Sistemas de Gestin de Seguridad de la Informacin ISO 27001

CONCEPTOS BSICOS SGSI

INTECO Seccin SGSI: http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/index.html

CONCEPTOS BSICOS

ACID TRAZABILIDAD SEGURIDAD DE LA INFORMACIN ANALISIS DE RIESGOS

Entrega de documentacin jornada

CONCEPTOS BSICOS
ACTIVO AMENAZA VULNERABILIDAD IMPACTO RIESGO INTRINSECO CONTROL O SALVAGUARDA RIESGO RESIDUAL

CONCEPTOS BSICOS

ACTIVIDAD INICIAL
Conjunto de actividades orientadas al manejo de conceptos necesidades bsicos, resolviendo adecuadamente

ACID
Recursos Actividad introductoria

QUE ES UN SGSI
Una parte del Sistema de Gestin de una

organizacin, que comprende:

Polticas Estructura organizativa Procedimientos Recursos necesarios para tender a la seguridad

QUE ES UN SGSI
No debe suponer coste o esfuerzo relevante Ajustarse a los requisitos del negocio Ajustarse a recursos disponibles Ayudar a conseguir objetivos del negocio Pautas para conseguir mejor Seguridad Informacin Persigue conocer y tratar los riesgos

UN SGSI MUESTRA

La forma en la que una organizacin conoce los riesgos a los que est sometida su informacin y los gestiona mediante una sistemtica definida, documentada y conocida por todos, que se revisa y mejora constantemente

IMPORTANCIA DE LA SEGURIDAD PARA EL NEGOCIO

Falta de concienciacin La LOPD an la cumplen pocas empresas Limitaciones de presupuesto Importante componente tecnolgico Se deja en manos de expertos Estos no conocen el negocio, o implicaciones de ste

IMPORTANCIA DE LA SEGURIDAD PARA EL NEGOCIO

Completamente relacionada con la supervivencia Relacionado con el aseguramiento de ingresos Relacionado con prestigio e imagen de empresa Prdida de informacin puede suponer el cierre

BENEFICIOS DE UN SGSI
Reduccin de costes al evitar situaciones negativas Optimizar recursos e inversiones Proteccin del negocio y personas Mejora de competitividad Cumplimiento legal y reglamentario Mejora imagen corporativa

Huracan Katrina en Agosto de 2005 ocasion inundaciones, cortes de energa elctrica y muertes. Por qu pensaron que esto nunca les sucedera ellos?

Fuego en el Edificio Windsor. Especulaciones sobre cmo se produjo, y litigios legales entre compaas (Deloitte, Corte Ingles, Propietaria del edificio, inquilinos..)

Caida de Lehman Brothers. Sistema bancario oculto

PlantanucleardeFukushima

Terremoto 11M Japn - Tsunami - Desastre nuclear Encadenamiento Anlisis de Riesgos???

Caida de una gran empresa ENRON- Ocultacin de datos Contabilidad creativa

Desastres naturales Impactos en la Empresa -

Datos Personales en la Basura, perdidos o robados Cumplimiento legal Prestigio Imagen ante los clientes -

Los hackers y nuestras organizaciones a veces no son solo los datos..La Presidencia espaola en la UE se inici as -

Datosenpasesconlegislacininsuficienteomenoralaeuropea

MARCO LEGAL Y JURDICO

ESTANDARES SGSI

Lnea ISO 27000 Bsicas

Norma ISO/IEC ISO27000 ISO27001 ISO27002 ISO27003 ISO27004 ISO27005 ISO27006

Ttulo
Gestin de la Seguridad de la Informacin: Fundamentos y vocabularios Especificaciones para un SGSI Cdigo de buenas practicas Gua de implantacin de un SGSI Sistema de Mtricas e Indicadores Gua de Anlisis y gestin de riesgos Especificaciones para organismos certificadores de SGSI

Estado
Publicado en 2009 Publicado en 2005 UNE-ISO27001 ( 2007) Publicado como ISO17799:2005 UNE-ISO27002 ( 2009) Publicado en 2010 Publicado en 2009 Publicado en 2008 En Espaa UNE71504 Solo en ingles

Lnea ISO 27000 Especficas

Norma ISO/IEC
SECTOR ISO27011 ISO27012 ISO27799 AUDIT ISO27007 ISO27008 Tcnicas ISO27031 ISO27032 ISO27033 ISO27034 ISO27035 . Guas sectoriales Telecomunicaciones E-Gobierno Sanidad

Ttulo

Estado

Publicada en 2008 En curso Publicada en 2008

Ayuda a los auditores Guidelines for information security management systems auditing Guidance for auditors on information security management systems controls Ayudas en diferentes tcnicas Guidelines for ICT readiness for business continuity Guidelines for Cybersecurity Guidelines for Network Security Security techniques - Application security Information security incident management

En curso

En curso

UNE-ISO/IEC 27001

Requisitos para implantar un SGSI acorde a ISO 27002 Deben tenerse en cuenta riesgos identificados Como 9001 y 14001 se aplica a todo tipo de organizaciones Enfoque por procesos y mejora continua

ISO 27001 RECOGE

Cmo disear e implantar un SGSI Controles a considerar (Anexo A) Cmo revisar y mejorar SGSI

ISO 27002

11 Captulos o Areas 133 Controles de Seguridad No es una norma certificable como la 27001

ISO 27002

EVOLUCIN DE ISO 27002

Inicio BS7799 parte 1

Adopcin ISO
Mejora Alineamiento

ISO17799:2000

ISO17799:2005

ISO27002

Traduccin a UNE

UNE-ISO17799:2002

UNE-ISO27002

1993

1995

2000

2002

2005

2007

UNE-ISO/IEC 27002:2009
0-Introduccin 1-Objeto 2-Trminos y definiciones 3-Estructura

5-Poltica de Seguridad
4-Anlisis y gestin de riesgos

6-Estructura Organizativa para la Seguridad 7-Clasificacin y control de Activos

10-Gestin de Comunicaciones y operaciones

8Seguridad en el Personal

9-Seguridad fsica y del entorno

12-Desarrollo y Mantenimiento de Sistemas

11-Control de Accesos 13-Gestin de Incidencias 14-Gestin de Continuidad del negocio 15-Cumplimiento 39 objetivos de seguridad 133 controles de seguridad

IMPLANTACIN DE UN SGSI

Definir mbito manejable y reducido* Todo el personal involucrado debe entender el proceso Decisin acerca de si se buscar certificacin oficial Proyecto de 6 meses a un ao Elegir siempre lo mas sencillo desde el inicio

IMPLANTACIN DE UN SGSI

Fase Plan: Alcance Responsabilidades Poltica de seguridad Anlisis de riesgos Seleccin de controles Plan, plazos, recursos

IMPLANTACIN DE UN SGSI

Fase Do: Poltica de seguridad Inventario activos Anlisis riesgo por activo Documento aplicabilidad Procedimientos y tareas Registros y evidencias Formacin

IMPLANTACIN DE UN SGSI

Fase Check: Revisin peridica Auditora Interna Mejora continua

IMPLANTACIN DE UN SGSI

Fase Act: Resolver incidencias y no conformidades Adoptar acciones correctoras Adoptar acciones preventivas Adoptar acciones de mejora

DEFINICIONES
ALCANCE: Lmites, sedes, localizaciones, activos, tecnologas Implantacin debe ayudar a los objetivos empresa y no interferir en ellos Los hbitos en Gestin de Seguridad cambiarn paso a paso

DEFINICIONES
POLITICA DE SEGURIDAD: Dirigir y dar soporte a fundamentos crticos Punto de partida del diseo Doc fundamental de la Direccin Comunicada a todo el personal Corta, precisa y legible

ORGANIZACIN DE LA SEGURIDAD
Responsable de Seguridad Comit de seguridad Todo el personal debe sentirse partcipe Direccin: Aprobar Poltica Aprobar riesgos residuales Aprobar formacin y Auditoras Revisar SGSI

ORGANIZACIN DE LA SEGURIDAD

Responsable de Sistemas Gestin del SGSI coordinado con Resp. Seguridad Usuarios y privilegios Disponibilidad Activos Pensar en ACID

ORGANIZACIN DE LA SEGURIDAD
Propietario de Activos Definir si afectado LOPD Definir Usuarios y Accesos Comunicar incidencias Control de implementacin Clusulas de confidencialidad

ORGANIZACIN DE LA SEGURIDAD

Personal en general Conocer la Poltica de Seguridad Comprender la Poltica de Seguridad Conocer procedimientos que le afectan

ORGANIZACIN DE LA SEGURIDAD

CONCIENCIACION Divulgacin Motivacin Participacin y formacin Explicar que el sentido no es su control personal

ACTIVOS SEGURIDAD INFORMACIN

Identificacin Datos Aplicaciones Personal Servicios Tecnologa Instalaciones Equipo auxiliar

ACTIVOS SEGURIDAD INFORMACIN

Inventario Identificacin Tipo de activo Descripcin Propietario Localizacin

ACTIVOS SEGURIDAD INFORMACIN

Valoracin de activos Cualitativa o cuantitativa Valor de reposicin Valor de prdida (ACID) Valor violacin legal Valor imagen y marca Valor impacto negativo servicio clientes

ACTIVOS
Proceso A
relacin

Proceso B

Consecuencia en los procesos

IMPACTO
Dato X
ci a

od ed

Causa en las dependencias

ep

en d

en

AMENAZA
Sala 1 SW

Servidor

Gr ad

Sala CPD

Usuarios

PC

Redes

Servicios

Edificio

ANALISIS Y VALORACION RIESGOS

ANALISIS Y VALORACION RIESGOS

Anlisis de riesgos Partimos de los activos Enfoque de mnimos Enfoque informal Enfoque detallado Enfoque combinado

ANALISIS Y VALORACION RIESGOS

Identificar amenazas Externas o Internas Deliberadas o accidentales Es til una cierta habilidad creativa para ponerse en Lugar de un atacante

ANALISIS Y VALORACION RIESGOS

Identificar vulnerabilidades Concepto claro por el personal Pensar en debilidades El conocimiento del negocio ayuda mucho

ANALISIS Y VALORACION RIESGOS

Documentar Anlisis de Riesgos Sobre el anlisis decidir: Transferir Eliminar Mitigar o reducir Asumir

GESTIN Y TRATAMIENTO RIESGOS

Ya conocemos los riesgos Sabemos cuales asumir, mitigar o transferir PLAN DE IMPLANTACIN DE CONTROLES

Aqu refrescar el anlisis de riesgos es adecuado

GESTIN Y TRATAMIENTO RIESGOS

Controles Tcnicos u Organizativos Preventivos o Correctivos Costes, calendario, disponibilidad, aplicabilidad, usuarios, sensibilizacin y formacin

GESTIN Y TRATAMIENTO RIESGOS

Documentar el Tratamiento de Riesgos PLAN recursos Periodificacin Objetivos

SEGUIMIENTO MONITORIZACIN Y REGISTRO

Revisin del SGSI Por la Direccin Auditoras internas Resumen de cambios y acciones correctoras

Auditora al menos anual

SEGUIMIENTO MONITORIZACIN Y REGISTRO

Acciones correctoras, preventivas y de mejora

Mejora continua

CONTINUIDAD DEL NEGOCIO

Aprender de la reaccin ante incidentes e interrupciones graves Planificar acciones que reduzcan impactos Parte clave de un SGSI

CONTINUIDAD DEL NEGOCIO

Debe ayudar a Mantener nivel servicio definido Perodo de recuperacin Recuperar situacin inicial Evitar interrupciones crticas

CONTINUIDAD DEL NEGOCIO

Gestionar continuidad del negocio Planificar y seguir PDCA Incluir en SGSI el plan de continuidad Pruebas y simulaciones Anlisis Riesgos procesos crticos Formacin necesaria

CONTINUIDAD DEL NEGOCIO

Se identifican procesos crticos Se identifican eventos que provocan interrupcin Se evalan los riesgos Se definen procesos manuales para contextos de cada Se determinan contratos a terceros Se difieren tareas

CONTINUIDAD DEL NEGOCIO

Fases del Plan de Continuidad Notificacin y deteccin Activacin sobre criterios definidos Recuperacin Restablecimiento

PROCESO DE CERTIFICACIN

No es obligatorio Aporta prestigio pblico Nos sometemos a control externo Mejora confianza de clientes y socios Ayuda a una adecuada implantacin Factor de diferenciacin

PROCESO DE CERTIFICACIN

En Espaa ENAC acredita Quienes deseen certificar deben someterse a ISO 27006 (ejem AENOR)

PROCESO DE CERTIFICACIN

Quin puede solicitar certificarse Cualquier organizacin que tenga: SGSI segn ISO 27001 Anlisis de riesgos Auditora Interna Revisin por la Direccin Evidencias del funcionamiento SGSI

PROCESO DE CERTIFICACIN

Auditora Fase 1 Revisin documentacin Polticas y Alcance SGSI Anlisis Riesgos Seleccin de Controles Declaracin Aplicabilidad

PROCESO DE CERTIFICACIN
Auditora Fase 2 No conformidades mayores Fase 1 Revisar pruebas y cumplimiento Comprobar LOPD Logs e incidencias Informe-> Certificacin 3 aos

CASOS PRCTICOS

Backup Online de ltima generacin Correo Seguro Corporativo

Elementos Backup Online

Sincronizacin y respaldo

Francia Internet

Cliente Profesional Espaa

Elementos Backup Online

Backup Online automtico o manual Ventana de tiempo definida Cifrado en origen Firma electrnica en origen Software instalable en el cliente Acceso va web segura a backup cifrado (S.O*) Contrato con proveedor Cumplimiento legal Servidores en paises europeos

Suerte. Espero que os toca coordinar o dirigir implantacin

Mi contacto [email protected]