Upload
jorge-alberto-mendoza
View
24
Download
3
Embed Size (px)
DESCRIPTION
Information Security Management
Citation preview
Implementacin efectiva de un SGSI ISO 27001.
Rodrigo Baldecchi Q.
Gerente Corporativo de Calidad
04-SEP-14
CHILE
COLOMBIA
ECUADOR
MXICO
BRASIL PER
ARGENTINA
COSTA RICA
URUGUAY
PANAM
2 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
1. Encuadre general.
2. La intencin y el control.
3. Alcance.
4. Roadmap.
5. Implementacin.
6. Poltica de SI.
7. Organizacin.
8. Riesgo.
9. Matriz SOA.
10. Incidentes de SI.
11. Plan de Continuidad del negocio.
12. Medicin y mejora.
13. Cambio de versin de la norma.
14. Preguntas.
NDICE
2
3 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Encuadre general
La informacin es un activo esencial y es decisiva para la viabilidad de una organizacin. Adopta diferentes formas, impresa,
escrita en papel, digital, transmitida por correo, mostrada en
videos o hablada en conversaciones.
Debido a que est disponible en ambientes cada vez ms interconectados, est expuesta a amenazas y vulnerabilidades.
La seguridad de la informacin es la proteccin de la informacin contra una amplia gama de amenazas; para minimizar los daos,
ampliar las oportunidades del negocio, maximizar el retorno de las
inversiones y asegurar la continuidad del negocio.
Se va logrando mediante la implementacin de un conjunto adecuado de polticas, procesos, procedimientos, organizacin,
controles, hardware y software y, lo ms importante, mediante
comportamientos ticos de las personas.
3
4 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
La intencin y el control
El aumento del control sobre las actividades de las personas.
Es posible controlar las intenciones de las personas?
Por lo tanto, se requiere ir ms lejos
4
5 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Sistemas de gestin
Para ISO (International Organization for Standardization) un sistema de gestin queda definido por un proceso de 4 etapas,
creado por Walter Andrew Shewhart (1891 1967) y popularizado por William Edwards Deming (1900 1993), Planificar (Plan), Implementar (Do), Medir (Check) y Mejorar (Act).
Planificar
Implementar
Medir
Mejorar
5
6 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Conceptos generales de un SGSI
ISO 27001 es un Sistema de Gestin de la Seguridad de la Informacin (SGSI).
La seguridad de la informacin queda definida por tres atributos: a) Confidencialidad; b) Integridad; c) Disponibilidad.
La seguridad de la informacin (SI) es la proteccin de la informacin contra una amplia gama de amenazas respecto a: i)
Minimizar daos; ii) Oportunidades del negocio; iii) Retorno de la
inversin; iv) Continuidad del negocio; v) Cultura tica.
El SGSI garantiza la SI mediante una estructura de buenas prcticas, definidas por: a) Gestin de riesgos; b) Polticas; c)
Procesos; d) Procedimientos; e) Controles; f) Revisiones; g)
Mejoras.
6
7 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Conceptos bsicos de SI
La Seguridad de la Informacin consiste en mantener:
Confidencialidad: Informacin disponible exclusivamente a personas autorizadas.
Integridad: Mantenimiento de la exactitud y validez de la informacin, protegindola de modificaciones o alteraciones no autorizadas. Contra la
integridad la informacin puede parecer manipulada, corrupta o incompleta.
Disponibilidad: Acceso y utilizacin de los servicios slo y en el momento de ser solicitado por una persona autorizada.
Seguridad de la informacin
Confidencialidad Integridad Disponibilidad
8 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Alcance
Por ejemplo, el alcance del SGSI queda cubierto por los procesos de las siguientes reas:
Facility
Espacio fsico; energa elctrica; aire acondicionado; proteccin contra incendios; accesos
Administracin
Monitoreo; accesos lgicos; bases de datos; aplicativos
Explotacin/Respaldo
Mallas de procesos; almacenamiento de informacin
Comunicaciones
Redes de datos; seguridad lgica; monitoreo equipos de comunicaciones; enlaces
SAP
Administracin de sistemas SAP.
8
9 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Roadmap
ETAPA I
Documentacin
Capacitacin formal en el
SGSI
Documentar requisitos
normativos
Publicar documentacin
del SGSI
ETAPA II
Implementacin
Difundir
Capacitar
Implementar
ETAPA III
Anlisis crtico
Auditoras Internas
Mejoras
ETAPA IV
Certificacin
Pre-certificacin
Certificacin
2014
Marzo - Mayo Junio - Agosto Septiembre -
Octubre Noviembre
9
10 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Implementacin
Facility Administra
cin Explotacin/Respaldo
Comunicaciones
SAP
10
ISO 27001
Requisitos
Poltica
Organizacin
Activos
RRHH
Cumplimiento
Oficial de Seguridad Responsable
Calidad Servicios de Data Center & Cloud
Gap
Gap
Ca
lid
ad
(Gap)
Gap
Gap
(Gap) (Gap)
Gap
Gap
Gap Gap
Gap
(Gap) (Gap)
Gap C
ali
dad
C
ali
dad
Ca
lid
ad
C
ali
dad
Ca
lid
ad
C
ali
dad
Ca
lid
ad
C
ali
dad
Responsable Responsable Responsable Responsable
Ca
lid
ad
11 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Matriz de responsabilidades
reas Rol Nombre Responsabilidades
Calidad Oficial de
seguridad de
SONDA
Marcelo
Aravena M.
1.- Hacer el gap anlisis. Es decir, comparar, mediante
entrevistas a los roles elegidos, lo que actualmente se
hace en las reas del alcance, respecto a lo que se debe
hacer, segn ISO 27001.
2.- Garantizar que los requisitos de la norma ISO 27001,
en funcin del gap anlisis, queden correctamente
implementados en las reas dentro del alcance. Se
preocupa del qu se debe hacer?
3.- Elaborar la documentacin del SGSI.
4.- Dedicacin prioritaria a este proyecto.
5.- En rgimen, es el responsables de auditar el SGSI, de
las Revisiones Gerenciales, del CSI y de la relacin con
el organismo de certificacin externo.
G. Servicios de
Data Center
Gerente de rea Sergio
Rademacher L.
1.- Definir el alcance. Es decir, las reas y los sistemas.
2.- Aprobar la documentacin del SGSI.
Seguridad Oficial de
Seguridad Data
Center
Jacob Delgado
S.
1.- Definir el Cmo? Se implementar los
procedimientos del SGSI.
2.- En rgimen, debe asegurar el cumplimiento del
modelo. Es decir, cuida que se haga lo que est
declarado en los procedimientos.
11
12 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Matriz de responsabilidades
reas Rol Nombre Responsabilidades
Facility
Jefe Data Center
Quilicura Miguel Soto
Entregan al OSI de Calidad la
informacin y la evidencia de lo que
actualmente se hace, de tal manera de
determinar el gap anlisis.
Jefe Data Center
Teatinos y Santa
Isabel
Jos M. Arriagada
Administracin
Supervisor de
Base de Datos Freddy Espinoza
Supervisor de
administracin
Unix
Toms Jimnez
Supervisor de
administracin
Microsoft
Cristin Leiva
Supervisor de
sistemas de
virtualizacin.
Richard Cceres
12
13 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Definicin de poltica
13
14 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Poltica de seguridad de la informacin
Poltica general de SI.
Poltica de SI por dominio.
14
15 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Organizacin
Comit de seguridad de la Informacin (CSI) (A 6.1.2 A 6.1.3)
Se deben mantener los contactos apropiados con las autoridades pertinentes.
Deben estar representadas todas las reas de la empresa.
G. General; G. Negocios; G. Logstica; G. Personas; G. Contralora; D. Legal; G. Calidad; OSI.
Oficial de seguridad de la informacin.
rea de calidad.
Auditores internos en calidad y seguridad de la informacin.
Revisiones Gerenciales
Polticas
Procesos y procedimientos
15
16 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Riesgo operacional
Qu es el riesgo operacional?
El Comit de Basilea II lo define como: el riesgo de prdidas debido a la inadecuacin o a fallas en los procesos, personal y sistemas internos o por causa
de eventos externos
Qu es la gestin de riesgo operacional?
Ms all de la definicin de riesgo operacional, lo importante es contar
con un proceso de gestin de riesgos operativos o riesgos operacionales.
Este proceso de riesgo operacional es el que debera garantizar la buena
gestin de los riesgos segn los estndares internacionales.
Segn el Comit de Basilea II, se entiende por gestin de riesgo operacional al proceso de identificacin, evaluacin, seguimiento y control del riesgo operacional.
Conclusin: La gestin de riesgo" es un proceso esencial en la empresa.
16
17 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Gestin de riesgo - Metodologa
Matriz de Riesgo
Productos o servicios
Procesos - Activos
Amenazas
Vulnerabilidades
Probabilidad de ocurrencia
Impacto
Nivel de riesgo > 2
Tratamiento del riesgo
Mitigar
Aceptar
Transferir
Eliminar
Proyecto
Nuevo nivel de riesgo 2
Medicin de la eficacia 17
Muy Alto 3 3 4 5 5
Alto 3 3 3 4 5
Moderado 2 3 3 3 4
Bajo 1 2 3 3 3
Mnimo 1 1 2 3 3
Extremada
mente
improbable
Muy
improbableProbable
Muy
probable
Extremada
mente
probable
IMP
AC
TO
PROBABILIDAD
18 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Gestin de riesgo - Evolucin
(#) riesgos aceptados
19 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Matriz SOA
Declaracin de aplicabilidad (SOA: Statement of Applicability)
Se construye una tabla con el dominio, control, justificacin de la exclusin, documento.
19
20 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Incidentes de Seguridad de la Informacin
Definir cules sern tratados. Por ejemplo, los incidentes mayores.
(Como se trata de un tema de cambio cultural, la recomendacin es ir
desde lo simple a lo complejo.)
Procedimiento de incidentes de SI.
Tratamiento.
20
21 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Plan de continuidad del negocio
Alcance.
BIA.
Gestin de riesgo.
Estrategias de continuidad.
Plan de Continuidad.
Pruebas.
Mejoras.
21
22 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Auditoras internas
Preparacin de auditores.
Calendario.
Ejecucin del calendario.
Tratamiento de hallazgos.
Mejoras.
22
SGSI ISO 27001Auditoras Internas AI
Revisin Gerencial RG RealizadaAuditora de Pre-certificacin AP Programada
Auditora de Vigilancia AV No realizada Auditora de re-certificacin AR
Aprobado por
Fecha
Indicador general
06 13 20 27 03 10 17 24 03 10 17 24 31 07 14 21 28 05 12 19 26 02 09 16 23 30 07 14 21 28 04 11 18 25 01 08 15 22 29 06 13 20 27 03 10 17 24 01 08 15 22 29
4 Sistema de Gestin de Seguridad de la
Informacin
4.1 Requisitos Generales AI9 RG RG AR AR AI RG AI RG
4.2 Establecer y manejar el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.1 Establecer el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.2 Implementar y operar el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.3 Monitorear y revisar el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.4 Mantener y mejorar el SGSI AI9 RG RG AR AR AI RG AI RG
4.3 Requisitos de documentacin AI9 RG RG AR AR AI RG AI RG
4.3.1 General AI9 RG RG AR AR AI RG AI RG
4.3.2 Control de documentos AI9 RG RG AR AR AI RG AI RG
4.3.3 Control de registros AI9 RG RG AR AR AI RG AI RG
5 Responsabilidad de la gerencia
5.1 Compromiso de la gerencia AI9 RG RG AR AR AI RG AI RG
5.2 Gestin de recursos AI9 RG RG AR AR AI RG AI RG
5.2.1 Provisin de recursos AI9 RG RG AR AR AI RG AI RG
5.2.2 Capacitacin, conocimiento y capacidad AI9 RG RG AR AR AI RG AI RG
6 Auditoras Internas SGSI
Procedimiento de auditoras internas AI9 RG RG AR AR AI RG AI RG
Plan de auditoras internas AI9 RG RG AR AR AI RG AI RG
Tratamiento de no-conformidades AI9 RG RG AR AR AI RG AI RG
7 Revisin Gerencial
7.1 General AI9 RG RG AR AR AI RG AI RG
7.2 Insumo de la revisin AI9 RG RG AR AR AI RG AI RG
7.3 Resultado de la revisin AI9 RG RG AR AR AI RG AI RG
8 Mejoramiento del SGSI
8.1 Mejoramiento continuo AI9 RG RG AR AR AI RG AI RG
8.2 Accin correctiva AI9 RG RG AR AR AI RG AI RG
8.3 Accin preventiva AI9 RG RG AR AR AI RG AI RG
9 Objetivos de control y controles
Anexo A de la norma AI9 RG RG AR AR AI RG AI RG
Requisitos NormativosEnero Febrero Abril JulioJunioMarzo
PROGRAMA DE AUDITORAS AO 2014 FACILITIES
Noviembre DiciembreAgosto
Ger. Datacenter/Ger. Calidad
Septiembre OctubreMayo
1-mar-14
23 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Revisiones gerenciales
La alta direccin debe revisar el SGSI, segn la planificacin definida, segn conveniencia, suficiencia y efectividad.
Estado de las acciones, en funcin de las RG anteriores.
Los cambios internos y externos relevantes para el SGSI.
Desempeo de:
NC y acciones correctivas.
Mediciones e indicadores.
Resultado de auditoras internas y externas.
Cumplimiento de los objetivos de la SI.
Comentarios de partes interesadas.
Resultado de la evaluacin y tratamiento de riesgo.
Oportunidades para la mejora continua.
Acta que evidencie las acciones y los acuerdos de la RG.
23
24 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
El punto de partida de la seguridad de la informacin
Un cierto nmero de controles puede ser considerado un buen punto de partida para implementar la seguridad de la informacin.
Estos estn basados en requisitos legales esenciales o que se
consideren prctica habitual de la seguridad de la informacin.
Proteccin de los datos y la privacidad de la informacin personal.
Proteccin de los registros de la informacin.
Derechos de la propiedad intelectual.
Documentacin de la poltica de seguridad de la informacin.
Asignacin de responsabilidades.
Concienciacin, formacin y capacitacin en seguridad de la informacin.
Vulnerabilidad tcnica.
Gestin de incidentes de seguridad.
Gestin de continuidad del negocio.
25 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Recomendaciones
Cmo implementar buenas prcticas?
Diferencia entre el qu se debe hacer y el cmo se hace
Establecer acuerdos.
El rol de las personas
Actitudes
Aptitudes
Los mbitos
Predisponen (para bien o para mal)
Relacionan y mezclan niveles.
Que sean armnicos y no disonantes
Los procesos
Procedimientos
Las relaciones entre los procesos
La implementacin
25
26 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Cambio de versin de la norma ISO 27001
ISO
27001:2005
ISO
27001:2013 Notas
8 puntos
clsicos. Anexo SL
Garantizar la coherencia entre las futuras y actuales normas de
sistemas de gestin.
Favorecer la integracin de sistemas de gestin.
Facilitar a los usuarios la comprensin y entendimiento de las
normas de gestin.
11 dominios 14 dominios Las principales modificaciones se ven reflejadas en la estructura
y el contenido de los controles que conforman el Anexo A, todo como resultado de un proceso de fusin, exclusin e
incorporacin de nuevos controles de seguridad. 133 controles 113 controles
26
27 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Estructura del nuevo estndar
27
28 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
ISO 27001:2013 (14 dominios; 113 controles)
A.5 Poltica de seguridad.
A.6 Organizacin de la seguridad de la informacin.
A.7 Seguridad de los RRHH.
A.8 Gestin de activos.
A.9 Control de accesos.
A.10 Criptografa.
A.11 Seguridad fsica y ambiental.
A.12 Seguridad en las operaciones.
A.13 Transferencia de informacin.
A.14 Adquisicin de sistemas, desarrollo y mantenimiento.
A.15 Relacin con proveedores.
A.16 Gestin de los incidentes de seguridad.
A.17 Continuidad del negocio.
A.18 Cumplimiento con requerimientos legales y
contractuales.
Dominios ISO 27001
28
ISO 27001:2005 (11 dominios; 133 controles)
A.5 Poltica de seguridad.
A.6 Organizacin de la seguridad de la informacin.
A.7 Gestin de activos.
A.8 Seguridad de los RRHH.
A.9 Seguridad fsica y del ambiente.
A.10 Gestin de comunicaciones y operaciones.
A.11 Control de acceso.
A.12 Adquisicin, desarrollo y mantenimiento de
sistemas de informacin.
A.13 Gestin de incidentes de seguridad de la
informacin.
A.14 Gestin de la continuidad del negocio.
A.15 Cumplimiento.
29 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Requisito Descripcin
Alcance del SGSI mbito de la organizacin que queda sometido al SGSI, incluyendo una identificacin
clara de las dependencias, relaciones y lmites que existen entre el alcance y aquellas
partes que no hayan sido consideradas.
Poltica y objetivos de seguridad Documento de contenido genrico que establece el compromiso de la direccin y el
enfoque de la organizacin en la gestin de la seguridad de la informacin.
Procedimientos y controles del
SGSI
Aquellos procedimientos que regulan el propio funcionamiento del SGSI.
Declaracin de aplicabilidad:
(SOA -Statement of Applicability)
Documento que contiene los objetivos de control y los controles contemplados por el
SGSI, basado en los resultados de los procesos de evaluacin y tratamiento de riesgos,
justificando inclusiones y exclusiones.
Metodologa de evaluacin de
riesgos
Descripcin de la forma como se realizar la evaluacin de las amenazas,
vulnerabilidades, probabilidades de ocurrencia e impactos en relacin a los activos de
informacin dentro del alcance definido, y los criterios de aceptacin de riesgo.
Informe de evaluacin y plan de
tratamiento de riesgos
Estudio resultante de aplicar la metodologa de evaluacin anteriormente mencionada a
los activos de informacin de la organizacin. Plan de tratamiento de los riesgos.
Plan de continuidad del negocio Documento que identifica los planes para enfrentar diferentes escenarios. Las pruebas,
los anlisis del resultado de las pruebas y las acciones de mejoras del plan.
Procedimientos documentados Todos los necesarios para asegurar la planificacin, operacin y control de los procesos
de seguridad de la informacin, as como para la medida de la eficacia de los controles
implantados.
Registros Evidencia objetiva del funcionamiento del SGSI.
Documentos del SGSI
29
30 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com
Tel (56-2) 657 50 00 Fax (56-2) 657 54 10 Teatinos 500 / Santiago / CHILE
www.SONDA.com
FIN 30
Rodrigo Baldecchi