1 / 47

INFORMATION SECURITY Programa Integral de Formación Profesional en

INFORMATION SECURITY Programa Integral de Formación Profesional en IMPLEMENTACION PRACTICA de medidas de Seguridad de la Información Etapa 2: IMPLEMENTACION PRACTICA DEL PROGRAMA DE SEGURIDAD ISO17799 / BS7799 / COBIT – Parte 1. Todos los derechos reservados. 2005. Objetivo.

geoff
Download Presentation

INFORMATION SECURITY Programa Integral de Formación Profesional en

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. INFORMATION SECURITY Programa Integral de Formación Profesional en IMPLEMENTACION PRACTICA de medidas de Seguridad de la Información Etapa 2: IMPLEMENTACION PRACTICA DEL PROGRAMA DE SEGURIDAD ISO17799 / BS7799 / COBIT – Parte 1 Todos los derechos reservados 2005

  2. Objetivo Adquirir conocimientos, metodologías y herramientas de implementación y control de medidas de seguridad de la información de acuerdo con estándares internacionales para: La formación PROFESIONAL del individuo La IMPLEMENTACION PRACTICA en las organizaciones

  3. A QUIEN ESTA DIRIGIDO Orientado Responsables de áreas de Seguridad Informática, TI, Profesionales de Areas de Sistemas, Consultores de Tecnología, Auditores Internos y Externos de Sistemas, Profesionales y Administradores de distintas Tecnologías.

  4. DESCRIPCION GENERAL • Este Programa Integral de Formación Profesional en IMPLEMENTACION PRACTICA de medidas de Seguridad de la Información está alineado con Normas Internacionales de aplicación en la materia y de acuerdo con Certificaciones Internacionales en Seguridad de la Información: • Normas Internacionales • ISO177799 • BS7799 • ISO9001 • COBIT AUDIT GUIDELINES • COSO • ITIL • SARBANES OXLEY ACT

  5. DESCRIPCION GENERAL • Alineado con Certificaciones Internacionales • CISSP • CISA • CISM • CIA • ISEC+ • COMPTia • ETHICAL HACKER OSSTMM • A su vez sus contenidos están alineados con los Diplomados Internacionales distintas Universidades en Latinoamérica brindan (Argentina, Ecuador, Bolivia, Perú, Chile, entre otros).

  6. Instructor Martín Vila martin.vila@i-sec.org www.i-sec.org Business Director I -Sec Information Security (2002-2005) Country Manager Guarded Networks Argentina (2001) Gerente experimentado de la práctica de Business Risk Management de Pistrelli, Díaz y Asociados, miembro de Arthur Andersen (abril 1992 - abril 2001)  Ha liderado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional. Ha desarrollado y participado como instructor en Information Security Courses en USA, Latinoamérica y Argentina (Arthur Andersen, ISACA/ADACSI, Microsoft, Ernst & Young / IT College, I-Sec). Ha sido invitado como Especialista en diversos medios de comunicación masivo como ser CNN, Diario Clarín, El Cronista Comercial, InfoBAE, entre otros.

  7. Temario detallado 12 Módulos Funcionales como Metodología Práctica de Implementación relacionados con 10 Dominios de la ISO 17799 TEORICOS

  8. Temario detallado Etapa 2 IMPLEMENTACION PRACTICA DEL PROGRAMA DE SEGURIDAD – Parte 1 Se desarrollará la primera parte de una Metodología Práctica de Implementación de los criterios de seguridad, y están directamente relacionados con los 10 Dominios de la ISO 17799 TEORICOS con el detalle de los respectivos controles. Esta Metodología Práctica se divide en 12 Módulos Funcionales de aplicación, y en esta primera parte se verán los primeros 6.

  9. Módulo Funcional 01 • La Seguridad Informática actual • Riesgos e impacto en los negocios • Normas, Metodologías y Legislaciones • Enfoque ISO 17799

  10. Paso 1: Por que? Reconocer los riesgos y su impacto en los negocios CONSEGUIR EL APOYO DE LA DIRECCION

  11. Qué Información proteger • en formato electrónico / magnético / óptico • en formato impreso • en el conocimiento de las personas

  12. Principales riesgos y el impacto en los negocios • Se puede estar preparado para que ocurran lo menos posible: • sin grandes inversiones en software • sin mucha estructura de personal • Tan solo: • ordenando la Gestión de Seguridad • parametrizando la seguridad propia de los sistemas • utilizando herramientas licenciadas y libres en la web

  13. Paso 2: Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas, Metodologías y Legislaciones Internacionales aplicables

  14. Normas, Metodologías, Legislaciones aplicables Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Información, podemos encontrar los siguientes: • Information Systems and Audit Control Association - ISACA: METODOLOGIA COBIT • British Standards Institute: BS • International Standards Organization: Normas ISO • Departamento de Defensa de USA: Orange Book / Common Criteria • ITSEC – Information Technology Security Evaluation Criteria: White Book • Sans Institute • Sarbanes Oxley Act, HIPAA Act

  15. Gestión de Seguridad Norma ISO 17799

  16. Normas de Gestión ISO • International Standards Organization: Normas ISO • ISO 9001 – Calidad • ISO 14001 – Ambiental • ISO 17799 – Seguridad de la Información

  17. Norma ISO 17799 Seguridad de la Información • Dos partes: • 17799 – 1 . NORMALIZACION (Mejores Prácticas) • 17799 – 2 . CERTIFICACION • Aún no fue publicada por ISO. • Hoy en día las certificaciones son sobre el BS 7799. • Ya está disponible la versión ISO17799:2005.

  18. Norma ISO 17799 Seguridad de la Información • Está organizada en diez capítulos en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta: • GESTION DE SEGURIDAD DE LA INFORMACION • Alcance • Recomendaciones para la gestión de la seguridad de la información • Base común para el desarrollo de estándares de seguridad

  19. Norma ISO 17799 Seguridad de la Información 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento

  20. Módulo Funcional 02 • Políticas de Seguridad • Desarrollo de los temas a considerar • Técnicas de implementación de Normas, Procedimientos y Estándares. • Mecanismos de medición y mejora continua.

  21. Paso 1: qué dicen las normas? Requerimiento de Normativas Internacionales ISO 17799 Seguridad de la Información

  22. Marco Normativo ISO 17799 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento

  23. Paso 2: cómo lo llevo a la práctica? Etapas Generales en el Desarrollo e Implementación de un Manual de Gestión de Seguridad de la Información

  24. Identificar el equipo responsable • Definir el Equipo de Redacción y de Aprobación • Analizar la integración con otras políticas • Definir los temas de seguridad a incluiren normativa • Definir la estructura • Definir el esquema de cada documento • Desarrollar la Política General • Desarrollar las Normas • Desarrollar los Procedimientos • Desarrollar los Estándares técnicos • Aprobar en contenido en sus distintos niveles • Definir el método de difusión y mantenimiento permanente • Definir el método de “premios y castigos” • Implementar la normativa • Ejecutar los mecanismos de actualización

  25. Módulo Funcional 03 • Estructura Organizacional • Identificación de los requerimientos de ISO 17799 • Definición de Roles y Responsabilidades en la Compañía • Asignación de Perfiles del personal para cada rol • Responsabilidades con Terceros y Contratados

  26. Paso 1: qué dicen las normas? Requerimiento de Normativas Internacionales ISO 17799 Seguridad de la Información

  27. Marco Normativo ISO 17799 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento

  28. Paso 2: cómo lo llevo a la práctica? Definición de Roles y Responsabilidades en la Compañía

  29. Roles y Responsabilidades en la Compañía • Sponsoreo y seguimiento • Dirección de la Compañía • Foro / Comité de Seguridad • Autorización • Dueño de datos • Definición • Área de Seguridad Informática • Área de Legales / RRHH / AUD Administración • Administrador de Seguridad Cumplimiento directo • Usuarios finales • Terceros y personal contratado • Área de sistemas Control • Auditoría Interna • Auditoría Externa

  30. MF 04:Clasificación de Información • Marco Normativo ISO 17799 • Metodología Práctica de Clasificación

  31. Paso 1: qué dicen las normas? Requerimiento de Normativas Internacionales ISO 17799 Seguridad de la Información

  32. Marco Normativo ISO 17799 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento

  33. Paso 2: cómo lo llevo a la práctica? Metodología Práctica de Clasificación de Información

  34. Metodología Práctica de Clasificación de Información Identificar los Responsables de la Clasificación • Sponsoreo y seguimiento • Dirección de la Compañía • Foro / Comité de Seguridad • Autorización • Dueño de datos • Definición • Área de Seguridad Informática • Área de Legales / RRHH / AUD Administración • Administrador de Seguridad Cumplimiento directo • Usuarios finales • Terceros y personal contratado • Área de sistemas Control • Auditoría Interna • Auditoría Externa

  35. Metodología Práctica de Clasificación de Información Etapas 1. Identificación de la información 2. Identificación de los principales riesgos 3. Clasificación de la información teniendo en cuenta los riesgos identificados 4. Difusión a los USUARIOS 5. Mantenimiento y Mejora Continua

  36. MF 05:Aspectos humanos de la seguridad • Marco Normativo ISO 17799 • Metodología Práctica

  37. Paso 1: qué dicen las normas? Requerimiento de Normativas Internacionales ISO 17799 Seguridad de la Información

  38. Marco Normativo ISO 17799 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento

  39. Paso 2: cómo lo llevo a la práctica? • Principales procesos reelacionados con los Aspectos humanos de la seguridad • Administración del Personal • Manejo de Incidentes • Proceso Disciplinario • Concientización

  40. MF 06:Seguridad en los Procesos Internos del área de Sistemas. Seguridad Física y Ambiental.

  41. Paso 1: qué dicen las normas? Requerimiento de Normativas y Metodologías Internacionales

  42. Para los CONTROLES en los PROCESOS de TI se utilizan ambas fuentes de información: ISO 17799 Seguridad de la Información COBIT Audit Guidelines

  43. Marco Normativo ISO 17799 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento

  44. ISACA Information Systems and Audit Control Association COBIT Control Objectives for Information and Related Technology

  45. Metodologías aplicables • COBIT AUDIT GUIDELINES: • Son metodologías internacionalmente aceptados para la práctica de seguridad informática. • Comprenden una serie de Objetivos de Control a cumplir en los distintos aspectos del “gobierno” de IT, dentro de los cuales se encuentran los temas específicos de Seguridad y Control: • Planeamiento y organización • Adquisición e implementación • Entrega de servicios y soporte • Monitoreo

  46. Paso 2: cómo lo llevo a la práctica? • Principales procesos • Identificación de Funciones y Responsabilidades • Identificación de los Principales Procesos del área • Definición de controles para cada proceso – ISO 17799 – COBIT - Normativa Interna • Implementación, Plan de Monitoreo y Mejora Continua

  47. Cierre del Entrenamiento Facilidad en el USO vs mejor PROTECCION de la Información

More Related