Gestión de la Seguridad de la Información según ISO/IEC 17799

1. Gestión de la Seguridad de la Información según ISO/IEC 17799 Nasri Chakra Presidente nasri@marna.com.ve

2. Agenda • Objetivo de la Ponencia • Situación Actual de las TIC • Definiciones • Importancia de la Seguridad • Efectos o Impacto cuando falla la seguridad • Razones para los fallas en seguridad • Situación Actual en seguridad • Gestión de seguridad (Necesidad y Ventajas) • ISO/IEC 17799:2002

3. Objetivo de la ponencia • ¿Por qué es necesario gestionar la Seguridad de la Información? • Respuesta en 2 etapas • ¿Por qué es necesaria la Seguridad de la Información? • ¿Por qué es necesario gestionarla?

4. Situación Actual de TIC Incremento y complejidad de los requerimientos • Complejidad y vulnerabilidad de la tecnología empleada • Interconexiones cada vez mas compleja B2B B2C G2C G2B • Volumen de información cada vez más importante • Dinámica en los cambios necesarios en los procesos y T.I. • Dependencia de T.I. de los procesos de negocio • Procesos e información bajo ámbitos transfronterizos • Ratio de externos accediendo a la información

5. Seguridad de la Información Definición: Seguridad de la Información Seguridad: Protección de la confidencialidad, integridad y disponibilidad de la información según el nivel requerido para los objetivos de negocio de la empresa. Información:Activo de información tangible o intangible que tiene valor para los procesos de negocio de la empresa.

6. Seguridad de la Información Definición: Activos de información: Archivos, base de datos, documentos del sistema, manuales, material de formación, procedimientos operativos, planes de continuidad, configuración del soporte de recuperación; Activos Físicos:equipos de tratamientos, equipos de comunicación, medios magnéticos, otros equipos, muebles,etc.

7. Importancia de la Seguridad de la Información La Información es cada ves más esencial en los procesos de negocio para: • Conseguir y mantener rentabilidad y competitividad • Gestionar adecuadamente los recursos internos y externos • Gestionar efectivamente las operaciones de la empresa • Obtener y mantener clientes y cuota de mercado • Gestionar y mantener el conocimiento • Conseguir una imagen de marca o de empresa ¡Su importancia es proporcional al valor empresarial de los procesos soportados!

8. Que pasa cuando “falla” la Seguridad de la información Diferentes impactos tangibles o intangibles en los procesos de negocio de la empresa • Denuncias de las autoridades y multas • Litigios civiles y laborales • Perdidas financieras y/o sobre costes operativos • Perdida de clientes y cuota de mercado • Daño a la imagen de la empresa • Interrupción en las operaciones • Coste de recuperación para volver a la situación inicial ¡El impacto se debe valorar en términos de Negocio!

9. Razones para los “fallos” de Seguridad Múltiples amenazas y vulnerabilidades afectan los elementos de los procesos de negocio • Fallo energético • Virus informático • Fraude y uso ilegitimo de la información o de los sistemas • Error humano: usuarios, operadores, programadores,... • Cambios inadecuados en T.I. • Contrato ineficiente • Fallo en los elementos de T.I.: redes, sistemas, aplicaciones,.. • Acceso y uso indebido por terceros ¡ La fuente interna sigue siendo la más importante!

10. Objetivo de la ponencia • ¿Por qué es necesario gestionar la Seguridad de la Información? • Respuesta en 2 etapas • ¿Por qué es necesaria la Seguridad de la Información?

11. Situación Actual en Seguridad Algunos síntomas claros presentes en muchas empresas • Dificultad para justificar un presupuesto de seguridad • Descoordinación sobre los diferentes aspectos de la seguridad • Falta de objetivos, directrices claras o normas de actuación • Repeticiones de las incidencias • Valoración de impactos sobre la base de activos de T.I. • Documentación inexistente o inadecuada • Lenta respuestas a las incidencias

12. Necesidad de la gestión de la seguridad de la información • Frente a la importancia creciente de la información • Frente a la multitud de amenazas posibles • Frente a la necesidad de los cambios • Frente a la complejidad de las dependencias • Frente a los limites para actuar Mejor Seguridad Más Seguridad

13. Gestión de la Seguridad de la Información Ventajas y aportación • Definición de objetivos y directrices de seguridad • Sistemática, objetividad y longevidad en las actuaciones de seguridad • Coordinación para reducir los costes de inseguridad • Respuesta activa y rápida ante las incidencias • Prevención para reducir la ocurrencia de las incidencias • Motivación del personal en cuanto a valoración de la información • Objetivo: • una “mejor” seguridad o seguridad adecuada

14. Gestión de la Seguridad de la Información ¿qué hacer? ISO/IEC 17799:2002 • Experto vs Norma Internacional

15. ISO/IEC 17799:2002 IEC: Comisión Electrotécnica Internacional ISO : Organización Internacional de Normalización BSI:British Standards Institucion – BS 7799 ISO/IEC 17799 parte 1 Código de buenas prácticas relativas a la gestión de la Seguridadde la información. Es una guía que contiene consejos y recomendaciones que permiteasegurar la seguridad de la información de la empresadentro de los diez dominios de aplicación. BS 7799 Parte 2Las especificaciones relativas a la gestión de la seguridad de lainformación proponen recomendaciones con el fin de establecer un marco eficaz de gestiónde la seguridad De la información. En el momento de una auditoría, es el documento que sirvede guía de evaluación para la certificación.

16. ISO/IEC 17799:2002 Contenido • Introducción a los conceptos de gestión de la seguridad • 36 objetivos de seguridad • Catalogo de 127 controles de seguridad (versión actual) Especificaciones Guía Referencias • Cubre aspectos de Gestión, Jurídicos y Técnicos • Práctica multisectorial cubriendo todos los aspectos de la seguridad de la información

17. ISO/IEC 17799:2002 Código de buenas practicas en gestión de la seguridad de la información. ¿cuáles son esos Dominios de aplicación? 1-Política de Seguridad 2-Estructura Organizativa para la Seguridad 3-Clasificación y control de Activos 4-Seguridad en el Personal 5-Seguridad física y del entorno 6-Gestión de Comunicaciones y operaciones 8-Desarrollo y Mantenimiento de Sistemas 7-Control de Accesos 9-Gestión de Continuidad del negocio 10-Cumplimiento

18. REFERENCIAS • British Standards Institution. 7 enero 2004, http://www.bsi-global.com. • Clusif: Club de la sécurité des systèmes d'information français. 5 enero 2004, www.clusif.asso.fr. • "Effective Internal Control of Sensitive Information: Implications of the Sabanes-Oxley Act for • CEOs, CFOs and other Corporate Directors." Sealed Media. 6 jan. 2004, http://www.sealedmedia.com. • International Electrotechnical Commission. 6 enero 2004, http://www.iec.ch. • International Organization for Standardization. 6 enero 2004, http://www.iso.org. • ISMS International User Group. 5 enero 2004, http://www.xisec.com.

19. OBJETIVO DE LA PONENCIA: • ¿Por qué es necesario gestionar la Seguridad de la Información? • Respuesta en 2 etapas • ¿Por qué es necesaria la Seguridad de la Información? • ¿Por qué es necesario gestionarla? GRACIAS... Agradecimientos especial a nuestros socios de negocio: Empresa Europea especialista en Seguridad Para mayor información email; nasri@marna.com.ve http://www.marna.com.ve