Para Estar Seguro: ISO 17799

8721-27-0404-IMPLANTACION SGSI-004 APPLUS+ CTC

Quines somos
Factores de xito

 Conocimiento  Experiencia  Solvencia  Flexibilidad

Introduccin
Pero, Qu es para ti seguridad?
Se necesita una base comn que propicie el entendimiento

Entonces me dices que puedo estar tranquilo, que ya tienes claro lo que quiero para mis datos

Cuenta con ello, mi compaa tiene el sistema perfecto y seguro para cubrir tus expectativas

Introduccin
Seguridad, de qu estamos hablando?
La seguridad de la informacin se caracteriza como la preservacin de su Confidencialidad, su Integridad y su Disponibilidad

SEGURIDAD
CONFIDENCIALIDAD

NECESIDADES DE NUESTRO NEGOCIO

S E G U R I D A D

AUTENTICACION

INTEGRIDAD

NO REPUDIO

DISPONIBILIDAD

TRAZABILIDAD

RESPONSABILIDAD

GESTIN DE LA SEGURIDAD

SEGURIDAD TOTAL

Modelo tecnolgico de la seguridad,

Estamos seguros, a que s?
Clientes Usuarios de internet La competencia Hackers, etc.

Oficina Principal
Servidores Web PCs de empleados Servidor transaccional

Servidores corporativos

CA Interna

Consola antivirus

Servicios externos
Router

Balanceador de carga Firewall Firewall Switch IDS Servidor de correo Gateway VPN Servidor de autorizacin y autenticacin

IDS Firewall Servicios crticos: Financieros, ERPs, CRMs, etc.

Monitorizacin Actualizacin de antivirus Mantenimiento de firewalls Anlisis de vulnerabilidades Confianza y PKI, Etc.

Consolas de gestin Tnel VPN Firewall VPN Tnel VPN

PCs de empleados

Switch

Router

Servidores

Delegacin

Conexiones remotas

Modelo tecnolgico de la seguridad,

El factor humano, los usuarios
El modelo tecnolgico por si slo no ha funcionado
 Cada ao se duplican los incidentes de seguridad  Cada da se descubren entre 2 y 5 nuevas vulnerabilidades
Problemas ms importantes de la seguridad (Information Security Magazine)
Cdigo malicioso Vulnerabilidades del equipamiento Gestin de la compaa 11% 9% 31% Usuarios autorizados Usuarios no autorizados Otros

11% 15%

23%

Gestin de la Seguridad
Evolucin de la seguridad de la informacin
Negocio

Aplicaciones

Sistema

Com

Entorno

Terceros

Personal

Operacin

Desarrollo

Productos

Planes Sistema de Gestin

Modelo de gestin de la seguridad,

ISO 17799
Cdigo de buenas prcticas para la gestin de la seguridad de la informacin

Estructura de la Norma
Seccin
8.- Gestin de comunicaciones y operaciones

Objetivo
8.2.- Planificacin y aceptacin del sistema
Minimizar el riesgo de fallos de los sistemas

Control
8.2.2.- Aceptacin de Sistemas
Se establecern criterios de aceptacin para sistemas y versiones nuevos o mejorados y se desarrollarn con ellos las pruebas adecuadas antes de su aceptacin

Modelo de gestin de la seguridad,

ISO 17799
Conformidad legal
(3 Objetivo, 11 Controles)

Plan de Continuidad de Negocio

Poltica de seguridad

(7 Objetivo, 23 Controles)

(8 Objetivo, 31 Controles)

(1 Objetivo, 3 Controles)

(5 Objetivo, 18 Controles)

Control de acceso

Comunicaciones Y operaciones

Mantenimiento De sistemas

(1 Objetivo, 5 Controles)

Seguridad del personal

(3 Objetivo, 10 Controles)

Seguridad fsica
(3 Objetivo, 13 Controles)

Estructura organizativa
(3 Objetivo, 10 Controles)

Clasificacin de activos
(1 Objetivo, 3 Controles)

Modelo de gestin de la seguridad,

Diseo del Sistema de Gestin
Manual de seguridad
Directorio de documentacin

ndice

Motor de bsquedas
Procedimientos genricos

Organizacin

Mapa de Procesos

Poltica Alcance Anlisis Riesgos Objetivos Procedimientos Normas Registros Etc.

Organigramas Responsabilidades Descripciones Etc.

Control documental Control de registros Gestin de incidentes Acciones preventivas Acciones correctivas

Parmetros

ISO 17799
Seccin 3: Poltica de seguridad

Poltica de seguridad de la informacin

Documento de poltica

Revisin y evaluacin

Trata de que se disponga de una normativa comn de seguridad que regule las lneas maestras sobre como va a trabajar toda la organizacin

ISO 17799
Seccin 4: Estructura organizativa
Infraestructura de seguridad de informacin
Comit Coordinacin Responsabilidad Autorizacin Asesoramiento Cooperacin Revisin Identificacin De riesgos Requerimientos De seguridad En los contratos Requerimientos De seguridad En los contratos

Seguridad en accesos de Terceras partes

Externalizacin

Establece la estructura organizativa (terceros, responsables, comits, colaboraciones, etc.) y su funcionamiento de cara a gestionar la seguridad de la informacin

ISO 17799
Seccin 5: Clasificacin y control de activos
Responsabilidades Sobre los activos Clasificacin De la informacin

Guas de clasificacin Inventario de activos

Marcado y tratamiento

Incorpora las herramientas para establecer qu debe ser protegido, qu nivel de proteccin requiere y quin es el responsable principal de su proteccin

ISO 17799
Seccin 6: Seguridad relacionada con el personal
Seguridad en la definicin de los puestos de trabajo
Seguridad en la definicin de puestos Seleccin y poltica de personal

Capacitacin de los usuarios

Respuesta ante incidentes de seguridad

Comunicacin De incidentes Comunicacin De amenazas

Educacin y Capacitacin En seguridad

Acuerdos de confidencialidad Trminos y condiciones

Establece las medidas de seguridad que se van a tomar con el personal, ya que finalmente son estos los que van a utilizar los sistemas y la informacin

Comunicacin de fallos software Aprender de los incidentes Procesos disciplinarios

ISO 17799
Seccin 7: Seguridad fsica y del entorno
reas seguras Seguridad de los Equipos Controles generales

Permetro de seguridad Control de accesos Oficinas y despachos El trabajo en reas seguras Zonas de carga y descarga

Instalacin y proteccin Electricidad Cableado Mantenimiento Seguridad fuera De la oficina Reutilizacin o eliminacin

Poltica de pantallas y mesas limpias Salidas de equipos o informacin

Incluye las medidas de seguridad fsica (edificios, salas, cableado, armarios, etc.) que se deben tomar para proteger los sistemas y la informacin

ISO 17799
Seccin 8: Gestin de comunicaciones y operaciones
Procedimientos y responsabilidades Planificacin del sistema Planificacin de capacidad Aceptacin de sistemas Proteccin cdigo malicioso Medidas y controles Copias Logs Registro de fallos Gestin de respaldos

Documentacin Cambios Incidencias Segregacin de tareas Separacin de entornos Servicios Externos

Determina las medidas de seguridad que la organizacin debe contemplar en sus operaciones y en el uso de las comunicaciones

ISO 17799
Seccin 8: Gestin de comunicaciones y operaciones
Gestin de redes Controles de redes Intercambios de informacin Acuerdos Soportes en trnsito Uso y seguridad de soportes eCommerce eMail Informacin publica Otras formas De intercambio

Gestin Eliminacin Uso Documentacin de sistemas

ISO 17799
Seccin 9: Control de accesos
Requerimientos Responsabilidad usuarios
Uso de passwords Equipos desatendidos

Control de Acceso a la red

Poltica

Routing Autenticacin usuarios externos Autenticacin de nodos Puertos de diagnostico Segregacin de redes Control de conexin Control de routing Seguridad de los servicios de red

Poltica

Gestin de Acceso usuarios

Registro Privilegios Passwords Revisin Derechos

Establece las medidas de control de acceso a la informacin a los distintos niveles en los que se puede plantear

ISO 17799
Seccin 9: Control de accesos
Control de Acceso al SO
Identificacin de terminales Logon Identificacin de usuarios Gestin de passwords Utilidades del sistema Alarma bajo coaccin Desconexin de terminales Ventanas de conexin

Control acceso a aplicaciones

Restriccin de acceso Aislamiento de sistemas

Informtica mvil y teletrabajo

Informtica mvil Teletrabajo

Seguimiento de Accesos y usos

Registro de incidencias Seguimiento de usos Sincronizacin de relojes

ISO 17799
Seccin 10: Desarrollo y mantenimiento de sistemas
Requerimientos de seguridad
Anlisis y especificaciones

Controles criptogrficos
Poltica de criptografa Cifrado Firma digital No repudio

Seguridad Desarrollo y soporte

Control de cambios Revisin de cambios SO Restriccin de cambios Desarrollo externalizado

Seguridad en aplicaciones
Validacin de entrada Control proceso interno Autenticacin mensajes Validacin de salida

Gestin claves

Seguridad de Ficheros sistema

Control software produccin Proteccin datos prueba Control Cdigo fuente

Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones

ISO 17799
Seccin 11: Gestin de continuidad de negocio

Aspectos de la Gestin de continuidad Proceso de gestin Anlisis de impactos Redaccin e Implantacin de PCN Planificacin Pruebas y mantenimiento

Incorpora los aspectos que la organizacin debe tener en consideracin para evitar interrupciones en la continuidad de su negocio

ISO 17799
Seccin 12: Conformidad
Cumplimiento de los requerimientos legales Identificacin la legislacin aplicable D.P.I. Registros de organizacin Proteccin DCP Evitar mal uso de recursos Controles de cifrado Recogida de pruebas Conformidad con poltica de seguridad Comprobacin conformidad tcnica Controles Auditora Sistemas Proteccin de herramientas auditora Revisiones de la poltica de seguridad y de conformidad tcnica Consideraciones sobre la auditora de sistemas

Por ltimo la organizacin debe cumplir con los requerimientos legales, regulatorios y contractuales que le son de aplicacin

La seguridad es un proceso, no un producto.

Preguntas?
8721-27-0404-IMPLANTACION SGSI-004 APPLUS+ CTC