NORMA ISO/IEC 27001:2005

Modelo Para Establecer, Implementar Operar Monitorear, Operar, Monitorear Revisar, Revisar Mantener y Mejorar un ISMS (Information Security
Management System)

Ing Jorge Ceballos (jceballos@iram.org.ar) Ing. (jceballos@iram org ar)

Noviembre 2010

Para cumplir la misin de:

Contribuir a mejorar la calidad de vida, el bienestar y la seguridad de las personas Promover el uso racional de los recursos y la actividad creativa Facilitar la produccin, el comercio y la transferencia de conocimientos En el mbito nacional, regional e internacional

Brinda servicios de:

NORMALIZACIN CERTIFICACIN
de Productos de d Sistemas Si t de d G Gestin ti
17.000 Productos Certificados 4 800 Certificados 4.800 C ifi d E Emitidos i id

Participacin en Organismos de Estudio: ISO - IEC - COPANT AMN

FORMACIN DE RR RR.HH. HH

4.900 Cursos dictados 71.394 Horas de Capacitacin

CENTRO DE DOCUMENTACIN
250.000 Documentos Tcnicos

RELACIONES INSTITUCIONALES
ESTADO SECTORES INDUSTRIALES UNIVERSIDADES SECTORES CIENTFICO TCNICOS CONSUMIDORES

Formas de abordar la mejora j en Tecnologas de la Informacin

Gestin
ISO 90003
Ciclo Ci l d de vida ISO 12207 Servicios ISO 20000-1

P Procesos
Competisoft // ISO 15504

ISO 27001

Productos
ISO 14598 con ISO 9126

ISO/IEC 20000 IT Gestin del servicio

Procesos de prestacin del servicio
Gestin de la capacidad Gestin de la disponibilidad y continuidad del servicio Gestin de niveles de servicio Elaboracin de informes del servicio Gestin de la seguridad de la informacin Elaboracin del presupuesto y gestin de costos

Procesos de Control
Gestin de la configuracin Gestin de cambios

Proceso de Liberacin
Gestin de la liberacin

Procesos de Relaciones
Gestin de relaciones con clientes Gestin de proveedores

Procesos de Resolucin
Gestin de incidentes Gestin de problemas

ITIL - Information Technology gy Infrastructure Library

Es un marco de trabajo (framework) para la Administracin de Procesos de IT E un standard Es t d d de d facto f t para Servicios S i i de d IT Fue desarrollado a fines de la dcada del 80 Originalmente creado por la CCTA (una agencia del Gobierno del Reino Unido)

Informacin
Definicin, Tipos
La informacin es un recurso que, como el resto de los importantes activos, activos tiene valor para una organizacin y por consiguiente debe ser debidamente protegida.

Algunos datos
En general todos coinciden en: El 80% de los incidentes/fraudes/ataques son efectuados por personal interno Fuentes: The Computer C S Security Institute Cooperative Association for Internet Data Analysis (CAIDA) CERT SANS

Fraude por Computador

Utilizar ili un computador d para obtener b beneficio personal o causar dao a los dems. Dada la p proliferacin de las redes y del personal con conocimientos en sistemas, se espera un incremento en la frecuencia y en la cantidad de prdidas. prdidas Se especula que muy pocos fraudes por p son detectados y una menor computador porcin es reportada.

De Quin nos Defendemos?

Gente de adentro: Empleados o personas allegadas. allegadas Anti gobernistas: Razones obvias para justificar un ataque. ataque Un cracker que busca algo en especfico: Es problemtico pues suele ser un atacante determinado. Puede estar buscando un punto de salto. salto

De qu nos defendemos?
Fraude Extorsin Robo de Informacin Robo de servicios Actos terroristas Reto de penetrar un sistema Deterioro Desastres Naturales

Efectos de las Amenazas y los Ataques

Interrupcin de actividades Dificultades para toma de decisiones Sanciones Costos excesivos Prdida o destruccin de activos Desventaja competitiva Insatisfaccin del usuario (prdida de imagen)

 Qu Informacin proteger ? Informacin

en formato electrnico / magntico / ptico en formato impreso e en e el co conocimiento oc e to de las as pe personas so as

QU DEBE SER PROTEGIDO?

Sus Datos
Confidencialidad Q Quines deben conocer q qu Integridad Quines deben cambiar qu Disponibilidad spo b dad - Habilidad ab dad para pa a utilizar ut a sus sistemas

Sus Recursos
Su organizacin, organizacin su tecnologa y sus sistemas

Qu es la seguridad de la informacin?
La seguridad L id d de d informacin i f i se caracteriza t i como la l preservacin de la: Confidencialidad: asegurar que la informacin sea accesible slo para aquellos usuarios autorizados para tener acceso Integridad: salvaguardar que la informacin y los mtodos de p procesamiento sean exactos y completos Disponibilidad: asegurar que los usuarios autorizados tengan acceso a la informacin y bienes asociados cuando lo requieran

 Cmo se logra g la seguridad g de la informacin ?

La seguridad de informacin se logra mediante la

implementacin de un adecuado conjunto de controles, los que podran ser:

Polticas, prcticas, procedimientos, estructuras organizacionales y funciones de software.

Se S necesita it establecer t bl estos t controles t l para

asegurar que se cumplan los objetivos especficos de seguridad de la organizacin. organizacin

Seguridad de la informacin
RIESGOS O AMENAZAS
Actos de la naturaleza Fraudes

Fallas de Hard, Soft o instalacin

VULNERABILIDADES

Dao intencional

Errores y omisiones CONSECUENCIAS RIESGO

Invasin a la privacidad

PERDIDA ESPERADA

Sistema de g gestin de riesgos g

Figura 1 de la norma IRAM 17551

Objetivos a cumplir
Objetivos corporativos de negocio Objetivos corporativos de TI Objetivos O j os de d Seguridad gu d d Informtica El problema de la Seguridad Informtica est en su Gerenciamiento y no en las tecnologas disponibles

SGSI: Sistema de Gestin de Seguridad d la de l Informacin I f i

ISMS Information Security y Management g System y Qu es? Forma sistemtica de administrar la Q informacin sensible Cmo? Gestionando los riesgos g Para qu? Proteger la informacin: Confidencialidad Integridad Disponibilidad A quines abarca? Personas, Procesos y Tecnologa

ORIGEN: BS 7799
Norma Define requisitos para un Sistema de Gestin de g de la Informacin ( (ISMS). ) Seguridad Comprende 10 secciones Compuesta por 2 partes: Parte 1: Controles Parte 2: ISMS - Certificacin

ISO 27001:2005
Actualizacin de BS 7799 bajo los lineamientos de ISO, se cre ISO 27001 El nombre oficial del nuevo estndar es: BS 7799-2:2005 (ISO/IEC 27001:2005) Information Technology - Security Techniques Information Security Management - Systems Requirements. Cambios con respecto a BS 7799-2: por ejemplo requiere la definicin de los mecanismos de medi in de la medicin l efectividad efe ti id d de los lo controles. ont ole

Modelo SGSI

Modelo SGSI

Objetivos j del SGSI

Implementacin de un programa de Seguridad Comprensivo Adaptado a la Cultura de la organizacin Que Proteja la informacin sensible de las amenazas

Objetivos de Seguridad
Tres componentes a tener en cuenta para la seguridad

1) Ataques a la seguridad:
Cualquier accin que compromete la seguridad de la informacin perteneciente a la organizacin.

2) Mecanismos de seguridad:
Es un mecanismo diseado para detectar, prevenir y/o recuperar frente a un ataque a la seguridad.

3) Prestacin de seguridad:
Es un servicio que mejora la seguridad de un sistema de procesamiento de datos y de la informacin que transfiere la organizacin. El servicio enfrenta f los ataques a la seguridad utilizando para poder hacerlo, uno o ms mecanismos de seguridad.

Antes de comenzar. Requisitos para comenzarexiste alguno???

COMPROMISO Y RESPALDO DE LA DIRECCION

El Proceso de Implementacin - SGSI La clave de la implementacin es: Comunicacin y Entrenamiento

Considerar documentacin

SGSI: El Proceso de Implementacin

SGSI: El Proceso de Implementacin

El Proceso de Certificacin

No hay calidad de la gestin sin seguridad de la informacin q que p procesan los sistemas de informacin que d dan soporte t a la l gestin ti

Propuesta p de p plan del PMG en el SGSI

A realizar por IRAM Chile A realizar por Red de Expertos p PMG A realizar por funcionarios Implementacin Fase 1 ESTABLECER el SGSI (s/6 dominios) Implementacin Fase 2 IMPLEMENTAR el SGSI (s/6 dominios) Implementacin Fase 3 Seguimiento y Revisin de SGSI (s/6 dominios) Preparacin para Certificacin Gap analysis + Diagnstico Asesoramiento para Capacitacin p diseo del plan Auditora de Verificacin Fase 1 Auditora de Verificacin Fase 2 Asesoramiento sobre acciones correctivas Fase 1 Asesoramiento sobre acciones correctivas Fase 2 Asesoramiento sobre acciones correctivas Fase 3

Auditora de Verificacin Fase 3

35

PREGUNTAS Y COMENTARIOS