Post on 12-Jun-2015
description
Información segura. Negocios seguros.
Caso: Implementando SGSI enCaso: Implementando SGSI en Instituciones Estatales
Roberto Puyó Valladares, CISMComité Técnico de Normalización e Intercambio
LOGO ORADOR
Comité Técnico de Normalización e Intercambio Electrónico de Datos EDI
Oficial de Seguridad
Agenda
¿Por qué Implementar un SGSI?1Alineamiento con Objetivos Institucionales
Alcance
23
Integrabilidad de Estándares5Vi ió d l S id d d l I f ió6
Lecciones Aprendidas4
El Proyecto7Visión de la Seguridad de la Información6
Trabajo del Comité EDI8 Trabajo del Comité EDI8
Lo Público…
Documentos Adulterados
4
Documentos Adulterados
Papel sumergido en Té Papel sumergido en bebida gaseosa(Cola-Cola)
Papel sumergido en bebida gaseosa(Pepsi-Cola)(Cola Cola) (Pepsi Cola)
Documentos Adulterados
¿Por qué Implementar un SGSI?
Los procesos y servicios de la Institución
que soporta los
de la Informaciónde la Información
Confidencialidad Integridad Disponibilidad
Seguridad vela por
g p
Alineamiento con Objetivos Institucionales
US01 - Mejorar la percepción del cliente de l lid d d l i ila calidad del servicio.
US.02- Reducir el fraude
PI 02 - Mejorar la calidad del servicio 11PI.02 - Mejorar la calidad del servicio
FI.01 - Conciliar rentabilidad con seguridad
EN.02 - Mejorar la Imagen Institucional : PE
I 200
7 -2
01
j g
*Fue
nte:
SEGURIDAD DE LA INFORMACIÓNSGSI
DepartamentalesPLAP - LIMA Centro Cívico
Primera Etapa:
CENTRO DE COMPUTO
• Sistemas InformáticosEtapa:Certificar
en ISO/IEC
Sistemas Informáticos• Infraestructura• Servidores• Comunicaciones• Aplicaciones
B d D t27001 • Bases de Datos
SGSI en la InstituciónSGSI en la Institución
SGSISGSI –Proceso n
SGSI –Proceso 1
SGSI Proceso 2SGSI Proceso 2
Alcance – Ámbito de implementación
Ámbito: Centro de Cómputo
Soporte Técnico(Adm. de la Plataforma y las M d(Adm. de la Plataforma y las
Comunicaciones)
Seguridad
Mesa de Ayuda
(Soporte a Usuarios)
Adm. de la Contingencia del C.C.de la Información
)
Adm. de las Operaciones del Centro de Cómputo
Alcance – Lo norma implementada
ISO 27001: “Sistema de Gestión de Seguridad de la Información”Política de Política de Seguridad
Organización de la Seguridad de Información
S id d d l
Seguridad
Organización de la Seguridad de Información
S G S I
OrganizaciónTecnología
Implica a:Implica a:Gestión de ActivosSeguridad del
RRHH
Seguridad FísicaGestión de las Comunicaciones y
OperacionesTecnologíaLegal
FísicaGestión de Acceso
Adquisición, desarrollo y mantenimiento de sistemas
Gestión de las Incidencias de Seguridad
Gestión de la Continuidad del Negocio Cumplimiento
Incidencias de Seguridad Continuidad del Negocio p
Personas Procesos Tecnología
El Proyecto
Análisis E t bl i i t
Lo implementado en el Centro de Cómputo
I l t ió M it MantenimientoAnálisis Preliminar y
Planeamiento
Establecimiento del SGSI
Implementación y Operación
Monitoreo y Revisión
Mantenimiento y Mejora
Definición Alcance Normativa de Plan de Mejora Auditorías Definición Alcance
Análisis de Impacto
Seguridad
Plan de Respuesta al
Riesgo
jContinua
Cuadro de Control y Monitoreo
Internas
Plan para la Revisión Ejecutiva
Análisis GAP
Preparación para la Certificación
Análisis de Riesgo
Riesgo
Implementación de Controles
Selección de Controles
Documento
Plan de Educación en
Seguridad Certificación
Documento Aplicabilidad
Lección Aprendida
No confunda las normas ISO/IEC 27001No confunda las normas ISO/IEC 27001 ISO/IEC 27002 (ISO/IEC 17799).
Lección Aprendida
Si no tiene claro el alcance que quiere cubrirSi no tiene claro el alcance que quiere cubrir con la gestión de la seguridad: RECOMENDAMOS NO INICIAR LARECOMENDAMOS NO INICIAR LA IMPLEMENTACIÓN de un SGSI.
Lección Aprendida
Obtenga la aprobación de la Jefatura y/oObtenga la aprobación de la Jefatura y/o Gerencia General de su Institución, si no tiene este apoyo será difícil implementar.este apoyo será difícil implementar.
Lección Aprendida
Organice el Comité de Seguridad de laOrganice el Comité de Seguridad de la Información.
Tienen que participar representantes deTienen que participar representantes de diversas áreas, tales como RRHH, Legal, TI, personal de las áreas de los procesosáreas de los procesospersonal de las áreas de los procesos áreas de los procesos principalesprincipales.
N l id i l l á bl dNo olvidar involucrar al área responsable de emitir documentos normativos.
Lección Aprendida
De ser necesario, modificar el MOF de laDe ser necesario, modificar el MOF de la Institución para que ciertas funciones clave, en lo que respecta a la seguridad de laen lo que respecta a la seguridad de la información y la gestión de riesgos, sean incluidas.incluidas.
Lección Aprendida
Desarrolle o revise las políticas de seguridad de la p gInstitución. Cambie el enfoque de políticas de seguridad informática a políticas de seguridad de la información.
Guíese de los dominios de la norma ISO/IEC 17799 ( / )(ISO/IEC 27002).
Busque apoyo en otras Instituciones Públicas para no t t d “I t l Pól ”tratar de “Inventar la Pólvora”.
Lección AprendidaUno de los puntos vitales en la implementación es el desarrollo de la Guía de Gestión de Riesgos.
Recomendamos utilizar la norma ISO/IEC 27005:2008 –
Gestión de Riesgos de la Seguridad de la Información –Disponible como NTP aproximadamente a fines de año.
Lección Aprendida
Es necesario y recomendable que se ejecute un y q jAnálisis de Impacto al Negocio – BIA
Lección AprendidaDe acuerdo al nivel de madurez y la disponibilidad presupuestal es recomendabledisponibilidad presupuestal, es recomendable mantener una persona a tiempo completo revisando los temas de seguridadrevisando los temas de seguridad.
Lección Aprendida
Activar la seguridad y la auditoria razonableActivar la seguridad y la auditoria razonable de las bases de datos en los ambientes de producción.producción.
Generar registros de auditorias sobre la actividad de los administradoresactividad de los administradores.
Lección Aprendida
No olvide revisar los accesos que los usuariosNo olvide revisar los accesos que los usuarios tienen en los sistemas de información.
No olvide que los accesos dentro de losNo olvide que los accesos dentro de los sistemas deben encontrarse acordes con las funciones desempeñadasfunciones desempeñadas.
Lección Aprendida
Capacite a los empleados en seguridad de laCapacite a los empleados en seguridad de la información.
Presente casos reales que se hayan efectuadoPresente casos reales que se hayan efectuado en la institución.
Utili l j i dUtilice lenguaje apropiado.
Prepare presentaciones diferenciadas por áreas pero con el mismo mensaje de fondo.
LEY Nº 27309 LEY Nº 27309 ‐‐ INCORPORA AL CODIGO PENAL LOS DELITOS INCORPORA AL CODIGO PENAL LOS DELITOS INFORMATICOS INFORMATICOS (ART. 2007 C.P.)(ART. 2007 C.P.)
Art. 207º A .- El que utiliza o ingresaindebidamente a una base de datos, sistemao red de computadoras o cualquier parte dela misma, para diseñar, ejecutar o alterar un
Art. 207º B .- El que utiliza, ingresa ointerfiere indebidamente una base dedatos, sistema o red o programa decomputadoras o cualquier parte de la
esquema u otro similar, o para interferir,interceptar, acceder o copiar información entransito o contenida en una base de datos.
misma con el fin de alterarlos, dañarloso destruirlos.
CIRCUNSTANCIAS AGRAVANTESArt. 207º C
El agente accede a una base dedatos, sistema o red decomputadoras, haciendo uso dei f ió i il i d
El agente pone en peligro laseguridad nacional".
información privilegiada,obtenida en función a su cargo.
DELITO CONTRA EL DELITO CONTRA LA LIBERTAD
FIGURAS DELICTIVAS MAS CONOCIDASFIGURAS DELICTIVAS MAS CONOCIDASEMPLEANDO ALTA TECNOLOGIAEMPLEANDO ALTA TECNOLOGIA
(Código Penal)(Código Penal)DELITO CONTRA EL PATRIMONIO
(HURTO AGRAVADO)
DELITO CONTRA LA LIBERTADOFENSAS AL PUDOR PUBLICO
(PORNOGRAFIA INFANTIL)
(Código Penal)(Código Penal)
Art. 183º A.- El que posee, promueve,fabrica, distribuye, exhibe, ofrece,
Art. 186º.- El que para obtenerprovecho, se apodera ilegítimamente
comercializa o publica, importa o exportapor cualquier medio incluido la INTERNET,objetos, libros, IMÁGENES VISUALES oauditivas, o realiza espectáculos en vivo de
provecho, se apodera ilegítimamentede un bien mueble, total oparcialmente ajeno, sustrayéndolo dellugar donde se encuentra, …
3 M di t l tili ió d i t carácter pornográfico, en los cuales seutilice a personas de 14 y menos de 18 añosde edad, …
Cuando el menor tenga menos de 14 años
3. Mediante la utilización de sistemasde transferencia electrónica defondos, de la telemática en general ola violación del empleo de claves
t Cuando el menor tenga menos de 14 añosde edad, …
secretas.
Lección Aprendida
Determine métricas de Seguridad de la I f ióInformación.
Lección Aprendida
Implemente un procedimiento deImplemente un procedimiento de registro, seguimiento y control de los “Incidentes de Seguridad de la Información”.
Lección Aprendida
De ser el caso no dude en solicitar apoyo de laDe ser el caso no dude en solicitar apoyo de la Policía Informática del Perú – DIVINDAT. División de Investigaciones de Delitos de AltaDivisión de Investigaciones de Delitos de Alta Tecnología.
http://www policiainformatica gob pe/http://www.policiainformatica.gob.pe/
Lección Aprendida
Efectúen una revisión del código fuente de susEfectúen una revisión del código fuente de sus aplicaciones.
Nadie sabe lo que se puede encontrar PodríanNadie sabe lo que se puede encontrar. Podrían existir “puertas traseras” colocadas por los programadoresprogramadores.
Lección Aprendida
Estandarice el desarrollo de sus sistemas de información Debeinformación. Debe incluir los estándares de seguridad en lo quede seguridad en lo que respecta al código fuente.
Se recomienda revisar la página http://www.owasp.org
Lección AprendidaNo deje de lado el enfoque de la reducción de fraudes en sus organizaciones
Lección Aprendida
Integre los estándares para NO DUPLICARIntegre los estándares para NO DUPLICAR ESFUERZOS:
COSOCOSO
COBIT
ISO/IEC 27001
ISO/IEC 27002
Reglamento de Seguridad y Salud en el TrabajoTrabajo
Integrabilidad
REGULACIONES
DRIDisaster Recovery Institute
PMI-PMBOKSSTSeguridad y Salud en el Trabajo
BCIBusiness Continuity Institute
REGULACIONES
ISO 27.005Gestión de Riesgos de segurida
CMMInivel de Madurrez
BS 25.999Business Continuity Management
Disaster Recovery InstituteBusiness Continuity Institute
ISO 27.001 – 27.002Sistema de Gestión de Seguridad
de la Información (SGSI)
COBIT/ISO 38500Gobernabilidad TI
ISO 20.000Sistema de Gestión de Servicios TI
(ITIL)
Sistemas de Gestión y Gobernabilidadalineados con el Negocio
COSO - ERM
Integración de Normas – Arman contra la corrupción y el fraude
Tip
o d
Escenario del Fraude Control a implementar Informe COSO – RC N°320-2006- CG- Control
Interno]
Norma ISO/IEC 27001:2005 – Sistema de Gestión de
Seguridad Norma de la SBS
COBIT v4- Control de Tecnologías[
de Frau
de
Corru
Uso indebido de los privilegiosen los sistemas de informaciónpara ingresar información sin
Código de Ética 3.2 Segregación deFunciones4 4 Sistemas de
A.11 Control de Accesos.A.11.1.1 Política de Controlde Accesos
DS5 – Garantizar laSeguridad de los Sistemas
pción
para ingresar información sinsustento, adulterar montos, yfavorecer a terceros.
4.4 Sistemas deInformación
de AccesosA.11.2.2 Gestión dePrivilegios.A.11.2.4 Revisión de losderechos de acceso de losusuarios
Obtener información de lossistemas de información de losambientes de pruebas odesarrollo, dado que lainformación ahí almacenadaes idéntica a la de losambientes de producción.
Aplicar transformación de datos entre losambientes. Efectuar separación lógica de losambientes. Controlar el acceso a los mismos.No entregar copias de las bases de datos deproducción en los ambientes de pruebas odesarrollo.
4.4 Sistemas deInformación
A.10.1.4 Separación de lasinstalaciones de desarrollo,prueba y operación.A.11.6 Control de Acceso alas aplicaciones einformación.A.11.6.2 Aislamiento desistemas sensibles.
DS11 Administración de laInformación
Personal que ingresa a unaorganización sin que severifiquen sus documentos.
Se debe hacer un chequeo y verificación deinformaciones anteriores de todos loscandidatos para el empleo, en concordanciacon las leyes, regulaciones y ética.Se debe limitar el acceso a los sistemas,según la necesidad de tener y saber.
1.4 Estructura Organizacional 1.5 Administración de Recursos Humanos4.4 Sistemas de Información
A.8 Seguridad en Recursos HumanosA.8.2.3 Proceso disciplinario
PO7 Administrar recursoshumanos de TI
Uso de accesos físicos ylógicos de empleados que yadejaron de laborar.
Reforzar el procedimiento de baja delpersonal. Lo ideal es que sus cuentas seencuentran centralizadas al momento de labaja. Aquí debe establecerse apoyo con elpersonal de vigilancia de la Entidad.
1.5 Administración deRecursos Humanos
A.8.3.1. Responsabilidadesde FinalizaciónA.8.3.2 Devolución deActivosA.8.3.3 Al finalizar el empleoRetiro de derechos de
PO7 Administrar recursos humanos de TIDS12 Administrar el ambiente físicoDS11 Administrar los datos
acceso.
Visión de la seguridad en la Institución
Un Sistema de Gestión de la Seguridad de la Información UNIFICADO
SGSI (UNIFICADO) de la Institución
Ó
SGS (U C O) de a st tuc ó
INTEGRACIÓN
SGSI - Centro de Cómputo
SGSIServicio de Atención al
SGSIServicio de
Calificaciones de
SGSIServicio de
Verificaciones
SGSIServicio de
Administración
SGSIServicio
Mantenimiento de
Público Expedientes de Aportes de Archivosto de
Aplicaciones
El Proyecto ‐ CronogramaLo implementado en el Centro de Cómputo
Análisis Preliminar y Análisis Preliminar y
SemestreI
SemestreII
SemestreI
SemestreII
SemestreI
SemestreII
2007 2008 2009SGSI
yPlaneamiento Establecimiento del Establecimiento del SGSI Implementación y
X X
X X
pImplementación y Operación Monitoreo y Revisión Mantenimiento y
X X
X Xj
Mantenimiento y Mejora
Auditoria para la Certificación
XX
Certificación
El Proyecto ‐ EsfuerzoRECURSOS: Equipo consultor y personal de la Institución
Para el SGSI del Centro de Cómputop564 días útiles
Esfuerzo total del proyecto
Mas de 02 AÑOS Desde Hasta
dedicadosDesde ENE 07
Hasta FEB 09
6Participación 3M d 35Consultores Instit.
6
14
pDirecta
3
Participación Indirecta 15
Mas de 35 personas
participando
El Proyecto ‐ Resultados
La Institución aprobó exitosamente la auditoría de certificación para el Centro de Cómputo(*)
Se usaron las buenas prácticas internacionales
U Si t d G tió li d l Obj ti I tit i lUn Sistema de Gestión alineado a los Objetivos Institucionales
En los próximos 18 meses la integración de los 06 SGSI
(*) En tramites
Por último – desde el Comité EDI
• Para el 2009 en proceso: • PNTP ISO/IEC 27006: 2007 Information technology Security• PNTP ‐ ISO/IEC 27006: 2007 ‐ Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems.
• PNTP ISO/IEC 27005: 2008 Information technology Security• PNTP ‐ ISO/IEC 27005: 2008 ‐ Information technology – Security techniques – Information security risk management
• PNTP – ISO 27799:2008 ‐ Health informatics ‐‐ Information security management in health usingsecurity management in health using
• PNTP – ISO 28001:2007 ‐ Security management systems for the supply chain ‐ Best practices for implementing supply chain security assessments and plans Requirements and guidancesecurity, assessments and plans ‐ Requirements and guidance.
!MUCHAS GRACIAS por su atención!p
Roberto Puyó Valladares CISMRoberto Puyó Valladares, CISM
robertopuyovalladares@gmail.com
995786312