Presentacion de la Conferencia Certificacion ISO 17799 - ISO 27001 . Realizada en el Securinf V3.0 - Dirigida por el Expositor y Experto en Seguridad de la Informacion a Organizacion Privadas y Publicas.
¿Como Me Certifico en Seguridad de la Informacion?
Securinf.com -
2. Objetivos
Implementación de medidas de seguridad de acuer
con los requerimientos de la Norma ISO 17799 / IS
27001:
Identificación de los requerimientos específicos de
norma en sus 11 dominios
dominios.
Comprender el proceso de adecuar la compañía pa
lograr la Certificación ISO 27001.
5. Algunos datos
INTERNET
Nadie logra controlar la epidemia: el
:22 | EL GUSANO “correo basura” invade las casillas de to
n nuevo virus se el mundo
sconde en tarjetas Apenas 150 “spammers” norteamericanos son los responsables
90 por ciento de los mensajes no deseados que atestan las
avideñas computadoras de todo el mundo. Todavía no hay leyes para lim
su impacto económico.
Un virus informático, que se esconde en
una tarjeta electrónica de felicitación,
omenzó a circular por la red, informó
anda Software. La compañía advirtió a los
suarios que extremen las medidas de
eguridad durante estas fiestas.
STAFAS EN INTERNET
“phishing” ya pesca en todo America
etectaron casos que afectaron a numerosas empresas y a los clientes de bancos
tadounidenses y del resto de America.
6. Algunos hechos
50 | A TRAVES DE MAIL
lizan las siglas del FBI para La pregunta secreta del
opagar un virus caso "Paris Hilton"
famosa policía federal ------------------------------
Hace apenas unos días saltó la noticia de que
adounidense advirtió sobre los contenidos del teléfono móvil de Paris
difusión de falsos correos Hilton habían sido publicados en Internet. En
un principio se barajó la posibilidad de que
ctrónicos que llevan su hubieran accedido a la tarjeta SIM, o de que se
mbre. tratara de una intrusión a los servidores
de T-Mobile aprovechando inyecciones SQL. Al
final parece ser que el método empleado fue
mucho más sencillo, bastaba con contestar a la
pregunta "¿cuál es el nombre de su mascota
favorita?".
7. Algunos hechos
Legales | Infracciones Graves
El delito informático
En forma amplia, es "toda acción reputada como delito para
cuya consumación se utilizan o afectan medios
informáticos". Vulneran tanto los equipos como los
programas, e incluyen virus, sustracción de información o
piratería. En un terreno más restringido, son sólo aquellas
acciones que vulneran los equipos fijos de computación.
Libertad, control y responsabilidad en Internet
se condena
Diario judicial.com publica hoy un polémico fallo por el que
los responsables de un sitio de internet por un
mensaje injurioso anónimo ingresado en un lib
de visitas, de libre acceso por los navegantes. La resolución preocupa a l
sitios web y puede sentar un duro precedente para aquellos que contengan foro
8. Algunos datos
a seguridad de redes, una prioridad para las
mpresas
Cisco publicó los resultados de un estudio de seguri
ealizado a directivos latinoamericanos de IT. De acue
on los resultados, el 79 % de los Directivos de IT
atinoamérica opina que la seguridad es un tema
xtrema prioridad".
10. Algunas premisas
No existe la “verdad absoluta” en Seguridad de
Información.
No es posible eliminar todos los riesgos.
La alta Gerencia está convencida que la Segurida
de la Información no hace al negocio de
compañía.
Cada vez los riesgos y el impacto en los negocio
son mayores.
11. n mi compañía ya tenemos seguridad porque ...
. implementamos un firewall
firewall.
. contratamos una persona para el área.
. en la última auditoría de sistemas no hiciero
observaciones importantes
importantes.
. ya escribí las políticas.
12. Algunos datos
n general todos coinciden en
en:
l 80% de los incidentes/fraudes/ataques so
fectuados por personal interno
uentes:
he Computer Security Institute
ooperative Association for Internet Data Analys
CAIDA)
ERT
ANS
13. Algunos datos
egún una encuesta del Departamento de Defensa d
SA:
obre aprox 9000 computadores atacados,
7,900 fueron dañados.
.
400 detectaron el ataque.
Sólo 19 informaron el ataque
ataque.
14. Qué Información proteger
en formato electrónico / magnético / óptico
en formato impreso
en el conocimiento de las personas
El capital más valioso en las organizaciones
16. Captura de PC desde el exterior
Mails “anónimos” con información crítica o con agresiones Robo de información
mming Violación de e
e-mails Destrucción de equipam
ación de contraseñas Intercepción y modificación de e
e-mails
Violación de la privacidad de los em
Virus Incumplimiento de leyes y regulaciones
Ingenierí social
ía
empleados deshones
Fraudes informáticos Programas “bomba”
Propiedad de la Informa
rrupción de los servicios Destrucción de soportes documenta
Acceso clandestino a redes Robo o extravío de notebo
so indebido a documentos impresos
onibilidad de información clave
Software ilega
Intercepción de comunicaciones
sificación de información
17. Instalaciones default Escalamiento de privile
Password cracking
Puertos vulnerables abiertos
Man in the middle Exploits
Servicios de log inexistentes o que no son chequeados
Denegación de servicio
mos parches no instalados Backups inexistent
Port scanning
Desactualización
Keylogging
18. Principales riesgos y el impacto en los negocios
e puede estar preparado para que ocurran lo menos
osible:
sin grandes inversiones en software
sin mucha estructura de personal
an solo:
Ordenando la Gestión de Seguridad
20. Si igual voy a hacer algo, porque no
lo hago teniendo en cuenta las
Normas Internacionales aplicables
21. Normas y Metodologías aplicables
Information Systems and Audit Control Association - ISACA: COBIT
British Standards Institute: BS
International Standards Organization: Normas ISO
Departamento de Defensa de USA: Orange Book / Common Criteria
ITSEC – Information Technology Security Evaluation Criteria: White B
Sans Institute, Security Focus, etc
Sarbanes Oxley Act, Basilea II, HIPAA Act,
Leyes NACIONALES
OSSTMM, ISM3, ISO17799:2005, ISO27001
BS 25999
DRII
23. Normas de Gestión ISO
ISO9001 – Calidad
ISO14001 – Ambiental
ISO17799-1 – Seguridad de la Información - 1 .
NORMALIZACION (Mejores Prácticas)
ISO 27001 – CERTIFICACION de Seguridad de la Información
24. Norma ISO 17799 / 27001 Seguridad de l
Información
stá organizada en capítulos (dominios) en los que se trata
s distintos criterios a ser tenidos en cuenta en cada tem
ara llevar adelante una correcta
correcta:
GESTION DE SEGURIDAD DE LA INFORMACION
(SGSI – ISMS)
lcance
Recomendaciones para la gestión de la seguridad de
información
Base común para el desarrollo de estándares de segurida
25. Qué cambió de la versión anterior
Norma ISO 17799: 2005 –
ISO 27001
27. Alcance 1. Alcance
Términos y definiciones 2. Términos y definiciones
3. Estructura del Estándar
4. Evaluación y Manejo de los Riesgos
Política de Seguridad 5. Política de Seguridad
Organización de la Seguridad Organización de la Seguridad de la
6.
de la Información Información
Clasificación y Control de
7. Administración de Activos
Activos
Seguridad del Personal 8. Seguridad de los Recursos Humanos
Seguridad Física y Ambiental 9. Physical & Environmental Security
Administración de las
Administración de las Comunicacione
Comunicaciones y 10.
Operaciones
Operaciones
Administración de Accesos 11. Administración de Accesos
Desarrollo y Mantenimiento Adquisición , Desarrollo y Mantenimie
12.
de Sistemas Sistemas de Información
Administración de Incidentes de Segu
13.
la Información
28. ay dos SECCIONES GENERALES nuevas
: Estructura del Estandar
Detalle para asistir al uso y aplicación más ameno y fácil del
estándar.
: Risk Assessment & Treatment
Highlights sobre la importancia de efectuar un risk assessme
para definir los CONTROLES APLICABLES.
La necesidad de una continua evaluación y administración d
los RIESGOS
Highlights sobre la importancia de la participación de la
GERENCIA en el análisis de RIESGOS
29. BS7799-2
BS7799
Fue revisado y se ha convertido en la nuev
ISO 27001
Octubre 15, 2005
De la misma forma se espera que
la ISO 17799 se convierta en ISO 27002
30. NACE LA FAMILIA DE LAS NORMAS ISO 270
O/IEC 27000 – Fundamentos y 2008/2009
bulario
O/IEC 27001 – Sistema de Gestión Publicado en Octubre 2005
guridad de la Información – Requisitos
O/IEC 27002 – Código de práctica Anteriormente ISO/IEC 17799:2005
a Gestión de la Seguridad de la Cambio a 27002 en el 2007 (solo s
mación cambio de número)
O/IEC 27003 – Guía de 2008/2009
ementación
O/IEC 27004 – Métricas y Medidas 2007/2008
O/IEC 27005 – Gestión de Riesgos 2008/2009. Actualmente BS 7799-3
guridad de la Información Publicada Marzo 2006
O/IEC 27006 – Versión Internacional Se decidirá durante 2Q06 si este se
7/03 número
7…...27011 Reservados para futuros desarro
(productos manejados por BSI y
31. NACE LA FAMILIA DE LAS NORMAS ISO 27000
unio de este año salio la ISO27005 que es la versión ACTUALIZA
PLIADA de la ISO13335 (gestión de riesgos en TI), que se basaba
799-3. Con esta versión se puede cubrir el requerimiento de la I
3.
01 de tener una metodología de riesgo simple, es bien practica y
idad, técnicamente es igual a como se clasificaba y administraba
go anteriormente (impacto, probabilidad de ocurrencia, etc), y y
aba en las metodologías como CRAMM, COBRA, MAGERIT, BS7799
32. Norma ISO 17799 Seguridad de la Informaci
Preservar la:
confidencialidad:
accesible sólo a aquellas personas autorizadas a
acceso.
integridad:
exactitud y totalidad de la información y los método
procesamiento.
disponibilidad:
acceso a la información y a los recursos relacionados
ella toda vez que se requiera
requiera.
33. Cómo es un Proceso de
Certificación ISO 27001 de una
Organización?
34. UÉ ES CERTIFICAR?
proceso de Certificación es la Generación de u
NFORME Firmado por parte de un TERCERO (ajeno
organización) que define que, de acuerdo con s
RITERIO PROFESIONAL, dicha Organizació
UMPLE o NO CUMPLE con los Requerimiento
tablecidos en la Normativa
Normativa.
35. ORQUE CERTIFICAR?
ra poder Mostrar al Mercado que la Organización tie
adecuado SISTEMA DE GESTION DE L
GURIDAD DE LA INFORMACIÓN
INFORMACIÓN.
a empresa CERTIFICADA no implica que NO TIEN
AS RIESGOS DE SEGURIDAD DE LA INFORMACIO
o que tienen un adecuado Sistema de Gestión de dich
esgos y Proceso de MEJORA CONTINUA.
37. UE ORGANIZACIONES PUEDEN CERTIFICAR?
ualquier Organización, grande o pequeña, públic
rivada, de Gobierno o sin fines de lucro, etc, está
ondiciones y habilitada para CERTIFICARSE.
38. UIENES ESTAN AUTORIZADOS A EFECTUAR L
RTIFICACION?
alquier Agente ajeno a la Organización (Profesional Independie
ompañía) puede Firmar el Informe antes mencionado.
o dado que la Certificación además de un valor Interno
gurarse de Cumplir con la Normativa, tiene un fin principal
er Mostrar dicha Certificación al Mercado Externo, generalme
recurre a Organizaciones que estén Técnicamente Aceptadas
más reconocidas INTERNACIONALMENTE para efectuar dic
bajo. Por ello se recurre a Organizaciones que es
REDITADAS (este es el término técnico utilizado) en el Organis
rnacional de Acreditación. Ejemplo de este tipo de Organizacio
el Bureau Veritas BVQI, Det Norske Veritas DNV, TÜV, etc.
39. OMO ES EL PROCESO DE CERTIFICACION?
l requerimiento previo es que la Organización cum
on la Implementación del SGSI definido en la Secc
nterior.
uego se convoca al Tercero para efectuar
ERTIFICACION.
40. s principales PASOS son:
reparar la Documentación Soporte a Presentar
fectuar la PREAUDITORIA para conocer el G
alysis respecto al Estándar
dentificar conjuntamente:
•las NO CONFORMIDADES (incumplimientos
acuerdo al Estándar)
•las NO CONFORMIDADES que son ACEPTA
(sólo se documentan los argumentos de justificación
•las NO CONFORMIDADES que NO
ACEPTADAS (se definen las MEJORAS a implemen
41. mplementar las MEJORAS y Generar los Sopo
ocumentales correspondientes
fectuar la AUDITORIA DE CERTIFICACION
eneración del Informe Final de Certificación incluye
NO CONFORMIDADES (aceptadas o NO y sus Rie
siduales aceptados por la Dirección de la Organizació
42. UEDE UNA ORGANIZACION PERDER
ERTIFICACION?
una Organización no cumple con los requerimie
uede ocurrir que en la Auditoría Periódica la Emp
ertificadora solicite que se saque la Certificación Obte
icialmente.
43. Cómo se implementa un
Programa de Gestión de
Seguridad de la Información
(SGSI - ISMS)?
44. SGSI SISTEMA DE GESTION DE SEGURIDAD
DE LA INFORMACION
Está basado en el Modelo utilizado por las NORMAS
ISO en general:
Actuar Planificar
Verificar Hacer
45. incipales PASOS a seguir en la IMPLEMENTACION de
GSI
mplementación del SGSI en 12 PASOS:
Definir el alcance del SGSI desde el punto de vista de la
racterísticas de la actividad, la organización, su ubicación
s activos y su tecnología
Definir una Política GENERAL del SGSI
46. ué es una Política?
Son instrucciones gerenciales que trazan una dirección y describen la manera
de administrar o dar solución a un problema o situación.
Son planteamientos de alto nivel que transmiten a los trabajadores la
orientación que necesitan para tomar decisiones presentes y futuras.
Son requisitos generalizados que deben ser documentados y
comunicados dentro, y en algunos casos fuera, de la organización.
Son reglas de negocio de obligatorio cumplimiento debido a que son e
equivalente de una ley propia de la organización lo cual garantiza
que los controles serán aplicados de manera consistente.
Son diferentes a los controles.
No SON LAS REGLAS DE CONFIGURACION DEL FIREWALL
47. Definir una METODOLOGIA para la CLASIFICACION d
s RIESGOS
Identificar y Valorar los riesgos
Identificar y definir ALTERNATIVAS para el tratamient
riesgos:
• Aplicar controles
• Aceptar los riesgos
• Evitar riesgos
• Transferir los riesgos.
50. Preparar una DDA Declaración de Aplicabilidad (qu
ONTROLES se van a IMPLEMENTAR)
Obtener la aprobación de la Dirección de:
• DDA Declaración de Aplicabilidad
• Riesgos Residuales no cubiertos
Formular un plan CONCRETO y DETALLADO para:
• Tratamiento de los riesgos
• Controles a Implementar
• Programas de entrenamiento y concientización.
• Gestionar el SGSI
• Procesos de detección y respuesta a los incidentes d
seguridad
51. ) Implementar los CONTROLES
• En los Procesos
)Realizar Revisiones Periódicas
)Implementar las mejoras identificadas en el SGSI
52. equisitos FUNDAMENTALES de la Documentació
OPORTE en un SGSI
ANTENIMIENTO ACTUALIZADO Y PROTEGID
e la Documentación
53. Cómo establecer los requerimientos de Seguridad
Evaluar los riesgos:
• se identifican las amenazas a los activos,
• se evalúan vulnerabilidades y probabilidades de ocurrencia, y
• se estima el impacto potencial.
Requisitos legales, normativos, reglamentarios y contractual
que deben cumplir:
• la organización,
• sus socios comerciales,
• los contratistas y los prestadores de servicios.
Conjunto específico de principios, objetivos y requisitos para
procesamiento de la información, que ha desarrollado
organización para respaldar sus operaciones.
54. Contexto Legal
Código Civil de 1887
Código de Comercio de 1971
Ley 23 de 1982
Articulo 15, 20 y 333 de la Constitución Política
Decisión 351 de 1993
Decreto 1900 de 1990
Ley 527 de 1999
55. Áreas de Contingencias Jurídica
• Protección de Datos Personales
• Contratación Informática
• Propiedad Intelectual
• Servicios de Comercio Electrónico
• Aspectos Laborales en entornos Informáticos
• Incidentes Informáticos
• Telecomunicaciones
56. Factores críticos del éxito
política de seguridad, objetivos y actividades qu
reflejen los objetivos de la empresa;
una estrategia de implementación de seguridad qu
sea consecuente con la cultura organizacional;
apoyo y compromiso manifiestos por parte de
gerencia;
un claro entendimiento de los requerimientos d
seguridad, la evaluación de riesgos y
administración de los mismos
mismos;
comunicación eficaz a todos los gerentes
empleados;
57. Factores críticos del éxito
distribución de guías sobre políticas y estándares d
seguridad de la información a todos los empleados
contratistas;
instrucción y entrenamiento adecuados;
un sistema integral y equilibrado de medición que s
utilice para evaluar el desempeño de la gestión de
seguridad de la información y para brinda
sugerencias tendientes a mejorarlo.