N
o
Organizaciones invitadas: Con la colaboración de:
1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing
#EXINWebinarsEnCastellano
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CON
LA ISO27002
16/11/2012
Con la colaboración de ...
0051 6373513 | 0051 6373514
Calle José Chariarse Nro. 880, Oficina 302
Miraflores, Lima - Perú
JuanMa Espinoza
• Profesional Reconocido a nivel internacional de la Gestión de Servicios y Proyectos IT.
• Dispone de los certificados oficiales como: Auditor ISO27001 e ISO20000, ISO27002, ITIL v2 y v3, Cobit v4.1, Prince2, MOF, Cloud Computing e ITIL Practitioner para Strategy, Design and Operations; es entrenador acreditado y reconocido internacionalmente para ITIL, ISO20K y Cloud Computing (entre otras certificaciones); y PMI Member ID No.:1219853.
• Vicepresidente y Director de Relaciones Internacionales del itSMF Perú. • Coordinador para Perú en la iniciativa europea IBERCLOUD. • Cocoordinador del GT "Cloud Computing y su impacto en los procesos ITSM"
del itSMF España. • Recientemente ha recibido el reconocimiento internacional de EXIN, por ser
el Primer Accredited Trainer de Latinoamérica en EXIN Cloud Computing, así como por ser el Primer Profesional Certificado de todo Latinoamérica.
3
INFORMATION SECURITY FOUNDATION
BASED ON ISO/IEC 27002
LA INFORMACION Y SU TRATAMIENTO
• ISO: International Organization for Standardization
• IEC: International Electro-technical Commission
• ISO/IEC 27002:2005 Information Technology — Security Techniques — (Código de
Prácticas para la Gestión de la Seguridad de la Información (anteriormente conocida como
la ISO/IEC 17799)
• Apartados:
¿QUÉ ES ISO/IEC 27002?
0. Introducción
1. Alcance
2. Términos y Definiciones
3. Estructura de la Norma
4. Evaluación del Riesgo
5. Política de la Seguridad
6. Organización de Seguridad de la
Información
7. Gestión de Activos
8. Seguridad de los Recursos Humanos
9. Seguridad Ambiental y Física
10. Gestión de Operaciones y
Comunicaciones
11. Control de Acceso
12. Adquisición de Sistemas de
Información, Mantenimiento y
Desarrollo
13. Gestión de Incidencias de Seguridad
de la Información
14. Gestión de la Continuidad del
Negocio
15. Conformidad
4
• Los datos pueden ser procesados por la Tecnología de la Información, pero estos se
convierten en Información solo cuando adquieren un significado determinado.
• La infomación puede extraer el texto pero también la palabra pronunciada y las
imágenes de video.
• Ejemplos de Medios de Almacenamiento
– Hoja
– Microficha
– Magnetico – Ejemplo: Cintas
– Óptica – Ejemplo: CD’s
DATOS E INFORMACIÓN
BEST
PRACTICE
according to Foundations of
Information Security
Data: 02-04-09
Information: 02-04-09
mm-dd-yy
5
Datos
Contexto
Comprensión
Sabiduría
¿Por qué?
Conocimiento
¿Como?
Información
¿Quién, Qué,
Cuando, Donde?)
DIKW: Data, Information, Knowledge, Wisdom
BEST
PRACTICE
according to
ITIL® Version 3
6
• La información es la comprensión de la relación entre las piezas de los datos
• La información responde 4 preguntas:
– Quién?
– Qué?
– Cuando?
– Donde?
Datos e Información BEST
PRACTICE according to
ITIL® Version 3
7
La conservación de la Confidencialidad, Disponibilidad e
Integración de la información; adicionalmente, otras
propiedades, como la autenticidad, el rendir cuentas, NON-
REPUDIATION, y la fiabilidad también pueden estar
involucrados.
¿Qué es la Seguridad de la Información?
Note: Repudiation is another word for negation, disclaimer
8
La seguridad de la Información consiste en la definición, implementación,
mantenimiento y evaluación de un sistema métrico coherente que asegure
la disponibilidad, confidencialidad e integridad de la información brindada
(computarizada y manual).
¿Qué es la Seguridad de la Información?
BEST
PRACTICE according to Foundations of
Information Security
9
• Implica el uso de la tecnología para el
almacenamiento, comunicación y
procesamiento de la información
• Normalmente, la tecnología incluye
computadoras, telecomunicaciones,
aplicaciones y otros software.
• La información puede incluir datos
empresariales, de voz, imágenes, videos, etc.
• La Tecnología de la Información es usada
para apoyar los Procesos Empresariales a
través de Servicios IT.
Sistema y Tecnología de la Información
BEST
PRACTICE
according to Foundations of Information Security and
ITIL® Version 3
• El procesamiento y transferencia de la
información se dá a través del Sistema de
Información
• Todo sistema que tenga el propósito de
transferir información es un Sistema de
Información
• Ejemplos de Sistemas de Información son:
los archivos guardados en carpetas,
teléfonos e impresoras
• Dentro del contexto de Seguridad de la
Información, el Sistema de Información es la
combinación de medios, procedimientos,
normas y personas que aseguran la
transferencia de información en un proceso
operativo
Information System Information Technology
10
EL VALOR DE LA INFORMACIÓN ES DETERMINADA A TRAVÉS DEL
VALOR QUE EL RECEPTOR OTORGA A LA MISMA
• 6.2.1: Para la identificación de riesgos relacionados al acceso externo se
debe tener en cuenta: la sensibilidad y el valor de la información en juego ya
que es crítica para las operaciones del negocio
• 7.2.1: La información debe ser clasificada de acuerdo al valor que posee ya
sean requisitos legales, sensibilidad, o de importancia para la empresa
• 12.1.1: Los controles y requisitos de Seguridad deben reflejar el valor
empresarial de la información implicada. Asi como el daño potencial comercial
que podría resultar de un fallo o ausencia de seguridad
Valor de la Información BEST
PRACTICE
according to Foundations of
Information Security
11
• Los factores comunes de producción de una compañia u organización son:
–Capital
–Materia prima y Trabajo
• En la Tecnología de la Información, también es común considerar la información
como un factor de producción
–Sin información no existen los negocios
–Aquel almacén que pierde información bursátil y clientes no es capaz de realizar
operaciones
–Inclusive, aquellos negocios como las oficinas de contadores, bancos y/o
compañías de seguro ofrecen Información como su único Producto/Servicio
La Información como Factor de Producción
BEST
PRACTICE
according to Foundations of
Information Security
12
La Seguridad de la Información otorga al Proceso de Negocio
seguridad aplicando los Controles de Seguridad en todas las áreas de
IT y a través de la gestión de Riesgo IT en línea con el Proceso de
Gestión de Riesgo Corporativo y Comercial; y Directrices.
El Valor del Negocio
BEST
PRACTICE
according to
ITIL® Version 3
13
La fiabilidad de la información consta de 3 aspectos:
– Confidentiality (Confidencialidad)
– Integrity (Integridad)
– Availability (Disponibilidad)
Fiabilidad de la Información
BEST
PRACTICE
according to Foundations of
Information Security
14
La confidencialidad es el grado en el cual el acceso a la información es restringida y
solo un grupo determinado tiene autorización para acceder a ella. Asimismo, esto
incluye medidas que protegen su privacidad.
Confidencialidad
BEST
PRACTICE
according to Foundations of
Information Security
15
• La integridad es el grado en el que la información se encuentra sin
errores y actualizada
• Las características son:
– La exactitud de la información
– La integridad de la información
Integridad
BEST
PRACTICE
according to Foundations of
Information Security
16
• El grado de disponibilidad es cuando la información se encuentra disponible
tanto para el usuario como para el Sistema de Información. Este se
encuentra operativo en el momento que la organización lo requiera
• Las características de Disponibilidad son :
Línea del tiempo: El Sistema de Información se encuentra disponible
cuando sea necesario.
Continuidad: El personal es capaz de continuar trabajando, en el caso
que ocurra algún fallo.
Fuerza : Hay suficiente capacidad la cual permita que todos trabajen al
mismo tiempo en el sistema.
Disponibilidad BEST
PRACTICE
according to Foundations of
Information Security
17
• La Seguridad de la Información casi se podría relacionar con la Arquitectura de la
Información
• La arquitectura de información es el proceso que se centra en poner a disposición
la información dentro de una organización
• La Seguridad de la Información puede ayudar a garantizar el suministro de
información requerida realizada en la Aquitectura de Información
• La Arquitectura Informática se centra principalmente en la Organización de la
Información. De acuerdo a la necesidad y la manera en la que ésta se lleve a
cabo. La Seguridad Informática apoya el proceso mediante la función de
garantizar la Confidencialidad, Integridad y Disponibilidad de la INFORMACIÓN
Arquitectura de la Información
BEST
PRACTICE
according to Foundations of
Information Security
18
• Un proceso operativo es aquel que se ubica en el núcleo del negocio
• En el Proceso Operativo, el personal desarrolla un servicio o producto para el cliente.
• El Proceso Operativo se compone principalmente de Actividades de entrada y salida
• Existen diferentes tipos de Procesos Operativos
Proceso Primario
• E.g. Administración del capital
– Proceso Guía
• E.g. Planeación de estrategia de la compañia
– Proceso de apoyo
• E.g. Compras, ventas o recursos humanos
Información y Proceso Operativo
BEST
PRACTICE
according to Foundations of
Information Security
19
• El analisis de Información brinda una imagen más clara de cómo la compañia maneja la
información – cómo es que la información “fluye” a través de la misma. Por ejemplo:
– Un huésped se registra en un hotel a través del sitio web
– Esta información es enviada directamente al departamento de
administración, el cual se encarga de asignarle una habitación.
– El área de recepción tiene presente que el huésped llegará el día de hoy
– El área de servicio tiene conocimiento de que la habitación debe estar lista
y limpia para la llegada del huésped
• Durante este proceso es importante que la información sea completamente fiable
• Los resultados del Análisis de Información pueden ser utilizados para el diseño de un
Sistema Informático
Análisis de la información
BEST
PRACTICE
according to Foundations of
Information Security
20
• La Gestión de la Información dirige y define la Política relacionada al suministro de
información de una organización.
• Dentro de este sistema, un administrador de información puede hacer uso de la
Arquitectura de la Información y un Análisis de la Información.
• La Gestión de la información implica mucho más que un proceso de información
automatizado, el cual es llevado a cabo por una organización.
• En muchos casos, la comunicación interna y externa forman parte de la estrategia
de Gestión de la información.
Gestión de la Información BEST
PRACTICE
according to Foundations of
Information Security
21
• Los términos de la infomática se relacionan con uso lógico de la estructura
para el desarrollo de los sistemas y la información
• Por otro lado, es importante comprender que la informática puede ser
utilizada para el desarrollo de programas
Informática BEST
PRACTICE
according to Foundations of
Information Security
22
23
RIESGOS Y AMENAZAS
INFORMATION SECURITY FOUNDATION
BASED ON ISO/IEC 27002
La causa potencial de un incidente no deseado, el cual
podría dañar a la Organización o el Sistema
¿Qué es una amenaza?
24
• Durante el proceso de Seguridad de la Información, los efectos no deseados
(amenazas) se tratan de solucionar lo mejor posible
• Para evitar este tipo de efectos se determinan estrategias dentro de la
Seguridad de la Información
• La Seguridad de la Información determina las Medidas de Seguridad que
deben emplearse para evitar estos efectos.
Métricas de Seguridad y Amenazas
BEST
PRACTICE
according to Foundations of
Information Security
25
Riesgo:
La combinación de probabilidad entre un acontecimiento y la
consecuencia del mismo
Riesgos BEST
PRACTICE
according to Foundations of
Information Security
Riesgo
• Posible daño o perdida de la información
• El riesgo se determina por el número de factores. Estos son la amenaza o
la posibilidad de que una amenaza se intesifique y por consiguiente las
consecuencias
26
Análisis del Riesgo
• La metodología nos ayuda a tener una idea de aquello que nos afecta y de lo
que nos estamos protegiendo.
• Existen diversas maneras de Analizar el Riesgo
• Un análisis de riesgo se utiliza para describir los riesgos a los que se enfrenta
la empresa
Análisis del Riesgo BEST
PRACTICE
according to Foundations of
Information Security
Utilización sistemática de la información para identificar las fuentes y la
estimación del riesgo
27
Riesgos
Amenazas Vulnerabilidades
Contramedidas
Bienes
Análisis
del Riesgo
Gestión del
Riesgo
Análisis del Riesgo, Riesgos y Amenazas BEST
PRACTICE
according to
ITIL ® Version 2, 3 and CRAMM
Cuando una amenaza se materializa, nace un riesgo para la organización.
Asimismo, tanto la evaluación de la gestión y la magnitud del riesgo
determinan si las medidas se deben ejecutar con la finalidad de minimizar el
riesgo y lo que pueda suceder. 28
• La evaluación de riesgos deberá incluir el enfoque sistemático para estimar la
magnitud de los mismos (Análisis del Riesgo) y el proceso de comparar los
riesgos estimados contra los criterios de riesgo; y así determinar la
importancia de estos (Evaluación de los Riesgo).
• La Evaluación de los Riesgos es la suma total de …
– Valoración y Evaluación de los Bienes
– Valoración y Evaluación de las Amenazas
– Evaluación de la vulnerabilidad
Evaluación del Riesgo BEST
PRACTICE
according to
ITIL ® Version 2, 3 and CRAMM
29
Incidencia
• La amenaza logra manifestarse
Ejemplo:
– Cuando un hacker realiza operaciones necesarias para tener acceso a la
red de la empresa
Desastre
• Sucede un gran incidente que atenta con la continuidad de la empresa
Ejemplo:
– Un corte de energía , causada por un helicóptero que dañó algún cable de
alta tensión
Desastres e Incidencias
BEST
PRACTICE
according to Foundations of
Information Security
30
Gestión del Riesgo:
Proceso desde
Hacia
Hasta
• Herramienta que clarifica la visión sobre cuales son las amenazas más relevantes
en el Proceso Operativo e identificar los riesgos asociados. Inclusive, el nivel de
seguridad apropiado podría ser determinando junto con las Medidas de Seguridad
correspondientes.
Gestión del Riesgo BEST
PRACTICE
according to Foundations of
Information Security
Amenazas
Riesgo
Métricas de Seguridad
31
Objetivos
1.Identificar el valor y los bienes
2.Determinar amenzas y la vulnerabilidad
3.Para determinar el Riesgo de que las amenazas podrían convertirse en
realidad e interrumpan el Proceso Operativo
4.Determina el balance entre los costos de enfrentar algún tipo de Incidencia y
de las Métricas de Seguridad
Análisis del Riesgo BEST
PRACTICE
according to Foundations of
Information Security
Métricas de Seguridad son
muy estrictas
Métricas de Seguridad no
son efectivas
Las Métricas de Seguridad son
rentables, efectivas y
OPORTUNAS
32
Análisis de Costos/Beneficios
• Pertenece al Proceso de Análisis del Riesgo
• Pregunta:
– Un servicio cuesta $100,000)
– Las Métricas de Seguridad para este servicio cuesta $150,000
– Conclusión: Las Métricas de Seguridad son realmente caras …
– es una correcta o incorrecta conclusión?
Análisis de Costos/Beneficios BEST
PRACTICE
according to Foundations of
Information Security
33
Análisis Cuantitativo del Riesgo
• El objetivo es calcular el Valor del Riesgo basado en el nivel de las pérdidas
económicas y la probabilidad de que una amenaza se convierta en un incidente
• El Valor de cada elemento es determinado durante todo el Proceso Operativo
• Estos valores se pueden componer de los costos de las Métricas de Seguridad, así
como del valor de la propiedad en sí, incluyendo el impacto en edificios, hardware,
software, información y en los negocios
• El tiempo se extiende antes de que una amenaza aparezca , la eficacia de las
Métricas de Seguridad y el Riesgo de que existe algún tipo de Vulnerabilidad;
también son elementos que deben considerarse
• Un análisis de riesgos puramente cuantitativa es prácticamente imposible
Tipos de Análisis de Riesgo BEST
PRACTICE
according to Foundations of
Information Security
34
Análisis Cualitativo del Riesgo
• Basado en situaciones y escenarios
• Las posibilidades de que una amenaza se desarrolle son examinadas bajo una
percepción personal
• El análisis examina el Proceso Operativo, el cual se relaciona con la amenaza y
las Métricas de Seguridad que se han tomado ante la situación
• Todo esto conduce a una visión subjetiva de las posibles amenazas
• Posteriormente , las Métricas son tomadas para lograr minizar el Riesgo
• El mejor resultado se consigue a través del análisis en una sesión de grupo, ya
que se intercambiarían ideas entre el personal. Evitando considerar el punto
de vista de una sola persona o departamento que logre dominar dicho análisis
Tipos de Análisis de Riesgo BEST
PRACTICE
according to Foundations of
Information Security
35
Amenazas Humanas
– Intencionales
• Piratería , Dañar la propiedad de la compañía, destruir e-mails después de
haber sido despedido sin razón e intencionalmente confirmar la acción de
eliminar con un “OK”
– Ingeniería Social
• Engañar a la gente voluntariamente ofreciéndoles información confidencial: el
phishing
Amenazas NO humanas
– Tormentas
– Incendios
– Inundaciones
– Huracanes
– Tornados
– Etc.
Tipos de Amenazas BEST
PRACTICE
according to Foundations of
Information Security
36
Daño Directo
– Robo
Daño Indirecto
– Una pérdida en consecuencia a algo que ocurrió.
• E.g.: Si hay una inundación en el centro de datos, esto evitará que el
Servicio de IT proporcione ayuda; ocasionando pérdidas en el negocio.
Expectativas de Pérdida Anual (ALE)
– La amplitud del daño - expresado en términos monetarios - puede ser el
resultado de un incidente en un año
• E.g.: Un promedio de 10 computadoras portátiles son robados cada año
de alguna empresa.
Expectativa de Pérdida Simple
– El daño causado por un único (one-off) Incidente
Tipos de Daño
BEST
PRACTICE
according to Foundations of
Information Security
37
Amortigüando el Riesgo
• Algunos riesgos son aceptados
• Métricas de Seguridad muy costosas
• Métricas de Seguridad superan los posibles daños
• Métricas de Seguridad que se toman son por naturaleza represivas
Riesgo Neutral
• Los resultados de las Métricas de Seguridad son aceptadas
• La amenaza ya no se produce
• El daño se reduce al mínimo
• Métricas de Seguridad adoptadas son una combinación de Prevención, Detección y
Represión
Evitando el Riesgo
•Las Métricas de Seguridad adoptadas son tales que la amenaza se neutraliza hasta el
punto en que evita que se convierta en un incidente.
•Por ejemplo: La instalación de un nuevo software logra que los errores en el software
antigüo dejen de ser una amenaza.
Tipos de Estrategias del Riesgo BEST
PRACTICE according to Foundations of
Information Security
38
Posibles soluciones incluídas dentro del tratamiento de Riesgo:
a)Aplicando las reglas apropiadas para la reducción del Riesgo
b)Aceptando de manera objetiva y a sabiendas el Riesgo, otorgando así una
clara satisfacción
c)Política de Organización y criterios de aceptación del Riesgo
d)Evitando que el riesgo se desarrolle y pueda provocar algún daño
e)Transfiriendo a terceros Riesgos asociados, por ejemplo, aseguradores y/o
proveedores.
Soluciones de los Riesgos de la Seguridad
39
40
LEGISLACIÓN Y REGLAMENTOS
INFORMATION SECURITY FOUNDATION
BASED ON ISO/IEC 27002
Objetivo
• Evitar el incumplimiento de cualquier ley, estatuto, las obligaciones
reglamentarias o contractuales, y sobre los requisitos de seguridad.
Conformidad
El diseño, operación, uso y gestión de la información de sistemas puede estar
sujeto a la seguridad legal, reglamentaria, y requerimientos contractuales.
Asesoramiento sobre requisitos legales específicos se debería pedir a los
asesores legales de la organización, o profesionales de la justicia debidamente
calificados. Los requisitos legales varían de un país a otro y pueden variar la
información creada en un país que se transmite a otro país (es decir, el flujo
transfronterizo de datos).
41
• Cumplimiento de Requisitos Legales
– Identificación de la legislación aplicable
– Derechos de propiedad intelectual
– Protección de los registros de la organización
– Protección de Datos y Privacidad de la Información Personal
–Prevención del uso indebido de las instalaciones de procesamiento de información
– Reglamento de los controles criptográficos
• Cumplimiento con las normas y estándares de seguridad y cumplimiento técnico
– Cumplimiento con las normas y estándares de seguridad
– Comprobación del cumplimiento técnico
• Información de sistema de Consideraciones de auditoría
– Información de Control de Sistemas de Auditoría
– Protección de las herramientas de auditoría de sistemas de información
Secciones de Cumplimiento
42
• Para observar las prescripciones legales
• Para observar el cumplimiento
• Para abarcar los derechos de propiedad intelectual
• Para proteger los documentos de los negocios
• Para proteger los datos y la confidencialidad de datos personales
ej: Ley de Protección de Datos de Carácter Personal: la protección de los datos
personales y la intimidad
• Para prevenir el abuso de las instalaciones de IT
• Para observar la política de seguridad y normas de seguridad
• Para supervisar las medidas de seguridad
• Para llevar a cabo auditorías de información del sistema
• Para proteger los medios utilizados para los sistemas de información de auditoría
BEST
PRACTICE according to Foundations of
Information Security
¿Por qué la legislacion y reglamentos son importantes?
43
Ejemplos
• Legislación que implica la Privacidad, Impuestos y Finanzas y el Reglamento
para los bancos y las empresas (por ejemplo, Sarbanes Oxley)
• Legislaciones Locales, Estatales y Nacionales
• Política propia de una empresa respecto a la legislación interna.
• Legislación de un país extranjero cuando se hacen negocios internacionales.
• Legislación que implica Privacidad
BEST
PRACTICE according to Foundations of
Information Security
Información de la legislación sobre seguridad
44
Con la colaboración de ...
0051 6373513 | 0051 6373514
Calle José Chariarse Nro. 880, Oficina 302
Miraflores, Lima - Perú
JuanMa Espinoza
¡Gracias por su atención!
N
o
Organizaciones invitadas: Con la colaboración de:
1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing
@EXIN_ES ( Hash Tag: #EXINWebinarsEnCastellano )
Obtén este y otros Webinars en nuestro canal Youtube Coporativo
http://www.youtube.com/user/ExinExams
Top Related