Gestin de la Seguridad de la Informacin segn ISOIEC 17799

1
Gestión de la Seguridad de la Información según
ISO/IEC 17799
Nasri Chakra Presidente nasri_at_marna.com.ve
2
Agenda

• Objetivo de la Ponencia
• Situación Actual de las TIC
• Definiciones
• Importancia de la Seguridad
• Efectos o Impacto cuando falla la seguridad
• Razones para los fallas en seguridad
• Situación Actual en seguridad
• Gestión de seguridad (Necesidad y Ventajas)
• ISO/IEC 177992002

3
Objetivo de la ponencia

• Por qué es necesario gestionar la Seguridad de
  la Información?
• Respuesta en 2 etapas
• Por qué es necesaria la Seguridad de la
  Información?
• Por qué es necesario gestionarla?

4
Situación Actual de TIC
Incremento y complejidad de los requerimientos

• Complejidad y vulnerabilidad de la tecnología
  empleada

• Interconexiones cada vez mas compleja

B2B
B2C
G2C
G2B

• Volumen de información cada vez más importante

• Dinámica en los cambios necesarios en los
  procesos y T.I.

• Dependencia de T.I. de los procesos de negocio

• Procesos e información bajo ámbitos
  transfronterizos

• Ratio de externos accediendo a la información

5
Seguridad de la Información
Definición Seguridad de la Información Seguridad
Protección de la confidencialidad, integridad y
disponibilidad de la información según el nivel
requerido para los objetivos de negocio de la
empresa. Información Activo de información
tangible o intangible que tiene valor para los
procesos de negocio de la empresa.
6
Seguridad de la Información
Definición Activos de información Archivos,
base de datos, documentos del sistema, manuales,
material de formación, procedimientos operativos,
planes de continuidad, configuración del soporte
de recuperación Activos Físicos equipos de
tratamientos, equipos de comunicación, medios
magnéticos, otros equipos, muebles,etc.
7
Importancia de la Seguridad de la Información
La Información es cada ves más esencial en los
procesos de negocio para

• Conseguir y mantener rentabilidad y competitividad

• Gestionar adecuadamente los recursos internos y
  externos

• Gestionar efectivamente las operaciones de la
  empresa

• Obtener y mantener clientes y cuota de mercado

• Gestionar y mantener el conocimiento

• Conseguir una imagen de marca o de empresa

Su importancia es proporcional al valor
empresarial de los procesos soportados!
8
Que pasa cuando falla la Seguridad de la
información
Diferentes impactos tangibles o intangibles en
los procesos de negocio de la empresa

• Denuncias de las autoridades y multas

• Litigios civiles y laborales

• Perdidas financieras y/o sobre costes operativos

• Perdida de clientes y cuota de mercado

• Daño a la imagen de la empresa

• Interrupción en las operaciones

• Coste de recuperación para volver a la situación
  inicial

El impacto se debe valorar en términos de
Negocio!
9
Razones para los fallos de Seguridad
Múltiples amenazas y vulnerabilidades afectan los
elementos de los procesos de negocio

• Fallo energético

• Virus informático

• Fraude y uso ilegitimo de la información o de los
  sistemas

• Error humano usuarios, operadores,
  programadores,...

• Cambios inadecuados en T.I.

• Contrato ineficiente

• Fallo en los elementos de T.I. redes, sistemas,
  aplicaciones,..

• Acceso y uso indebido por terceros

La fuente interna sigue siendo la más
importante!
10
Objetivo de la ponencia

• Por qué es necesario gestionar la Seguridad de
  la Información?
• Respuesta en 2 etapas

• Por qué es necesaria la Seguridad de la
  Información?

11
Situación Actual en Seguridad
Algunos síntomas claros presentes en muchas
empresas

• Dificultad para justificar un presupuesto de
  seguridad

• Descoordinación sobre los diferentes aspectos de
  la seguridad

• Falta de objetivos, directrices claras o normas
  de actuación

• Repeticiones de las incidencias

• Valoración de impactos sobre la base de activos
  de T.I.

• Documentación inexistente o inadecuada

• Lenta respuestas a las incidencias

12
Necesidad de la gestión de la seguridad de la
información

• Frente a la importancia creciente de la
  información
• Frente a la multitud de amenazas posibles
• Frente a la necesidad de los cambios
• Frente a la complejidad de las dependencias
• Frente a los limites para actuar

Mejor Seguridad
Más Seguridad
13
Gestión de la Seguridad de la Información
Ventajas y aportación

• Definición de objetivos y directrices de seguridad

• Sistemática, objetividad y longevidad en las
  actuaciones de seguridad

• Coordinación para reducir los costes de
  inseguridad

• Respuesta activa y rápida ante las incidencias

• Prevención para reducir la ocurrencia de las
  incidencias

• Motivación del personal en cuanto a valoración de
  la información

• Objetivo
• una mejor seguridad o seguridad adecuada

14
Gestión de la Seguridad de la Información
qué hacer?
ISO/IEC 177992002

• Experto vs
  Norma Internacional

15
ISO/IEC 177992002
IEC Comisión Electrotécnica Internacional ISO
Organización Internacional de Normalización BSI
British Standards Institucion BS 7799 ISO/IEC
17799 parte 1 Código de buenas prácticas
relativas a la gestión de la Seguridad de la
información. Es una guía que contiene consejos y
recomendaciones que permite asegurar la
seguridad de la información de la empresa
dentro de los diez dominios de aplicación. BS
7799 Parte 2 Las especificaciones relativas a la
gestión de la seguridad de la información
proponen recomendaciones con el fin de establecer
un marco eficaz de gestión de la seguridad De
la información. En el momento de una
auditoría, es el documento que sirve de guía de
evaluación para la certificación.
16
ISO/IEC 177992002
Contenido

• Introducción a los conceptos de gestión de la
  seguridad

• 36 objetivos de seguridad

• Catalogo de 127 controles de seguridad (versión
  actual)

Especificaciones
Guía
Referencias

• Cubre aspectos de Gestión, Jurídicos y Técnicos

• Práctica multisectorial cubriendo todos los
  aspectos de la seguridad de la información

17
ISO/IEC 177992002
Código de buenas practicas en gestión de la
seguridad de la información. cuáles son esos
Dominios de aplicación?
1-Política de Seguridad
2-Estructura Organizativa para la Seguridad
3-Clasificación y control de Activos
4-Seguridad en el Personal
5-Seguridad física y del entorno
6-Gestión de Comunicaciones y operaciones
8-Desarrollo y Mantenimiento de Sistemas
7-Control de Accesos
9-Gestión de Continuidad del negocio
10-Cumplimiento
18
REFERENCIAS

• British Standards Institution. 7 enero 2004,
  http//www.bsi-global.com.
• Clusif Club de la sécurité des systèmes
  d'information français. 5 enero 2004,
  www.clusif.asso.fr.
• "Effective Internal Control of Sensitive
  Information Implications of the Sabanes-Oxley
  Act for
• CEOs, CFOs and other Corporate Directors." Sealed
  Media. 6 jan. 2004, http//www.sealedmedia.com.
• International Electrotechnical Commission. 6
  enero 2004, http//www.iec.ch.
• International Organization for Standardization. 6
  enero 2004, http//www.iso.org.
• ISMS International User Group. 5 enero 2004,
  http//www.xisec.com.

19
GRACIAS...

• OBJETIVO DE LA PONENCIA
• Por qué es necesario gestionar la Seguridad de
  la Información?
• Respuesta en 2 etapas
• Por qué es necesaria la Seguridad de la
  Información?
• Por qué es necesario gestionarla?

Agradecimientos especial a nuestros socios de
negocio Empresa Europea especialista en
Seguridad Para mayor información email
nasri_at_marna.com.ve http//www.marna.com.ve