Manual de Políticas de Seguridad de TI CIT

CONTENIDO
Porqué Obtener un Manual de
Seguridad de TI

Qué es un SGSI
Organización
Modelo de Gestión de la Seguridad

Diagrama de la Norma ISO/IEC 17799 Objetivo

Estructura del Manual de Políticas

Metodología PDCA Estrategia DRP

Entregables
Estrategia BIA
Beneficios

Consulting Information Technology All rights reserved CIT

 ¿Qué es un SGSI? CIT
Es un Sistema de Gestión de la
Seguridad de la Información.

Es un modelo de Gestión para la mejora

continua de la calidad de la seguridad
de la información.

o Realiza un análisis de riesgos.

o Define Políticas de Seguridad.
o Establece Controles.
o Utiliza el estándar certificable ISO/IEC
27002:2005.
o Acepta auditoría en 4 niveles:
Seguridad organizativa, Seguridad
lógica, Seguridad física y Seguridad
legal.

Consulting Information Technology CIT

 Modelo de gestión de la seguridad, ISO 17799 :
Administración de seguridad de la información CIT
Conformidad legal
(3 Objetivo, 10 Controles)

Plan de Continuidad de Negocio

Gestión de incidentes
(10 Objetivo, 30 Controles)
Política de seguridad

(7 Objetivo, 25 Controles)

(5 Objetivo, 18 Controles)
(2 Objetivo, 5 Controles)
Control de acceso
(1 Objetivo, 2 Controles)

Comunicaciones

Mantenimiento
Y operaciones

De sistemas

(1 Objetivo, 5 Controles)
Seguridad del personal Seguridad física
(3 Objetivo, 9 Controles) (2 Objetivo, 13 Controles)

Estructura organizativa Clasificación de activos

(2 Objetivo, 11 Controles) (2 Objetivo, 5 Controles)

Consulting Information Technology CIT

 Diagrama de la Norma
ISO 17999 CIT
Seguridad organizativa
Política de Seguridad Seguridad lógica

Seguridad física
Organización de la Seguridad legal
Seguridad de la información

Gestión de activos Control de accesos

conformidad

Seguridad física y del Seguridad en los

entorno Recursos Humanos

Gestión de Gestión de la Gestión de Adquisición, desarrollo y

Incidentes de seg. Continuidad del comunicaciones mantenimiento de
de la información negocio y operaciones sistemas de información

Consulting Information Technology CIT

 ISO/IEC 27002: 2005
Sección 5: Política de seguridad CIT
Política de seguridad
de la información Trata de que se
disponga de una
normativa común de
Documento
de política
seguridad que regule
las líneas maestras
sobre como va a
Revisión trabajar toda la
de la política
organización

Consulting Information Technology CIT

 ISO/IEC 27002:2005
Sección 6: Aspectos Organizativos de la
Seguridad de la Información
CIT
Organización Interna Seguridad en
accesos de
Terceras partes

Compromiso de la
Dirección
Identificación de
riesgos en el acceso
Coordinación de la Seg de terceros
Establece la estructura
Responsables de organizativa (terceros,
Seguridad
responsables, comités,
Autorización para colaboraciones, etc.) y su Tratamiento de seguridad
procesar la información funcionamiento de cara a En relación con los clientes
gestionar la seguridad de la
Acuerdo confidencialidad información

Contacto autoridades
Tratamiento de seguridad
Grupo especial de interés En contratos con terceros

Revisión independiente
De la seguridad de la
información

Consulting Information Technology CIT

 ISO/IEC 27002:2005
Sección 7: Clasificación y control de activos CIT
Responsabilidades Clasificación
sobre los activos de la información

Inventario de Incorpora las herramientas para

activos
establecer qué debe ser protegido,
qué nivel de protección requiere y
Directrices de quién es el responsable principal
clasificación de su protección
Propiedad de
los activos

Etiquetado y
manipulado de la
información
Uso aceptable de
los activos

Consulting Information Technology CIT

 ISO/IEC 27002:2005
Sección 8: Seguridad relacionada con el personal CIT
Seguridad antes Durante el Cese del empleo
del empleo empleo cambio de puesto

Responsabilidad del
Responsabilidades cese o cambio
Funciones y
de la
responsabilidades
dirección

Devolución de activos

Concienciación,
Investigación de
formación
antecedentes
y capacitación
Retiro de los derechos
de acceso

Términos y Procesos
condiciones disciplinarios

Establece las medidas de seguridad que se van

a tomar con el personal, ya que finalmente son
estos los que van a utilizar los sistemas y la
información
Consulting Information Technology CIT
 ISO/IEC 27002:2005
Sección 9: Seguridad física y del entorno CIT
Seguridad de los
Áreas seguras Equipos
de información

Emplazamiento y
Perímetro de Protección equipos
Seguridad física

Controles físicos
de entrada
Seguridad oficinas,
despachos e insta.
Protección amenazas
Externas de
origen ambiental
Instalaciones
suministros
Incluye las medidas de
seguridad física (edificios, Seguridad cableado
salas, cableado, armarios,
etc.) que se deben tomar para Mantenimiento
de equipos
proteger los sistemas y la
información
Seguridad equipos
fuera de la oficina

Trabajo en Reutilización o ret.

áreas seguras Segura de equipo

Zonas de carga Retirada de materiales

y descarga Propiedad de la
empresa

Consulting Information Technology CIT

 ISO/IEC 27002:2005
Sección 10: Gestión de comunicaciones y operaciones
Procedimientos y
responsabilidades
Procedimientos de
operaciones escritos
Control de cambios
operacionales
Segregación de
tareas y
responsabilidades
Separación de
Ambientes (desarrollo,
Prueba y operación)
Consulting Information Technology
CIT
Provisión servicios Protección código
por terceros Malicioso y descargable
Provisión de servicios Control contra código
malicioso.
Supervisión y revisión
Control contra código
Servicios por terceros
Descargado por el
cliente
Gestión de cambios
Servicios prestado
por terceros Planificación y
Aceptación del sist.
Determina las medidas de Gestión de
capacidades
seguridad que la organización
debe contemplar en sus
operaciones y en el uso de las
Aceptación del
comunicaciones
Sistema
CIT
 ISO/IEC 27002:2005
Sección 10: Gestión de comunicaciones y operaciones CIT
Manipulación Intercambio de
Copias de seguridad
de los soportes información

Gestión de soportes
extraíbles Políticas y
Copias de seguridad de procedimiento
La información Intercambio de informac.
Retirada de soportes

Acuerdos de cambio
Seguridad de Procedimientos de
Redes Manipulación de la info.

Controles de red Soportes físicos

Seguridad de la
en transito
Documentación del sist.

Seguridad de los
Mensajería
Servicios de red Determina las medidas de Electrónica
seguridad que la organización
debe contemplar en sus
Sistemas de información
operaciones y en el uso de las empresariales
comunicaciones
Consulting Information Technology CIT
 ISO/IEC 27002:2005
Sección 10: Gestión de comunicaciones y operaciones CIT
Supervisión

Servicios de
Comercio electrónico Registro de
Auditorias

Supervisión uso del

Comercio electrónico sistema

Protección de la
Información registros
Transacciones en línea
Registros administración
y operación
Información pública
Registro de fallos

Sincronización de reloj

Consulting Information Technology CIT

 ISO/IEC 27002:2005
Sección 11: Control de acceso CIT
Requisitos de negocio Responsabilidad Control de
para control de acceso usuarios Acceso a la red

Política
Política control Uso de
acceso passwords Routing

Equipos Identificación de
desatendidos equipos de red
Gestión de
Acceso usuarios Puesto de trabajo Diagnostico remoto
despejado y Protección puertos
pantalla limpia configuración

Registro Segregación de
redes
Establece las medidas de
Privilegios Segregación
control de acceso a la de redes
Passwords información a los distintos Control de
niveles en los que se conexión
Revisión
Derechos puede plantear Control de
routing

Consulting Information Technology CIT

 ISO/IEC 27002:2005
Sección 11: Control de acceso CIT
Control de acceso
al SO
Ordenadores portátiles
Control acceso y teletrabajo
a aplicaciones y a la
información
Procedimiento seguro
de inicio de sesión Informática
móvil
Restricción
Identificación y de acceso
Autenticación usuario
Teletrabajo
Aislamiento
Sistema gestión de sistemas sensibles
contraseña

Uso recursos del

sistema

Desconexión
Automática de sesión

Limitación tiempo
conexión

Consulting Information Technology CIT

 ISO/IEC 27002:2005
Sección 12: Adquisición, desarrollo y mantenimiento
de los sistemas de información
CIT
Requisitos
Controles Seguridad
de seguridad de sistemas
de información criptográficos Desarrollo y
soporte
Política de
Análisis y criptografía
especificaciones
Control de
Tratamiento correcto Gestión claves cambios
de las aplicaciones Vulnerabilidad
Revisión técnica de
técnica
Seguridad de los Aplicaciones tras
Validación de Archivo del sistema cambios SO
Datos de entrada
Restricción de
Control proceso Control software Cambios software
en explotación Control de
interno
vulnerabilidades
Fugas de
Integridad de Protección información
los mensajes datos prueba
Desarrollo
Validación de los Control externalizado
datos de salida Código fuente

Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de

sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones
Consulting Information Technology CIT
 ISO/IEC 27002:2005
Sección 13: Gestión de incidentes en la seguridad de la
información
CIT
Incidentes de seguridad
Notificación eventos y puntos de la información y
Débiles de la seguridad mejoras
de la información

Responsabilidades y
Notificación eventos Procedimientos

Aprendizaje de los
Incidentes de seguridad
Notificación puntos
Débiles de la seguridad
Recopilación de
evidencias

Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de

sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones
Consulting Information Technology CIT
 ISO/IEC 27002:2005
Sección 14: Gestión de la continuidad del negocio CIT
Seguridad de la información
en la gestión del negocio

Inclusión de la seguridad
de la información en
el proceso de gestión de
continuidad del negocio

Continuidad del negocio

y evaluación de riesgos

Desarrollo e implantación
de planes de continuidad
que incluyan seguridad de
la información

Marco de referencia para la

Planificación de la continuidad
del negocio

Pruebas, mantenimiento y
Reevaluación de planes de
continuidad

Consulting Information Technology CIT

 ISO/IEC 27002:2005
Sección 15: Cumplimiento CIT
Cumplimiento de los Cumplimiento de las
Requisitos legales Políticas y normas de seguridad
y cumplimiento técnico
Identificación de la
Legislación aplicable
Cumplimiento de las políticas
Derechos propiedad y normas de seguridad
Intelectual (DPI)

Protección documentos Comprobación del Consideraciones de las

de la organización Cumplimiento técnico Auditorías de los
Sistemas de información
Protección datos y
Privacidad información
personal
Control de Auditoría
de los sistemas de información
Prevención uso indebido
De los recursos tratamiento
de la información
Protección de las herramientas
Regulación de los controles de auditoria de los sistemas de
criptográficos información

Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al
desarrollo de los aplicativos que utiliza en sus operaciones
Consulting Information Technology CIT
 Estructura Manual de Políticas de
Seguridad de TI CIT
I. PRESENTACIÓN
II. OBJETIVO
III. MISIÓN
IV. VISIÓN
V. SEGURIDAD ORGANIZACIONAL
A. Organización Interna
A.1. Coordinación de Seguridad de la Información
B. Seguridad de Accesos a Terceros
B.1. Identificación de riesgos derivados del acceso a terceros
B.2. Tratamiento de seguridad en el contrato de terceros
VI. GESTION DE ACTIVOS
A. Responsabilidad sobre los Activos
A.1. Inventario de Activos
VII. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
A. Antes del empleo
A.1. Términos y condiciones de contratación
B. Durante el empleo
B.1. Reglamento interno
C. Cese del empleo
C.1. Devolución de activos
VIII. SEGURIDAD FÍSICA Y DEL ENTORNO
A. Áreas seguras
A.1. Perímetros de seguridad física
A.2. Controles físicos de entrada
A.3. Seguridad del cuarto de servidores
A.4. Control físico de proveedores
Consulting Information Technology CIT
 Estructura Manual de Políticas de
Seguridad de TI CIT
VIII. SEGURIDAD FÍSICA Y DEL ENTORNO
B. Seguridad del equipo
B.1. Emplazamiento y protección de equipos
B.2. Baterías
B.3. Mantenimiento de los equipos
B.4. Seguridad del equipo fuera de la empresa
B.5. Disposición de seguridad de equipos para nuevos usuarios
B.6. Préstamos temporales de equipos
IX: GESTION DE COMUNICACIONES Y OPERACIONES
A. Gestión de cambios
A.1. Cambios urgentes a base de datos y aplicaciones en ambiente de producción
A.2. Cambios planeados al sistema y actualización de versiones
B. Protección contra código malicioso y descargable
B.1. Control de seguridad antivirus
C. Copias de Seguridad
C.1. Respaldo de servidores en los ambientes de producción
C.2. Respaldo del servidor de correo electrónico
C.3. Administración de dispositivos de respaldo
C.4. Administración de dispositivos que ya no son requeridos
C.5. Almacenamiento de información
C.6. Control de acceso a la información

Consulting Information Technology CIT

 Estructura Manual de Políticas de
Seguridad de TI CIT
E. Intercambio de Información
E.1. Uso del correo electrónico
E.2. Uso del Internet
E.3. Políticas de privacidad
E.4. Acuerdos de intercambio
X. CONTROL DE ACCESO
A. Requerimientos para el control de acceso
A.1. Política de control de acceso
A.1.1. Acceso a los servidores
A.1.2. Acceso al servicio de intranet
A.1.3. Acceso al servicio de internet y correo electrónico
A.2. Registro de usuario
A.2.1. Autenticación de usuarios en servidores de bases de datos en el ambiente de
producción
A.2.2. Autenticación global de usuarios en servidores dbf en ambiente de producción
A.3. Gestión de privilegios
A.3. 1.Administración de privilegios en servidores de bases de datos y aplicaciones
en ambiente de producción
A.3.2. Cuentas de usuarios bloqueadas
A.4. Gestión de contraseñas de usuarios
A.4.1. Administración de claves de usuario en base de datos en ambiente de
producción
B. Responsabilidades del Usuario
B.1. Uso de las contraseñas

Consulting Information Technology CIT

 Estructura Manual de Políticas de
Seguridad de TI CIT
C. Control de acceso a la red
C.1. Políticas de uso de los servicios en red
C.2. Delimitación de los servicios permitidos y puertos
C.3. Autenticación de usuarios para conexione externas
C.4. Segregación de las redes
XI. ADQUISICION, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACION
A. Tratamiento correcto de las Aplicaciones
A.1. Validación de datos de entrada
A.2. Control de procesos internos
A.3. Validación de datos de salida
B. Controles criptográficos
B.1. Políticas de uso de cifrado
C. Seguridad de los archivos de sistema
C.1. Administración en el ambiente de desarrollo
C.2. Protección de los datos de prueba del sistema
C.3. Administración en el ambiente de capacitación
C.4. Administración en el ambiente de producción
D. Seguridad en los procesos de desarrollo y soporte
D.1. Procedimientos de control de cambios
XII. GESTION DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACION
A. Notificación de eventos y puntos débiles en la seguridad de información
B.1. Atención y escalamiento a solicitudes de usuario
B.2. Atención a solicitudes sobre sistemas de información
B.3. Soporte técnico a usuarios

Consulting Information Technology CIT

 Estructura Manual de Políticas de
Seguridad de TI CIT
B.2. Atención a solicitudes sobre sistemas de información
B.3. Soporte técnico a usuarios
XIII. GESTION DE LA CONTINUIDAD DEL NEGOCIO
A.1. Continuidad del Negocio y Evaluación de riesgos
A.2. Desarrollo e implantación de planes de continuidad que
incluyan la seguridad de la información.
A.3. Marco de referencia para la planificiación de la continuidad
del negocio.
A.4. Pruebas, mantenimiento y reevaluación de planes de continuidad.
XIV. CUMPLIMIENTO
A.1. Cumplimiento de las políticas y normas de seguridad.
A.2. Controles de auditoría de los sistemas de información.

XIV. ANEXOS

Consulting Information Technology CIT

 Metodología PDCA (Plan + Do +
Check + Act) CIT
PLANIFICAR

o Políticas de Seguridad
o Alcance de un SGSI
o Análisis de riesgos
o Selección de controles HACER

ACTUAR o Implantación del

SGSI
o Acciones correctivas o Implantación de
o Acciones preventivas controles

VERIFICAR

o Auditoría interna del

SGSI

Consulting Information Technology CIT

 Políticas de Seguridad de TI
CIT
ENTREGABLES
 Obtención de un documento de Políticas de Seguridad
soportado bajo estándar internacional

 Obtención de un Sistema de Gestión auditable en los 4

niveles de seguridad (Seguridad Organizativa, Lógica,
Física y Legal)

 Adquisición de un Audit Checklist de SANS, que

permite auditar los controles y establecer un marco de
referencia

Consulting Information Technology CIT

 Políticas de Seguridad de TI
CIT
BENEFICIOS
 Disminución de Impactos en las incidencias de
seguridad como: Pérdidas financieras, Litigios
laborales por uso inadecuado de la Información,
Pérdida de clientes y cuotas de mercado, Daño de
imagen, Interrupción de las actividades de la empresa.

 Optimización la Organización, Planificación y Control

de la Seguridad de Información de la compañía.

 Mejora en la Calidad de los servicios, aumento de la

eficiencia operativa, incremento en la productividad.

Consulting Information Technology CIT

 Soportes del Manual de Políticas de
Seguridad de TI CIT

■
ISO/IEC 27002
■ :2005
ISO/IEC 17799
:2005

Consulting Information Technology CIT

 Gracias … CIT

Apoyo gerencial
Necesitamos la
La Seguridad es un proceso, artillería correcta
Equipo Sólido
No un producto
¿Preguntas?

Alianzas
Estratégicas

Consulting Information Technology CIT