El objetivo de este Webinar es mostrar la Gestión de la seguridad en el paradigma actual, y los beneficios de la ISO27000
Hoy en día no se usan solo las infraestructuras proporcionadas por las compañías, cada vez es mas frecuente que el usuario use sus propios dispositivos para acceder a información de la compañía… ¿como puede ayudarnos la ISO27000?
13º Webinar - 2ª Ed. EXIN en Castellano: Cloud Computing, seguridad y BYOD
Gestión de la Seguridad de la Información con ISO27002
1. 1ª Serie de WEBINARS EXIN en Castellano
Gestión de servicio de TI - Seguridad de la información – Cloud Computing
#EXINWebinarsEnCastellano
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CON
LA ISO27002
Organizaciones invitadas: Con la colaboración de:
16/11/2012
N
2. Con la colaboración de ...
0051 6373513 | 0051 6373514
coordinacion@peru.pmconsultant.es
Calle José Chariarse Nro. 880, Oficina 302
Miraflores, Lima - Perú
JuanMa Espinoza
• Profesional Reconocido a nivel internacional de la Gestión de Servicios y
Proyectos IT.
• Dispone de los certificados oficiales como: Auditor ISO27001 e ISO20000,
ISO27002, ITIL v2 y v3, Cobit v4.1, Prince2, MOF, Cloud Computing e ITIL
Practitioner para Strategy, Design and Operations; es entrenador acreditado
y reconocido internacionalmente para ITIL, ISO20K y Cloud Computing (entre
otras certificaciones); y PMI Member ID No.:1219853.
• Vicepresidente y Director de Relaciones Internacionales del itSMF Perú.
• Coordinador para Perú en la iniciativa europea IBERCLOUD.
• Cocoordinador del GT "Cloud Computing y su impacto en los procesos ITSM"
del itSMF España.
• Recientemente ha recibido el reconocimiento internacional de EXIN, por ser
el Primer Accredited Trainer de Latinoamérica en EXIN Cloud Computing, así
como por ser el Primer Profesional Certificado de todo Latinoamérica.
4. ¿QUÉ ES ISO/IEC 27002?
• ISO: International Organization for Standardization
• IEC: International Electro-technical Commission
• ISO/IEC 27002:2005 Information Technology — Security Techniques — (Código de
Prácticas para la Gestión de la Seguridad de la Información (anteriormente conocida como
la ISO/IEC 17799)
• Apartados:
0. Introducción 9. Seguridad Ambiental y Física
1. Alcance 10. Gestión de Operaciones y
2. Términos y Definiciones Comunicaciones
3. Estructura de la Norma 11. Control de Acceso
4. Evaluación del Riesgo 12. Adquisición de Sistemas de
Información, Mantenimiento y
5. Política de la Seguridad
Desarrollo
6. Organización de Seguridad de la
13. Gestión de Incidencias de Seguridad
Información
de la Información
7. Gestión de Activos
14. Gestión de la Continuidad del
8. Seguridad de los Recursos Humanos Negocio
15. Conformidad
4
5. DATOS E INFORMACIÓN
BEST according to Foundations of
PRACTICE Information Security
• Los datos pueden ser procesados por la Tecnología de la Información, pero estos se
convierten en Información solo cuando adquieren un significado determinado.
• La infomación puede extraer el texto pero también la palabra pronunciada y las
imágenes de video.
Data: 02-04-09
Information: 02-04-09
mm-dd-yy
• Ejemplos de Medios de Almacenamiento
– Hoja
– Microficha
– Magnetico – Ejemplo: Cintas
– Óptica – Ejemplo: CD’s
5
6. DIKW: Data, Information, Knowledge, Wisdom
BEST according to
Contexto PRACTICE ITIL® Version 3
Sabiduría
¿Por qué?
Conocimiento
¿Como?
Información
¿Quién, Qué,
Cuando, Donde?)
Datos
Comprensión
6
7. Datos e Información
BEST according to
PRACTICE ITIL® Version 3
• La información es la comprensión de la relación entre las piezas de los datos
• La información responde 4 preguntas:
– Quién?
– Qué?
– Cuando?
– Donde?
7
8. ¿Qué es la Seguridad de la Información?
La conservación de la Confidencialidad, Disponibilidad e
Integración de la información; adicionalmente, otras
propiedades, como la autenticidad, el rendir cuentas, NON-
REPUDIATION, y la fiabilidad también pueden estar
involucrados.
Note: Repudiation is another word for negation, disclaimer
8
9. ¿Qué es la Seguridad de la Información?
BEST according to Foundations of
PRACTICE Information Security
La seguridad de la Información consiste en la definición, implementación,
mantenimiento y evaluación de un sistema métrico coherente que asegure
la disponibilidad, confidencialidad e integridad de la información brindada
(computarizada y manual).
9
10. Sistema y Tecnología de la Información
BEST according to Foundations of Information Security and
PRACTICE ITIL® Version 3
Information System Information Technology
• El procesamiento y transferencia de la • Implica el uso de la tecnología para el
información se dá a través del Sistema de almacenamiento, comunicación y
Información procesamiento de la información
• Todo sistema que tenga el propósito de • Normalmente, la tecnología incluye
transferir información es un Sistema de computadoras, telecomunicaciones,
Información aplicaciones y otros software.
• Ejemplos de Sistemas de Información son: • La información puede incluir datos
los archivos guardados en carpetas, empresariales, de voz, imágenes, videos, etc.
teléfonos e impresoras • La Tecnología de la Información es usada
• Dentro del contexto de Seguridad de la para apoyar los Procesos Empresariales a
Información, el Sistema de Información es la través de Servicios IT.
combinación de medios, procedimientos,
normas y personas que aseguran la
transferencia de información en un proceso
operativo
10
11. Valor de la Información
BEST according to Foundations of
PRACTICE Information Security
EL VALOR DE LA INFORMACIÓN ES DETERMINADA A TRAVÉS DEL
VALOR QUE EL RECEPTOR OTORGA A LA MISMA
• 6.2.1: Para la identificación de riesgos relacionados al acceso externo se
debe tener en cuenta: la sensibilidad y el valor de la información en juego ya
que es crítica para las operaciones del negocio
• 7.2.1: La información debe ser clasificada de acuerdo al valor que posee ya
sean requisitos legales, sensibilidad, o de importancia para la empresa
• 12.1.1: Los controles y requisitos de Seguridad deben reflejar el valor
empresarial de la información implicada. Asi como el daño potencial comercial
que podría resultar de un fallo o ausencia de seguridad
11
12. La Información como Factor de Producción
BEST according to Foundations of
PRACTICE Information Security
• Los factores comunes de producción de una compañia u organización son:
–Capital
–Materia prima y Trabajo
• En la Tecnología de la Información, también es común considerar la información
como un factor de producción
–Sin información no existen los negocios
–Aquel almacén que pierde información bursátil y clientes no es capaz de realizar
operaciones
–Inclusive, aquellos negocios como las oficinas de contadores, bancos y/o
compañías de seguro ofrecen Información como su único Producto/Servicio
12
13. El Valor del Negocio
BEST according to
PRACTICE ITIL® Version 3
La Seguridad de la Información otorga al Proceso de Negocio
seguridad aplicando los Controles de Seguridad en todas las áreas de
IT y a través de la gestión de Riesgo IT en línea con el Proceso de
Gestión de Riesgo Corporativo y Comercial; y Directrices.
13
14. Fiabilidad de la Información
BEST according to Foundations of
PRACTICE Information Security
La fiabilidad de la información consta de 3 aspectos:
– Confidentiality (Confidencialidad)
– Integrity (Integridad)
– Availability (Disponibilidad)
14
15. Confidencialidad
BEST according to Foundations of
PRACTICE Information Security
La confidencialidad es el grado en el cual el acceso a la información es restringida y
solo un grupo determinado tiene autorización para acceder a ella. Asimismo, esto
incluye medidas que protegen su privacidad.
15
16. Integridad
BEST according to Foundations of
PRACTICE Information Security
• La integridad es el grado en el que la información se encuentra sin
errores y actualizada
• Las características son:
– La exactitud de la información
– La integridad de la información
16
17. Disponibilidad
BEST according to Foundations of
PRACTICE Information Security
• El grado de disponibilidad es cuando la información se encuentra disponible
tanto para el usuario como para el Sistema de Información. Este se
encuentra operativo en el momento que la organización lo requiera
• Las características de Disponibilidad son :
Línea del tiempo: El Sistema de Información se encuentra disponible
cuando sea necesario.
Continuidad: El personal es capaz de continuar trabajando, en el caso
que ocurra algún fallo.
Fuerza : Hay suficiente capacidad la cual permita que todos trabajen al
mismo tiempo en el sistema.
17
18. Arquitectura de la Información
BEST according to Foundations of
PRACTICE Information Security
• La Seguridad de la Información casi se podría relacionar con la Arquitectura de la
Información
• La arquitectura de información es el proceso que se centra en poner a disposición
la información dentro de una organización
• La Seguridad de la Información puede ayudar a garantizar el suministro de
información requerida realizada en la Aquitectura de Información
• La Arquitectura Informática se centra principalmente en la Organización de la
Información. De acuerdo a la necesidad y la manera en la que ésta se lleve a
cabo. La Seguridad Informática apoya el proceso mediante la función de
garantizar la Confidencialidad, Integridad y Disponibilidad de la INFORMACIÓN
18
19. Información y Proceso Operativo
BEST according to Foundations of
PRACTICE Information Security
• Un proceso operativo es aquel que se ubica en el núcleo del negocio
• En el Proceso Operativo, el personal desarrolla un servicio o producto para el cliente.
• El Proceso Operativo se compone principalmente de Actividades de entrada y salida
• Existen diferentes tipos de Procesos Operativos
Proceso Primario
• E.g. Administración del capital
– Proceso Guía
• E.g. Planeación de estrategia de la compañia
– Proceso de apoyo
• E.g. Compras, ventas o recursos humanos
19
20. Análisis de la información
BEST according to Foundations of
PRACTICE Information Security
• El analisis de Información brinda una imagen más clara de cómo la compañia maneja la
información – cómo es que la información “fluye” a través de la misma. Por ejemplo:
– Un huésped se registra en un hotel a través del sitio web
– Esta información es enviada directamente al departamento de
administración, el cual se encarga de asignarle una habitación.
– El área de recepción tiene presente que el huésped llegará el día de hoy
– El área de servicio tiene conocimiento de que la habitación debe estar lista
y limpia para la llegada del huésped
• Durante este proceso es importante que la información sea completamente fiable
• Los resultados del Análisis de Información pueden ser utilizados para el diseño de un
Sistema Informático
20
21. Gestión de la Información
BEST according to Foundations of
PRACTICE Information Security
• La Gestión de la Información dirige y define la Política relacionada al suministro de
información de una organización.
• Dentro de este sistema, un administrador de información puede hacer uso de la
Arquitectura de la Información y un Análisis de la Información.
• La Gestión de la información implica mucho más que un proceso de información
automatizado, el cual es llevado a cabo por una organización.
• En muchos casos, la comunicación interna y externa forman parte de la estrategia
de Gestión de la información.
21
22. Informática
BEST according to Foundations of
PRACTICE Information Security
• Los términos de la infomática se relacionan con uso lógico de la estructura
para el desarrollo de los sistemas y la información
• Por otro lado, es importante comprender que la informática puede ser
utilizada para el desarrollo de programas
22
24. ¿Qué es una amenaza?
La causa potencial de un incidente no deseado, el cual
podría dañar a la Organización o el Sistema
24
25. Métricas de Seguridad y Amenazas
BEST according to Foundations of
PRACTICE Information Security
• Durante el proceso de Seguridad de la Información, los efectos no deseados
(amenazas) se tratan de solucionar lo mejor posible
• Para evitar este tipo de efectos se determinan estrategias dentro de la
Seguridad de la Información
• La Seguridad de la Información determina las Medidas de Seguridad que
deben emplearse para evitar estos efectos.
25
26. Riesgos
BEST according to Foundations of
PRACTICE Information Security
Riesgo:
La combinación de probabilidad entre un acontecimiento y la
consecuencia del mismo
Riesgo
• Posible daño o perdida de la información
• El riesgo se determina por el número de factores. Estos son la amenaza o
la posibilidad de que una amenaza se intesifique y por consiguiente las
consecuencias
26
27. Análisis del Riesgo
BEST according to Foundations of
PRACTICE Information Security
Utilización sistemática de la información para identificar las fuentes y la
estimación del riesgo
Análisis del Riesgo
• La metodología nos ayuda a tener una idea de aquello que nos afecta y de lo
que nos estamos protegiendo.
• Existen diversas maneras de Analizar el Riesgo
• Un análisis de riesgo se utiliza para describir los riesgos a los que se enfrenta
la empresa
27
28. Análisis del Riesgo, Riesgos y Amenazas
BEST according to
PRACTICE ITIL ® Version 2, 3 and CRAMM
Bienes Amenazas Vulnerabilidades
Análisis
del Riesgo
Riesgos
Gestión del Contramedidas
Riesgo
Cuando una amenaza se materializa, nace un riesgo para la organización.
Asimismo, tanto la evaluación de la gestión y la magnitud del riesgo
determinan si las medidas se deben ejecutar con la finalidad de minimizar el
28 riesgo y lo que pueda suceder.
29. Evaluación del Riesgo
BEST according to
PRACTICE ITIL ® Version 2, 3 and CRAMM
• La evaluación de riesgos deberá incluir el enfoque sistemático para estimar la
magnitud de los mismos (Análisis del Riesgo) y el proceso de comparar los
riesgos estimados contra los criterios de riesgo; y así determinar la
importancia de estos (Evaluación de los Riesgo).
• La Evaluación de los Riesgos es la suma total de …
– Valoración y Evaluación de los Bienes
– Valoración y Evaluación de las Amenazas
– Evaluación de la vulnerabilidad
29
30. Desastres e Incidencias
BEST according to Foundations of
PRACTICE Information Security
Incidencia
• La amenaza logra manifestarse
Ejemplo:
– Cuando un hacker realiza operaciones necesarias para tener acceso a la
red de la empresa
Desastre
• Sucede un gran incidente que atenta con la continuidad de la empresa
Ejemplo:
– Un corte de energía , causada por un helicóptero que dañó algún cable de
alta tensión
30
31. Gestión del Riesgo
BEST according to Foundations of
PRACTICE Information Security
Gestión del Riesgo:
Proceso desde Amenazas
Hacia
Riesgo
Hasta
Métricas de Seguridad
• Herramienta que clarifica la visión sobre cuales son las amenazas más relevantes
en el Proceso Operativo e identificar los riesgos asociados. Inclusive, el nivel de
seguridad apropiado podría ser determinando junto con las Medidas de Seguridad
correspondientes.
31
32. Análisis del Riesgo
BEST according to Foundations of
PRACTICE Information Security
Objetivos
1.Identificar el valor y los bienes
2.Determinar amenzas y la vulnerabilidad
3.Para determinar el Riesgo de que las amenazas podrían convertirse en
realidad e interrumpan el Proceso Operativo
4.Determina el balance entre los costos de enfrentar algún tipo de Incidencia y
de las Métricas de Seguridad
Las Métricas de Seguridad son
Métricas de Seguridad son rentables, efectivas y Métricas de Seguridad no
muy estrictas OPORTUNAS son efectivas
32
33. Análisis de Costos/Beneficios
BEST according to Foundations of
PRACTICE Information Security
Análisis de Costos/Beneficios
• Pertenece al Proceso de Análisis del Riesgo
• Pregunta:
– Un servicio cuesta $100,000)
– Las Métricas de Seguridad para este servicio cuesta $150,000
– Conclusión: Las Métricas de Seguridad son realmente caras …
– es una correcta o incorrecta conclusión?
33
34. Tipos de Análisis de Riesgo
BEST according to Foundations of
PRACTICE Information Security
Análisis Cuantitativo del Riesgo
• El objetivo es calcular el Valor del Riesgo basado en el nivel de las pérdidas
económicas y la probabilidad de que una amenaza se convierta en un incidente
• El Valor de cada elemento es determinado durante todo el Proceso Operativo
• Estos valores se pueden componer de los costos de las Métricas de Seguridad, así
como del valor de la propiedad en sí, incluyendo el impacto en edificios, hardware,
software, información y en los negocios
• El tiempo se extiende antes de que una amenaza aparezca , la eficacia de las
Métricas de Seguridad y el Riesgo de que existe algún tipo de Vulnerabilidad;
también son elementos que deben considerarse
• Un análisis de riesgos puramente cuantitativa es prácticamente imposible
34
35. Tipos de Análisis de Riesgo
BEST according to Foundations of
PRACTICE Information Security
Análisis Cualitativo del Riesgo
• Basado en situaciones y escenarios
• Las posibilidades de que una amenaza se desarrolle son examinadas bajo una
percepción personal
• El análisis examina el Proceso Operativo, el cual se relaciona con la amenaza y
las Métricas de Seguridad que se han tomado ante la situación
• Todo esto conduce a una visión subjetiva de las posibles amenazas
• Posteriormente , las Métricas son tomadas para lograr minizar el Riesgo
• El mejor resultado se consigue a través del análisis en una sesión de grupo, ya
que se intercambiarían ideas entre el personal. Evitando considerar el punto
de vista de una sola persona o departamento que logre dominar dicho análisis
35
36. Tipos de Amenazas
BEST according to Foundations of
PRACTICE Information Security
Amenazas Humanas
– Intencionales
• Piratería , Dañar la propiedad de la compañía, destruir e-mails después de
haber sido despedido sin razón e intencionalmente confirmar la acción de
eliminar con un “OK”
– Ingeniería Social
• Engañar a la gente voluntariamente ofreciéndoles información confidencial: el
phishing
Amenazas NO humanas
– Tormentas
– Incendios
– Inundaciones
– Huracanes
– Tornados
– Etc.
36
37. Tipos de Daño
BEST according to Foundations of
PRACTICE Information Security
Daño Directo
– Robo
Daño Indirecto
– Una pérdida en consecuencia a algo que ocurrió.
• E.g.: Si hay una inundación en el centro de datos, esto evitará que el
Servicio de IT proporcione ayuda; ocasionando pérdidas en el negocio.
Expectativas de Pérdida Anual (ALE)
– La amplitud del daño - expresado en términos monetarios - puede ser el
resultado de un incidente en un año
• E.g.: Un promedio de 10 computadoras portátiles son robados cada año
de alguna empresa.
Expectativa de Pérdida Simple
– El daño causado por un único (one-off) Incidente
37
38. Tipos de Estrategias del Riesgo
BEST according to Foundations of
PRACTICE Information Security
Amortigüando el Riesgo
• Algunos riesgos son aceptados
• Métricas de Seguridad muy costosas
• Métricas de Seguridad superan los posibles daños
• Métricas de Seguridad que se toman son por naturaleza represivas
Riesgo Neutral
• Los resultados de las Métricas de Seguridad son aceptadas
• La amenaza ya no se produce
• El daño se reduce al mínimo
• Métricas de Seguridad adoptadas son una combinación de Prevención, Detección y
Represión
Evitando el Riesgo
•Las Métricas de Seguridad adoptadas son tales que la amenaza se neutraliza hasta el
punto en que evita que se convierta en un incidente.
•Por ejemplo: La instalación de un nuevo software logra que los errores en el software
antigüo dejen de ser una amenaza.
38
39. Soluciones de los Riesgos de la Seguridad
Posibles soluciones incluídas dentro del tratamiento de Riesgo:
a)Aplicando las reglas apropiadas para la reducción del Riesgo
b)Aceptando de manera objetiva y a sabiendas el Riesgo, otorgando así una
clara satisfacción
c)Política de Organización y criterios de aceptación del Riesgo
d)Evitando que el riesgo se desarrolle y pueda provocar algún daño
e)Transfiriendo a terceros Riesgos asociados, por ejemplo, aseguradores y/o
proveedores.
39
41. Conformidad
Objetivo
• Evitar el incumplimiento de cualquier ley, estatuto, las obligaciones
reglamentarias o contractuales, y sobre los requisitos de seguridad.
El diseño, operación, uso y gestión de la información de sistemas puede estar
sujeto a la seguridad legal, reglamentaria, y requerimientos contractuales.
Asesoramiento sobre requisitos legales específicos se debería pedir a los
asesores legales de la organización, o profesionales de la justicia debidamente
calificados. Los requisitos legales varían de un país a otro y pueden variar la
información creada en un país que se transmite a otro país (es decir, el flujo
transfronterizo de datos).
41
42. Secciones de Cumplimiento
• Cumplimiento de Requisitos Legales
– Identificación de la legislación aplicable
– Derechos de propiedad intelectual
– Protección de los registros de la organización
– Protección de Datos y Privacidad de la Información Personal
–Prevención del uso indebido de las instalaciones de procesamiento de información
– Reglamento de los controles criptográficos
• Cumplimiento con las normas y estándares de seguridad y cumplimiento técnico
– Cumplimiento con las normas y estándares de seguridad
– Comprobación del cumplimiento técnico
• Información de sistema de Consideraciones de auditoría
– Información de Control de Sistemas de Auditoría
– Protección de las herramientas de auditoría de sistemas de información
42
43. ¿Por qué la legislacion y reglamentos son importantes?
BEST according to Foundations of
PRACTICE Information Security
• Para observar las prescripciones legales
• Para observar el cumplimiento
• Para abarcar los derechos de propiedad intelectual
• Para proteger los documentos de los negocios
• Para proteger los datos y la confidencialidad de datos personales
ej: Ley de Protección de Datos de Carácter Personal: la protección de los datos
personales y la intimidad
• Para prevenir el abuso de las instalaciones de IT
• Para observar la política de seguridad y normas de seguridad
• Para supervisar las medidas de seguridad
• Para llevar a cabo auditorías de información del sistema
• Para proteger los medios utilizados para los sistemas de información de auditoría
43
44. Información de la legislación sobre seguridad
BEST according to Foundations of
PRACTICE Information Security
Ejemplos
• Legislación que implica la Privacidad, Impuestos y Finanzas y el Reglamento
para los bancos y las empresas (por ejemplo, Sarbanes Oxley)
• Legislaciones Locales, Estatales y Nacionales
• Política propia de una empresa respecto a la legislación interna.
• Legislación de un país extranjero cuando se hacen negocios internacionales.
• Legislación que implica Privacidad
44
45. Con la colaboración de ...
0051 6373513 | 0051 6373514
coordinacion@peru.pmconsultant.es
Calle José Chariarse Nro. 880, Oficina 302
Miraflores, Lima - Perú
¡Gracias por su atención!
JuanMa Espinoza
46. 1ª Serie de WEBINARS EXIN en Castellano
Gestión de servicio de TI - Seguridad de la información – Cloud Computing
@EXIN_ES ( Hash Tag: #EXINWebinarsEnCastellano )
Obtén este y otros Webinars en nuestro canal Youtube Coporativo
http://www.youtube.com/user/ExinExams
Organizaciones invitadas: Con la colaboración de: