Implantacin del SGSI de SONDA Uruguay

A/S Paulo Delmonte, CISA Jefe de Seguridad de la Informacin SONDA Uruguay

Objetivo

Compartir con ustedes nuestra experiencia de implantacin y certificacin del Sistema de Gestin de la Seguridad de la Informacin (SGSI) de SONDA Uruguay bajo la norma ISO/IEC 27001

2
SONDA

Agenda
Aspectos sobre la norma ISO/IEC 27001 Proceso de implantacin y certificacin del SGSI Conclusiones, preguntas y respuestas

3
SONDA

Aspectos de la norma ISO/IEC 27001

4
SONDA

Qu es gestin de la seguridad?
El Sistema de Gestin de la Seguridad de la Informacin (SGSI) es la parte del sistema de gestin global basada en un enfoque de riesgos del negocio, para: Implementar, operar, monitorear, mantener y mejorar la seguridad de la informacin.

5
SONDA

Conceptos Fundamentales
Amenazas
Protegen contra Explotan

Vulnerabilidades
Exponen

Aumentan

Aumentan

Controles
Determinan Eficacia
Cubiertos por

Reducen

Riesgos

Activos
Tienen

Indican
Aumentan

Mtricas

Requerimientos

Valor

Impacto potencial en el negocio

6
SONDA

Planificar/ Hacer / Verificar / Actuar

Definir la poltica de seguridad Establecer el alcance del SGSI Realizar anlisis de riesgos Adoptar acciones correctivas

Planificar

Actuar

Adoptar acciones preventivas Adoptar acciones de mejora

Seleccionar los controles

PHVA
Hacer Verificar
Revisar la eficacia de los controles Realizar auditoras internas del SGSI Revisiones del SGSI por parte de la Direccin

Implantar el SGSI

Implantar los controles Implantar indicadores

Modelo P-H-V-A
7
SONDA

Objetivos de Control y Controles

Dominio Objetivos de Control Controles

5
6 7 8 9 10 11

Poltica de Seguridad
Organizacin de la seguridad Gestin de activos Seguridad de los Recursos Humanos Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Control de acceso

1
2 2 3 2 10 7

2
11 5 9 13 32 25

12
13 14 15

Adquisicin, Desarrollo y mantenimiento de sistemas

Gestin de incidentes de seguridad Gestin de continuidad del negocio Cumplimiento

6
2 1 3

16
5 5 10

Totales

39

133
8

SONDA

Proceso de implantacin y certificacin

9
SONDA

Introduccin SONDA
SONDA es la principal empresa latinoamericana de Servicios TI e Integracin de Sistemas

Ingresos 2008 > US$ 671 millones Utilidades US$ 80 millones Empleados > 10.000

Organizacin regional con un amplio alcance en Amrica Latina

10
SONDA

Introduccin SONDA
Mxico Costa Rica Colombia Ecuador Per

9 pases 20 oficinas comerciales > 500 centros de servicio

Brasil

Uruguay
Argentina Chile
11

SONDA

Introduccin Data Center

El Data Center es una unidad de negocios que brinda servicios relacionados con el rea de Tecnologa de la Informacin, como son hosting, housing, outsourcing de TI, contingencia.
Vice Presidencia del Directorio

Tecnolgica Comercial Servicios Proyectos

Administracin y Finanzas

Soporte infraestructura

Service Desk

Aplicaciones

Consultora

Servicios Residentes

Centros de cmputos

Calidad

PMO

12
SONDA

Introduccin Historia
Objetivo corporativo Creacin de proyecto para la consecucin del objetivo

13
SONDA

Proyecto
Apoyo de la PMO Entregables
E1: Acuerdos de confidencialidad E2: Informe de anlisis de riesgo E3: Procesos implantados
Capacitacin al personal Indicadores del SGSI Auditora interna realizada

E4: Certificado ISO 27001

Presupuesto
Previsiones del sector para mejoras y nuevos controles Estimacin de RRHH en base a dimensin de proyecto/cliente

14
SONDA

Proyecto de implantacin
Etapa 1
Actividad principal:
Anlisis de riesgo

Duracin: abril a agosto de 2008

Etapa 2
Actividad principal:
Implementacin de controles

Duracin: agosto a diciembre de 2008

SONDA

15

Proyecto de implantacin Etapa 1

16
SONDA

Proyecto de implantacin Etapa 1

Capacitacin y evaluacin inicial de situacin 12 horas de capacitacin Participacin de personal de otras reas Anlisis de gap para evaluar desviaciones de la ISO 27001/2

17
SONDA

Proyecto de implantacin Etapa 1

Comit de Seguridad Representante de la Direccin Coordinador de RRHH Coordinador de Calidad Administrador de Data Center Jefe de Data Center Jefe de Seguridad de la Informacin

18
SONDA

Proyecto de implantacin Etapa 1

Alcance del SGSI Descripcin de la empresa Delimitacin del alcance Descripcin de la

organizacin dentro de la
empresa

19
SONDA

Proyecto de implantacin Etapa 1

Poltica de seguridad de la informacin Establecer anualmente objetivos con relacin a la

Seguridad de la Informacin.
Cumplimiento de requisitos legales en materia de seguridad. Realizar Anlisis de riesgo

20
SONDA

Proyecto de implantacin Etapa 1

Algunos objetivos del SGSI
Objetivo
Obtener y mantener la certificacin ISO/IEC 27001 Mantener la concientizacin y capacitacin del personal en ISO/IEC 27001 Garantizar satisfaccin los clientes materia seguridad de informacin la de en de la

Mtrica

Meta
Obtencin o mantenimien to del certificado

Responsable

Frecue ncia

Plazo de cumplimi ento Dic-08

Certificado

Comit de Seguridad

Anual

Porcentaje de los funcionarios con al menos dos capacitaciones sobre la norma ISO/IEC 27001

100%

Comit de Seguridad

Anual

Dic-08

Nmero de reclamos asociados a la seguridad de la informacin

Comit de Seguridad

Anual

Dic-08

21
SONDA

Proyecto de implantacin Etapa 1

Requisitos legales y contractuales Asistencia de consultores legales Anlisis de contratos, identificando referencias a compromisos de confidencialidad, integridad y disponibilidad de la informacin.

22
SONDA

Proyecto de implantacin Etapa 1

Identificacin y valoracin de activos 1. Identificacin de dueos de activos de informacin 2. Identificacin de procesos/procedimientos 3. Identificacin y clasificacin de activos 4. Agrupamiento de activos (tipo cliente ubicacin) 5. Valoracin de los activos 6. Valoracin de los grupos
23
SONDA

Proyecto de implantacin Etapa 1

Identificacin y evaluacin de riesgos

1. Identificacin

valoracin

de

activos

2. Identificacin de amenazas y su probabilidad de ocurrencia

Escala
Alta

Descripcin
Existe una gran probabilidad de que ocurra, por lo menos una vez. Podra ocurrir con alguna probabilidad. Es un fenmeno que ocurre rara vez en el ao.
24

Media

Baja

SONDA

Proyecto de implantacin Etapa 1

Identificacin y evaluacin de riesgos 3. Vulnerabilidad
Se identifican qu controles existen para cada amenaza.
Nivel de vulnerabilidad
Nula Baja Media Alta

Situacin No hay Vulnerabilidad S hay controles y son suficientes Hay algunos controles

No hay controles o no son suficientes

25
SONDA

Proyecto de implantacin Etapa 1

Identificacin y evaluacin de riesgos 4. Impacto (ejemplo)
Grupo Base de datos Comn Amenaza Uso no autorizado de medios de almacenamient o porttiles D I C Impacto

MedioAlto

En la hoja Inventario de Activos, para el grupo Base de Datos Comn, se encuentra la siguiente valoracin:
Disponibilidad Medio Integridad Alto Confidencialidad Medio-Alto
26
SONDA

Proyecto de implantacin Etapa 1

Identificacin y evaluacin de riesgos 5. Clculo de riesgo actual
Obtencin del grado de exposicin actual. Vulnerabilidad/ Probabilidad Baja

Baja

Media

Alta

Muy bajo

Bajo

Medio

Media

Bajo

Medio.

Alto

Alta

Medio

Alto

Muy alto

27
SONDA

Proyecto de implantacin Etapa 1

Identificacin y evaluacin de riesgos 5. Clculo de riesgo actual
Con el nivel de exposicin calculado y el impacto potencial de la amenaza, se obtiene el riesgo actual, en base a lo detallado en la siguiente tabla:
Impacto/Exposicin Bajo Medio Medio-Alto Alto Muy baja 1 2 3 4 Baja 2 3 4 5 Media 3 4 5 6 Alta 4 5 6 7 Muy Alta 5 6 7 8

28
SONDA

Proyecto de implantacin Etapa 1

Identificacin y evaluacin de riesgos 5. Clculo de riesgo actual
Los niveles de riesgos calculados se asocian a las siguientes descripciones:
Nivel de riesgo 1 2 3 4 5

Concepto Insignificante Trivial Menor Poco Significativo Significativo

Descripcin Impacto muy bajo - No requiere accin. Impacto bajo - No requiere accin. Efectos menores en el negocio - No requiere accin. Algn efecto negativo - No se considera necesario tomar accin. Efecto negativo en el negocio. Estos riesgos son considerados aceptables.

29
SONDA

Proyecto de implantacin Etapa 1

Identificacin y evaluacin de riesgos 5. Clculo de riesgo actual
Nivel de riesgo 6 7 8

Concepto Importante Mayor Catastrfico

Descripcin Tendran serios efectos negativos en el negocio. Tendran efectos negativos mayores en el negocio, y deberan ser reducidos en todas las circunstancias. Tendran efectos desastrosos en el negocio, y deberan ser reducidos en todas las circunstancias.

30
SONDA

Proyecto de implantacin Etapa 1

Identificacin y evaluacin de riesgos 6. Identificacin de controles
Para cada riesgo que supera el riesgo mximo aceptable, se identifican los controles de la norma ISO/IEC 27001.

7. Clculo de riesgo residual

Se calcula un nuevo valor de riesgo residual tomando en consideracin los controles que se implementan.

31
SONDA

Proyecto de implantacin Etapa 1

Identificacin y evaluacin de riesgos 8. Plan de tratamiento de riesgos
Se genera el Plan de Tratamiento, indicando controles, responsabilidades, recursos.

9. Monitoreo y revisin
Se realizan revisiones peridicas y cuando se producen cambios significativos a los procesos del negocio.

32
SONDA

Proyecto de implantacin Etapa 1

Enunciado de aplicabilidad
Objetivos de Control / Controles
A.5 Poltica de Seguridad Objetivo: Brindar orientacin y apoyo de la direccin para la seguridad de la informacin, de acuerdo con los requisitos del negocio y con las regulaciones y leyes pertinentes. Existe publicado un documento de polticas, aprobado por la direccin, publicado y comunicado de forma apropiada, a todos los empleados?. S S i

Detalle

I S m e Justificacin p l l

A.5.1 Poltica de Seguridad de la Informacin

A.5.1.1 Documento de la poltica de seguridad de la informacin.

Mejorar la concientizacin personal. Mitigar riesgos. Demostrar compromiso de la Direccin.

del

33
SONDA

Proyecto de implantacin Etapa 1

Plan de tratamiento de riesgos
Grupo (Tipo/Propietari o/Ubicacin) Personas Sonda - Sonda Amenazas Riesgo Tratami ento Mitigar Controles a implementar
5.1.1,5.1.2,6.1,6.1.1,6.1.2, 6.1.3,7.1,7.1.1,7.1.2,7.1.3, 7.2,7.2.1,7.2.2,8.1,8.1.1,8. 1.2,8.1.3,8.2,8.2.1,8.2.2,8. 2.3,10.3,10.3.1,10.3.2,10. 5,10.5.1,10.7,10.7.1,10.7. 2,10.7.3,10.7.4,10.10,10.1 0.1,10.10.2,10.10.3,10.10. 4,10.10.5,10.10.6,11.1,11. 1.1,11.2,11.2.1,11.2.2,11.2 .3,11.2.4,11.3,11.3.1,11.3. 2,11.3.3,11.7,11.7.1,11.7.2 ,12.1,12.1.1,13.1,13.1.1,1 3.1.2,13.2,13.2.1,13.2.2,1 3.2.3,14.1,14.1.1,14.1.2,1 4.1.3,14.1.4,14.1.5,15.2,1 5.2.1,15.2.2

Por uso no autorizado de medios de almacenamiento porttiles (Tel. Celulares, USB Tokens, Cmaras, Ipods, etc.)

34
SONDA

Proyecto de implantacin Etapa 2

35
SONDA

Proyecto de implantacin Etapa 2

Implementacin de tratamiento de riesgos
Gestionado como un proyecto Se formalizaron 119 controles ~ 70 documentos generados > 10 instancias de concientizacin y capacitacin ~ 15 personas directamente involucradas
36
SONDA

Proyecto de implantacin Etapa 2

Tratamiento de riesgos puntos relevantes
Dominio 6 - Organizacin de la seguridad de la informacin Formacin del Comit de Seguridad Dominio 8 - Seguridad de RRHH Afect a otro sector de la empresa Dominio 9 - Seguridad fsica y del entorno Mejoras en la seguridad fsica del acceso a SONDA

37
SONDA

Proyecto de implantacin Etapa 2

Tratamiento de riesgos puntos relevantes
Dominio 10 - Gestin de comunicaciones y operaciones Red de administracin de DC aislada Dominio 11 - Control de acceso Herramienta para auditar administradores Dominio 13 - Gestin de incidentes Adaptacin de la herramienta de gestin de calidad

38
SONDA

Proyecto de implantacin Etapa 2

Tratamiento de riesgos puntos relevantes
Dominio 14 - Plan de continuidad Mejoras al plan de continuidad Dominio 15 - Cumplimiento Informe de asesores legales sobre legislacin y regulaciones aplicables

39
SONDA

Proyecto de implantacin Etapa 2

Algunos Indicadores del SGSI
Dominio Objetivo del Indicador Indicador

Medir la Eficacia de las Capacitaciones de SGSI

Numero de Incidentes o Eventos de Seguridad debido a falta de capacitacin

Medir la Eficacia de los controles para con Terceros

Numero de Incidentes o Eventos asociados a Terceros (proveedores y clientes)

15

Medir el Cumplimiento de Derechos de Propiedad Intelectual

Numero de Incidentes o Eventos debido a violaciones de Derechos de Propiedad Intelectual

40
SONDA

Proyecto de implantacin Etapa 2

Gestin de incidentes
Registro a travs de Service Desk o e-mail Catalogacin como Evento o Incidente Incidentes tratados por etapas Accin inmediata Causa Accin correctiva Verificacin de la implementacin Verificacin de la eficacia Estimacin de costos

41
SONDA

Proyecto de implantacin Etapa 2

Auditoras y revisin por la Direccin
Auditora interna 3 das de duracin Revisin por la Direccin Resultados de auditoras Indicadores y objetivos del SGSI Recomendaciones para mejoras al SGSI Provisin de recursos Auditora externa (certificacin) 2 etapas, 3 das de duracin
42
SONDA

Realmente, qu nos aporta la certificacin ISO 27001?

Formalizacin
Seguimiento formal de eventos e incidentes, y reduccin del impacto de los mismos Gestin de riesgos en materia de seguridad

Generador de mejoras
En los procesos del negocio Concientizacin del personal y la organizacin

Garantas adicionales para socios, clientes y accionistas

43
SONDA

Gracias por vuestra presencia

Consultas?

paulo.delmonte@uy.sonda.com

44
SONDA