Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones Seguridad de la Información. sobre la 2. Estructura de la Norma NCh-ISO 27001.Of2009. 3. Revisión de dominios del SSI. 4. Buenas Práctica en la implementación de un SSI. 2 SEGURIDAD DE LA INFORMACION Cualquiera sea la forma que tome la información o los medios por los que se comparta o almacene, debería ser siempre protegida de forma adecuada. NCh-ISO 27001.Of2009. 4 SEGURIDAD DE LA INFORMACION La gestión de la seguridad de la información busca proteger todos los activos de información con el fin de asegurar su Confidencialidad, Integridad y Disponibilidad Para la persona correcta Información correcta Información Disponibilidad En el momento correcto 5 SEGURIDAD DE LA INFORMACION SEGURIDAD DE LA INFORMACION SEGURIDAD DE LA INFORMACION ACTIVOS Activos de Información Datos digitales: Bases de datos, copias de seguridad, claves Activos Físicos Activos de Servicios TI Infraestructura de TI: CPD, edificios, oficinas Funcionarios Activos tangibles: correos, libros, archivadores, llaves Activos intangibles: conocimiento, relaciones Activos Humanos Equipamiento : Hardware, estaciones de trabajo, portátiles, discos duros… Servicios de autentificación, servicios de red Software Sistemas Operativos Controles del entorno TI, aire acondicionado, alarmas Externos 9 SEGURIDAD DE LA INFORMACION Ejemplos de Amenaza de los Activos Robos de medios o información Ataques externos Desastres naturales Interrupciones de servicio Ataques internos Acciones no autorizadas 10 SISTEMA DE SEGURIDAD DE LA INFORMACION OBJETIVO DEL SISTEMA DE SEGURIDAD DE LA INFORMACIÓN Lograr niveles adecuados de integridad, disponibilidad y confidencialidad para toda la información institucional relevante, con el objeto de asegurar la continuidad operacional de los procesos y servicios. 1 1 ¿Cómo se conforma un Sistema de Seguridad de la información? ¿Qué es el Sistema de Seguridad de la Información? • Conformar el Comité de Seguridad. • Nombrar al Encargado de Seguridad. • Definir la Política de Seguridad de la Información. • Definir el Alcance del SGSI. • Acciones preventivas y correctivas (corrección de no conformidades del SGSI) ACTUAR • • • • Revisar la efectividad del SGSI (cumplimiento de políticas, objetivos, procedimientos, etc.) Auditorías. Revisión del Encargado de Seguridad Revisiones del Comité de Seguridad. VERIFICAR PLANIFICAR HACER • Definir el tratamiento de Riesgos. • Implementar los controles (ISO 27001) • Definir el sistema de métricas. Por qué es necesario un Sistema de Seguridad de la Información? • Reducción de Riesgos. • Contar con un proceso definido para Administrar la seguridad de la información • Una mejora continua en la gestión de la seguridad. • Una garantía de continuidad y disponibilidad del negocio. • Reducción de los costos vinculados a los incidentes. • Cumplimiento Legal 13 Sistema de Seguridad de la Información (SSI), Estructura Dominio Objetivos Controles/ Requisitos Política de Seguridad 1 2 Organización de la Seguridad de la Información 2 11 Gestión de Activos 2 5 Seguridad de Recursos Humanos 3 9 Seguridad Física y Ambiental 2 13 Gestión de las comunicaciones y las operaciones 10 32 Control de acceso 7 25 133 Adquisición, desarrollo y mantenimiento de los sistemas de información 6 16 Controles Gestión de incidentes de SI 2 5 Gestión de la continuidad del negocio 1 5 Cumplimiento 3 10 TOTAL (11) 39 133 11 Dominios 39 Objetivos DOMINIO 5: POLITICA DE SEGURIDAD OBJETIVO Proporcionar orientación y apoyo de la dirección para la seguridad de la información, de acuerdo con los requisitos del negocio y con las regulaciones y leyes pertinentes. Información correcta Para la persona correcta En el momento correcto DOMINIO 6: ORGANIZACION DE LA SEGURIDAD DE LA INFORMACION OBJETIVO Establecer un marco referencial a nivel directivo para iniciar y controlar la implementación de la Seguridad de la Información dentro de la institución. • Aprueba las políticas de seguridad • Valida el proceso de gestión de Seguridad de la Información • Sanciona las estrategias y mecanismos de control para el tratamiento de riesgos • Aprueba los recursos necesarios para la ejecución de SGSI DIRECCION COMITE AREAS ENCARGADO DE SEGURIDAD AREAS AREAS DOMINIO 7: GESTION DE ACTIVOS OBJETIVO Lograr y mantener una apropiada protección de los activos institucionales. Todos los activos deben ser inventariados y contar con un propietario nombrado. Todos los activos relevantes deben ser inventariados DOMINIO 8: SEGURIDAD RELATIVA A LOS RECURSOS HUMANOS OBJETIVO Asegurar que los empleados, contratistas y terceros entiendan sus responsabilidades, y sean idóneos para los roles para los cuales son considerados; y reducir el riesgo de robo, fraude y mal uso de los medios. DOMINIO 9: SEGURIDAD FISICA Y DEL AMBIENTE OBJETIVO Este dominio consiste en prevenir el acceso no autorizado, daño e interferencia a las instalaciones de la institución y a la información. Los equipos de procesamiento de información crítica o sensible de la institución se deben mantener en áreas seguras, protegidos por un perímetro de seguridad definido, con barreras apropiadas de seguridad y controles de entrada. Éstos deben estar físicamente protegidos del acceso no autorizado, daño e interferencia. DOMINIO 10: GESTION DE COMUNICACIONES Y OPERACIONES OBJETIVOS • • • • • • Documentar las operaciones (Procedimientos Documentados) Gestionar los servicios provistos por terceros. Minimizar los riesgos de fallas e integridad de los sistemas. Garantizar la integridad y disponibilidad de la información (respaldos) Proteger la información en redes y la infraestructura de soporte. Proteger los intercambios de información y software. DOMINIO 11: CONTROL DE ACCESO OBJETIVOS • • • • • Gestión de los accesos de los usuarios. Responsabilidades del usuario. Control de acceso a la red. Control de acceso al sistema operativo. Control de acceso a las aplicaciones y a la información. DOMINIO 12: ADQUISICION, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS OBJETIVOS • • • Requisitos de seguridad para los sistemas de información. Procesamiento correcto de las aplicaciones (pérdida, modificación o mal uso de la información). Seguridad en los procesos de desarrollo y soporte. DESARROLLO DE SISTEMAS Requisitos de seguridad Procesamiento correcto de las aplicaciones Seguridad en los procesos de desarrollo DOMINIO 13: GESTION DE INCIDENTES DE LA SEGURIDAD DE INFORMACION OBJETIVO Asegurar que las debilidades y eventos de seguridad sean comunicados y gestionados. DOMINIO 14: GESTION DE LA CONTINUIDAD DEL NEGOCIO OBJETIVOS Contrarrestar interrupciones a las actividades del negocio y proteger los procesos críticos del negocio contra los efectos de fallas importantes en los sistemas de información o contra desastres, y asegurar su restauración oportuna. DOMINIO 15: CUMPLIMIENTO OBJETIVOS • • Asegurar que los sistemas cumplen con las normas y políticas de seguridad de la organización. Evitar los incumplimientos de cualquier ley, estatuto, regulación, u obligación contractual, y de cualquier requisito de seguridad. Cumplir normas y políticas de seguridad. Evitar incumplimientos de leyes, estatutos, etc.. BUENAS PRACTICAS EN AL IMPLEMENTACION DE UN SISTEMA DE SEGURIDAD DE LA INFORMACION 1. Conformar el Comité de Seguridad de la Información (obtener el compromiso de la Dirección). 2. Nombrar al Encargado de Seguridad de la Información. 3. Establecer la Política General de Seguridad. 4. Definir el alcance del Sistema (procesos de generación de productos y servicios). 5. Identificar los activos de información. 6. Levantar los riesgos asociados a los activos. 7. Implementar los procesos para mitigar los riesgos (Políticas, procedimientos, instructivos). 26 Sistema de Seguridad de la Información (SSI), Documentación de Seguridad Link Minsal: http://web.minsal.cl/seguridad_de_la_informacion Dipres: http://www.dipres.gob.cl/594/w3-propertyvalue16887.html 27 Sistema de Seguridad de la Información (SSI), Rodrigo Vidal Arteaga [email protected] teléfono 2 57 40049 José Villa Catalán [email protected] teléfono 2 57 40020 28