Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras mejores prácticas.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras mejores prácticas
1. Seguridad de Redes e Internet
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Sesión 06
Dominios de la ISO/IEC 27002 y otras mejores
prácticas en la seguridad informática
3. 3
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Atención
Medidas de seguridad (persona, proceso, tecnología)
Defensa en profundidad
Línea de defensa
Riesgos
Equidad
Balance
4. 4
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Patrón de nivel de riesgo adecuado
Básico
No existen datos confidenciales: información pública o no privada
Todos los niveles de arquitectura se pueden implementar en un servidor
Ejemplo de situación:
Una organización financiera que administra información administrativa
rutinaria (no privada) determina que el impacto potencial de una pérdida
de confidencialidad es bajo, el impacto potencial de una pérdida de
integridad de los datos es bajo y el impacto potencial de una pérdida de
disponibilidad es bajo.
5. 5
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Patrón de nivel de riesgo adecuado
Estándar
Consecuencias moderadas de una pérdida de datos o de integridad
Los niveles de arquitectura se implementan en sistemas independientes
Necesidad potencial de servicios federados
Ejemplo de situación:
Una organización que administra información pública en su servidor Web
determina que no existe un impacto potencial de una pérdida de
confidencialidad (p. ej., no se aplican requisitos de confidencialidad), un
impacto moderado de una pérdida de integridad de los datos y un
impacto potencial moderado de una pérdida de disponibilidad.
6. 6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Patrón de nivel de riesgo adecuado
Avanzada
Datos confidenciales
Todos los componentes redundantes para una alta disponibilidad
Se utilizan componentes de seguridad empresarial de terceros
Ejemplo de situación:
Una organización de fuerzas del orden público que administra
información de investigaciones de un alto nivel de confidencialidad
determina que el impacto potencial de una pérdida de confidencialidad
es alto, el impacto potencial de una pérdida de integridad es moderado y
el impacto potencial de una pérdida de disponibilidad es moderado.
7. 7
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Adquisición, desarrollo
y mantenimiento de
sistemas de
información
Gestión de
comunicaciones y
operaciones
Gestión de la
continuidad del
negocio
Seguridad
lógica
Seguridad
organizativa
Seguridad ligada a
los recursos
humanos
Gestión de incidentes
en la seguridad de la
información
Gestión de
activos
Aspectos
organizativos dela
seguridad de la
información
Política de seguridad
Seguridad física
Seguridad física y del
entorno
Control de
acceso
Cumplimiento
Seguridad legal
11 dominios
39 objetivos de control
133 controles
Controles
ISO27002:2005
8. 8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Línea base sobre la
que empezaremos las
auditorías internas y
externas
Mejora evidente
resultante de
sincerar el trabajo
necesario para
acortar la brecha
(GAP análisis)
inicial
Primer nivel
de madurez
alcanzado
Ámbito de la mejora
continua (madurar
cada vez más)
9. 9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gap análisis
Es un análisis que mide cómo una
organización está llevando a cabo su
desempeño con respecto a una serie de
criterios establecidos en base a normas o
procedimientos internos, controles
seleccionados, las mejores prácticas de
competencia –industria, etc.
El resultado de este análisis establece la
diferencia entre el desempeño actual y el
esperado, con un informe presentado con
indicaciones sobre dónde están las
deficiencias y “qué” falta para cumplir con
cada requisito de la norma.
El Gap Analysis se lleva a cabo a través de
una auditoría –constructiva- in situ.
http://www.bsigroup.es/certificacion-y-auditoria/Sistemas-de-gestion/Nuestros-servicios/Gap-Analysis/
http://www.lrqa.es/certificacion-formacion/gap-analisis/index.aspx
Beneficios del Gap análisis
• Identificación de riesgos en sus
procesos
• Descubrir las necesidades de su
organización para alcanzar la
certificación –espacio para
mejorar
• Establecer calendario –de
implementación- y costo –para
cerrar la brecha
10. 10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
http://arcanus-group.com/index.php/component/content/article/11-contenidos/19-servicio-gap-norma-iso-27000
http://www.bogota.unal.edu.co/objects/docs/Direccion/planeacion/Guia_Analisis_Brechas.pdf
http://sergio.molanphy.net/category/gap_analysis/
Gap análisis
Permite a la organización comparar sus procesos actuales contra
procesos del mercado o estándares de la industria relacionados con
Seguridad Informática.
Necesario para llevar a cabo la implantación de un SGSI (NTP ISO/IEC
27001:2008).
El proceso incluye la determinación, documentación y aprobación de
variaciones entre los requisitos del negocio y las capacidades actuales.
11. 11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Gap análisis
Pasos para llevar a cabo el análisis de brecha:
1. Decidir cuál es la situación actual que se desea analizar ("lo que es") y se
quiere resolver. En este paso se responde a la pregunta: ¿Dónde estamos?
2. Delinear el objetivo o estado futuro deseado ("lo que debería ser").
Respondería la pregunta ¿En el año 2015 a dónde deberíamos llegar?
3. Identificar la brecha entre el estado actual y el objetivo. Responde a la
pregunta ¿Cuán lejos estamos de donde queremos estar?
4. Determinar los planes y las acciones requeridas para alcanzar el estado
deseado Responde a la pregunta de ¿Cómo llegamos al 2015 planteado?
http://www.bogota.unal.edu.co/objects/docs/Direccion/planeacion/Guia_Analisis_Brechas.pdf
http://sergio.molanphy.net/category/gap_analysis/
12. 12
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Escala de valoración del nivel de madurez
CobIT (Control Objectives for Information and related Technology)
Escala % Descripción
No Aplica N/A No aplica.
Inexistente 0
Falta de un proceso reconocible. La Organización no ha reconocido que hay un
problema a tratar. No se aplican controles.
Inicial 20
Se evidencia de que la Organización ha reconocido que existe un problema y que
hay que tratarlo. Sin embargo, no hay procesos estandarizados. La
implementación de un control depende de cada individuo y es muchas veces es
reactiva.
Repetible 40
Los procesos y los controles siguen un patrón regular. Los procesos se han
desarrollado hasta el punto en que diferentes procedimientos son seguidos por
diferentes personas. Pero no están formalizados, ni hay comunicación formal
sobre los procedimientos desarrollados. Hay un alto grado de confianza en los
conocimientos de cada persona.
Definido 60
Los procesos y los controles se documentan y se comunican. No se han
establecido mecanismos de monitoreo, para una detección de desviaciones
efectiva.
Gestionado 80
Los controles se monitorean y se miden. Es posible monitorear y medir el
cumplimiento de los procedimientos y tomar medidas de acción donde los
procesos no estén funcionando eficientemente.
Optimizado 100
Las buenas prácticas se siguen y automatizan. Los procesos han sido redefinidos
hasta el nivel de mejores prácticas, basándose en los resultados de una mejora
continua.
13. 13
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Trabajo práctico
Una software factory local contrata su empresa de seguridad para que
analice y evalúe el nivel de seguridad de la información que ha logrado
implementar para sus entregables (Dominio: Adquisición, desarrollo y
mantenimiento de sistemas de información)
¿Cómo plantearía realizar esta consultoría?
¿Qué nivel de madurez ha alcanzado?
Grupos de tres
45 minutos para desarrollo
15 minutos para exposición
14. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com