Date post: | 01-Dec-2015 |
Category: |
Documents |
Upload: | joseph-alfaro-soto |
View: | 30 times |
Download: | 2 times |
Seguridad de la Información 2
Curso: Seguridad de la Información
Sesión 3 – 4
Unidad 2: Controles de Seguridad de la Información
UPC
2013
Seguridad de la Información 3
Agenda de la Unidad 2
Ag
en
da Estructura organizacional para la seguridad
Controles requeridos por las normas de seguridad
Interpretación de los controles de seguridad
Modelos de madurez de la seguridad
Gap analysis – análisis de brecha
Seguridad de la Información 4
Seguridad de la Información 5
Organización del SGSI
Seguridad de la Información 6
Uno de los factores claves para diseñar e implementar un SGSI es el compromiso y participación y de la Alta Dirección con respecto a la gestión de la Seguridad de la Información.
Este compromiso se debe materializar en el establecimiento de una Política de Seguridad de la Información, la cual deberá ser el punto de partida para establecer el SGSI.
Es necesario también establecer los roles y responsabilidades del personal en materia de Seguridad de la Información.
Para ello será necesario conformar un Comité de Gestión de Seguridad de la Información, un Comité Operativo o Grupo Interdisciplinario, así como, el rol del Oficial de Seguridad de la Información.
Estructura Organizacional de Seguridad
Seguridad de la Información 7
Estructura Organizacional del SGSI
Comité de Gestión de Seguridad de la Información (CGSI)
Gerencia General, Gerentes de línea
Grupo Interdisciplinario de Seguridad de la Información (GISI)
- Jefes de Área, Supervisores
Oficial de Seguridad de la Información
Propietarios, Custodios, Usuarios
Seguridad de la Información 8
Comité de Gestión de Seguridad de la Información (CGSI)
Revisar y aprobar las Políticas específicas de Seguridad de la Información.
Proveer los recursos necesarios para la Seguridad de la Información.
Asignación de roles específicos y responsabilidades en materia de seguridad dentro de la organización.
Iniciar planes y programas para lograr y mantener la concientización en la seguridad de la información.
Velar por el cumplimiento de programas de seguridad, normas y leyes vigentes. Realizar evaluaciones periódicas del funcionamiento del SGSI.
¿Qué implica las funciones y los roles del CGSI?
Seguridad de la Información 9
Grupo Interdisciplinario de Seguridad de la Información (GISI)
¿Qué implica las funciones y los roles del GISI?
Asegurar que las actividades de seguridad sean ejecutadas en cumplimiento
con la Política de seguridad de la información.
Aprobar las principales iniciativas para incrementar la seguridad de la información.
Permitir que el personal exprese sus inquietudes sobre asuntos de seguridad
Aprobar metodologías y procesos de seguridad de información
Promover la difusión y apoyo a la seguridad de la información dentro de la
organización.
Seguridad de la Información 10
Oficial de Seguridad de la Información
¿Qué implican las funciones y responsabilidades del Oficial de Seguridad?
Proponer metodologías, herramientas, planes, programas y procesos para la seguridad
de la información..
Asegurar el buen funcionamiento del Sistema de Gestión de Seguridad de la información.
Supervisar el cumplimiento de controles de seguridad.
Administrar los incidentes y vulnerabilidades de la seguridad de la información a fin de
identificar los controles a implementar.
Elaborar y actualizar el Planes de Seguridad de la Información.
Es la persona encargada de diseñar, desarrollar, implantar y mantener el Sistema de Gestión de Seguridad de la información en la organización
Seguridad de la Información 11
Propietario de los Activos de Información
¿Qué implican las funciones y responsabilidades del Propietario del Activo?
Identificar y Clasificar los activos de su propiedad. Determinar los periodos de retención de los activos de información (electrónica e
impresa). Determinar los criterios y niveles de acceso a los activos de su propiedad. Revisar periódicamente la clasificación de la información con la finalidad de verificar el
cumplimiento de los requerimientos de seguridad de la organización.
Verificar que los controles de seguridad aplicados sean consistentes con la clasificación
realizada.
En coordinación con el Oficial de Seguridad de la Información, revisar y evaluar los resultados de la implementación de controles aplicados a los activos de su propiedad.
Es la persona o entidad que tiene la responsabilidad gerencial aprobada sobre los activos de información que se generan y se utilizan en las Unidades u Oficinas administrativas.
Seguridad de la Información 12
Custodio de los Activos de Información
¿Qué implican las funciones y responsabilidades del Custodio?
Dar acceso a los usuarios de acuerdo con las especificaciones establecidas por los
propietarios. Administrar los accesos a los activos Cumplir con los controles implementados para la protección de los activos asignados
para su custodia
Administrar los procedimientos de backup, recuperación y restauración de información
Reportar incidentes y debilidades de seguridad de la información
En caso de identificar oportunidades de mejora, debe comunicarlas a los responsables de Seguridad de la Información (Oficial de Seguridad de la Información y propietarios de la información).
Es el responsable de la administración y resguardo de los activos de información; asimismo, del monitoreo del cumplimiento de los controles de seguridad en los activos que se encuentren bajo su administración.
Seguridad de la Información 13
Usuario de los Activos de Información
¿Qué implican las funciones y responsabilidades del Usuario?
Cumplimiento a las políticas y directivas de seguridad de la información.
Mantener la confidencialidad de las contraseñas para el acceso a aplicaciones, sistemas
de información y recursos informáticos.
Utilizar la información de su organización sólo para el cumplimiento de sus funciones y/o fines institucionales.
Reportar incidentes y debilidades de seguridad de la información.
En caso de identificar oportunidades de mejora, debe comunicarlas a los responsables de Seguridad de la Información (Oficial de Seguridad de la Información).
Son aquellas personas, llámese personal permanente, personal temporal, consultores y proveedores de bienes y/o servicios, que utilizan los activos de información de la organización como parte de sus actividades diarias.
Seguridad de la Información 14
Seguridad de la Información 15
Organización de la Norma ISO 27001
La norma ISO 27001 está organizada de la siguiente manera:
Introducción • Generalidades, • Enfoque, • Compatibilidad con otros sistemas de gestión
Objeto • Generalidades y aplicación
Referencias normativas • Otras normas
Términos y definiciones • Terminología principal usada en la norma
El SGSI
• Requisitos generales • Establecimiento del SGSI • Requisitos de Documentación • Responsabilidades de la Dirección • Auditorías internas del SGSI • Revisión por la Dirección del SGSI • Mejora del SGSI
Anexos
• Anexo A: Objetivos de Control y Controles • Anexo B: Principios OECD y el Modelo PDCA • Anexo C: Correspondencia entre normas ISO 9001, ISO 14001 e
ISO 27001.
Seguridad de la Información 16
Introducción a la norma Generalidades:
Proporcionar un modelo para establecer, implementar, operar, revisar, mantener y mejorar un SGSI.
La adopción de un SGSI debería ser una decisión estratégica para la organización.
Enfoque basado en Procesos:
Una organización tiene que identificar y gestionar muchas actividades para que funcione de manera eficaz
Un proceso es cualquier actividad que utiliza recursos y se gestiona con el fin de permitir que los elementos de entrada se transformen en elementos de salida.
A la aplicación y gestión de un Sistema de Procesos en una organización se le puede denominar “enfoque basado en procesos”.
Compatibilidad: Diseñada para permitir a una organización alinear e integrar su SGSI con otras
normas de sistemas de gestión relacionados (ISO 9001, ISO 14001, etc.)
Seguridad de la Información 17
Objeto de la Norma Generalidades:
Cubre todos los tipos de organizaciones (empresas comerciales, organismos gubernamentales, organizaciones sin fines de lucro)
Especifica los requisitos para la implementación de controles de seguridad adaptados a las necesidades de las organizaciones.
El SGSI está diseñado para asegurar la selección de controles de seguridad adecuados que protejan los activos de información, brindando confianza a los stakeholders.
Aplicación:
Requisitos genéricos y se pretende que sean aplicables a todas las organizaciones, independiente de su tipo, tamaño y naturaleza. La exclusión de cualquier de los requisitos especificados en los capítulos 4, 5, 6, 7 y 8 no son aceptables, cuando una organización alega conformidad con esta norma.
Seguridad de la Información 18
Referencias Normativas Indispensable para la aplicación de la norma ISO 27001.
ISO / IEC 27002. Tecnología de la Información – Técnicas de Seguridad – Código de práctica para la gestión de Seguridad de la Información.
Política de Seguridad
Organización de la
Seguridad de Información
Seguridad de los Recursos
Humanos
Seguridad Física y
Ambiental
Gestión de activos Control de Accesos
Gestión de Operaciones y
Comunicaciones
Adquisición, Desarrollo y
Mant. de Sistemas
Gestión de Continuidad
de Negocios
Gestión de Incidentes de
Seguridad Cumplimiento
Seguridad de la Información 19
Términos y Definiciones
Se presenta una serie de términos de seguridad de la información y sus definiciones respectivas.
Para comprender bien los requerimientos del estándar, es necesario conocer los términos y definiciones respectivas.
Terminología utilizada:
Activo
Seguridad de la Información
Incidente de Seguridad de la Información
Riesgo Residual
Tratamiento del Riesgo
Declaración de Aplicabilidad (SOA)
Seguridad de la Información 20
EL SGSI Requisitos Generales:
La organización debe establecer, implementar, operar, revisar, mantener y mejorar un SGSI documentado, dentro del contexto de las actividades generales del negocio de la organización y los riesgos a los que se enfrenta.
Establecimiento y gestión del SGSI:
ESTABLECER EL SGSI:
Definir el alcance y los límites del SGSI
Definir una política del SGSI
Definir el enfoque para la evaluación de riesgos de la organización
Identificar los riesgos
Análizar y evaluar los riesgos
Identificar y evaluar las opciones para Tratamiento Riesgos
Seleccionar objetivos de control y controles Tratamiento Riesgos
Obtener aprobación dirección del riesgo residual propuesto
Obtener autorización dirección para implementar y operar el SGSI
Elaborar el SOA (Declaración de Aplicabilidad)
Seguridad de la Información 21
EL SGSI
IMPLEMENTAR Y OPERAR EL SGSI:
Formular un Plan de Tratamiento de Riesgos (PTR)
Implementar un Plan de Tratamiento de Riesgos
Implementar los controles seleccionados para el TR
Definir como medir la eficacia de los controles o grupos de controles
seleccionados.
Implementar programas de capacitación y toma de conciencia
Gestionar la operación del SGSI
Gestionar los recursos del SGSI
Implementar procedimientos y otros controles para permitir
inmediata detección y respuesta a incidentes de seguridad.
Seguridad de la Información 22
EL SGSI
MONITOREAR Y REVISAR EL SGSI:
Ejecutar los Procedimientos de Monitoreo y Revisión
Realizar revisiones regulares de la eficacia del SGSI
Medir eficacia de los controles para verificar que se han cumplido con
los requisitos de seguridad.
Revisar las evaluaciones de riesgos a intervalos planificados (revisar
riesgos residuales y los niveles de riesgos aceptables)
Llevar a cabo auditorías internas del SGSI
Realizar una revisión por la dirección del SGSI
Registrar acciones y hechos que podrían tener un impacto sobre el
desempeño del SGSI.
Seguridad de la Información 23
EL SGSI
MANTENER Y MEJORAR EL SGSI:
Implementar mejoras identificadas en el SGSI
Ejecutar acciones correctivas y preventivas apropiadas (aplicar las
lecciones aprendidas de experiencias de seguridad de la misma
organización u otras organizaciones)
Comunicar acciones y mejoras a todas las partes interesadas.
Asegurarse que las mejoras logren sus objetivos previstos.
Seguridad de la Información 24
Requisitos de Documentación (1/3)
Generalidades:
La documentación del SGSI debe incluir:
Declaraciones documentadas de la Política y objetivos del SGSI
Alcance del SGSI
Procedimientos y controles en apoyo del SGSI
Descripción de la Metodología de Gestión de Riesgos
Informe de Evaluación de Riesgos
Plan de Tratamiento de Riesgos
Procedimientos de Seguridad de la Información
Registros exigidos por esta norma (numeral 4.3.3 de la ISO 27001)
Declaración de Aplicabilidad (SOA)
Nota: Los documentos y registros pueden estar en cualquier formato o medio.
Seguridad de la Información 25
Requisitos de Documentación (2/3)
Control de Documentos:
Se deben proteger y controlar los documentos exigidos por el SGSI. Se debe establecer un Procedimiento de Control de Documentos que defina las acciones de gestión necesarias para:
Aprobar los documentos en cuanto a su adecuación antes de su emisión.
Revisar y actualizar los documentos cuando sea necesario y aprobarlos nuevamente.
Llevar un adecuado control de cambios de los documentos
Llevar un adecuado control de versiones y verificar que se encuentren disponibles en los puntos de uso.
Llevar un adecuado control de los documentos para que sean almacenados, transferidos y finalmente eliminados de acuerdo a su clasificación.
Identificación de documentos de origen externo
Llevar un adecuada distribución de los documentos
Prevenir el uso no intencional de documentos obsoletos
Seguridad de la Información 26
Requisitos de Documentación (2/3)
Control de Registros
Se deben establecer y mantener registros para proporcionar evidencia de la conformidad con los requisitos y la operación eficaz del SGSI, para lo cual se recomienda elaborar un Procedimiento de Control de Registros que contemple lo siguiente:
Los Registros deberán estar protegidos y controlados
El SGSI debe tomar en cuenta los requisitos legales y las obligaciones contractuales
Los registros deben permanecer legibles, fácilmente identificables y recuperables.
Documentar e implementar controles para la identificación, almacenamiento, protección, recuperación, tiempo de conservación y disposición de los registros.
Ejemplos de Registros:
Libro de visitantes
Bitácora de actividades en el Centro de Cómputo
Formato de autorización de accesos
Seguridad de la Información 27
Responsabilidad de la Dirección (1/3)
Compromiso de la Dirección:
La dirección debe proporcionar evidencia de su compromiso con el establecimiento del SGSI:
Estableciendo una Política del SGSI
Asegurando de que se establezcan los objetivos y planes del SGSI
Estableciendo las funciones y responsabilidades para la Seguridad de la Información.
Comunicando a la organización la importancia de cumplir con los objetivos de Seguridad de la Información.
Proporcionando los recursos suficientes para establecer y mantener el SGSI.
Decidiendo los criterios de aceptación de riesgos y los niveles de riesgos aceptables.
Asegurando que se lleven a cabo las auditorías internas del SGSI.
Llevando a cabo las revisiones por la dirección del SGSI.
Seguridad de la Información 28
Responsabilidad de la Dirección (2/3)
Gestión de los Recursos:
La organización debe determinar y proporcionar los recursos necesarios para:
Establecer , mantener y mejorar el SGSI
Asegurar que los Procedimientos de Seguridad de la Información apoyen los requisitos del negocio.
Mantener una adecuada seguridad mediante la correcta aplicación de los controles implementados.
Realizar las revisiones del SGSI y reaccionar apropiadamente a los resultados de las mismas.
Mejorar la eficacia del SGSI.
Seguridad de la Información 29
Responsabilidad de la Dirección (3/3)
Capacitación y Concienciación:
La organización debe asegurarse que el personal que tiene asignado responsabilidades en el SGSI, sea competente para realizar las tareas requeridas:
Determinando la competencia necesaria para el personal que realiza trabajos que afectan al SGSI.
Proporcionando capacitación o contratando personal competente para satisfacer estas necesidades.
Evaluando la eficacia de las acciones tomadas
Manteniendo registros de la capacitación, habilidades y calificaciones realizadas.
Seguridad de la Información 30
Auditorías Internas del SGSI
La organización debe llevar a cabo a intervalos planificados, auditorías internas del SGSI para determinar si los objetivos de control, controles, procesos y procedimientos del SGSI:
Cumplen con los requisitos de la norma y la legislación pertinente.
Cumplen con los requisitos de Seguridad de la Información.
Se han implementado y se mantienen de manera eficaz.
Están dando el resultado esperado.
Consideraciones de la Auditoría Interna:
o Se debe planificar un Programa de Auditorías en base al estado e importancia de los procesos y áreas a auditar.
o Revisar resultados de Auditorías anteriores
o Los Auditores no deben auditar su propio trabajo
o Definir un Procedimiento y Plan de Auditoría interna
Seguridad de la Información 31
Revisión por la Dirección del SGSI (1/3)
Generalidades: La alta dirección debe, a intervalos planificados (mínimo una vez al año) revisar el SGSI para asegurar su correcto funcionamiento, considerando:
Evaluación de oportunidades de mejora y la necesidad de efectuar cambios en el SGSI.
Ejemplo:
o Política de Seguridad de la Información.
o Objetivos de Seguridad de la Información
Documentar los resultados de las revisiones
Mantener los registros y evidencias de las revisiones efectuadas.
Seguridad de la Información 32
Revisión por la Dirección del SGSI (2/3)
Información para la revisión: La información inicial o de entrada para la revisión por la dirección del SGSI debe incluir:
Resultados de auditorías y revisiones del SGSI
Retroalimentación de las partes interesadas
Técnicas, productos o procedimientos, que podrían utilizarse en la organización para mejorar el desempeño del SGSI
Estado de las acciones preventivas y correctivas
Vulnerabilidades o Amenazas no tratadas adecuadamente en la revisión de riesgos anterior
Cambios que podrían afectar al SGSI
Recomendaciones u oportunidades de mejora.
Seguridad de la Información 33
Revisión por la Dirección del SGSI (3/3)
Resultados de la revisión:
Los resultados de la revisión por la dirección deben incluir todas las decisiones y acciones relacionadas con lo sgte:
La mejora de la eficacia del SGSI
Actualización del Plan de evaluación y tratamiento de riesgos.
Actualización y modificación de los Procedimientos y demás controles de Seguridad de la información.
Las necesidades de los recursos
La mejora en la medición de la eficacia de los controles.
Seguridad de la Información 34
Mejora del SGSI (1/3)
Mejora Continua:
La organización debe mejorar contínuamente la eficacia del SGSI, mediante el uso de la Política de Seguridad de la Información, objetivos de seguridad, resultados de las auditorías, análisis de hechos monitoreados, acciones correctivas y preventivas.
Seguridad de la Información 35
Mejora del SGSI (2/3)
Acciones Correctivas:
La organización debe tomar acciones para eliminar la causa de las no conformidades con el SGSI y evitar así que vuelvan a presentarse.
Se recomienda elaborar un Procedimiento para Acciones Correctivas que permita:
Identificar las no conformidades
Determinar las causas de las no conformidades
Evaluar la necesidad de implementar acciones para asegurarse que no se vuelvan a presentar las no conformidades.
Determinar e implementar acciones correctivas
Registrar y revisar los resultados de acciones tomadas
Seguridad de la Información 36
Mejora del SGSI (3/3)
Acciones Preventivas:
La organización debe tomar acciones para eliminar la causa de potenciales no conformidades con el SGSI y prevenir su ocurrencia.
Las acciones preventivas deben ser apropiadas para el impacto de los potenciales problemas, para ello se debe elaborar un Procedimiento de Acciones Preventivas que permita:
Identificar los potenciales no conformidades y sus causas,
Evaluar la toma de acciones para prevenir la ocurrencia de no conformidades,
Determinar e implementar las acciones preventivas necesarias,
Registrar y revisar los resultados de las acciones preventivas tomadas.
Seguridad de la Información 37
Break: de 10 minutos
Seguridad de la Información 38
Seguridad de la Información 39
Anexo A: Objetivos de control y controles
Se obtienen de los capítulos 1 al 15 de la ISO/IEC 17799:2005 y se han alineado con estos, el detalle de su implementación y orientación se puede encontrar en la norma indicada.
Los objetivos de control y controles de estas tablas deben seleccionarse como parte del proceso del SGSI especificado en el numeral 4.2.1 g de la norma.
El Anexo A está organizado de la siguiente manera:
11 cláusulas
39 Categorias y Objetivos de Control
133 Controles
Seguridad de la Información 40
Anexo A: Objetivos de control y controles
Seguridad de la Información 41
Relación de Cláusulas y la Organización
Seguridad de la Información 42
Seguridad de la Información 43
Evaluación de Cumplimiento
Generalidades:
Tiene como objetivo determinar el nivel de madurez y grado de cumplimiento que posee la organización con respecto a cada uno de los controles y cláusulas de la norma ISO 27001:2005 – Anexo A.
Determinar que modelo de evaluación del nivel de madurez se utilizara para realizar la evaluación.
El modelo de evaluación del nivel de madurez puede realizarse utilizando el modelo Cobit 4.1, CMMI, ISO 15504, entre otros.
Es necesario realizar revisiones en situo de cada control para determinar su cumplimiento.
Realizar entrevistas y reuniones de trabajo con cada usuario y personal de las áreas involucradas para cada cláusula del Anexo “A” de la norma.
Seguridad de la Información 44
Cumplimiento de las cláusulas de la norma:
Cuadro de Cumplimiento
Seguridad de la Información 45
Grado de Cumplimiento de cada Cláusula
25% 36%
40%
33%
27% 25% 25%
23%
25% 5%
18%
50% 61%
65%
58%
52%
50% 50%
48%
50%
30%
43%
0%
20%
40%
60%
80%
100%
5. POLÍTICA DE
SEGURIDAD
6. ASPECTOS
ORGANIZATIVOS
PARA LA SEGURIDAD
7. CLASIFICACIÓN Y
CONTROL DE
ACTIVOS
8. SEGURIDAD EN
RECURSOS HUMANOS
9. SEGURIDAD FÍSICA
Y DEL ENTORNO
10. GESTIÓN DE
COMUNICACIONES Y
OPERACIONES
11. CONTROL DE
ACCESOS
12. ADQUISICION,
DESARROLLO Y
MANTENIMIENTO DE SISTEMAS
13. GESTIÓN DE
INCIDENTES EN LA
SEGURIDAD DE INFORMACIÓN
14. GESTIÓN DE
CONTINUIDAD DEL
NEGOCIO
15. CUMPLIMIENTO
Seguridad de la Información 46
Nivel de Madurez de los Controles de la Norma
Matriz de Brecha de la norma:
Seguridad de la Información 47
Resultados Finales
ISO 17799:2005
CONTROLES APROBADOS (Nivel de Madurez 3) 73
CONTROLES NO APROBADOS (Nivel de Madurez inferior a 3) 58
CONTROLES NO APLICABLES 2
Grado de Cumplimiento de la norma: 56%
73
58
2
CONTROLES APROBADOS (Nivel de Madurez 3)
CONTROLES NO APROBADOS (Nivel de Madurez inferior a 3)
CONTROLES NO APLICABLES
Seguridad de la Información 48
Seguridad de la Información 49
Taller 3: ANÁLISIS DE BRECHA – GAP ANALYSIS
Seguridad de la Información 50
Ejecución del Taller 3 Matriz de Brecha:
Cláusula: 11. Control de Accesos Controles: 11.1.1 al 11.3.3 (8 controles)
Seguridad de la Información 51
RONDA DE PREGUNTAS DE REPASO DE LA UNIDAD
Seguridad de la Información 52
Conclusiones Finales i. Se constituye como el modelo de 4 etapas que utiliza para operar el
Sistema de Gestión de Seguridad de la Información (SGSI) basado en la
norma ISO 27001:2005:
ii. Se considera como el control principal para iniciar la implementación del
SGSI, el cual permite obtener el compromiso y la responsabilidad de la
alta dirección con respecto a la gestión de la seguridad de la información:
iii. Es considerado el Procedimiento que permite gestionar los documentos
del SGSI, para llevar un adecuado control de su codificación, versión,
disponibilidad, vigencia, eliminación, entre otros:
Seguridad de la Información 53
Seguridad de la Información 54
Muchas Gracias