El documento describe un modelo de seguridad informática basado en la norma ISO 17799. Explica que la seguridad de la información es fundamental para las organizaciones y que se debe implementar un modelo con políticas sólidas, equipo capacitado, herramientas de protección actualizadas y un plan de concientización. El modelo involucra determinar riesgos, establecer controles, construir lineamientos, aplicar políticas y realizar mantenimiento y mejora continua.

1. MODELO DE SEGURIDAD INFORMATICA BASADO EN LA NORMA ISO 17799 Facilitadores: Jenny Cartas José Carrero

2. ¿Sabía usted que el 94% de las empresas que pierden sus datos desaparecen? Desastres naturales Un estudio revela que casi el 95% del correo electrónico es “Spam” TITULARES DE MUNDO EN LINEA Por una mala administración de la información Errores humanos Virus, hackers entre otros Chile ocupa el cuarto lugar en delitos en la Web en América Latina

3. PORQUE ES NECESARIA LA GESTIÓN DE LA SEGURIDAD Frente a la importancia creciente de la información. Frente a la multitud de amenazas posibles. Frente a la necesidad de los cambios Tecnológicos. Frente a la complejidad y diversidad de las dependencias. Frente a los limites para actuar (Asig. Roles). Frente a la necesidad de garantía (DCI) Mejor Seguridad Más Seguridad

4. Correos basura y Acceso a Internet La Solución de Antivirus Instalada no es suficiente. La labor de la Ingeniería Social Efecto: No Existen Políticas de Seguridad basadas en estándares internacionalmente reconocidos. CAUSAS MAS COMUNES (Vulnerabilidad)

5. ESTANDAR ISO Que es ISO? ( International Organization for Standardization) Orientada a la creación de Normas dirigidas hacia las áreas de Productos, servicios, procesos, materiales y sistemas. Aporta una adecuada evaluación gerencial y practica organizacional Los estándares ISO son diseñados para ser implementados en todo el mundo

6. ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. ISO 17799 define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio , minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio. ESTANDAR ISO 17799

7. Un “Modelo de Seguridad de la Información” es un diseño formal que promueve consistentes y efectivos mecanismos para la definición e implementación de controles a través de políticas.. Debe estar dirigido a identificar los niveles de riesgo presentes y las acciones que se deben implementar para reducirlos. MODELO DE SEGURIDAD DE LA INFORMACIÓN

8. Que son las Políticas de Seguridad de la Información: Pueden considerarse como reglas de negocio que son el equivalente de una ley propia de la organización. Es la fuente de instrucciones para proteger tanto la información como los sistemas que la contienen. Deben estar adecuadas a los requerimientos particulares de la organización y en sintonía con la legislación vigente. Es necesario conocer muy bien los factores de riesgo, mediante un “ Análisis de Riesgos” . POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

9. UN ADECUADO MODELO DE “ SEGURIDAD INFORMÁTICA” Políticas Sólidas de Seguridad de la Información: Mejores prácticas internacionales ( BS ISO/ IEC 17799:2005 - BS 7799-1:2005) Soporte Gerencial Divulgación Capacitación. ESTA BASADO EN:

10. Equipo de Trabajo: Altamente Calificado Disponible 7 X 24 X 365 Actualizado Permanentemente (Capacitación) Sólidos conocimientos en Seguridad de la Información y Administración del riesgo UN ADECUADO MODELO DE “ SEGURIDAD INFORMÁTICA” ESTA BASADO EN:

11. Herramientas de protección: Última Tecnología Permanentemente Actualizadas Alta Disponibilidad Alta Capacidad de Respuesta UN ADECUADO MODELO DE “ SEGURIDAD INFORMÁTICA” Nota: No se trata de tener un libro, se trata de contar con una guía basada en las mejores practicas para el mantenimiento y manipulación de la información. ESTA BASADO EN:

12. C Ó MO IMPLEMENTAR DICHO MODELO

13. 1. Determinar los niveles de riesgos. 2. Establecer los controles a partir de la norma ISO 17799. 3. Construir los lineamientos. 4. Aplicar las Políticas de Seguridad Implementar un Modelo Tecnológico de Seguridad Informática basado en la norma ISO 17799 C Ó MO IMPLEMENTAR DICHO MODELO

14. C Ó MO IMPLEMENTAR DICHO MODELO Revisión de estadísticas de incidentes (Help Desk) . Aplicación de un cuestionario online basado en la ISO 17799, disponible en http://autoevaluacion.forosec.com Identificación de los diferentes tipos de activos en la empresa para determinar todo aquello que la seguridad de la información debe proteger. Clasificación y valoración de los riesgos detectados (humanos, tecnológicos, de procesos y físicos). Fase I. Determinar niveles de riegos amenazas y vulnerabilidades

15. C Ó MO IMPLEMENTAR DICHO MODELO Identificación y definición de alternativas para el tratamiento de riesgos. Seleccionar controles específicos a partir de la ISO 17799 a implementar según los riesgos detectados. Fase II. Establecer controles a partir de la norma ISO 17799 .

16. C Ó MO IMPLEMENTAR DICHO MODELO Fase III: Construir los lineamientos Elaboración y aprobación de una DDA Declaración de Aplicabilidad (qué controles se van a implementar). Elaboración del documento de políticas de seguridad que abarque tanto el ámbito tecnológico como el ámbito humano. Elaborar plan estratégico de divulgación sobre mantenimiento de la seguridad de la información a toda la organización.

17. C Ó MO IMPLEMENTAR DICHO MODELO Hacer oficial la política. Elección del comité de seguridad para el cumplimiento, monitoreo y mejoramiento continuo de las políticas. . Realización de campañas de entrenamiento, charlas de divulgación y sistemas de aprendizaje para garantizar el conocimiento de las políticas de seguridad en toda la organización. Fase IV: Aplicar las Políticas

18. Políticas Estándares Procedimientos PERSONAS TECNOLOGIA CULTURA A DONDE SE ORIENTA Mas que tecnología utilizada para solucionar problemas específicos o puntuales. Políticas, procedimientos y estándares definidos de acuerdo con las características del negocio. Plan de concientización adecuadamente estructurado para la creación de la cultura de seguridad en la organización .

19. C Ó MO MANTENER EL MODELO Revisiones periódicas de la política y su alcance. Revisiones de los niveles de riesgos Auditorias internas y externas Revisión Detectar errores en el proceso, identificar fallos de seguridad y tomar las acciones correspondientes. Monitoreo Monitoreo y Revisión

20. C Ó MO MANTENER EL MODELO Medir el rendimiento Implementar las mejoras identificadas en las revisiones Mejora Continua Comunicar resultados de auditorias Adoptar acciones correctivas y preventivas Mantenimiento Mantenimiento y Mejora

21. Gestión de Riesgos cubriendo todos los componentes internos y externos, la naturaleza de los sistemas, las actividades empresariales y las leyes locales. Identificar todos los terceros involucrados (Clientes / Usuarios / Proveedores / Socios de negocio / Otras Organizaciones / Gobierno). Identificar todos los activos informáticos. Políticas desarrolladas según los objetivos de negocio y según la cultura organizacional. Apoyo y compromiso manifiestos por parte de la alta gerencia. Participación integral a través de equipos multidisciplinarios. FACTORES CRÍTICOS DE ÉXITO

22. Un claro entendimiento de los requerimientos de seguridad. Sistema de medición para evaluar el desempeño de la gestión de la seguridad. Disponibilidad de recursos. FACTORES CRÍTICOS DE ÉXITO

23. PLAN DE CONCIENTIZACIÓN Informar y recordar regularmente las obligaciones con respecto a la seguridad de la información a empleados y demás personal vinculado. La característica principal del proceso de concientización es la difusión del Modelo de Seguridad por diferentes medios de comunicación al interior de la empresa, partiendo de un conocimiento básico de Seguridad Informática hasta lograr la adopción y asimilación de componentes del modelo de seguridad (políticas, estándares y procedimientos).

24. Política de Seguridad Aspectos organizativos para la seguridad Clasificación y control de activos Control de Accesos Conformidad Seguridad ligada al personal Seguridad física y del entorno Desarrollo y mantenimiento de sistemas Gestión de comunicaciones y operaciones Gestión de continuidad del negocio Táctico Operativo Estratégico Seguridad Organizativa Seguridad Lógica Seguridad Física Seguridad Legal PRODUCTO FINAL: MODELO DE SEGURIDAD DE LA INFORMACI Ó N

25. FUENTES DE CONSULTA Noticias Mundo en Línea http:// www.mundoenlinea.cl Grupo de Respuesta para Emergencias Informáticas (CERT.gov.ve) http://www.cert.gov.ve Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) http://www.suscerte.co Computer Emergency Response Team (CERT) http://www.cert.org Computer Security Institute (CSI) http://www.gocsi.com Forosec http://www.forosec.com

26. Gracias por su atención.. “ Las mejores herramientas de seguridad son vulnerables si no existen políticas adecuadas que definan claramente su utilización”.

27. La seguridad de la información siempre ha preocupado a la humanidad. La información comanda las decisiones de cualquier negocio. LO QUE HAY QUE SABER Es el principal ACTIVO para la organización. La seguridad Física y Lógica son aspectos “CLAVE” a tener en cuenta Se debe proteger la Confidencialidad, la Integridad y Disponibilidad. Se debe garantizar la identidad de los usuarios y su privacidad. Los ataques evolucionan y se introducen en una tecnología en desarrollo. Proteger en todas sus formas: digital, impresa y el conocimiento. FUNDAMENTAL: Tener conocimiento de los riesgos.