Transcript Seguridad de la Información

Presentación de la Norma
Técnica de Seguridad de la
Información
Introducción a la Seguridad de la Información
¿Qué es Seguridad?
La seguridad es un
estado de confianza
personal, por
conocimiento o
desconocimiento y
se rompe ante la
materialización de
algún evento.
¡Nuestro objetivo es sentirnos seguros por
conocimiento y NUNCA por desconocimiento!
Introducción a la Seguridad de la Información
 La Seguridad de la
Información tiene como fin la
protección de los activos de
información.
 La seguridad absoluta es
imposible, no existe un
sistema totalmente seguro,
de forma que el elemento de
riesgo siempre está presente,
pese a cualquier medida que
tomemos, razón por la cual se
debe hablar de niveles de
seguridad.
Introducción a la Seguridad de la Información
¿Cuál es la diferencia entre la Seguridad Informática y la Seguridad de la
Información?
Seguridad Informática:
Tiene como objetivo primario
proteger las infraestructuras
tecnológicas y de comunicación que
soportan la operación de una
organización (básicamente hardware
y software).
Seguridad de la Información:
Tiene como objetivo principal
proteger la información de una
organización.
Introducción a la Seguridad de la Información
El diseño e implementación del SIG del ICBF está determinado
por:
Las necesidades y objetivos
Requisitos de seguridad
Los procesos empleados
El tamaño y estructura
Enfoque basado en procesos
Introducción a la Seguridad de la Información
La seguridad de la información se caracteriza en la preservación
de:
Integridad
Propiedad de
salvaguardar la exactitud
y estado completo de los
archivos
Propiedad que permite a
la información ser
accesible y utilizable por
solicitud de una entidad
autorizada
Confidencialidad
Información
Disponibilidad
Propiedad que determina
a la información no estar
disponible, ni que sea
relevada a individuos,
entidades o procesos no
autorizados
Introducción al Sistema de Gestión de Seguridad
de la Información
El Sistema de Gestión de Seguridad de la
Información es un conjunto de procedimientos
y recursos que permiten gestionar y minimizar
los riesgos que atentan contra la seguridad de
los activos de información del ICBF.
Introducción al Sistema de Gestión de Seguridad
de la Información
¿Por qué
tenemos un
Sistema de
Gestión de
Seguridad de
la
Información?

Para que La información confidencial sea consultada por
personas u organizaciones autorizadas.

Tenemos conocimiento de la información crítica, sensible y
reservada del ICBF.

Tenemos identificados los riesgos y los controles para
gestionarlos adecuadamente.

Tenemos Sistemas de Información con controles de acceso.

Tenemos mecanismos de almacenamiento centralizado de
Información (SIM, KACTUS, SEVEN, entre otros).

Tenemos continuidad en los servicios.

Tenemos controles de acceso físico a la Entidad.

Tenemos cláusulas de confidencialidad con terceros.
Introducción al Sistema de Gestión de Seguridad
de la Información
 Garantizar un nivel de protección total es
virtualmente imposible.

•
•
•
•
Los riesgos de la información deben ser :
Conocidos
Asumidos
Gestionados
Minimizados
Todo esto, de una forma documentada,
sistemática, estructurada, repetible, eficiente y
adaptable a los cambios que se produzcan …
Normas ISO de Seguridad de la
Información
27000
• Términos y definiciones que se emplean en toda la serie 27000.
27001
• Los requisitos del sistema de gestión de seguridad de la información.
Objetivos de control y controles.
27002
• Es una guía de buenas prácticas que describe los objetivos de control y
controles recomendables. Contiene 39 objetivos de control y 133
controles, agrupados en once dominios.
27005
• Proporciona directrices para la gestión del riesgo en la seguridad de la
información.
Normas ISO de Seguridad de la
Información
27006
•
Especifica los requisitos para la acreditación de entidades de auditoría y
certificación de sistemas de gestión de seguridad de la información.
27007
• Guía de auditoría de un SGSI.
27011
• Guía de gestión de seguridad de la información específica para
telecomunicaciones, elaborada conjuntamente con la ITU (Unión
Internacional de Telecomunicaciones).
27031
• Guía de continuidad de negocio en cuanto a tecnologías de la información
y comunicaciones.
Normas ISO de Seguridad de la
Información
27032
• Guía relativa a la ciberseguridad.
27033
• Es una norma para gestión de seguridad de redes, arquitectura de
seguridad de redes, escenarios de redes de referencia, aseguramiento de
las comunicaciones entre redes mediante gateways, acceso remoto,
aseguramiento de comunicaciones en redes mediante VPN y diseño e
implementación de seguridad en redes.
27034
• Guía de seguridad en aplicaciones.
27799
• Define las directrices que pueden apoyar la interpretación y la aplicación
al sector sanitario de las normas ISO 27001 y 27002.
Introducción a la Seguridad de la Información
Taller Vocabulario
 Hagan grupos de cinco personas.
 Realice el análisis de los conceptos y
asócielos con los términos.
 Duración: Veinte minutos.
Presentación de la Norma Técnica Colombiana del Sistema de
Gestión de Seguridad de la Información ISO IEC 27001:2006
Presentación de la Norma Técnica Colombiana del Sistema de
Gestión de Seguridad de la Información ISO IEC 27001:2006
Establecer el SIG
Presentación de la Norma Técnica Colombiana del Sistema de
Gestión de Seguridad de la Información ISO IEC 27001:2006
Operar el SIG
Presentación de la Norma Técnica Colombiana del Sistema de
Gestión de Seguridad de la Información ISO IEC 27001:2006
Revisar el SIG
Presentación de la Norma Técnica Colombiana del Sistema de
Gestión de Seguridad de la Información ISO IEC 27001:2006
Mejorar el SIG
¿Cómo se aplica la Norma ISO 27001 en el ICBF?
Identificación
y clasificación
de Activos de
Información
Análisis de
Riesgos y
Plan de
Tratamiento
de Riesgos
Implementació
n de Controles
de Seguridad
de Información
Entrenamiento
y
fortalecimiento
del
conocimiento
en Seguridad
de Información
Cumplimiento
de las Políticas
y controles de
Seguridad de la
Información
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
Verificación,
Evaluación,
Seguimiento a
la efectividad
de los
Controles
Actividades claves en la implementación
 Compromiso de la alta gerencia.
Tecnología de
información
 Alineación Estratégica (Misión –
Visión).
 Gestión de recursos.
Sistema de
Gestión de
Seguridad de
la
Información
Procesos de Negocio
 Integración del proceso de
aseguramiento.
 Medición del desempeño.
Requisitos de la documentación
Debe incluir la siguiente documentación:
Alcance
Procedimientos y Controles que apoyan el SIG
Descripción de la metodología de valoración y los riesgos
Informe de valoración y plan de tratamiento
Declaración de aplicabilidad
Actividades claves en la implementación
Marco de referencia para
fijar objetivos
Tenga en cuenta los
requisitos del negocio,
los legales y las
obligaciones de
seguridad contractuales
Establezca el criterio
sobre el cual se
evaluará el riesgo
Establezca un sentido
general de dirección y
principios para la acción
con relación a la
seguridad de la
información
Alineada con el contexto
organizacional de
gestión del riesgo
Sea aprobada por la
Alta Dirección
Compromiso de la Dirección
Establezca los
Planes del SGSI
Resolución 4964 de
2012
“ Por la cual se estructura el
Comité de Coordinación del
Sistema Integrado de Gestión”
Representante del Sistema Ante la
Alta Dirección
Criterios de
aceptación de
riesgos y
niveles de
riesgo
aceptables
Actividades claves en la implementación
Inventario y clasificación de activos de información
Tipo de activo, software,
hardware o recurso
humano
Gestión del riesgo
Riesgo es la posibilidad de que suceda algún
evento positivo o negativo el cual tendrá un
impacto sobre los objetivos institucionales o
del proceso. Se expresa en términos de
probabilidades y consecuencias.
Estratégicos, imagen, operativos, financieros, de
cumplimiento y tecnológicos
Gestión del riesgo
Contexto estratégico organizacional
¿Qué puede suceder?
¿Cómo puede suceder
Análisis del riesgo
Determinar probabilidades
Determinar consecuencias
Determinar el nivel del riesgo
Valoración del riesgo
Identificar controles para el riesgo
Verificar la efectividad de los controles
Establecer tratamiento
Política de administración del riesgo
Monitoreo y revisión
Comunicación y consulta
Identificación del riesgo
Actividades claves en la implementación
Gestión de riesgos
Actividades claves en la implementación
Gestión de Riesgos
ID EN T IFIC AC IÓ N R IESG O
N o.
F E C HA D E
ID E N T IF IC A C IÓ
D E S C R IP C IO N D E
F U E N T E D E L R IE S G O
N D E L R IE S G O
AN ÁLISIS D EL R IESG O IN ER EN T E
D E S C R IP C IO N D E
LA A M E N A Z A /
LA
O P O R T U N ID A D
V U LN E R A B I LI D A D
C A U SA S
C O N S E C U E N C IA S
C OM PON EN TE
A FEC TA D O
IM P A C T O
P R O B A B I LI D A D
IM P A C T O
D ISP O N IB ILID A D
2
20
40
CRITICO
C O N T IN UID A D
2
5
10
MEDIO
D ISP O N IB ILID A D
1
20
20
A LTO
N IV E L D E R IE S G O IN HE R E N T E
F alla en equipo c entral N o c o ntar c o n equipo s N o c o ntar c o n un plan detallado y P erdida en la
1
30-o c t-12
T EC N IC O S o
de c o m unic ac io nes
T EC N O LO G IC O S
de res paldo y no tener
v erific ado de m igrac ió n
c apac idad de
el s o po rte téc nic o
pres tac ió n del
experto del fabric ante
s erv ic io de
O P ER A C IO N ES
aplic ac io nes
2
20-m ar-13
D efic ienc ia en el
La info rm ac ió n
Lo s pro v eedo res de s erv ic io s
Info rm e de G es tió n
requerda para generar
(Interno s c o m o Externo s ) no
el info rm e no s e
entregan a tiem po y c o m pleto s lo s
enc uentra c o m pleta o
res ultado s de la ges tió n, el c ual es
pres enta fallas
ins um o para el info rm e m ens ual
A D M IN IST R A T IVO
Inc um plim iento a lo s
A N S es tablec ido s
para el pro yec to
C M ER C IO
EXT ER IO R
deges tió n
3
02-no v -12
T EC N IC O S o
T EC N O LO G IC O S
F alla de lo s s is tem as
N o s e c uente c o n
D año de Infraes truc tura fís ic a o
N o c um plim iento del
de alm ac enam iento
herram ientas de
perdida de c o nfigurac ió n ló gic a
A N S (tiem po ) para
m o nito reo que no s
ejec uc ió n de
perm itan identific ar
c am bio s .
rápidam ente lo s
D eterio ro del s erv ic io .
inc o nv enientes .
P erdida de c lientes .
N o c o ntar c o n
pers o nal experto que
no s perm ita dar
s o luc ió n inm ediata al
inc o nv eniente.
N o c o ntar c o n
c o ntrato de s o po rte
c o n el fabric ante.
CD
Actividades Claves en la
implementación.Gestión de riesgos
Activo
Vulnerabilidad: Debilidades que tiene
la organización y que pueden ser
aprovechadas por las amenazas
Actividades claves en la implementación.
Gestión de riesgos
Actividades claves en la implementación.
Gestión de riesgos
Actividades claves en la implementación
Rotulación activos de información
Confidencial
Pública
Rotulación de la
información
De uso
interno
Restringida
Controles y objetivos de control
Política de seguridad de la información
Organización de la seguridad de la información
Gestión de activos
Controles
Seguridad de los recursos humanos
Seguridad física y del entorno
Gestión de comunicaciones y operaciones
Control de acceso
Adquisición, desarrollo y mantenimiento de SI
Gestión de los incidentes de SI
Gestión de la continuidad del negocio
Cumplimiento
 11 dominios
 35 objetivos de
control
 114 controles
Controles y objetivos de control
Dominio
Política de seguridad de la Información
Objetivo
Brindar apoyo y orientación a la dirección con
respecto a la seguridad de la información, de
acuerdo con los requisitos del negocio y los
reglamentos y las leyes pertinentes.
Control
Aprobar un documento de política de
seguridad, publicar y comunicar
Controles y Objetivos de Control
Dominio
Organización de seguridad de la
información.
Objetivo
Gestionar la seguridad de la información dentro de
la organización.
Control
Definir claramente todas las responsabilidades
en cuanto a seguridad de la información.
Identificar y revisar con regularidad los
acuerdos de confidencialidad.
Controles y objetivos de control
Dominio
Gestión de activos.
Objetivo
Lograr y mantener la protección adecuada de los
activos de la organización.
Control
Todos los activos claramente identificados,
mediante un inventario.
Controles y objetivos de control
Dominio
Seguridad de los recursos humanos.
Objetivo
Asegurarse que los empleados , contratistas y
usuarios por tercera parte entienden sus
responsabilidades y son adecuados para los roles
para los que se consideran, y reducir el riesgo de
robo, fraude o uso inadecuado de las instalaciones.
Control
Definir y documentar los roles y
responsabilidades de los empleados,
contratistas y usuarios de terceras partes por la
seguridad, de acuerdo con la política de
seguridad de la información de la organización.
Controles y objetivos de control
Dominio
Seguridad física y del entorno.
Objetivo
Evitar el acceso físico no autorizado, el daño e
interferencia de las instalaciones y a la información
de la organización.
Control
Las áreas seguras deben estar protegidas con
controles de acceso apropiados, para asegurar
que solo se permita el acceso a personal
autorizado.
Controles y objetivos de control
Dominio
Gestión de comunicaciones y operaciones.
Objetivo
Asegurar la operación correcta y segura de los
servicios de procesamiento de información.
Control
Se deben controlar los cambios en los servicios
y los sistema de procesamiento de información
Controles y objetivos de control
Dominio
Control de Acceso
Objetivo
Controlar el acceso a la información
Control
Debe existir un procedimiento formal para el
registro y cancelación de usuarios con el fin de
conceder y revocar el acceso a todos los
sistemas y servicios de información
Controles y objetivos de control
Dominio
Adquisición, desarrollo y mantenimiento de
sistemas de información.
Objetivo
Garantizar la seguridad como parte integral de los
sistemas de información.
Control
Las declaraciones sobre los requisitos del negocio
para nuevos sistema de información o mejoras a
los sistemas existentes deben especificar los
requisitos para los controles de seguridad.
Controles y objetivos de control
Dominio
Gestión de los incidentes de la seguridad de
la información.
Objetivo
Asegurar que los eventos y las debilidades de la seguridad
de la información asociadas con los sistemas de
información se comunican de forma tal que permiten
tomas las acciones correctivas oportunamente.
Control
Los eventos de seguridad de la información se
deben informar a través de los canales de gestión
apropiados tan pronto como sea posible.
Controles y objetivos de control
Dominio
Gestión de la continuidad del negocio
Objetivo
Contrarrestar las interrupciones en las actividades del
negocio y proteger sus procesos críticos contra los
efectos de fallas importantes en los sistemas de
información o contra desastres y asegurar su
recuperación oportuna.
Control
Se deben identificar los eventos que puedan
ocasionar interrupciones en los procesos del
negocio, junto con la probabilidad y el impacto de
dichas interrupciones, así como sus consecuencias
para la seguridad de la información
Controles y objetivos de control
Dominio
Cumplimiento.
Objetivo
Evitar el incumplimiento de cualquier ley, de
obligaciones estatutarias, reglamentarias o
contractuales y de cualquier requisito de seguridad.
Control
Se debe garantizar la protección de los datos y la
privacidad, de acuerdo con la legislación y los
reglamentos pertinentes y si se aplica con las
clausulas del contrato.
Revisión por la Dirección del Sistema de Gestión
Revisar el SGSI a intervalos planificados para asegurarse de su conveniencia,
suficiencia y eficacia continua
Los resultados deben ser las decisiones y acciones relacionadas con:
• La mejora de la eficiencia del SGSI
• La actualización de la evaluación de riesgos y de su plan de tratamientos
• La modificación de los procedimientos y controles que afectan la seguridad de
la información
• La necesidad de recursos
• La mejora a la manera en que se mide la eficacia de los controles
Documentación del sistema
Revisión por la Dirección del Sistema de Gestión
Revisión por la Dirección del Sistema de Gestión
Taller Gestión de Calidad
Taller
Conceptos del Sistema de Gestión de Seguridad de la
Información
 Organizar equipos de cinco personas.
 Escoger un nombre que identifique al equipo.
 Identificar los riesgos y realizar su valoración.
¿Qué nos falta para
fortalecer el Sistema
Integrado de Gestión?
¿Qué nos falta para fortalecer el Sistema Integrado de
Gestión?
Gestión de
recursos para
la Seguridad
de la
Información
Desarticulac
i’on Epico
Ing
Sistemas
Conocimiento
sobre el
SGSI
Directivos y
Coordinadores
con conciencia
de Seguridad de
la Información
Seguimiento a
AC AP
Tratamiento
Riesgos
Rev por
Direcci’on
Procedimiento
de Bilocker
Activos Disponibles, Íntegros y confiables .
Medios
Removibles
¿Qué nos falta para fortalecer el Sistema Integrado de
Gestión?
Taller
¿Qué nos falta para fortalecer el Sistema de
Gestión de Seguridad de la Información?




Organizar equipos de cinco personas
Escoger un nombre que identifique el equipo
Seguir las orientaciones del Facilitador
Tiempo: Diez minutos