Isec iso17799 iso 27001 intensivo

Seguridad de la Información

NORMA ISO 17799 / ISO 27001

Implementación Práctica

TRACK I :

APERTURA

Recepción

Presentación General

• Objetivos• Director• Sugerencias• Participantes• Roadmap

• Identificación de los requerimientos específicos de la norma ISO 17799 en sus 11 dominios.

• Comprender el proceso de adecuar la compañía para lograr la Certificación ISO 27001.

• Talleres prácticos de implementaciones: soluciones y problemas ocurridos.

• Al final del Entrenamiento se entregará a cada participante un Manual de Gestión de Seguridad de la Información basado en la Norma ISO 17799 / ISO 27001.

Objetivos

Adquirir conocimientos y metodologías de implementación de medidas de seguridad de acuerdo con los requerimientos de la Norma ISO 17799 / ISO 27001 :

Instructor: Martín Vila

[email protected]

Business Director I -Sec Information Security (2001 - 2006)Gerente experimentado de la práctica de Business Risk Management de Pistrelli, Díaz y Asociados, miembro de Arthur Andersen (abril 1992 -abril 2001)Ha liderado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en Entidads de primer nivel en el ámbito local e internacional, basados en distintas Normativas (ISO 17799, BS7799, COBIT, NIST, Sarbanes Oxley).Ha desarrollado y participado como instructor en Information Security Courses en USA, Centroamérica y Latinoamérica (Arthur Andersen, ISACA, Guarded Networks, Ernst & Young, Microsoft, IT College, ISEC, IDEA, ERC-Computer, ATS, IT Services, Global Solution, INFOSECURITY, Universidad CAECE). Ha sido invitado como Especialista en diversos medios de comunicación masivo como ser CNN, Diario Clarín, El Cronista Comercial, InfoBAE, entre otros.

Instructor: Sixto Flores R.

[email protected]

Country Manager I -Sec Information Security EcuadorGerente IT Services S.A.Gerente Producto Symantec Nexsys del EcuadorGerente Administrativo-Financiero Inacom-EcuadorGerente Dinformatica Grupo Diners-Banco Pichincha

Especialista en Dirección Internacional de Empresas (POST GRADO)Ing. De EmpresasAnalista de SistemasTecnólogo Programador

Identificar objetivos.Anotar respuestas.Intercambiar experiencias.Generar un plan de acción propio.Participar activamente.Aclarar las dudas.Ser positivo y entusiasta.Comunicar los inconvenientes o disconformidades.

Sugerencias

TRACK I : APERTURATRACK II : QUE ES SEGURIDAD?TRACK III : NORMAS APLICABLESTRACK IV : Cómo se implementa un Programa de Gestión de Seguridad de la Información (ISMS)?TRACK V : Cómo es un Proceso de Certificación ISO 27001 de una Organización?TRACK VI : Principales controles definidos en cada uno de los Dominios de la ISO17799:2005TRACK VII : Taller Práctico FINAL: Elaboración de un Programa General de Seguridad para preparar a la Compañía para CertificarTRACK VIII : MODELO ANUAL DE GESTION CONTINUA

Roadmap

TRACK II :

QUE ES SEGURIDAD?

Por que?

Reconocer los riesgos y su impacto en los negocios

INTERNET

Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundoApenas 150 “spammers” norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico.

Algunos datos

11:22 | EL GUSANO

Un nuevo virus se esconde en tarjetas navideñas

Un virus informático, que se esconde en una tarjeta electrónica de felicitación, comenzó a circular por la red, informóPanda Software. La compañía advirtió a los usuarios que extremen las medidas de seguridad durante estas fiestas.

ESTAFAS EN INTERNET El “phishing” ya pesca en todo AmericaDetectaron casos que afectaron a numerosas empresas y a los clientes de bancos estadounidenses y del resto de America.

Algunos hechos

12:50 | A TRAVES DE MAILUtilizan las siglas del FBI para propagar un virus

La famosa policía federal estadounidense advirtió sobre la difusión de falsos correos electrónicos que llevan su nombre.

La pregunta secreta del caso "Paris Hilton"-------------------------------------------

Hace apenas unos días saltó la noticia de que los contenidos delteléfono móvil de Paris Hilton habían sido publicados en Internet. Enun principio se barajó la posibilidad de que hubieran accedido ala tarjeta SIM, o de que se tratara de una intrusión a los servidoresde T-Mobile aprovechando inyecciones SQL. Al final parece ser que elmétodo empleado fue mucho más sencillo, bastaba con contestar a lapregunta "¿cuál es el nombre de su mascota favorita?".

Legales | Infracciones Graves El delito informático En forma amplia, es "toda acción reputada como delito para cuya consumación se utilizan o afectan medios informáticos". Vulneran tanto los equipos como los programas, e incluyen virus, sustracción de información o piratería.En un terreno más restringido, son sólo aquellas acciones que vulneran los equipos fijos de computación.

Libertad, control y responsabilidad en Internet

Diariojudicial.com publica hoy un polémico fallo por el que se condena a los responsables de un sitio de internet por un mensaje injurioso anónimo ingresado en un libro de visitas, de

libre acceso por los navegantes. La resolución preocupa a los sitios web y puede sentar un duro precedente para aquellos que contengan foros y libros de visitas abiertos al público.

Algunos hechos

Algunos datos

La seguridad de redes, una prioridad para las empresasCisco publicó los resultados de un estudio de seguridad realizado a directivos latinoamericanos de IT. De acuerdo a los resultados, el 79 % de los Directivos de IT de Latinoamérica opina que la seguridad de redes es un tema "de extrema prioridad" o "muy prioritario" para los directivos de sus compañías.

NEGOCIOSUna nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad de la informaciónLa gestión de las políticas de seguridad de la información obsesiona a miles de empresas de todoel mundo. Ahora, ya no se conforman con controlarlos datos circulantes; también quieren ahorrarmillones.

Algunos datos

No existe la “verdad absoluta” en SeguridadInformática.No es posible eliminar todos los riesgos.La Dirección está convencida de que la SeguridadInformática no hace al negocio de la compañía.Cada vez los riesgos y el impacto en los negocios son mayores.

Algunas premisas

En mi compañía ya tenemos seguridad porque ...

... implementamos un firewall.

... contratamos una persona para el área.

... en la última auditoría de sistemas no me sacaron observaciones importantes.

... ya escribí las políticas.

... hice un penetration testing y ya arreglamos todo.

Algunas realidades

En general todos coinciden en:

El 80% de los incidentes/fraudes/ataques son efectuados por personal interno

Fuentes:The Computer Security InstituteCooperative Association for Internet Data Analysis (CAIDA)CERTSANS

Algunos datos

Según una encuesta del Departamento de Defensa de USA:

Sobre aproximadamente 9000 computadores atacados,7,900 fueron dañados.400 detectaron el ataque.Sólo 19 informaron el ataque.

Algunos datos

• en formato electrónico / magnético / óptico

• en formato impreso

• en el conocimiento de las personas

Qué Información proteger

Principales riesgos y su impacto en los negocios

Captura de PC desde el exterior

Violación de e-mailsViolación de contraseñas

Interrupción de los servicios

Intercepción y modificación de e-mails

VirusFraudes informáticos

Incumplimiento de leyes y regulaciones

Robo o extravío de notebooks

empleados deshonestos

Robo de información

Destrucción de soportes documentales

Acceso clandestino a redes

Intercepción de comunicaciones

Destrucción de equipamiento

Programas “bomba”

Acceso indebido a documentos impresos Software ilegal

Agujeros de seguridad de redes conectadas

Falsificación de información para terceros

Indisponibilidad de información clave

Spamming

Violación de la privacidad de los empleados

Ingeniería social

Principales riesgos

Propiedad de la Información

Mails “anónimos” con información crítica o con agresiones

Password cracking

Man in the middle Exploits

Denegación de servicio

Escalamiento de privilegios

Replay attackKeylogging

Port scanning

Instalaciones default

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados

Desactualización

Backups inexistentesÚltimos parches no instalados

Principales riesgos

En estos tipos de problemas es difícil:

• Darse cuenta que pasan, hasta que pasan.

• Poder cuantificarlos económicamente, por ejemplo¿cuánto le cuesta a la compañía 4 horas sin sistemas?

• Poder vincular directamente sus efectos sobre losresultados de la compañía.

Principales riesgos y el impacto en los negocios

Se puede estar preparado para que ocurran lo menos posible:

• sin grandes inversiones en software • sin mucha estructura de personal

Tan solo:

• ordenando la Gestión de Seguridad• parametrizando la seguridad propia de los sistemas• utilizando herramientas licenciadas y libres en la web

Principales riesgos y el impacto en los negocios

TRACK III :

NORMAS APLICABLES

Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas

Internacionales aplicables

Information Systems and Audit Control Association - ISACA:COBITBritish Standards Institute: BSInternational Standards Organization: Normas ISODepartamento de Defensa de USA: Orange Book / Common Criteria

ITSEC – Information Technology Security Evaluation Criteria: White Book

Sans Institute, Security Focus, etcSarbanes Oxley Act, Basilea II, HIPAA Act, Leyes NACIONALESOSSTMM, ISM3, ISO17799:2005, ISO27001

Normas y Metodologías aplicables

Elegimos la más aceptada a nivel mundial

Norma ISO 17799Gestión de Seguridad

0

250

500

750

1000

1250

2002 2003 2004 2005

Empresas certificadas en el mundo

2.299 Empresas certificadas en el mundo a mar-2006

Japón 1.338, India 163, Taiwan 77, Inglaterra 74, USA 34, España 6 ,Brazil 5, Mexico 4, Argentina 3, Colombia 2, Chile 1

www.Xisec.com

China, 10

India, 81

Taiwan, 46

Qatar, 1

Saudi Arabia, 3UAE, 3

Australia, 11

Hong Kong, 17

Japan, 480Korea, 30

Macau, 1

Malaysia, 2

Singapore, 10

Austria, 5Belgium, 5

Czech Republic, 1

Denmark, 2

Finland, 13

Germany, 36

Greece, 3

Hungary, 12

Iceland, 4

Ireland, 10

Isle of Man, 2

Italy, 23

Lithuania, 1

Luxemburg, 1

Macedonia, 1

Netherlands, 18

Norway, 9

Poland, 5

Slovakia, 1

Spain, 3

Sweden, 7

Switzerland, 5

UK, 185

Empresas certificadas en el mundo

BSI (UK)

BSI-J (Japón)

JQA (Japón)

DNV (Noruega)

JACO (Japón)KPMG (Suiza)

LRQA (UK)

SGS (Suiza)

JICQA (Japón)

JUSE (Japón)

NQA (UK)

CIS (Austria)

SAI (Australia)

IMQ (Italia)

CE (Irlanda)

PSB (Singapur)

BVQI (UK)

SFS (Finlandia)

KEMA (Holanda)

TÜV (Alemania)

DQS (Alemania)

Otros

STQC (India)

Certification bodies:

• ISO9001 – Calidad• ISO14001 – Ambiental

• ISO17799-1 – Seguridad de la Información - 1 . NORMALIZACION (Mejores Prácticas)

• ISO 27001 – CERTIFICACION de Seguridad de la Información

Normas de Gestión ISO

Está organizada en capítulos en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta:

GESTION DE SEGURIDAD DE LA INFORMACION

Alcance

Recomendaciones para la gestión de la seguridad de la información

Base común para el desarrollo de estándares de seguridad

Norma ISO 17799 Seguridad de la Información

1. Política de Seguridad2. Organización de Seguridad3. Administración de Activos4. Seguridad de los Recursos Humanos5. Seguridad Física y Ambiental6. Gestión de Comunicaciones y Operaciones7. Sistema de Control de Accesos8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información9. Administración de Incidentes de Seguridad de la Información10. Plan de Continuidad del Negocio11.Cumplimiento

Norma ISO17799 (versión 2005)

Qué cambió de la versión anterior

Norma ISO 17799: 2005

NUEVA SECCION

antes 10 ahora 11 Dominios

ADMINISTRACION DE INCIDENTES

3: Estructura del Estandar

• Detalle para Asistir al uso y aplicación más ameno y fácil del estándar

4: Risk Assessment & Treatment

• Highlights sobre la importancia de efectuar un risk assessment para definir los CONTROLES APLICABLES

• La necesidad de un continuo assesment y administración de los RIESGOS

• Highlights sobre la importancia de la participación del Management en el análisis de RIESGOS

Hay dos SECCIONES GENERALES nuevas

Cumplimiento15. Cumplimiento12.

Administración de la Continuidad del Negocio

14. Administración de la Continuidad del Negocio

11.

Administración de Incidentes de Seguridad de la Información

13.

Adquisición , Desarrollo y Mantenimiento de Sistemas de Información

12. Desarrollo y Mantenimiento de Sistemas

10.

Administración de Accesos11. Administración de Accesos9.

Administración de las Comunicaciones y Operaciones

10. Administración de las Comunicaciones y Operaciones

8.

Physical & Environmental Security9. Seguridad Físca y Ambiental7.

Seguridad de los Recursos Humanos8. Seguridad del Personal6.

Administración de Activos7. Clasificación y Control de Activos

5.

Organización de la Seguridad de la Información

6. Organización de la Seguridad de la Información

4.

Política de Seguridad5. Política de Seguridad3.

Evaluación y Manejo de los Riesgos4.

Estructura del Estándar3.

Términos y definiciones2. Términos y definiciones2.

Alcance1. Alcance1.

ISO17799:2005ISO17799:2000

ISO17799:2000 vs ISO17799:2005

BS7799-2

Fue revisado y se ha convertido en la nueva

ISO 27001Octubre 15, 2005

De la misma forma se espera quela ISO 17799 se convierta en ISO 27002

NACE LA FAMILIA DE LAS NORMAS ISO 27000

• ISO/IEC 27001 (BS7799-Part 2) - ‘Information Security Management System’. Due for release in November 2005. (Once ISO/IEC 27001 is released, BS7799-2:2002 will be withdrawn)

• ISO/IEC 27002 (ISO/IEC 17799 & BS7799- Part 1) - The planned ‘Code of Practice’ replacement for ISO/IEC 17799:2005 scheduled for April 2007

• ISO/IEC 27003 (BS7799-3) ‘Risk Assessment’. No announcement has yet been made regarding ISO/IEC 27003 however, the BSI expect to release BS7799-3 in November 2005

• ISO/IEC 27004 (BS7799-4) ‘Information Security Metrics and Measurement’. No launch date is available, although the BSI will publish a description in July/August 2005

Preservar la:

confidencialidad:accesible sólo a aquellas personas autorizadas a tener acceso.

integridad:exactitud y totalidad de la información y los métodos de procesamiento.

disponibilidad:acceso a la información y a los recursos relacionados con ella toda vez que se requiera.

Norma ISO 17799 Seguridad de la Información

TRACK IV :

Cómo se implementa un Programa de Gestión de

Seguridad de la Información (ISMS)?

Porqué Implementar un ISMS / SISTEMA DE GESTION ISO 17799?

Algunas consideraciones generales de porquéimplementarlo:

•Para poder tener una Metodológica dedicada a la seguridad de información reconocida internacionalmente

•Contar con un proceso definido para Evaluar, Implementar, Mantener y Administrar la seguridad de la información

•Diferenciarse en el mercado de otras organizaciones

•Satisfacer requerimientos de clientes, proveedores y Organismos de Contralor

•Potenciales disminuciones de costos e inversiones

•FORMALIZAR las responsabilidades operativas y LEGALES de los USUARIOS Internos y Externos de la Información

•Cumplir con disposiciones legales (por ej. Leyes de Protección de Datos, Privacidad, etc.)

•Tener una Metodología para poder ADMINISTRAR los RIESGOS

Planificar

Hacer

Actuar

Verificar

SGSI SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION

Está basado en el Modelo utilizado por las NORMAS ISO en general:

• política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa;

• una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional;

• apoyo y compromiso manifiestos por parte de la gerencia;

• un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos;

• comunicación eficaz de los temas de seguridad a todos los gerentes y empleados;

Factores críticos del éxito

• distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas;

• instrucción y entrenamiento adecuados;• un sistema integral y equilibrado de medición que

se utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo.

Factores críticos del éxito

Principales PASOS a seguir en la IMPLEMENTACION del SGSI

Implementación del SGSI en 12 PASOS:

Para un entendimiento PRACTICO del Proceso de IMPLEMENTACION del SGSI, se definen a continuación las principales TAREAS a incluir en el PLAN de ACCION son:

1)Definir el alcance del SGSI desde el punto de vista de las características de la actividad, la organización, su ubicación, sus activos y su tecnología

2)Definir una Política GENERAL del SGSI

3)Definir una METODOLOGIA para la CLASIFICACION de los RIESGOS

4)Identificar y Valorar los riesgos

5)Identificar y definir ALTERNATIVAS para el tratamiento de riesgos:

•Aplicar controles•Aceptar los riesgos•Evitar riesgos•Transferir los riesgos asociados de las actividades a otras

partes (ejemplo a Compañías de Seguros)

6)Seleccionar objetivos de control y controles específicos a IMPLEMENTAR

El detalle de los controles se incluye en la Sección Dominios de ISO 17799.

Cualquier EXCLUSION de controles que se considera como necesaria para satisfacer el criterio de aceptación de riesgo, se debe justificar y se debe proporcionar la evidencia. Cuando se realizan exclusiones, no se podráalegar conformidad con esta norma a menos que dichas exclusiones no afecten la capacidad de la organización, y/o su responsabilidad para proveer seguridad de información cumpliendo con los requisitos de seguridad determinados por la evaluación de riesgo y los requisitos regulatorios aplicables.

7)Preparar una DDA Declaración de Aplicabilidad (quéCONTROLES se van a IMPLEMENTAR)

8)Obtener la aprobación de la Dirección de:• DDA Declaración de Aplicabilidad• Riesgos Residuales no cubiertos

9) Formular un plan CONCRETO y DETALLADO para:• Tratamiento de los riesgos• Controles a Implementar• Programas de entrenamiento y concientización de

usuarios• Gestionar el SGSI• Procesos de detección y respuesta a los incidentes

de seguridad

10) Implementar los CONTROLES•Controles en los Procesos de Usuarios•Controles Automáticos en las Tecnologías•Documentación de respaldo•Registros de respaldo

11)Realizar Revisiones Periódicas (Auditoría Interna y la Dirección):

•controles implementados•nuevos riesgos•riesgos residuales

12)Implementar las mejoras identificadas en el SGSI

Requisitos FUNDAMENTALES de la Documentación SOPORTE en un SGSI

Es necesario también tener en cuenta que más allá de la implementación, es necesario el MANTENIMIENTO ACTUALIZADO Y PROTEGIDO de la Documentación de respaldo del SGSI, para lo cual hay que establecer:

•Documentación mínima de respaldo•Procedimiento de Gestión de dicha documentación

Documentación MINIMA del SGSI:

a) Declaraciones documentadas de la política de seguridad y los objetivos de control

b) El alcance, los procedimientos y controles de apoyo

c) El informe de evaluación de riesgos

d) El plan de tratamiento de riesgo

e) Los procedimientos documentados necesarios para la planificación, la operación y el control del SGSI

f)Los registros requeridos:

Los registros se deben establecer y mantener para proveer evidencia de conformidad con los requisitos, deben permanecer legibles, fácilmente identificables y recuperables. Algunos ejemplos: logs de los sistemas para auditorías, formularios firmados de accesos, etc.

g) La DDA Declaración de Aplicabilidad

Procedimiento de GESTION de la Documentación

Los documentos requeridos deben cumplir con los requerimientos FORMALES del ISMS para:

a) aprobar los documentos previos a su distribución

b) revisar y actualizar los documentos según la necesidad y aprobarlos nuevamente

c) asegurarse de que los cambios y las revisiones de los documentos estén identificados

d) asegurarse de que las versiones más recientes de los documentos pertinentes están disponibles en cualquier punto de uso

e) asegurarse de que los documentos se mantengan legibles y fácilmente identificables

f) asegurarse de que los documentos de origen externo estén identificados

g) asegurarse de que la distribución de documentos este controlada

h) prevenir el uso no intencionado de documentos obsoletos

i) realizar una adecuada identificación si se retienen por cualquier causa

NOTA: existen Software que ayudan al mantenimiento de esta Gestión Documental disponibles en el mercado.

Cómo establecer los requerimientos de Seguridad

Evaluar los riesgos: • se identifican las amenazas a los activos,• se evalúan vulnerabilidades y probabilidades de ocurrencia, y• se estima el impacto potencial.

Requisitos legales, normativos, reglamentarios y contractuales que deben cumplir:• la organización,• sus socios comerciales,• los contratistas y los prestadores de servicios.

Conjunto específico de principios, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar sus operaciones.

TRACK V :

Cómo es un Proceso de Certificación ISO 27001 de una

Organización?

QUÉ ES CERTIFICAR?

El proceso de Certificación es la Generación de un INFORME Firmado por parte de un TERCERO (ajeno a la organización) que define que, de acuerdo con su CRITERIO PROFESIONAL, dicha Organización CUMPLE o NO CUMPLE con los Requerimientos establecidos en la Normativa.

PORQUE CERTIFICAR?

Para poder Mostrar al Mercado que la Organización tiene un adecuado SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACIÓN.

Una empresa CERTIFICADA no implica que NO TIENE MAS RIESGOS DE SEGURIDAD DE LA INFORMACION, sino que tienen un adecuado Sistema de Gestión de dichos Riesgos y Proceso de MEJORA CONTINUA.

QUE ORGANIZACIONES PUEDEN CERTIFICAR?

Cualquier Organización, grande o pequeña, pública o privada, de Gobierno o sin fines de lucro, etc, estáen condiciones y habilitada para CERTIFICARSE.

QUIENES ESTAN AUTORIZADOS A EFECTUAR LA CERTIFICACION?

Cualquier Agente ajeno a la Organización (Profesional Independiente o Compañía) puede Firmar el Informe antes mencionado.Pero dado que la Certificación además de un valor Interno de Asegurarse de Cumplir con la Normativa, tiene un fin principal de poder Mostrar dicha Certificación al Mercado Externo, generalmente se recurre a Organizaciones que estén Técnicamente Aceptadas y además reconocidas INTERNACIONALMENTE para efectuar dicho trabajo. Por ello se recurre a Organizaciones que estén ACREDITADAS (este es el término técnico utilizado) en el Organismo Internacional de Acreditación. Ejemplo de este tipo de Organizaciones son el Bureau Veritas BVQI, Det Norske Veritas DNV, TÜV, etc.

LA CERTIFICACION ES SEGÚN ISO 17799 O SEGÚN ISO27001?

Las Organizaciones implementan de acuerdo a ISO17799-1 pero las Empresas Certificadoras utilizan el ISO27001 (antes BS7799-2) para hacer los Informes de Certificación.

COMO ES EL PROCESO DE CERTIFICACION?

El requerimiento previo es que la Organización cumpla con la Implementación del SGSI definido en la Sección anterior.

Luego se convoca al Tercero para efectuar la CERTIFICACION.

Los principales PASOS son:

•Preparar la Documentación Soporte a Presentar

•Efectuar la PREAUDITORIA para conocer el GAP Analisis respecto al Estándar

•Identificar conjuntamente:

•las NO CONFORMIDADES (incumplimientos de acuerdo al Estándar)•las NO CONFORMIDADES que son ACEPTADAS (sólo se documentan los argumentos de justificación)•las NO CONFORMIDADES que NO son ACEPTADAS (se definen las MEJORAS a implementar)

•Implementar las MEJORAS y Generar los Soportes Documentales correspondientes

•Efectuar la AUDITORIA DE CERTIFICACION y Generación del Informe Final de Certificación incluyendo las NO CONFORMIDADES (aceptadas o NO y sus Riesgos Residuales aceptados por la Dirección de la Organización)

•Gestionar los respaldos para la Acreditación Internacional de la Certificación lograda

•Auditorías periódicas de la Empresa Certificadora para validar el continuo cumplimiento de los Requerimientos de la Normativa

PUEDE UNA ORGANIZACION PERDER LA CERTIFICACION?

Si una Organización no cumple con los requerimientos, puede ocurrir que en la Auditoría Periódica la Empresa Certificadora solicite que se saque la Certificación Obtenida inicialmente.

TRACK VI :

Principales controles definidos en cada uno de los Dominios de

la ISO17799:2005

Dominios de Norma ISO 17799

Dominio 1 - Política de Seguridad

Política de Seguridad

AutorizaciónProtección Física

Propiedad

Eficacia

Eficiencia

ExactitudIntegridad

Legalidad

Disponibilidad

Confidencialidad

Confiabilidad

Dominio 1: POLÍTICA DE SEGURIDAD

Dominio 1: POLÍTICA DE SEGURIDAD

Procedimientos Estándares técnicos

Normas

Política General

Manual de Gestión de Seguridad

Dominio 2

Organización de la Seguridad

Sponsoreo y seguimiento• Dirección de la Compañía• Foro / Comité de Seguridad

Autorización• Dueño de datos

Definición• Área de Seguridad Informática• Área de Legales

AdministraciónAdministrador de Seguridad

Cumplimiento directoUsuarios finalesTerceros y personal contratadoÁrea de sistemas

ControlAuditoría InternaAuditoría Externa

Dominio 2: ORGANIZACION DE LA SEGURIDAD

Principales roles y funciones

Dominio 3

Administración de Activos

Dominio 3: Administración de Activos

1. Identificación de la información más crítica

Identificar información: cuál es la más crítica

Identificación de los sistemas / equipos / documentos donde se conserva la información


2. Identificación de los principales riesgos

Para facilitar la identificación de los riesgos más críticos se pueden utilizar las siguientes categorías:

Fraudes informáticosAtaques externos a las redesModificaciones no autorizadas de datos por empleadosAcceso y difusión inoportuna de datos sensiblesFalta de disponibilidad de los sistemas Software ilegalFalta de control de uso de los sistemasDestrucción de información y equipos


Según su origen se pueden agrupar en:

NaturalesIntencionalesNo intencionales

Estos riesgos pueden ser clasificados en los siguientes tipos:

Difusión indebidaAlteración no autorizadaFalta de disponibilidad


Se debe definir quiénes son los principales agentes de riesgo para la información de cada Dueño de Datos:

Espías comerciales / CompetidoresEmpleados deshonestosDelincuentes profesionalesTerroristas informáticosEx-empleados disconformes“Hackers”, “Crackers” y similaresProveedoresClientesOperadores BursátilesCompañías asociadas


3. Clasificación de la información teniendo en cuenta los riesgos identificados

1. Análisis de los principales riesgos a la que está expuesta.

2. Categorización en Confidencial, Restringida o Pública.3. Identificación para determinar si se encuentra en medios

electrónicos y/o en medios físicos.4. Aprobación de los sectores / usuarios que deben acceder a la

información crítica con permisos

5. Consolidación.

Dominio 4

Seguridad de los Recursos Humanos

Dominio 4: Seguridad de los Recursos Humanos

4.1 Seguridad en la definición de puestos de trabajo y la asignación de recursos

Objetivo:

Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalaciones.

Las responsabilidades en materia de seguridad deben ser:

expliicadas en la etapa de reclutamiento,incluidas en los contratos ymonitoreadas durante el desempeño como empleado.


Acuerdos de confidencialidad

Los empleados deben firmar habitualmente un acuerdo de esta índole como parte de sus términos y condiciones iniciales de empleo.

El personal ocasional y los usuarios externos aún no contemplados en un contrato formalizado (que contenga el acuerdo de confidencialidad) deberán firmar el acuerdo mencionado antes de que se les otorgue acceso a las instalaciones de procesamiento de información.

Los acuerdos de confidencialidad deben ser revisados cuando se identifican cambios en los términos y condiciones de empleo o del contrato.


4.2 Capacitación del usuario

Objetivo:

Garantizar que los usuarios están al corriente de las amenazas e incumbencias en materia de seguridad de la información, y están capacitados para respaldar la política de seguridad de la organización en el transcurso de sus tareas normales.


Algunas consideraciones a tener en cuenta en el procesode concientización

Involucrar a TODO el personal de la Compañía.“Sponsorearlo” por la Dirección.

Asegurar su permanencia a lo largo del tiempo."Agregar valor” a los usuarios.Definir mecanismos de control de la participación de todo el personal.Implementar sanciones disciplinarias para los que no participen.Definir medidas en caso que algún miembro del personal deje la Compañía.


Estrategias de Concientizaciòn

Usuarios finalesTercerosPersonal del Area de Sistemas


Usuarios Finales

Actividades

En persona Por escritoEn los sistemas

En persona

• Presentaciones gráficas al personal de cada sector.• Inducción a recursos nuevos.• Videoconferencias a usuarios.• Trabajos en grupos para análisis de casos prácticos.• Reuniones con el personal clave de cada grupo humano.• Inventarios de software en las estaciones de trabajo.


Por escrito

• Incorporación de conceptos de seguridad en evaluaciones anuales de performance.

• Compromisos firmados por el personal actual y nuevo, adjuntar en sus respectivos legajos (carpetas).

• Firma anual de actualización de la conformidad.• Distribución de material gráfico al personal.• Mensajes en cartelera.


En los sistemas

• Pantalla de inicio en los sistemas.• Correos electrónicos periódicos.• Entrenamiento interactivo.• Intranet de seguridad informática.• Concursos con temarios relacionados y premios atractivos.


Personal de Sistemas

• Seleccionar los temas y procedimientos más críticos• Identificar dentro de las normas de Seguridad desarrolladas,

cuáles son:– Los temas más sensibles a la operatoria de la compañía.– Los procedimientos que requieran un mayor conocimiento

de la gente.• Definir capacitación según perfil de cada sector:

– Operaciones– Analistas– Programadores– Desarrollo– Tecnología– Responsables de área


Terceros: identificar los distintos “tipos”• De contacto directo

– Clientes– Proveedores– Auditores externos– Compañías asociadas

• De contacto institucional– Cámaras empresariales– Organismos de contralor– Gobierno– Accionistas– Comunidad en general



4.3 Proceso disciplinario

Debe existir un proceso disciplinario formal para los empleados que violen las políticas y procedimientos de seguridad de la organización.

Dominio 5

Seguridad Física y Ambiental

Dominio 5: SEGURIDAD FISICA Y AMBIENTAL

Protección de:

SedesInstalacionesDocumentos Impresos

Dominio 6

Gestión de Operaciones y Comunicaciones

Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES

6.1 Procedimientos y responsabilidades operativas

Objetivo:

Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la información.

Se deben establecer las responsabilidades y procedimientos para la gestión y operación de todas las instalaciones de procesamiento de información.

Se debe implementar la separación de funciones cuando corresponda.

Dominio 7

Sistema de Control de Accesos

Dominio 7: SISTEMA DE CONTROL DE ACCESOS

7.1 Requerimientos de negocio para el control de accesos

Objetivo:

Controlar el acceso de información.


Política de control de accesos

Requerimientos de políticas y de negocios

Las reglas y derechos del control de accesos, para cada usuario o grupo de usuarios, deben ser claramente establecidos en una declaración de política de accesos:

requerimientos de seguridad de cada una de las aplicaciones comerciales;identificación de toda información relacionada con las aplicaciones comerciales;políticas de divulgación y autorización de información;


coherencia entre las políticas de control de acceso y de clasificación de información de los diferentes sistemas y redes;legislación aplicable y obligaciones contractuales con respecto a la protección del acceso a datos y servicios;perfiles de acceso de usuarios estándar, comunes a cada categoría de puestos de trabajo ;administración de derechos de acceso.


Reglas de control de accesos

diferenciar entre reglas que siempre deben imponerse y reglas optativas o condicionales; establecer reglas sobre la base de la premisa “debe estar prohibido a menos que se permita expresamente”;reglas que requieren aprobación antes de entrar en vigencia.

Dominio 8

Adquisición, Desarrollo y Mantenimiento de Sistemas de

Información

Dominio 8: Adquisición, Desarrollo y Mantenimiento de Sistemas de Información

8.1 Requerimientos de seguridad de los sistemas.

Objetivo:

Asegurar que la seguridad es incorporada a los sistemas de información.

Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de información.

Dominio 8: Adquisición, Desarrollo y Mantenimiento de Sistemas de Información

Análisis y especificaciones de los requerimientos de seguridad

Se deben considerar los controles automáticos a incorporar al sistema y la necesidad de controles manuales de apoyo.

Los controles introducidos en la etapa de diseño son significativamente más baratos de implementar y mantener que aquellos incluidos durante o después de la implementación.

Dominio 9

Administración de Incidentes de Seguridad de la Información

Dominio 9: Administración de Incidentes de Seguridad de la Información

Respuesta a incidentes y anomalías en materia de seguridad

Objetivo:

Minimizar el daño producido por incidentes y anomalías en materia de seguridad, y monitorear dichos incidentes y aprender de los mismos.


Los incidentes que afectan la seguridad deben ser comunicados mediante canales gerenciales.

Se debe concientizar a todos los empleados y contratistas acerca de los procedimientos de comunicación de los diferentes tipos de incidentes.

La organización debe establecer un proceso disciplinario formal para ocuparse de los empleados que perpetren violaciones de la seguridad.

Comunicación de incidentes relativos a la seguridad

Se debe establecer un procedimiento formal de:

comunicación,respuesta a incidentes, "feedback" a la persona luego de resueltos.

Estos incidentes pueden ser utilizados durante la capacitación a fin de crear conciencia de seguridad en el usuario.


Dominio 10

Plan de Continuidad del Negocio

Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO

Principales etapas

• Clasificación de los distintos escenarios de desastres• Evaluación de impacto en el negocio• Desarrollo de una estrategia de recupero• Implementación de la estrategia• Documentación del plan de recupero• Testeo y mantenimiento del plan


Clasificación de los distintos escenarios de desastres

Identificar los distintos tipos de “desastres”Ponderar su ocurrencia Fijar el alcance del proyecto a los desastres de mayor probabilidad


Evaluación de impacto en el negocio

Definir los perjuicios “claves” en la evaluación del impacto en el negocio.Identificar los usuarios claves de cada sector.Relevar las funciones críticas del negocio.Definir un tiempo máximo para disponer de la información sin que impacte en el negocio.Efectuar estimaciones económicas del perjuicio para la compañía.Definir las funciones críticas que se identifican para la recuperación.


Selección de una estrategia de recupero

Analizar impacto de desastres seleccionados y funciones críticas identificadas en los equipos de procesamiento.Definir alternativas de recupero del procesamiento.Analizar los costos actuales y futuros de las solucionesElegir la/las soluciones a implementar


Implementación de la estrategiaDesarrollar las medidas a implementar en cada una de las etapas:

Identificación del desastre.“Declaración” del desastre.Actividades a desarrollar durante el desastre.Recuperación del procesamiento para volver a la “situación normal”.

Suscribir los contratos comerciales necesarios para la ejecución de los procedimientos seleccionados.Suscribir los contratos de seguros en caso de ser definido.


Implementar los mecanismos tecnológicos necesarios.Asignar las responsabilidades a cada una de laspersonas / sectores de la Compañía involucradas en el Plan.Capacitar al personal involucrado.Definir acciones complementarias:

Comunicación a clientes y proveedores.Distribución física de lugares de trabajo del personal.Estrategias de trabajo “en cada casa”.Otros recursos (teléfonos, fax, etc).Aspecto “humano” del plan.


Documentación del plan de recupero

Desarrollar los procedimientos técnicos y funcionales.Desarrollar los inventarios de personal, hardware, software, etc.


Testeo y mantenimiento del plan

Testeoo Desarrollar pruebaso Asemejar pruebas a la realidad.

Mantenimientoo Definir mecanismo para su actualización.o Efectuar pruebas periódicas del correcto

funcionamiento

Dominio 11

Cumplimiento

Dominio 11: Cumplimiento

11.1 Cumplimiento de requisitos legales

Objetivo:

Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.


El diseño, operación, uso y administración de los sistemas de información pueden estar sujetos a requisitos de seguridad legal, normativa y contractual.

Se debe procurar asesoramiento sobre requisitos legales específicos por parte de los asesores jurídicos de la organización, o de abogados convenientemente calificados.

Los requisitos legales varían según el país y en relación con la información que se genera en un país y se transmite a otro.


Identificación de la legislación aplicable

Se deben definir y documentar claramente todos los requisitos legales, normativos y contractuales pertinentes para cada sistema de información.


11.2 Revisiones de la política de seguridad y la compatibilidad técnica

Objetivo:

Garantizar la compatibilidad de los sistemas con las políticas y estándares (normas) de seguridad de la organización.


La seguridad de los sistemas de información debe revisarse periódicamente.

Dichas revisiones deben llevarse a cabo con referencia a las políticas de seguridad pertinentes y las plataformas técnicas y sistemas de información deben ser auditados para verificar su compatibilidad con los estándares (normas) de implementación de seguridad.


11.3 Consideraciones de auditoria de sistemas

Objetivo:

Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstáculos que pudieran afectarlo.

Deben existir controles que protejan los sistemas de operaciones y las herramientas de auditoria en el transcurso de las auditorias de sistemas.

Asimismo, se requiere una protección adecuada para salvaguardar la integridad y evitar el uso inadecuado de las herramientas de auditoria.

TRACK VII :

Taller Práctico FINALElaboración de un Programa General de Seguridad para

preparar a la Compañía para Certificar

R Identificación de los principales riesgosinformáticos para su compañía

P Definición por la Dirección de una políticabásica de seguridad

A Acción concreta en dos frentes:

Normativo

Implementación de un Programa de Seguridad

Ejecutivo

Identificación de riesgos en su compañía

Fraudes informáticos

Ataques externos a las redes

Modificaciones no autorizadas de datos por empleados

Acceso y difusión inoportuna de datos sensibles

Falta de disponibilidad de los sistemas

Software ilegal

Falta de control de uso de los sistemas

Destrucción de información y equipos

R

Clasificación de los más críticos

Personas y Organizacionesdentro y/o fuera

Identificación de riesgos en su compañíaR

Competidores

Empleados descontentos

Proveedores

Clientes

Hackers

Consultores “in company”

Compañías asociadas

en los sistemas centrales

en las PC´s

en las laptops

en los e mails

en contratos

en documentos impresos

en los legajos del personal

Donde hay información sensible

Identificación de riesgos en su compañíaR

Definición de una política básica de seguridad

Breve

Clara

Implementable

Puesta en marcha por la Dirección

Difundida al personal y terceros

P

Definición de una política básica de seguridad

P

Política de Seguridad

AutorizaciónProtección Física

Propiedad

Eficacia

Eficiencia

ExactitudIntegridad

Legalidad

Disponibilidad

Confidencialidad

Confiabilidad

Sponsoreo y seguimiento

• Dirección de la Compañía

• Comité de Seguridad

Autorización

• Dueños de datos

Definición

• Area de Seguridad Informática

• Area de Legales

Identificación de responsabilidades de seguridad

Acción concreta: Plano NormativoA

Cumplimiento directo

• Usuarios finales

• Terceros y personal contratado

• Area de sistemas

Administración

• Administrador de Seguridad

Control

• Auditoría Interna / Externa

Acción concreta: Plano Normativo

Normas con definiciones

Procedimientos con acción de usuarios

Estándares técnicos para los sistemas

Esquema de reportes de auditoría

De acuerdo con regulaciones y legislaciones vigentes

Desarrollo de la normativa básica y publicación

A

Definición de acciones a sancionar y medidas disciplinarias a imponer

Comunicación al personal y terceros “in company”

Utilización de convenios de confidencialidad

Definición de un sistema de “premios y castigos” en su compañía

Acción concreta: Plano NormativoA

Perfil de la función

Análisis de riesgos informáticos

Participación en proyectos especiales

Administración del día a día

Objetivos y tareas básicas

Programas de trabajo rutinarios

Automatización de tareas y reportes en los sistemas

Definición e implementación de la función de Seguridad Informática

Acción concreta: Plano EjecutivoA

Administración de Usuarios y Permisos en los SistemasSeparación de Ambientes de TrabajoLicencias legales de SoftwareCopias de RespaldoSeguridad Física de las Instalaciones y RecursosPrevención de Virus y Programas MaliciososSeguridad en las ComunicacionesAuditoría Automática y Administración de Incidentes de SeguridadUso del Correo ElectrónicoUso de Servicios de Internet

Mejoras en los procesos del área de Sistemas


Redes internasAccesos externosBases de datos

Sistemas aplicativosCorreo electrónico

Servidores, PC´s y laptopsSeguridad física

Integración con otras tecnologías

Parametrización de las redes y lossistemas de una forma más segura

Análisis de la posibilidad de uso de softwares de seguridad avanzada(encripción, administración centralizada, monitoreo automático)


Acciones preventivas de monitoreo las 24 hsImplementación de Help Desk de SeguridadCircuitos de reportes de incidenciasMonitoreos periódicosAuditorías

Implementación de monitoreos de incidentes de seguridad


Capacitación a los usuarios en seguridad

Usuarios finales

Usuarios del área de sistemas

Terceros “in company”

Intranet de seguridad

Correo electrónico

Mensajes en cartelera

Presentaciones grupales

Videos institucionales

Firma de compromisos


Utilizando la tecnología y los medios disponibles

TRACK VIII :

MODELO ANUAL DE GESTION CONTINUA

Diagnóstico Inicial:

• Efectuar Diagnóstico Inicial de la situación de la Compañía en relación a los requerimientos de la ISO 17799.

• 2 a 3 semanas

Implemente Ud. Mismo el ISMS ISO 17799

Módulos:

• Se agrupan por Módulos cada conjunto de tareas, debiendo identificarse la duración de cada uno de ellos, en general, podrávariar entre 2 a 4 semanas c/u dependiendo del Diagnóstico y del grado de involucramiento del personal.



Módulo 1:

• Relevar los planes de seguridad funcionales y técnicos en proceso en la compañía

• Iniciar proceso de Identificación de Riesgos y Clasificación de Información Sensible

• Definir el Plan de Tareas para los 2 primeros años (integrando otros proyectos de seguridad en curso)

Módulo 2:

• Definir, aprobar y difundir la Política de Seguridad de la Compañía

• Definir la estructura y alcance del Manual de Seguridad de la Información de la Compañía

• Definir y difundir las responsabilidades de Seguridad de la Información de cada sector de la Compañía

• Implementar Esquema de Propietarios de Datos


Módulo 3:

• Definir e iniciar el proceso de Concientización de Usuarios internos y Terceros

• Iniciar proceso de redacción de las Normas


Módulo 4:

• Finalizar Clasificación de Información• Relevar medidas implementadas en

las funciones del área de sistemas


Módulo 5:

• Finalizar la Redacción y Difundir las Normas de Seguridad

• Implementar las definiciones de las Normas


Módulo 6:

• Implementar las mejoras de seguridad en las Funciones y Roles del área de Sistemas

• Implementar mejoras en los sectores usuarios para información impresa


Módulo 7:

• Iniciar proceso de redacción de Procedimientos críticos

• Iniciar Programa de Continuidad del Negocio / Procesamiento Crítico de la Información


Módulo 8:

• Finalizar la redacción y difundir los Procedimientos críticos

• Relevamiento general del cumplimiento del Marco Legal y Regulatorio (leyes vigentes, etc)


Módulo 9:

• Implementar los Procedimientos de Seguridad Críticos

• Relevar e Integrar los Estándares Técnicos de Seguridad desarrollados dentro del Manual de Seguridad


Módulo 10:

• Definir junto a RRHH mecanismos de Control y Sanciones

• Efectuar la Concientización de Usuarios de toda la Compañía


Módulo 11:

• Diagnóstico General respecto Norma ISO 17799 (similar a una Preauditoríade Certificación ISO)


Módulo 12:

• Implementación de las mejoras identificadas en el Diagnóstico según ISO 17799


• Muchas Gracias !!!

• Sixto Flores R.

• [email protected]

Documents

Isec iso17799 iso 27001 intensivo