Implantacion de Un Sgsi Con E-pulpo v1.00

5/21/2018 Implantacion de Un Sgsi Con E-pulpo v1.00

1/25

Implantacin de un SGSI

con e-PULPO


2/25

Implantacin de un SGSI con e-PULPO Pgina 2 de 25

NDICE

1 Introduccin ..................................................................................................... 32 SGSI y normativas ............................................................................................ 4

2.1 La serie 27000 .............................................................................................. 42.1 ISO/IEC 27001 (SGSI) ................................................................................... 52.2 ISO/IEC 27002 ............................................................................................. 62.3 Objetivos de control y controles ...................................................................... 7

3 Implantacin .................................................................................................. 103.1 Porqu implantar un SGSI? ......................................................................... 103.2 Cmo evitar que crezcan las labores que ya deba gestionar el Servicio deSistemas de Informacin? ..................................................................................... 103.3 Cunto tiempo lleva la implantacin de un SGSI? .......................................... 103.4 Cmo dar respuesta a los requisitos sin sobrepasar el presupuesto disponible? . 113.5 Cmo cubrir los requisitos de un SGSI, la Ley Orgnica de Proteccin de Datos deCarcter Personal y el Esquema Nacional de Seguridad sin incurrir en tres gastos? ....... 11

4 Requerimientos de un SGSI ............................................................................ 124.1 Acciones con e-PULPO para un SGSI (ISO 27001) ........................................... 134.2 ANEXO II: Objetivos de control y Controles (ISO 27002) .................................. 19

5

Sobre Ingenia ................................................................................................. 25


3/25


1 IntroduccinUn SGSI es un Sistema de Gestin de Seguridad de la Informacin, en ingls

ISMS Information Security Management System.

El SGSI se basa en un conjunto de polticas orientadas a conseguir y a mantener la

Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad de la

Informacin.

En un servicio informtico que va a implantar un SGSI es importante diferenciar 2

conceptos de seguridad:

- Seguridad Informtica: Orientada en la proteccin de la Infraestructura TICque soporta al negocio.

- Seguridad de la Informacin: Orientada en la proteccin de los activos de lainformacin fundamentales para el negocio.

El estndar de seguridad de la informacin ISO/IEC 27001, detalla los requisitos

para disear, implantar, mantener y mejorar un SGSI, basndose en el ciclo de

Deming Plan-Do-Check-Act (Planificar-Hacer-Revisar-Actuar).


4/25


2 SGSI y normativasLos Sistemas de Gestin de la Seguridad de la Informacin estn asociados a la

normativa ISO/IEC 27001, que es un estndar de seguridad internacionalmente

reconocido y se enmarca dentro de una serie de estndares conocidos como la

familia 27000.

2.1 La serie 27000Esta serie de estndares estn asociados a la seguridad de la informacin.

Se describen a continuacin brevemente el alcance de cada uno:

ISO 27000 = Fundamentos ISO 27001 = Especificaciones de un SGSI (Certificable) ISO 27002 = Cdigo de buenas prcticas ISO 27003 = Gua de implantacin ISO 27004 = Mtricas e Indicadores ISO 27005 = Gua para el Anlisis y Gestin del Riesgo ISO 27006 = Especificaciones para organismos certificadores ISO 27007 = Gua de requisitos para entidades auditora y certificacin


5/25


2.1 ISO/IEC 27001 (SGSI)Es un estndar de seguridad de la informacin. Se public por primera vez en 2005.

Es similar a la normativa espaola UNE 71502.

Marca las especificaciones de un SGSI basado en el ciclo Deming y es un estndar

que puede ser certificado.

La certificacin ISO/IEC 27001 demuestra:

- El cumplimiento de requisitos para la gestin corporativa y la continuidad delnegocio.

- El valor que tiene la seguridad de la informacin para la organizacin debidoal compromiso de la cpula directiva.

- La garanta de controles externos a la propia organizacin.- Que los riesgos de la organizacin estn identificados, evaluados y

controlados.

- El cumplimiento de leyes y normativas que sean de aplicacin.- La mejora continua consecuencia de las revisiones peridicas.


6/25


2.2 ISO/IEC 27002Es el segundo estndar de la serie 27000 y tambin se denomina ISO/IEC 17799.

Describe unas Buenas Prcticas para la gestin de la seguridad de la informacin

tanto en un proceso de implantacin como en su mantenimiento.

Define el concepto de seguridad de la informacin como la preservacin de la

confidencialidad (asegurando que slo quienes estn autorizados pueden acceder a

la informacin), integridad (asegurando que la informacin y sus mtodos de

proceso son exactos y completos) y disponibilidad (asegurando que los usuarios

autorizados tienen acceso a la informacin y a sus activos asociados cuando lo

requieran).

Se estructura en 11 secciones o dominios:

1. Poltica de Seguridad de la Informacin.2. Organizacin de la Seguridad de la Informacin.3. Gestin de Activos de Informacin.4. Seguridad de los Recursos Humanos.5. Seguridad Fsica y Ambiental.6. Gestin de las Comunicaciones y Operaciones.7. Control de Accesos.8. Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin.9. Gestin de Incidentes en la Seguridad de la Informacin.10. Gestin de Continuidad del Negocio.11. Cumplimiento.


7/25


De estos 11 dominios emanan 39 objetivos de control, y de estos emanan un totalde 133 controles. Cada uno tiene asociada una gua de implantacin. Una

organizacin que se adece a este estndar tendr en consideracin cules de

estos les aplican y cules no.

2.3 Objetivos de control y controlesA continuacin se muestran algunos ejemplos de los controles recogidos en la

normativa ISO/IEC 27002:

Gestin de Activoso Responsabilidad sobre los activos

Uso aceptable de los activos

Seguridad ligada a los recursos humanoso Durante el empleo

Proceso disciplinario

Seguridad Fsica y del entornoo reas seguras

Permetro de seguridad fsica Controles fsicos de entrada reas de acceso pblico

Dominioo Objetivo de control

Control


8/25


o Seguridad de los equipos Seguridad del cableado Seguridad de los equipos fuera de las instalaciones

Gestin de comunicaciones y operacioneso Planificacin y aceptacin del sistema

Gestin de capacidades

Aceptacin del sistemao Intercambio de informacin

Acuerdos de intercambio Mensajera electrnica

o Supervisin Registros de auditora Registro de fallos

Control de accesoo Gestin de acceso de usuario

Gestin de privilegios Gestin de contraseas de usuario Revisin de los derechos de acceso de usuario

o Control de acceso a la red Identificacin de los equipos en las redes Segregacin de las redes Control de encaminamiento (routing) de red

o Control de acceso al sistema operativo Procedimientos seguros de inicio de sesin Sistema de gestin de contraseas

o Control de acceso a las aplicaciones y a la informacin


9/25


Restriccin del acceso a la informacin Aislamiento de sistemas sensibles

Adquisicin, desarrollo y mantenimiento de sistemas de informacino Tratamiento correcto de las aplicaciones

Validacin de los datos de entrada Validacin de los datos de salida

oControles criptogrficos

Poltica de uso Gestin de claves

o Seguridad en los procesos de desarrollo y soporte Procedimiento de control de cambios Restricciones a los cambios en el software Fugas de informacin

o Gestin de vulnerabilidades tcnicas Control de las vulnerabilidades

Cumplimientoo Requisitos legales

Identificacin de la legislacin aplicable Proteccin de los documentos de la organizacin Proteccin de datos de carcter personal Prevencin del uso indebido de recursos Regulacin de controles criptogrficos


10/25


3 Implantacin

3.1 Porqu implantar un SGSI?Un SGSI permite dotar y mantener seguridad, sobre la informacin que maneja laorganizacin. Si adems se certifica con el estndar ISO/IEC 27001, ofrece una

ventaja competitiva, tal como se describe en el apartado 2.1.

3.2 Cmo evitar que crezcan las labores que ya deba gestionar elServicio de Sistemas de Informacin?

Mediante la integracin de las labores que se hacen en el servicio de informticabajo un prisma genrico, sin tener como objetivo exclusivo el cumplimiento con una

Ley especfica.

Una vez teniendo la informacin necesaria, sta se explota para dar respuesta a

cualquier requisito: LOPD, ENS, ITIL (ISO 20000), SGSI (ISO 27001), etc.

3.3 Cunto tiempo lleva la implantacin de un SGSI?Como trmino medio lleva entre 6 meses y 1 ao.


11/25


3.4 Cmo dar respuesta a los requisitos sin sobrepasar elpresupuesto disponible?

Haciendo uso de software libre, como recomienda el informe Propuesta de

Recomendaciones a la Administracin General del Estado sobre Utilizacin del

Software Libre y de Fuentes Abiertas, del Consejo Superior de Informtica y para

el Impulso de la Administracin Electrnica (Ministerio de Administraciones

Pblicas, ao 2005).

3.5 Cmo cubrir los requisitos de un SGSI, la Ley Orgnica deProteccin de Datos de Carcter Personal y el Esquema Nacionalde Seguridad sin incurrir en tres gastos?

Utilizando las mismas herramientas para una y otra necesidad, sin recurrir a

herramientas independientes, inconexas, que obliguen a duplicar la informacin y a

duplicar el trabajo.


12/25


4 Requerimientos de un SGSI

Leyenda de colores:

Color Funcin

e-PULPO cumple con los requerimientos.

Los requerimientos no aplican a la finalidad de e-PULPO.

Actualmente e-PULPO no cubre esta funcionalidad, pero la cubrir en siguientes versiones.

Requerimientos que aplican a la propia plataforma de e-PULPO y estn cubiertos.


13/25


4.1 Acciones con e-PULPO para un SGSI (ISO 27001)Apartado Soporte en e-PULPO

4.2.1. Creacin del SGSI Completando previamente el control 7.1.1 (ISO 27002)

a) Elaborar y gestionar el alcance e-PULPO dispone de un mdulo de Gestin Documentalpara gestionar la documentacin del alcance del SGSI.

b) Definir una poltica e-PULPO dispone de un mdulo de Gestin Documentalpara gestionar la documentacin de la poltica del SGSI.

c) Especificar la metodologa de evaluacin de riesgos e-PULPO dispone de un mdulo de Gestin Documentalque permite gestionar los documentos de metodologa yevaluaciones.

d) e) f) g) Anlisis y gestin de riesgos e-PULPO est integrado con PILAR (herramienta para elanlisis de riesgos), permite crear va web activosgenricos en para la valoracin de los procesos denegocio, ubica los activos en capas, grupos y dominios deseguridad, permite la asignacin de clases a los activos,

permite establecer las dependencias entre activos,seleccionar los objetivos de control y valorar lassalvaguardas.

h) i) Aprobar el informe del anlisis de riesgos de PILAR e-PULPO dispone de un mdulo de Gestin Documentalpara gestionar el almacenamiento y aprobacin delanlisis y gestin de riesgos generado con PILAR.


14/25


Apartado Soporte en e-PULPO

j) Declaracin de aplicabilidad e-PULPO est integrado con PILAR (herramienta para elanlisis de riesgos), a travs de la que se elabora el SOA,que luego se almacena en el mdulo de gestin

documental.

4.2.2 Implementacin y operacin del SGSI

a) Plan de tratamiento de riesgos e-PULPO lo tiene cubierto, como se ha indicado para elpunto 4.2.1.d) de la norma.

b) c) Planificar y gestionar el plan de tratamiento deriesgos

e-PULPO permite hacer el seguimiento de las acciones arealizar a travs del mdulo deGestin de Planes deAccin.

d) Definicin de mtricas para evaluar la eficacia de loscontroles

e-PULPO dispone de un mdulo deMtricas y Cuadros deMandoque permite la creacin de mtricas y hacer suseguimiento con alertas.

e) Implementar programas de formacin y concienciacin e-PULPO permite implementar estos programas desde su

mdulo deFormacin y Concienciacin, a travs de unaplataforma de tele formacin.

f) Gestionar la operacin del SGSI La gestin de la operacin la realiza el propio SGSI.

g) Gestionar los recursos del SGSI e-PULPO ayuda a la gestin diaria de los recursos para laseguridad a travs de la planificacin establecida en el


15/25



mdulo deGestin de Planes de Accin(donde sepueden observar las tareas asignadas a cada recurso y sudisponibilidad con diagramas de Gantt) y Gestin deTickets (donde se pueden observar las solicitudes eincidencias que debe resolver cada recurso, y en qumomento est planificado ejecutarlo directamente en elcalendario).

h) Deteccin temprana de eventos de seguridad e-PULPO realiza un seguimiento de las ltimasvulnerabilidades publicadas del software instalado.Adems, gracias a la conexin con AlienVault OSSIM(herramienta SIEM basada en software libre),monitorizamos los sistemas, recibimos alertas yactualizamos en tiempo real el anlisis de riesgos.

4.2.3 Supervisin y revisin del SGSI

a) Procedimientos de supervisin y revisin

1)Detectar errores e-PULPO, gracias a la conexin con AlienVault OSSIM(herramienta SIEM basada en software libre), monitoriza

los sistemas y recibe alertas en caso de cada.

2) Identificar debilidades e-PULPO, gracias a la conexin con AlienVault OSSIM(herramienta SIEM basada en software libre), realizaauditoras (hacking tico) y recibe alertas en caso de


16/25



detectar vulnerabilidades.

b) Gestin de informes de auditora SGSI e-PULPO ofrece la gestin de los informes de auditoradesde su mdulo Gestin Documental.

c) Gestin de actas de reunin, revisin por la Direccin,etc.

e-PULPO permite desde el mdulo Gestin Documentalla gestin de las actas de reunin y gestin de contenidospara que puedan ser revisadas por la direccin.

4.2.4 Mantenimiento y mejora del SGSI No aplica a la funcionalidad de e-PULPO como plataforma.

4.3 Requisitos de la documentacin e-PULPO permite gestionar la documentacin adems deproporcionar a travs de workflows ciclos para la vida decada documento.

5 Responsabilidad de la Direccin

5.2 Gestin de los recursos e-PULPO permite la gestin de los recursos desde losmdulos Gestin de Activos y Tickets yGestin de

Planes de Accin.5.2.1 Provisin de los recursos e-PULPO permite gestionar la provisin de recursos

organizando, identificando y supervisando las accionesdesde el mdulo Gestin de Planes de Accin.

5.2.2 Concienciacin, formacin y capacitacin e-PULPO dispone del mdulo de Formacin yconcienciacinque permite llevar a cabo acciones


17/25



formativas para asegurar que el personal dispone delconocimiento adecuado para llevar a cabo sus tareasasignadas.

6 Auditoras internas del SGSI

a) cumplen los requisitos de esta norma, legislacin ynormativas

e-PULPO, a travs de su conexin con PILAR, permitemedir los niveles de cumplimiento.

b) cumplen los requisitos de seguridad de la informacinidentificados

e-PULPO permite verificar el cumplimiento de losrequisitos que se definan en su mdulo Gestin deCuadros de Mando.

c) se implantan y se mantienen de forma efectiva e-PULPO permite verificar el nivel de implantacindefinidos con mtricas en su mdulo Gestin de Cuadrosde Mando.

d) dan el resultado esperado e-PULPO permite verificar a travs del mduloCuadrosde Mandosi se cumplen las expectativas en los

resultados.7 Revisin del SGSI por la Direccin

7.1 Generalidades e-PULPO permite que la Direccin revise la conveniencia yeficacia del SGSI desde losCuadros de Mandodefinidos.


18/25



7.2 Datos iniciales de la revisin Desde las diferentes funcionalidades de e-PULPO, como elmdulo de Gestin Documental, se pueden gestionar losdatos para las auditorias, comentarios, procedimientos,

tcnicas, estado de las acciones preventivas, yrecomendaciones de mejora.

7.3 Resultados de la revisin e-PULPO permite almacenar los informes resultantes ensuGestor documental.

8 Mejora del SGSI

a) Plan de acciones correctivas a una no conformidad e-PULPO facilita la creacin de tickets sobre accionesdesde su mdulo de Gestin de Activos y Tickets, odesde el mdulo deGestin de planes de accin.

b) Plan de acciones preventivas a una no conformidad e-PULPO facilita la creacin de tickets sobre accionesdesde su mdulo de Gestin de Activos yTickets.

c) Gestionar los planes de acciones correctivas ypreventivas

e-PULPO permite el seguimiento as como la notificacinautomtica para el seguimiento de las acciones desde sumdulo de Gestin de Activos y Tickets.


19/25


4.2 ANEXO II: Objetivos de control y Controles (ISO 27002)Apartado Soporte en e-PULPO

5 Poltica de seguridad

5.1 Poltica de seguridad de la informacin e-PULPO permite la revisin del documento de poltica deseguridad.

6 Aspectos organizativos de la seguridad de la informacin

6.1 Organizacin interna e-PULPO se puede utilizar como apoyo, aunque loscompromisos, coordinacin y asignacin deresponsabilidades dependen de la organizacin.

6.2 Relaciones con terceros e-PULPO se utiliza para la identificacin de riesgosderivados de las relaciones con terceros.

7 Gestin de activos

7.1 Responsabilidad sobre los activos Permite inventariar activos y asignarles propietarios.7.2 Clasificacin de la informacin Permite la clasificacin de los activos.

8 Seguridad relacionada con los recursos humanos

8.1 Previa a la contratacin Permite gestionar la documentacin de contratacin as


20/25



como la asociacin a perfiles y/o funciones.

8.2 Mientras dure la contratacin e-PULPO dispone de un mdulo para la Formacin yConcienciacin.

8.3 Fin de la contratacin o cambio de puesto de trabajo e-PULPO permite asociar activos a personas facilitando deeste modo la gestin ante cambios en la contratacin.

9 Seguridad fsica y del entorno

9.1 reas seguras e-PULPO permite tratar las reas seguras como activos dela organizacin.

9.2 Seguridad del equipamiento e-PULPO facilita la seguridad de equipos clientes yservidores.

10 Gestin de comunicaciones y operaciones

10.1 Responsabilidades y procedimientos de operacin e-PULPO gestiona la documentacin, as como la gestin

del cambio y segregacin de tareas.10.2 Gestin de servicios prestados por terceros A travs del mdulo de gestin de activos pueden verse

claramente las relaciones con terceros, adems del usodel mdulo de mtricas e indicadores.

10.3 Planificacin y aceptacin de sistemas El mdulo Gestin de Proyectos cumple con este


21/25



requerimiento.

10.4 Proteccin frente a cdigo daino/descargable No aplica a la funcionalidad de e-PULPO como plataforma.

10.5 Copias de seguridad e-PULPO dispone de mecanismos propios de backup.

10.6 Gestin de la seguridad de las redes e-PULPO a travs del mdulo OSSIM se integra con estaherramienta que permite aumentar la seguridad en redes.

10.7 Tratamiento de soportes de informacin e-PULPO permite la gestion de los soportes de informacincomo un activos de la organizacin, relacionado con otrosy con una valoracion asociada a su criticidad.

10.8 Intercambios de informacin No aplica a la funcionalidad de e-PULPO como plataforma.

10.9 Servicios de comercio electrnico No aplica a la funcionalidad de e-PULPO como plataforma.

10.10 Supervisin A travs del mdulo OSSIM que integra a e-PULPO sepuede gestionar los registros para auditoras,

administracin, operacin y anlisis de fallos.11 Control de acceso

11.1 Requisitos del control de acceso e-PULPO permite que la poltica de seguridad se gestionedesde el mdulo de gestin documental.


22/25



11.2 Gestin de usuarios e-PULPO tiene gestin propia sobre los usuarios yasignacin de privilegios a travs de perfiles.

11.3 Responsabilidades de los usuarios e-PULPO dispone de un mdulo de Formacin yConcienciacin para difundir las responsabilidades.

11.4 Control de acceso a la red No aplica a la funcionalidad de e-PULPO como plataforma.

11.5 Control del acceso a sistemas en operacin No aplica a la funcionalidad de e-PULPO como plataforma.

11.6 Control de acceso a datos y aplicaciones No aplica a la funcionalidad de e-PULPO como plataforma.

11.7 Equipos mviles y tele-trabajo e-PULPO permite la gestion de equipos moviles comoactivos del sistema.

12 Adquisicin, desarrollo y mantenimiento de los sistemasde informacin

12.1 Requisitos de seguridad Ofrece los resultados de un anlisis de seguridad

permitiendo la modificacin de procedimientos para lograrel cumplimiento de requisitos.

12.2 Garantas de procesamiento de informacin e-PULPO como plataforma realiza validacin de los datosde entrada.

12.3 Controles criptogrficos e-PULPO gestiona las claves de sus propios usuarios.


23/25



12.4 Seguridad de los archivos del sistema e-PULPO protege los la informacin con trata y procesa.

12.5 Seguridad en los procesos de desarrollo y soporte e-PULPO permite realizar procedimientos de control de

cambios desde el mdulo de Gestin de Activos y Tickets.

12.6 Gestin de vulnerabilidades e-PULPO permite monitorizar y gestionar vulnerabilidadesen el software de forma nativa usando fuentes RSSfiltradas segn el software en uso. A travs del MduloOSSIM se integra para poder gestionar ademsvulnerabilidades tcnicas.

13 Gestin de incidentes de seguridad de informacin

13.1 Comunicacin de incidencias y debilidades La gestin de tickets permite el aviso por e-Mail paracomunicar las incidencias detectadas.

13.2 Gestin de incidentes y mejoras El ciclo del sistema de "ticketing" permitir gestionar talesincidencias.

14 Gestin de la continuidad del negocio

14.1 Seguridad de la informacin en relacin a la gestinde la continuidad

e-PULPO permite realizar un anlisis de impacto parareforzar la continuidad del negocio. Mediante inteligenciaartificial es capaz de generar planes de recuperacin antedesastres automticos.


24/25



15 Cumplimiento

15.1 Satisfaccin de requisitos legales e-PULPO protege los documentos de la organizacin, su

privacidad e incluso evita el uso indebido de los mismos.Ofrece la gestin de los requisitos de la LOPD, as comoauditora de dicho cumplimiento usando para ello el perfilcorrespondiente en PILAR.

15.2 Cumplimiento de polticas, normas y reglamentostcnicos

e-PULPO es una herramienta de apoyo, pero lasupervisin debe realizarla la organizacin.

15.3 Consideraciones sobre auditora de los sistemas deinformacin

e-PULPO se puede utilizar para realizar una auditora delcumplimiento. Mediante el Mdulo OSSIM es capaz derealizar pruebas de hacking tico.


25/25


5 Sobre IngeniaIngenia es una empresa de servicios en Tecnologas de la Informacin,

Comunicaciones e Internet, fundada en 1992 y localizada en el Parque Tecnolgico

de Andaluca, siendo sus socios Unicaja, MP Sistemas y Promlaga.

Actualmente tiene presencia en Mlaga, Sevilla, Madrid y Barcelona, con

delegaciones comerciales en Mxico, Argentina y Jordania y una marcada

experiencia profesional en proyectos europeos y en el norte de frica.

La experiencia de dieciocho aos que nos avala nos ha permitido diversificar

nuestras soluciones y servicios, consiguiendo de este modo un amplio catlogo que

nos permite acercar la tecnologa, innovacin, experiencia y resultados a las

necesidades de nuestros clientes.

Reconocida por su capacidad e implicacin en sus proyectos, Ingenia ha colaborado

a lo largo de su trayectoria con una lista de ms de mil clientes pertenecientes

tanto al sector pblico como al privado, as como hospitales, universidades,

fundaciones, etc., aportndoles valor con soluciones y servicios a medida. Para ello

cuenta con un equipo multidisciplinar y profesional para garantizar siempre el mejor

servicio. Nuestro objetivo es satisfacer a nuestros clientes. Por ello en Ingenia

estudiamos cuidadosamente las soluciones a implementar para conseguir los

mejores resultados.

Ms informacin enwww.ingenia.esywww.e-pulpo.es
http://www.ingenia.es/http://www.ingenia.es/http://www.ingenia.es/http://www.e-pulpo.es/http://www.e-pulpo.es/http://www.e-pulpo.es/http://www.e-pulpo.es/http://www.ingenia.es/

Implantacion de Un Sgsi Con E-pulpo v1.00

Documents

Transcript of Implantacion de Un Sgsi Con E-pulpo v1.00