Conferencia ISO17799

1
2005
Seguridad de la Informacin
Conferencia
Norma ISO 17799
Instructor: Gustavo Bonilla, PMP
2005
Identificacin de los riesgos y requerimientos especficos
de la norma en sus 10 dominios.
Comprender el proceso de adecuar la compaa para
lograr la Certificacin.
Objetivo de la Conferencia
Adquirir conocimientos y metodologas de implementacin
de medidas de seguridad de acuerdo con los requerimientos
de Normas Internacionales - Norma ISO 17799:
2
2005
Situacin Actual
Algunos riesgos y su impacto en los
negocios
''La seguridad no es un problema que pueda resolverse una vez y para siempre.
Es un tira y afloja entre buenos y malos. La clave est en garantizar que la
organizacin est concienciada acerca de la seguridad y la ejercita con sentido
comn.
2005
Mircoles 24 de setiembre de 2003 AoVII N2733
12:20| A PARTIR DEL 14DE OCTUBRE
Microsoft cierra la mayora
de sus chats
Quierecombatir lapornografay los mensajes
basura("spam"). Lamedidacomprendea28
pases deAmricaLatina, Europa, Africay
Asia. Slo mantendrel Messenger.
Microsoft, el gigante de software
estadounidense, anuncique cerrarsus
foros de chat gratuitos en 28 pases.
Detenido creador de virus Sasser
Resumen: Un estudiante de 18 aos, detenido el viernes por la noche en
Alemania, confes ser el autor del virus informtico Sasser, que desde el 1.
de mayo ha infectado a millones de ordenadores en todo el mundo. El delito
podra acarrearle una condena hasta de cinco aos de crcel, anunci ayer
la polica alemana. El joven, detenido en Rotemburgo, una pe
Relevancia: 40% NACION, Internacionales Sbado 8 de mayo, 2004
INTERNET
Nadie logra controlar la epidemia: el correo
basura invade las casillas de todo el mundo
Apenas 150 spammers norteamericanos son los responsables del 90 por ciento
delos mensajes no deseados queatestan las computadoras detodoel mundo.
Todavano hay leyes paralimitar su impacto econmico.
Algunos datos
3
2005
En mi compaa ya tenemos seguridad porque ...
... implementamos un firewall.
... contratamos una persona para el rea.
... en la ltima auditora de sistemas no me
sacaron observaciones importantes.
... ya escrib las polticas.
... hice un penetration testing y ya arreglamos
todo.
Algunas realidades
2005
En general todos coinciden en:
El 80% de los incidentes/fraudes/ataques son
efectuados por personal interno
Fuentes:
The Computer Security Institute
Cooperative Association for Internet Data Analysis (CAIDA)
CERT
SANS
Algunos datos
4
2005
Algunos datos
2005
Algunos datos
5
2005
No existe la verdad absoluta en Seguridad
Informtica.
No es posible eliminar todos los riesgos.
No se puede ser especialista en todos los temas.
La Direccin est convencida de que la Seguridad
Informtica no hace al negocio de la compaa.
Cada vez los riesgos y el impacto en los negocios son
mayores.
No se puede dejar de hacer algo en este tema.
Algunas premisas
2005
Captura de PC desde el exterior
Violacin de e-mails
Violacin de contraseas
Interrupcin de los servicios
Intercepcin y modificacin de e-mails
Virus
Fraudes informticos
Incumplimiento de leyes y regulaciones
Robo o extravo de notebooks
empleados deshonestos
Robo de informacin
Destruccin de soportes documentales
Acceso clandestino a redes
Intercepcin de comunicaciones
Destruccin de equipamiento
Programas bomba
Acceso indebido a documentos impresos
Software ilegal
Agujeros de seguridad de redes conectadas
Falsificacin de informacin
para terceros
Indisponibilidad de informacin clave
Spamming
Violacin de la privacidad de los empleados
Ingeniera social
Principales riesgos
Propiedad de la Informacin
Mails annimos con informacin crtica o con agresiones
Pistas para auditar inexistentes o no son chequeadas
6
2005
En estos tipos de problemas es difcil:
Darse cuenta que pasan, hasta que pasan.
Poder cuantificarlos econmicamente, por ejemplo
cunto le cuesta a la compaa 4 horas sin sistemas?
Poder vincular directamente sus efectos sobre los
resultados de la compaa.
Principales riesgos y el impacto en los negocios
2005
Se puede estar preparado para que ocurran los menos posibles:
sin grandes inversiones en software
sin mucha estructura de personal
Tan solo:
ordenando la Gestin de Seguridad
parametrizando la seguridad propia de los sistemas
utilizando herramientas especializadas
Principales riesgos y el impacto en los negocios
7
2005
Normas aplicables
2005
Entre los distintos organismos relacionados comercial y/o
institucionalmente con los temas de Seguridad de la Informacin,
podemos encontrar los siguientes:
Information Systems and Audit Control Association - ISACA:
COBIT
British Standards Institute: BS
International Standards Organization: Normas ISO
Departamento de Defensa de USA: Orange Book
ITSEC Information Technology Security Evaluation Criteria: White
Book
Sans Institute
Normas aplicables
8
2005
Gestin de Seguridad
Norma ISO 17799
2005
International Standards Organization: Normas ISO
ISO 9001 Calidad
ISO 14001 Ambiental
ISO 17799 Seguridad de la Informacin
La principal norma de Evaluacin e Implementacin de
medidas de Seguridad en Tecnologas de la Informacin
es la NORMA ISO 17799.
Basada en el BRITISH STANDARD 7799.
ISO (Europa) y NIST (USA).
Normas de Gestin ISO
9
2005
Dos partes:
17799 1 . NORMALIZACION (Mejores Prcticas)
Homologada en Argentina IRAM/ISO/IEC 17799
17799 2 . CERTIFICACION
An no fue publicada por ISO.
Hoy en da las certificaciones son sobre el BS 7799.
Norma ISO 17799 Seguridad de la Informacin
2005
Preservar la:
confidencialidad:
accesible slo a aquellas personas autorizadas a tener acceso.
integridad:
exactitud y totalidad de la informacin y los mtodos de
procesamiento.
disponibilidad:
acceso a la informacin y a los recursos relacionados con ella
toda vez que se requiera.
10
2005
Encuentre como seleccionar e implantar los controles
correctos que le permitan a la organizacin reducir el riesgo a
un nivel aceptable
Administracin de Riesgos
Realice el inventario y evale el activo a proteger
Identifique y evale amenazas y vulnerabilidades
Diagnostique el nivel de cumplimiento con ISO 17799
Calcule el valor de riesgos asociados
Evaluacin de Riesgos
Identifique el alcance y los lmites del marco de direccin de
seguridad de la informacin. Este paso es crucial para el xito
del proyecto
Definicin del SGSI
(Sistema de Gestin de la
Seguridad de la Informacin)
Asegure el compromiso de la direccin
Seleccione y entrene a los miembros del equipo inicial de
proyecto
Iniciacin del Proyecto
Descripcin
Pasos de la metodologa y
ciclo para implementar el
estndar
Metodologa y Ciclo de Implementacin
2005
Metodologa y Ciclo de Implementacin (continuacin)
Aprenda a mejorar la eficiencia de su SGSI conforme al
modelo de administracin reconocido por la ISO.
Control y mejora continua
Aprenda ms sobre los pasos realizados por auditores
externos y averige sobre los cuerpos de certificacin
acreditados BS 7799-2 UNE 71502
Auditora
Aprenda a validar su marco de seguridad y que debe hacer
antes de traer a un auditor externo para la certificacin BS
7799-2 UNE 71502.
Preparacin para la Auditara
Los empleados pueden ser el eslabn ms dbil en la
seguridad de la informacin de su organizacin. Aprenda a
establecer un programa de concienciacin de la seguridad
de la informacin
Entrenamiento y
concientizacion
Descripcin
Pasos de la metodologa y
ciclo para implementar el
estndar
11
2005
Obstculos potenciales Factor de xito
Recursos y personal
dedicado
Personal externo
experimentado
Buena comprensin del
funcionamiento (gestin) y
los procesos (operaciones)
de gestin del riesgo
Comunicaciones
frecuentes
Sensibilizacin de gerentes
y empleados
Compromiso de la
direccin superior
Estructura del enfoque
Miedo, resistencia al
cambio
Riesgo de
contigidad
Costos crecientes
Conocimiento
insuficiente del
acercamiento
seleccionado
Tareas
aparentemente
insuperables
2005
Las 10 Secciones de ISO 17799
Control de accesos
Clasificacin y
control de los activos
Poltica de
seguridad
Organizacin de
la Seguridad
Seguridad
del personal
Seguridad fsica
y medioambiental
Gestin de
comunicaciones
y operaciones
Desarrollo y
mantenimiento
Administracin de
la continuidad
Cumplimiento
Informacin
Confidencialidad
disponibilidad
integridad
Las 10 Secciones de ISO 17799
12
2005
Dominios de Norma ISO 17799
Dominio 1 - Poltica de Seguridad
2005
Dominio 1: POLTICA DE SEGURIDAD
Nivel gerencial debe:
aprobar y publicar la poltica de seguridad
comunicarlo a todos los empleados
13
2005
Debe incluir:
objetivos y alcance generales de seguridad
apoyo expreso de la direccin
breve explicacin de los valores de seguridad de la
organizacin
definicin de las responsabilidades generales y
especficas en materia de gestin de la seguridad de la
informacin
referencias a documentos que puedan respaldar la
poltica
2005
Poltica de
Seguridad
Autorizacin
Proteccin Fsica
Propiedad
Eficacia
Eficiencia
Exactitud
Integridad
Legalidad
Disponibilidad
Confidencialidad
Confiabilidad
14
2005
Dominio 2
Organizacin de la Seguridad
2005
Dominio 2: ORGANIZACION DE LA SEGURIDAD
Infraestructura de seguridad de la informacin
Debe establecerse un marco gerencial para iniciar y
controlar la implementacin.
Deben establecerse adecuados foros de gestin de
seguridad y responsabilidades para cada usuario en la
organizacin.
Se debe establecer una fuente de asesoramiento
especializado en materia de seguridad y contactos con
organizaciones externas
15
2005
Foros de Gestin
aprobar la poltica de seguridad de la informacin,
asignar funciones de seguridad
actualizarse ante cambios
coordinar la implementacin
definir metodologas y procesos especficos de
seguridad
monitorear incidentes de seguridad
lidera el proceso de concientizacin de usuarios
2005
Sponsoreo y seguimiento
Direccin de la Compaa
Foro / Comit de Seguridad
Autorizacin
Dueo de datos
Definicin
rea de Seguridad Informtica
rea de Legales/RRHH/DD/FORO
Administracin
Administrador de Seguridad
Cumplimiento directo
Usuarios finales
Terceros y personal contratado
rea de sistemas
Control
Auditora Interna
Auditora Externa
Principales roles y funciones
16
2005
Seguridad frente al acceso por parte de terceros
El acceso por parte de terceros debe ser
controlado.
Debe llevarse a cabo una evaluacin de riesgos:
determinar las incidencias en la seguridad y los
requerimientos de control.
Los controles deben ser acordados y definidos en
un contrato con la tercera parte.
2005
Tipos de terceros
personal de mantenimiento y soporte de hardware y
software;
limpieza, "catering", guardia de seguridad y otros
servicios de soporte tercerizados;
pasantas de estudiantes y otras designaciones
contingentes de corto plazo;
consultores.
17
2005
Dominio 3
Clasificacin y Control de Activos
2005
Inventarios de Informacin e Instalaciones
Designar un propietario para cada uno de ellos
Clasificacin de la informacin
Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS
18
2005
Dominio 4
Seguridad del Personal
2005
Seguridad en la definicin de puestos de trabajo y la
asignacin de recursos
Las responsabilidades en materia de seguridad deben ser:
explicitadas en la etapa de reclutamiento,
incluidas en los contratos y
monitoreadas durante el desempeo como empleado.
Dominio 4: SEGURIDAD DEL PERSONAL
19
2005
Capacitacin del usuario
Garantizar que los usuarios estn al corriente de las
amenazas e incumbencias en materia de seguridad de la
informacin, y estn capacitados para respaldar la poltica
de seguridad de la organizacin en el transcurso de sus
tareas normales.
2005
Respuesta a incidentes y anomalas en materia de
seguridad
Minimizar el dao producido por incidentes y anomalas
en materia de seguridad, y monitorear dichos incidentes y
aprender de los mismos.
20
2005
Proceso disciplinario
Debe existir un proceso disciplinario formal para los
empleados que violen las polticas y procedimientos de
seguridad de la organizacin.
2005
Dominio 5
Seguridad Fsica y Ambiental
21
2005
Dominio 5: SEGURIDAD FISICA Y AMBIENTAL
Impedir accesos no autorizados, daos e interferencia a:
sedes
instalaciones
informacin
2005
Permetro de seguridad fsica
Controles de acceso fsico
Seguridad del equipamiento
Suministros de energa
Cableado de energa elctrica y de comunicaciones
Mantenimiento de equipos
Seguridad del equipamiento fuera del mbito de la
organizacin
Polticas de escritorios y pantallas limpias
Retiro de bienes
Dominio 5: SEGURIDAD FISICA Y AMBIENTAL
22
2005
Dominio 6
Gestin de Operaciones y
Comunicaciones
2005
Dominio 6: GESTION DE OPERACIONES Y COMUNICACIONES
Garantizar el funcionamiento correcto y seguro de las
instalaciones de procesamiento de la informacin.
Se deben establecer las responsabilidades y
procedimientos para la gestin y operacin de todas
las instalaciones de procesamiento de informacin.
Se debe implementar la separacin de funciones
cuando corresponda.
Se deben documentar los procedimientos de
operacin
23
2005
Separacin entre instalaciones de desarrollo e
instalaciones operativas
Deben separarse las instalaciones de:
Desarrollo
Prueba
Operaciones
Se deben definir y documentar las reglas para la
transferencia de software desde el estado de desarrollo
hacia el estado operativo.
2005
Procesos de:
Planificacin y aprobacin de sistemas
Proteccin contra software malicioso
Mantenimiento back up
Administracin de la red
Administracin y seguridad de los medios de
almacenamiento
Acuerdos de intercambio de informacin y software
24
2005
Dominio 7
Sistema de Control de Accesos
2005
Dominio 7: SISTEMA DE CONTROL DE ACCESOS
Requerimientos de negocio para el control de accesos
Coherencia entre las polticas de control de acceso y de
clasificacin de informacin de los diferentes sistemas
y redes
Administracin de accesos de usuarios
Se deben implementar procedimientos formales para
controlar la asignacin de derechos de acceso a los
sistemas y servicios de informacin.
25
2005
Administracin de accesos de usuarios
Administracin de privilegios
Responsabilidades del usuario
Control de acceso a la red
Camino forzado
Autenticacin de usuarios para conexiones externas
Monitoreo del acceso y uso de los sistemas
Dominio 7: SISTEMA DE CONTROL DE ACCESOS
2005
Dominio 8
Desarrollo y Mantenimiento de Sistemas
26
2005
Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Requerimientos de seguridad de los sistemas.
Asegurar que la seguridad es incorporada a los sistemas
de informacin.
Los requerimientos de seguridad deben ser
identificados y aprobados antes del desarrollo de los
sistemas de informacin.
2005
Dominio 8: DESARROLLO Y MANTENIMIENTO DE SISTEMAS
Seguridad en los sistemas de aplicacin
Se deben disear en los sistemas de aplicacin, incluyendo
las aplicaciones realizadas por el usuario, controles
apropiados y pistas de auditoria o registros de actividad,
incluyendo:
la validacin de datos de entrada,
procesamiento interno, y
salidas.
27
2005
Dominio 9
Plan de Continuidad del Negocio
2005
Dominio 9: PLAN DE CONTINUIDAD DEL NEGOCIO
Contrarrestar las interrupciones de las actividades
comerciales y proteger los procesos crticos de los
negocios de los efectos de fallas significativas o desastres.
Se debe implementar un proceso de administracin de
la continuidad de los negocios
Se deben analizar las consecuencias de desastres, fallas
de seguridad e interrupciones del servicio.
28
2005
Se deben desarrollar e implementar planes de
contingencia para garantizar que los procesos de
negocios puedan restablecerse dentro de los plazos
requeridos.
Los planes deben mantenerse en vigencia y
transformarse en una parte integral del resto de los
procesos de administracin y gestin.
La administracin de la continuidad de los negocios
debe incluir controles destinados a identificar y
reducir riesgos, atenuar las consecuencias de los
incidentes perjudiciales y asegurar la reanudacin
oportuna de las operaciones indispensables.
2005
Principales etapas
Clasificacin de los distintos escenarios de desastres
Evaluacin de impacto en el negocio
Desarrollo de una estrategia de recupero
Implementacin de la estrategia
Documentacin del plan de recupero
Testeo y mantenimiento del plan
29
2005
Dominio 10
Cumplimiento
2005
Dominio 10 : CUMPLIMIENTO
Impedir infracciones y violaciones de las leyes del
derecho civil y penal; de las obligaciones establecidas
por leyes, estatutos, normas, reglamentos o contratos;
y de los requisitos de seguridad.
Garantizar la conformidad de los sistemas con las
polticas y estndares de seguridad de la
organizacin.
Maximizar la efectividad y minimizar las
interferencias de los procesos de auditora de
sistemas.
30
2005
Recoleccin de evidencia
La evidencia presentada debe cumplir con las pautas
establecidas en la ley pertinente o en las normas
especficas del tribunal en el cual se desarrollar el caso:
validez de la evidencia: si puede o no utilizarse la
misma en el tribunal;
peso de la evidencia: la calidad y totalidad de la
misma;
2005
adecuada evidencia de que los controles han
funcionado en forma correcta y consistente durante
todo el perodo en que la evidencia a recuperar fue
almacenada y procesada por el sistema.
Para lograr la validez de la evidencia, las organizaciones
deben garantizar que sus sistemas de informacin
cumplan con los estndares o cdigos de prctica relativos
a la produccin de evidencia vlida.
31
2005
Revisiones de la poltica de seguridad y la
compatibilidad tcnica
Garantizar la compatibilidad de los sistemas con las
polticas y estndares (normas) de seguridad de la
organizacin.
2005
Auditoria de sistemas
Optimizar la eficacia del proceso de auditoria de sistemas
y minimizar los problemas que pudiera ocasionar el
mismo, o los obstculos que pudieran afectarlo.
Deben existir controles que protejan los sistemas de
operaciones y las herramientas de auditoria en el
transcurso de las auditorias de sistemas.
32
2005
Delitos tradicionalmente denominados informticos
Relacin entre RIESGOS y DELITOS informticos
Delitos convencionales
Infracciones por Mal uso
2005
o Proteccin de Datos Personales Habeas Data
o Firma Digital.
o Propiedad intelectual / Software Legal
o Regulacin de las Comunicaciones Comerciales Publicitarias por
Correo Electrnico Antispam
o Delitos Informticos
o Confidencialidad de la Informacin y productos protegidos
o Normativa especfica del Banco Central de la Repblica Argentina
Principales Leyes y Proyectos de Ley relacionados con la
Seguridad Informtica en Argentina
33
2005
1. Poltica de Seguridad
2. Organizacin de Seguridad
3. Clasificacin y Control de Activos
4. Aspectos humanos de la seguridad
5. Seguridad Fsica y Ambiental
6. Gestin de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Desarrollo y Mantenimiento de Sistemas
9. Plan de Continuidad del Negocio
10.Cumplimiento
2005
Implementacin del ISMS
Programa Continuo de
34
2005
R
Identificacin de los principales riesgos informticos
para su compaa
P
Definicin por la Direccin de una poltica bsica de
seguridad
A
Accin concreta en dos frentes:
Normativo
Implementacin de un Programa de Seguridad
Ejecutivo
2005
Identificacin de riesgos en su compaa
Fraudes informticos
Ataques externos a las redes
Modificaciones no autorizadas de datos por empleados
Acceso y difusin inoportuna de datos sensibles
Falta de disponibilidad de los sistemas
Software ilegal
Falta de control de uso de los sistemas
Destruccin de informacin y equipos
R
Clasificacin de los ms crticos
35
2005
Personas y Organizaciones
dentro y/o fuera
Identificacin de riesgos en su compaa R
Competidores
Empleados descontentos
Proveedores
Clientes
Hackers
Consultores in company
Compaas asociadas
2005
en los sistemas centrales
en las PCs
en las laptops
en los e mails
en contratos
en documentos impresos
en los legajos del personal
Donde hay informacin sensible
Identificacin de riesgos en su compaa R
36
2005
Definicin de una poltica bsica de
seguridad
Breve
Clara
Implementable
Puesta en marcha por la Direccin
Difundida al personal y terceros
P
2005
Definicin de una poltica bsica de
seguridad
P
Poltica de
Seguridad
Autorizacin
Proteccin Fsica
Propiedad
Eficacia
Eficiencia
Exactitud
Integridad
Legalidad
Disponibilidad
Confidencialidad
Confiabilidad
37
2005
Sponsoreo y seguimiento
Direccin de la Compaa
Comit de Seguridad
Autorizacin
Dueos de datos
Definicin
Area de Seguridad Informtica
Area de Legales/otras
Identificacin de responsabilidades
de seguridad
Accin concreta: Plano Normativo A
Cumplimiento directo
Usuarios finales
Terceros y personal contratado
Area de sistemas
Administracin
Administrador de Seguridad
Control
Auditora Interna / Externa
2005
Accin concreta: Plano Normativo
Normas con definiciones
Procedimientos con accin de usuarios
Estndares tcnicos para los sistemas
Esquema de reportes de auditora
De acuerdo con regulaciones y legislaciones vigentes
Desarrollo de la normativa bsica y
publicacin
A
38
2005
Definicin de acciones a sancionar y medidas disciplinarias a imponer
Comunicarcin al personal y terceros in company
Utilizacin de convenios de confidencialidad
Definicin de un sistema de premios y
castigos en su compaa
Accin concreta: Plano Normativo A
2005
Perfil de la funcin
Anlisis de riesgos informticos
Participacin en proyectos especiales
Administracin del da a da
Objetivos y tareas bsicas
Programas de trabajo rutinarios
Automatizacin de tareas y reportes en los sistemas
Definicin e implementacin de la funcin de
Seguridad Informtica
Accin concreta: Plano Ejecutivo A
39
2005
Administracin de Usuarios y Permisos en los Sistemas
Separacin de Ambientes de Trabajo
Licencias legales de Software
Copias de Respaldo
Seguridad Fsica de las Instalaciones y Recursos
Prevencin de Virus y Programas Maliciosos
Seguridad en las Comunicaciones
Auditora Automtica y Administracin de Incidentes de Seguridad
Uso del Correo Electrnico
Uso de Servicios de Internet
Mejoras en los procesos del rea de Sistemas
2005
El Plan de Continuidad del Procesamiento es parte integrante del Plan de
Continuidad del Negocio y se enmarca especficamente en:
Definir los riesgos emergentes ante una situacin de interrupcin no
prevista del procesamiento de la informacin relacionada con las
operaciones de los sistemas y definir los planes de recupero de la
capacidad de procesamiento para minimizar los impactos de la
interrupcin en la correcta marcha del negocio.
El punto central es focalizarse especficamente en la recuperacin de las
funciones y sistemas crticos para el negocio, cuya interrupcin puede afectar
directamente los objetivos de la compaa.
40
2005
Componentes
- Tecnolgico: procesamiento de los sistemas
- Funcional: procedimientos del personal
2005
Etapas en la Implementacin del Plan
1: Clasificacin de los distintos escenarios de desastres
2: Evaluacin de impacto en el negocio
3: Desarrollo de una estrategia de recupero
4: Implementacin de la estrategia
5: Documentacin del plan de recupero
6: Testeo y mantenimiento del plan
41
2005
Redes internas
Accesos externos
Bases de datos
Sistemas aplicativos
Correo electrnico
Servidores, PCs y laptops
Seguridad fsica
Integracin con otras tecnologas
Parametrizacin de las redes y los
sistemas de una forma ms segura
Anlisis de la posibilidad de uso de softwares de seguridad avanzada
(encripcin, administracin centralizada, monitoreo automtico)
2005
Acciones preventivas de monitoreo las 24 hs
Implementacin de Help Desk de Seguridad
Circuitos de reportes de incidencias
Monitoreos peridicos
Auditoras
Implementacin de monitoreos de
incidentes de seguridad
42
2005
Concientizacin a los usuarios en seguridad
Usuarios finales
Usuarios del rea de sistemas
Terceros in company
Intranet de seguridad
Correo electrnico
Mensajes en cartelera
Presentaciones grupales
Videos institucionales
Firma de compromisos
Utilizando la tecnologa y los medios disponibles
2005
Implemente Ud. Mismo
el ISMS ISO 17799
43
2005
Diagnstico Inicial:
Efectuar Diagnstico Inicial de la situacin de
la Compaa en relacin a los requerimientos
de la ISO 17799.
2 a 3 semanas
Implemente Ud. Mismo el ISMS ISO 17799
2005
Mdulos:
Se agrupan por Mdulos cada conjunto de
tareas, debiendo identificarse la duracin de
cada uno de ellos, en general, podr variar
entre 2 a 4 semanas c/u dependiendo del
Diagnstico y del grado de involucramiento
del personal.
44
2005
Mdulo 1:
Relevar los planes de seguridad funcionales
y tcnicos en proceso en la compaa
Iniciar proceso de Identificacin de Riesgos y
Clasificacin de Informacin Sensible
Definir el Plan de Tareas para los 2 primeros
aos (integrando otros proyectos de
seguridad en curso)
2005
Mdulo 2:
Definir, aprobar y difundir la Poltica de
Seguridad de la Compaa
Definir la estructura y alcance del Manual de
Seguridad de la Informacin de la Compaa
Definir y difundir las responsabilidades de
Seguridad Informtica de cada sector de la
Compaa
Implementar Esquema de Propietarios de
Datos
45
2005
Mdulo 3:
Definir e iniciar el proceso de Concientizacin
de Usuarios internos y Terceros
Iniciar proceso de redaccin de las Normas
2005
Mdulo 4:
Finalizar Clasificacin de Informacin
Relevar medidas implementadas en las
funciones del rea de sistemas
46
2005
Mdulo 5:
Finalizar la Redaccin y Difundir las Normas
de Seguridad
Implementar las definiciones de las Normas
2005
Mdulo 6:
Implementar las mejoras de seguridad en las
Funciones y Roles del rea de Sistemas
Implementar mejoras en los sectores
usuarios para informacin impresa
47
2005
Mdulo 7:
Iniciar proceso de redaccin de
Procedimientos crticos
Iniciar Programa de Continuidad del Negocio
/ Procesamiento Crtico de la Informacin
2005
Mdulo 8:
Finalizar la redaccin y difundir los
Procedimientos crticos
Relevamiento general del cumplimiento del
Marco Legal y Regulatorio (leyes vigentes,
etc)
48
2005
Mdulo 9:
Implementar los Procedimientos de
Seguridad Crticos
Relevar e Integrar los Estndares Tcnicos
de Seguridad desarrollados dentro del
Manual de Seguridad
2005
Mdulo 10:
Definir junto a RRHH mecanismos de Control
y Sanciones
Efectuar la Concientizacin de Usuarios de
toda la Compaa
49
2005
Mdulo 11:
Diagnstico General respecto Norma ISO
17799 (similar a una Preauditora de
Certificacin ISO)
2005
Mdulo 12:
Implementacin de las mejoras identificadas
en el Diagnstico segn ISO 17799
50
2005
Errores en asignacin de Dueos de Datos
Interrelacin compleja con otros proyectos
Extenso perodo de discusin de la normativa
Implementacin prolongada en algunas tecnologas
Discusiones con proveedores de software por
soluciones
Personas de peso deciden aplicar las polticas para
todos menos para ellos
Casos prcticos de implementaciones: key points
2005
Algunas soluciones tcnicas slo son aplicables para
todos los usuarios de todas las compaas al mismo
tiempo
Prolongados perodos de evaluacin de riesgos
Diferencias de criterios en clasificacin de la
informacin
Dificultades en implementacin de medidas
disciplinarias
Se deja para etapas posteriores las medidas de
contingencia de los equipos de procesamiento
51
2005
Facilidad en el USO vs mejor PROTECCION
de la Informacin
2005
Muchas Gracias
itecsa@itecsasoft.com
gbonilla@itecsasoft.com

Conferencia ISO17799

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Conferencia ISO17799

Caricato da

Copyright:

Formati disponibili

1

Potrebbero piacerti anche