View
221
Download
0
Category
Preview:
Citation preview
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 1/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 1
ISO/IEC 17799:2000
Information Technology.
Code of practice for information security
management.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 2/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 2
Qué es la seguridad de la información ? La información es un recurso que, como el resto de
los importantes activos comerciales, tiene valor parauna organización y por consiguiente debe ser debidamente protegida.
La seguridad de la información protege ésta de unaamplia gama de amenazas, a fin de garantizar la
continuidad comercial, minimizar el daño al mismoy maximizar el retorno sobre las inversiones y lasoportunidades.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 3/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 3
Qué es la seguridad de la información ? La información puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenada
electrónicamente, transmitida por correo o utilizandomedios electrónicos, presentada en imágenes, oexpuesta en una conversación.
Cualquiera sea la forma que adquiere la información,
o los medios por los cuales se distribuye o almacena,siempre debe ser protegida en forma adecuada.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 4/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 4
Seguridad de la información La seguridad de la información se lograimplementando un conjunto adecuado de
controles, que abarca: Políticas Procedimientos
Prácticas Estructuras Organizacionales y Funciones del software.(Hace lo que debe?)
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 5/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 5
Por qué es necesaria la seguridad de la información? Muchos sistemas de información no han sido
diseñados para ser seguros. La seguridad que puedelograrse por medios técnicos es limitada y debe ser
respaldada por una gestión y procedimientosadecuados. La identificación de los controles que deben
implementarse requiere una cuidadosa planificacióny atención a todos los detalles.
La administración de la seguridad de la información,exige, como mínimo, la participación de todos losempleados de la organización.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 6/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 6
Por qué es necesaria la seguridad de la información? También puede requerir la participación de
proveedores, clientes y accionistas.
Asimismo, puede requerirse el asesoramientoexperto de organizaciones externas. Los controles de seguridad de la información
resultan considerablemente más económicos y
eficaces si se incorporan en la etapa deespecificación de requerimientos y diseño.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 7/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 7
Por qué es necesaria la seguridad de la información? La dependencia de las organizaciones respecto de los
sistemas y servicios de información denota que ellasson más vulnerables a las amenazas concernientes a
seguridad. La interconexión de las redes públicas y privadas yel uso compartido de los recursos de informaciónincrementa la dificultad de lograr el control de losaccesos.
La tendencia hacia el procesamiento distribuido hadebilitado la eficacia del control técnicocentralizado.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 8/46
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 9/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 9
Cómo establecer los requerimientos de seguridad? Establecer los requisitos legales, normativos,
reglamentarios y contractuales.
Tanto la organización, como; Socios comerciales, Contratistas y
Proveedores.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 10/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 10
Los controles en la implementación de la
seguridad de la información, son: Documentación de la política de seguridad de la
información; Asignación de responsabilidades en materia de
seguridad de la información; Instrucción y entrenamiento en materia de seguridad
de la información;
Comunicación de incidentes relativos a la seguridad;
Administración de la continuidad de la empresa; Administración de la continuidad de la empresa;
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 11/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 11
Factores críticos de éxito Política de seguridad
objetivos y actividades que reflejen los objetivos de laempresa;
Una estrategia de implementación de seguridad quesea consecuente con la cultura organizacional;
Apoyo y compromiso manifiestos por parte de lagerencia;
Un claro entendimiento de los requerimientos deseguridad, la evaluación de riesgos y laadministración de los mismos;
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 12/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 12
Factores críticos del éxito Comunicación eficaz de los temas de seguridad a
todos los gerentes y empleados; Distribución de guías sobre políticas y estándares
de seguridad de la información a todos losempleados y contratistas;
Instrucción y entrenamiento adecuados; Un sistema integral y equilibrado de medición que
se utilice para evaluar el desempeño de la gestiónde la seguridad de la información y para brindar sugerencias tendientes a mejorarlo.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 13/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 13
ALCANCE Esta parte del estándar brinda recomendaciones parala gestión de la seguridad de la información que hande ser aplicadas por los responsables de iniciar,
implementar o mantener la seguridad en susorganizaciones. Su propósito es proveer de una base común para el
desarrollo de estándares de seguridad de laorganización y una práctica efectiva de la
administración de la misma, brindando asimismo,confianza en las relaciones llevadas a cabo entre lasorganizaciones.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 14/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 14
La seguridad de la información se define aquí como la
preservación de las siguientes características: Confidencialidad: se garantiza que la información sea
accesible sólo a aquellas personas autorizadas a tener accesoa ella.
Integridad: se salvaguarda la exactitud y totalidad de lainformación y los métodos de procesamiento.
Disponibilidad: se garantiza que los usuarios autorizadostengan acceso a la información y a los recursos relacionadoscon ella toda vez que se requiera.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 15/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 15
Política de seguridad de la información Objetivo:
Proporcionar dirección y apoyo gerencial para brindar seguridad de la información.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 16/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 16
Política de seguridad de la información Esta política debe ser comunicada a todos los
usuarios de la organización de manera:
Pertinente Inducción inicial, capacitación u otros medios.
Accesible Puede estar impresa o en la intranet de la organización
Comprensible. Debe estar en el idioma nativo del empleado.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 17/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 17
Tipos de seguridad Seguridad frente al acceso por parte deterceros.
Servicios de empresas en forma esporádica. Tercerización
Proveedores que forman parte del quehacer diario
dentro de la organización. Personal técnico.
Ej.: Personal de mantenimiento y/o aseo.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 18/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 18
CLASIFICACIÓN Y CONTROL DE ACTIVOS
Objetivo: Mantener una adecuada protección de losactivos de la organización. Inventario de activos.
recursos de información: bases de datos y archivos documentación de sistemas manuales de usuario material de capacitación
procedimientos operativos o de soporte planes de continuidad disposiciones relativas a sistemas de emergencia para la reposición
de información perdida ("fallback") información archivada
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 19/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 19
CLASIFICACIÓN Y CONTROL DE ACTIVOS
Objetivo: Mantener una adecuada protecciónde los activos de la organización.
Inventario de activos. recursos de software:
software de aplicaciones software de sistemas herramientas de desarrollo y utilitarios
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 20/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 20
CLASIFICACIÓN Y CONTROL DE ACTIVOS
Objetivo: Mantener una adecuada protecciónde los activos de la organización.
Inventario de activos. servicios:
servicios informáticos y de comunicaciones utilitarios generales,
calefacción Iluminación energía eléctrica aire acondicionado.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 21/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 21
SEGURIDAD FÍSICA Y AMBIENTAL
Objetivo: Impedir accesos no autorizados, daños e
interferencia a las sedes e información de laempresa.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 22/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 22
Seguridad del equipamiento Objetivo:
Impedir pérdidas, daños o exposiciones al riesgo
de los activos e interrupción de las actividades dela empresa.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 23/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 23
Controles para minimizar el riesgo deamenazas potenciales.
Robo Incendio Explosivos Humo; Agua (o falta de suministro) Polvo Vibraciones Efectos químicos Interferencia en el suministro de energía eléctrica. Radiación electromagnética.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 24/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 24
Protección contra software malicioso
Objetivo: Proteger la integridad del software y la
información. Antivirus Antispyware Worms
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 25/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 25
Mantenimiento Objetivo:
Mantener la integridad y disponibilidad de los
servicios de procesamiento y comunicación deinformación.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 26/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 26
Administración de la red Objetivo:
Garantizar la seguridad de la información en las
redes y la protección de la infraestructura deapoyo.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 27/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 27
SEGURIDAD DE LA INFORMACION.
Se debe tener en consideración, respecto del uso de lainformación concerniente a la organización, su correcto uso yno divulgación de información clasificada.
Todo tipo de intercambio de información, ya sea con; proveedores, clientes, contratistas, agentes, subsidiariasinternacionales, debe ser bajo las políticas definidas por laorganización.
El uso de herramientas de software deben ser las que lacompañía proporcione y/o permita, para el correctodesempeño de la labores de sus funcionarios.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 28/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 28
SEGURIDAD DE LA INFORMACION.
Medios que son considerados delicados y prohibidos en muchas organizaciones, son;
Correo electrónico (Archivos adjuntos) Bajada y/o subida de información (ej.:FTP) Foros/Chats
Sistemas P2P
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 29/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 29
Administración de accesos de usuarios Objetivo:
Impedir el acceso no autorizado en los sistemas
de información. Esto implica, una clara delimitación de cada usuario alos sistemas de cada organización.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 30/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 30
Responsabilidades del usuario Objetivo:
Impedir el acceso de usuarios no autorizados
La cooperación de los usuarios autorizados esesencial para la eficacia de la seguridad. Se debe concientizar a los usuarios acerca de sus
responsabilidades por el mantenimiento de
controles de acceso eficaces, en particular aquellos relacionados con el uso de contraseñas yla seguridad del equipamiento.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 31/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 31
Control de acceso a la red Objetivo:
La protección de los servicios de red.
Autenticación de usuarios Controles de acceso a las bases de datos Controles de acceso a los file servers Cerrar todos los puertos de red que no sean necesarios
para el desarrollo del negocio. Etc.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 32/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 32
Control de acceso a las aplicaciones Objetivo: Impedir el acceso no autorizado a la información
contenida en los sistemas de información. Los sistemas de aplicación deben:
controlar el acceso de usuarios a la información y a las funciones de los
sistemas de aplicación, de acuerdo con la política de control de accesosdefinida por la organización;
brindar protección contra el acceso no autorizado de utilitarios ysoftware del sistema operativo que tengan la capacidad de pasar por altolos controles de sistemas o aplicaciones ;
no comprometer la seguridad de otros sistemas con los que se
comparten recursos de información ; tener la capacidad de otorgar acceso a la información únicamente al
propietario, a otros individuos autorizados mediante designación formal,o a grupos de usuarios.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 33/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 33
Monitoreo del acceso y uso de los sistemas
Objetivo: Detectar actividades no autorizadas.
Existen herramientas de monitoreo, tanto para lasredes como para las aplicaciones en general. Ej: Sniffers (Ethereal) Proxies (herramienta de control de acceso a internet) Firewalls (herramienta que controla los puertos y redes
permitidas para intercomunicación)
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 34/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 34
Computación móvil y trabajo remoto Objetivo:
Garantizar la seguridad de la información cuando
se utiliza computación móvil e instalaciones detrabajo remotas. VPN (Virtual Private Network) Terminal Servers
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 35/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 35
DESARROLLO Y MANTENIMIENTODE SISTEMAS.
Objetivo: Asegurar que la seguridad es incorporada a los
sistemas de información. Todo desarrollo, ya sea interno o externo, debenconsiderarse las mismas políticas de seguridad y elcumplimiento de los estándares de la organización.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 36/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 36
Controles criptográficos Objetivo: Proteger la confidencialidad,
autenticidad o integridad de la información.
Deben utilizarse sistemas y técnicascriptográficas para la protección de lainformación que se considera en estado de riesgoy para la cual otros controles no suministran una
adecuada protección.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 37/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 37
Seguridad de los archivos del sistema Objetivo:
Garantizar que los proyectos y actividades de
soporte de TI se lleven a cabo de manera segura.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 38/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 38
Seguridad de los procesos dedesarrollo y soporte
Objetivo: Mantener la seguridad del software y la
información del sistema de aplicación.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 39/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 39
ADMINISTRACIÓN DE LACONTINUIDAD DE LOS NEGOCIOS
Objetivo: Contrarrestar las interrupciones de las
actividades comerciales y proteger los procesos críticos de los negocios delos efectos de fallas significativas odesastres.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 40/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 40
Cumplimiento de requisitos legales Objetivo:
Impedir infracciones y violaciones de las leyes
del derecho civil y penal; de las obligacionesestablecidas por leyes, estatutos, normas,reglamentos o contratos; y de los requisitos deseguridad.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 41/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 41
Revisiones de la política de seguridady la compatibilidad técnica
Objetivo: Garantizar la compatibilidad de los sistemas con
las políticas y estándares (normas) de seguridadde la organización.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 42/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 42
Consideraciones deauditoria de sistemas
Objetivo: Optimizar la eficacia del proceso de auditoría de
sistemas y minimizar los problemas que pudieraocasionar el mismo, o los obstáculos que pudieran afectarlo.
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 43/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 43
Check List
1. Security Policy
Information security policy
2. Organisational Security
Information security infrastructure
3. Asset classification and control
Accountability of assets
4. Personnel security Security in job definition and Resourcing
5. Physical and Environmental Security
Secure Area
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 44/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 44
Check List
1. Communications and Operations Management
Operational Procedure and responsibilities
2. Access Control
Business Requirements for Access Control
3. System development and maintenance
Security requirements of systems
4. Business Continuity Management Aspects of Business Continuity Management
5. Compliance
Compliance with legal requirements
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 45/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 45
Check List
References
Information Security Management, Part2: Specification
for Information security management systems AS/NZS7799.2:2003 BS 7799.2:2002
Information Technology – Code of practice for Information Security Management AS/NZS ISO/IEC17799:2001
8/14/2019 Presentation ISO17799
http://slidepdf.com/reader/full/presentation-iso17799 46/46
May 29, 2008 Prepared by Santiago Díaz Oyarzún 46
Preguntas Finales.
Consultas!!!
Recommended