1 / 97

Conferencia de Seguridad de la Información NORMA ISO 17799 / BS 7799

Conferencia de Seguridad de la Información NORMA ISO 17799 / BS 7799. 2004. Apertura. Recepción Presentación General. Objetivo Instructor Temario detallado. Objetivo.

debra
Télécharger la présentation

Conferencia de Seguridad de la Información NORMA ISO 17799 / BS 7799

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Conferencia de Seguridad de la Información NORMA ISO 17799 / BS 7799 2004

  2. Apertura Recepción Presentación General • Objetivo • Instructor • Temario detallado

  3. Objetivo Adquirir conocimientos, metodologías y herramientas de implementación y control de medidas de seguridad de la información de acuerdo con estándares internacionales.

  4. Instructores Martín Vila Business Director I -Sec Information Security (2002 - 2004) Country Manager Guarded Networks Argentina (2001) Gerente experimentado de la práctica de Business Risk Management de Pistrelli, Díaz y Asociados, miembro de Arthur Andersen (abril 1992 - abril 2001) Ha liderado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional. Ha desarrollado y participado como instructor en Information Security Courses en USA, Latinoamérica y Argentina (Arthur Andersen, ISACA/ADACSI, Guarded Networks, Ernst & Young / IT College, I-SEC).

  5. Instructores Tania Cozzi Senior Security Consultant - I -Sec Information Security (2004) Senior / Supervisor IT Security - BDO (2001-2004) Consultor de Seguridad informática - Megatone (Auckland, New Zealand) (2001) Posee una Maestría en Auditoria de Sistemas (Universidad del Salvador – Bs. As.) – (1998-2000) Ha llevado adelante y supervisado numerosos proyectos de Auditoría e Implementación de Programas de Seguridad Informática en compañías de primer nivel en el ámbito local e internacional. Ha desarrollado y participado como instructor en cursos de capacitación internos y e internacionales relacionados con el Análisis e implementación de controles, metodología de Auditoria de Sistemas, Estándares Internacionales, entre otros.

  6. Paso 1: Por que? Reconocer los riesgos y su impacto en los negocios

  7. Algunos datos INFORMATICAEl objetivo del virus “Bugbear” no es colapsar computadoras sino robar datos bancariosLos expertos confirmaron que envía la información que captura a miles de direcciones de Internet. Además, también puede desactivar los sistemas de seguridad de la PC, destruir sus archivos y descomponer impresoras. INTERNETNadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundoApenas 150 “spammers” norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico.

  8. Algunos datos

  9. Algunos datos Microsoft cierra la mayoría de sus chatsQuiere combatir la pornografía y los mensajes basura ("spam"). La medida comprende a 28 países de América Latina, Europa, Africa y Asia. Sólo mantendrá el Messenger. Microsoft, el gigante de software estadounidense, anunció que cerrará sus foros de chat gratuitos en 28 países.

  10. Algunos datos DespidoRechazan demanda de empleada por uso indebido de InternetEl juez del trabajo Jorge Finizzola consideró justo el despido de una empleada que usó las computadoras de la empresa para recibir y enviar correos electrónicos ajenos a su tarea y de contenido pornográfico, indicaron fuentes tribunalicias. El magistrado rechazó la demanda iniciada por una empleada, que fue identificada como R.I.V, ya que las fuentes mantuvieron en reserva su identidad, contra la firma Vestiditos S.A. e impuso a la reclamante las costas del juicio. 

  11. Algunos datos La seguridad de redes, una prioridad para las empresas Cisco publicó los resultados de un estudio de seguridad realizado a directivos latinoamericanos de IT. De acuerdo a los resultados, el 79 % de los Directivos de IT de Latinoamérica opina que la seguridad de redes es un tema "de extrema prioridad" o "muy prioritario" para los directivos de sus compañías.

  12. Algunos datos NEGOCIOSUna nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad de la informaciónLa gestión de las políticas de seguridad de la información obsesiona a miles de empresas de todo el mundo. Ahora, ya no se conforman con controlar los datos circulantes; también quieren ahorrar millones.Por Daniela Blanco. Especial para Clarín.com.

  13. Algunos datos LA POLICIA LO DETUVO EL DOMINGO CUANDO FUE A VOTARAcusan a un joven de un crimen luego de un rastreo informáticoVerónica Tomini tenía 24 años y era gerenta de una empresa de marketing. Los investigadores detectaron que horas antes del crimen había chateado con el sospechoso para arreglar un encuentro.Martín Sassone. . El martes 19 de agosto, Verónica Tomini estaba en su trabajo y recibió un mensaje en su computadora: "Bebota, tengo ganas de verte". Ella respondió: "Yo también Cachorro. Nos vemos esta noche en casa". Así, rastreando los mensajes de chat de la víctima, los investigadores llegaron al principal sospechoso del crimen: un joven de 24 años que fue detenido el domingo cuando fue a votar.

  14. Algunos riesgos

  15. Captura de PC desde el exterior Algunos riesgos Fraudes informáticos Robo de información Software ilegal Spamming Destrucción de equipamiento Intercepción y modificación y violación de e-mails Violación de contraseñas Virus Violación de la privacidad de los empleados Incumplimiento de leyes y regulaciones Ingeniería social empleados deshonestos Programas “bomba, troyanos” Mails anónimos con agresiones Interrupción de los servicios Destrucción de soportes documentales Acceso clandestino a redes Robo o extravío de notebooks, palms Acceso indebido a documentos impresos Propiedad de la información Indisponibilidad de información clave Intercepción de comunicaciones voz y wireless Falsificación de información para terceros Agujeros de seguridad de redes conectadas

  16. Algunos riesgos Instalaciones default Escalamiento de privilegios Password cracking Exploits Puertos vulnerables abiertos Man in the middle Servicios de log inexistentes o que no son chequeados Denegación de servicio Backups inexistentes Últimos parches no instalados Desactualización Port scanning Keylogging Hacking de Centrales Telefónicas

  17. Algunos datos Según una encuesta del Departamento de Defensa de USA: Sobre aprox 9000 computadores atacados, 7,900 fueron dañados. 400 detectaron el ataque. Sólo 19 informaron el ataque.

  18. Algunos datos En general todos coinciden en: El 80% de los incidentes/fraudes son efectuados por personal interno Fuentes: The Computer Security Institute Cooperative Association for Internet Data Analysis (CAIDA) CERT SANS

  19. Algunas realidades • En mi compañía ya tenemos seguridad porque ... • ... implementamos un firewall. • ... contratamos una persona para el área. • ... en la última auditoría de sistemas no me sacaron observaciones importantes. • ... ya escribí las políticas. • ... hice un penetration testing y ya arreglamos todo.

  20. Algunos conceptos preliminares • en formato electrónico / magnético / óptico • en formato impreso • en el conocimiento de las personas

  21. Principales riesgos y el impacto en los negocios • En estos tipos de problemas es difícil: • Darse cuenta que pasan, hasta que pasan. • Poder cuantificarlos económicamente, por ejemplo • ¿cuánto le cuesta a la compañía 4 horas sin sistemas? • Poder vincular directamente sus efectos sobre los resultados de la compañía.

  22. Algunas premisas • No existe la “verdad absoluta” en Seguridad Informática. • No es posible eliminar todos los riesgos. • No se puede ser especialista en todos los temas. • La Dirección está convencida de que la Seguridad Informática no hace al negocio de la compañía. • Cada vez los riesgos y el impacto en los negocios son mayores. • No se puede dejar de hacer algo en este tema.

  23. POR TODAS ESAS RAZONES

  24. Deberia asegurar mi Informacion • Se puede estar preparado para que ocurran lo menos posible: • sin grandes inversiones en software • sin mucha estructura de personal • Tan solo: • ordenando la Gestión de Seguridad • parametrizando la seguridad propia de los sistemas • utilizando herramientas licenciadas y libres en la web

  25. Paso 2: Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas Internacionales aplicables

  26. Normas aplicables Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de Seguridad de la Información, podemos encontrar los siguientes: • Information Systems and Audit Control Association - ISACA: COBIT • British Standards Institute: BS • International Standards Organization: Normas ISO • Departamento de Defensa de USA: Orange Book / Common Criteria • ITSEC – Information Technology Security Evaluation Criteria: White Book • Sans Institute • Sarbanes Oxley Act, HIPAA

  27. Paso 3: Que pide la Norma ISO 17799 Gestión de Seguridad?

  28. Normas de Gestión ISO • International Standards Organization: Normas ISO • ISO 9001 – Calidad • ISO 14001 – Ambiental • ISO 17799 – Seguridad de la Información • La principal norma de Evaluación e Implementación de medidas de Seguridad en Tecnologías de la Información es la NORMA ISO 17799. • Basada en el BRITISH STANDARD 7799. • ISO (Europa) y NIST (USA).

  29. Norma ISO 17799 Seguridad de la Información • Dos partes: • 17799 – 1 . NORMALIZACION (Mejores Prácticas) • Homologada en Argentina IRAM/ISO/IEC 17799 • 17799 – 2 . CERTIFICACION • Aún no fue publicada por ISO. • Hoy en día las certificaciones son sobre el BS 7799.

  30. Norma ISO 17799 Seguridad de la Información • Está organizada en diez capítulos en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta: • GESTION DE SEGURIDAD DE LA INFORMACION • Alcance • Recomendaciones para la gestión de la seguridad de la información • Base común para el desarrollo de estándares de seguridad

  31. Norma ISO 17799 Seguridad de la Información • Preservar la: • confidencialidad: • accesible sólo a aquellas personas autorizadas a tener acceso. • integridad: • exactitud y totalidad de la información y los métodos de procesamiento. • disponibilidad: • acceso a la información y a los recursos relacionados con ella toda vez que se requiera.

  32. Norma ISO 17799 Seguridad de la Información 1. Política de Seguridad 2. Organización de Seguridad 3. Clasificación y Control de Activos 4. Aspectos humanos de la seguridad 5. Seguridad Física y Ambiental 6. Gestión de Comunicaciones y Operaciones 7. Sistema de Control de Accesos 8. Desarrollo y Mantenimiento de Sistemas 9. Plan de Continuidad del Negocio 10.Cumplimiento

  33. Qué es la Seguridad de la Información La información = activo comercial Tiene valor para una organización y por consiguiente debe ser debidamente protegida. “Garantizar la continuidad comercial, minimizar el daño al mismo y maximizar el retorno sobre las inversiones y las oportunidades” “La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados”

  34. Formas o medios que se distribuye o almacena • Impresa, • escrita en papel, • almacenada electrónicamente, • transmitida por correo o utilizando medios electrónicos, • presentada en imágenes, o • expuesta en una conversación.

  35. Gestión de Seguridad de la Información • Implementando un conjunto adecuado de CONTROLES: • Políticas • Prácticas • Procedimientos • Estructuras Organizacionales • Funciones del Software

  36. Cómo establecer los requerimientos de Seguridad • Evaluar los riesgos: • se identifican las amenazas a los activos, • se evalúan vulnerabilidades y probabilidades de ocurrencia, y • se estima el impacto potencial. • Requisitos legales, normativos, reglamentarios y contractuales que deben cumplir: • la organización, • sus socios comerciales, • los contratistas y los prestadores de servicios. • Conjunto específico de principios, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar sus operaciones.

  37. Selección de controles • “Los controles pueden seleccionarse sobre la base de la Norma ISO 17799, de otros estándares, o pueden diseñarse nuevos controles para satisfacer necesidades específicas según corresponda” • Costo de implementación vs riesgos a reducir y las pérdidas monetarias y no monetarias • Revisiones periódicas de: • - Riesgos • - Controles implementados

  38. Factores críticos del éxito • política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa; • una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional; • apoyo y compromiso manifiestos por parte de la gerencia; • un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos; • comunicación eficaz de los temas de seguridad a todos los gerentes y empleados;

  39. Factores críticos del éxito • distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas; • instrucción y entrenamiento adecuados; • un sistema integral y equilibrado de medición que se utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo.

  40. Dominios de Norma ISO 17.799 Dominio 1 - Política de Seguridad

  41. Dominio 1: POLÍTICA DE SEGURIDAD Nivel gerencial debe: vaprobar y publicar la política de seguridad vcomunicarlo a todos los empleados

  42. Dominio 1: POLÍTICA DE SEGURIDAD Autorización Protección Física Confiabilidad Confidencialidad Propiedad Política de Seguridad Disponibilidad Legalidad Eficiencia Integridad Eficacia Exactitud

  43. Dominio 2 Organización de la Seguridad

  44. Dominio 2: ORGANIZACION DE LA SEGURIDAD Principales roles y funciones • Sponsoreo y seguimiento • Dirección de la Compañía • Foro / Comité de Seguridad • Autorización • Dueño de datos • Definición • Área de Seguridad Informática • Área de Legales, RRHH, Auditoria, OyM Administración • Administrador de Seguridad Cumplimiento directo • Usuarios finales • Terceros y personal contratado • Área de sistemas Control • Auditoría Interna • Auditoría Externa

  45. Dominio 3 Clasificación y Control de Activos

  46. Dominio 3: CLASIFICACION Y CONTROL DE ACTIVOS • Inventarios de Información e Instalaciones • Designar un propietario para cada uno de ellos • Clasificación de la información

  47. Dominio 4 Seguridad del Personal

  48. Dominio 4: SEGURIDAD DEL PERSONAL • Administracion del Personal • Sanciones • Concientizacion • Administracion de Incidentes

  49. Dominio 5 Seguridad Fisica y Ambiental

  50. Dominio 5: SEGURIDAD FISICA Y AMBIENTAL Impedir accesos no autorizados, daños e interferencia a: • sedes • instalaciones • información

More Related