Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
TRACK I :
APERTURA
Recepcin
Presentacin General
Objetivos
Director
Sugerencias
Participantes
Roadmap
Objetivos
Adquirir conocimientos y metodologas de implementacin
de medidas de seguridad de acuerdo con los requerimientos
de la Norma ISO 17799 / ISO 27001 :
Identificacin de los requerimientos especficos de la
norma ISO 17799 en sus 11 dominios.
Comprender el proceso de adecuar la compaa para
lograr la Certificacin ISO 27001.
Talleres prcticos de implementaciones: soluciones y
problemas ocurridos.
Al final del Entrenamiento se entregar a cada participante un
Manual de Gestin de Seguridad de la Informacin basado en
la Norma ISO 17799 / ISO 27001.
Sugerencias
Identificar objetivos.
Anotar respuestas.
Intercambiar experiencias.
Generar un plan de accin propio.
Participar activamente.
Aclarar las dudas.
Ser positivo y entusiasta.
Comunicar los inconvenientes o disconformidades.
Roadmap
TRACK I : APERTURA
TRACK II : QUE ES SEGURIDAD?
TRACK III : NORMAS APLICABLES
TRACK IV : Cmo se implementa un Programa de Gestin de
Seguridad de la Informacin (ISMS)?
TRACK V : Cmo es un Proceso de Certificacin ISO 27001 de una
Organizacin?
TRACK VI : Principales controles definidos en cada uno de los
Dominios de la ISO17799:2005
TRACK VII : Taller Prctico FINAL: Elaboracin de un Programa
General de Seguridad para preparar a la Compaa para Certificar
TRACK VIII : MODELO ANUAL DE GESTION CONTINUA
TRACK II :
QUE ES SEGURIDAD?
Por que?
Reconocer los riesgos y su impacto en
los negocios
Algunos datos
INTERNET
11:22 | EL GUSANO
Un nuevo virus se
esconde en tarjetas
navideas
ESTAFAS EN INTERNET
El phishing ya pesca en todo America
Detectaron casos que afectaron a numerosas empresas y a los clientes
de bancos estadounidenses y del resto de America.
Algunos hechos
12:50 | A TRAVES DE MAIL
Utilizan las siglas del FBI para
propagar un virus
La famosa polica federal
estadounidense advirti sobre
la difusin de falsos correos
electrnicos que llevan su
nombre.
La pregunta secreta
del caso "Paris Hilton"
-----------------------------------------Hace apenas unos das salt la noticia de que
los contenidos del
telfono mvil de Paris Hilton haban sido
publicados en Internet. En
un principio se baraj la posibilidad de que
hubieran accedido a
la tarjeta SIM, o de que se tratara de una
intrusin a los servidores
de T-Mobile aprovechando inyecciones SQL.
Al final parece ser que el
mtodo empleado fue mucho ms sencillo,
bastaba con contestar a la
pregunta "cul es el nombre de su mascota
favorita?".
Algunos hechos
Legales | Infracciones Graves
El delito informtico
En forma amplia, es "toda accin reputada como delito
para cuya consumacin se utilizan o afectan medios
informticos". Vulneran tanto los equipos como los
programas, e incluyen virus, sustraccin de informacin o
piratera.En un terreno ms restringido, son slo aquellas
acciones que vulneran los equipos fijos de computacin.
Libertad, control y responsabilidad en Internet
se condena a los
responsables de un sitio de internet por un mensaje
injurioso annimo ingresado en un libro de visitas, de
Diariojudicial.com publica hoy un polmico fallo por el que
libre acceso por los navegantes. La resolucin preocupa a los sitios web y puede sentar un
duro precedente para aquellos que contengan foros y libros de visitas abiertos al pblico.
Algunos datos
La seguridad de redes, una prioridad para las
empresas
Cisco public los resultados de un estudio de
seguridad realizado a directivos latinoamericanos
de IT. De acuerdo a los resultados, el 79 % de los
Directivos de IT de Latinoamrica opina que la
seguridad de redes es un tema "de extrema
prioridad" o "muy prioritario" para los directivos de
sus compaas.
Algunos datos
NEGOCIOS
Algunas premisas
No existe la verdad absoluta en Seguridad
Informtica.
No es posible eliminar todos los riesgos.
La Direccin est convencida de que la Seguridad
Informtica no hace al negocio de la compaa.
Cada vez los riesgos y el impacto en los negocios son
mayores.
Algunas realidades
En mi compaa ya tenemos seguridad porque ...
... implementamos un firewall.
... contratamos una persona para el rea.
... en la ltima auditora de sistemas no me
sacaron observaciones importantes.
... ya escrib las polticas.
... hice un penetration testing y ya
arreglamos todo.
Algunos datos
En general todos coinciden en:
El 80% de los incidentes/fraudes/ataques son
efectuados por personal interno
Fuentes:
The Computer Security Institute
Cooperative Association for Internet Data Analysis (CAIDA)
CERT
SANS
Algunos datos
Segn una encuesta del Departamento de Defensa
de USA:
Sobre aproximadamente
atacados,
7,900 fueron daados.
400 detectaron el ataque.
Slo 19 informaron el ataque.
9000
computadores
Qu Informacin proteger
en formato electrnico / magntico / ptico
en formato impreso
en el conocimiento de las personas
Principales riesgos
Spamming
Violacin de e-mails
Violacin de contraseas
Virus
Robo de informacin
Destruccin de equipamiento
Ingeniera social
Fraudes informticos
empleados deshonestos
Programas bomba
Propiedad de la Informacin
Software ilegal
Intercepcin de comunicaciones
Falsificacin de informacin
para terceros Agujeros de seguridad de redes conectadas
Principales riesgos
Instalaciones default
Escalamiento de privilegios
Password cracking
Puertos vulnerables abiertos
Man in the middle
Exploits
Desactualizacin
Replay attack
Backups inexistentes
Port scanning
Keylogging
TRACK III :
NORMAS APLICABLES
1000
750
500
250
0
2002
2003
2004
2005
Japn 1.338, India 163, Taiwan 77, Inglaterra 74, USA 34,
Espaa 6 ,Brazil 5, Mexico 4, Argentina 3, Colombia 2, Chile 1
www.Xisec.com
Iceland, 4
Norw ay, 9
Sw eden, 7
Korea, 30
Finland, 13
UK, 185
Isle of Man, 2
Japan, 480
Denm ark, 2
Netherlands, 18
China, 10
Lithuania, 1
Qatar, 1
Poland, 5
Ireland, 10
Germ any, 36
Belgium , 5
Luxem burg, 1 Austria, 5
Sw itzerland, 5
Czech Republic, 1
Slovakia, 1
UAE, 3
Saudi Arabia, 3
Taiwan, 46
Hong Kong, 17
Macau, 1
India, 81
Hungary, 12
Spain, 3
Malaysia, 2
Macedonia, 1
Singapore, 10
Italy, 23
Greece, 3
Australia, 11
Certification bodies:
LRQA (UK)
SGS (Suiza)
JACO (Japn)
JICQA (Japn)
KPMG (Suiza)
JUSE (Japn)
DNV (Noruega)
STQC (India)
DQS (Alemania)
TV (Alemania)
KEMA (Holanda)
SFS (Finlandia)
BVQI (UK)
JQA (Japn)
PSB (Singapur)
CE (Irlanda)
IMQ (Italia)
SAI (Australia)
CIS (Austria)
BSI-J (Japn)
NQA (UK)
BSI (UK)
Otros
ISO9001 Calidad
ISO14001 Ambiental
ISO17799-1 Seguridad de la Informacin - 1 .
NORMALIZACION (Mejores Prcticas)
ISO 27001 CERTIFICACION de Seguridad de la
Informacin
NUEVA SECCION
antes 10 ahora 11 Dominios
ADMINISTRACION DE INCIDENTES
ISO17799:2000 vs ISO17799:2005
ISO17799:2005
ISO17799:2000
1.
Alcance
1.
Alcance
2.
Trminos y definiciones
2.
Trminos y definiciones
3.
4.
3.
Poltica de Seguridad
5.
Poltica de Seguridad
4.
Organizacin de la
Seguridad de la Informacin
6.
Organizacin de la Seguridad de la
Informacin
5.
Clasificacin y Control de
Activos
7.
Administracin de Activos
6.
8.
7.
9.
8.
Administracin de las
Comunicaciones y
Operaciones
10.
9.
Administracin de Accesos
11.
Administracin de Accesos
10
.
Desarrollo y Mantenimiento
de Sistemas
12.
13.
11
.
Administracin de la
Continuidad del Negocio
14.
12
.
Cumplimiento
15.
Cumplimiento
BS7799-2
Fue revisado y se ha convertido en la nueva
ISO 27001
Octubre 15, 2005
De la misma forma se espera que
la ISO 17799 se convierta en ISO 27002
TRACK IV :
Cmo se implementa un
Programa de Gestin de
Seguridad de la Informacin
(ISMS)?
generales
de
porqu
Planificar
Verificar
Hacer
Requisitos
FUNDAMENTALES
Documentacin SOPORTE en un SGSI
de
la
con
los
ayudan
al
Documental
TRACK V :
Cmo es un Proceso de
Certificacin ISO 27001 de una
Organizacin?
QU ES CERTIFICAR?
El proceso de Certificacin es la Generacin de
un INFORME Firmado por parte de un
TERCERO (ajeno a la organizacin) que define
que,
de
acuerdo
con
su
CRITERIO
PROFESIONAL, dicha Organizacin CUMPLE o
NO
CUMPLE
con
los
Requerimientos
establecidos en la Normativa.
PORQUE CERTIFICAR?
Para poder Mostrar al Mercado que la Organizacin tiene un
adecuado SISTEMA DE GESTION DE LA SEGURIDAD DE LA
INFORMACIN.
Una empresa CERTIFICADA no implica que NO TIENE MAS
RIESGOS DE SEGURIDAD DE LA INFORMACION, sino que
tienen un adecuado Sistema de Gestin de dichos Riesgos y
Proceso de MEJORA CONTINUA.
QUE
ORGANIZACIONES
CERTIFICAR?
PUEDEN
PERDER
LA
TRACK VI :
Principales controles definidos
en cada uno de los Dominios de
la ISO17799:2005
Confiabilidad
Confidencialidad
Propiedad
Poltica de
Seguridad
Disponibilidad
Legalidad
Eficiencia
Integridad
Eficacia
Exactitud
Estndares tcnicos
Dominio 2
Organizacin de la Seguridad
Administracin
Administrador de Seguridad
Cumplimiento directo
Usuarios finales
Terceros y personal contratado
rea de sistemas
Control
Auditora Interna
Auditora Externa
Dominio 3
Administracin de Activos
2.
3.
4.
5.
Consolidacin.
Dominio 4
Seguridad de los Recursos Humanos
Dominio 5
Seguridad Fsica y Ambiental
Dominio 6
Gestin de Operaciones y
Comunicaciones
Dominio
6:
GESTION
COMUNICACIONES
DE
OPERACIONES
Dominio 7
Sistema de Control de Accesos
Dominio 8
Adquisicin, Desarrollo y
Mantenimiento de Sistemas de
Informacin
Dominio 9
Administracin de Incidentes de
Seguridad de la Informacin
Dominio 10
Plan de Continuidad del Negocio
Dominio 11
Cumplimiento
TRACK VII :
Taller Prctico FINAL
Elaboracin de un Programa
General de Seguridad para
preparar a la Compaa para
Certificar
Implementacin
Seguridad
de
un
Programa
de
Ejecutivo
seguridad
Breve
Clara
Implementable
Puesta en marcha por la Direccin
Difundida al personal y terceros
seguridad
Autorizacin
Proteccin Fsica
Confiabilidad
Confidencialidad
Propiedad
Poltica de
Seguridad
Disponibilidad
Legalidad
Eficiencia
Integridad
Eficacia
Exactitud
Sponsoreo y seguimiento
Cumplimiento directo
Direccin de la Compaa
Usuarios finales
Comit de Seguridad
Autorizacin
Area de sistemas
Dueos de datos
Administracin
Definicin
Administrador de Seguridad
Presentaciones grupales
Correo electrnico
Videos institucionales
Mensajes en cartelera
Firma de compromisos
TRACK VIII :
MODELO ANUAL DE
GESTION CONTINUA
Diagnstico Inicial:
Efectuar Diagnstico Inicial de la
situacin de la Compaa en relacin
a los requerimientos de la ISO 17799.
2 a 3 semanas
Mdulos:
Se agrupan por Mdulos cada conjunto de
tareas, debiendo identificarse la duracin
de cada uno de ellos, en general, podr
variar entre 2 a 4 semanas c/u
dependiendo del Diagnstico y del grado
de involucramiento del personal.
Mdulo 1:
Relevar los planes de seguridad funcionales
y tcnicos en proceso en la compaa
Iniciar proceso de Identificacin de Riesgos y
Clasificacin de Informacin Sensible
Definir el Plan de Tareas para los 2 primeros
aos (integrando otros proyectos de
seguridad en curso)
Mdulo 2:
Definir, aprobar y difundir la Poltica de Seguridad
de la Compaa
Definir la estructura y alcance del Manual de
Seguridad de la Informacin de la Compaa
Definir y difundir las responsabilidades de
Seguridad de la Informacin de cada sector de la
Compaa
Implementar Esquema de Propietarios de Datos
Mdulo 3:
Definir e iniciar el proceso de
Concientizacin de Usuarios
internos y Terceros
Iniciar proceso de redaccin de las
Normas
Mdulo 4:
Finalizar Clasificacin de Informacin
Relevar medidas implementadas en
las funciones del rea de sistemas
Mdulo 5:
Finalizar la Redaccin y Difundir las
Normas de Seguridad
Implementar las definiciones de las
Normas
Mdulo 6:
Implementar las mejoras de seguridad
en las Funciones y Roles del rea de
Sistemas
Implementar mejoras en los sectores
usuarios para informacin impresa
Mdulo 7:
Iniciar proceso de redaccin de
Procedimientos crticos
Iniciar Programa de Continuidad del Negocio
/ Procesamiento Crtico de la Informacin
Mdulo 8:
Finalizar la redaccin y difundir los
Procedimientos crticos
Relevamiento general del cumplimiento del
Marco Legal y Regulatorio (leyes vigentes,
etc)
Mdulo 9:
Implementar los Procedimientos de
Seguridad Crticos
Relevar e Integrar los Estndares
Tcnicos de Seguridad desarrollados
dentro del Manual de Seguridad
Mdulo 10:
Definir junto a RRHH mecanismos de
Control y Sanciones
Efectuar la Concientizacin de
Usuarios de toda la Compaa
Mdulo 11:
Diagnstico General respecto Norma
ISO 17799 (similar a una Preauditora
de Certificacin ISO)
Mdulo 12:
Implementacin de las mejoras
identificadas en el Diagnstico segn
ISO 17799