PROGRAMA DE ESPECIALIZACION EN

AUDITORIA DE TECNOLOGÍAS DE LA
INFORMACION Y
SEGURIDAD INFORMATICA

I CICTASSI
UNIVERSIDAD CATOLICA SANTO TORIBIO DE MOGROVEJO
UNIVERSIDAD CATÓLICA SANTO TORIBIO DEL MOGROVEJO -USAT
CHICLAYO - PERU

Sistema de Gestión de la Seguridad

de la Información

Módulo I
CHICLAYO
Abril 2013

Ing. Alcides Herrera E.

LA ISO 27001, CISM, CBRM, CBCP, ITIL

I CICTASSI
PROGRAMA DE ESPECIALIZACION EN AUDITORIA DE
TECNOLOGÍAS
UNIVERSIDAD DE TORIBIO
CATÓLICA SANTO LA INFORMACION Y
DEL MOGROVEJO -USAT
SEGURIDAD INFORMATICA

1
 Agenda

1. Introducción a la Seguridad de la Información

• Información e Importancia
• Amenazas contra la Información
• Seguridad de la Información, importancia, profesionales.

2. Gobierno de Seguridad de la Información

• Definiciones, importancia
• Marco de gobierno
• Estrategia de la Seguridad
• Implementación de gobierno de seguridad
• Programa de seguridad

3. Clasificación de la Información
• Responsables y roles
• Criterio y Procedimiento

4. Concienciación y Capacitación
• Beneficios, consideraciones
• Despliegue

5. Sistema de Gestión de la Seguridad de la Información

• Implementación del SGSI
• Certificación ISO/IEC 27001

Presentación

• Nombre

• Organización/Empresa

• Función/Cargo/Titulo

• Experiencia en Seguridad/Auditoria

2
Introducción a la
Seguridad de la
Información

Información

“ La información es un activo, que tal

como otros importantes activos del
negocio, tiene valor para la compañía y
consecuentemente requiere ser
protegida adecuadamente.”

ISO/IEC 27001:2005

3
¿Donde encontramos la Información?

Escrita

Conocimiento de las
Personas
Documentos

Hablada Electrónica

Recursos de
Tecnología de Información

Acciones contra la Información

Incidentes de Seguridad

30% Incidentes Externos

Hackers

Spam

Virus

70% Incidentes Internos

Robo

Fraude

Errores de Usuarios

4
 Acciones contra la Información

• Filtrar
• Modificar
• Borrar
• Usurpar datos.
• Hojear información clasificada.
• Clasificar y desclasificar los datos.
• Deducir datos confidenciales.
• Vender información.

AMENAZAS CONTRA
LA INFORMACION

5
 La Documentación….
Procedimientos Normas

Manuales
Estándares
Directivas
Políticas
Reglamentos
Instrucciones

Check List Registros

No existe, desactualizada, obsoleta, etc. para una efectiva Gestión de

Seguridad de la Información

En los Recursos Humanos.….

Falta de responsabilidades claras, conocimiento y educación, proceso

disciplinario, sanciones, divulgación de información critica y sensible.

6
En la gestión de los Activos de Información..

No se conoce en su totalidad, falta de clasificación de la información, se respalda

“todo”

En la seguridad física y ambiental….

7
En las comunicaciones y operaciones ….

En el control de los accesos….

admin

8
 En el desarrollo y mantenimiento de sistemas …..

Certificación
Calidad y Calidad y
exactitud seguridad del
código

Detectar Códigos
Fallos de terceros
Maliciosos
Auditar calidad y exactitud

En la detección y respuesta de incidentes …..

9
Robo de Identidades y de Información

Redes Sociales
Videos
Amigos Blogs

Grupos Fotos
YO

Etiquetas Dispositivos

Comentarios

10
 Redes Sociales

En la recuperación y continuidad de negocio…..

11
 En el cumplimiento de leyes y regulaciones…..

Ataques a la Seguridad de la Información y

Tecnología
Captura de PC desde el exterior Robo de información
Ingeniería social
Destrucción de equipamiento
Mails “anónimos” con información crítica o con agresiones
Intercepción y modificación de e-mails
Violación de contraseñas
Violación de e-mails
Virus Incumplimiento de leyes y regulaciones Spamming
Fraudes informáticos Programas “bomba”
Propiedad de la Información
Interrupción de los servicios
Destrucción de soportes documentales
Acceso clandestino a redes
Acceso indebido a documentos impresos
Falsificación de información para
terceros Intercepción de comunicaciones
Indisponibilidad de información clave Robo o extravío de notebooks

12
13
 Desconocimiento de una Gestión
Efectiva de Seguridad de la Información
La Seguridad de la Información es responsabilidad de
Sistemas.

La Seguridad de la Información es sólo tecnología

Los Objetivos de la Seguridad de la Información no deben estar

alineados con los objetivos estratégicos del Negocio…

La Continuidad de Negocios es contar con un centro

de computo alterno y que se encargue Tecnología.

¿Que hacemos?

14
 Gestión de la Seguridad de la Información
“ Es un proceso sistemático y continuo
orientado a la protección de los activos
críticos y sensibles de la organización
mediante un adecuado análisis y control de
los riesgos a los que están expuestos.

El cual esta conformado por un conjunto de

recursos (procesos, tecnología,
metodologías y PERSONAS) con la finalidad
que la organización alcance su visión y
materialice sus objetivos estratégicos de
negocio”

¿ Donde interviene la Seguridad de la Información?

… en toda la Organización

15
 Principios Fundamentales de la Seguridad
de la Información

Condición que asegura Condición que garantiza

que la información que la información debe
debe ser accesada ser consistente, fiable y no
propensa a alteraciones
únicamente por quienes
no deseadas.
tienen derecho o la
autoridad de hacerlo.

Asegura que la
información esta en el
lugar, momento y forma
que es requerido por el
usuario autorizado.

Gestión del Riesgo

ANALIZAR
EVALUAR

PROCESO DE
IDENTIFICAR LA GESTION
DEL RIESGO
TRATAR

MONITOREAR

16
 Oficiales de Seguridad Informática

Los Jefes o Responsables de Seguridad de TI cuenta con

capacidades y conocimientos técnicos.

Su responsabilidad es asegurar que la infraestructura

tecnológica que hace uso la organización sea operada de
manera segura. Su labor esta centrada en la tecnología.

Oficiales de Seguridad de la Información

Los Gerentes, Oficiales o Responsables de

Seguridad de la Información abarca un mayor
alcance en la organización, implica
participación en los procesos del negocio y
sobre la estrategia general de la seguridad.

Esta involucrado en el cumplimiento

regulatorio, la administración de riesgos y la
gobernabilidad, dentro de sus
responsabilidades abarca también los aspectos
técnicos.

17
 Conocimientos y Habilidades de los
Oficiales, Jefes de Seguridad de la Información
• Conceptos de Seguridad de la Información
• Relacionar la seguridad de información y las operaciones del negocio
• Técnicas para asegurar el compromiso y patrocinio de la Gerencia
• Conocimientos de Temas legales y regulatorios.
• Función y contenido de elementos de un programa de seguridad
• Técnicas para desarrollar un modelo del proceso de seguridad
• Conocimiento de normas y estándares internacionales
• Componentes claves de un análisis de costo-beneficio
• Metodologías para valuar los recursos de información
• Métodos de análisis de riesgo y estrategias de mitigación
• Métodos y técnicas para administrar proyectos
• Arquitecturas de Seguridad
• Tecnologías de Seguridad
• Conocimiento del diseño, desarrollo e implementación de métricas
• Métodos y técnicas de adquisición
• Administración de Presupuestos
• Actividades y coordinaciones con proveedores
• Métodos y Técnicas para la concienciación y capacitación sobre seguridad
• Conocimiento de componentes de capacidades de respuesta a incidentes
• Procesos de planes de recuperación y continuidad de Negocio
• Gestión de Incidentes

Rol y función del Oficial de Seguridad de la Información

18
 Certificaciones Internacionales en Seguridad de
la Información

www.isaca .org

www.isc2 .org

Interacción de Marcos de Referencia,

Estándares, Otros

COSO

COMO
COBIT 4.1

QUE
ISO 9001 CMMI ISO BS 25999
ITIL 27001

PMBOK

19
 FIN
INTRODUCCIÓN

Gobierno de la
Seguridad de la
Información

20
 Gobierno de Seguridad de la Información

Conjunto de responsabilidades, actividades y

prácticas, ejercidas por la alta dirección, gerencia y
responsables de la Seguridad.

Con la finalidad de brindar una dirección

estratégica, garantizar que se logren los objetivos,
monitorear el desempeño, administrar los riesgos
en forma apropiada y verificar que los recursos de
la empresa se utilizan con responsabilidad.

Importancia del Gobierno de Seguridad de la

Información
• Proporciona un fundamento sólido para tener una administración de riesgos y una
mejora de procesos eficientes y efectivos en la organización.

• Aumenta la previsibilidad y reduce la incertidumbre en las operaciones del negocio al

reducir los riesgos a niveles aceptables.

• Brinda un nivel de confianza en que las decisiones cruciales no se basan en

información errónea.

• Respuesta y recuperación rápida a incidentes que pueden afectar a la organización

• Confianza en el cumplimiento de las políticas, normas, estándares, entre otros.

• Proporciona la estructura y marco para optimizar la distribución de los recursos

limitados de seguridad.

• Protege la imagen y reputación de la organización (intangible)

• Mejora la confianza en las relaciones con los clientes y socios.

21
 Marco del Gobierno de Seguridad de la
Información

Estrategia de Seguridad con los Objetivos del Negocio

Políticas de Seguridad que aseguren la Estrategia
Alineación Estratégica

Administración de Riesgos
Normas para cada Política y desarrollo de procedimientos
Entrega de Valor

Administración de Recursos
Proceso de Monitoreo y retroalimentación
Medición del Desempeño

Estructura Organizacional de Seguridad

Resultados de un Gobierno de Seguridad de la

Información efectivo
1. Alineación Estratégica
•Requerimientos
•Soluciones
•Inversión

2. Administración de Riesgos
•Entendimiento
•Conciencia
•Tratamiento
•Aceptación

3. Entrega de Valor
•Requerimientos
•Priorización y distribución
•Soluciones
•Cultura de mejora continua

22
 Resultados de un Gobierno de Seguridad
Efectivo cont….

4. Administración de Recursos
•Conocimiento e Infraestructura
•Documentación
•Arquitectura de Seguridad

5. Medición del Desempeño

•Medir, Monitorear y Reportar
•Métricas definidas
•Medición y Retroalimentación
•Evaluaciones y Auditorias.

Si no se cuenta con el
Compromiso y Patrocinio de la
Alta Dirección, las actividades de
Seguridad de la Información de la
Organización
NO tendrán EXITO

23
 Compromiso de la Alta Dirección

La Alta Dirección demuestra su compromiso con la Seguridad de Información:

o Al tratar la Seguridad de Información como un tema crítico del negocio.

o Creando una ambiente de seguridad positivo

o Involucrándose directamente en los acuerdos de Seguridad Alto nivel

o Brindando controles de alto nivel que sean proporcional al riesgo

o Asignando recursos a la Seguridad de la Información

o Revisando la efectividad de la seguridad de información de manera periódica.

¿Como Obtener el Compromiso de la Alta Dirección?

Alinear los Objetivos de la seguridad a los Objetivos estratégicos del negocio

Identificar posibles consecuencias de no alcanzar determinados objetivos de la

seguridad

Presupuesto, de tal manera que la Gerencia pueda cuantificar los costos

Costo/Beneficio de la gestión de la seguridad

Definir un proceso de cumplimiento y monitoreo en toda la organización

Proporcionar un tablero de control para que la Gerencia visualice y analice el avance.

La gestión o administración del riesgo como proceso importante de la seguridad

Definiciones claras de los roles y responsabilidades

Difusión/Mktg en toda la organización de la Seguridad de Información.

24
 Estrategia de Seguridad
Criterios mínimos que se deben considerar para desarrollar la estrategia:

• Determinación de los objetivos de seguridad de información

1

• Localizar e Identificar los recursos y activos de información

2

• Valorizar los recursos de información

3

• Clasificar los recursos de información según su criticidad y

4 sensibilidad para la organización

• Definir el estado deseado de la Seguridad de la empresa

5

Objetivos de la Estrategia de Seguridad

• Objetivos de Seguridad definidos en términos de apoyo a los
objetivos del negocio.

• Buen entendimiento del Negocio y los flujos de información

en la organización

• La revisión de los planes estratégicos del negocio brinda

oportunidades para definir los objetivos de la seguridad y
permitan y/o aseguren el negocio

• La identificación de amenazas en los flujos de información e

investigación de las fallas en los procesos del negocio.

•Tratar los riesgos y reducir el impacto adverso.

•Definición de los Objetivos en términos de un estado deseado

de seguridad

25
 Estado actual-deseado de la Seguridad
de Información
Descripción de los Enfoques con mayor aceptación.

• Se enfoca en los controles de TI

• Cobit define los controles como “políticas, procedimientos, practicas y

estructuras organizativas diseñados para brindar confianza de que se alcanzarán los
objetivos de negocio y que se evitaran o detectarán para luego corregir los
incidentes no deseados”

• Cobit define el gobierno como “una estructura de relaciones y procesos para

dirigir y controlar la empresa a fin de alcanzar las metas, agregando valor mientras
se equilibra el riesgo en oposición al rédito sobre TI y sus procesos”

Estado actual-deseado de la Seguridad de Información

Modelo de Capacidad de Madurez (CMM)

Consiste en calificar cada área definida de seguridad en escala de 0 a 5 con base

en la madurez de los procesos.

0 1 2 3 4 5
Modelo de
Madurez
Leyenda

Estado actual de la empresa Se apoya en:

Promedio Industria KPI: Indicadores Claves de Desempeño
Objetivo de la Empresa KGI: Indicadores Claves de Resultados (Logros)

26
 Estado actual-deseado de la Seguridad
de Información
ISO/IEC 27001:2005
Anexo A

1. Políticas de Seguridad
2. Organización de la seguridad de la Información
3. Administración de Activos
4. Seguridad de los recursos humanos
5. Seguridad Física y de ambiente
6. Administración de las comunicaciones y operaciones
7. Administración de Accesos
8. Adquisición, desarrollo y mantenimiento de Sistemas de
Información
9. Administración de incidentes de seguridad de la información
10. Administración de la continuidad de negocios
11. Cumplimiento

Gap Análisis de la Seguridad

de Información
Determinar el Estado Actual con un análisis de brechas o Gap o
cualquiera que sea la combinación que se utilizó para el Estado
Deseado.

Proporcionará un comparación entre los dos estados y se determinará

lo que se necesite para alcanzar los objetivos.

Otros métodos:

• Evaluación de Riesgos

• Análisis de Impacto al Negocio (BIA)

27
 Desarrollo de la Estrategia de Seguridad
Consideraciones para el desarrollo

• Elaboración de una estrategia efectiva al conocer el “estado actual” y el “estado

deseado”

• La estrategia debe tratar y minimizar los riesgos.

• Cumplir con los requerimientos legales, contractuales y regulatorios del negocio.

• Debe ser un apoyo para los objetivos de la organización

• Maximizar el éxito de los procesos y minimizar los impedimentos para ejecutar estos.

•Deberá asegurar el proceso de negocio

Plan de Acción para alcanzar el estado deseado

y los objetivos
• Planificación de Seguridad
• Gestión de Riesgos
• Sistema de Gestión de la Seguridad de la
Procesos
Información

Plan
• Compromiso de la alta
de
dirección y el personal. Acción • Tecnología y Productos de
Seguridad.
• Estructura Organizacional de la
• Herramientas de gestión.
Seguridad
Personas Tecnología • Productos de Monitoreo
• Concienciación y Capacitación
de Seguridad.

Alcanzar el Estado Deseado será un proyecto o una serie

de proyectos a largo plazo

28
 Recursos de la Estrategia
RECURSOS : Son todos aquellos mecanismos que están disponible para alcanzar el
estado deseado y tomarse en cuenta para el desarrollo de la estrategia, estos son:

• Políticas
• Normas
• Procedimientos
• Controles
• Contramedidas
• Defensa en profundidad
• Tecnologías
• Seguridad del Personal
• Roles y Responsabilidades
• Capacitación
• Concienciación
• Auditorias
• Evaluación de Riesgos
• Evaluación de Impacto al Negocio
• Instalaciones
• Seguridad ambiental

Recursos: Controles
“Políticas, procedimientos, prácticas y estructuras organizacionales que están
diseñados para brindar una confianza razonable de que se alcanzarán los
objetivos del negocio y que se evitarán, detectarán y corregirán los
incidentes”

Controles Controles Controles

Administrativos Técnicos Físicos
Políticas, estándares, Controles de acceso Protección de las
procedimientos, Lógico, Encriptación, Facilidades, guardias
guías, selección de Dispositivos de seguridad, de seguridad, cerraduras,
Personal, Identificación y Control ambiental,
Entrenamiento y Autenticación Detección de Intrusos
Educación de Seguridad

Controles Físicos
Controles Técnicos
Controles Administrativos
Activos, Información
de la Organización
Los controles deben ser
seleccionados basados en el
costo de implementación, el
costo de riesgo reducido y la
pérdida potencial si un
incidente de seguridad
ocurre.

29
 Recursos: Tecnologías
Tecnologías típicas de seguridad disponibles:

• Administración de cuentas de usuarios

• Tecnología para la detección y prevención de intrusos
• Tecnología de Antivirus
• Tecnología de autoridad de certificado (PKI)
• Tecnología de Biometría
• Tecnología de encriptación
• Tecnología de acceso remoto
• Tecnología de Firewalls
•Tecnología de firma digital
• Tecnología de VPN
• Tecnología Forense
• Tecnología de Monitoreo
• Tecnología de lectura y correlación de logs
• Tecnología de etiquetado de documentos
• Tecnología de escaneo del contenido de documentos y correos electrónicos.
• Tecnología de escaneo de redes y análisis de vulnerabilidades.

Restricciones de la Estrategia
RESTRICCIONES : Limitantes que se debe considerar cuando se desarrolle
la estrategia y el plan de acción de seguridad, estos son:

• Requerimientos legales y regulatorios

• Factores físicos y ambientales
• Diferencias culturales/regionales
• Costos
• Personal
• Tiempo
• Tolerancia al riesgo (RTO, RPO)

30
 Programa de Seguridad de la Información

El objetivo del Programa de Seguridad de información es:

“Proteger tanto los intereses de aquellos que dependen de la información como

los procesos, sistemas y comunicaciones que la maneja, almacena y entrega de
sufrir algún daño que resulte en fallas en la Disponibilidad, Confidencialidad e
Integridad de la información”
IT Governance Institute Cobit

Confidencialidad

Los objetivos de seguridad se

alcanzan cuando los activos de Información
información cumplen con la:
Disponibilidad Integridad

Programa de Seguridad de la Información

La Estrategia de seguridad con la aceptación y apoyo de la

alta dirección y vinculada con los objetivos del negocio

Políticas de Seguridad congruentes y alineadas con la

estrategia del Negocio.

Normas para las políticas relevantes

Procedimientos completos y precisos de las operaciones

críticas

Asignación clara de roles y responsabilidades

Activos de información identificados y clasificados por su

criticidad y sensibilidad

31
Programa de Seguridad de la Información …. Cont

Riesgos identificados, evaluados, comunicados y
administrados

Controles efectivos que se hayan diseñado, implementado

y mantenido

Procesos de monitoreo efectivos y eficientes

Capacidad de respuesta antes emergencias e incidentes

que sean funcionales y probados

Planes probados de recuperación de desastre/continuidad

de negocio

Conciencia y capacitación sobre seguridad

Entendimiento y Cumplimiento de temas legales y

regulatorios

FIN

Gobierno de la Seguridad de la
Información

32
 Clasificación de la
Información

Clasificación de la Información
La información es crítica y sensible de acuerdo al
valor económico, legal, estratégico, etc. que estas
poseen para la organización

El Objetivo de clasificar la información es para

identificar el nivel de confidencialidad, integridad y
disponibilidad que son requeridos para cada tipo de
información.

Los controles de seguridad se implementará de

acuerdo al nivel de sensibilidad e importancia.

33
 Responsables y Roles de la Clasificación
de la Información
Propietario - Dueño: Define el nivel de clasificación de la información, revisa
periódicamente los cambios que sean necesarios dentro de la información que
administra, aprueba los cambios de los niveles de clasificación de acuerdo al
resultado de la revisión y análisis. Delega la responsabilidad de la protección de
datos al custodio.

Custodio: Responsable del mantenimiento y aseguramiento de la información

respetando la política de clasificación, protege la data, ejecuta el respaldo y
restauración, implementa mecanismos de seguridad y periódicamente valida la
integridad de la data.

Usuario: Es considerado cualquier individuo que usa la data para realizar sus
actividades laborales, debe tener los niveles necesarios de acceso a la data
para desempeñar sus deberes y su responsabilidad para seguir los
procedimientos de seguridad operacional para asegurar las características de
seguridad.

Criterios para clasificar la información

Identificar a los responsables (dueño-propietario) de la información.

Identificar la información que requiere ser clasificada / etiquetada.

Identificar el valor económico, estratégico, etc. de la Información y el impacto

que podría causar la divulgación, modificación, exposición de la Información.

Edad de la Información.

Cumplir con las leyes y regulaciones acerca de la protección de la Información.

Identificar quien(es) debe(n) acceder a la Información.

Identificar a los responsable de la custodia de la información.

34
 Procedimiento para Clasificación de la Información

El propietario de la información debe indicar la clasificación de la misma.

Documentar los criterios de clasificación de la información y los de desclasificación.

Indicar los niveles de controles de seguridad que son requeridos para cada nivel de
clasificación.

Especificar y documentar las excepciones.

El administrador/custodio de la Información es responsable del mantenimiento y los

niveles de seguridad adoptados

Integrar dentro del programa de concienciación a los usuarios el entendimiento del

manejo de la información en los diferentes niveles de clasificación.

Clasificación de la Información
Comercial - Privado

•Confidencial: Muy Sensible, su divulgación podría afectar seriamente a

la organización. Ejm: Secretos comerciales, Códigos de programas, etc.

•Privado: Información Personal, y para uso interno de la compañía. Ejm:

Información de planillas de personal, informes médicos, historia laboral,
etc.

•Sensible: Debe protegerse de la perdida de confidencialidad e

integridad. Ejm: Información financiera, Detalles de proyectos, etc.

•Publico: Puede ser publica, su conocimiento, no reviste gravedad. Ejm:

página web, comunicados, etc.

35
 Clasificación de la Información
Militar - Gobierno

•Top Secret: Su divulgación podría causar grave daño a la seguridad

nacional.

•Secret: Su divulgación podría causar serios daño a la seguridad nacional

•Confidencial: Su divulgación podría causar daño a la seguridad nacional

•Sensitivo pero no clasificado: Baja sensibilidad, no produce mayor

daño si es publicada.

•No Clasificada: Información que puede ser pública

Cultura y Concienciación
sobre Seguridad

36
 Concienciación en Seguridad de la Información
El conocimiento de la seguridad es con frecuencia un elemento pasado por alto de la
gerencia de seguridad porque la mayoría del tiempo se invierte en controles, detección de
la intrusión, evaluación de riesgo y/o administrando la seguridad proactiva y/o
reactivamente.

Todos los empleados necesitan la educación en los conceptos

básicos de seguridad y de sus ventajas en la organización.
Las ventajas de los tres pilares del conocimiento de la seguridad
-concienciación, capacitación y educación - se manifestarán con
una mejora en el comportamiento y las actitudes del personal y
con una mejora significativa en la seguridad de una empresa.

Las Personas representan el Mayor Riesgo en la Seguridad de la

Información para cualquier Organización

Concienciación en Seguridad de la Información

Beneficios:
• Reducción de la cantidad de acciones no autorizadas
generadas por el personal de la organización.

• Incremento significativo de la efectividad de los

controles implantados.

• Ayuda a evitar el fraude, sabotaje, robo y abuso de

recursos informáticos.

• Reducción de incidentes de Seguridad de la

información

37
 ¿Que consideraciones debe tener el programa de
concienciación y capacitación?

Conocer la cultura y el comportamiento del personal de la organización

Identificar los objetivos, metas y alcances del programa

Motivar a la administración y los empleados

Diferencias culturales y leyes

Identificar al público que se desea llegar

Identificar el equipo de capacitación

Definir los mensajes que se desea transmitir

Administrar el programa, técnicas y métodos de comunicación a utilizar.

Evaluar y mantener el programa

Concienciación: Despliegue
El despliegue de la concienciación y entrenamiento debe contener una estrategia de
marketing de seguridad mediante:

Presentaciones, charlas y conferencias.

Recordatorios por correo electrónico

Políticas y procedimientos escritos

Acuerdos de confidencialidad firmados

Publicación y distribución de información de seguridad (boletines, intranet, videos,

carteles, etc.)

Cumplimiento visible de las reglas sobre seguridad

Incentivos y premios

Revisiones de desempeño

38
 Resultados de un programa de capacitación en
Seguridad RIESGO
%
RIESGO
COSTO

TIEMPO DE REACCION
100

80

60

40

20

0
Nada Concienciación Capacitación Conocimiento Sostenido Programa de Concienciación
Sparks/Litton/PRC

A medida que se capacitaban, el riesgo se reducía conforme se enseñaba el valor de los

activos, los riesgos y acciones a tomar para proteger

FIN

Clasificación de la
Información y Concienciación

39
SISTEMA DE GESTION DE SEGURIDAD
DE LA INFORMACION

(SGSI)

Familia ISO/IEC 27000

40
 Evolución del BS 7799 a ISO 27001

Evolución: ISO/IEC 17799:2000 VS ISO/IEC 9:2005

41
Código de buenas prácticas para la Gestión de la Seguridad de la Información

Sistema de Gestión de Seguridad de

la Información
(SGSI)
El SGSI es un proceso que permite
establecer, implementar, operar,
monitorear y mejorar la seguridad de la
información en una organización, basado
en un enfoque de riesgo.

Este sistema esta conformado de una

estructura organizativa de personas,
procesos y tecnología.

42
 Beneficios del SGSI en la Organización

Establecimiento de una metodología de Gestión de la Seguridad estructurada

Gestión eficiente del Riesgo

Aseguramiento de la continuidad de las operaciones del negocio

Conformidad con las leyes y legislaciones vigentes.

Reducción de costos y mejora en los procesos y servicios de la organización

Mejora del clima laboral, aumentando la motivación y satisfacción del personal

Imagen y reputación de la organización, siendo un elemento diferenciador del mercado

Se integra con otros sistemas de gestión como calidad, salud, etc.

Modelo de Implementación del SGSI

ISO 27001 “Sistema de Gestión de Seguridad de la Información”

• Especifica el marco referencial para establecer, implantar y documentar un SGSI

• Establece requisitos para implantar controles ISO17799

MODELO PDCA (Plan, Do, Check, Act)

43
 Pasos para Implementar el SGSI
Consideraciones para Iniciar la Implementación:

• Compromiso y participación de la Alta Dirección

• Kickoff de Inicio

• Planificación

• Responsables

•Tiempos

• Recursos

Pasos para Implementar el SGSI - PLANIFICAR

1. Definir el Alcance del SGSI

2. Definición de una Política General del SGSI

3. Definir la Metodología de la Gestión del Riesgo

4. Inventario de Activos

5. Análisis y evaluación de Riesgos

6. Definir el Tratamiento de los Riesgos

7. Selección de controles

8. Preparación de una Declaración de Aplicabilidad – SOA (que controles se van a

implementar)

44
 Pasos para Implementar el SGSI - HACER

1. Planificar el tratamiento de los riesgos

2. Implementación de Controles seleccionados

3. Formación y Concienciación

4. Operar el SGSI

5. Implementar un Sistema de Gestión de Incidentes de Seguridad

Pasos para Implementar el SGSI - VERIFICAR

1. Revisiones Periódicas del SGSI

2. Medir eficacia de los controles

3. Revisión de los Riesgos Residuales /Aceptados

4. Auditorias Internas

5. Registro de acciones y eventos

45
 Pasos para Implementar el SGSI - ACTUAR

1. Implantar mejoras al SGSI

2. Acciones correctivas y preventivas

(No Conformidades)

3. Comprobación de la eficacia de las acciones y controles

4. Comunicación e informe de las acciones

Certificación ISO/IEC 27001:2005

Auditoria de Empresa Certificadora

Fase 1
• Revisión de Documentación del SGSI
• Revisión de Controles claves:
Política de seguridad.
Asignación de responsabilidades de seguridad.
Formación y capacitación para la seguridad.
Registro de incidencias de seguridad.
Gestión de continuidad del negocio.
Protección de datos personales.
Controles de registros de la organización.
Derechos de propiedad intelectual.

Fase 2
• Revisión y verificación In Situ de la documentación de las Fases 1
• Revisión del Objetivo, Alcance, Procesos, exclusiones de la
Declaración de Aplicabilidad
• Presentación del Informe Final en reunión de cierre

¡¡¡ CERTIFICACIÓN !!!

46
 Factores de Éxito

Compromiso de la Alta Dirección y Gerencias

Definición clara y precisa del Alcance del SGSI

Buena y efectiva Gestión de Riesgos

Organización y Comunicación

Provisión de los recursos necesarios.

Educación y Concienciación de las personas de la
organización

Marketing Efectivo de la Seguridad de la Información.

Factores de Riesgo

EL SGSI No está alineada al negocio

Definición imprecisa del Alcance del SGSI

Exceso de tiempo en la implementación

Planes de formación y concienciación inadecuados

Delegación completa de la responsabilidad a TI

Incumplimiento de planes

Falta de Comunicación

Resistencia de las personas

47
 FIN MODULO I

¡GRACIAS!
herrera.alcides@gmail.com

I CICTASSI
PROGRAMA DE ESPECIALIZACION EN AUDITORIA DE
TECNOLOGÍAS
UNIVERSIDAD DE TORIBIO
CATÓLICA SANTO LA INFORMACION Y
DEL MOGROVEJO -USAT
SEGURIDAD INFORMATICA

48