estrategias para la implementaci n de un sistema de gesti n de seguridad de informaci n n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información PowerPoint Presentation
Download Presentation
Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información

Loading in 2 Seconds...

play fullscreen
1 / 58

Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información - PowerPoint PPT Presentation


  • 145 Views
  • Uploaded on

Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información. Agenda. 1. Introducción. 2. Definiciones , Aspectos Conceptuales, Tendencias. 3. Metodología propuesta para ISO/IEC 27001. 4. Paso a Paso…. 5. Conclusiones. Antes de comenzar ….

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información' - steel-joseph


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
estrategias para la implementaci n de un sistema de gesti n de seguridad de informaci n

Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información

agenda
Agenda

1

Introducción

2

Definiciones , Aspectos Conceptuales, Tendencias

3

Metodología propuesta para ISO/IEC 27001

4

Paso a Paso…

5

Conclusiones

antes de comenzar
Antes de comenzar …
  • Recomendaciones de la sala
  • Uso de teléfonos móviles, notebooks y PDA
  • No fumar
facilitador
FACILITADOR

Eduardo A. Recabarren Domínguez

Oficial de Privacidad y Seguridad

del Banco de Chile

Ingeniero en Computación e Informática

Ingeniero Civil Industrial

qui nes somos
¿Quiénes somos?
  • El Banco de Chile, fundado en 1893, ha liderado el mercado financiero chileno como uno de los bancos más exitosos en términos de retorno de activos y en la creación de mayor valor para sus accionistas.
  • Las actividades del Banco de Chile se desarrollan bajo una estrategia multimarca, en que las marcas Banco de Chile y Banco Edwards-Citi cubren los segmentos de empresas y personas, mientras que el segmento de consumo es atendido bajo la marca Banco Credichile, a través de redes de distribución independientes y de cobertura nacional.
qui nes somos1
¿Quiénes somos?
  • El 2 de enero del 2008 nace un nuevo Banco de Chile, a raíz de la fusión que se produce entre éste y Citibank Chile.
  • La nueva organización cuenta con:
    • Una participación de mercado en torno al 20% de las colocaciones del sistema.
    • Más de 1,5 millones de clientes
    • Una red de cobertura con más de 400 sucursales a lo largo del país.
    • Nuevas ventajas competitivas, con una mejor cobertura internacional, para la gama de productos y servicios globales ofrecidos a los clientes.
estructura gobierno de si
Estructura Gobierno de SI…
  • Gerente de Riesgo Operacional
  • Gerente Operaciones Especializadas Tesorería
  • Gerente de Contraloría
  • Gerente Servicio Cliente
  • Jefe Área Consumo
  • Jefe Depto. Riesgo Operacional
  • Gerente Serv. Procesamiento e Infraestructura
  • Gerencia Zonal
  • Gerente Operaciones Productos Masivos
  • Gerente General
  • Gerente División Gestión y Control Financiero
  • Gerente División Operaciones y Tecnología
  • Gerente División de Calidad
  • Gerente División Contraloría
  • Gerente Seguridad y Prevención de Riesgo
  • Gerente de Riesgo Operacional

CERO - Comité Ejecutivo

de Riesgo Operacional

Comité Operativo de Riesgo Operacional

Gerencia Riesgo Operacional

Seguimiento, control de

avance y escalamiento

PMO

AREA RIESGO OPERACIONAL

AREA SEGURIDAD DE LA INFORMACION

AREA CONTINUIDAD DEL NEGOCIO

Autoevaluación de Riesgo Operacional

Proceso SOX

Matriz de Autoevaluación (MAE )

Proceso de Castigos

Evaluación de Proveedores (SAS 70)

Evaluación nuevos procesos y productos

Educación

Proyectos Tecnológicos

Administración de Infraestructura TI

Evaluación de Riesgo

Aceptación de riesgo

Comité Administración de Incidentes (SIRT)

Comité de Arquitectura Tecnológica (CAT)

Educación

Modelo de Continuidad

Definición Procesos Críticos

Planes de Continuidad del Negocio

Plan de Recuperación de Desastres

Comité Administración de Crisis

Coordinación de Pruebas

Educación

algunas definiciones previas
Algunas Definiciones Previas..

Seguridad de la Información (SI).- Preservación de la confidencialidad, integridad y disponibilidad de la información; adicionalmente autenticidad, responsabilidad, no repudio y confiabilidad.

SGSI.- La parte del Sistema de gestión Global, basada en una orientación a riesgo de negocio, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información.

Activo.- Algo que tiene valor para la organización (ISO/IEC 13335-1:2004)

Amenaza.- Evento que puede provocar un incidente en la organización produciendo daños o pérdidas materiales y/o inmateriales

Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias externas.

slide12

Tendencias…

Tendencias

aspectos conceptuales
Aspectos Conceptuales…
  • Cabe la Pregunta:
  • ¿ A quien compete la Seguridad de la Información en una organización: ?
    • Gestores de la organización
    • Contralores, auditores internos
    • Personal de TI
    • Personal en general

“La Seguridad de la Información es responsabilidad de los dueños de la información”

slide14

Aspectos Conceptuales

Misión:

Detectar que se debe proteger

Detectar nuestras debilidades

Proponer controles

Implementar controles

Medir el desempeño de los controles

qu es iso iec 27000
¿Qué es ISO/IEC 27000?
  • Familia de estándares ISO orientados a la Seguridad de Información
  • ISO 27000: Conceptos y definiciones que soportan a la familia.
integrantes
Integrantes
  • ISO /IEC 27001
  • ISO /IEC 27002
  • ISO/IEC 27003: Guía de Implementación siguiendo PHVA
  • ISO/IEC 27004: Estándar para Métricas y Mediciones de Gestión de Seguridad de Información
  • ISO/IEC 27005: Estándar de Gestión de Riesgos de Seguridad de información (BS-7799:3)
  • ISO/IEC 27006: Guía para la recuperación ante desastres de servicios tecnológicos de información y comunicación”
por qu gesti n de riesgos de la informaci n
¿POR QUÉ GESTIÓN DE RIESGOS DE LA INFORMACIÓN?
  • Necesidad de Proteger la Información
  • Sin embargo, esto puede generar:
    • Crecimiento de cantidad y complejidad de los controles
    • Pérdida del foco de actividades (Seguridad v/s Negocio)
  • Por otra parte, requiere:
    • Mediciones del impacto producido por los controles en seguridad
    • Aplicar un criterio de negocios
cual escoger
¿CUAL ESCOGER?

Depende de cual sea el objetivo

  • Orientada a Procesos
    • ISO 9001:2000
    • ISO/IEC 27001
    • CMM
    • ITIL
    • ISM3
  • Orientada a Controles
    • ISO 13335-4
    • BSI-ITPM
  • Orientada a Productos
    • CommonCriteria
  • Orientada al Análisis de Riesgos
    • OCTAVE
    • Magerit
  • Orientada a la Buenas Prácticas
    • ISO/EIC 17799:2005
    • Cobit
    • ISF-SGP
metodolog a propuesta para iso iec 27001 1 5
Metodología propuesta para ISO/IEC 27001 (1/5)
  • Factores Críticos de Éxito
    • Apoyo de la Administración
    • Beneficios de Negocios
  • Guía para la aproximación procesos
  • Guía para el uso del modelo PHVA
metodolog a propuesta para iso iec 27004 2 5
Metodología propuesta para ISO/IEC 27004 (2/5)
  • Guía Proceso “Planificar”
  • Introducción
    • Estableciendo el alcance del SGSI
    • Formulando las políticas de SGSI y Seguridad de Información
    • Ejecutando la valoración de riesgos
    • Tomando decisiones en el tratamiento de riesgos
metodolog a propuesta para iso iec 27004 3 5
Metodología propuesta para ISO/IEC 27004 (3/5)
  • Guía Proceso “Hacer”
    • Introducción
    • Creando e Implantando el Plan de Tratamiento de Riesgos
    • Implementado los controles
    • Capacitación y sensibilización
    • Implementando un programa de manejo de incidentes de seguridad de información
    • Administrando recursos
metodolog a propuesta para iso iec 27004 4 5
Metodología propuesta para ISO/IEC 27004 (4/5)
  • Guía Proceso “Verificar”
    • Introducción
    • Monitoreo
          • Chequeo rutinario
          • Self-policing procedures
    • Revisiones
    • Haciendo Auditorias internas del SGSI
    • Ejecutando revisiones administrativas
    • Midiendo el SGSI
    • Analizando tendencias
    • Controlando documentación y registros
metodolog a propuesta para iso iec 27004 5 5
Metodología propuesta para ISO/IEC 27004 (5/5)
  • Guía Proceso “Actuar”
    • Introducción
    • Implementando mejoras
    • Identificando no-conformidades
    • Identificando e implementado acciones preventivas y correctivas
    • Asegurando mejora continua.
    • Probando
    • Comunicando cambios y mejoras
oferta del mercado
Oferta del mercado …
  • Implantador “certificado”
  • Metodologías “express” para SGSI

¿Cuales son los pasos previos y su construcción?

slide27

Pasos Previos …

Cómo me preparo para el proceso…

pasos previos
Pasos Previos …
  • Identificar los objetivos estratégicos de la organización
  • Identificar legislación, regulaciones y obligaciones contractuales aplicables
  • Establezca el ámbito al que orientará su labor
  • Establecer la necesidad de gestionar los riesgos
  • Identificar procesos clave
  • Identificar a las personas clave
  • Identificar los activos de información relevantes
lo primero es
Lo primero es …
  • Defina su propia planificación
    • Estrategia de Seguridad
    • Objetivos
    • Tareas específicas
    • Plazos y entregables
  • Recomendación:

Nunca deje de retroalimentar a la alta dirección…

slide30

Identificando legislación aplicable…

Legislación Chilena…

  • Ley 19223 Delitos Informáticos.
  • Ley 19799 Firma Electrónica.
  • Ley 19628 Protección de datos Personales
  • Ley 20009 Responsabilidad de tarjetas de crédito
  • Otras específicas
  • Obligaciones contractuales y regulaciones
  • Tabule para contar con registro y orden.
  • ¡¡Atención las transnacionales!!
implantaci n de un sistema de gesti n de seguridad de informaci n
Implantación de un sistema de Gestión de Seguridad de Información
  • Establecer el Alcance
  • Establezca criterios de riesgo
  • Identifique y valorice los activos de información
  • Determine el nivel de riesgo real
  • Escriba la Política de Seguridad
  • Elabore el Documento de Aplicabilidad
    • Objetivos de control y controles
  • Definición de políticas, normas y procedimientos
  • Producción e implantación
  • Complementación de la documentación del SGSI
  • Auditoria y Revisión del SGSI
  • Resumen revisión de proceso de implantación
establecer el alcance
Establecer el Alcance
  • Definir cual o cuales procesos serán considerados dentro del SGSI
  • Especificar activos que participan
    • Listado de contratos y acuerdos
    • Mapas de red
    • Inventario de activos relevantes
  • (Cláusulas 4.2.a ISO/IEC 27001)
identificando objetivos estrat gicos 1 2
Identificando objetivos estratégicos (1/2)
  • Pregunte…
  • Un gran número de organizaciones no realiza planificación estratégica
  • Cual es el objetivo de la organización
    • ¿Quién es él o los clientes?
    • ¿Cuáles son las necesidades de su cliente que su organización satisface?
    • ¿Cómo satisface su organización las necesidades de sus clientes?
  • Podrá tener una idea de cuales son las principales líneas de actividad de la organización
identificando objetivos estrat gicos 2 2
Identificando objetivos estratégicos (2/2)
  • Para cada negocio o actividad identificado responda:
    • ¿Existen metas de crecimiento?
    • ¿Existe orden de posicionar algún producto o servicio en particular?
    • ¿Objetivos Financieros?
    • ¿Mejorar la satisfacción de los clientes?
    • ¿Mejorar el tiempo de solución de problemas internos?
    • ¿Desarrollar un nuevo negocio?
  • Estas respuestas le ayudarán a tener una idea general de los objetivos estratégicos de su organización.
mapa de procesos 1 4
Mapa de Procesos (1/4)

Proceso I

Proceso D

Proceso J

Proceso A

Estrategicos

Proceso E

Proceso B

Proceso G

Proceso K

Clave

Proceso H

Proceso L

Proceso F

Proceso C

De Apoyo

mapa de procesos 2 4
Mapa de Procesos (2/4)

¿Cambios?

Medidas de Mejora

Proceso (Propietario)

Salidas

Entradas

Tareas

Activos

Controles

Registros

mapa de procesos 2 41
Mapa de Procesos (2/4)

¿Cambios?

Medidas de Mejora

Proceso (Propietario)

Salidas

Entradas

Tareas

Activos

Controles

Registros

mapa de procesos 3 4
Mapa de Procesos (3/4)

Clientes

Clientes

mapa de procesos 4 4
Mapa de Procesos (4/4)

Interrelación de procesos

establezca alcance
Establezca Alcance
  • Establezca el alcance de su Sistema de Gestion de Seguridad de Informacion.
identifique y valorice los activos de informaci n
Identifique y valorice los activos de información
  • Identifique los activos de información
  • Defina a los roles asociados a cada uno de ellos
  • Clasifique los activos de información de acuerdo a algún criterio preestablecido
  • Redacte guías de uso aceptable de los activos dependiendo su clasificación
  • (Cláusulas 7.1, 7.2 ISO/IEC 17799:2005)
identificar los activos
Identificar los activos
  • Caracterice cada uno de los procesos relevantes para los objetivos asociados a su proyecto de Seguridad de Información
identificar los activos de informaci n
Identificar los activos de información
  • Cuales son los activos de información
    • Procesamiento
    • Almacenamiento
    • Otros
  • Definición de Roles
    • Dueño
    • Custodio
    • Usuario
identificar riesgos
Identificar Riesgos
  • ¿Qué puede suceder?
  • ¿Cómo puede suceder?
  • Tomando en cuenta los resultados de ejercicios anteriores, formule su propia tabla de identificación de riesgos
an lisis de riesgo 2 2
Análisis de Riesgo (2/2)
  • Realice un análisis de riesgo empleando uno de los métodos mencionados anteriormente.
evaluaci n de riesgo
Evaluación de Riesgo
  • Evalúe los Riesgos empleando uno de los criterios mencionados o defina un criterio propio con su grupo de trabajo.
establezca el criterios de riesgo
Establezca el criterios de riesgo
  • Defina la metodología de aproximación a la valoración de riesgo y documéntela.
  • Desarrolle el proceso de análisis y evaluación de riesgos.
  • (Cláusula 4.2.1.c;d;e ISO/IEC 27001:2005)
pol tica de seguridad
Política de Seguridad
  • Escriba una Política de Seguridad de Información
  • Emplee la ficha 8.
  • Defina un protocolo de revisiones de la misma.
  • (Cláusula 5.1, ISO/IEC 17799:2005)
  • (Cláusula 4.2.1b ISO/IEC 27001:2005)
escriba el documento de aplicabilidad
Escriba el Documento de Aplicabilidad
  • Seleccione los Objetivos de Control y Controles.
  • Justifique cualquier exclusión apoyándose en el análisis de riesgos
  • (Cláusula 4.2.1j ISO/IEC 27001:2005)
documento de aplicabilidad
Documento de Aplicabilidad
  • Escriba su documentos de Aplicabilidad
definici n de pol ticas normas estructura documental
Definición de Políticas, normas …Estructura Documental
  • Establezca un sistema de gestión de documentos
    • Política General
    • Alcance Documentado
    • Procedimientos de Apoyo a SGSI
    • Descripción Aproximación AR
    • Reporte del Análisis de Riesgos
    • Plan de Tratamiento de Riesgos
    • Procedimientos Documentados
      • Acciones Correctivas
      • Acciones Preventivas
      • Plan de Auditorias
      • Plan de Revisiones Administrativas
    • Registros requeridos
      • Control de Documentos
      • Control de Registros
    • Documento de Aplicabilidad
complementaci n de documentaci n
Complementación de Documentación
  • Es necesario crear una política específica
procedimiento mejora continua
Procedimiento Mejora Continua
  • Plan de Auditorias Internas
    • Registros de ejecución
  • Plan de Revisiones Administrativas
    • Registros
  • Proc. Manejo No-Conformidades
  • Proc. Acciones Preventivas
  • (Cláusulas 6, 7 y 8 ISO/IEC 27001:2005)
slide56

Define Política de Continuidad y Estrategia

Aprueba

Depende

Auditoría

Controla

Audita

Desarrolla y actualiza

Desarrolla, mantiene

y realiza seguimiento al

SGSI

Define y confecciona

Oficial de Seguridad de la Información (OSI)

Impulsa y coordina

Comité de Seguridad Información

Aprueba

conclusiones
Conclusiones
  • La Seguridad de la Información es un Proceso
  • La Seguridad de la Información se basa en Personas
  • La Seguridad de la Información debe orientarse al Riesgo
  • No existe la Seguridad Absoluta. El SGSI AYUDA a la gestión.
  • Un proyecto SGSI requiere un equipo de trabajo MULTICONOCIMIENTO
conclusiones1
Conclusiones

Beneficios de un SGSI

  • Conocer realmente los activos que disponemos
  • Involucrar a la Alta dirección en la Seg. de la Inf.
  • Realizar análisis de Riesgos para el desarrollo del Negocio
  • Disponer de planes de contingencia ante incidentes
  • Disminución de riesgos a Niveles aceptables
  • …..