análisis requerimientos dominios tecnológicos del pmg-ssi...
TRANSCRIPT
Análisis requerimientos Dominios Tecnológicos del PMG-SSI 2012 y la Gestión de los Controles necesarios para su cumplimiento
Cumplimiento
En Forma y Fondo
Cumplimiento
En Forma:
Requerimientos y herramientas
PMG-SSI
Cumplimiento
Fondo:
Gestión Seguridad de la Información
Gestión de Seguridad de la Informaciónen la mirada PMG-SSI 2012
• Gestión de Seguridad de la Información
– Basada en los procesos de Negocio
– Gestión de Riesgos de Información
5Gobierno de Chile | Ministerio del Interior
Gestión de mejora continua en PMG-SSI
• PLAN
– Etapa I : Diagnóstico PMG-SSI
– Etapa II: Planificación PMG-SSI
• DO
– Etapa III: Implementación PMG-SSI
• CHECK
– Etapa IV: Evaluación y Monitoreo PMG-SSI
• ACT
– Seguimiento por la Institución
6Gobierno de Chile | Ministerio del Interior
Gestión de mejora continua en PMG-SSI
• PLAN
– Análisis de Procesos de Negocio
– Identificación de Activos
– Selección de Activos Críticos (Medios y Altos)
– Análisis y Evaluación de Riesgos
– Selección de Controles (Asignación de Riesgos)
– Planificación de Mitigaciones
– Planificación de Indicadores
7Gobierno de Chile | Ministerio del Interior
Gestión de mejora continua en PMG-SSI
• DO
– Implementación de Controles
8Gobierno de Chile | Ministerio del Interior
• CHECK
– Evaluación y Monitoreo de Indicadores de Gestión
• ACT
– Acciones de ajuste y mejora permanente
Análisis de Procesos de Negocio
Foco en los procesos asociados a la Provisión de productos estratégicos (Bienes y Servicios), que hacen factible el cumplimiento de los objetivos estratégicos de cada institución.
Guía Metodológica 2012; p12
• Instrumento PMG-SSI 2012
– Articles-51683_introd_instrumentos_2012
– En linkl:
• http://www.dipres.gob.cl/572/propertyvalue-16887.html
Identificación de Activos
Análisis de Procesos de Negocio
MatrizSimplificada2011 - de Riesgo
Identificación de Procesos de Negocio
Identificación de Activos
• Persona
• Software
• Sistema
• Equipos
• Información
Identificación de Activos
Selección de Activos Críticos
Selección de Activos Críticos
Selección de Activos Críticos
Selección de Activos Críticos
Criticidad del activo = Media o Alta
Análisis y Evaluación de Riesgos
Análisis y Evaluación de Riesgos
Estimación de la Probabilidad
• CAIGG
Estimación del Impacto
• CAIGG
Modelo de Cálculo de Riesgo
Combinación de la probabilidad de un evento y su ocurrencia (ISO/IEC Guía 73:2002)
Guía Metodológica 2012; p18
Severidad del
RIESGOImpacto
Probabilidad de
Ocurrencia
Asignación del Riesgo
• Selección de Controles a aplicar…
Planificación de Mitigaciones
Planificación de Indicadores
Referencia o Fuentes de Controles a seleccionar
• 133 Controles
– ISO/IEC 27001:2005 / ISO/IEC 27002:2005
– NCH ISO 27001.Of2009 / Nch ISO 27002.Of2009
• 64 Controles Prioritarios propuestos en PMG-SSI
– Controles referidos a Gobernabilidad (DIPRES)
– Controles Tecnológicos (Min Interior)
Dominios Tecnológicos del PMG-SSI 2012
• Tres Dominios Tecnológicos, que acumulan 92 de un total de 180 controles.
• En cuanto a la red de expertos, son de responsabilidad del Ministerio del Interior.
• Foco en los controles priorizados por la Red de Expertos del PMG-SSI 2012
– 64 requisitos en total
– 34 controles Tecnológicos
Gobierno de Chile | Ministerio del Interior 29
Dominios Tecnológicos del PMG-SSI 2012
• Los dominios, según su definición en la norma NchISO 27002.Of2009, son:
– Dom 10: "Gestión de comunicaciones y operaciones" • 17 Controles Priorizados
– Dom 11: "Control de Acceso”• 11 Controles Priorizados
– Dom 12: “Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información”• 6 Controles Priorizados
Gobierno de Chile | Ministerio del Interior 30
Referencias del requerimiento de seguridad
• El detalle del requerimiento específico de cada control, se encuentra en:
– Instrumentos PMG-SSI 2012
– Guía Metodológica PMG-SSI 2012
– Nch ISO 27002.Of2009
31Gobierno de Chile | Ministerio del Interior
Instrumentos PMG-SSI 2012
• Articles-51683_introd_instrumentos_2012; Hoja “Priorizados Red”
Referencia del requerimiento de seguridad
• Guía Metodológica PMG-SSI 2012
– articles-51683_intro_Guia_Metodologica2012; Anexo I (pag 61 a 67)
33Gobierno de Chile | Ministerio del Interior
Ejemplo de Actividades por Control(Guía Metodológica PMG-SSI 2012)
Dominio 10: "Gestión de Comunicaciones y Operaciones"
Análisis requerimiento control 10.1.1… En Matriz de Instrumentos 2012
• Dom 10: Gestión de las comunicaciones y operaciones
– A.10.1.1 según control Nch ISO 27001.Of2009
– Art. 7 Letra b-c según Decreto 83 (Matriz Antigua)
– AMBITO: Procedimientos de operación documentados
– CONTROL: Los procedimientos de operación se debieran documentar, mantener y poner a disposición de todos los usuarios que los necesiten.
– REQUISITO/ CONTROL: Los procedimientos de operación, ¿están documentados, al día y puestos a disposición de todos los usuarios que los necesiten?
– PRODUCTO: Procedimientos de operación documentados
Análisis requerimiento control 10.1.1… En Guía Metodológica
• Referencia Control ISO A.10.1.1.
• Requisito de Control
Análisis requerimiento control 10.1.1… En Guía Metodológica
• Actividades a realizar en el PMG-SSI
Análisis requerimiento control 10.1.1… En ISO 27002
• Control:
– Los procedimientos de operación se debieran documentar, mantener y poner a disposición de todos los usuarios que los necesiten.
• Lineamiento de Implementación
– Se debieran preparar procedimientos documentados para las actividades del sistema asociadas con los medios de procesamiento de la información y comunicación.
Análisis requerimiento control 10.1.1… En ISO 27002
• Lineamiento de Implementación
– Tales como procedimientos • para encender y apagar computadoras,
• copias de seguridad,
• Mantenimiento del equipo,
• manejo de medios,
• cuarto de cómputo,
• manejo del correo y seguridad.
Análisis requerimiento control 10.1.1… En ISO 27002
• Lineamiento de Implementación
– Los procedimientos de operación debieran especificar las instrucciones para la ejecución detallada de cada trabajo incluyendo:
a) procesamiento y manejo de información;
b) copia de seguridad o respaldo (ver 10.5);
c) requerimientos de programación de horarios, incluyendo las interdependencias con otros sistemas, los tiempos de culminación y horarios de los primeros y últimos trabajos;
d) instrucciones para el manejo de errores u otras condiciones excepcionales, las cuales podrían surgir durante la ejecución del trabajo, incluyendo las restricciones sobre el uso de las utilidades del sistema (ver 11.5.4);
Análisis requerimiento control 10.1.1… En ISO 27002
• Lineamiento de Implementación
– (Continuación)..:e) contactos de soporte en el evento de dificultades operacionales o técnicas inesperadas;
f) instrucciones para el manejo de output especial y medios, tales como el uso de papelería especial o el manejo de output confidencial incluyendo los procedimientos para la eliminación segura del output de trabajo fallidos (ver 10.10);
g) procedimientos de reinicio y recuperación del sistema para su uso en el evento de una falla en el sistema;
h) la gestión de la información del rastro de auditoría y registro del sistema (ver 10.10).
Análisis requerimiento control 10.1.1… En ISO 27002
• Lineamiento de Implementación
– Los procedimientos de operación y los procedimientos documentados para las actividades del sistema debieran ser tratados como documentos formales y cambios autorizados por la gerencia.
– Donde sea técnicamente factible, los sistemas de información debieran ser manejados consistentemente, utilizando los mismos procedimientos, herramientas y utilidades
Dominio 10: Gestión Comunicaciones y Operaciones
• 17 Controles priorizados por Red de Expertos
– A.10.1.1
– A.10.1.2
– A.10.1.3
– A.10.1.4
– A.10.2.1
– A.10.2.3
– A.10.3.2.Párr.1
– A.10.3.2.Párr.2
– A.10.5.1.Párr.1
– A.10.5.1.Párr.2
– A.10.6.1
– A.10.6.2.Párr.1
– A.10.7.1
– A.10.8.2
– A.10.10.2.Párr.1
– A.10.10.2.Párr.2
– A.10.10.5.Párr.1
Agregación de Productos en Proyectos
• Como Manual de Operaciones
– Desarrollo de Procedimientos de operación• Respaldo de documentos,
• Uso de correo,
• Uso de la red y recursos compartidos,
• Uso de antivirus
• Uso de software utilitarios.
– Respaldo de información
– Gestión de medios removibles
– Registro de fallas
Agregación de Productos en Proyectos
• Como Gestión Organizacional
– Segregación de los deberes
– Separación de los ambientes de desarrollo, prueba y operación
– Acuerdos de intercambio con terceros
• Gestión de Redes
– Controles de redes
– Seguridad de los servicios de la red
– Uso del sistema de monitoreo
Agregación de Productos en Proyectos
• Gestión de Sistemas y Servicios
– Entrega del servicio
– Gestión del cambio
– Manejo de cambios en los servicios de terceros
– Aceptación del sistema
Dominio 10: Estimación esfuerzo
• 2 Políticas de Seguridad
• 26 Procedimientos
• 8 otros documentos
Controles Relacionados
Política de
Seguridad de
la Información
Normativas de Seguridad
Sensibilización
Anti-Malware Firewalls de Red
Capacitación
NAC
Estructura Organizacional
(Segregación; roles)
Resguardo y recuperación Gestión Disposiitivos e-Mail Firewall
Gestión de Logs
Procedimientos
Operacionales
Protección é-Commerce
Dominio 11: "Control de Acceso”
Dominio 11: Control de Acceso
• 11 Controles priorizados por Red de Expertos
– A.11.1.1
– A.11.2.2
– A.11.3.2
– A.11.3.3.Párr.1
– A.11.4.2
– A.11.4.4
– A.11.4.5
– A.11.4.6
– A.11.5.3.Párr.1
– A.11.5.3.Párr.2
– A.11.5.5
Agregación de Productos en Proyectos
• Como parte del Manual de Seguridad
– Política de control del acceso
– Política de escritorio y pantalla limpios
• Gestión de Acceso de Usuarios
– Gestión de privilegios
– Autenticación del usuario para las conexiones externas
– Sistema de gestión de contraseñas
Agregación de Productos en Proyectos
• Gestión de Acceso a la red
– Segregación en redes
– Control de conexión a la red
• Gestión de Acceso a Equipos
– Equipo del usuario desatendido
– Protección del puerto de diagnóstico y configuración remoto
– Cierre de una sesión por inactividad
Dominio 11: Estimación esfuerzo
• 1 Políticas de Seguridad
• 8 Procedimientos
• 9 otros documentos
Controles Relacionados
Política de
Seguridad de
la Información
Normativas de Seguridad
Sensibilización CapacitaciónEstructura Organizacional
(Segregación; roles)
Procedimientos
Operacionales
Acceso a EndPointsGestión Identidades
Gestión Passwords
Dominio 12: “Desarrollo, Adquisición y Mantenimiento de los
Sistemas de Información”
Dominio 12: “Desarrollo, Adquisición y Mantenimiento
de los Sistemas de Información”
• 6 Controles priorizados por Red de Expertos
– A.12.2.1
– A.12.2.4
– A.12.4.1
– A.12.4.3
– A.12.5.1
– A.12.5.5
Agregación de Productos en Proyectos
• Revisión de Vulnerabilidades
– Validación de la data de entrada
– Validación de la data de salida
• Separación de Ambientes
– Control del software operacional
– Control de acceso al código fuente del programa
– Procedimientos del control del cambio
• Desarrollo con terceros
– Desarrollo de software abastecido externamente
Dominio 12: Estimación esfuerzo
• 1 Políticas de Seguridad
• 2 Procedimientos
• 5 otros documentos
Controles Relacionados
Política de
Seguridad de
la Información
Normativas de Seguridad
Sensibilización CapacitaciónEstructura Organizacional
(Segregación; roles)
Procedimientos
Operacionales
WAF: Web Application Firewall Vulnerabilidades en Código
AppScap
Test Data Management
Gracias.