1 / 36

IMPLANTACI Ó N DEL ISO 27001:2005 “SISTEMA DE GESTI ÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBRP

IMPLANTACI Ó N DEL ISO 27001:2005 “SISTEMA DE GESTI ÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBRP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors) “www.eficienciagerencial.com” .

misae
Download Presentation

IMPLANTACI Ó N DEL ISO 27001:2005 “SISTEMA DE GESTI ÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBRP

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IMPLANTACIÓN DEL ISO 27001:2005 “SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBRP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors) “www.eficienciagerencial.com”

  2. ¿Cuánto pagaría la competencia por su información confidencial? ¿Su base de datos está protegida de manos criminales? ¿Se tiene una política formal y se han adoptado controles adecuados para protección contra los riesgos del uso de telecomunicaciones móviles? ¿Su empresa tiene un plan para continuar operando después de un desastre? ¿Se tienen procedimientos y controles para protección de software maliciosos? ¿Los activos de su empresa han sido inventariados y tasados? 2

  3. El personal de la Universidad Católica ha recibido el día de hoy un mail indicando actualizar sus datos a una página web del banco BBVA Banco Continental, la cual es falsa. Informamos que si bien el banco suele enviar correos siempre es a titulo personal y por temas puntuales y con la siguiente dirección: hhassinger@continental.grupobbva.com Si usted ha recibido esta comunicación no ingrese ningún dato, y si lo ha hecho deberá comunicarse a la brevedad a los teléfonos 261 0447, 461 9760, fax 460 0544, teléfonos internos de la PUCP anexos 3046, 3040. Atentamente Dirección de Administración Oficina de Relaciones Laborales 5

  4. Un reciente reporte del House Banking Committee de Estados Unidos, muestra que el sector financiero perdió 2.4 billones de dólares por ataques computarizados en 1998 –más del triple que en 1996. No es sorprendente, considerando que por día se transfieren electrónicamente 2 trillones de dólares, mucho de lo cual pasa a través de líneas que según el FBI no son muy seguras. (Fortune 500, 2003). Casi el 80% de los valores intelectuales de las corporaciones son electrónicos, de acuerdo a la Cámara de Comercio estadounidense, y un competidor puede subir hasta las nubes si roba secretos comerciales y listas de clientes. (Sloan Review, 2003). Los hackers son expertos en ingeniería social –consiguiendo personas de dentro de las compañías para sacarles contraseñas y claves de invitados. “Si te levantas a la secretaria ganaste, dice Dill Dog”. (Famoso hacker). 3

  5. El fraude celular no escapa a ninguna compañía telefónica en el mundo. Telcel y Movilnet en el caso de Venezuela afirman que en el año 1997 las pérdidas por concepto de clonación se ubicaaron en 1,800 millones de dólares, lo que los ha impulsado a mejorar su sistema de gestión de seguridad de información. La clonación ocurre cuando los “clonadores” capturan la transmisión de los números de identificación (ESN: número asignado), bien sea rastreando los datos o sobornando a un empleado de la operadora y la copian en otros equipos no autorizados, skimming de tarjetas. (Cielorojo/computación 19/01/04). 4

  6. La información en la empresa es uno de los más importantes activos que se poseen. Las organizaciones tienen que desarrollar mecanismos que les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la información. La información está sujeta a muchas amenazas, tanto de índole interna como externa. ¿Qué tan VULNERABLE es la información en su organización? 5

  7. El nuevo estándar internacional, el ISO 27001:2005, está orientado a establecer un sistema gerencial que permita minimizar el riesgo y proteger la información en las empresas, de amenazas externas o internas. • Grupo de trabajo de la industria se establece • en 1993 HISTORIA DEL ESTÁNDAR BS 7799 E ISO 17799 • Código de práctica - 1993 • British standard - 1995 • BS 7799 parte 2 - 1998 • BS 7799 parte 1 - 1998 • BS 7799 parte 1 y parte 2 revisada en 1999 • BS / ISO / IEC – 17799 - 2000 6

  8. ISO / IEC 17799 : 2005 • Código de práctica de seguridad en la gestión de la información – Basado en BS 7799 – 1 : 2000. • .Recomendaciones para buenas prácticas • No puede ser utilizado para certificación ISO 27001:2005 • Especificación para la gestión del sistema de seguridad de información • .Es utilizado para la certificación 7

  9. “La información es un activo, que tal como otros importantes activos del negocio, tiene valor para una empresa y consecuentemente requiere ser protegida adecuadamente”. ISO 17799:2005 8

  10. Seguridad de información es mucho más que establecer “firewalls”, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software, o guardar en la bóveda los “backups”. Seguridad de información es determinar qué requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo. La seguridad de información se caracteriza por la preservación de: CONFIDENCIALIDAD : La información está protegida de personas no autorizadas. INTEGRIDAD : La información está como se pretende, sin modificaciones inapropiadas. DISPONIBILIDAD : Los usuarios tienen acceso a la información y a los activos asociados cuando lo requieran. 9

  11. NATURALEZA Y DINÁMICA DEL ISO 27001:2005 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN 10

  12. PARTES INTERESADAS REQUERI- MIENTOS Y EXPECTATI- VAS DE LA SEGURIDAD DE INFOR- MACIÓN PARTES INTERESADAS SEGURIDAD DE INFORMA- CIÓN MANEJADA PLAN ESTABLECER EL SGSI 4.2 IMPLEMENTAR Y OPERAR EL EL SGSI 4.2.2 Desarrollar, mantener y mejorar el ciclo MANTENER Y MEJORAR EL SGSI 4.2.4 DO ACT MONITOREAR Y REVISAR EL SGSI 4.2.3 CHECK 4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6.0 Revisión gerencial 6.4 Auditorias internas 7.0 Mejoramiento del SGSI 7.1 Mejoramiento continuo 7.2 Acción correctiva 7.3 Acción preventiva 11

  13. 12

  14. 13

  15. 14

  16. Entendimiento de los requerimientos del modelo (1) Obtención de la Certificación Internacional (11) Determinación del Alcance del modelo (2) Ejecución de Auditorias Internas (10) Análisis y evaluación del riesgo (3) Redacción del Manual de Seguridad de Información (9) Elaboración Plan de Gestión de Continuidad Comercial (4) Desarrollo de competencias organizacionales (8) Implementar y operar el SGSI (5) Mantener y mejorar el SGSI (7) Monitorear y revisar el SGSI (6) 15

  17. Definir alcance del modelo PASO I Taller estratégico con la gerencia para analizar requerimientos del modelo ISO 27001:2005 Entendimiento de los requerimientos del modelo Informe a la gerencia PASO II Diseño del Alcance “Método de las elipses” Determinación del alcance PASO III Evaluación del riesgo Efectuar un análisis y evaluación del riesgo Análisis y evaluación del riesgo Política de seguridad • Amenazas, • Vulnerabilidades • Impactos Definir la política de seguridad 16

  18. Plan de continuidad comercial documentado PASO IV Plan de continuidad comercial del negocio Plan de control del negocio Identificar opciones Evaluar las opciones para el tratamiento del riesgo Análisis y evaluación del riesgo Enfoque de la gerencia para tratar el riesgo Tabla de controles Seleccionar controles y objetivos de control a implantar Utilización de Anexo A de la norma Enunciado de aplicabilidad Elaborar un enunciado de aplicabilidad Controles seleccionados 17

  19. Plan de Tratamiento del riesgo PASO V Elaborar Plan de Tratamiento del Riesgo Implementar y operar el SGSI Mediciones documentadas Determinar la efectividad de los controles Opciones de Tratamiento del riesgo Controles Acción correctiva Mediciones del SGSI PASO VI Monitorear y revisar el SGSI Funcionamiento del SGSI 18

  20. Comunicar resultados PASO VII Mantenimiento del SGSI Mantener y mejorar el SGSI Implementar mejoras PASO VIII Entrenamiento en documentación de procedimientos, instrucciones de trabajo Desarrollar competencias organizacionales Procedimiento para manejo de la acción correctiva Taller estratégico para manejo de la acción correctiva y preventiva 19

  21. PASO VIII Desarrollar competencias organizacionales Procedimiento de auditoria interna documentado Taller estratégico para manejo de auditoria interna Manual de Seguridad de Información PASO IX Elaboración del manual de seguridad de información Redacción del Manual de Seguridad de Información 20

  22. Informe de la auditoria interna PASO X Efectuar auditoria interna Auditarse internamente Entrega de informe PASO XI Auditoria de empresa certificadora Auditoria de certificadora Entrega del certificado PASO XII Efectuar Certificación Tomar Acciones Correctivas 21

  23. CASO PRÁCTICO DE IMPLANTACIÓN DEL ISO 27001:2005 EN UNA ORGANIZACIÓN FINANCIERA ÁREA: AHORROS-CAPTACIONES 22

  24. El punto de partida consiste en identificar el alcance del modelo detallando todas sus interfases. Una vez determinado el alcance del modelo en la empresa, se debe proceder a identificar los distintos activos de información, los cuales se convierten en el eje principal del modelo. 23

  25. En el caso del banco, se conformó un grupo multidisciplinario, compuesto por los dueños de los subprocesos que conformaban el proceso escogido en el alcance. Se incluyó a los clientes vitales y proveedores internos de ahorros/captaciones. Al grupo multidisciplinario, se le denominó comité gestor. 24

  26. A los activos de información se les debe efectuar un análisis y evaluación del riesgo, e identificar las opciones para el tratamiento del riesgo: reducción, evitar, transferencia, aceptar. Es importante en este punto, clarificar qué es un activo de información en el contexto del ISO 27001:2005. Según el ISO 17799:2005 (Código de Práctica para la Gestión de Seguridad de Información) un activo de información es: “algo a lo que una organización directamente le asigna un valor y, por lo tanto, la organización debe proteger”. 25

  27. Los activos de información son clasificados por el ISO 17799:2005 en las siguientes categorías: • Activos de información (datos, manuales, usuarios, etc.) • Documentos de papel (contratos) • Activos de software (aplicación, software de sistemas, etc.) • Activos físicos (computadoras, medios magnéticos, etc.) • Personal (clientes, personal) • Imagen de la compañía y reputación • Servicios (comunicaciones, etc.) 26

  28. Al establecer el alcance, en la organización financiera se determinó que fuera el área de ahorros y captaciones. Para dicho efecto, se utilizó el método de las elipses para determinar los activos de información y todas sus interfases. 27

  29. SBS Org. Ext. (pj) BCR INDECOPI Ahorros UIF Age. Org. Des. Tesorería Defen. Cli. Adm. de Cred. Aud. Int. Registro de Clientes Apertura de Cuentas Operaciones Cancela- ciones Contab. URI/OC Sistemas Clientes Ases. Leg. Logística Seguridad Créditos Clientes RENIEC Bco. AFP’s AHORROS CAPTACIONES Recepción/ Emisión de Información • Atenc. Y Cons. • Inscripción • Actualización • Definición Pro. • Requisitos • Condiciones • Recepción S/ $ • Genera Cta. • Depósitos • Retiros • Transferencias • OT • Bloq. Y Desbloq. • OP (Entrega y recep) • Renovaciones • Serv. Cobranzas • Externos • Habilitaciones • Recepción Doc. • Autrización • Entrega Efectivo • Registro • FSD (ctas. > 10 años) • Consultas • Reclamos • Emisión de Ext. • Emisión de Cartas • Lavado de Activos • Anexos SBS

  30. TASACIÓN DE ACTIVOS DE INFORMACIÓN

  31. DISTRIBUCIÓN DE ACTIVOS Y SUS PROPIETARIOS

  32. ANÁLISIS Y EVALUACIÓN DEL RIESGO ACTIVOS DE INFORMA- CIÓN AMENAZAS POSIBI- LIDAD OCU- RRENCIA VULNERA- BILIDADES POSIBILI- DAD QUE AMENAZA PENETRE VULNERA- BILIDAD VALOR DE ACTIVOS DE RIESGOS POSIBI- LIDAD DE OCU- RRENCIA DE AME- NAZA TOTAL CRITI- CIDAD OBJETIVOS DE CONTROL CONTRO- LES INDICADOR EFECTIVIDAD CONTROLES RIESGO RESIDUAL 1. BCD DE AHO-CLI - Virus - Daño físi- co en el DD 3 5 - Falta de antivirus - Falla técni- ca 3 4 5 4 20 C A.3.1 Promocionar dirección gerencial y apoyo a la S.I. A.7.2 Seguridad del equipo: evitar la pérdida, daño o compromiso de los activos y la interrupción de las ac- tividades comerciales. A.8.3 Proteger la integridad del software y la informa- ción del daño de software malicioso. A.8.4 Mantener la integridad y disponibilidad de los ser- vicios de procesamiento de información y comunica- ciones. A.3.1.1 A.3.1.2 A.7.2.4 A.8.3.1 A.8.4.1 A.8.4.3 Nº veces/interrupción Nº veces/eventos de seguridad Nº veces/incidentes seguridad 2. Serv. de BDD - Daño físi- co en las partes - Virus 3 3 - Falla técni- ca - Software desactuali- zado 4 3 5 4 20 C A.8.3 Proteger la integridad del software y la informa- ción del daño de software malicioso. A.8.3.1 Nº veces/ intentos hacking Nº veces/software dañado 3. Vitales Aho-cli - Errores de programa- ción/valida- ción/prueba 3 - Mala progra mación - Mala valida- ción y prue- bas 3 4 4 4 16 C A.8.2 Minimizar el riesgo de fallas en los sistemas. A.10.1 Asegurar que se in- corpore seguridad en los sistemas de información. A.10.2 Evitar la pérdida, mo- dificación o mal uso de la data del usuario en los sis- temas de información. A.10.4 Asegurar que los pro yectos T.I. y las actividades de apoyo se reducen de manera segura. A.8.2.1 A.8.2.2 A.10.1.1 A.10.2.1 A.10.2.2 A.10.2.3 A.10.4.1 A.10.4.3 Nº veces/ fallas en sistemas Nº veces/pérdida datos usuario

  33. PARTES INTERESADAS REQUERI- MIENTOS Y EXPECTATI- VAS DE LA SEGURIDAD DE INFOR- MACIÓN PARTES INTERESADAS SEGURIDAD DE INFORMA- CIÓN MANEJADA PLAN ESTABLECER EL SGSI 4.2 IMPLEMENTAR Y OPERAR EL EL SGSI 4.2.2 Desarrollar, mantener y mejorar el ciclo MANTENER Y MEJORAR EL SGSI 4.2.4 DO ACT MONITOREAR Y REVISAR EL SGSI 4.2.3 CHECK 4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6.0 Revisión gerencial 6.4 Auditorias internas 7.0 Mejoramiento del SGSI 7.1 Mejoramiento continuo 7.2 Acción correctiva 7.3 Acción preventiva 32

  34. Entendimiento de los requerimientos del modelo (1) Obtención de la Certificación Internacional (11) Determinación del Alcance del modelo (2) Ejecución de Auditorias Internas (10) Análisis y evaluación del riesgo (3) Redacción del Manual de Seguridad de Información (9) Elaboración Plan de Gestión de Continuidad Comercial (4) Desarrollo de competencias organizacionales (8) Implementar y operar el SGSI (5) Mantener y mejorar el SGSI (7) Monitorear y revisar el SGSI (6) 33

  35. Permite a la Organización Financiera alinearse con • las exigencias de BASILEA II en relación al riesgo • patrimonial • Desarrolla un sistema para mitigar el riesgo • operativo con indicadores de eficacia del • desempeño de los controles, facilitando la labor • del gobierno corporativo. • Alto impacto económico al reducir sustancialmente • el riesgo operativo en la organización. • Permite a la empresa tener un sistema que le • asegure continuidad en su funcionamiento. 34

  36. IMPLANTACIÓN DEL ISO 27001:2005 “SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBCP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors) www.eficienciagerencial.com

More Related