Certificacion iso17799 iso 27001 1
1 recomendación1,359 vistas
El documento aborda la implementación de la norma ISO 17799/ISO 27001, destacando la importancia de la seguridad de la información y los 11 dominios que deben ser considerados para su certificación. Se discuten los riesgos asociados a la seguridad informática, como virus, phishing y delitos cibernéticos, así como la necesidad de un sistema de gestión de seguridad de la información (SGSI) estructurado. Además, se enfatiza en el proceso de certificación y la participación de la alta gerencia en la evaluación y tratamiento de riesgos.
Certificacion iso17799 iso 27001 1
- 1. Seguridad de la Información NORMA ISO 17799 / ISO 2700
- 2. Objetivos Implementación de medidas de seguridad de acuer con los requerimientos de la Norma ISO 17799 / IS 27001: Identificación de los requerimientos específicos de norma en sus 11 dominios dominios. Comprender el proceso de adecuar la compañía pa lograr la Certificación ISO 27001.
- 3. QUE ES SEGURIDAD DE LA INFORMACIÓN?
- 4. Por que? Reconocer los riesgos y su impacto en los negocios
- 5. Algunos datos INTERNET Nadie logra controlar la epidemia: el :22 | EL GUSANO “correo basura” invade las casillas de to n nuevo virus se el mundo sconde en tarjetas Apenas 150 “spammers” norteamericanos son los responsables 90 por ciento de los mensajes no deseados que atestan las avideñas computadoras de todo el mundo. Todavía no hay leyes para lim su impacto económico. Un virus informático, que se esconde en una tarjeta electrónica de felicitación, omenzó a circular por la red, informó anda Software. La compañía advirtió a los suarios que extremen las medidas de eguridad durante estas fiestas. STAFAS EN INTERNET “phishing” ya pesca en todo America etectaron casos que afectaron a numerosas empresas y a los clientes de bancos tadounidenses y del resto de America.
- 6. Algunos hechos 50 | A TRAVES DE MAIL lizan las siglas del FBI para La pregunta secreta del opagar un virus caso "Paris Hilton" famosa policía federal ------------------------------ Hace apenas unos días saltó la noticia de que adounidense advirtió sobre los contenidos del teléfono móvil de Paris difusión de falsos correos Hilton habían sido publicados en Internet. En un principio se barajó la posibilidad de que ctrónicos que llevan su hubieran accedido a la tarjeta SIM, o de que se mbre. tratara de una intrusión a los servidores de T-Mobile aprovechando inyecciones SQL. Al final parece ser que el método empleado fue mucho más sencillo, bastaba con contestar a la pregunta "¿cuál es el nombre de su mascota favorita?".
- 7. Algunos hechos Legales | Infracciones Graves El delito informático En forma amplia, es "toda acción reputada como delito para cuya consumación se utilizan o afectan medios informáticos". Vulneran tanto los equipos como los programas, e incluyen virus, sustracción de información o piratería. En un terreno más restringido, son sólo aquellas acciones que vulneran los equipos fijos de computación. Libertad, control y responsabilidad en Internet se condena Diario judicial.com publica hoy un polémico fallo por el que los responsables de un sitio de internet por un mensaje injurioso anónimo ingresado en un lib de visitas, de libre acceso por los navegantes. La resolución preocupa a l sitios web y puede sentar un duro precedente para aquellos que contengan foro
- 8. Algunos datos a seguridad de redes, una prioridad para las mpresas Cisco publicó los resultados de un estudio de seguri ealizado a directivos latinoamericanos de IT. De acue on los resultados, el 79 % de los Directivos de IT atinoamérica opina que la seguridad es un tema xtrema prioridad".
- 9. Algunos datos EGOCIOS na nueva fiebre “enferma” a las empresas de to l mundo: la seguridad de la información
- 10. Algunas premisas No existe la “verdad absoluta” en Seguridad de Información. No es posible eliminar todos los riesgos. La alta Gerencia está convencida que la Segurida de la Información no hace al negocio de compañía. Cada vez los riesgos y el impacto en los negocio son mayores.
- 11. n mi compañía ya tenemos seguridad porque ... . implementamos un firewall firewall. . contratamos una persona para el área. . en la última auditoría de sistemas no hiciero observaciones importantes importantes. . ya escribí las políticas.
- 12. Algunos datos n general todos coinciden en en: l 80% de los incidentes/fraudes/ataques so fectuados por personal interno uentes: he Computer Security Institute ooperative Association for Internet Data Analys CAIDA) ERT ANS
- 13. Algunos datos egún una encuesta del Departamento de Defensa d SA: obre aprox 9000 computadores atacados, 7,900 fueron dañados. . 400 detectaron el ataque. Sólo 19 informaron el ataque ataque.
- 14. Qué Información proteger en formato electrónico / magnético / óptico en formato impreso en el conocimiento de las personas El capital más valioso en las organizaciones
- 15. Principales riesgos y su impacto en los negocios
- 16. Captura de PC desde el exterior Mails “anónimos” con información crítica o con agresiones Robo de información mming Violación de e e-mails Destrucción de equipam ación de contraseñas Intercepción y modificación de e e-mails Violación de la privacidad de los em Virus Incumplimiento de leyes y regulaciones Ingenierí social ía empleados deshones Fraudes informáticos Programas “bomba” Propiedad de la Informa rrupción de los servicios Destrucción de soportes documenta Acceso clandestino a redes Robo o extravío de notebo so indebido a documentos impresos onibilidad de información clave Software ilega Intercepción de comunicaciones sificación de información
- 17. Instalaciones default Escalamiento de privile Password cracking Puertos vulnerables abiertos Man in the middle Exploits Servicios de log inexistentes o que no son chequeados Denegación de servicio mos parches no instalados Backups inexistent Port scanning Desactualización Keylogging
- 18. Principales riesgos y el impacto en los negocios e puede estar preparado para que ocurran lo menos osible: sin grandes inversiones en software sin mucha estructura de personal an solo: Ordenando la Gestión de Seguridad
- 20. Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas Internacionales aplicables
- 21. Normas y Metodologías aplicables Information Systems and Audit Control Association - ISACA: COBIT British Standards Institute: BS International Standards Organization: Normas ISO Departamento de Defensa de USA: Orange Book / Common Criteria ITSEC – Information Technology Security Evaluation Criteria: White B Sans Institute, Security Focus, etc Sarbanes Oxley Act, Basilea II, HIPAA Act, Leyes NACIONALES OSSTMM, ISM3, ISO17799:2005, ISO27001 BS 25999 DRII
- 22. Norma ISO 27001 Gestión de Seguridad
- 23. Normas de Gestión ISO ISO9001 – Calidad ISO14001 – Ambiental ISO17799-1 – Seguridad de la Información - 1 . NORMALIZACION (Mejores Prácticas) ISO 27001 – CERTIFICACION de Seguridad de la Información
- 24. Norma ISO 17799 / 27001 Seguridad de l Información stá organizada en capítulos (dominios) en los que se trata s distintos criterios a ser tenidos en cuenta en cada tem ara llevar adelante una correcta correcta: GESTION DE SEGURIDAD DE LA INFORMACION (SGSI – ISMS) lcance Recomendaciones para la gestión de la seguridad de información Base común para el desarrollo de estándares de segurida
- 25. Qué cambió de la versión anterior Norma ISO 17799: 2005 – ISO 27001
- 26. NUEVA SECCION antes 10 ahora 11 Dominios
- 27. Alcance 1. Alcance Términos y definiciones 2. Términos y definiciones 3. Estructura del Estándar 4. Evaluación y Manejo de los Riesgos Política de Seguridad 5. Política de Seguridad Organización de la Seguridad Organización de la Seguridad de la 6. de la Información Información Clasificación y Control de 7. Administración de Activos Activos Seguridad del Personal 8. Seguridad de los Recursos Humanos Seguridad Física y Ambiental 9. Physical & Environmental Security Administración de las Administración de las Comunicacione Comunicaciones y 10. Operaciones Operaciones Administración de Accesos 11. Administración de Accesos Desarrollo y Mantenimiento Adquisición , Desarrollo y Mantenimie 12. de Sistemas Sistemas de Información Administración de Incidentes de Segu 13. la Información
- 28. ay dos SECCIONES GENERALES nuevas : Estructura del Estandar Detalle para asistir al uso y aplicación más ameno y fácil del estándar. : Risk Assessment & Treatment Highlights sobre la importancia de efectuar un risk assessme para definir los CONTROLES APLICABLES. La necesidad de una continua evaluación y administración d los RIESGOS Highlights sobre la importancia de la participación de la GERENCIA en el análisis de RIESGOS
- 29. BS7799-2 BS7799 Fue revisado y se ha convertido en la nuev ISO 27001 Octubre 15, 2005 De la misma forma se espera que la ISO 17799 se convierta en ISO 27002
- 30. NACE LA FAMILIA DE LAS NORMAS ISO 270 O/IEC 27000 – Fundamentos y 2008/2009 bulario O/IEC 27001 – Sistema de Gestión Publicado en Octubre 2005 guridad de la Información – Requisitos O/IEC 27002 – Código de práctica Anteriormente ISO/IEC 17799:2005 a Gestión de la Seguridad de la Cambio a 27002 en el 2007 (solo s mación cambio de número) O/IEC 27003 – Guía de 2008/2009 ementación O/IEC 27004 – Métricas y Medidas 2007/2008 O/IEC 27005 – Gestión de Riesgos 2008/2009. Actualmente BS 7799-3 guridad de la Información Publicada Marzo 2006 O/IEC 27006 – Versión Internacional Se decidirá durante 2Q06 si este se 7/03 número 7…...27011 Reservados para futuros desarro (productos manejados por BSI y
- 31. NACE LA FAMILIA DE LAS NORMAS ISO 27000 unio de este año salio la ISO27005 que es la versión ACTUALIZA PLIADA de la ISO13335 (gestión de riesgos en TI), que se basaba 799-3. Con esta versión se puede cubrir el requerimiento de la I 3. 01 de tener una metodología de riesgo simple, es bien practica y idad, técnicamente es igual a como se clasificaba y administraba go anteriormente (impacto, probabilidad de ocurrencia, etc), y y aba en las metodologías como CRAMM, COBRA, MAGERIT, BS7799
- 32. Norma ISO 17799 Seguridad de la Informaci Preservar la: confidencialidad: accesible sólo a aquellas personas autorizadas a acceso. integridad: exactitud y totalidad de la información y los método procesamiento. disponibilidad: acceso a la información y a los recursos relacionados ella toda vez que se requiera requiera.
- 33. Cómo es un Proceso de Certificación ISO 27001 de una Organización?
- 34. UÉ ES CERTIFICAR? proceso de Certificación es la Generación de u NFORME Firmado por parte de un TERCERO (ajeno organización) que define que, de acuerdo con s RITERIO PROFESIONAL, dicha Organizació UMPLE o NO CUMPLE con los Requerimiento tablecidos en la Normativa Normativa.
- 35. ORQUE CERTIFICAR? ra poder Mostrar al Mercado que la Organización tie adecuado SISTEMA DE GESTION DE L GURIDAD DE LA INFORMACIÓN INFORMACIÓN. a empresa CERTIFICADA no implica que NO TIEN AS RIESGOS DE SEGURIDAD DE LA INFORMACIO o que tienen un adecuado Sistema de Gestión de dich esgos y Proceso de MEJORA CONTINUA.
- 36. Empresas certificadas en el mundo 1250 1000 750 500 250 0 2002 2003 2004
- 37. UE ORGANIZACIONES PUEDEN CERTIFICAR? ualquier Organización, grande o pequeña, públic rivada, de Gobierno o sin fines de lucro, etc, está ondiciones y habilitada para CERTIFICARSE.
- 38. UIENES ESTAN AUTORIZADOS A EFECTUAR L RTIFICACION? alquier Agente ajeno a la Organización (Profesional Independie ompañía) puede Firmar el Informe antes mencionado. o dado que la Certificación además de un valor Interno gurarse de Cumplir con la Normativa, tiene un fin principal er Mostrar dicha Certificación al Mercado Externo, generalme recurre a Organizaciones que estén Técnicamente Aceptadas más reconocidas INTERNACIONALMENTE para efectuar dic bajo. Por ello se recurre a Organizaciones que es REDITADAS (este es el término técnico utilizado) en el Organis rnacional de Acreditación. Ejemplo de este tipo de Organizacio el Bureau Veritas BVQI, Det Norske Veritas DNV, TÜV, etc.
- 39. OMO ES EL PROCESO DE CERTIFICACION? l requerimiento previo es que la Organización cum on la Implementación del SGSI definido en la Secc nterior. uego se convoca al Tercero para efectuar ERTIFICACION.
- 40. s principales PASOS son: reparar la Documentación Soporte a Presentar fectuar la PREAUDITORIA para conocer el G alysis respecto al Estándar dentificar conjuntamente: •las NO CONFORMIDADES (incumplimientos acuerdo al Estándar) •las NO CONFORMIDADES que son ACEPTA (sólo se documentan los argumentos de justificación •las NO CONFORMIDADES que NO ACEPTADAS (se definen las MEJORAS a implemen
- 41. mplementar las MEJORAS y Generar los Sopo ocumentales correspondientes fectuar la AUDITORIA DE CERTIFICACION eneración del Informe Final de Certificación incluye NO CONFORMIDADES (aceptadas o NO y sus Rie siduales aceptados por la Dirección de la Organizació
- 42. UEDE UNA ORGANIZACION PERDER ERTIFICACION? una Organización no cumple con los requerimie uede ocurrir que en la Auditoría Periódica la Emp ertificadora solicite que se saque la Certificación Obte icialmente.
- 43. Cómo se implementa un Programa de Gestión de Seguridad de la Información (SGSI - ISMS)?
- 44. SGSI SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION Está basado en el Modelo utilizado por las NORMAS ISO en general: Actuar Planificar Verificar Hacer
- 45. incipales PASOS a seguir en la IMPLEMENTACION de GSI mplementación del SGSI en 12 PASOS: Definir el alcance del SGSI desde el punto de vista de la racterísticas de la actividad, la organización, su ubicación s activos y su tecnología Definir una Política GENERAL del SGSI
- 46. ué es una Política? Son instrucciones gerenciales que trazan una dirección y describen la manera de administrar o dar solución a un problema o situación. Son planteamientos de alto nivel que transmiten a los trabajadores la orientación que necesitan para tomar decisiones presentes y futuras. Son requisitos generalizados que deben ser documentados y comunicados dentro, y en algunos casos fuera, de la organización. Son reglas de negocio de obligatorio cumplimiento debido a que son e equivalente de una ley propia de la organización lo cual garantiza que los controles serán aplicados de manera consistente. Son diferentes a los controles. No SON LAS REGLAS DE CONFIGURACION DEL FIREWALL
- 47. Definir una METODOLOGIA para la CLASIFICACION d s RIESGOS Identificar y Valorar los riesgos Identificar y definir ALTERNATIVAS para el tratamient riesgos: • Aplicar controles • Aceptar los riesgos • Evitar riesgos • Transferir los riesgos.
- 48. h 17 21 16 26 9 8 11 12 5 2 1 10 19 15 4 22 13 25 20
- 49. Seleccionar objetivos de control y controles específicos IMPLEMENTAR EVIDENCIAS
- 50. Preparar una DDA Declaración de Aplicabilidad (qu ONTROLES se van a IMPLEMENTAR) Obtener la aprobación de la Dirección de: • DDA Declaración de Aplicabilidad • Riesgos Residuales no cubiertos Formular un plan CONCRETO y DETALLADO para: • Tratamiento de los riesgos • Controles a Implementar • Programas de entrenamiento y concientización. • Gestionar el SGSI • Procesos de detección y respuesta a los incidentes d seguridad
- 51. ) Implementar los CONTROLES • En los Procesos )Realizar Revisiones Periódicas )Implementar las mejoras identificadas en el SGSI
- 52. equisitos FUNDAMENTALES de la Documentació OPORTE en un SGSI ANTENIMIENTO ACTUALIZADO Y PROTEGID e la Documentación
- 53. Cómo establecer los requerimientos de Seguridad Evaluar los riesgos: • se identifican las amenazas a los activos, • se evalúan vulnerabilidades y probabilidades de ocurrencia, y • se estima el impacto potencial. Requisitos legales, normativos, reglamentarios y contractual que deben cumplir: • la organización, • sus socios comerciales, • los contratistas y los prestadores de servicios. Conjunto específico de principios, objetivos y requisitos para procesamiento de la información, que ha desarrollado organización para respaldar sus operaciones.
- 54. Contexto Legal Código Civil de 1887 Código de Comercio de 1971 Ley 23 de 1982 Articulo 15, 20 y 333 de la Constitución Política Decisión 351 de 1993 Decreto 1900 de 1990 Ley 527 de 1999
- 55. Áreas de Contingencias Jurídica • Protección de Datos Personales • Contratación Informática • Propiedad Intelectual • Servicios de Comercio Electrónico • Aspectos Laborales en entornos Informáticos • Incidentes Informáticos • Telecomunicaciones
- 56. Factores críticos del éxito política de seguridad, objetivos y actividades qu reflejen los objetivos de la empresa; una estrategia de implementación de seguridad qu sea consecuente con la cultura organizacional; apoyo y compromiso manifiestos por parte de gerencia; un claro entendimiento de los requerimientos d seguridad, la evaluación de riesgos y administración de los mismos mismos; comunicación eficaz a todos los gerentes empleados;
- 57. Factores críticos del éxito distribución de guías sobre políticas y estándares d seguridad de la información a todos los empleados contratistas; instrucción y entrenamiento adecuados; un sistema integral y equilibrado de medición que s utilice para evaluar el desempeño de la gestión de seguridad de la información y para brinda sugerencias tendientes a mejorarlo.
- 59. Alejandro Hernández, CBCP (571) 758 6955 Alejandro.hernandez@isec- Alejandro.hernandez@isec-global.com