Anda di halaman 1dari 32

Prof.

Carlos Vila Quispe


IS-444: Seguridad Informtica
Prof. Carlos Vila Quispe
SGSI Definicin
Modelo PDCA
Implantacin
Planificacin
IS-444: Seguridad Informtica
Prof. Carlos Vila Quispe 4
La implantacin de un SGSI es una decisin estratgica que debe
involucrar a toda la organizacin.
Su implantacin depende mucho de la parte gerencial.
Objetivos de la empresa.
Alcance: reas involucradas en el cambio.
Contar con la ayuda de una empresa especializada para
asesoramiento en el proceso, durante un tiempo inicial.
Prof. Carlos Vila Quispe
Tamao de la organizacin
Estado inicial de la seguridad de la informacin.
Recursos destinados.
Recomendable: 6 meses y un ao (para evitar que quede
obsoleto).
Prof. Carlos Vila Quispe
La solucin ms sencilla de mantener suele ser la
ms acertada.
Prof. Carlos Vila Quispe
Debe contar con:
Estructura organizativa
Recursos necesarios
Prof. Carlos Vila Quispe
La implementacin generalmente se utiliza el modelo
PDCA(Plan-Do-Check-Act)
8
Prof. Carlos Vila Quispe
Plan (planificar): Es una fase de diseo del SGSI, realizando
la evaluacin de riesgos de seguridad de la informacin y la
seleccin de controles adecuados.
Do (hacer)(ejecucin): Es una fase que envuelve la
implantacin y operacin de los controles.
Check (controlar)(seguimiento): Es una fase que tiene como
objetivo revisar y evaluar el desempeo (eficiencia y eficacia)
del SGSI.
Act (actuar)(mejora): En esta fase se realizan cambios
cuando sea necesario para llevar de vuelta el SGSI a mximo
rendimiento.
Prof. Carlos Vila Quispe
La adopcin del modelo PDCA tambin refleja los principios
como se establecieron en las pautas para la gobernabilidad de
los sistemas y redes de la seguridad de informacin. Esta
Norma Tcnica Peruana provee un modelo para implementar
los principios en las pautas que gobiernan:
La evaluacin del riesgo,
El diseo e implementacin de la seguridad,
La gestin de la seguridad
La reevaluacin.
Prof. Carlos Vila Quispe
EJEMPLO 01: Un requisito pudiera ser aquel que las
brechas en la seguridad de la informacin no causen serios
daos financieros yo daen la imagen de la organizacin
EJEMPLO 02: Una expectativa podra ser que si ocurriera
un incidente serio que afecte el web site del negocio de
una organizacin debe existir personal capacitado en
procedimientos adecuados para minimizar el impacto.
Prof. Carlos Vila Quispe
IS-444: Seguridad Informtica
Prof. Carlos Vila Quispe
La implantacin de un SGSI debe estar documenta en:
Polticas: (Objetivos generales sin entrar en detalles tcnicos)
Procedimientos: (cmo conseguir los objetivos de las polticas,
detalles ms tcnicos)
Instrucciones: Comandos tcnicos que se deben realizar para
la ejecucin de procedimientos.
Registros: Registros que evidencian la efectiva implantacin
del sistema y el cumplimiento de los requisitos. Incluyen
indicadores, mtricas de seguridad que permiten evaluar la
consecuencia de los objetivos establecidos.
Prof. Carlos Vila Quispe
Polticas
Procedimientos
Instrucciones
Registros
Objetivo generales
Desarrollo de los
objetivos
Comandos Tcnicos
Desarrollo de los
procedimientos
Indicadores y
mtricas de
seguridad
Prof. Carlos Vila Quispe
Estudio de la situacin de la organizacin desde el punto de
vista de la seguridad.
Estimar las medidas que se van a implantar en funcin de las
necesidades detectadas.
No toda la informacin de la que se dispone tiene el mismo
valor o est sometida a los mismos riesgos.
Realizar un anlisis de riesgos que valore los activos de
informacin y vulnerabilidades a las que estn expuestas.
Gestin de riesgos para reducirlos en la medida de lo posible.
Establecer los controles adecuados que permitan minimizar
los riesgos.
Prof. Carlos Vila Quispe
Controles tcnicos, como documentacin necesaria.
Requiere de un tiempo para: concientizar y formar para dar
a conocer que se est haciendo y por qu, al personal de la
empresa.
Prof. Carlos Vila Quispe
Evaluar la eficacia y el xito de los controles implantados.
Se debe contar con registros e indicadores que provengan
de estos controles.
Prof. Carlos Vila Quispe
Se debe llevar a cabo las labores de mantenimiento del
sistema.
Se ha detectado algn punto dbil este es el momento de
las mejoras y correcciones.
Se cuenta con tres tipos de medidas:
Medidas correctoras
Medidas preventivas
Medidas de mejoras.
Prof. Carlos Vila Quispe
Al finalizar las 4 fases se debe tomar los resultados de la
ltima fase y se comienza nuevamente la primera.
Si el objetivo de la implantacin de este sistema era la
certificacin, el ciclo completo tendr una duracin de un
ao.
Se coincidir con las realizaciones de las auditoras de
certificacin que se realizan cada ao.
IS-444: Seguridad Informtica
Prof. Carlos Vila Quispe
La implantacin de un SGSI comienza con su correcto
diseo.
Definir 4 aspectos fundamentales:
Alcance.
Poltica de seguridad.
Organizacin de la seguridad.
Concienciacin y formacin.
Prof. Carlos Vila Quispe
Determinar partes o procesos de la CIA que van a ser incluidos
dentro del mismo.
Determinar cules son los procesos crticos para su organizacin
decidiendo qu es lo que quiere proteger y por dnde comenzar.
Deben quedar definidas las actividades de la organizacin.
Ubicaciones fsicas que van a verse involucradas.
Tecnologas de la informacin.
reas que quedarn excluidas.
Estimar recursos econmicos y de personal que se van a dedicar a
implantar y mantener el sistema.
No sirve de nada la inversin para la implantacin si no se mantiene
posteriormente.
Prof. Carlos Vila Quispe
Recoger directrices que debe seguir la seguridad de la
informacin de acuerdo a las necesidades de la organizacin y
a la legislacin vigente.
Establecer medidas en caso de incidentes y definir las
responsabilidades.
Qu se debe proteger, de quin y por qu.
Explicar qu es lo que est permitido y qu no.
Lmites de comportamiento aceptable y cules son las
respuestas si se sobrepasan.
Identificar los riesgos a los que est sometida la organizacin.
Prof. Carlos Vila Quispe
Para que las polticas de seguridad sea un documento de utilidad en la
CIA y cumpla con lo establecido en la norma ISO 27001, debe cumplir:
Redactada de una manera accesible para todo el personal de la CIA.
Debe ser corta, precisa y de fcil comprensin.
Debe ser aprobada por la direccin y publicitada.
Debe ser de dominio pblico dentro de la CIA. Y estar disponible.
Debe ser una Referencia para resolucin de conflictos y otras cuestiones relativas a la seguridad de la
organizacin.
Definir responsabilidades.
En funcin de las responsabilidades decide quin est autorizado a acceder a qu tipo de informacin.
Es personalizada para cada organizacin.
Especificar las normas y medidas necesarias para la seguridad de la informacin.
Prof. Carlos Vila Quispe
En cuanto al contenido debera contener:
1. Definicin de la seguridad de la informacin y objetivos
globales. Alcance de la seguridad e importancia como
mecanismo de control que permite compartir informacin.
2. Declaracin por parte de la direccin apoyando los objetivos
y principios de la seguridad de la informacin.
3. Breve explicacin de las polticas.
4. Definicin de las responsabilidades generales y especficas en
las que se incluirn los roles pero nunca personas concretas.
5. Referencias a documentacin que pueda sustentar la poltica.
Prof. Carlos Vila Quispe
Las polticas deben ser revisadas y actualizadas
anualmente.
Excepciones de revisin y actualizacin:
Despus de grandes incidentes.
Auditora del sistema sin xito.
Cambios estructurales de la organizacin.
Prof. Carlos Vila Quispe
Revisin de aspectos organizativos de la entidad.
Asignacin de nuevas responsabilidades.
Responsable de la seguridad: encargado de coordinar con respecto a la
seguridad dentro de la CIA.
Comit de Direccin: mximas responsabilidades y aprobar decisiones
de alto nivel relativas al sistema.
Comit de gestin: que controla y gestiona las acciones de la
implantacin del sistema colaborando muy estrechamente con el
responsable de seguridad. Asumen decisiones de seguridad y estar
formado por personal de los diferentes departamentos involucrados en
la implantacin del sistema.
Prof. Carlos Vila Quispe
Tener en cuenta la relacin que se mantiene con terceras
partes que pueden acceder a la informacin en algn
momento; identificando posibles riesgos y tomando
medidas al respecto.
Empleados de limpieza: firmas de acuerdo de confidencialidad.
Prof. Carlos Vila Quispe
Crear en la empresa una cultura de seguridad.
Qu se est llevando a cabo y porqu se est realizando.
Fines de Transparencia al proceso e involucrar al personal.
La formacin logra que el personal desarrolles nuevas
actividades de acuerdo a la normativa y a los trminos
establecidos.
IS-444: Seguridad Informtica
Prof. Carlos Vila Quispe
Seleccionar un empresa de la localidad, el cual ser
tomado como caso de estudio por cada grupo para la
aplicacin del SGSI. Determinar como primera actividad el
ALANCE y plasmarlo en un documento.