de
Seguridad Internacional y Local (Chile)
• ISACA y Capítulo chileno de ISACA
• ISSA y Capítulo chileno de ISSA
Consultoría Tradicional versus e-sgsi
• Tradicional • e-sgsi
Plataforma e-SGSI: Atributos
• Atributos de valor de la
plataforma e-SGSI
– Operación
– Adaptación
– Reutilización de los procesos
de la organización
• Requerimientos de un e-SGSI
de la organización
– Adaptación de las cadenas
de valor asociadas al SGSI
– Posicionamiento como un
atributo de calidad
– Toma de decisión en tiempo
real
Plataforma e-SGSI: Requerimientos y modelo
� Uso del modelo electrónico B2B
para el e-SGSI
� Plataforma e-SGSI desarrollado
hasta el prototipo
Servicio e-SGSI: Prototipo
• Plataforma e-SGSI
• Toolkit de
Implantación
Caso de Negocios: Descripción
� El sistema de Gestión de la Seguridad de la Información (SGSI) se aplicó a
todas las actividades de la Dirección de Presupuesto (DIPRES) establecidas
en los sistemas PMG (Programa de Mejoramiento de la Gestión) que se
encuentran en proceso de acreditación externa, bajo norma ISO 9001:2000,
vale decir:
• Servicio Planificación-Control de Gestión
• Servicio Capacitación• Servicio Capacitación
• Servicio de Compras y Abastecimiento
• Servicio de Higiene y Seguridad
• Servicio de Auditoría Interna
� http://www.dipres.cl/transparencia/doc/honorarios01/2007/hon01.asp
Caso de Negocios: Actividades y Entregables
� “Diagnostico ISO 27001”
EtapaDuración
(días)
Inicio del proyecto 5
Definición del SGSI 10
Gestión de Activos 10
� El caso de negocio permitió validar
los entregables de la metodología
propuesta y así dar cumplimiento a
los objetivos específicos de la tesis
� Programa de Trabajo para
proyecto de consultoría
Material del curso de capacitaciónGestión de Activos 10
Análisis y Evaluación de Riesgos 10
Tratamiento de Riesgos 15
Revisión de fase de planificación 10
� Duración
� 3 meses (60 días hábiles)
� Costo Aprox.
� 300 UF
� Material del curso de capacitación
� Políticas Actuales revisadas
� Diagramas de Procesos
� Políticas faltantes
� Cartera de Proyectos
� Plan de Implantación
Resultados con un par de ejemplos
� Reducción de riesgos
� Gestión de código malicioso;
la activación de Virus en el
interior de la organización
Perdida anual sin Gestión AV
US$25.000 = (5000*5)
Perdida anual con Gestión AV
US$5.000 = (5000*1)US$5.000 = (5000*1)
� Cumplimiento Legal
� Publicación de una política de
cumplimiento del derecho de
propiedad intelectual de
software que defina el uso
legal de productos de
información y de software
Resultados: Costos
� Costo de Implantación de un SGSI
Fase1: Diagnóstico ISO 27001. Evaluar la
condición en que se encuentra el ámbito
a ser certificado respecto de los
estándares que impone la norma
� Costo de Implantación de un SGSI
Fase 1 + Fase2 : Consultoría SGSI.
Implantación de la Norma SGSI 27001
en el ámbito que se determine
Conclusiones
� La aplicación de la metodología desarrollada en esta tesis
mediante la plataforma e-sgsi en el caso de negocio
permiten emitir dos conclusiones.
� La metodología propuesta es aplicable, es decir, permite
implantar un SGSI en la PYMEimplantar un SGSI en la PYME
� El uso de la plataforma e-sgsi en su calidad de prototipo
permiten en forma efectiva acortar los tiempos y costos de
implantar un SGSI en la PYME
Lo que sigue
� Desarrollo de un proyecto CORFO que permita transformar el
prototipo en producto final y crear el plan de negocios para su
venta
� Desarrollo de un nuevo PMG (Programa de Mejoramiento de � Desarrollo de un nuevo PMG (Programa de Mejoramiento de
Gestión) de Gobierno para la implantación de un SGSI en el
Estado
“Cuando los vientos de cambios “Cuando los vientos de cambios soplan, algunos construyen refugios y soplan, algunos construyen refugios y se ponen a salvo… otros construyen se ponen a salvo… otros construyen
molinos y se hacen ricos”molinos y se hacen ricos”(Claus (Claus MöllerMöller))