Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
CLASE N8
Diciembre 2011
Introduccin
Los pasos antes descrito son las acciones que un Sistema de Gestin de Seguridad de Informacin (SGSI) busca instaurar en una organizacin.
Un sistema de gestin de seguridad se define como: El establecimiento de un sistema que determine qu requiere ser protegido, y por qu, de que debe ser protegido y cmo protegerlo. (Thomas Peltier) La parte del sistema de gestin global, basada en una orientacin a riesgo de negocio, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la informacin. (ISO 27001:2005)
Evolucin de la norma
1998
BS 7799-2
1999
BS 7799-2
2002
BS 7799-2
2005
ISO 27001
Para la certificacin
Estndar Internacional
BS 7799 -1
1995
1999
2000
2005
2007
8
BS 7799-1
BS 7799-2
ISO 17799
ISO 27002
NIST 800-30
ISO 31000
ISO 27005:2011
KEY FEATURES AND BENEFITS:
ISO/IEC 27005 provides guidelines for information security risk management. Using the guidelines in this standard will enable you to manage the information security risks within your organization effectively.
THE STANDARD IS NOW FULLY ALIGNED WITH THE INTERNATIONAL STANDARD FOR RISK MANAGEMENT, ISO 31000. USING THE TWO TOGETHER CAN ENHANCE THE WAY RISKS WITHIN YOUR ORGANIZATION ARE MANAGED EFFECTIVELY.
Uses common concepts as conveyed in ISO/IEC 27001 and ISO/IEC 27002. Using this standard with the others in the ISO/IEC 27000 family will provide an effective framework for information security managed to be managed so that any risks are mitigated effectively.
10
ISO 27001:2005
Define los requerimientos para el desarrollo de un Sistema de Gestin de la Seguridad de la Informacin (SGSI)
ISO 17799:2005
Define 134 controles de seguridad agrupados en 11 reas. (ISO 27002: 2007) 11
12
Ms de la serie 27000
ISO 27011. Gua de gestin de seguridad de la informacin especfica para telecomunicaciones
ISO 27031. Gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones. (FDIS) ISO 27032. Gua relativa a la ciberseguridad. (WD) ISO 27033. Guas de 7 partes relacionadas a la seguridad en redes(WD)
ISO/IEC 27001
14
15
Activos de informacin
16
Fuente: http://iso27000.wik.is/Esqueleto_SGSI
17
Alcance
Para determinar el alcance y lmites del SGSI se deber especificar: Caractersticas del negocio Organizacin Ubicacin Activos Tecnologa
Justificacin de cualquier exclusin del alcance. Especifica los requisitos para la implantacin de controles adaptados a las necesidades de la organizacin o partes de las mismas. (clausula 1.2) El objetivo final es tener claro que personas, procesos y sistemas sern partes del SGSI y definir las fronteras del mismo.
18
Poltica de Seguridad
Definir una poltica clara alineada con los objetivos de negocio.
La redaccin de la poltica ha de tener sentido, ser clara y sin ambiguedades.
19
20
21
22
23
Tratamiento de riesgo
Evaluacin Satisfactoria
Opciones de Tratamiento
Evitar
Reducir
Transferir
Aceptar
Riesgos Residuales
Tratamiento Satisfactorio
24
Identificacin de activos
La informacin puede existir de muchas formas. Puede ser impresa o escrita en papel, almacenada electrnicamente, transmitida por correo o medios digitales, mostrada en videos o hablada en conversaciones.
Tasacin de activos
Clasificar en: Procesos y actividades del negocio, Informacin, Hardware, Software, Redes, Personal, Datacenter, Estructura Organizacional.
Activos de informacin Base de Datos alumnos Clasificacin C I D
La clausula 4.2.1 (d) exige que adems se identifiquen propietarios. Anexo B de la norma ISO 27005 proporciona una extensa lista de ejemplos.
26
Identificacin de amenazas
Una posibilidad de violacin de la seguridad, que existe cuando se da una circunstancia, capacidad, accin o evento que pudiera romper la seguridad y causar perjuicio. Es un peligro posible que podra explotar una vulnerabilidad. Clasificacin Dao fsico Eventos naturales Perdida de servicios esenciales Informacin comprometida Fallas tcnicas Acciones no autorizadas Funciones comprometidas
27
Identificacin de amenazas
Clasificar amenazas de acuerdo a Dao fsico, Eventos naturales, Perdida de servicios esenciales, Informacin comprometida, Fallas tcnicas, Acciones no autorizadas, Funciones comprometidas. Intercepcin de informacin en Internet Fallas de equipamiento Fenmenos ssmicos Destruccin de equipamiento Perdida de fuentes de energa Procesamiento ilegal de datos Robo de equipos Copia ilegal de software Software defectuoso Informacin comprometida Fallas tcnicas Eventos naturales Dao fsico Perdida de servicios esenciales Acciones no autorizadas Informacin comprometida Acciones no autorizadas Fallas tcnicas
28
Identificacin de amenazas
Deliberadas (D) Accidentales (A) Ambientales (E) Clasificar las siguiente amenazas: Intercepcin de informacin en Internet Fallas de equipamiento Fenmenos ssmicos Destruccin de equipamiento Perdida de fuentes de energa Procesamiento ilegal de datos Robo de equipos Copia ilegal de software Software defectuoso D A E A, D, E A, D, E A,D D D A
29
Identificacin de vulnerabilidades
Una debilidad de la organizacin, los sistemas computacionales o la red. Es una debilidad de un bien que puede dar lugar a su explotacin. Clasificacin Hardware Software Redes Personal Datacenter Organizacionales
30
Clasificacin de vulnerabilidades
Clasificar vulnerabilidades de acuerdo a: Hardware, Software, Redes, Personal, Datacenter y Organizacional. Lneas de comunicacin sin proteccin Deficiencias en polticas de uso de email Mantencin deficiente de equipamiento Insuficiente testeo de aplicaciones Entrenamiento de seguridad insuficiente Deficiente proteccin fisica en el site Inadecuados procesos de reclutamiento Deficiencia de manuales tcnicos Gestin de password deficientes Proceso de gestin de cambio deficiente Redes inalmbricas desprotegidas Deficiente termino de sesiones Deficiencias en SLAs
Redes Organizacional Hardware Software Personal Datacenter Personal Software Software Organizacional Redes Software Organizacional
31
Declaracin de aplicabilidad
La Declaracin de aplicabilidad describe los objetivos de control y controles relevantes y aplicables al alcance del SGSI de la organizacin
Debe estar en funcin de la poltica y conclusiones del proceso de evaluacin y tratamiento del riesgo.
http://iso27000.wik.is/Esqueleto_SGSI/4._Declaraci%C3%B3n_de_Aplicabilidad
32
Controles operativos
Se deben identificar y explicar las mtricas que la empresa utiliza para determinar la eficacia del SGSI, as como el modo en que se gestionan los incidentes. Junto a sus mtricas temporales asociadas al crear los planes del tratamiento del riesgo se deben incluir procedimientos para la rpida deteccin errores e incidentes.
Un anlisis del incidente en trminos de los parmetros definidos determinar si los controles han funcionado.
Un impacto nos estar probablemente diciendo que el SGSI no est funcionando como estaba previsto. Para verificar si el SGSI est funcionando segn lo previsto se necesita supervisar o monitorizar algo ms: Supervisar los eventos Supervisar los controles 33
Formacin y concientizacin
La organizacin debe asegurarse que todo el personal dentro del alcance del SGSI dispone de responsabilidades asignadas y definidas y que es competente para desempear las tareas requeridas para: Determinar las competencias necesarias del personal que realiza trabajos que afectan el SGSI. Proporcionar formacin o tomar otras acciones para satisfacer dichas necesidades. Evaluar la eficacia de las acciones tomadas y mantener los registros de la educacin, formacin, habilidades, experiencia y calificaciones La organizacin tambin debe asegurarse de que todo el personal relevante es consciente de la importancia de sus actividades en seguridad de la informacin y de cmo contribuyen al logro de los objetivos del SGSI.
34
Deben mantenerse los registros del desempeo de los procesos como se muestra en la clusula 4.2 y de todas las ocurrencias de los incidentes de seguridad significativas relacionados con el SGSI.
35
http://iso27000.wik.is/Esqueleto_SGSI/7._Detecci%C3%B3n_y_Respuesta_a_Incidentes
36
37
38
ISO/IEC 27002
39
ISO 27002
Define 133 controles de seguridad agrupados en 11 reas. Poltica de seguridad Aspectos organizativos para la seguridad Gestin de activos Seguridad ligada a los recursos humanos Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Gestin de las operaciones y comunicaciones Control de accesos Adquisicin, desarrollo y mantenimiento de sistemas de informacin Gestin de incidentes de seguridad Gestin de continuidad del negocio Cumplimiento
40
La estructura de la norma
41
42
Establecimiento de responsabilidades
Contratos con terceras partes Acuerdos de confidencialidad
43
Clasificacin de la informacin
Etiquetado y manipulacin Uso aceptable
44
Gestin de responsabilidades
Capacitacin y educacin Procesos disciplinarios Termino de empleo
45
Proteccin ambiental
Seguridad en los equipos Mantencin de equipos Eliminacin segura
46
47
48
49
Definicin de procedimientos
Aprendizaje Obtencin y conservacin de la evidencia
50
51
Cumplimiento(A.15)
Identificacin de legislacin aplicable Derechos de propiedad intelectual Privacidad de la informacin
Auditora informacin
los
sistemas
de
52
carlos.lobos@usach.cl
53