4. Análisis de riesgos 1. Identificación de activos y el costo ante posibles pérdidas (C) Identificar amenazas 2. Determinar la probabilidad de pérdida (P) 3. Identificar posibles acciones (gasto) y sus implicaciones (G). Seleccionar acciones a implementar. ¿ G P C ?
5.
6. NTP - ISO/IEC 17799:2004 Se trata de un código de buenas prácticas para la Gestión de la Seguridad de la Información. Esta norma especifica los requisitos para establecer, implantar, documentar y evaluar un SGSI. Especifica los requisitos de los controles de seguridad de acuerdo con las necesidades de las organizaciones, independientemente de su tipo, tamaño o área de actividad .
7. NTP - ISO/IEC 17799:2004 2-ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD 3-CLASIFICACIÓN Y CONTROL DE ACTIVOS 1-POLÍTICA DE SEGURIDAD 4-SEGURIDAD EN EL PERSONAL 6-GESTIÓN DE COMUNICACIONES Y OPERACIONES 5-SEGURIDAD FÍSICA Y DEL ENTORNO 8-DESARROLLO Y MANTENIMIENTO DE SISTEMAS 7-CONTROL DE ACCESOS 9-GESTIÓN DE CONTINUIDAD DEL NEGOCIO 10-CUMPLIMIENTO
8. NTP - ISO/IEC 17799:2004 Control de accesos Clasificación y control de los activos Política de seguridad Organización de la Seguridad Seguridad del personal Seguridad física y medioambiental Gestión de comunicaciones y operaciones Desarrollo y mantenimiento Administración de la continuidad Cumplimiento Información Confidencialidad disponibilidad integridad
9. NTP - ISO/IEC 17799:2004 1. Política de seguridad 2. Organización de la Seguridad 3 . Clasificación y control de los activos 7. Control de accesos 4. Seguridad del personal 5. Seguridad física y del entorno 8. Desarrollo y mantenimiento de Sistemas 6. Gestión de comunicaciones y operaciones 9. Gestión de la continuidad del negocio 10. C umplimiento Organizacional Operacional
23. Algunos conceptos Propietario de la Información: Determina la clasificación de la información dentro de la organización. R esponsable de su seguridad cotidiana . Custodio de la información: Mantiene la información de manera que se conserve y proteja su confidencialidad, integridad y disponibilidad. Usuario: Utiliza la información en el cumplimiento de sus funciones.
24. Aspectos Organizativos Seg. Información La organización debe establecer una estructura que incluya funciones y responsabilidades para iniciar y controlar la implantación del SGSI.
25. Aspectos Organizativos Seg. Información Revisar y aprobar la política de seguridad de la información y de las responsabilidades principales. Supervisar y controlar los cambios significativos en la exposición de los activos de información a las amenazas principales. Comité de Seguridad Se encarga de asegurar una dirección clara y el apoyo visible de la gerencia a las iniciativas de seguridad. Promueve la seguridad en la organización por medio de un compromiso apropiado y de los recursos adecuados
26. Aspectos Organizativos Seg. Información Establecer las funciones y responsabilidades específicas de seguridad de la información en toda la organización Acordar métodos y procesos específicos para la seguridad de la información. Comité Interfuncional Se encarga de la implantación de los controles de seguridad de la información y está formado por los los representantes de las áreas más importantes de la organización.
27. Estructura de un SGSI Comité de Seguridad Comité Interfuncional Procedimientos Política Seguridad Estándares Directrices
28. Asignación de responsabilidades Es el responsable del desarrollo e implantación de la seguridad y para dar soporte a la identificación de las medidas de control. Oficial de Seguridad. Director de seguridad de la información Una práctica habitual consiste en designar un propietario de cada activo de información, que se convierte así en responsable de su seguridad cotidiana.
29.
30.
31.
32. Accesos de terceras partes El acceso de terceros a los dispositivos de tratamiento de información de la organización debe ser controlado . Realizar una evaluación del riesgo para determinar sus implicaciones sobre la seguridad y las medidas de control que se requieren: Suscribir un contrato donde se definen los compromisos para mantener la seguridad de información de la organización. Tomar las mismas medidas antes de contratar un outsourcing.
34. Clasificación y control de activos Responsabilidad sobre los Activos Clasificación de la información Inventario de activos Tratamiento de la información
35. Responsabilidad sobre los activos Se debería asignar un propietario y responsable a todos los activos de información importantes, con el objeto de mantener una protección adecuada, a través de un control apropiados. RRHH Ventas
36. Inventario de activos Actividad importante de la gestión de riesgos, que consiste en identificar sus activos y determinar su valor e importancia para satisfacer las necesidades de la organización. La protección de los activos debe ser proporcional al valor e importancia de los activos . Debería establecerse y mantenerse el inventario de los activos importantes asociados con cada sistema de información
37. Activos de un Sist. de información Activos de información archivos y bases de datos, documentación del sistema, manuales de los usuarios, material de formación, procedimientos operativos o de soporte, planes de continuidad, configuración del soporte de recuperación, información archivada. Activos de software Software de aplicación, software del sistema, herramientas y programas de desarrollo.
38. Activos de un Sist. de Información Activos físicos Equipo de procesamiento (procesadores, monitores, portátiles), equipo de comunicaciones (enrutadores, switchs), medios magnéticos (discos y cintas), otro equipo técnico (suministro de energía, unidades de aire acondicionado), muebles, etc. Servicios Servicios de procesamiento y comunicaciones, otros servicios (alumbrado, energía, aire acondicionado, etc.).
40. Clasificación y control de activos “ Cuanto mayor relevancia tenga un proceso para el negocio, mayor es la importancia crítica de los activos que hacen parte de éste y, como consecuencia, mayor será el riesgo a que está expuesta la organización en el caso de que ocurra un incidente de seguridad en dicho proceso”.
41. Clasificación de la información Ordenar la información de acuerdo a su valor e importancia para la organización. La información debería clasificarse para indicar la necesidad, prioridades y grado de protección, con el objeto de asegurar un nivel de protección adecuado. Esta clasificación debe ser documentada e informada a todo el personal de la organización, y deberá evaluarse y actualizarse periódicamente.
42. Clasificación de la información Para clasificar la información se debe considerar los criterios de disponibilidad, integridad y confidencialidad y su importancia para la organización. Crítica : La no-disponibilidad de esta información ocasiona un daño en los activos de la empresa. Confidencial : En poder de personas no autorizadas compromete los intereses de la empresa. Pública : Información de libre circulación.
43.
44.
45. Ideas finales La seguridad no es un producto, sino un proceso “ ...Si usted piensa que la tecnología puede resolver sus problemas de seguridad, entonces usted no entiende los problemas y no entiende de tecnología”. --- Bruce Schneier