Diapositiva 1

1
V - Seminario Nacional e Internacional la
protección de datos personales hacia el
bicentenario de la república argentina
7 y 8 de Octubre 2008 Buenos Aires Argentina
Dirección Nacional de Protección de Datos
Personales
2
LA PROTECCIÓN DE LOS DATOS PERSONALES Y LA
SEGURIDAD INFORMÁTICA EN EL SECTOR PÚBLICO Y
PRIVADO Expositor Ing. Rodolfo
Stecco IRAMProduct Manager TL 9000 Lead Auditor
ISMS 27001 Miembro del Consejo de Dirección de
QuEST Forum Quality Excellence for Suppliers of
Telecommunication
3
Sistema de Gestión de la Seguridad de
Información
Código de Prácticas para la Gestión de la
Seguridad de la Información
4
Norma ISO/IEC 270022005
Código de Prácticas para la Gestión de la
Seguridad de la Información
5
Qué es Información y Seguridad de la Información?
6
Qué es la Información?

• La información es un recurso que, como el resto
  de los importantes activos comerciales, tiene
  valor para una organización y por consiguiente
  debe ser debidamente protegida.
• " La información puede existir en muchas formas.
  Puede estar impresa o escrita en papel,
  almacenada electrónicamente, transmitida por
  correo o utilizando medios electrónicos,
  presentada en imágenes, o expuesta en una
  conversación
• Cualquiera sea la forma que adquiere la
  información, o los medios por los cuales se
  distribuye o almacena, siempre debe ser protegida
  en forma adecuada.

ISO/IEC 270022005
7
Clasificación de información

• Niveles de valoración (confidencial, privado,
  público).
• Activos físicos y lógicos.
• Ejemplos Códigos de tarjetas y cuentas de
  clientes, historia clínica médica, presupuestos y
  proyectos, información de pagos (proveedores y
  clientes).

8
Qué es Seguridad de la Información?
La seguridad de la información se define como la
preservación de las siguientes características

• Confidencialidad
• a) Se garantiza que la información sea accesible
  sólo a aquellas personas autorizadas a tener
  acceso a ella
• Integridad
• b) Se salvaguarda la exactitud, y totalidad de la
  información y los métodos de procesamiento
• Disponibilidad
• c) Se garantiza que los usuarios autorizados
  tengan acceso
• a la información y a los recursos
  relacionados con ella toda vez que se requiera.

ISO/IEC 270022005
9
Principales riesgos y su impacto en las
Organizaciones
10
Principales vulnerabilidades

• Control inadecuado de accesos.
• Puntos de accesos remotos sin debida protección.
• Falta de políticas de seguridad.
• Ausencia de formación y toma de conciencia del
  personal.
• Estructuras inadecuadas (perimetral) ...
• Energía inestable y cableados de mala calidad
• Uso de SW no adecuado.......

11

Gestión de Riesgos

• El objetivo principal es determinar el máximo
  nivel permitido de riesgos que se está dispuesto
  a tolerar, así como la definición de controles
  pertinentes para proteger los recursos de las
  vulnerabilidades existentes.
• Es una construcción propia que permita lograr
  niveles de protección previniendo la ocurrencia
  de amenazas.
• Es un proceso dinámico para asegurar integridad,
  disponibilidad y confidencialidad de la
  información

12
Qué es Información y Seguridad de la Información?

• Resumen
• La seguridad de la información protege la
  información de una amplia gama de amenazas para
  asegurar la continuidad del negocio, reducir al
  mínimo el daño, y maximizar el rendimiento de la
  inversión y oportunidades de negocio.
• Cada organización tendrá un grupo diferente de
  requerimientos en términos de requisitos de
  control y de niveles de confidencialidad,
  integridad y disponibilidad.

13
Características y atributos principales de la
ISO / IEC 27002
14
Objetivo de ISO / IEC 27002

• Protección de la
• confidencialidad
• integridad, y
• disponibilidad
• de la información escrita, hablada o digitalizada

15

• Código de Prácticas para la Gestión de la
  Información.ISO / IEC 27002
• Vs,
• Algunos datos de la realidad

Ver 4
16
Encuesta respecto a Seguridad de la
InformaciónAporte de Estudio Passarello
Asociados Ernst and Young "Information
Security Survey 2002"

• Solamente el 40 de las organizaciones
  informan que han sido victimas de un ataque a sus
  sistemas......

• ISO IEC 270022005
• - A.10.10_ Seguimiento.
• - Objetivo Detectar actividades de procesamiento
  de información no autorizadas.
• A.10.10.1 Auditoria de logging.
• A.10.10.2 Seguimiento del uso del sistema.
• A.10.10.6 Sincronización de relojes. (Clock
  synchronization)

17
Encuesta respecto a Seguridad de la
InformaciónAporte de Estudio Passarello
Asociados Ernst and Young "Information
Security Survey 2002"

• el 40 de las organizaciones no investiga los
  incidentes de seguridad de la información de que
  han sido victimas..........

• ISO IEC 270022005
• A.13.1 Informar eventos y debilidades de
  seguridad de la información
• Objetivo Asegurar que eventos y debilidades de
  seguridad de la información asociadas con
  sistemas de información, son comunicados y en
  tiempo y forma son tomadas acciones correctivas.
• A.13.1.1 Informar eventos de seguridad de
• información
• A.13.1.2 Informar debilidades de seguridad

18
Encuesta respecto a Seguridad de la
InformaciónAporte de Estudio Passarello
Asociados and Young "Information Security
Survey 2002

• Cada vez más sufren interrupciones los Sistemas
  Críticos para el negocio - más del 75 de las
  organizaciones experimentó un inesperado fuera de
  servicio.........

• ISO IEC 270022005
• A.10.3 Planificación de Sistemas y aceptación
• Objetivo Minimizar el riesgo de fallas de los
  sistemas
• A.10.3.1 Planificación de la capacidad
• A.10.3.2 Aceptación de sistema

19
Encuesta respecto a Seguridad de la
InformaciónAporte de Estudio Passarello
Asociados and Young "Information Security
Survey 2002

• Solamente en el 53 de las organizaciones existe
  un plan de continuidad de los negocios!!........

• ISO IEC 270022005
• A.14 Gestión de la continuidad del negocio
• Objetivo Neutralizar interrupciones de las
  actividades de negocio y proteger los procesos de
  negocio críticos de los efectos de fallas mayores
  o desastres y asegurar una recuperación oportuna.
• A.14.1.1 Inclusión de seguridad de información
  en los procesos de continuidad de los negocios
• A.14.1.2 Auditoria de continuidad de los
  negocios y riesgos
• A.14.1.5 Pruebas, mantenimiento y reexaminación
  de planes de continuidad del negocio

20
Encuesta respecto a Seguridad de la
InformaciónAporte de Estudio Passarello
Asociados and Young "Information Security
Survey 2002

• Sólo un 41 de las organizaciones están
  preocupadas sobre ataques internos sobre sus
  sistemas, a pesar del alto número de evidencias
  de ataques desde dentro mismo de la organización

• ISO IEC 270022005
• A.8 Seguridad de los Recursos Humanos
• Objetivo Asegurar que los usuarios empleados,
  contratistas, y de tercera parte, entienden sus
  responsabilidades y son adecuados para los roles
  que han sido asignados, y reducir riesgos de
  error humano, robo, fraude, o mal uso de
  instalaciones.
• A.9 Seguridad Física y ambiental
• Objetivo Prevenir accesos no autorizados,
  daños, e interferencia a premisas comerciales e
  información

21
Encuesta respecto a Seguridad de la
InformaciónAporte de Estudio Passarello
Asociados Ernst and Young "Information
Security Survey 2002"

• Menos del 50 de las organizaciones tiene
  entrenamiento en seguridad de la información y
  programas de sensibilización!!.....

• ISO IEC 270022005
• A.8.2.2 Concientización , educación y formación
  en seguridad de la información
• Objetivo Todos los empleados de la organización
  y, cuando sea pertinente, los contratistas y
  usuarios de tercera parte, deben recibir una
  adecuada formación para toma de conciencia y
  actualizaciones periódicas en políticas y
  procedimientos organizacionales relevantes para
  la ejecución de sus tareas.

22
ISO/IEC 270012005Sistema de Gestión de
Seguridad de Información

• Alineado con....
• ISO 90012000
• Sistema de Gestión de la Calidad

23
Q
M
S
Sección 7
Output
Input
Entrada
Salida
24
S
G
I
Sección 7
Output
Input
Entrada
Salida
25
4. Sistema de Gestión de Seguridad de la
Información

• 4.1 Requerimientos generales
• 4.2 Establecimiento y gestión del SGSI
• 4.3 Requisitos de la Documentación

26
5. Responsabilidad de la Dirección

• 5.1 Compromiso de la dirección
• 5.2 Gestión de recursos

27
6. Auditoria interna del SGSI

• Requisito alineado con ISO 9001 / ISO 14001
• y la Guía ISO 19011.

28
7. Revisión por la Dirección del SGSI

• 7.1 Generalidades
• 7.2 Entradas para la Revisión
• 7.3 Resultados de la Revisión

29
8. Mejora del SGSI

• 8.1 Mejora continua
• 8.2 Acción correctiva
• 8.3 Acción preventiva

30
Sección de controles (Anexo A)

• A.5 Política de seguridad
• A.6 Organización de la seguridad de información
• A.7 Gestión de activos
• A.8 Seguridad de Recursos Humanos
• A.9 Seguridad física y ambiental

31
Sección de controles (Anexo A)

• A.10 Gestión de comunicaciones y operaciones
• A.11 Control de accesos
• A.12 Adquisición, desarrollo y mantenimiento
• de sistemas de información
• A.13 Gestión de incidentes de seguridad de la
  información
• A.14 Gestión de la continuidad de los negocios
• A.15 Cumplimiento

32
CONCLUSIONES FINALES
33
Factores críticos de éxito

• Política de seguridad, objetivos y actividades
  que reflejen los objetivos de la empresa
• Una estrategia de implantación de seguridad que
  sea compatible con la cultura organizacional
• Apoyo y Compromiso manifiestos por parte de la
  dirección
• Un claro entendimiento de los requerimientos de
  seguridad, evaluación de riesgos y administración
  de los mismos
• Comunicación eficaz de la seguridad a todos los
  gerentes y empleados

ISO/IEC 270022005
34
Factores críticos de éxito

• Distribución de guías sobre políticas y normas de
  seguridad de la información a todos los empleados
  y contratistas
• Instrucción y entrenamiento apropiados
• Un sistema integral y equilibrado de medición que
  se utilice para evaluar el desempeño de la
  gestión de la seguridad de la información y para
  brindar sugerencias tendientes a mejorarlo.

ISO/IEC 270022005
35
Cómo lo logramos?
Fase 1 Disposición 9/2008 de DNPDPDisposición
9/2008Medidas de Seguridad para el Tratamiento
y Conservación de los Datos Personales Contenidos
en Archivos, Registros, Bancos y Bases de Datos
Públicos no estatales y Privados.
Fase 2 ISO / IEC 27001 Information security
management system Requirements
36
(No Transcript)
37
Estandarización ISMS 27001
38
(No Transcript)
39
(No Transcript)
40
Excelencia en Negocios !!
41
Próximos Pasosde las normas ISO / IEC serie
27000
42
ISO/IEC 27000 En fase de desarrollo su fecha
prevista de publicación es Noviembre de 2008.
Contendrá términos y definiciones que se emplean
en toda la serie 27000. ISO/IEC 27001
Publicada el 15 de Octubre de 2005. Es la norma
principal de la serie y contiene los requisitos
del sistema de gestión de seguridad de la
información. ISO/IEC 27002 Publicada el 1 de
Julio de 2007, es el nuevo nombre de ISO
177992005, manteniendo 2005 como año de edición.
Es una guía de buenas prácticas que describe los
objetivos de control y controles recomendables en
cuanto a seguridad de la información. ISO/IEC
27003 En fase de desarrollo su fecha prevista
de publicación es Mayo de 2009. Consistirá en una
guía de implementación de SGSI e información
acerca del uso del modelo PDCA y de los
requerimientos de sus diferentes fases.   
ISO/IEC 27004 En fase de desarrollo su
fecha prevista de publicación es Noviembre de
2008. Especificará las métricas y las técnicas de
medición aplicables para determinar la eficacia
de un SGSI y de los controles relacionados
Próximos Pasosde las normas ISO / IEC serie 27000
43
ISO/IEC 27005 Publicada el 4 de Junio de
2008. Establece las directrices para la gestión
del riesgo en la seguridad de la información.
Apoya los conceptos generales especificados en la
norma ISO/IEC 27001 y está diseñada para ayudar a
la aplicación satisfactoria de la seguridad de la
información basada en un enfoque de gestión de
riesgos.  ISO/IEC 27006 Publicada el 13 de
Febrero de 2007. Especifica los requisitos para
la acreditación de entidades de auditoria y
certificación de sistemas de gestión de seguridad
de la información ISO/IEC 27007 En fase de
desarrollo su fecha prevista de publicación es
Mayo de 2010. Consistirá en una guía de auditoria
de un SGSI.  ISO/IEC 27011 En fase de
desarrollo su fecha prevista de publicación es
finales de 2008. Consistirá en una guía de
gestión de seguridad de la información específica
para telecomunicaciones, elaborada conjuntamente
con la ITU (Unión Internacional de
Telecomunicaciones). ISO/IEC 27031 En fase
de desarrollo su fecha prevista de publicación
es Mayo de 2010. Consistirá en una guía de
continuidad de negocio en cuanto a tecnologías de
la información y comunicaciones.
Próximos Pasosde las normas ISO / IEC serie 27000
44
ISO/IEC 27032 En fase de desarrollo su
fecha prevista de publicación es Febrero de 2009.
Consistirá en una guía relativa a la
ciberseguridad. .  ISO/IEC 27033 En fase de
desarrollo su fecha prevista de publicación es
entre 2010 y 2011. Es una norma consistente en 7
partes gestión de seguridad de redes,
arquitectura de seguridad de redes, escenarios de
redes de referencia, aseguramiento de las
comunicaciones entre redes mediante gateways,
acceso remoto, aseguramiento de comunicaciones en
redes mediante VPNs y diseño e implementación de
seguridad en redes. Provendrá de la revisión,
ampliación y renumeración de ISO 18028 VPNs
Virtual Private NetworksISO/IEC 27034 En
fase de desarrollo su fecha prevista de
publicación es Febrero de 2009. Consistirá en una
guía de seguridad en aplicaciones .  ISO/IEC
27799 Publicada el 12 de Junio de 2008. Es un
estándar de gestión de seguridad de la
información en el sector sanitario aplicando ISO
17799 (actual ISO 27002). Esta norma define
directrices para apoyar la interpretación y
aplicación en la salud de la norma ISO / IEC
27002 y es un complemento de esa norma. ISO
277992008 especifica un conjunto detallado de
controles y directrices de buenas prácticas para
la gestión de la salud y la seguridad de la
información por organizaciones sanitarias y otros
custodios de la información sanitaria en base a
garantizar un mínimo nivel necesario de seguridad
apropiado para la organización y circunstancias
que van a mantener la confidencialidad,
integridad y disponibilidad de información
personal de salud  
Próximos Pasosde las normas ISO / IEC serie 27000
45
Preguntas?
46
MUCHAS GRACIAS!
Ing. Rodolfo SteccoIRAMProduct Manager TL 9000
Lead Auditor ISMS 27001 Miembro del Consejo de
Dirección de QuEST Forum rstecco_at_iram.org.ar