Políticas de Seguridad de TI ISO 27002-2005

CIT

Consulting Information Technology All rights reserved CIT

Porqué Obtener un Manual de

Seguridad de TI

Qué es un SGSI

Modelo de Gestión de la Seguridad

Diagrama de la Norma ISO/IEC 17799

Estructura del Manual de Políticas

Metodología PDCA

Entregables

Beneficios

Organización

Estrategia BIA

Estrategia DRP

Objetivo

Manual de Políticas de Seguridad de TI

CONTENIDO

CIT

Consulting Information Technology CIT

¿Qué es un SGSI?

Es un Sistema de Gestión de la

Seguridad de la Información.

Es un modelo de Gestión para la mejora

continua de la calidad de la seguridad

de la información.

o Realiza un análisis de riesgos.

o Define Políticas de Seguridad.

o Establece Controles.

o Utiliza el estándar certificable ISO/IEC

27002:2005.

o Acepta auditoría en 4 niveles:

Seguridad organizativa, Seguridad

lógica, Seguridad física y Seguridad

legal.

CIT


Modelo de gestión de la seguridad, ISO 17799 :

Administración de seguridad de la información P

olítica d

e s

egu

rida

d

(1 O

bje

tivo, 2 C

ontr

ole

s)

Estructura organizativa (2 Objetivo, 11 Controles)

Clasificación de activos (2 Objetivo, 5 Controles)

Seguridad del personal (3 Objetivo, 9 Controles)

Seguridad física (2 Objetivo, 13 Controles)

Conformidad legal (3 Objetivo, 10 Controles)

Com

unic

acio

nes

Y o

pera

cio

nes

(10

Ob

jetivo

, 3

0 C

on

tro

les)

Contr

ol de a

cceso

(7

Obje

tivo, 25 C

ontr

ole

s)

Mante

nim

iento

De s

iste

mas

(5 O

bje

tivo, 18 C

ontr

ole

s)

Pla

n d

e C

ontin

uid

ad d

e N

egocio

(1

Ob

jetiv

o, 5

Co

ntro

les)

Gestión d

e incid

ente

s

(2

Ob

jetivo

, 5

Co

ntr

ole

s)

CIT


Diagrama de la Norma

ISO 17999

Política de Seguridad

Organización de la

Seguridad de la información

Gestión de activos Control de accesos

conformidad

Seguridad en los

Recursos Humanos

Seguridad física y del

entorno

Gestión de

Incidentes de seg.

de la información

Gestión de la

Continuidad del

negocio

Gestión de

comunicaciones

y operaciones

Adquisición, desarrollo y

mantenimiento de

sistemas de información

Seguridad organizativa

Seguridad lógica

Seguridad física

Seguridad legal

CIT


ISO/IEC 27002: 2005 Sección 5: Política de seguridad

Política de seguridad

de la información

Documento

de política

Revisión

de la política

Trata de que se

disponga de una

normativa común de

seguridad que regule

las líneas maestras

sobre como va a

trabajar toda la

organización

CIT


ISO/IEC 27002:2005

Sección 6: Aspectos Organizativos de la

Seguridad de la Información

Organización Interna Seguridad en

accesos de

Terceras partes

Identificación de

riesgos en el acceso

de terceros

Tratamiento de seguridad

En relación con los clientes

Tratamiento de seguridad

En contratos con terceros

Establece la estructura

organizativa (terceros,

responsables, comités,

colaboraciones, etc.) y su

funcionamiento de cara a

gestionar la seguridad de la

información

Compromiso de la

Dirección

Coordinación de la Seg

Responsables de

Seguridad

Autorización para

procesar la información

Acuerdo confidencialidad

Contacto autoridades

Grupo especial de interés

Revisión independiente

De la seguridad de la

información

CIT


ISO/IEC 27002:2005

Sección 7: Clasificación y control de activos

Responsabilidades

sobre los activos

Inventario de

activos

Clasificación

de la información

Directrices de

clasificación

Etiquetado y

manipulado de la

información

Incorpora las herramientas para

establecer qué debe ser protegido,

qué nivel de protección requiere y

quién es el responsable principal

de su protección Propiedad de

los activos

Uso aceptable de

los activos

CIT


ISO/IEC 27002:2005

Sección 8: Seguridad relacionada con el personal

Seguridad antes

del empleo

Funciones y

responsabilidades

Investigación de

antecedentes

Términos y

condiciones

Durante el

empleo

Responsabilidades

de la

dirección

Cese del empleo

cambio de puesto

Responsabilidad del

cese o cambio

Devolución de activos

Retiro de los derechos

de acceso

Establece las medidas de seguridad que se van

a tomar con el personal, ya que finalmente son

estos los que van a utilizar los sistemas y la

información

Concienciación,

formación

y capacitación

Procesos

disciplinarios

CIT


ISO/IEC 27002:2005 Sección 9: Seguridad física y del entorno

Áreas seguras

de información

Perímetro de

Seguridad física

Controles físicos

de entrada

Seguridad oficinas,

despachos e insta.

Protección amenazas

Externas de

origen ambiental

Seguridad de los

Equipos

Emplazamiento y

Protección equipos

Instalaciones

suministros

Seguridad cableado

Mantenimiento

de equipos

Seguridad equipos

fuera de la oficina

Zonas de carga

y descarga

Retirada de materiales

Propiedad de la

empresa

Incluye las medidas de

seguridad física (edificios,

salas, cableado, armarios,

etc.) que se deben tomar para

proteger los sistemas y la

información

Trabajo en

áreas seguras

Reutilización o ret.

Segura de equipo

CIT


ISO/IEC 27002:2005 Sección 10: Gestión de comunicaciones y operaciones

Procedimientos y

responsabilidades

Segregación de

tareas y

responsabilidades

Separación de

Ambientes (desarrollo,

Prueba y operación)

Provisión servicios

por terceros

Provisión de servicios

Supervisión y revisión

Servicios por terceros

Planificación y

Aceptación del sist.

Gestión de

capacidades

Protección código

Malicioso y descargable

Control contra código

malicioso.

Control contra código

Descargado por el

cliente

Determina las medidas de

seguridad que la organización

debe contemplar en sus

operaciones y en el uso de las

comunicaciones

Gestión de cambios

Servicios prestado

por terceros

Aceptación del

Sistema

Control de cambios

operacionales

Procedimientos de

operaciones escritos

CIT



Copias de seguridad

Copias de seguridad de

La información

Manipulación

de los soportes

Gestión de soportes

extraíbles

Retirada de soportes

Soportes físicos

en transito

Intercambio de

información

Políticas y

procedimiento

Intercambio de informac.

Acuerdos de cambio

Determina las medidas de

seguridad que la organización

debe contemplar en sus

operaciones y en el uso de las

comunicaciones

Procedimientos de

Manipulación de la info.

Mensajería

Electrónica

Seguridad de

Redes

Controles de red

Seguridad de los

Servicios de red

Seguridad de la

Documentación del sist.

Sistemas de información

empresariales

CIT



Supervisión

Registro de

Auditorias

Supervisión uso del

sistema

Protección de la

Información registros

Registros administración

y operación

Registro de fallos

Sincronización de reloj

Servicios de

Comercio electrónico

Comercio electrónico

Transacciones en línea

Información pública

CIT


ISO/IEC 27002:2005 Sección 11: Control de acceso

Requisitos de negocio

para control de acceso

Política control

acceso

Responsabilidad

usuarios

Uso de

passwords

Equipos

desatendidos

Gestión de

Acceso usuarios

Registro

Privilegios

Revisión

Derechos

Passwords

Control de

Acceso a la red

Política

Routing

Identificación de

equipos de red

Diagnostico remoto

Protección puertos

configuración

Segregación de

redes

Segregación

de redes

Control de

conexión

Control de

routing

Establece las medidas de

control de acceso a la

información a los distintos

niveles en los que se

puede plantear

Puesto de trabajo

despejado y

pantalla limpia

CIT


ISO/IEC 27002:2005 Sección 11: Control de acceso

Sistema gestión

contraseña

Uso recursos del

sistema

Desconexión

Automática de sesión

Limitación tiempo

conexión

Control de acceso

al SO

Procedimiento seguro

de inicio de sesión

Identificación y

Autenticación usuario

Control acceso

a aplicaciones y a la

información

Restricción

de acceso

Aislamiento

de sistemas sensibles

Ordenadores portátiles

y teletrabajo

Informática

móvil

Teletrabajo

CIT


ISO/IEC 27002:2005 Sección 12: Adquisición, desarrollo y mantenimiento

de los sistemas de información

Requisitos

de seguridad de sistemas

de información

Análisis y

especificaciones

Seguridad de los

Archivo del sistema

Tratamiento correcto

de las aplicaciones

Validación de

Datos de entrada

Control software

en explotación

Protección

datos prueba

Control

Código fuente

Control proceso

interno

Integridad de

los mensajes

Validación de los

datos de salida

Controles

criptográficos

Política de

criptografía

Gestión claves

Seguridad

Desarrollo y

soporte

Control de

cambios

Revisión técnica de

Aplicaciones tras

cambios SO

Restricción de

Cambios software

Fugas de

información

Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de

sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones

Desarrollo

externalizado

Vulnerabilidad

técnica

Control de

vulnerabilidades

CIT


ISO/IEC 27002:2005 Sección 13: Gestión de incidentes en la seguridad de la

información

Notificación eventos y puntos

Débiles de la seguridad

de la información

Notificación eventos

Notificación puntos

Débiles de la seguridad

Incidentes de seguridad

de la información y

mejoras

Responsabilidades y

Procedimientos

Aprendizaje de los

Incidentes de seguridad

Recopilación de

evidencias

Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de

sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones

CIT


ISO/IEC 27002:2005 Sección 14: Gestión de la continuidad del negocio

Seguridad de la información

en la gestión del negocio

Inclusión de la seguridad

de la información en

el proceso de gestión de

continuidad del negocio

Continuidad del negocio

y evaluación de riesgos

Desarrollo e implantación

de planes de continuidad

que incluyan seguridad de

la información

Marco de referencia para la

Planificación de la continuidad

del negocio

Pruebas, mantenimiento y

Reevaluación de planes de

continuidad

CIT


ISO/IEC 27002:2005 Sección 15: Cumplimiento

Cumplimiento de los

Requisitos legales

Identificación de la

Legislación aplicable

Derechos propiedad

Intelectual (DPI)

Protección documentos

de la organización

Protección datos y

Privacidad información

personal

Cumplimiento de las

Políticas y normas de seguridad

y cumplimiento técnico

Cumplimiento de las políticas

y normas de seguridad

Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al

desarrollo de los aplicativos que utiliza en sus operaciones

Consideraciones de las

Auditorías de los

Sistemas de información

Protección de las herramientas

de auditoria de los sistemas de

información

Prevención uso indebido

De los recursos tratamiento

de la información

Regulación de los controles

criptográficos

Comprobación del

Cumplimiento técnico

Control de Auditoría

de los sistemas de información

CIT


Estructura Manual de Políticas de

Seguridad de TI I. PRESENTACIÓN

II. OBJETIVO

III. MISIÓN

IV. VISIÓN

V. SEGURIDAD ORGANIZACIONAL

A. Organización Interna

A.1. Coordinación de Seguridad de la Información

B. Seguridad de Accesos a Terceros

B.1. Identificación de riesgos derivados del acceso a terceros

B.2. Tratamiento de seguridad en el contrato de terceros

VI. GESTION DE ACTIVOS

A. Responsabilidad sobre los Activos

A.1. Inventario de Activos

VII. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS

A. Antes del empleo

A.1. Términos y condiciones de contratación

B. Durante el empleo

B.1. Reglamento interno

C. Cese del empleo

C.1. Devolución de activos

VIII. SEGURIDAD FÍSICA Y DEL ENTORNO

A. Áreas seguras

A.1. Perímetros de seguridad física

A.2. Controles físicos de entrada

A.3. Seguridad del cuarto de servidores

A.4. Control físico de proveedores

CIT



Seguridad de TI

VIII. SEGURIDAD FÍSICA Y DEL ENTORNO

B. Seguridad del equipo

B.1. Emplazamiento y protección de equipos

B.2. Baterías

B.3. Mantenimiento de los equipos

B.4. Seguridad del equipo fuera de la empresa

B.5. Disposición de seguridad de equipos para nuevos usuarios

B.6. Préstamos temporales de equipos

IX: GESTION DE COMUNICACIONES Y OPERACIONES

A. Gestión de cambios

A.1. Cambios urgentes a base de datos y aplicaciones en ambiente de producción

A.2. Cambios planeados al sistema y actualización de versiones

B. Protección contra código malicioso y descargable

B.1. Control de seguridad antivirus

C. Copias de Seguridad C.1. Respaldo de servidores en los ambientes de producción

C.2. Respaldo del servidor de correo electrónico

C.3. Administración de dispositivos de respaldo

C.4. Administración de dispositivos que ya no son requeridos

C.5. Almacenamiento de información

C.6. Control de acceso a la información

CIT



Seguridad de TI E. Intercambio de Información

E.1. Uso del correo electrónico

E.2. Uso del Internet

E.3. Políticas de privacidad

E.4. Acuerdos de intercambio

X. CONTROL DE ACCESO

A. Requerimientos para el control de acceso

A.1. Política de control de acceso

A.1.1. Acceso a los servidores

A.1.2. Acceso al servicio de intranet

A.1.3. Acceso al servicio de internet y correo electrónico

A.2. Registro de usuario

A.2.1. Autenticación de usuarios en servidores de bases de datos en el ambiente de

producción

A.2.2. Autenticación global de usuarios en servidores dbf en ambiente de producción

A.3. Gestión de privilegios

A.3. 1.Administración de privilegios en servidores de bases de datos y aplicaciones

en ambiente de producción

A.3.2. Cuentas de usuarios bloqueadas

A.4. Gestión de contraseñas de usuarios

A.4.1. Administración de claves de usuario en base de datos en ambiente de

producción

B. Responsabilidades del Usuario

B.1. Uso de las contraseñas

CIT



Seguridad de TI

C. Control de acceso a la red

C.1. Políticas de uso de los servicios en red

C.2. Delimitación de los servicios permitidos y puertos

C.3. Autenticación de usuarios para conexione externas

C.4. Segregación de las redes

XI. ADQUISICION, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACION

A. Tratamiento correcto de las Aplicaciones

A.1. Validación de datos de entrada

A.2. Control de procesos internos

A.3. Validación de datos de salida

B. Controles criptográficos

B.1. Políticas de uso de cifrado

C. Seguridad de los archivos de sistema

C.1. Administración en el ambiente de desarrollo

C.2. Protección de los datos de prueba del sistema

C.3. Administración en el ambiente de capacitación

C.4. Administración en el ambiente de producción

D. Seguridad en los procesos de desarrollo y soporte

D.1. Procedimientos de control de cambios

XII. GESTION DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACION

A. Notificación de eventos y puntos débiles en la seguridad de información B.1. Atención y escalamiento a solicitudes de usuario

B.2. Atención a solicitudes sobre sistemas de información

B.3. Soporte técnico a usuarios

CIT



Seguridad de TI

B.2. Atención a solicitudes sobre sistemas de información

B.3. Soporte técnico a usuarios

XIII. GESTION DE LA CONTINUIDAD DEL NEGOCIO

A.1. Continuidad del Negocio y Evaluación de riesgos

A.2. Desarrollo e implantación de planes de continuidad que

incluyan la seguridad de la información.

A.3. Marco de referencia para la planificiación de la continuidad

del negocio.

A.4. Pruebas, mantenimiento y reevaluación de planes de continuidad.

XIV. CUMPLIMIENTO

A.1. Cumplimiento de las políticas y normas de seguridad.

A.2. Controles de auditoría de los sistemas de información.

XIV. ANEXOS

CIT


Metodología PDCA (Plan + Do +

Check + Act)

PLANIFICAR

o Políticas de Seguridad

o Alcance de un SGSI

o Análisis de riesgos

o Selección de controles HACER

o Implantación del

SGSI

o Implantación de

controles

ACTUAR

o Acciones correctivas

o Acciones preventivas

VERIFICAR

o Auditoría interna del

SGSI

CIT


Políticas de Seguridad de TI

Obtención de un documento de Políticas de Seguridad

soportado bajo estándar internacional

Obtención de un Sistema de Gestión auditable en los 4

niveles de seguridad (Seguridad Organizativa, Lógica,

Física y Legal)

Adquisición de un Audit Checklist de SANS, que

permite auditar los controles y establecer un marco de

referencia

ENTREGABLES

CIT


Políticas de Seguridad de TI

Disminución de Impactos en las incidencias de

seguridad como: Pérdidas financieras, Litigios

laborales por uso inadecuado de la Información,

Pérdida de clientes y cuotas de mercado, Daño de

imagen, Interrupción de las actividades de la empresa.

Optimización la Organización, Planificación y Control

de la Seguridad de Información de la compañía.

Mejora en la Calidad de los servicios, aumento de la

eficiencia operativa, incremento en la productividad.

BENEFICIOS

CIT


Soportes del Manual de Políticas de

Seguridad de TI

ISO/IEC 17799

:2005

■ ISO/IEC 27002

:2005

■

CIT


La Seguridad es un proceso,

No un producto

¿Preguntas? A

po

yo

gere

ncia

l

Necesitamos la

artillería correcta Equipo Sólido

Alianzas

Estratégicas

Gracias …

Políticas de Seguridad de TI ISO 27002-2005

Documents

Transcript of Políticas de Seguridad de TI ISO 27002-2005