Presentación de Norma ISO 17799, seguridad informática, como parte entrenamiento personal informático y no informático del Ministerior del Interior del Perú. Presentación elaborada durante el periodo en que brindé mis servicios como Consultor para el MINITER.
2. Directiva Nº 001-95-IN-010800
Normas para el funcionamiento de los
sistemas de informática y
telecomunicaciones en el MININTER
•Objeto : Dictar normas y establecer
procedimientos para estandarizar el
funcionamiento de Sistemas de Informática y
Telecomunicaciones en todos los Órganos del
MININTER (SITEMI)
•Alcance : A todos los Órganos, Unidades y
Dependencias del MININTER
3. Objetivos del Comité
• Definir los estándares técnicos de
hardware, software y de
telecomunicaciones.
• Formular el requerimiento de
recursos para la detección de virus
informáticos.
• Establecer lineamientos de política
de capacitación informática.
• Emitir disposiciones al respecto.
4. Estructura del Comité
• Está presidido por el Director General
de OFITEL.
• Conformado por representantes de
las Oficinas/Direcciones Generales
de los Órganos No-Policiales del
MININTER.
• Quienes no cuenten con una unidad
orgánica especializada de
Informática designarán entre su
personal a un funcionario encargado
de mantener enlace con OFITEL
5. Tareas Inmediatas del Comité
• Implantación y empleo de la Norma
Técnica Peruana NTP-ISO/IEC
17799:2004 “Tecnología de la
Información. Código de Buenas
Prácticas para la Gestión de la
Seguridad de la Información”.
7. Indice
• ¿Que es ISO 17799?
• Reseña Historica
• ¿Quien puede usarla?
• Implementación
• Herramientas
8. ¿Que es ISO 17799?
.
• Una serie de controles basados en
las mejores practicas para la
seguridad de la información;
• Un estandard internacional que
cubre cada aspecto de la seguridad
de la información:
– Equipamiento;
– Políticas Administrativas
– Recursos Humanos;
– Aspectos Legales.
9. ¿De que consiste ISO 17799 ?
.•ISO 17799 (parte 1) es el Código de
Práctica, es una guia que da
recomendaciones sobre métodos para
desarrollar un sistema de gestíon de la
seguridad de la seguridad.
•ISO 17799 (parte 2) (BS 7799) esta parte
detalla los elementos que tienen que
implementarse para que una
organización este preparada para una
Auditoria previa a la certificación ISO.
10. Cualidades de ISO 17799
• Facil de entender
• No depende de la tecnología
• Buena practica
• No es solo tecnología de información
• Flexible, se adapta a todo contexto
• Es un estandard internacional
• Un nombre asociado con CALIDAD
11. Control
de
accesos
Clasificación
y control
de activos
Políticas de
seguridad
Seguridad
de la
organización
Seguridad
ligada al
personal
Seguridad
física y del
entornoGestión de
comunicaciones y
operaciones
Desarrollo
y mantenimiento
de sistemas
Gestión de
continuidad del
negocio
Cumplimiento
Información
Integridad Confidencialidad
Disponibilidad
Las 10 claves de ISO 17799
12. Organizacional
Operacional
1. Políticas de
seguridad
2. Seguridad de la
organización
3. Clasificación y
control de activos 7. Control de
accesos
4. Seguridad ligada al
personal
5. Seguridad física y
del entorno
8. Desarrollo y
mantenimiento de
sistemas
6. Gestión de comunicaciones
y operaciones
9. Gestión de
continuidad del
negocio
10. Cumplimiento
Las 10 claves de ISO 17799
13. History and Development of ISMS
1995
1998
BS 7799 Parte 1
BS 7799 Parte 2
2000 ISO/IEC 17799:2000
Agosto 2003
PCM elabora la NTP-IOS/IEC 17799:2003
tomando como referencia a la
norma internacional ISO/IEC 17799:2000
Julio 2004 Aprobación de Uso Obligatorio
de norma NTP-ISO/IEC 17799:2004
RM Nº 224-2004-PCM
Reseña Historica
14. ¿Quién puede usarla?
• ISO 17799 puede ser usada por cualquier
organización. Si la organización usa
sistemas computacionales internamente o
externamente, posee datos confidenciales,
depende de sistemas de información en el
contexto de sus actividades económicas o
gubernamentales, o simplemente necesita
adoptar un alto nivel de seguridad para
cumplir con sus funciones, entonces el
estandard, ISO 17799 es la solución.
15. ISO 17799 Auditoria y Certificación
• ISO 17799, por el momento no hay certificación
disponible.
• Una organización puede cumplir con ISO 17799 y
prepararse para una futura certificación.
• Los procesos de auditoria son documentados:
– Auditoria interna
– Auditoria Externa (carta de opinión)
– Registro ISO (certificación oficial)
16. Organizaciones internacionales que usan la norma
• Más de 80,000 organizaciones
alrededor del mundo usan la
norma ISO 17799:
• Fujitsu Limited;
• Marconi Secure Systems ;
• Samsung Electronics Co Ltd;
• Sony Bank inc. ;
• Symantec Security Services ;
• Toshiba IS Corporate
17. Ventajas
• Conformidad con las reglas del
gobierno para la gestión del riesgo;
• Una protección mejor de la
información confidencial de la
institución;
• Reduce los riesgos de los ataques
de hacker`s ;
• Una recuperación más rápida y
más fácil luego de un ataque.
18. Ventajas (cont.)
• Metodología estructurada de la
seguridad que ha ganado el
reconocimiento internacional;
• Confianza mutua creciente entre
las entidades del estado;
• Prácticas y conformidad mejoradas
de la privacidad y confidencialidad
de la información.
20. Metodología y Ciclo de Implementación
•Identifique y evalúe las amenazas y las vulnerabilidades;
•Calcule el valor de riesgos asociados;
•Diagnostique el nivel de la conformidad conISO 17799;
•Inventariar y evaluar los activos ha proteger.
Evaluación de Riesgos
Identificar el alcance y los límites del marco de la gestión de la
seguridad de la información, es crucial para el éxito del proyecto.
Definición de la SGSI
(Sistema de Gestión de la
Seguridad Informática)
•Asegurar el compromiso de la gerencia superior;
•Seleccionar y entrenar a miembros del equipo de proyecto inicial.
Inicio del proyecto
DescripciónPasos de la
metodología y ciclo
para implementar el
estandard
21. Metodología y Ciclo de Implementación (cont.)
Auditoría
Validar el marco de la gestión y qué debe ser hecho antes de que
se proceda con la Auditoría.
Preparación para la Audioría
El personal puede ser el eslabón más débil de la seguridad de la
información de su organización.
Entrenamiento y puesta en
conocimiento
Encontrar cómo seleccionar e implementar los controles a los
accesos que pueden permitir a una organización reducir el riesgo
a un nivel aceptable.
Tratamiento del Riesgo
DescripciónPasos de la metodología y
ciclo para implementar el
estandard
23. Obstaculos Potenciales Factores de éxito
• Personal y recursos
dedicados;
• Experiencia externa;
• La buena comprensión de la
gestión de riesgo funciona
(organizacional) y los
procesos (operaciones);
• Comunicación frecuente;
• Conocimiento del director y
del empleado;
• Compromiso de la dirección
superior.
• Miedo, resistencia al
cambio;
• Riesgo de continuismo;
• Incremento de costos;
• Insuficiente
conocimiento para
ejecutar la tarea;
• Tarea aparentemente
insuperable.
24. Referencias
• Administración del Riesgo IT - José Ponce, Ernst &
Young.
• Expectativas de la norma técnica peruana NTP-
ISO/IEC 17799:2004 EDI - José Parra, Oficina
Nacional de Gobierno Electrónico e Informática de
la Presidencia del Consejo de Ministros.
• Implantación de un Sistema de Gestión de
Seguridad de Información - Alberto Alexander,
CENTRUM Católica.
• Norma Técnica Peruana NTP-ISO/IEC 17799:2004
EDI. Tecnología de la Información. Código de
Buenas Prácticas para la Gestión de la Seguridad
de la Información. 1º Edición, PCM.
25. Conclusion
La seguridad se logra
implementando un conjunto
adecuado de controles basados
en metodologías o estándares de
seguridad
Notas del editor
La finalidad que se persigue con esta directiva es la de lograr el óptimo funcionamiento de los SITEMI y el periodo de vigencia es a partir de su aprobación y por tiempo indefinido.
La Resolución Ministerial Nº 1425-95-IN-010800000000 del 6 de Diciembre de 1995 aprovó la Directiva Nº 001-95-IN-0108000000 Normas para el Funcionamiento de los Sistemas de Informática y Telecomunicaciones en el Ministerio del Interior. Firma del entonces Ministro del Interior Gen. Div. EP. Juan Briones Davila.
La Resolución Ministerial Nº 1425-95-IN-010800000000 del 6 de Diciembre de 1995 aprobó la Directiva Nº 001-95-IN-0108000000 Normas para el Funcionamiento de los Sistemas de Informática y Telecomunicaciones en el Ministerio del Interior. Firma del entonces Ministro del Interior Gen Div. EP. Juan Briones Davila.
+ j
La Presidencia del Consejo de Ministros, PCM, aprobó el 23 de Julio de 2004 la resolución ministerial Nº 224-2004-PCM, en donde se aprobó el uso obligatorio de la norma en todas las entidades integrantes del Sistema Nacional de Informática, asimismo se dio un plazo de 18 meses para su implantación en las entidades antes mencionadas, indicando considerar las actividades necesarias para tal fin en el POI, Plan Operativo Informático respectivo.
La PCM es el ente rector del Sistema Nacional de Informática, dirige y supervisa la política nacional de informática y gobierno electrónico.
El trabajo original comenzó en el principio de los años 90.
1993, en esta fecha se publica el original de PD0005 Code of Practice, el predecesor de la parte 1 de la BS7799.
BS7799 “A Code of Practice for Information Security Management” fue desarrollado a instancias de la industria, los gobiernos y de las empresas comerciales Britanicas que demandaban por un estandard de trabajo aplicable a todas las empresas para desarrollar, implementar y mensurar una efectiva gestión de la seguridad de la información. BS7799 : 1999, Part 1 – revisión de recomendaciones
BS7799 : 1999, Part 2 – revisión de requerimientos para certificación
2000 - ISO/IEC 17799 - BS 7799 parte 1 es publicada como un ISO estandard.
Es todo un suceso
Facil de entender
No depende de la tecnología
Buena practica
No es solo tecnología de información
Septiembre 2002: El Estandard es republicado en armonia con ISO9000 e ISO 14000