SEGURIDAD:NormaISO27001.Mejoresprác=casactualesenseguridaddela
información.Polí=casytecnologíasquecontrolanelacceso,evitanlapérdidadeinformaciónopermitenlarecuperación
delamisma
MarioFernandoMorenoÁlvarez
Bogotá22deFebrerode2010
• SeguridaddelaInformación–ISO27001• Problemá=cadeSeguridad
• Riesgosenlainformación
• QuéesSeguridaddelaInformación
• ModeloISO/IEC27001
• PlanesdeCon=nuidaddeNegocio(BCP)• Preguntas
3
Aceleradodesarrolloeimplantaciónde
tecnologías,denominadas(TICs.)
Can=dadesenormesdeinformación
(Internet,LAN’s,WAN’s)
EscasaseguridadquehuboenlosorígenesdelboomdeInternet
Interconexiónatodonivel(PDA,Laptops,netbook,
notebook,celulares,smartphones)
4
Accesonoautorizadoadocumentos.
Perdidadeintegridad,confidencialidadydisponibilidaddelosdocumentos
Inadecuadomanejodocumental.
(CopiasdeRespaldo)
Hackers,Crackers,Phreakers,delincuenteinformá=co
Interconexiónatodonivel
5
ESTAFAS EN INTERNET
El.phishing.yapescaentodoAméricaDetectaroncasosqueafectaronanumerosasempresasyalosclientesdebancosestadounidensesydelrestodeAmérica.
6
Nuevatécnicadefraudeinformá=co:elpharming
LosusuariosdeInternet=enenunmo=vomásparaestaralertas.Mientrasenlosúl=mosseismesesde2004crecierondemanera
exponenciallosataquesde“phishing”,unatécnicapararobardatosconfidencialesdelaPC,lascompañíasinternacionalesdeseguridadinformá=cahanreveladounaamenazahastaahoradesconocida:el
pharming.
7
Riesgos globales
En su Informe sobre Seguridad y Amenazas en Internet, Symantec señaló que el “phishing” es una amenaza no solamente para consumidores, sino también para compañías de E-commerce e instituciones financieras que operan a través de Internet.
“Si los consumidores pierden su confianza en la seguridad de las transacciones, los negocios y las organizaciones que operan en Internet pueden sufrir serias pérdidas financieras”.
8
Noticias : • El oscuro negocio de los virus (14.03.05)
• ¡Cuidado!, se ha colado un espía en su PC (03.03.05)
• ‘Phishing’, el arte de engañar incautos en la banca electrónica (09.03.05)
• La banca española se une contra el timo en línea (17.02.05)
• Un fallo informático descubre los datos de 650.000 clientes de Abbey Bank (10.11.04)
• ‘Phishing’: páginas web falsas para robar datos (27.09.04)
• La seguridad de las transacciones digitales requiere un pacto entre técnicos y juristas (24.06.04)
• El 'phishing' afecta a millones de internautas y reduce su confianza en la banca 'on line' (12.05.04)
• Un “hacker” quinceañero comete una gran estafa por Internet (05.05.04)
9
10
NEGOCIOS
Unanuevafiebre“enferma”alasempresasdetodoelmundo:laseguridaddelainformación
Lages=óndelaspolí=casdeseguridaddelainformaciónobsesionaamilesdeempresasdetodoelmundo.Ahora,yano
seconformanconcontrolarlosdatoscirculantes;tambiénquierenahorrarmillones.
11
NoexistelaverdadabsolutaenSeguridadInformá=ca.
Noesposibleeliminartodoslosriesgos.
LaDirecciónestáconvencidadequelaSeguridadInformá=canohacealnegociodelacompañía.
Cadavezlosriesgosyelimpactoenlosnegociossonmayores.
12
CapturadelPCdesdeelexteriorViolacióndee-mailsViolacióndecontraseñasInterrupcióndelosserviciosIntercepciónymodificacióndee-mailsVirusFraudesinformáticosIncumplimientodeleyesyregulacionesRobooextravíodenotebooksempleadosdeshonestosRobodeinformación
DestruccióndesoportesdocumentalesAccesoclandestinoaredesIntercepcióndecomunicacionesDestrucciónde
equipamientoProgramasbomba.AccesoindebidoadocumentosimpresosSoftwareilegalAgujerosdeseguridadderedesconectadasFalsificacióndeinformaciónparaterceros
IndisponibilidaddeinformaciónclaveSpamming Violación
delaprivacidaddelosempleadosIngenieríasocialAccesonoautorizadoainstalaciones
13
Enestaclasedeproblemasesdificil:
Darsecuentadeestosriesgoshastaquepasan Cuan=ficarsuspérdidas.¿cuántolecuestaalacompañíanotenerserviciosderedporvariashoras?
Cualessonlosefectosdirectosenlasorganizaciones,ycomomeafectan?
14
Debemos controlar Los riesgos de información en
nuestras organizaciones y
negocios
15
Ac=vosdeinformación
SistemadeGes=óndela
SeguridaddelaInformación
Ac=vosFísicos
SeguridadFísica
PH
V
A
PART
ESIN
TERE
SADAS
PART
ESIN
TERE
SADAS
ENTRADAA
ENTRADAB
PROCESOA
PROCESOB
PROCESOC
PROCESOF
PROCESOD
PROCESOE
ENTRADAESALIDAE
ENTRADAD
SALIDAC
ENTRADAC
SALIDAA
SALIDAB
CLIENTEEXTERNO
CLIENTEEXTERNO
ENTRADAF SALIDAF
RETROALIMENTACIÓN
SALIDADA HP
V
A HP
V
A HP
V
A HP
V
A HP
V
A HP
V
16
Laseguridaddelainformaciónconsisteenprocesosycontrolesdiseñadosparaprotegerlainformacióndesudivulgaciónnoautorizada,transferencia,modificaciónodestrucción,ycomoconsecuencia:
–asegurarlacon=nuidaddelnegocio;
–minimizarposiblesdañosalnegocio;
–maximizaroportunidadesdenegocios.
Lainformaciónesunac=vo,quecomocualquierotrodentrolasorganizaciones,=enevaloryrequieredeunaprotecciónadecuada
17
Lainformaciónsepuedeencontraren:
Impresaoescritaenpapel
Almacenadaelectrónicamente
Trasmi=daporcorreoomedioselectrónicos
Filmes,filminas,fotograras
Habladaenconversación
18
• Informa=onSystemsandAuditControlAssocia=on‐ISACA:COBIT
• Bri=shStandardsIns=tute:BS
• Interna=onalStandardsOrganiza=on:NormasISO
• DepartamentodeDefensadeUSA:OrangeBook/CommonCriteria
• ITSEC.Informa=onTechnologySecurityEvalua=onCriteria:WhiteBook
• SansIns=tute,SecurityFocus,etc• SarbanesOxleyAct,BasileaII,HIPAAAct,(LeyesNACIONALES)• OSSTMM,ISM3,ISO17799:2005,ISO27001
19
LasNormasISOsonlasmas
aceptadasanivelmundial,yen
cues=óndeseguridaddela
informaciónexistendosreferentes:
GESTIÓNDELASEGURIDADDELAINFORMACION
ISO/IEC27001
ISO/IEC27002
20
21
Códigodeprác=ca
NormaBS7799
Revisiónpartes1y2
ISO/IEC17799
BS7799parte2
BS7799‐2:2002
FamilianormasISO/IEC27000
ISO/IEC17799‐ISO/IEC27002
1993
1995
1998
1999
2000
2002
2005
2005ISO/IEC27001
FamiliaISO/IEC27000
–ISO/IEC27001SistemadeGes=óndeSeguridaddelaInformación
–ISO/IEC27002(Ex‐ISO/IEC17799)
–ISO/IEC27000Fundamentosyvocabulario.
–ISO/IEC27005Ges=ónderiesgosdelaSeguridaddelainformación.
Enproceso…
–ISO/IEC27003DirectricesparalaimplementacióndeunSGSI.
–ISO/IEC27004MétricasparalaSGSI.
–ISO/IEC27006Requisitosparalaacreditacióndelasorganizacionesqueproporcionanlacer=ficacióndelosSGSI
22
• ISO9001.Calidad• ISO14001.Ambiental
• ISO18001.SeguridadySaludOcupacional
23
• ISO/IEC27002.Códigodeprac=caparalages=óndelaSeguridaddelaInformación.(MejoresPrác=cas)
• ISO/IEC27001.SistemadeGes=óndelaSeguridaddelaInformación.Requisitos.(Cer=ficable)
24
EstructuradelanormaISO27001
Introducción.
Objeto.
Referenciasnorma=vas.
Términosydefiniciones.
Sistemadeges=óndelaseguridaddelainformación.
Responsabilidaddeladirección.
AuditoríasinternasdelSGSI.
RevisióndelSGSIporladirección.
MejoradelSGSI.
1
2
3
4
5
6
7
Anexos:
A.(Norma=vo)Obje=vosdecontrolycontroles.
B.PrincipiosdelaOCDEydeestanormainternacional.
C.CorrespondenciaentreISO9001,ISO14001eISO27001.
0
8
SEGURIDADDELAINFORMACIÓN:preservacióndelaconfidencialidad,integridad
ydisponibilidaddelainformación.(ISO27001numeral3.13)
SGSI
Confidencialidad
Integridad Disponibilidad
25
Confidencialidad
Integridad
Disponibilidad
propiedadquedeterminaquelainformaciónnoestédisponibleni sea revelada a individuos, en=dades o procesos noautorizados.
propiedaddesalvaguardarlaexac=tudyestadocompletodelosac=vos
propiedaddequelainformaciónseaaccesibleyu=lizableporsolicituddeunaen=dadautorizada.
26
EstablecerelSGSI
,
HacerseguimientoyrevisarelSGSI Salida
P
Implementaryoperarel
SGSIH
V
Mantenerymejorarel
SGSIA
Entrada
PartesInteresadas
Requ
isito
syexpe
cta=
vasde
seguridad
delainform
ación.
Seguridadde
lainform
aciónges=on
ada.
PartesInteresadas
Ciclodedesarrollo,implementaciónmantenimientoymejora
Documentación27
PartesInteresadas
•Establecerlapolí/cadeseguridad,metas,obje/vos,procesosyprocedimientosrelevantesparamanejarlosriesgosdelnegocioymejorarlaseguridaddelainformaciónparagenerarresultadosdeacuerdoconunapolí/cayobje/vosmarcodelaorganización.
•DefinirelalcancedelSGSIentérminosdelascaracterís=casnegocio.
–Seamosconsistenteconlosobje=vos.
•DefinirlaPolí=cadeSeguridad.
•Definirelenfoqueorganizacionalparala
valoracióndelriesgo.
28
PartesInteresadas
29
PlaneacióndelSGSIPartesInteresadas
(mi=gar,eliminar,transferir,aceptar)
‐ Seleccionarobje=vosdecontrolycontrolesparaeltratamientodelriesgo(Mi=gar)
‐ Envirtuddelresultadodelanálisisderiesgos,considerandoasuvezlosrequisitoslegalesyregulatorios.
‐AparMrdelos39objeMvosdecontroly133controlesdefinidosporlaISO/IEC27002
‐ Establecerenunciadodeaplicabilidad–Selecciónonodecadaunodeloscontrolesyexplicación.
30
‐Iden=ficar,analizaryevaluarlosriesgos
‐ Iden=ficaryevaluarlasopcionesdetratamientoderiesgos
31
AnexoA.Obje=vosycontroles
11ÁREASODOMINIOSDECONTROL
39OBJETIVOSDECONTROL
133CONTROLES
32
Dominiosdecontrol
Seguridadorganizacional.
Seguridadlógica.
Seguridadrsica.
Seguridadlegal.
Opera=vo
Tác=co
Estratégico Polí=cadeseguridad
Organizacióndelaseguridaddelainformación
Ges=óndeac=vos
Controldeacceso
Seguridaddelosrecursoshumanos
Seguridadrsicaydelentorno
Ges=óndelacon=nuidaddelnegocio
Adquisición,desarrolloymantenimientodeSistemas
Ges=óndecomunicacionesyoperaciones
Cumplimiento
Ges=óndeincidentesdeSeguridad
Implementaryoperarlapolí/cadeseguridad,controles,procesosyprocedimientos.
–Tipsparaunaimplementaciónexitosa.
•Implementarplandetratamientoderiesgos.
(Transferir,Eliminar,Aceptar,Mi=gar.)
•ImplementarprogramasdeCapacitaciónyconcien=zación
–Tipsparaeléxitodelseguimientoylamejora.
•Implementarprocedimientosycontrolesdedetecciónyrespuestaa
incidentes.
–Tipsparaeléxitodelseguimientoylamejora.
•Implementarindicadoresparamedirlaeficaciadeloscontroles.
33
Evaluarymedirlaperformancedelosprocesoscontralapolí/cadeseguridad,losobje/vosyexperienciaprac/cayreportarlosresultadosaladirecciónparasurevisión.
• Revisarelnivelderiesgoresidualaceptable,considerandoloscambiosenelentorno.
• Auditoriasinternas.• RevisionesporpartedelaDirección
34
Elcontarconunconjuntoadecuadodeindicadores,
asociadosalosobje=vosycontrolesdeseguridad
definidoseimplementadosescrí=coparaeladecuado
seguimientoymejoracon=nuadelSGSI.
35
Tomaraccionescorrec/vasypreven/vas,basadasenlosresultadosdelarevisióndeladirección,paralograrlamejoracon/nuadel
SGSI.
• Iden=ficarmejorasenelSGSIafindeimplementarlas.
• Tomarlasaccionesapropiadas(preven=vasycorrec=vas).
• Comunicarlosresultadosylasaccionesaemprender,yconsultarcontodaslaspartes
involucradas.
• RevisarelSGSIdondeseanecesarioimplementandolasaccionesseleccionadas.
36
LosplanesdeCon,nuidaddeNegocioabarcantantolosplanesderecuperacióndeDesastres(DRP),comolaplaneaciónparaelrestablecimientodelnegocio.
DRP‐DisasterRecoveryPlan
Esunprocesoderecuperaciónquecubrelosdatos,elhardwareyel
sowwarecrí=co,paraqueunnegociopuedacomenzardenuevosus
operacionesencasodeundesastrenaturalocausadoporhumanos
37
38
39
Polí=cas,obje=vosyac=vidadesdeseguridaddelainformaciónquereflejenlosobje=vosdelnegocio;
unenfoqueyunmarcodetrabajoparaimplementar,mantener,monitorearymejorarlaseguridad,queseanconsistentesconlaculturadelaorganización;
soporteycompromisovisiblesentodoslosnivelesdelaorganización;
unabuenacomprensióndelosrequisitosdelaseguridaddelainformación,delaevaluaciónderiesgosydelages=óndelriesgo;
mercadeoeficazdelaseguridaddelainformaciónparatodoslosdirectores,empleadosyotraspartesparalograrlaconcien=zación;;
distribucióndeguíassobrelapolí=caylasnormasdeseguridaddelainformaciónatodoslosempleadosycontra=stas;
provisióndefondosparalasac=vidadesdeges=óndelaseguridaddelainformación;
formación,educaciónyconcien=zaciónadecuadas;
establecimientodeunprocesoeficazparalages=óndelosincidentesdelaseguridaddelainformación;
unsistemademedicióncompletoybalanceadoqueseu=liceparaevaluareldesempeñoenlages=óndelaseguridaddelainformaciónyretroalimentarsugerenciasparalamejora.
B
A
C
D
E
F
G
H
40
Factorescrí=cosdeéxito
I
J
Establecimientodeunametodologíadeges=óndelaseguridadclarayestructurada
Reduccióndelriesgodepérdida,roboocorrupcióndeinformación
Losclientes=enenaccesoalainformaciónatravésdemedidasdeseguridad
Losriesgosysuscontrolessoncon=nuamenterevisados
Confianzadeclientesysociosestratégicosporlagaranzadecalidadyconfidencialidadcomercial
Lasauditoríasexternasayudanclínicamenteaiden=ficarlasdebilidadesdelsistemaylasáreasamejorar
Posibilidaddeintegrarseconotrossistemasdeges=ón(ISO9001,ISO14001,OHSAS18001..)
B
A
C
D
E
F
G
41
BeneficiosdelSGSI
Con=nuidaddelasoperacionesnecesariasdenegociotrasincidentesdegravedad
Conformidadconlalegislaciónvigentesobreinformaciónpersonal,propiedadintelectualyotras
Imagendeempresaanivelinternacionalyelementodiferenciadordelacompetencia
Confianzayreglasclarasparalaspersonasdelaorganización
Reduccióndecostosymejoradelosprocesosyservicio
Aumentodelamo=vaciónysa=sfaccióndelpersonal
Aumentodelaseguridadenbasealages=óndeprocesosenvezdeenlacomprasistemá=cadeproductosytecnologías
42
BeneficiosdelSGSI
H
I
j
k
l
m
n
LosDocumentosenformatoPDF,permitenelintercambio,seguridadyconfiabilidaddelainformación 43
Seguridadene‐Document
Permitenotorgarcontrolesdeacceso,paracada=podeusuario
44
Seguridadene‐Document
Lasfirmasdigitalesnospermitengaran=zarlaiden=daddeunapersonaodeunequipoenlatransmisióndemensajesy
documentos,conelusodemétodocriptográficos
45
Seguridadene‐Document
LosE‐bookspermitendarseguridadsobrelacopiadedocumentosyorigendelcompradoryusuario
46
Seguridadene‐Document
Conclusiones:• Losriesgosenlainformacióncambianconstantementeylamaneracomolosges=onemosycontrolemos,garan=zarásuprotecciónyconservaciónadecuada.
• Esimportartedefinircontrolesdeseguridadconbaseenlasamenazassuprobabilidaddeocurrenciaeimpacto
Reseñabibliográficarecomendada:
• ISO/IEC270001SistemadeGes=óndeSeguridaddelainformación.
• ISO/IEC27001CódigodePrác=caparalaSeguridaddelaInformación
¿Preguntas?