Condiciones para que la Gerencia de Seguridad de
la Informaciónla Información permanezca vigente.
AGENDA
1. Foco metodológico.2. Modelo de Seguridad.3. Ubicación de la Seguridad de la Información
en la organización. 4 Comité de seguridad4. Comité de seguridad.5. Activos de Información.6. Cumplimiento Legal.p g7. Creación de conciencia.
1. Foco metodológico.¿Cómo deben ser protegidos los¿Cómo deben ser protegidos los activos de información críticos?* Se identifican los Propietarios•Se establecen los requerimientos
de seguridad.PolíticasFase II
¿Qué debe ser protegido?* Se identifican activos de
información críticos.* Se asignan riesgos
Plan de ProyectosFase III
Programa deSeguridad
RiesgoFase I
Se asignan riesgos.
Verificar la eficiencia y
Determinar como se van a proteger.•Se especifican planes a corto, mediano y largo plazo
Fase III
eficiente yefectivo.
I l t
Ciclo vida BS7799
Verificar la eficiencia y efectividad de Seguridad* Se hacen verificaciones
internas de seguridad.* Auditoría interna.* Auditoría externa.
CumplimientoFase V
y g pImplantar yAdministrar
Fase IV
Proteger los activos con las especificaciones requeridasespecificaciones requeridas* Se selecciona la tecnología* Se establecen procesos* Se establecen procedimientos
1. Foco metodológico.
1. Foco metodológico.
ESTRATEGIA PROACTIVA
1
2
Objetivos organizacionalesRecursos estratégicos
Amenazas
Contexto organizacional
Contexto de activosde información
Recursos claves3
PrácticasRequerimientos de
seguridad
de información
Determinar vulnerabilidades
Predecir posibles daños
Determinar vulnerabilidades
Implementar controlesProblemas
IncidentesImplementar respuesta
1. Foco metodológico.
1 ESTRATEGIA REACTIVA
D t i
Evaluar daños
Determinar causas
Reparar daños
Implementar respuestaProblemas
IncidentesIncidentesDocumentar y aprender
Columna Descripción
ód d f ó ( l f d )
1. Foco metodológico.
ID Código identificación (Pilar BS7799 afectado + Secuencia)
Vulnerabilidad Condición de fallo, deficiencia, debilidad o ausencia de control de un activo de información.
Amenaza Hecho que puede producir un daño, puede ser: Accidental/Operacional, Actos Deliberados/Maliciosos y Ambiental.
Riesgo Probabilidad de que una vulnerabilidad y/o amenaza se conviertan en una condición de desastre.
Probabilidad Calificación eliminando subjetividad y calificación cualitativa, utilizar criterios y limitantes para explotar la vulnerabilidad, ejemplo: Habilidad (especialización): 5: Ninguna; 4: Menor; 3: Conocimiento; 2: Mayor; 1: EspecialistaFacilidad Acceso: 5: Sin restricción; 4: Log, Psw Básico; 3: C2; 2: SSO; 1: ProtocoloIncentivo: 5: Motivado; 4: Resentido; 3: Indeciso; 2: Buen ambiente; 1: Ninguna.Recursos: 5: Ninguno; 4: Ing. Social; 3: Esfuerzo; 2: Kit; 1: Especializados.
Impacto Calificación eliminando subjetividad y calificación cualitativa, utilizar lo dado por BS7799 y calificar en términos de Confidencialidad, Integridad y Disponibilidad utilizando la siguiente base de Impacto: 5: Catastrófico; 4: Mayor; 3: Moderado; 2: Menor; 1: Insignificante; ; g
Activo Información Impactado
Qué activo de información se ve impactado, qué nivel de clasificación tiene el activo. Esta condición permite priorizar el nivel de implementación del control fundamentado en el nivel de severidad.
Riesgo Inherente Calificación dada en términos de probabilidad e impacto sin controles.
Control Vigente Controles con los que cuenta el activo El control dará un porcentaje para reducir la probabilidadControl Vigente Controles con los que cuenta el activo. El control dará un porcentaje para reducir la probabilidad.
Riesgo Residual Calificación dada en términos de probabilidad e impacto con controles.
Contrl a Implantar Plan de proyector para minimizar el riesgo, ANS y medidas de cumplimiento
Los Códigos de Práctica en seguridad de la información apoyan aspectos para el desarrollo de un modelo de protección
1. Foco metodológico.
C ó d ig o /C o m p o n e n te M o d e lo d e P ro te c c ió n
IS O 1 7 7 9 9 IS O 7 4 9 8 -2 C O B IT 3 rd E d it io n
C C IS O 1 5 4 0 8
A d m in is t ra c ió n d e l R ie s g o + + + +
A rq u ite c tu ra+ + + + +
PP ro c e s o s E s t ra té g ic o s d e S e g u r id a d (P o lí t ic a s ,C o n c ie n c ia , O rg a n iz a c ió n )
+ + +
P ro c e s o s O p e ra c ió n d e la S e g u r id a d + + + + + + +
P ro c e s o s d e A d m in is t ra c ió n + + + + + + +d e la S e g u r id a d
+ + + + + + +
C o n t in u id a d d e l N e g o c io + + +
Enfoques metodológicos para la administración de Tecnología que tocan Seguridad de la Información1. Foco metodológico.
ITIL
Kin
CITPM
King II
CobiTITPM
ISF
ISO17799
CMM
En general todos buscan los mismos objetivos pero a diferentes 1. Foco metodológico.
g j pniveles de abstracción
QuéQuéCobiT
ITIL ISO
9000ISO17799
Security
Otras mejores prácticas procedimientos y guías
CómoCómo
I
ISFBest Practices
Otras mejores prácticas, procedimientos y guías
Las instituciones deben seleccionar los Códigos de Práctica que le permitan desarrollar su modelo
1. Foco metodológico.
Las instituciones deben seleccionar los Códigos de Práctica que le permitan desarrollar su modelo de protección acorde con lo establecido por el negocio
RequerimientosRequerimientos-Negocio-Legales
OTROS
ISO 7498-2
BS 17799
g-Riesgo
ISO 15408 CC
COBIT
Las instituciones deben seleccionar los Códigos de Práctica que le permitan desarrollar su modelo
1. Foco metodológico.
Las instituciones deben seleccionar los Códigos de Práctica que le permitan desarrollar su modelo de protección acorde con lo establecido por el negocio
RequerimientosRequerimientos-Negocio-Legales
OTROS
ISO 7498-2
BS 17799
g-Riesgo
ISO 15408 CC
COBIT
2. Modelo de Seguridad2. Modelo de Seguridad
• 11 áreas de seguridad
Evaluación y Tratamiento del Riesgo
PROACTIVA REACTIVA
Seguridad Gestión Adquisición, Control
Gestión de Incidentes de la S.I.a
S.I. G
est
PROACTIVA REACTIVA
ISO/IEC BS 17799 2005(G í B d l
Política deSeguridad
delos
RecursosHumanos
deActivos Desarrollo
yMantenimientode sistemas
deAcceso
iden
tes d
e la ión de Incide(Guía B de la
Norma 27001)
Organizaciónde laSeguridadde la
SeguridadFísica ydel Entorno
Gestión de
Comunica-ciones
Gestión
de
Continuidad
C umplimien toestió
n de
Inc entes de la S27001) de la
Informacióny
Operacionesdel Negocio o
Gestión de Incidentes de la S.I.
Ge
S.I.
2. Modelo de Seguridad
P i i i
Políticas
PolicyPrincipios
Procesos
Arquitecturaess
Nor
masProcesos
P di i t ProductosEstá
ndar
eN
orm
a
Procedimientos Productos
2. Modelo de Seguridad
Política de Calidad ISO 17799
Modelo de Seguridad de la Información
CalidadPrincipiosPlan
Estratégico Corporativo
ISO - 17799
Políticas
1. Política de Seguridad2. Seguridad de los Recursos Humanos3 Gestión de ActivosCorporativo
Plan Estratégico
Políticas
Sub-Políticas
3. Gestión de Activos4. Adquisición, Desarrollo y Mantenimiento de sistemas5. Control de Acceso6. Organización de la Seguridad de la Información.
Misión y
Estratégico de IT Normas Estándares
Procedimientos
7. Gestión de Comunicaciones yOperaciones.8. Gestión de Continuidad del Negocio9. Seguridad Física y del Entorno.10 C li i tVisión Procesos10. Cumplimiento11. Gestión de Incidentes de la S.I.
COBIT
OBJETIVOS DEL NEGOCIO
COBIT – Estructura 2. Modelo de Seguridad
INFORMACION
• EFECTIVIDAD
COBITIntegral de Control
MONITOREO
• EFICIENCIA
• CONFIDENCIALIDAD
• INTEGRIDAD
• DISPONIBILIDAD
• CUMPLIMIENTO PLANEACION Y ORGANIZACION
MONITOREO • CUMPLIMIENTO
• CONFIABILIDAD
RECURSOS DE TI
ENTREGA Y SOPORTE
• DATOS
• APLICACIONES
• TECNOLOGIA
• INSTALACIONES
PERSONAS
ADQUISICION E IMPLEMENTACION
SOPORTE • PERSONAS
CRITERIOS DE INFORMACIONCubo E t t
2. Modelo de Seguridad
Estructura CobiT
es ía nes
Dominios
PROC
Gen
teA
plic
acio
neTe
cnol
ogí
nsta
laci
onD
atosProcesos
ESOS
A I
A ti id d
DE
ActividadesTI
ISO 7498 2(X 800) A it t d1. Foco metodológico.
ISO 7498-2(X.800): Arquitectura de Seguridad
Basada en el estándar ISO No 7498-2
Identificación&
Autenticación
Control de
Acceso
ConfidencialidadIntegridad de
la información
Non
Repudiation
Manejo Servicios
Manejo deServicios
Basada en el estándar ISO No 7498 2
Inte
MANE
MANEJ a o ac ó
Autenticación Ciframiento
f
Firma
Listas de controlde acceso
Autenticación deMensajes
Mecanismos
Manejo
egridad
d
JO DE POL
O DE
AUDI de entidades Desciframiento Digitalizada
Distintivos de seguridad
Detección demodificación
Usuarios Privilegios Palabras
Objetos
el
sistem
LÍTICAS
ITORÍA
Y Usuarios Privilegios
ProgramasPalabras claves
Grupos Registros de Auditoría
Llaves de Encripción
Manejo de Objetos
y otras
maA
LERTAS
PolíticaDefinición
2. Modelo de Seguridad
PersonalRegulaciones
Incidentes de Seg.Ciclo de Vida de Sis.
Admon. del programa
Acceso LógicoAuditoríasCriptografíaTelecomunicacionesSistemas de Computador
Políticas
Inventario deTecnología
Propiedad de los Activos
Perfil de la Tecnología
Soporte & OperacionesFísico & Ambiental
Certificación & Acreditación Identificación & Autenticación
EstándaresLineamientos
Evaluación del Riesgo
Clasificacióndel Riesgo
Perfil del Riesgo
Personal &O i ió
EspecificacionesTé i
Diseño de Ingeniería Selección de las Soluciones
Arquitectura Técnica de Seguridad
Procesos &Prácticas Operacionales Organización
Estructura Org. de SeguridadRoles & ResponsabilidadesCoordinación de la Seg. FuncionalPrograma de Respuesta a EmergenciasPrograma de Concientización en SeguridadPrograma de Administración de Riesgos
TécnicasEstándares Básicos:
- Aplicaciones- Sistemas- Redes
Procedimientos- Administración- Revisión de Cumplimiento
Prácticas OperacionalesBCP/DR/Manejo de CrisisMonitoreo de la Seguridad
Respuesta a IncidentesSeguridad Física
Admon. De la Identidad y el AccesoAdministración de Vulnerabilidades
Administración de Accesos Programa de Monitoreo y EscalamientoRevisión de Cumplimiento
- Monitoreo & Escalamiento
Cumplimiento del Programa de Seguridad y Reportaje
Administración de Accesos Administración de Riesgos
3. Ubicación de la Seguridad de la Información
PresidenciaPresidencia
Vicepresidencia de Tecnología …..
Servicios de Continuidad (DRP)
Dirección de Seguridad de la Información
Se c os de Co t u dad ( )
Servicios de Seguridad de la Información
Dir. Soporte Operativo
Servicios de Pruebas
Servicios de Calidad
Dir. Desarrollo
Di M t i i tDir. MantenimientoDir. Tecnología
3. Ubicación de la Seguridad de la Información
PresidenciaPresidencia
Vicepresidencia Administrativa
Vicepresidencia e Tecnología
Di S i i Ad i i t ti
….
GerenciaAdministrativa
Dir. Servicios Administrativos
Dir. Organización y Métodos
……Dir. Seguridad de la Información
Direción de Investigacionesg
PresidenciaPresidencia
---- -----
--- -----
..
… … … --- Gerencia de Riesgos y
Cumplimiento
Dirección de Seguridad de la
Información
Vicepresidencia de Tecnología
…
… Dirección de Tecnología
Jefatura de Seguridad Informática
3. Ubicación de la Seguridad de la Información
PresidenciaPresidencia
Vicepresidencia / Gerencia de Seguridad de la Información
Vicepresidencia e Tecnología ....….
Servicios de Continuidad (BCM)
Servicios de Seguridad de la Información
Servicios de Seguridad AmbientalServicios de Seguridad Física
4. Comité de Seguridad de la Información
P ti i ió Á J ídi Participación Área de RiesgoParticipación Área Jurídica
Responsable por delinear los principios de seguridad, continuidad de negocio
Oficial de Seguridad
Participación Área de Riesgo
Responsable del proceso de evaluación de g
y capacidad de operación que ayudan a la Gerencia en la protección de las personas, la propiedad
l i f ióAnalistas y
riesgo
¨Participación Área de Auditoría de sistemas
Responsable por
y la información. administrador de Seguridad
Participaciión Área de Recursos Humanos
Responsable por el plan de i ti ióp p
vigilar el cumplimiento de las políticas y procedimientos de seguridad e id tifi l
GRUPO INSTITUCIONAL DE SEGURIDAD
concientización Promover la Seguridad de la InformaciónIncluir criterios de Seguridad en contratos, descripción de funciones yidentificar las
deficiencias.
descripción de funciones y objetivos de desempeño
5. Activos de Información
6. Cumplimiento Legal
7. Creación de conciencia