Diapositiva 1 - PowerPoint PPT Presentation

1 / 46
About This Presentation
Title:

Diapositiva 1

Description:

Salida. Secci n 7. Establecimiento. del SGI. Secci n _ 5 ... Salida. Secci n 7. 4.1 Requerimientos generales. 4.2 Establecimiento y gesti n del SGSI ... – PowerPoint PPT presentation

Number of Views:312
Avg rating:3.0/5.0
Slides: 47
Provided by: RSTE82
Category:

less

Transcript and Presenter's Notes

Title: Diapositiva 1


1
V - Seminario Nacional e Internacional la
protección de datos personales hacia el
bicentenario de la república argentina
7 y 8 de Octubre 2008 Buenos Aires Argentina
Dirección Nacional de Protección de Datos
Personales
2
LA PROTECCIÓN DE LOS DATOS PERSONALES Y LA
SEGURIDAD INFORMÁTICA EN EL SECTOR PÚBLICO Y
PRIVADO Expositor Ing. Rodolfo
Stecco IRAMProduct Manager TL 9000 Lead Auditor
ISMS 27001 Miembro del Consejo de Dirección de
QuEST Forum Quality Excellence for Suppliers of
Telecommunication
3
Sistema de Gestión de la Seguridad de
Información
Código de Prácticas para la Gestión de la
Seguridad de la Información
4
Norma ISO/IEC 270022005
Código de Prácticas para la Gestión de la
Seguridad de la Información
5
Qué es Información y Seguridad de la Información?
6
Qué es la Información?
  • La información es un recurso que, como el resto
    de los importantes activos comerciales, tiene
    valor para una organización y por consiguiente
    debe ser debidamente protegida.
  • " La información puede existir en muchas formas.
    Puede estar impresa o escrita en papel,
    almacenada electrónicamente, transmitida por
    correo o utilizando medios electrónicos,
    presentada en imágenes, o expuesta en una
    conversación
  • Cualquiera sea la forma que adquiere la
    información, o los medios por los cuales se
    distribuye o almacena, siempre debe ser protegida
    en forma adecuada.

ISO/IEC 270022005
7
Clasificación de información
  • Niveles de valoración (confidencial, privado,
    público).
  • Activos físicos y lógicos.
  • Ejemplos Códigos de tarjetas y cuentas de
    clientes, historia clínica médica, presupuestos y
    proyectos, información de pagos (proveedores y
    clientes).

8
Qué es Seguridad de la Información?
La seguridad de la información se define como la
preservación de las siguientes características
  • Confidencialidad
  • a) Se garantiza que la información sea accesible
    sólo a aquellas personas autorizadas a tener
    acceso a ella
  • Integridad
  • b) Se salvaguarda la exactitud, y totalidad de la
    información y los métodos de procesamiento
  • Disponibilidad
  • c) Se garantiza que los usuarios autorizados
    tengan acceso
  • a la información y a los recursos
    relacionados con ella toda vez que se requiera.

ISO/IEC 270022005
9
Principales riesgos y su impacto en las
Organizaciones
10
Principales vulnerabilidades
  • Control inadecuado de accesos.
  • Puntos de accesos remotos sin debida protección.
  • Falta de políticas de seguridad.
  • Ausencia de formación y toma de conciencia del
    personal.
  • Estructuras inadecuadas (perimetral) ...
  • Energía inestable y cableados de mala calidad
  • Uso de SW no adecuado.......

11

Gestión de Riesgos
  • El objetivo principal es determinar el máximo
    nivel permitido de riesgos que se está dispuesto
    a tolerar, así como la definición de controles
    pertinentes para proteger los recursos de las
    vulnerabilidades existentes.
  • Es una construcción propia que permita lograr
    niveles de protección previniendo la ocurrencia
    de amenazas.
  • Es un proceso dinámico para asegurar integridad,
    disponibilidad y confidencialidad de la
    información

12
Qué es Información y Seguridad de la Información?
  • Resumen
  • La seguridad de la información protege la
    información de una amplia gama de amenazas para
    asegurar la continuidad del negocio, reducir al
    mínimo el daño, y maximizar el rendimiento de la
    inversión y oportunidades de negocio.
  • Cada organización tendrá un grupo diferente de
    requerimientos en términos de requisitos de
    control y de niveles de confidencialidad,
    integridad y disponibilidad.

13
Características y atributos principales de la
ISO / IEC 27002
14
Objetivo de ISO / IEC 27002
  • Protección de la
  • confidencialidad
  • integridad, y
  • disponibilidad
  • de la información escrita, hablada o digitalizada

15
  • Código de Prácticas para la Gestión de la
    Información.ISO / IEC 27002
  • Vs,
  • Algunos datos de la realidad

Ver 4
16
Encuesta respecto a Seguridad de la
InformaciónAporte de Estudio Passarello
Asociados Ernst and Young "Information
Security Survey 2002"
  • Solamente el 40 de las organizaciones
    informan que han sido victimas de un ataque a sus
    sistemas......
  • ISO IEC 270022005
  • - A.10.10_ Seguimiento.
  • - Objetivo Detectar actividades de procesamiento
    de información no autorizadas.
  • A.10.10.1 Auditoria de logging.
  • A.10.10.2 Seguimiento del uso del sistema.
  • A.10.10.6 Sincronización de relojes. (Clock
    synchronization)

17
Encuesta respecto a Seguridad de la
InformaciónAporte de Estudio Passarello
Asociados Ernst and Young "Information
Security Survey 2002"
  • el 40 de las organizaciones no investiga los
    incidentes de seguridad de la información de que
    han sido victimas..........
  • ISO IEC 270022005
  • A.13.1 Informar eventos y debilidades de
    seguridad de la información
  • Objetivo Asegurar que eventos y debilidades de
    seguridad de la información asociadas con
    sistemas de información, son comunicados y en
    tiempo y forma son tomadas acciones correctivas.
  • A.13.1.1 Informar eventos de seguridad de
  • información
  • A.13.1.2 Informar debilidades de seguridad

18
Encuesta respecto a Seguridad de la
InformaciónAporte de Estudio Passarello
Asociados and Young "Information Security
Survey 2002
  • Cada vez más sufren interrupciones los Sistemas
    Críticos para el negocio - más del 75 de las
    organizaciones experimentó un inesperado fuera de
    servicio.........
  • ISO IEC 270022005
  • A.10.3 Planificación de Sistemas y aceptación
  • Objetivo Minimizar el riesgo de fallas de los
    sistemas
  • A.10.3.1 Planificación de la capacidad
  • A.10.3.2 Aceptación de sistema

19
Encuesta respecto a Seguridad de la
InformaciónAporte de Estudio Passarello
Asociados and Young "Information Security
Survey 2002
  • Solamente en el 53 de las organizaciones existe
    un plan de continuidad de los negocios!!........
  • ISO IEC 270022005
  • A.14 Gestión de la continuidad del negocio
  • Objetivo Neutralizar interrupciones de las
    actividades de negocio y proteger los procesos de
    negocio críticos de los efectos de fallas mayores
    o desastres y asegurar una recuperación oportuna.
  • A.14.1.1 Inclusión de seguridad de información
    en los procesos de continuidad de los negocios
  • A.14.1.2 Auditoria de continuidad de los
    negocios y riesgos
  • A.14.1.5 Pruebas, mantenimiento y reexaminación
    de planes de continuidad del negocio

20
Encuesta respecto a Seguridad de la
InformaciónAporte de Estudio Passarello
Asociados and Young "Information Security
Survey 2002
  • Sólo un 41 de las organizaciones están
    preocupadas sobre ataques internos sobre sus
    sistemas, a pesar del alto número de evidencias
    de ataques desde dentro mismo de la organización
  • ISO IEC 270022005
  • A.8 Seguridad de los Recursos Humanos
  • Objetivo Asegurar que los usuarios empleados,
    contratistas, y de tercera parte, entienden sus
    responsabilidades y son adecuados para los roles
    que han sido asignados, y reducir riesgos de
    error humano, robo, fraude, o mal uso de
    instalaciones.
  • A.9 Seguridad Física y ambiental
  • Objetivo Prevenir accesos no autorizados,
    daños, e interferencia a premisas comerciales e
    información

21
Encuesta respecto a Seguridad de la
InformaciónAporte de Estudio Passarello
Asociados Ernst and Young "Information
Security Survey 2002"
  • Menos del 50 de las organizaciones tiene
    entrenamiento en seguridad de la información y
    programas de sensibilización!!.....
  • ISO IEC 270022005
  • A.8.2.2 Concientización , educación y formación
    en seguridad de la información
  • Objetivo Todos los empleados de la organización
    y, cuando sea pertinente, los contratistas y
    usuarios de tercera parte, deben recibir una
    adecuada formación para toma de conciencia y
    actualizaciones periódicas en políticas y
    procedimientos organizacionales relevantes para
    la ejecución de sus tareas.

22
ISO/IEC 270012005Sistema de Gestión de
Seguridad de Información
  • Alineado con....
  • ISO 90012000
  • Sistema de Gestión de la Calidad

23
Q
M
S
Sección 7
Output
Input
Entrada
Salida
24
S
G
I
Sección 7
Output
Input
Entrada
Salida
25
4. Sistema de Gestión de Seguridad de la
Información
  • 4.1 Requerimientos generales
  • 4.2 Establecimiento y gestión del SGSI
  • 4.3 Requisitos de la Documentación

26
5. Responsabilidad de la Dirección
  • 5.1 Compromiso de la dirección
  • 5.2 Gestión de recursos

27
6. Auditoria interna del SGSI
  • Requisito alineado con ISO 9001 / ISO 14001
  • y la Guía ISO 19011.

28
7. Revisión por la Dirección del SGSI
  • 7.1 Generalidades
  • 7.2 Entradas para la Revisión
  • 7.3 Resultados de la Revisión

29
8. Mejora del SGSI
  • 8.1 Mejora continua
  • 8.2 Acción correctiva
  • 8.3 Acción preventiva

30
Sección de controles (Anexo A)
  • A.5 Política de seguridad
  • A.6 Organización de la seguridad de información
  • A.7 Gestión de activos
  • A.8 Seguridad de Recursos Humanos
  • A.9 Seguridad física y ambiental

31
Sección de controles (Anexo A)
  • A.10 Gestión de comunicaciones y operaciones
  • A.11 Control de accesos
  • A.12 Adquisición, desarrollo y mantenimiento
  • de sistemas de información
  • A.13 Gestión de incidentes de seguridad de la
    información
  • A.14 Gestión de la continuidad de los negocios
  • A.15 Cumplimiento

32
CONCLUSIONES FINALES
33
Factores críticos de éxito
  • Política de seguridad, objetivos y actividades
    que reflejen los objetivos de la empresa
  • Una estrategia de implantación de seguridad que
    sea compatible con la cultura organizacional
  • Apoyo y Compromiso manifiestos por parte de la
    dirección
  • Un claro entendimiento de los requerimientos de
    seguridad, evaluación de riesgos y administración
    de los mismos
  • Comunicación eficaz de la seguridad a todos los
    gerentes y empleados

ISO/IEC 270022005
34
Factores críticos de éxito
  • Distribución de guías sobre políticas y normas de
    seguridad de la información a todos los empleados
    y contratistas
  • Instrucción y entrenamiento apropiados
  • Un sistema integral y equilibrado de medición que
    se utilice para evaluar el desempeño de la
    gestión de la seguridad de la información y para
    brindar sugerencias tendientes a mejorarlo.

ISO/IEC 270022005
35
Cómo lo logramos?
Fase 1 Disposición 9/2008 de DNPDPDisposición
9/2008Medidas de Seguridad para el Tratamiento
y Conservación de los Datos Personales Contenidos
en Archivos, Registros, Bancos y Bases de Datos
Públicos no estatales y Privados.
Fase 2 ISO / IEC 27001 Information security
management system Requirements
36
(No Transcript)
37
Estandarización ISMS 27001
38
(No Transcript)
39
(No Transcript)
40
Excelencia en Negocios !!
41
Próximos Pasosde las normas ISO / IEC serie
27000
42
ISO/IEC 27000 En fase de desarrollo su fecha
prevista de publicación es Noviembre de 2008.
Contendrá términos y definiciones que se emplean
en toda la serie 27000. ISO/IEC 27001
Publicada el 15 de Octubre de 2005. Es la norma
principal de la serie y contiene los requisitos
del sistema de gestión de seguridad de la
información. ISO/IEC 27002 Publicada el 1 de
Julio de 2007, es el nuevo nombre de ISO
177992005, manteniendo 2005 como año de edición.
Es una guía de buenas prácticas que describe los
objetivos de control y controles recomendables en
cuanto a seguridad de la información. ISO/IEC
27003 En fase de desarrollo su fecha prevista
de publicación es Mayo de 2009. Consistirá en una
guía de implementación de SGSI e información
acerca del uso del modelo PDCA y de los
requerimientos de sus diferentes fases.   
ISO/IEC 27004 En fase de desarrollo su
fecha prevista de publicación es Noviembre de
2008. Especificará las métricas y las técnicas de
medición aplicables para determinar la eficacia
de un SGSI y de los controles relacionados
Próximos Pasosde las normas ISO / IEC serie 27000
43
ISO/IEC 27005 Publicada el 4 de Junio de
2008. Establece las directrices para la gestión
del riesgo en la seguridad de la información.
Apoya los conceptos generales especificados en la
norma ISO/IEC 27001 y está diseñada para ayudar a
la aplicación satisfactoria de la seguridad de la
información basada en un enfoque de gestión de
riesgos.  ISO/IEC 27006 Publicada el 13 de
Febrero de 2007. Especifica los requisitos para
la acreditación de entidades de auditoria y
certificación de sistemas de gestión de seguridad
de la información ISO/IEC 27007 En fase de
desarrollo su fecha prevista de publicación es
Mayo de 2010. Consistirá en una guía de auditoria
de un SGSI.  ISO/IEC 27011 En fase de
desarrollo su fecha prevista de publicación es
finales de 2008. Consistirá en una guía de
gestión de seguridad de la información específica
para telecomunicaciones, elaborada conjuntamente
con la ITU (Unión Internacional de
Telecomunicaciones). ISO/IEC 27031 En fase
de desarrollo su fecha prevista de publicación
es Mayo de 2010. Consistirá en una guía de
continuidad de negocio en cuanto a tecnologías de
la información y comunicaciones.
Próximos Pasosde las normas ISO / IEC serie 27000
44
ISO/IEC 27032 En fase de desarrollo su
fecha prevista de publicación es Febrero de 2009.
Consistirá en una guía relativa a la
ciberseguridad. .  ISO/IEC 27033 En fase de
desarrollo su fecha prevista de publicación es
entre 2010 y 2011. Es una norma consistente en 7
partes gestión de seguridad de redes,
arquitectura de seguridad de redes, escenarios de
redes de referencia, aseguramiento de las
comunicaciones entre redes mediante gateways,
acceso remoto, aseguramiento de comunicaciones en
redes mediante VPNs y diseño e implementación de
seguridad en redes. Provendrá de la revisión,
ampliación y renumeración de ISO 18028 VPNs
Virtual Private NetworksISO/IEC 27034 En
fase de desarrollo su fecha prevista de
publicación es Febrero de 2009. Consistirá en una
guía de seguridad en aplicaciones .  ISO/IEC
27799 Publicada el 12 de Junio de 2008. Es un
estándar de gestión de seguridad de la
información en el sector sanitario aplicando ISO
17799 (actual ISO 27002). Esta norma define
directrices para apoyar la interpretación y
aplicación en la salud de la norma ISO / IEC
27002 y es un complemento de esa norma. ISO
277992008 especifica un conjunto detallado de
controles y directrices de buenas prácticas para
la gestión de la salud y la seguridad de la
información por organizaciones sanitarias y otros
custodios de la información sanitaria en base a
garantizar un mínimo nivel necesario de seguridad
apropiado para la organización y circunstancias
que van a mantener la confidencialidad,
integridad y disponibilidad de información
personal de salud  
Próximos Pasosde las normas ISO / IEC serie 27000
45
Preguntas?
46
MUCHAS GRACIAS!
Ing. Rodolfo SteccoIRAMProduct Manager TL 9000
Lead Auditor ISMS 27001 Miembro del Consejo de
Dirección de QuEST Forum rstecco_at_iram.org.ar
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "Diapositiva 1" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!