SEGURIDAD: Norma ISO27001.
Mejores prácticas actuales en seguridad de la información. Políticas y tecnologías que controlan el acceso, evitan la pérdida de información o permiten la recuperación de la misma.
2. • Seguridad de la Información – ISO 27001
• Problemá=ca de Seguridad
• Riesgos en la información
• Qué es Seguridad de la Información
• Modelo ISO/IEC 27001
• Planes de Con=nuidad de Negocio (BCP)
• Preguntas
4. Acelerado desarrollo e implantación de
tecnologías, denominadas (TICs.)
Can=dades enormes de información
(Internet, LAN’s, WAN’s)
Escasa seguridad que hubo en los orígenes
del boom de Internet
Interconexión a todo nivel
(PDA, Laptops, netbook,
notebook, celulares, smartphones)
4
8. Riesgos globales
En su Informe sobre Seguridad y Amenazas en Internet,
Symantec señaló que el “phishing” es una amenaza no
solamente para consumidores, sino también para compañías
de E-commerce e instituciones financieras que operan a través
de Internet.
“Si los consumidores pierden su confianza en la seguridad
de las transacciones, los negocios y las organizaciones que
operan en Internet pueden sufrir serias pérdidas financieras”.
8
9. Noticias :
• El oscuro negocio de los virus (14.03.05)
• ¡Cuidado!, se ha colado un espía en su PC (03.03.05)
• ‘Phishing’, el arte de engañar incautos en la banca electrónica
(09.03.05)
• La banca española se une contra el timo en línea (17.02.05)
• Un fallo informático descubre los datos de 650.000 clientes de
Abbey Bank (10.11.04)
• ‘Phishing’: páginas web falsas para robar datos (27.09.04)
• La seguridad de las transacciones digitales requiere un pacto
entre técnicos y juristas (24.06.04)
• El 'phishing' afecta a millones de internautas y reduce su
confianza en la banca 'on line' (12.05.04)
• Un “hacker” quinceañero comete una gran estafa por Internet
(05.05.04)
9
15. Debemos controlar
Los riesgos de
información en
nuestras
organizaciones y
negocios
15
16. Ac=vos Físicos Ac=vos de información
Seguridad Física Sistema de Ges=ón de la
Seguridad de la Información
P
A H
V ENTRADA E
SALIDA E
PARTES INTERESADAS
PARTES INTERESADAS
PROCESO E
P
A H
V
ENTRADA A SALIDA A
PROCESO A
P
ENTRADA C
A H SALIDA D
ENTRADA D
V
PROCESO C PROCESO D
P SALIDA C P
A H A H
V V
ENTRADA B SALIDA B
PROCESO B
P
A H ENTRADA F SALIDA F
V
PROCESO F CLIENTE
CLIENTE
P EXTERNO
EXTERNO
A H
V RETROALIMENTACIÓN
16
20. Las Normas ISO son las mas
aceptadas a nivel mundial, y en
cues=ón de seguridad de la
información existen dos referentes:
GESTIÓN DE LA SEGURIDAD DE LA INFORMACION
ISO/IEC 27001
ISO/IEC 27002
20
21. Código de prác=ca 1993
Norma BS 7799 1995
BS 7799 parte 2 1998
Revisión partes 1 y 2 1999
ISO/IEC 17799 2000
BS 7799‐2:2002 2002
ISO/IEC 17799 ‐ ISO/IEC 27002 2005
ISO/IEC 27001 2005
Familia normas ISO/IEC 27000
21
24. Estructura de la norma
ISO 27001
0 Introducción.
1 Objeto.
2 Referencias norma=vas.
3 Términos y definiciones.
4 Sistema de ges=ón de la seguridad de la información.
5 Responsabilidad de la dirección.
6 Auditorías internas del SGSI.
7 Revisión del SGSI por la dirección.
8 Mejora del SGSI.
Anexos:
A. (Norma=vo) Obje=vos de control y controles.
B. Principios de la OCDE y de esta norma internacional.
C. Correspondencia entre ISO 9001, ISO 14001 e ISO 27001.
24
25. SEGURIDAD DE LA INFORMACIÓN: preservación de
la confidencialidad, integridad
y disponibilidad de la información.
(ISO 27001 numeral 3.13)
Confidencialidad
SGSI
Integridad Disponibilidad
25
26. propiedad que determina que la información no esté disponible
ni sea revelada a individuos, en=dades o procesos no
autorizados.
Confidencialidad
propiedad de salvaguardar la exac=tud y estado
completo de los ac=vos
Integridad
propiedad de que la información sea accesible y
Disponibilidad u=lizable por solicitud de una en=dad autorizada.
26
27. Ciclo de desarrollo, implementación
mantenimiento y mejora
Requisitos y expecta=vas de seguridad
P
Seguridad de la información ges=onada.
Establecer
el SGSI
Partes Interesadas
Partes Interesadas
,
A Mantener y
mejorar el H Implementar
y operar el
de la información.
SGSI SGSI
V Hacer
seguimiento y
Entrada revisar el SGSI Salida
Documentación
27
30. Planeación del SGSI
‐ Iden=ficar, analizar y evaluar los riesgos
‐ Iden=ficar y evaluar las opciones de tratamiento de riesgos
(mi=gar, eliminar, transferir, aceptar)
Partes Interesadas
‐ Seleccionar obje=vos de control y controles para el tratamiento del riesgo
(Mi=gar)
‐ En virtud del resultado del análisis de riesgos, considerando a
su vez los requisitos legales y regulatorios.
‐ A parMr de los 39 objeMvos de control y 133 controles
definidos por la ISO/IEC 27002
‐ Establecer enunciado de aplicabilidad
– Selección o no de cada uno de los controles y explicación.
30
32. Dominios de control
Estratégico Polí=ca de
seguridad
Tác=co
Opera=vo Organización de la
seguridad de la información
Ges=ón Control de
Cumplimiento
de ac=vos acceso
Seguridad de los Ges=ón de Seguridad
recursos humanos incidentes de Seguridad rsica y del entorno
Adquisición, desarrollo y Ges=ón de comunicaciones Ges=ón de la
mantenimiento de Sistemas y operaciones con=nuidad del negocio
Seguridad organizacional. Seguridad rsica.
Seguridad lógica. Seguridad legal.
32
40. Factores crí=cos de éxito
A Polí=cas, obje=vos y ac=vidades de seguridad de la información que reflejen los obje=vos del negocio;
B un enfoque y un marco de trabajo para implementar, mantener, monitorear y mejorar la seguridad,
que sean consistentes con la cultura de la organización;
C soporte y compromiso visibles en todos los niveles de la organización;
D una buena comprensión de los requisitos de la seguridad de la información, de la
evaluación de riesgos y de la ges=ón del riesgo;
E mercadeo eficaz de la seguridad de la información para todos
los directores, empleados y otras partes para lograr la concien=zación;;
F distribución de guías sobre la polí=ca y las normas de seguridad de la información a todos los empleados y contra=stas;
provisión de fondos para las ac=vidades de ges=ón de la seguridad de la información;
G
formación, educación y concien=zación adecuadas;
H
establecimiento de un proceso eficaz para la ges=ón de los incidentes de la seguridad de la información;
I
un sistema de medición completo y balanceado que se u=lice para evaluar el desempeño en la ges=ón de la seguridad de la
J información y retroalimentar sugerencias para la mejora.
40
42. Beneficios del SGSI
H Con=nuidad de las operaciones necesarias de negocio tras incidentes de gravedad
Conformidad con la legislación vigente sobre información personal , propiedad intelectual y otras
I
Imagen de empresa a nivel internacional y elemento
j diferenciador de la competencia
Confianza y reglas claras para las personas de la
k organización
Reducción de costos y mejora de los procesos y servicio
l
Aumento de la mo=vación y sa=sfacción del personal
m
Aumento de la seguridad en base a la ges=ón de procesos en vez de en la compra sistemá=ca de
n productos y tecnologías
42
47. Conclusiones:
• Los riesgos en la información cambian
constantemente y la manera como los
ges=onemos y controlemos, garan=zará su
protección y conservación adecuada.
• Es importarte definir controles de seguridad
con base en las amenazas su probabilidad de
ocurrencia e impacto