presentacion iso 17799

1

Seguridad en Redes Telemáticas.

Sistemas de Gestión de la Seguridad. ISO 17799 y

UNE 71502.

SGSI

2

1.- Introducción

1.1.- Glosario

1.2- Problemática de seguridad y orígenes de ISO 17799.

1.3.- Definición de ISO 17799

2.- Estructura de la norma

2.1.- Dominios de control y objetivos.

3.- Aplicación de ISO 17799

3.1.- Auditoría

3.2.- Consultoría

3.3.- Implantación. Ejemplo.

4.- Ventajas.

5.- SGSI en España: UNE 71502:2004

6.- Conclusiones.

INDICE

3

1.- Introducción. Glosario.

• Activo: Recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección.

• Amenaza: Evento que puede desencadenar un incidente en la organización, produciendo daños o pérdidas materiales o inmateriales en sus activos.

• Riesgo: Posibilidad de que una amenaza se materialice.

• Impacto: Consecuencia sobre un activo de la materialización de una amenaza.

4

• Control: Práctica, procedimiento o mecanismo que reduce el nivel de riesgo.

• BSI: Instituto Británico de Normas Técnicas (British Standard Institute)

• ISO: Organización de Regulación Internacional de Normas Técnicas.

• AENOR: Asociación Española de Normalización y Certificación. Organismo certificador español.


5

• Auditoría:– Examen sistemático de los estados de cualquier naturaleza de una

empresa u organización.

• Consultoría:– Servicio prestado por un tercero independiente y calificada en la

investigación de problemas relacionados con politica, organización, procedimientos y métodos: Recomendación de medidas apropiadas y prestación de asistencia en la aplicación de dichas recomendaciones.


6

• Establecer qué se entiende por seguridad.

• Diferentes criterios de evaluación de la seguridad:

– Internos a una organización.

– Sectoriales

– Nacionales

– Internacionales

1.- Introducción. Problemática de la seguridad.

7

• La seguridad de la información se define como la preservación de:

– Confidencialidad: Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso.

– Integridad: Garantía de la exactitud y completitud de la información y de los métodos de su procesamiento.

– Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.

1.- Introducción. Problemática de la seguridad.

8

• 1995 – El BSI publica la norma BS 7799: código de buenas prácticas para la gestión de la seguridad de la información.

• 1998 – El BSI publica BS 7799-2, especificaciones para los SGSI.

• 2000 – Tras la revisión de ambas partes surge

ISO/IEC 17799.

• 2002 – La norma ISO 17799 se adopta como UNE 17799.

• 2004 –La norma se establece como UNE 71502.

1.- Introducción. Orígenes de ISO 17799.

9

• Objetivo ISO 17799: Proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad.

• Se trata de una norma NO CERTIFICABLE, pero que recoge la relación de controles a aplicar para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma UNE 71502, CERTIFICABLE.

1.- Introducción. Definición ISO 17799.

10

• UNE-ISO/IEC 17799 establece diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información:

1. Política de seguridad.2. Aspectos organizativos para la seguridad.3. Clasificación y control de activos.4. Seguridad ligada al personal.5. Seguridad física y del entorno.6. Gestión de comunicaciones y operaciones.7. Control de accesos.8. Desarrollo y mantenimiento de sistemas.9. Gestión de continuidad del negocio.10.Conformidad con la legislación.

2.- Estructura de la norma.

11

• De estos diez dominios se derivan:

- 36 objetivos de control (resultados que

se esperan alcanzar mediante la implementación de controles)

- 127 controles (prácticas, procedimientos o mecanismos que reducen el nivel de riesgo).


12

• Niveles de seguridad:

– Lógica: Confidencialidad, integridad y disponibilidad del software y datos de un SGI.

– Organizativa: Relativa a la prevención, detección y corrección de riesgos.

– Física: Protección de elementos físicos de las instalaciones: servidores, PCs…

– Legal: Cumplimiento de la legislación vigente.

En España: LOPD (Ley Orgánica de Protección de Datos).


13


14

• 1.- POLÍTICA DE SEGURIDAD (S. Organizativa)

– Dirigir y dar soporte a la gestión de la seguridad de la información.

– Alta dirección: política que refleje las líneas directrices de la organización en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la información.

2.- Estructura de la norma. Dominios de Control

15

• 2.- ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD (S. Organizativa)

– Gestionar la seguridad de la información dentro de la organización.

– Mantener la seguridad de los activos accedidos por terceros.

– Mantener la seguridad de la información si la responsabilidad de su tratamiento pasa a otra organización.

– Enfoque multidisciplinar: La seguridad no sólo es un aspecto técnico.


16

• 3.- CLASIFICACIÓN Y CONTROL DE ACTIVOS.

(S. Organizativa)

– Mantener una protección adecuada sobre los activos de la organización.

– Asegurar un nivel de protección adecuado a los activos de información.

– Inventario: Cada activo debe tener un nivel de protección de acuerdo a su criticidad.


17

• 4.- SEGURIDAD LIGADA AL PERSONAL. (S. Organizativa)

– Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios.

– Asegurar que los usuarios son conscientes de las amenazas Y riesgos, y que están preparados para sostener la política de seguridad de la organización.

– Minimizar los daños provocados por incidencias de seguridad y por el mal funcionamiento, controlándolos y aprendiendo de ellos.


18

• 5.- SEGURIDAD FISICA Y DEL ENTORNO. (S. Física)

– Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización.

– Evitar pérdidas, daños o comprometer los activos así como la

interrupción de las actividades de la organización.

– Prevenir las exposiciones a riesgo o robos de información y de

recursos de tratamiento de información.

– Areas de trabajo de la organización y sus activos protegidas en función de su criticidad. Posibles riesgos: robo, incendio …


19

• 6.- GESTION DE COMUNICACIONES Y OPERACIONES

(S. Lógica)

– Minimizar el riesgo de fallos en los sistemas.

– Proteger la integridad del software y de la información.

– Mantener la integridad y la disponibilidad de los servicios de

tratamiento de información y comunicación.

– Asegurar la salvaguarda de la información en las redes y la

protección de su infraestructura de apoyo. Firewalls.

– Prevenir la pérdida, modificación o mal uso de la información

intercambiada entre organizaciones.


20

• 7.- CONTROL DE ACCESOS. (S. Lógica)

– Controlar los accesos a la información.

– Evitar accesos no autorizados a los sistemas de información.

– Evitar el acceso de usuarios no autorizados.

– Protección de los servicios en red.

– Evitar accesos no autorizados a ordenadores.

– Evitar el acceso no autorizado a la información contenida en los sistemas.

– Detectar actividades no autorizadas.

– Garantizar la seguridad de la información cuando se usan

dispositivos de informática móvil y teletrabajo.


21

• 8.- DESARROLLO Y MANTENIMIENTO DE SISTEMAS.

(s. Lógica)

– Asegurar que la seguridad está incluida dentro de los sistemas de información.

– Evitar pérdidas, modificaciones o mal uso de los datos de usuario en las aplicaciones.

– Proteger la confidencialidad, autenticidad e integridad de la

información.

– Mantener la seguridad del software y la información de la

aplicación del sistema.


22

• 9.- GESTIÓN DE CONTINUIDAD DEL NEGOCIO.

(S. Organizativa)

– Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente grandes fallos o desastres.

– Planes de contingencia probados y revisados periodicamente.


23

• 10.- CONFORMIDAD CON LA LEGISLACIÓN.

(S. Legal)

– Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requerimiento de seguridad.

– Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría de sistemas.


24


• 3.1.- AUDITORÍA.• Trabajo de auditoría en 4 niveles:

– Seguridad lógica.– Seguridad física.– Seguridad organizativa.– Seguridad legal.

Una auditoría ISO 17799 proporciona información precisa acerca del nivel de cumplimiento de la norma a diferentes niveles: global, por dominios, por objetivos y por controles.

25


• 3.2.- CONSULTORÍA.– Conociendo el nivel de cumplimiento actual, es

posible determinar el nivel mínimo aceptable y el nivel objetivo en la organización:

• Nivel mínimo aceptable. Estado con las mínimas garantías de seguridad necesarias para trabajar con la información corporativa.

• Nivel objetivo: Estado de seguridad de referencia

para la organización,con un alto grado de cumplimiento ISO 17799. Previo a la Certificación UNE 71502.

26


• 3.3.- IMPLANTACIÓN. EJEMPLO.

• ISO 17799 no es una norma tecnológica.

– Redactada de forma flexible.

– Implantación en todo tipo de organizaciones sin importar su tamaño o sector de negocio.

27



• Dominio de control: Gestión de comunicaciones y operaciones

– Objetivo de control: proteger la integridad del software y de la informacion.

• Control: Controles contra software malicioso.

“Se deberían implantar controles para detectar el software malicioso y prevenirse contra él, junto a procedimientos adecuados para concienciar a los usuarios”.

28



• Tras un trabajo de Consultoría se establecería:

– Normativa de uso de software: definición y publicitación en la Intranet.

– Filtrado de contenidos: X - Content Filtering v3.4.

– Antivirus de correo: Y – Antivirus v2.0.

– Antivirus personal: Z - Antivirus v4.5.

29

4.- Ventajas.

– Aumento de la seguridad efectiva de los sistemas de información.

– Garantías de continuidad del negocio.

– Correcta planificación y gestión de la seguridad.

– Mejora contínua a través del proceso de auditoría interna.

– Incremento de los niveles de confianza de los clientes.

– Aumento del valor comercial y mejora de la imagen de la

organización.

– CERTIFICACIÓN UNE 71502.

30


• Marco general del SGSI:– La organización debe establecer y mantener un SGSI

documentado.

• Proceso de Certificación (AENOR):– Certificación del SGSI conforme a la Norma UNE

71502:2004 implantación de los controles descritos en la norma UNE-ISO/IEC 17799.

– Procesos de certificación en las empresas de mayor tamaño: MAGERIT, (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas).

31

5.- SGSI en España: UNE 71502:2004• Fases proceso de Certificación (AENOR):

– Solicitud de la certificación: cumplimentar cuestionario(Empresa).

– Análisis de la documentación: Informe de deficiencias de la documentación (AENOR).

– Visita previa para analizar el SGSI: Informe de la visita previa (AENOR).

– Auditoría del SGSI:• Informe de disconformidades (AENOR).

• Plan de acciones correctivas (Empresa).

– Evaluación y decisión: Auditoría extraordinaria, en caso de no cumplimiento de los requisitos de certificación (Empresa).

– Emisión del certificado.

– Auditorías de seguimiento anuales.

– Auditoría de renovación al tercer año.

32


• Modelo PDCA: – Plan-Do-Check-Act (Planificar, Hacer, Verificar, Actuar)

33

6.- Conclusiones.

• ISO 17799: norma internacional. Recomendaciones para realizar la gestión de la seguridad de la información, adoptada en España como norma UNE-ISO/IEC 17799 (UNE 71502).

• Estructura: 10 dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información.

• Implantación ISO 17799: Consultoría que adapte los requerimientos de la norma a las necesidades de cada organización concreta.

• Ventaja principal ISO 17799: primer paso hacia la certificación según UNE 71502.

• La seguridad TOTAL no existe.

presentacion iso 17799

Documents