CIT
Consulting Information Technology All rights reserved CIT
Porqué Obtener un Manual de
Seguridad de TI
Qué es un SGSI
Modelo de Gestión de la Seguridad
Diagrama de la Norma ISO/IEC 17799
Estructura del Manual de Políticas
Metodología PDCA
Entregables
Beneficios
Organización
Estrategia BIA
Estrategia DRP
Objetivo
Manual de Políticas de Seguridad de TI
CONTENIDO
CIT
Consulting Information Technology CIT
¿Qué es un SGSI?
Es un Sistema de Gestión de la
Seguridad de la Información.
Es un modelo de Gestión para la mejora
continua de la calidad de la seguridad
de la información.
o Realiza un análisis de riesgos.
o Define Políticas de Seguridad.
o Establece Controles.
o Utiliza el estándar certificable ISO/IEC
27002:2005.
o Acepta auditoría en 4 niveles:
Seguridad organizativa, Seguridad
lógica, Seguridad física y Seguridad
legal.
CIT
Consulting Information Technology CIT
Modelo de gestión de la seguridad, ISO 17799 :
Administración de seguridad de la información P
olítica d
e s
egu
rida
d
(1 O
bje
tivo, 2 C
ontr
ole
s)
Estructura organizativa (2 Objetivo, 11 Controles)
Clasificación de activos (2 Objetivo, 5 Controles)
Seguridad del personal (3 Objetivo, 9 Controles)
Seguridad física (2 Objetivo, 13 Controles)
Conformidad legal (3 Objetivo, 10 Controles)
Com
unic
acio
nes
Y o
pera
cio
nes
(10
Ob
jetivo
, 3
0 C
on
tro
les)
Contr
ol de a
cceso
(7
Obje
tivo, 25 C
ontr
ole
s)
Mante
nim
iento
De s
iste
mas
(5 O
bje
tivo, 18 C
ontr
ole
s)
Pla
n d
e C
ontin
uid
ad d
e N
egocio
(1
Ob
jetiv
o, 5
Co
ntro
les)
Gestión d
e incid
ente
s
(2
Ob
jetivo
, 5
Co
ntr
ole
s)
CIT
Consulting Information Technology CIT
Diagrama de la Norma
ISO 17999
Política de Seguridad
Organización de la
Seguridad de la información
Gestión de activos Control de accesos
conformidad
Seguridad en los
Recursos Humanos
Seguridad física y del
entorno
Gestión de
Incidentes de seg.
de la información
Gestión de la
Continuidad del
negocio
Gestión de
comunicaciones
y operaciones
Adquisición, desarrollo y
mantenimiento de
sistemas de información
Seguridad organizativa
Seguridad lógica
Seguridad física
Seguridad legal
CIT
Consulting Information Technology CIT
ISO/IEC 27002: 2005 Sección 5: Política de seguridad
Política de seguridad
de la información
Documento
de política
Revisión
de la política
Trata de que se
disponga de una
normativa común de
seguridad que regule
las líneas maestras
sobre como va a
trabajar toda la
organización
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005
Sección 6: Aspectos Organizativos de la
Seguridad de la Información
Organización Interna Seguridad en
accesos de
Terceras partes
Identificación de
riesgos en el acceso
de terceros
Tratamiento de seguridad
En relación con los clientes
Tratamiento de seguridad
En contratos con terceros
Establece la estructura
organizativa (terceros,
responsables, comités,
colaboraciones, etc.) y su
funcionamiento de cara a
gestionar la seguridad de la
información
Compromiso de la
Dirección
Coordinación de la Seg
Responsables de
Seguridad
Autorización para
procesar la información
Acuerdo confidencialidad
Contacto autoridades
Grupo especial de interés
Revisión independiente
De la seguridad de la
información
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005
Sección 7: Clasificación y control de activos
Responsabilidades
sobre los activos
Inventario de
activos
Clasificación
de la información
Directrices de
clasificación
Etiquetado y
manipulado de la
información
Incorpora las herramientas para
establecer qué debe ser protegido,
qué nivel de protección requiere y
quién es el responsable principal
de su protección Propiedad de
los activos
Uso aceptable de
los activos
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005
Sección 8: Seguridad relacionada con el personal
Seguridad antes
del empleo
Funciones y
responsabilidades
Investigación de
antecedentes
Términos y
condiciones
Durante el
empleo
Responsabilidades
de la
dirección
Cese del empleo
cambio de puesto
Responsabilidad del
cese o cambio
Devolución de activos
Retiro de los derechos
de acceso
Establece las medidas de seguridad que se van
a tomar con el personal, ya que finalmente son
estos los que van a utilizar los sistemas y la
información
Concienciación,
formación
y capacitación
Procesos
disciplinarios
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 9: Seguridad física y del entorno
Áreas seguras
de información
Perímetro de
Seguridad física
Controles físicos
de entrada
Seguridad oficinas,
despachos e insta.
Protección amenazas
Externas de
origen ambiental
Seguridad de los
Equipos
Emplazamiento y
Protección equipos
Instalaciones
suministros
Seguridad cableado
Mantenimiento
de equipos
Seguridad equipos
fuera de la oficina
Zonas de carga
y descarga
Retirada de materiales
Propiedad de la
empresa
Incluye las medidas de
seguridad física (edificios,
salas, cableado, armarios,
etc.) que se deben tomar para
proteger los sistemas y la
información
Trabajo en
áreas seguras
Reutilización o ret.
Segura de equipo
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 10: Gestión de comunicaciones y operaciones
Procedimientos y
responsabilidades
Segregación de
tareas y
responsabilidades
Separación de
Ambientes (desarrollo,
Prueba y operación)
Provisión servicios
por terceros
Provisión de servicios
Supervisión y revisión
Servicios por terceros
Planificación y
Aceptación del sist.
Gestión de
capacidades
Protección código
Malicioso y descargable
Control contra código
malicioso.
Control contra código
Descargado por el
cliente
Determina las medidas de
seguridad que la organización
debe contemplar en sus
operaciones y en el uso de las
comunicaciones
Gestión de cambios
Servicios prestado
por terceros
Aceptación del
Sistema
Control de cambios
operacionales
Procedimientos de
operaciones escritos
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 10: Gestión de comunicaciones y operaciones
Copias de seguridad
Copias de seguridad de
La información
Manipulación
de los soportes
Gestión de soportes
extraíbles
Retirada de soportes
Soportes físicos
en transito
Intercambio de
información
Políticas y
procedimiento
Intercambio de informac.
Acuerdos de cambio
Determina las medidas de
seguridad que la organización
debe contemplar en sus
operaciones y en el uso de las
comunicaciones
Procedimientos de
Manipulación de la info.
Mensajería
Electrónica
Seguridad de
Redes
Controles de red
Seguridad de los
Servicios de red
Seguridad de la
Documentación del sist.
Sistemas de información
empresariales
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 10: Gestión de comunicaciones y operaciones
Supervisión
Registro de
Auditorias
Supervisión uso del
sistema
Protección de la
Información registros
Registros administración
y operación
Registro de fallos
Sincronización de reloj
Servicios de
Comercio electrónico
Comercio electrónico
Transacciones en línea
Información pública
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 11: Control de acceso
Requisitos de negocio
para control de acceso
Política control
acceso
Responsabilidad
usuarios
Uso de
passwords
Equipos
desatendidos
Gestión de
Acceso usuarios
Registro
Privilegios
Revisión
Derechos
Passwords
Control de
Acceso a la red
Política
Routing
Identificación de
equipos de red
Diagnostico remoto
Protección puertos
configuración
Segregación de
redes
Segregación
de redes
Control de
conexión
Control de
routing
Establece las medidas de
control de acceso a la
información a los distintos
niveles en los que se
puede plantear
Puesto de trabajo
despejado y
pantalla limpia
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 11: Control de acceso
Sistema gestión
contraseña
Uso recursos del
sistema
Desconexión
Automática de sesión
Limitación tiempo
conexión
Control de acceso
al SO
Procedimiento seguro
de inicio de sesión
Identificación y
Autenticación usuario
Control acceso
a aplicaciones y a la
información
Restricción
de acceso
Aislamiento
de sistemas sensibles
Ordenadores portátiles
y teletrabajo
Informática
móvil
Teletrabajo
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 12: Adquisición, desarrollo y mantenimiento
de los sistemas de información
Requisitos
de seguridad de sistemas
de información
Análisis y
especificaciones
Seguridad de los
Archivo del sistema
Tratamiento correcto
de las aplicaciones
Validación de
Datos de entrada
Control software
en explotación
Protección
datos prueba
Control
Código fuente
Control proceso
interno
Integridad de
los mensajes
Validación de los
datos de salida
Controles
criptográficos
Política de
criptografía
Gestión claves
Seguridad
Desarrollo y
soporte
Control de
cambios
Revisión técnica de
Aplicaciones tras
cambios SO
Restricción de
Cambios software
Fugas de
información
Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de
sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones
Desarrollo
externalizado
Vulnerabilidad
técnica
Control de
vulnerabilidades
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 13: Gestión de incidentes en la seguridad de la
información
Notificación eventos y puntos
Débiles de la seguridad
de la información
Notificación eventos
Notificación puntos
Débiles de la seguridad
Incidentes de seguridad
de la información y
mejoras
Responsabilidades y
Procedimientos
Aprendizaje de los
Incidentes de seguridad
Recopilación de
evidencias
Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de
sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 14: Gestión de la continuidad del negocio
Seguridad de la información
en la gestión del negocio
Inclusión de la seguridad
de la información en
el proceso de gestión de
continuidad del negocio
Continuidad del negocio
y evaluación de riesgos
Desarrollo e implantación
de planes de continuidad
que incluyan seguridad de
la información
Marco de referencia para la
Planificación de la continuidad
del negocio
Pruebas, mantenimiento y
Reevaluación de planes de
continuidad
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005 Sección 15: Cumplimiento
Cumplimiento de los
Requisitos legales
Identificación de la
Legislación aplicable
Derechos propiedad
Intelectual (DPI)
Protección documentos
de la organización
Protección datos y
Privacidad información
personal
Cumplimiento de las
Políticas y normas de seguridad
y cumplimiento técnico
Cumplimiento de las políticas
y normas de seguridad
Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al
desarrollo de los aplicativos que utiliza en sus operaciones
Consideraciones de las
Auditorías de los
Sistemas de información
Protección de las herramientas
de auditoria de los sistemas de
información
Prevención uso indebido
De los recursos tratamiento
de la información
Regulación de los controles
criptográficos
Comprobación del
Cumplimiento técnico
Control de Auditoría
de los sistemas de información
CIT
Consulting Information Technology CIT
Estructura Manual de Políticas de
Seguridad de TI I. PRESENTACIÓN
II. OBJETIVO
III. MISIÓN
IV. VISIÓN
V. SEGURIDAD ORGANIZACIONAL
A. Organización Interna
A.1. Coordinación de Seguridad de la Información
B. Seguridad de Accesos a Terceros
B.1. Identificación de riesgos derivados del acceso a terceros
B.2. Tratamiento de seguridad en el contrato de terceros
VI. GESTION DE ACTIVOS
A. Responsabilidad sobre los Activos
A.1. Inventario de Activos
VII. SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
A. Antes del empleo
A.1. Términos y condiciones de contratación
B. Durante el empleo
B.1. Reglamento interno
C. Cese del empleo
C.1. Devolución de activos
VIII. SEGURIDAD FÍSICA Y DEL ENTORNO
A. Áreas seguras
A.1. Perímetros de seguridad física
A.2. Controles físicos de entrada
A.3. Seguridad del cuarto de servidores
A.4. Control físico de proveedores
CIT
Consulting Information Technology CIT
Estructura Manual de Políticas de
Seguridad de TI
VIII. SEGURIDAD FÍSICA Y DEL ENTORNO
B. Seguridad del equipo
B.1. Emplazamiento y protección de equipos
B.2. Baterías
B.3. Mantenimiento de los equipos
B.4. Seguridad del equipo fuera de la empresa
B.5. Disposición de seguridad de equipos para nuevos usuarios
B.6. Préstamos temporales de equipos
IX: GESTION DE COMUNICACIONES Y OPERACIONES
A. Gestión de cambios
A.1. Cambios urgentes a base de datos y aplicaciones en ambiente de producción
A.2. Cambios planeados al sistema y actualización de versiones
B. Protección contra código malicioso y descargable
B.1. Control de seguridad antivirus
C. Copias de Seguridad C.1. Respaldo de servidores en los ambientes de producción
C.2. Respaldo del servidor de correo electrónico
C.3. Administración de dispositivos de respaldo
C.4. Administración de dispositivos que ya no son requeridos
C.5. Almacenamiento de información
C.6. Control de acceso a la información
CIT
Consulting Information Technology CIT
Estructura Manual de Políticas de
Seguridad de TI E. Intercambio de Información
E.1. Uso del correo electrónico
E.2. Uso del Internet
E.3. Políticas de privacidad
E.4. Acuerdos de intercambio
X. CONTROL DE ACCESO
A. Requerimientos para el control de acceso
A.1. Política de control de acceso
A.1.1. Acceso a los servidores
A.1.2. Acceso al servicio de intranet
A.1.3. Acceso al servicio de internet y correo electrónico
A.2. Registro de usuario
A.2.1. Autenticación de usuarios en servidores de bases de datos en el ambiente de
producción
A.2.2. Autenticación global de usuarios en servidores dbf en ambiente de producción
A.3. Gestión de privilegios
A.3. 1.Administración de privilegios en servidores de bases de datos y aplicaciones
en ambiente de producción
A.3.2. Cuentas de usuarios bloqueadas
A.4. Gestión de contraseñas de usuarios
A.4.1. Administración de claves de usuario en base de datos en ambiente de
producción
B. Responsabilidades del Usuario
B.1. Uso de las contraseñas
CIT
Consulting Information Technology CIT
Estructura Manual de Políticas de
Seguridad de TI
C. Control de acceso a la red
C.1. Políticas de uso de los servicios en red
C.2. Delimitación de los servicios permitidos y puertos
C.3. Autenticación de usuarios para conexione externas
C.4. Segregación de las redes
XI. ADQUISICION, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACION
A. Tratamiento correcto de las Aplicaciones
A.1. Validación de datos de entrada
A.2. Control de procesos internos
A.3. Validación de datos de salida
B. Controles criptográficos
B.1. Políticas de uso de cifrado
C. Seguridad de los archivos de sistema
C.1. Administración en el ambiente de desarrollo
C.2. Protección de los datos de prueba del sistema
C.3. Administración en el ambiente de capacitación
C.4. Administración en el ambiente de producción
D. Seguridad en los procesos de desarrollo y soporte
D.1. Procedimientos de control de cambios
XII. GESTION DE INCIDENTES EN LA SEGURIDAD DE LA INFORMACION
A. Notificación de eventos y puntos débiles en la seguridad de información B.1. Atención y escalamiento a solicitudes de usuario
B.2. Atención a solicitudes sobre sistemas de información
B.3. Soporte técnico a usuarios
CIT
Consulting Information Technology CIT
Estructura Manual de Políticas de
Seguridad de TI
B.2. Atención a solicitudes sobre sistemas de información
B.3. Soporte técnico a usuarios
XIII. GESTION DE LA CONTINUIDAD DEL NEGOCIO
A.1. Continuidad del Negocio y Evaluación de riesgos
A.2. Desarrollo e implantación de planes de continuidad que
incluyan la seguridad de la información.
A.3. Marco de referencia para la planificiación de la continuidad
del negocio.
A.4. Pruebas, mantenimiento y reevaluación de planes de continuidad.
XIV. CUMPLIMIENTO
A.1. Cumplimiento de las políticas y normas de seguridad.
A.2. Controles de auditoría de los sistemas de información.
XIV. ANEXOS
CIT
Consulting Information Technology CIT
Metodología PDCA (Plan + Do +
Check + Act)
PLANIFICAR
o Políticas de Seguridad
o Alcance de un SGSI
o Análisis de riesgos
o Selección de controles HACER
o Implantación del
SGSI
o Implantación de
controles
ACTUAR
o Acciones correctivas
o Acciones preventivas
VERIFICAR
o Auditoría interna del
SGSI
CIT
Consulting Information Technology CIT
Políticas de Seguridad de TI
Obtención de un documento de Políticas de Seguridad
soportado bajo estándar internacional
Obtención de un Sistema de Gestión auditable en los 4
niveles de seguridad (Seguridad Organizativa, Lógica,
Física y Legal)
Adquisición de un Audit Checklist de SANS, que
permite auditar los controles y establecer un marco de
referencia
ENTREGABLES
CIT
Consulting Information Technology CIT
Políticas de Seguridad de TI
Disminución de Impactos en las incidencias de
seguridad como: Pérdidas financieras, Litigios
laborales por uso inadecuado de la Información,
Pérdida de clientes y cuotas de mercado, Daño de
imagen, Interrupción de las actividades de la empresa.
Optimización la Organización, Planificación y Control
de la Seguridad de Información de la compañía.
Mejora en la Calidad de los servicios, aumento de la
eficiencia operativa, incremento en la productividad.
BENEFICIOS
CIT
Consulting Information Technology CIT
Soportes del Manual de Políticas de
Seguridad de TI
ISO/IEC 17799
:2005
■ ISO/IEC 27002
:2005
■
CIT
Consulting Information Technology CIT
La Seguridad es un proceso,
No un producto
¿Preguntas? A
po
yo
gere
ncia
l
Necesitamos la
artillería correcta Equipo Sólido
Alianzas
Estratégicas
Gracias …
Top Related