Professional Documents
Culture Documents
Cmo Implementar un Sistema de Gestin de Seguridad de la Informacin SGSI segn las Normas
ISO/IEC 27001:2005 ISO/IEC 27002:2005 ISO/IEC 27005:2008
2011
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
Instructor
Sixto Flores R.
sixto.flores@isec-ecuador.com Country Manager I -Sec Information Security Ecuador (2005 - 2011) Leader Auditor Norma ISO 27001- IRCA Aprobado examen certificacin CISM -ISACA Consultor Autorizado por el Comit de Consultora de Ecuador Reg. No. 1-09037-CIN. Miembro ISACA captulo Ecuador Gerente Comercial IT-Services (2003-2005) Gerente Producto Symantec Ecuador (2000-2003) Gerente Administrativo Financiero Inacorp S.A. (1998-2000) Ha liderado algunos proyectos de Auditora e Implementacin de Programas de Seguridad Informtica en Entidades de primer nivel en el mbito local e internacional, basados en Normativas ISO 27000. Ha desarrollado y participado como instructor en cursos de Seguridad de la Informacin en Latinoamrica ( ISEC INC.) Ha liderado proyectos de implementacin de Business Continuity Plan (BCP).
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
INDICE
INTRODUCCIN ISO 27001 ISO 27005 ISO 27002
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
INTRODUCCIN
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
Sugerencias
Identificar objetivos. Anotar respuestas. Intercambiar experiencias. Generar un plan de accin propio. Participar activamente. Aclarar las dudas. Ser positivo y entusiasta. Comunicar los inconvenientes o disconformidades.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
OFF
PRESENTACIN ALUMNOS
Nombre del asistente Compaa y Producto/Servicio Puesto Nivel de conocimiento del ISO/IEC 27001 ISO/IEC 27002 e ISO/IEC 27005 (escala del 1-10) Expectativas
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
QU ES INFORMACIN ?
De acuerdo con el estndar ISO/IEC 27002:2005, la informacin se define como:
Un activo que, al igual que otros activos
importantes de la empresa, es esencial para el negocio de una organizacin y consecuentemente necesita estar protegido adecuadamente.
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
TIPOS DE INFORMACION
Escrita Impresa Presentaciones
Electrnica / Digital
Enviada correo
Verbal / Conversaciones
www.isec-global.com
Tipos de Informacin
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
INFORMACIN
Crearla Crearla Procesarla Procesarla Almacenarla Almacenarla Destruirla? Destruirla? Transmitirla Transmitirla
Usarla -- (para propsitos legtimos o inadecuados) Usarla (para propsitos legtimos o inadecuados)
Perderla Perderla
Corromperla! Corromperla!
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
INFORMACIN
Cualquiera que sea la forma que tome la informacin, o el medio por el cual sea compartida o almacenada, sta siempre debe estar protegida apropiadamente.
ISO/IEC 27002:2005
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
ADM. DE PROPIEDAD SEGURIDAD INFORMACIN INFORMACI ADMINISTRACION CENTRALIZADA ADM. DE VISITANTES AUTOMATIZACIN AUTOMATIZACI EDIFICIOS
Wi-Fi Wi-
Spamming
Violacin de contraseas
Firewall
Robo de informacin
Destruccin de equipamiento
Virus
IDS
AntiSpam
Software ilegal
Intercepcin de comunicaciones Falsificacin de informacin Agujeros de seguridad de redes para terceros conectadas
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
QU ES RIESGO?
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
QU ES RIESGO ?
Es la probabilidad o posibilidad de que ocurra un acontecimiento indeseado o se realice una accin no deseada de modo que afecte negativamente a la organizacin, a sus activos y/o a la consecucin de sus fines, objetivos y resultados.
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
La Gestin de Riesgo implica: Determinar qu se necesita proteger. De qu hay que protegerlo. Cmo hacerlo.
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
27005 Gestin del Riesgo Proporciona una metodologa para uso en el SGSI (27001)
27004 Medicin
Proporciona la metodologa para la medicin de la efectividad del SGSI (27001) y de los controles (27002)
ISO/IEC 27001
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
10
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
Norma ISO 27001:2005 Sistema de Gestin de Gesti Seguridad de la Informacin SGSI Informaci SGSI requieren que todos sean informados claramente sobre lo que es requerido de ellos, que todos sean capacitados que qu hacer. En las empresas las personas reciben informacin, la procesan y luego la envan al prximo procesador, todos en una organizacin son clientes, procesadores y proveedores, por lo tanto deben proteger la informacin que manejan. La adopcin de un SGSI debe ser una decisin estratgica de la direccin de una organizacin.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
11
Confidencialidad
Salvaguardar la informacin de clientes y del negocio.
Disponibilidad
Acceso a los recursos por clientes y empleados.
Integridad
Confianza en la informacin del negocio y clientes.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
Qu se debe garantizar?
1. CONFIDENCIALIDAD
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
12
Qu se debe garantizar?
2. INTEGRIDAD
Qu se debe garantizar?
3. DISPONIBILIDAD
Se garantiza que los usuarios autorizados tienen acceso a la informacin y a los recursos relacionados toda vez que lo requieran.
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
13
Integridad Integridad
Confidencialidad Confidencialidad
Disponibilidad Disponibilidad
En algunas organizaciones la integridad y/o disponibilidad pueden ser ms importantes que la confidencialidad.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
14
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
15
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
SGSI
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
16
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
El Alcance y la Organizacin
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
17
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
18
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
19
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
20
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
21
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
GESTION DE RIESGO
ANALISIS DE RIESGO
GESTIN DE RIESGO
TRATAMIENTO DE RIESGO
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
22
La Gestin de Riesgo implica: Determinar qu se necesita proteger. De qu hay que protegerlo. Cmo hacerlo.
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
4.2.1 e)
Opcin 1
Nivel del riesgo
Opcin 2
NRA - 5.1 f) GG RR 4.2.1 h)
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
23
Prioridad
Objetivo
20Semestre
2011? NRA Top 50? Hasta aqu Nada mas! Esto es la prioridad! Lista de Riesgos Objetivo 10Semestre 2012? Gasto Mayor
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
Garanta
Producto / Servicio
Continuidad de Negocios
Aceptacin
Transferencia
Documentar y Aprobar
Instalaciones disponibles
Tecnologas de suporte
Datos y informacin
Equipamiento y surtimientos
Partes interesadas
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
24
Anlisis de Riesgos
Identificacinde activos Identificacinde amenazas Identificacinde vulnerabilidades Probabilidadde vulnerabilidades Tasacinde activos
Calificacindel riesgo
Enunciado de Aplicabilidad
Planificacin Estratgica
MARKETING
COMPRAS COMPRAS
PRODUCCIN
VENTAS
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
25
Administracin Administracin Administracin Administracin de Capital de Capital General General de proyectos de proyectos
Proyectos alternativos y su factibilidad
Mantenimiento de la planta Identificar los requerimientos de mantenimiento Planificacin de conservacin de la planta Administracin de actividades de mantenimiento Desarrollo del anlisis de causa - raiz
Plan de negocios
Plan de proyectos
Planificacin de proyectos
Infraestructura de comunicacin
Ejecucin de proyectos
Servicios Legales
Administracin del costo del producto Anlisis de probabilidad Coordinate/ Perform Audit
Administracin de recompensas
Soporte a usuarios
Cierres mensuales
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
Anlisis de Riesgos
Identificacindeactivos Tasacindeactivos
Identificacinde amenazas
Probabilidadde ocurrencia
Identificacinde vulnerabilidades
Controlesexistentes
Probabilidadde vulnerabilidades
Impactode vulnerabilidades
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
Calificacindel riesgo
26
Procesos
Soportar el proceso de negocio de forma: Eficaz y eficiente Segura y confiable Administrada adecuadamente para mantener los principios de seguridad de: Integridad Confidencialidad Disponibilidad
Hardware
27
Disponibilidad la informacin se pueda acceder oportunamente para desarrollar actividades con base en ella
Tasacin Activos
Confidencialidad Integridad Disponibilidad
Total
2) Facturas
3) Software de Facturacin
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
28
Anlisis de Riesgos
Identificacindeactivos Tasacindeactivos
Identificacinde amenazas
Probabilidadde ocurrencia
Identificacinde vulnerabilidades
Controlesexistentes
Probabilidadde vulnerabilidades
Impactode vulnerabilidades
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
Calificacindel riesgo
Amenazas
Naturales
Incendios Terremotos Inundaciones
AMENAZAS
Impericia
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
29
Tasacin
A A A
A
Temperatura/ Humedad Erupcin volcnica Daos fsicos
M M M
Anlisis de Riesgos
Identificacindeactivos Tasacindeactivos
Identificacinde amenazas
Probabilidadde ocurrencia
Identificacinde vulnerabilidades
Controlesexistentes
Probabilidadde vulnerabilidades
Impactode vulnerabilidades
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
Calificacindel riesgo
30
Vulnerabilidades
Es una debilidad en el sistema de seguridad de la informacin Es la falta de uno o varios controles Puede permitir que una amenaza se materialice Es la puerta abierta por la que podra entrar la amenaza La vulnerabilidad en s mismo no causa dao: Es simplemente una condicin o conjunto de condiciones que pueden hacer que una amenaza se concrete y afecte o haga dao
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
Tasacin
Tasacin de los Activos Descripcin M
Amenazas
Probabilidad de Ocurrencia de la Amenaza
Vulnerabilidades
Probabilidad que Impacto de amenaza explote materializarse la Vulnerabilidad Amenaza
Contagio de virus
A B M M A A
A A B B M M
Sustraccin de informacin
Puerto USB habillitados Alta capacidad para envo de archivos por correo Carencia de inventario de licencias instaladas Carencia de inventario de licencias adquiridas
A Temperatura/Humedad Erupcin volcnica Daos fsicos M M M No existe mecanismo de notificacin alterna Falta de sitio alterno No disponibilidad de repuestos B B B M A A
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
31
Anlisis de Riesgos
Identificacindeactivos Tasacindeactivos
Identificacinde amenazas
Probabilidadde ocurrencia
Identificacinde vulnerabilidades
Controlesexistentes
Probabilidadde vulnerabilidades
Impactode vulnerabilidades
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
Calificacindel riesgo
Activos de Informacin PC
Descripcin
2.29
32
Gestin de Riesgos
+ Medidas Preventivas EVENTO Riesgo Bruto
es ol s tr te on sten C xi E
Sensacin de Riesgo
Zona de Confort
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
PROBABILIDAD
Con un SGSI, la organizacin conoce los riesgos a los que est sometida su informacin y los asume, minimiza, transfiere o controla mediante una metodologa sistemtica, definida, documentada y conocida por todos, que se revisa y mejora constantemente.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
Medidas Reactivas
IMPACTO
33
Gestin de Riesgos
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
Asumir el Riesgo: Aceptar el riesgo y continuar operando tal como se ha estado haciendo
www.isec-global.com
Eliminar (evitar) el Riesgo: Eliminar la causa de ste (ej. sacar de produccin un activo)
Transferir el Riesgo: Usar opciones que compensen la prdida (ej. Adquirir plizas de seguros)
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
34
Anlisis de Riesgos
Identificacinde activos Identificacinde amenazas Identificacinde vulnerabilidades Probabilidadde vulnerabilidades Tasacinde activos
Calificacindel riesgo
Enunciado de Aplicabilidad
OBJETIVOS DE CONTROL
1 2 2 3 2 10 7
CONTROLES
2 11 5 9 13 32 25
6 2 1 3
16 5 5 10
COPYRIGHT 2011 / Sixto Flores TOTAL: Information Security INC. S.A. Elaborado para 11 DOMINIOS
39
133
35
Seguridad y confiabilidad
Poltica organizacional
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
Impacto operacional
Seleccin de Controles
Activos Tasacin Amenazas Vulnerabilidades Calificacin del Riesgo Controles
Activos de Informacin PC
Descripcin
Probabilidad que Impacto de Calificacin de amenaza explote materializarse la Riesgo de Vulnerabilidad Amenaza Vulnerabilidad
Seleccin de Controles
2.29 A Instalacin mensual de parches al OS de la PC Acceso a Internet Sustraccin de informacin A Puerto USB habillitados Alta capacidad para envo de archivos por correo Software sin licencia A Carencia de inventario de licencias instaladas Carencia de inventario de licencias adquiridas A B M M A A A A B B M M 3 2 1.5 1.5 2.5 2.5 2.75 2.25 2.75 12.6. Control de 1 vulnerabilidades tcnicas 11.4. Poltica sobre el uso de 1 servicios de red 10.7. Gestin de los medios 1 removibles 10.8. 4 Mensajes electrnico 7.1.1 Inventario de activos 7.1.1 Inventario de activos
2.46 Proteccin contra amenazas externas y 9.1.4 ambientales Desarrollar e 14.1. implementar planes de 3 continuidad Mantenimiento de 9.2.4 equipos
Temperatura/Humedad
1.5
1.75
M M
B B
A A
2 2
2 2
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
36
Anlisis de Riesgos
Identificacinde activos Identificacinde amenazas Identificacinde vulnerabilidades Probabilidadde vulnerabilidades Tasacinde activos
Calificacindel riesgo
Enunciado de Aplicabilidad
Enunciado de Aplicabilidad
Proceso Facturacin a Clientes
Activo de Informacin
Software de facturacin
Objetivo de Control
A.5.1
Control
A.5.1.1 A.5.1.2 A.8.1.1 A.8.1.2 A.8.1.3 A.8.1.4 A.8.2.1 A.8.3.1 A.8.3.2
Justificacin
Proporcionar discrecionalidad en la seguridad de informacin. Minimizar errores humanos en la seguridad de informacin.
A.8.1
A.8.2
A.8.3
Evitar el acceso fsico no autorizado. Evitar la prdida de activos e interrupcin del servicio. Controlar el acceso a la informacin.
A.11.5
A.11.5.2
A.11.5.3
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
37
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
38
ISO/IEC 27002:2005
AREAS DE CONTROL
Poltica de seguridad Organizacin de la seguridad de la informacin Gestin de activos Seguridad de los recursos humanos Seguridad fsica y ambiental Gestin de comunicaciones y operaciones Control de acceso Sistemas de informacin: adquisicin, desarrollo y mantenimiento Gestin de incidentes de seguridad de la informacin Gestin de la continuidad del negocio Cumplimiento
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
OBJETIVOS DE CONTROL
1 2 2 3 2 10 7
CONTROLES
2 11 5 9 13 32 25
6 2 1 3
16 5 5 10
TOTAL: 11 DOMINIOS
39
133
Objetivo de control: Proporcionar direccin y apoyo gerencial para brindar seguridad de la informacin a travs de toda la organizacin, mediante una comunicacin, segn corresponda [ISO 27001]
Documentacin PS
Revisin y Evaluacin PS
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
39
POLITICA SEGURIDAD
Documentacin PS
Revisin y Evaluacin PS
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
Poltica de Seguridad
Legalidad
Disponibilidad
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
40
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
ORGANIZACIN SEGURIDAD
Objetivo de control: Administrar la seguridad, para iniciar y controlar la implementacin de SI en la organizacin y mantener la seguridad en el acceso de terceros [ISO 27001]
Organizacin Interna
Terceros
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
41
ORGANIZACIN SEGURIDAD
Organizacin Interna
Terceros
Compromiso Direccin - SI Coordinacin - SI Asignacin responsabilidades Autorizacin - Recursos Acuerdo - Confidencialidad Contacto - Autoridades Contacto Grupo Interes Revisin Independiente
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
42
GESTION ACTIVOS
Objetivo de control: Mantener adecuada proteccin Activos de la organizacin, designar propietarios, Clasificar la Informacin para asegurar un adecuado nivel de proteccin [ISO 27001]
Responsabilidad - Activos
Clasificacin - Informacin
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
Planificacin Estratgica
MARKETING
COMPRAS
PRODUCCIN
VENTAS
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
43
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
Dominio 7: Gestin de Activos Gesti Identificacin de la informacin ms crtica Identificar informacin: cul es la ms crtica Identificacin de los sistemas / equipos / documentos donde se conserva la informacin
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
44
Dominio 7: Gestin de Activos Gesti Clasificacin de la informacin teniendo en cuenta los riesgos identificados
1. Anlisis de los principales riesgos a la que est expuesta. 2. Categorizacin en Confidencial, Restringida o Pblica. 3. Identificacin para determinar si se encuentra en medios electrnicos y/o en medios fsicos. 4. Aprobacin de los sectores / usuarios que deben acceder a la informacin crtica con permisos 5. Consolidacin.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
SEGURIDAD R.R.H.H.
Objetivo control: Reducir riesgos error humano, robo, fraude, uso inadecuado instalaciones. Responsabilidad asignadas. Firma convenio de confidencialidad
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
45
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
46
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
47
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
48
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
Objetivo de control: Prevenir accesos fsicos no autorizados, Informacin crtica o sensible procesada en reas seguras. El equipamiento debe estar protegido de amenazas fsicas y de medio ambiente. [ISO 27001]
reas Seguras
Seguridad - Equipos
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
49
reas Seguras
Seguridad - Equipos
Permetro Seguridad Fsica Controles Fsicos Entrada Seguridad Oficinas Despachos Protec Amenaz Ext Ambien Trabajo reas Seguras reas Acceso Pblico -Carga
Proteccin Equipos Instal Suminist Luz Agua-Aire Seguridad - Cableado Mantenimiento - Equipos Seguridad Equipos - Fuera Reutilizacin Equipos Retiro Equipos - Informacin
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
50
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
51
Supervisin/ Monitoreo
Proced - Operacin
Comercio Electrnico GESTION COMUNICACIONES OPERACIONES Intercambio Informac Objetivo: Garantizar correcta y segura operacin instalaciones Manejo Soportes
Planif-Acepta-Sistema
Proteccin Cd Malicio
Seguridad Redes
Back-up
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
52
Portatiles -Teletrabajo
Requisitos Acceso
CONTROL DE ACCESOS Control Acceso S.O. Gestin Acceso Usuar Objetivo: Control de acceso a la informacin [iso27001]
Responsab- Usuario
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
requerimientos de seguridad de cada una de las aplicaciones comerciales; identificacin de toda informacin relacionada con las aplicaciones comerciales; polticas de divulgacin y autorizacin de informacin;
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
53
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
54
Controles Criptogrficos
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
55
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
GESTION INCIDENTES SI
Objetivo de control: Incidentes de Seguridad son comunicados oportunamente y Gestionados en forma efectiva [ISO 27001]
Notificacin Eventos
Gestin Incidentes SI
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
56
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
57
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
58
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
59
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
60
61
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
Testeo y mantenimiento del plan Testeo o Desarrollar pruebas o Realizar pruebas lo ms cercano a la realidad. Mantenimiento o Definir mecanismo para su actualizacin. o Efectuar pruebas peridicas del correcto funcionamiento
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
62
CUMPLIMIENTO
Legislacin aplicable Derechos Propiedad Intelectual Proteccin Registros Orga Requisitos Legales Proteccin Datos Personales Protecc Uso Indebid Inst
Objetivo control: Impedir infracciones y violaciones de las leyes de derecho civil y penal y de requisitos de SI, Garantizar compatibilidad sistemas con polticas de seguridad [iso27001]
Polticas, Normas
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
63
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
Identificacin de la legislacin aplicable Se deben definir y documentar claramente todos los requisitos legales, normativos y contractuales pertinentes para cada sistema de informacin.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
64
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
65
66
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
SGSI
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
67
68
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
69
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
70
5. Responsabilidad de la Direccin
Es importante que la direccin proporcione evidencias de su compromiso con los procesos y actividades para el establecimiento, implantacin, operacin, monitoreo, evaluacin, mantenimiento y la mejora del SGSI de acuerdo con la clusula 5 de la ISO 27001. La organizacin debe asegurar que provee recursos suficientes para implementar los requisitos y procesos identificados en la norma ISO 27001 de la clusula 4 a la 8.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
71
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
72
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
IMPLEMENTAR SGSI
L n e a
5.1 Aprobacin de la Gerencia Iniciacin del Proyecto SGSI
D e T i e m p o
8 Realizar una anlisis de Riesgos y Planificacin de tratamiento de 9 Diseo del SGSI Riesgos
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
73
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
RESUMEN
La seguridad de la informacin protege la informacin de una amplia gama de amenazas con el fin de asegurar la continuidad del negocio, minimizar el impacto al negocio y maximizar el retorno de inversin, as como las oportunidades de negocio Cada organizacin tendr un conjunto diferente de requerimientos en trminos de controles y nivel de confidencialidad, integridad y disponibilidad
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
74
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
75