Modelo de gestión de la seguridad, ISO 27002 : Administración de seguridad de de la información
CIT
Conformidad legal (3 Objetivo, 10 Controles)
d ) a s e d l i r o r u t g n o e C s 2 , e o d i v t a j e c b i t í l O o 1 ( P
) s e l s o r e s t n e n o n o i o C c i a c 2 3 c a , i r o n e v i u p t e j m o b o Y C O 0 1 (
o s e c c a e d l o r t n o C
) s e l o r t n o C 5 2 , o v i t e j b O 7 (
) s e l o o r t t s n a n o e i m C e 6 m i t s 1 n i , e s o t v i n e t e a D j b M O 6 (
Seguridad del personal
Seguridad física
(3 Objetivo, 9 Controles)
(2 Objetivo, 13 Controles)
Estructura organizativa
Clasificación de activos
(3 Objetivo, 11 Controles)
(2 Objetivo, 5 Controles)
P l a n d e ( 1 O C b o j e n t i t i v n o u , i 5 d C a o d n t d r o e l e s N ) e g o c i o
Diagrama de la Norma ISO 27002
CIT Seguridad organizativa
Política de Seguridad
Seguridad lógica Seguridad física Seguridad legal
Organización de la Seguridad de la información
Gestión de activos
Control de accesos
conformidad
Gestión de Incidentes de seg. de la información
Seguridad física y del
Seguridad en los
entorno
Recursos Humanos
Gestión de la Continuidad del negocio
Gestión de comunicaciones y operaciones
Adquisición, desarrollo desarrollo y mantenimiento de sistemas de información
ISO/IEC 27002: 2005 Sección 5: Política de seguridad
Política de seguridad de la información
Documento de política
Revisión de la política
CIT
Trata de que se disponga de una normativa común de seguridad que regule las líneas maestras sobre como va a trabajar toda la organización
ISO/IEC 27002:2005 Sección 6: Aspectos Organizativos de la Seguridad de la Información Organización Interna
Compromiso de la Dirección
Autorización para procesar la información Acuerdo confidencialidad
Seguridad en accesos de Terceras partes
Identificación de riesgos en el acceso de terceros
Coordinación de la Seg Responsables de Seguridad
CIT
Establece la estructura organizativa (terceros, responsables, comités, colaboraciones, etc.) y su funcionamiento de cara a gestionar la seguridad de la información
Tratamiento de seguridad En relación con los clientes
Contacto autoridades Grupo especial de interés Revisión independiente De la seguridad de la información
Tratamiento de seguridad En contratos con terceros
ISO/IEC 27002:2005 Sección 7: Clasificación y control de activos Responsabilidades sobre los activos
Clasificación de la información
Inventario de activos
Propiedad de los activos
Uso aceptable de los activos
CIT
Directrices de clasificación
Etiquetado y manipulado de la información
Incorpora las herramientas para establecer qué debe ser protegido, qué nive nivell de protección requiere requiere y quién es el responsable r esponsable principal de su protección
ISO/IEC 27002:2005 Sección 8: Seguridad relacionada con el personal Seguridad antes del empleo
Funciones y responsabilidades
Durante el empleo
Responsabilidades de la dirección
CIT
Cese del empleo cambio de puesto
Responsabilidad del cese o cambio
Devolución de activos Investigación de antecedentes
Términos y condiciones
Concienciación, formación y capacitación
Retiro de los derechos de acceso
Procesos disciplinarios
Establece las medidas de seguridad que se van a tomar con el personal, ya que finalmente son estos los que van a utilizar los sistemas y la información
ISO/IEC 27002:2005 Sección 9: Seguridad física y del entorno
Seguridad de los Equipos
Áreas seguras de información
Emplazamiento y Protección equipos
Perímetro de Seguridad física Controles físicos de entrada Seguridad oficinas, despachos e insta. Protección amenazas Externas de origen ambiental
CIT
Instalaciones suministros Incluye las medidas de seguridad física (edificios, salas, cableado, armarios, etc.) que se deben tomar para proteger los sistemas y la información
Seguridad cableado Mantenimiento de equipos Seguridad equipos fuera de la oficina
Trabajo en áreas seguras
Reutilización o ret. Segura de equipo
Zonas de carga y descarga
Retirada de materiales Propiedad de la empresa
ISO/IEC 27002:2005 Sección 10: Gestión de comunicaciones y operaciones Procedimientos y responsabilidades
Provisión servicios por terceros Provisión de servicios
Procedimientos de operaciones escritos
Control de cambios operacionales
Segregación de tareas y responsabilidades
Separación de Ambientes (desarrollo, Prueba y operación)
Supervisión y revisión Servicios por terceros Gestión de cambios Servicios prestado por terceros
Determina las medidas de seguridad que la organización debe contemplar en sus operaciones y en el uso de las comunicaciones
CIT
Protección código Malicioso y descargable Control contra código malicioso. Control contra código Descargado por el cliente
Planificación y Aceptación del sist. Gestión de capacidades
Aceptación del Sistema
ISO/IEC 27002:2005 Sección 10: Gestión de comunicaciones y operaciones Copias de seguridad
Manipulación de los soportes Gestión de soportes extraíbles
Copias de seguridad de La información
Retirada de soportes
Seguridad de Redes Controles de red
Seguridad de los Servicios de red
Procedimientos de Manipulación de la info.
Seguridad de la Documentación del sist.
Determina las medidas de seguridad que la organización debe contemplar en sus operaciones y en el uso de las comunicaciones
CIT
Intercambio de información
Políticas y procedimiento Intercambio de informac.
Acuerdos de cambio
Soportes físicos en transito Mensajería Electrónica Sistemas de información empresariales
ISO/IEC 27002:2005 27002:2005 Sección 10: Gestión de comunicaciones y operaciones
CIT
Supervisión Servicios de Comercio electrónico
Comercio electrónico
Transacciones en línea
Registro de Auditorias Supervisión uso del sistema Protección de la Información registros Registros administración y operación
Información pública Registro de fallos
Sincronización de reloj
ISO/IEC 27002:2005
CIT
Sección Sección 11: Control Control de acceso Requisitos de negocio para control de acceso
Responsabilidad usuarios Uso de passwords
Política control acceso
Gestión de Acceso usuarios
Passwords Revisión Derechos
Política Routing
Equipos desatendidos
Identificación de equipos de red
Puesto de trabajo despejado y pantalla limpia
Diagnostico remoto Protección puertos configuración
Registro Privilegios
Control de Acceso a la red
Establece las medidas de control de acceso a la información a los distintos niveles en los que se puede plantear
Segregación de redes Segregación de redes Control de conexión Control de routing
ISO/IEC 27002:2005
CIT
Secció Sección n 11: 11: Contr Control ol de acce acceso so Control de acceso al SO
Procedimiento seguro de inicio de sesión Identificación y Autenticación usuario Sistema gestión contraseña Uso recursos del sistema Desconexión Automática de sesión Limitación tiempo conexión
Control acceso a aplicaciones y a la información Restricción de acceso
Ordenadores portátiles y teletrabajo
Informática móvil Teletrabajo
Aislamiento de sistemas sensibles
ISO/IEC 27002:2005 Sección 12: Adquisición, desarrollo y mantenimiento de los sistemas de información Requisitos de seguridad de sistemas de información
Seguridad Desarrollo y soporte
Política de criptografía
Análisis y especificaciones
Tratamiento correcto de las aplicaciones Validación de Datos de entrada
Controles criptográficos
CIT
Gestión claves
Seguridad de los Archivo del sistema
Control proceso interno
Control software en explotación
Integridad de los mensajes
Protección datos prueba
Validación de los datos de salida
Control Código fuente
Control de cambios Revisión técnica de Aplicaciones tras cambios SO Restricción de Cambios software Fugas de información
Vulnerabilidad técnica
Control de vulnerabilidades
Desarrollo externalizado
Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones
Sección 13: Gestión de incidentes en la seguridad de la información Notificación eventos y puntos Débiles de la seguridad de la información
Notificación eventos
CIT
Incidentes de seguridad de la información y mejoras
Responsabilidades y Procedimientos
Aprendizaje de los Incidentes de seguridad Notificación puntos Débiles de la seguridad Recopilación de evidencias
Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones
ISO/IEC 27002:2005 Sección 14: Gestión de la continuidad del negocio Seguridad de la información en la gestión del negocio
Inclusión de la seguridad de la información en el proceso de gestión de continuidad del negocio Continuidad del negocio y evaluación de riesgos Desarrollo e implantación de planes de continuidad que incluyan seguridad de la información Marco de referencia para la Planificación de la continuidad del negocio Pruebas, mantenimiento y Reevaluación de planes de continuidad
CIT
ISO/IEC 27002:2005 Sección 15: Cumplimiento Cumplimiento de los Requisitos legales
CIT
Cumplimiento de las Políticas y normas de seguridad y cumplimiento técnico
Identificación de la Legislación aplicable Derechos propiedad Intelectual (DPI) Protección documentos de la organización Protección datos y Privacidad información personal Prevención uso indebido De los recursos tratamiento de la información Regulación de los controles criptográficos
Cumplimiento de las políticas y normas de seguridad
Comprobación del Cumplimiento técnico
Consideraciones de las Auditorías de los Sistemas de información
Control de Auditoría de los sistemas de información
Protección de las herramientas de auditoria de los sistemas de de información
Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones
Gracias …
A p o y o g e r e n c i a l
Equipo Sólido
La Seguridad es un proceso, No un producto ¿Preguntas?
Alianzas Estratégicas
Necesitamos la artillería correcta
CIT
CIT Less risk, better IT works
www.consultinginformationtechnology.com
[email protected] www.facebook.com/CITNIC