Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento

Cumplimiento

En Forma y Fondo

Cumplimiento

En Forma:

Requerimientos y herramientas

PMG-SSI

Cumplimiento

Fondo:

Gestión Seguridad de la Información

Gestión de Seguridad de la Informaciónen la mirada PMG-SSI 2012

• Gestión de Seguridad de la Información

– Basada en los procesos de Negocio

– Gestión de Riesgos de Información

5Gobierno de Chile | Ministerio del Interior

Gestión de mejora continua en PMG-SSI

• PLAN

– Etapa I : Diagnóstico PMG-SSI

– Etapa II: Planificación PMG-SSI

• DO

– Etapa III: Implementación PMG-SSI

• CHECK

– Etapa IV: Evaluación y Monitoreo PMG-SSI

• ACT

– Seguimiento por la Institución

6Gobierno de Chile | Ministerio del Interior

Gestión de mejora continua en PMG-SSI

• PLAN

– Análisis de Procesos de Negocio

– Identificación de Activos

– Selección de Activos Críticos (Medios y Altos)

– Análisis y Evaluación de Riesgos

– Selección de Controles (Asignación de Riesgos)

– Planificación de Mitigaciones

– Planificación de Indicadores

7Gobierno de Chile | Ministerio del Interior

Gestión de mejora continua en PMG-SSI

• DO

– Implementación de Controles

8Gobierno de Chile | Ministerio del Interior

• CHECK

– Evaluación y Monitoreo de Indicadores de Gestión

• ACT

– Acciones de ajuste y mejora permanente

Análisis de Procesos de Negocio

Foco en los procesos asociados a la Provisión de productos estratégicos (Bienes y Servicios), que hacen factible el cumplimiento de los objetivos estratégicos de cada institución.

Guía Metodológica 2012; p12

• Instrumento PMG-SSI 2012

– Articles-51683_introd_instrumentos_2012

– En linkl:

• http://www.dipres.gob.cl/572/propertyvalue-16887.html

Identificación de Activos

Análisis de Procesos de Negocio

MatrizSimplificada2011 - de Riesgo

Identificación de Procesos de Negocio

Identificación de Activos

• Persona

• Software

• Sistema

• Equipos

• Información

Identificación de Activos

Selección de Activos Críticos

Selección de Activos Críticos

Selección de Activos Críticos

Selección de Activos Críticos

Criticidad del activo = Media o Alta

Análisis y Evaluación de Riesgos

Análisis y Evaluación de Riesgos

Estimación de la Probabilidad

• CAIGG

Estimación del Impacto

• CAIGG

Modelo de Cálculo de Riesgo

Combinación de la probabilidad de un evento y su ocurrencia (ISO/IEC Guía 73:2002)

Guía Metodológica 2012; p18

Severidad del

RIESGOImpacto

Probabilidad de

Ocurrencia

Asignación del Riesgo

• Selección de Controles a aplicar…

Planificación de Mitigaciones

Planificación de Indicadores

Referencia o Fuentes de Controles a seleccionar

• 133 Controles

– ISO/IEC 27001:2005 / ISO/IEC 27002:2005

– NCH ISO 27001.Of2009 / Nch ISO 27002.Of2009

• 64 Controles Prioritarios propuestos en PMG-SSI

– Controles referidos a Gobernabilidad (DIPRES)

– Controles Tecnológicos (Min Interior)

Dominios Tecnológicos del PMG-SSI 2012

• Tres Dominios Tecnológicos, que acumulan 92 de un total de 180 controles.

• En cuanto a la red de expertos, son de responsabilidad del Ministerio del Interior.

• Foco en los controles priorizados por la Red de Expertos del PMG-SSI 2012

– 64 requisitos en total

– 34 controles Tecnológicos

Gobierno de Chile | Ministerio del Interior 29

Dominios Tecnológicos del PMG-SSI 2012

• Los dominios, según su definición en la norma NchISO 27002.Of2009, son:

– Dom 10: "Gestión de comunicaciones y operaciones" • 17 Controles Priorizados

– Dom 11: "Control de Acceso”• 11 Controles Priorizados

– Dom 12: “Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información”• 6 Controles Priorizados

Gobierno de Chile | Ministerio del Interior 30

Referencias del requerimiento de seguridad

• El detalle del requerimiento específico de cada control, se encuentra en:

– Instrumentos PMG-SSI 2012

– Guía Metodológica PMG-SSI 2012

– Nch ISO 27002.Of2009

31Gobierno de Chile | Ministerio del Interior

Instrumentos PMG-SSI 2012

• Articles-51683_introd_instrumentos_2012; Hoja “Priorizados Red”

Referencia del requerimiento de seguridad

• Guía Metodológica PMG-SSI 2012

– articles-51683_intro_Guia_Metodologica2012; Anexo I (pag 61 a 67)

33Gobierno de Chile | Ministerio del Interior

Ejemplo de Actividades por Control(Guía Metodológica PMG-SSI 2012)

Dominio 10: "Gestión de Comunicaciones y Operaciones"

Análisis requerimiento control 10.1.1… En Matriz de Instrumentos 2012

• Dom 10: Gestión de las comunicaciones y operaciones

– A.10.1.1 según control Nch ISO 27001.Of2009

– Art. 7 Letra b-c según Decreto 83 (Matriz Antigua)

– AMBITO: Procedimientos de operación documentados

– CONTROL: Los procedimientos de operación se debieran documentar, mantener y poner a disposición de todos los usuarios que los necesiten.

– REQUISITO/ CONTROL: Los procedimientos de operación, ¿están documentados, al día y puestos a disposición de todos los usuarios que los necesiten?

– PRODUCTO: Procedimientos de operación documentados

Análisis requerimiento control 10.1.1… En Guía Metodológica

• Referencia Control ISO A.10.1.1.

• Requisito de Control

Análisis requerimiento control 10.1.1… En Guía Metodológica

• Actividades a realizar en el PMG-SSI

Análisis requerimiento control 10.1.1… En ISO 27002

• Control:

– Los procedimientos de operación se debieran documentar, mantener y poner a disposición de todos los usuarios que los necesiten.

• Lineamiento de Implementación

– Se debieran preparar procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la información y comunicación.

Análisis requerimiento control 10.1.1… En ISO 27002

• Lineamiento de Implementación

– Tales como procedimientos • para encender y apagar computadoras,

• copias de seguridad,

• Mantenimiento del equipo,

• manejo de medios,

• cuarto de cómputo,

• manejo del correo y seguridad.

Análisis requerimiento control 10.1.1… En ISO 27002

• Lineamiento de Implementación

– Los procedimientos de operación debieran especificar las instrucciones para la ejecución detallada de cada trabajo incluyendo:

a) procesamiento y manejo de información;

b) copia de seguridad o respaldo (ver 10.5);

c) requerimientos de programación de horarios, incluyendo las interdependencias con otros sistemas, los tiempos de culminación y horarios de los primeros y últimos trabajos;

d) instrucciones para el manejo de errores u otras condiciones excepcionales, las cuales podrían surgir durante la ejecución del trabajo, incluyendo las restricciones sobre el uso de las utilidades del sistema (ver 11.5.4);

Análisis requerimiento control 10.1.1… En ISO 27002

• Lineamiento de Implementación

– (Continuación)..:e) contactos de soporte en el evento de dificultades operacionales o técnicas inesperadas;

f) instrucciones para el manejo de output especial y medios, tales como el uso de papelería especial o el manejo de output confidencial incluyendo los procedimientos para la eliminación segura del output de trabajo fallidos (ver 10.10);

g) procedimientos de reinicio y recuperación del sistema para su uso en el evento de una falla en el sistema;

h) la gestión de la información del rastro de auditoría y registro del sistema (ver 10.10).

Análisis requerimiento control 10.1.1… En ISO 27002

• Lineamiento de Implementación

– Los procedimientos de operación y los procedimientos documentados para las actividades del sistema debieran ser tratados como documentos formales y cambios autorizados por la gerencia.

– Donde sea técnicamente factible, los sistemas de información debieran ser manejados consistentemente, utilizando los mismos procedimientos, herramientas y utilidades

Dominio 10: Gestión Comunicaciones y Operaciones

• 17 Controles priorizados por Red de Expertos

– A.10.1.1

– A.10.1.2

– A.10.1.3

– A.10.1.4

– A.10.2.1

– A.10.2.3

– A.10.3.2.Párr.1

– A.10.3.2.Párr.2

– A.10.5.1.Párr.1

– A.10.5.1.Párr.2

– A.10.6.1

– A.10.6.2.Párr.1

– A.10.7.1

– A.10.8.2

– A.10.10.2.Párr.1

– A.10.10.2.Párr.2

– A.10.10.5.Párr.1

Agregación de Productos en Proyectos

• Como Manual de Operaciones

– Desarrollo de Procedimientos de operación• Respaldo de documentos,

• Uso de correo,

• Uso de la red y recursos compartidos,

• Uso de antivirus

• Uso de software utilitarios.

– Respaldo de información

– Gestión de medios removibles

– Registro de fallas

Agregación de Productos en Proyectos

• Como Gestión Organizacional

– Segregación de los deberes

– Separación de los ambientes de desarrollo, prueba y operación

– Acuerdos de intercambio con terceros

• Gestión de Redes

– Controles de redes

– Seguridad de los servicios de la red

– Uso del sistema de monitoreo

Agregación de Productos en Proyectos

• Gestión de Sistemas y Servicios

– Entrega del servicio

– Gestión del cambio

– Manejo de cambios en los servicios de terceros

– Aceptación del sistema

Dominio 10: Estimación esfuerzo

• 2 Políticas de Seguridad

• 26 Procedimientos

• 8 otros documentos

Controles Relacionados

Política de

Seguridad de

la Información

Normativas de Seguridad

Sensibilización

Anti-Malware Firewalls de Red

Capacitación

NAC

Estructura Organizacional

(Segregación; roles)

Resguardo y recuperación Gestión Disposiitivos e-Mail Firewall

Gestión de Logs

Procedimientos

Operacionales

Protección é-Commerce

Dominio 11: "Control de Acceso”

Dominio 11: Control de Acceso

• 11 Controles priorizados por Red de Expertos

– A.11.1.1

– A.11.2.2

– A.11.3.2

– A.11.3.3.Párr.1

– A.11.4.2

– A.11.4.4

– A.11.4.5

– A.11.4.6

– A.11.5.3.Párr.1

– A.11.5.3.Párr.2

– A.11.5.5

Agregación de Productos en Proyectos

• Como parte del Manual de Seguridad

– Política de control del acceso

– Política de escritorio y pantalla limpios

• Gestión de Acceso de Usuarios

– Gestión de privilegios

– Autenticación del usuario para las conexiones externas

– Sistema de gestión de contraseñas

Agregación de Productos en Proyectos

• Gestión de Acceso a la red

– Segregación en redes

– Control de conexión a la red

• Gestión de Acceso a Equipos

– Equipo del usuario desatendido

– Protección del puerto de diagnóstico y configuración remoto

– Cierre de una sesión por inactividad

Dominio 11: Estimación esfuerzo

• 1 Políticas de Seguridad

• 8 Procedimientos

• 9 otros documentos

Controles Relacionados

Política de

Seguridad de

la Información

Normativas de Seguridad

Sensibilización CapacitaciónEstructura Organizacional

(Segregación; roles)

Procedimientos

Operacionales

Acceso a EndPointsGestión Identidades

Gestión Passwords

Dominio 12: “Desarrollo, Adquisición y Mantenimiento de los

Sistemas de Información”

Dominio 12: “Desarrollo, Adquisición y Mantenimiento

de los Sistemas de Información”

• 6 Controles priorizados por Red de Expertos

– A.12.2.1

– A.12.2.4

– A.12.4.1

– A.12.4.3

– A.12.5.1

– A.12.5.5

Agregación de Productos en Proyectos

• Revisión de Vulnerabilidades

– Validación de la data de entrada

– Validación de la data de salida

• Separación de Ambientes

– Control del software operacional

– Control de acceso al código fuente del programa

– Procedimientos del control del cambio

• Desarrollo con terceros

– Desarrollo de software abastecido externamente

Dominio 12: Estimación esfuerzo

• 1 Políticas de Seguridad

• 2 Procedimientos

• 5 otros documentos

Controles Relacionados

Política de

Seguridad de

la Información

Normativas de Seguridad

Sensibilización CapacitaciónEstructura Organizacional

(Segregación; roles)

Procedimientos

Operacionales

WAF: Web Application Firewall Vulnerabilidades en Código

AppScap

Test Data Management

Gracias.