6. Seguridad de la Información
• Las personas son el eslabón más débil y mayoritario
en la cadena de la seguridad
7. Seguridad de la Información
• No se refiere sólo a Disponibilidad...
8. Seguridad de la Información
• No hay que reinventar la rueda …
– … ya existen
• Mejores prácticas
• Modelos de Gestión
• ISO y su homologación Chilena NCh ISO
10. Activos de Información
• Tres niveles básicos de Activos de Información
– La Información propiamente tal, en sus múltiples formatos
(papel, digital, texto, imagen, audio, video, etc.)
– Los Equipos/Sistemas/infraestructura
que soportan esta información
– Las Personas que utilizan la información
y que tienen el conocimiento de los
procesos institucionales
11. ¿Qué proteger?
ACTIVO DE
INFORMACIÓN
Basado en estándar internacional ISO/IEC 27002:2005
12. Toda institución requiere hacer
Gestión de cómo proteger
eficaz y eficientemente la
información.
Principio de la Gestión de la Seguridad
13. Objetivo de esta sección
• Homogenizar conceptos y metodologías por
medio de la cual se realiza la definición,
implantación, medición de efectividad y
mejora de la Seguridad de la Información
al interior de las Instituciones.
• Establecer una base y estructura
común para la definición de un
Marco Normativo de Seguridad
de la Información
14. Temario
• Marcos de Referencia
– Nch ISO 27002
• Sistema de Gestión de Seguridad (ISMS)
– Marco Normativo
• Estructura y composición
– Indicadores y Medición de la efectividad
del ISMS
– Administración y revisión.
• RoadMap:
– Evaluación, Implementación y Certificación
17. Marcos de Referencia
• Norma Chilena Oficial NCH-ISO 27002.Of2009:
– Listado de Mejores Prácticas
– Internacionalmente homologada de ISO/IEC 27002:2005
– Antes Norma Chilena Oficial NCh 2777.Of.2003
• Norma Chilena Oficial NCH-ISO 27001.Of2009:
– Sistemas de gestión de la seguridad
de la información / SGSI
– ISMS
– Internacionalmente homologada
de ISO/IEC 27001:2005
18. Áreas de Control (Nch ISO 27002)
5 Políticas de Seguridad
6 Organización para la Seguridad de la Información
7 Gestión de activos
8 Seguridad del Recurso Humano
9 Seguridad Física y Ambiental
10 Administración de comunicaciones y operaciones
11 Control de Acceso
12 Adquisición, desarrollo y mantención de sistemas de información
13 Gestión de Incidentes de Seguridad de la información
14 Administración de la Continuidad del Negocio
15 Cumplimiento
21. Estructura Organizacional
• Nivel Estratégico
– Comité de Seguridad / Comité de Gerentes
– Gerencia de Riesgo
– CISO / CSO
• Nivel Táctico
– Oficial de Seguridad
– Auditoría Interna
• Nivel Operacional
– Administradores de Seguridad
– Monitores/Líderes de Seguridad
de la Información
– Usuarios Finales
22. Cuerpo Normativo
• Nivel Estratégico
– Política General de Seguridad de la Información
• Nivel Táctico
– Políticas de Seguridad de Temas Específicos
• Uso de recursos tecnológicos
• Control de Acceso
• Escritorios limpios
• …
• Nivel Operacional
– Procedimientos
– Estándares internos
– Instructivos
– Guías prácticas de seguridad
– Tips de seguridad
23. Base Normativa en Seguridad de la
Información
Política General
de Seguridad de
la Información
24. ISMS / SGSI
Sistemas de Gestión de
Seguridad de la Información
25. ISMS
• Parte de los sistemas de gestión, que basado en los
procesos de la institución y en un enfoque de riesgo
de seguridad, permite establecer, implementar,
operar, monitorear y revisar, así como mantener y
mejorar la Seguridad de la Información
26. ISMS SGSI
Information Sistemas de
Security Gestión de
Management Seguridad de la
Systems Información
PMG-SSI
28. Metodología Pdca
• PLAN
– Definición de un ISMS
– Se identifica las necesidades, recursos, estructura y
responsabilidades
– En esta etapa se define las políticas de seguridad, los
procesos y procedimientos relevantes
para la administración del riesgo y
mejoras para la seguridad de la
información, de acuerdo a las políticas
y objetivos de toda la organización
29. 2
Requisitos ISO 27001:2005 9
Mandatorio:
4 Sistema de Gestión de Seguridad de la Información
-4.1 – Requisitos Generales
-4.2 – Establecer y Administrar el SGSI
-- 4.2.1 Creación del SGSI
-- 4.2.2 Implementación y operación del SGSI
-- 4.2.3 Supervisión y revisión del SGSI
-- 4.2.4 Mantenimiento y mejora del SGSI
-4.3 – Documentación y Registros
5 Responsabilidad de la Dirección Sentencia de Aplicabilidad
-5.1 – Compromiso de la Gerencia (SoA) 4.2.1.j
-5.2 – Gestión de los Recursos
6 – Auditorias Internas del SGSI
7 – Revisión por la Gerencia
8 – Mejora del SGSI
-8.1 – Mejora Continua
-8.2 – Acción Correctiva
-8.3 – Acción Preventiva
Selección como resultado de la Evaluación de Riesgo:
Anexo A – Controles
30. Metodología pDca
• DO
– Implementación y Operación de un ISMS
– Se refiere a la etapa de puesta en marcha del sistema de
gestión, donde se implanta y habilitan las condiciones
tecnológicas y organizacionales para operar un ISMS
– Considera, entre otros, la implantación
de políticas de seguridad, controles,
procesos y procedimientos
31. Metodología pdCa
• CHECK
– Monitoreo y revisión de un ISMS
– Donde se realiza la medición y análisis de la efectividad de
los controles implantados, de acuerdo a revisiones de
gerencia y auditoría
– Considera los procesos ejecutados con
relación a la política del ISMS, evaluar
objetivos, experiencias e informar los
resultados a la administración para su
revisión
32. Metodología pdcA
• ACT
– Mantención y mejora de un ISMS.
– Referido específicamente al tratamiento de acciones
correctivas y preventivas, basados en las auditorías
internas y revisiones del ISMS o
cualquier otra información relevante,
para permitir la mejora continua
del ISMS
34. RoadMap: Paso 1 - Evaluación GAP
• El principal objetivo de la consultoría que permita
medir el estado actual de implementación de
controles de Seguridad de la Información,
existentes , respecto de la definición de controles
que posee la norma internacional ISO/IEC
27002:2005, identificando las principales
fortalezas y debilidades respecto de los controles
definidos en dicha norma.
• Identificar la brecha existente
entre el modelo de referencia
y la situación actual.
• Genera Plan de Mitigación o
Plan de Seguridad
35. RoadMap: Paso 2 - Implementación
• Habilitación de un ISMS, implementando un Plan de
Seguridad acordado
• Definición y descripción de los ámbitos de cobertura
y alcance del proyecto y del ISMS.
• Definir un comité estratégico y equipos de trabajo,
roles y responsabilidades
• Formalización de las actividades así como los
mecanismos para la presentación de avances y
control de cambios.
• Habilitación de la infraestructura de soporte al
proyecto y gestión documental.
• Generación de estructuras
organizacionales y cuerpo normativo
de seguridad
• Habilitación de las plataformas
tecnológicas necesarias.
• Generación de los registros necesarios
para las revisiones de cumplimiento.
36. RoadMap: Paso 3 - Certificación
Cuestionario de Pre-Aplicación
Alcanzar la Evaluación/verificación/propuesta
certificación ISO
27001 otorgada por Aplicación
algún organismo Pre-auditoria opcional
acreditado.
Auditoria Etapa 1
Evaluación/ Tratamiento del Riesgo
Declaración de Aplicabilidad
Auditoria Etapa 2
Revisión detallada de la
implantación y eficacia
Certificación
Evaluación Continua
Ciclo de 3 años
Normalmente 2 visitas por año
Revisión estratégica / Re-certificación
37. ETAPAS DE UN PROYECTO ROADMAP
Etapa 1: Evaluación GAP ISO 27002: permite identificar
brecha respecto a un marco de referencia
Etapa 2: Considera el Establecimiento del ISMS, asociado a
la Fase Plan del PDCA.
Etapa 3: Considera la implementación de la estructura
organizacional y la definición de los procedimientos
necesarios para la gestión ISMS, así como la implementación
de controles esenciales ISO 27002.
Etapa 4: Entrega seguimiento a la implementación de los
restantes controles de mitigación según la evaluación de
riesgos realizada en Etapa 1 y plasmada en un Plan de
Seguridad.
Etapa 5: Considera la etapa de supervisión y soporte para el
proceso de postulación y supervisión para alcanzar la
certificación ISMS por una entidad certificadora.