Modelo de gestión de la seguridad, ISO 27002 

•  Administración de seguridad de la información CIT Conformidad legal (3 Objetivo, 10 Controles) Plan de Continuidad de Negocio (10 Objetivo, 32 Controles) Política de seguridad (7 Objetivo, 25 Controles) (6 Objetivo, 16 Controles) Control de acceso (1 Objetivo, 2 Controles) Comunicaciones Mantenimiento Y operaciones De sistemas (1 Objetivo, 5 Controles) Seguridad del personal Seguridad física (3 Objetivo, 9 Controles) (2 Objetivo, 13 Controles) Estructura organizativa Clasificación de activos (3 Objetivo, 11 Controles) (2 Objetivo, 5 Controles)Consulting Information Technology CIT
• Diagrama de la Norma ISO 27002 CIT Seguridad organizativa Política de Seguridad Seguridad lógica Seguridad física Organización de la Seguridad legal Seguridad de la información Gestión de activos Control de accesos conformidad Seguridad física y del Seguridad en los entorno Recursos Humanos Gestión de Gestión de la Gestión de Adquisición, desarrollo y Incidentes de seg. Continuidad del comunicaciones mantenimiento de de la información negocio y operaciones sistemas de informaciónConsulting Information Technology CIT
•  ISO/IEC 27002: 2005 Sección 5: Política de seguridad CIT Política de seguridad de la información Trata de que se disponga de una normativa común de Documento de política seguridad que regule las líneas maestras sobre como va a Revisión trabajar toda la de la política organizaciónConsulting Information Technology CIT
•  ISO/IEC 27002:2005 Sección 6: Aspectos Organizativos de la Seguridad de la Información CIT Organización Interna Seguridad en accesos de Terceras partes Compromiso de la Dirección Identificación de riesgos en el acceso Coordinación de la Seg de terceros Establece la estructura Responsables de organizativa (terceros, Seguridad responsables, comités, Autorización para colaboraciones, etc.) y su Tratamiento de seguridad procesar la información funcionamiento de cara a En relación con los clientes gestionar la seguridad de la Acuerdo confidencialidad información Contacto autoridades Tratamiento de seguridad Grupo especial de interés En contratos con terceros Revisión independiente De la seguridad de la informaciónConsulting Information Technology CIT
•  ISO/IEC 27002:2005 Sección 7: Clasificación y control de activos CIT Responsabilidades Clasificación sobre los activos de la información Inventario de Incorpora las herramientas para activos establecer qué debe ser protegido, qué nivel de protección requiere y Directrices de quién es el responsable principal clasificación de su protección Propiedad de los activos Etiquetado y manipulado de la información Uso aceptable de los activosConsulting Information Technology CIT
•  ISO/IEC 27002:2005 Sección 8: Seguridad relacionada con el personal CIT Seguridad antes Durante el Cese del empleo del empleo empleo cambio de puesto Responsabilidad del Responsabilidades cese o cambio Funciones y de la responsabilidades dirección Devolución de activos Concienciación, Investigación de formación antecedentes y capacitación Retiro de los derechos de acceso Términos y Procesos condiciones disciplinarios Establece las medidas de seguridad que se van a tomar con el personal, ya que finalmente son estos los que van a utilizar los sistemas y la informaciónConsulting Information Technology CIT
•  ISO/IEC 27002:2005 Sección 9: Seguridad física y del entorno CIT Seguridad de los Áreas seguras Equipos de información Emplazamiento y Perímetro de Protección equipos Seguridad física Instalaciones Controles físicos suministros de entrada Incluye las medidas de seguridad física (edificios, Seguridad cableado Seguridad oficinas, salas, cableado, armarios, despachos e insta. etc.) que se deben tomar para Mantenimiento de equipos proteger los sistemas y la Protección amenazas información Externas de Seguridad equipos origen ambiental fuera de la oficina Trabajo en Reutilización o ret. áreas seguras Segura de equipo Zonas de carga Retirada de materiales y descarga Propiedad de la empresaConsulting Information Technology CIT
•  ISO/IEC 27002:2005 Sección 10: Gestión de comunicaciones y operaciones CIT Procedimientos y Provisión servicios Protección código responsabilidades por terceros Malicioso y descargable Provisión de servicios Control contra código malicioso. Procedimientos de operaciones escritos Supervisión y revisión Control contra código Servicios por terceros Descargado por el cliente Gestión de cambios Control de cambios Servicios prestado operacionales por terceros Planificación y Aceptación del sist. Segregación de tareas y Determina las medidas de Gestión de capacidades responsabilidades seguridad que la organización debe contemplar en sus operaciones y en el uso de las Separación de Aceptación del Ambientes (desarrollo, comunicaciones Sistema Prueba y operación)Consulting Information Technology CIT
• ISO/IEC 27002:2005 Sección 10: Gestión de comunicaciones y operaciones CIT Manipulación Intercambio de Copias de seguridad de los soportes información Gestión de soportes extraíbles Políticas y Copias de seguridad de procedimiento La información Intercambio de informac. Retirada de soportes Acuerdos de cambio Seguridad de Procedimientos de Redes Manipulación de la info. Controles de red Soportes físicos Seguridad de la en transito Documentación del sist. Seguridad de los Mensajería Servicios de red Determina las medidas de Electrónica seguridad que la organización debe contemplar en sus Sistemas de información operaciones y en el uso de las empresariales comunicacionesConsulting Information Technology CIT
•  ISO/IEC 27002:2005 Sección 10: Gestión de comunicaciones y operaciones CIT Supervisión Servicios de Comercio electrónico Registro de Auditorias Supervisión uso del Comercio electrónico sistema Protección de la Información registros Transacciones en línea Registros administración y operación Información pública Registro de fallos Sincronización de relojConsulting Information Technology CIT
•  ISO/IEC 27002:2005 Sección 11: Control de acceso CIT Requisitos de negocio Responsabilidad Control de para control de acceso usuarios Acceso a la red Política Política control Uso de acceso passwords Routing Equipos Identificación de desatendidos equipos de red Gestión de Acceso usuarios Puesto de trabajo Diagnostico remoto despejado y Protección puertos pantalla limpia configuración Registro Segregación de redes Establece las medidas de Privilegios Segregación control de acceso a la de redes Passwords información a los distintos Control de niveles en los que se conexión Revisión Derechos puede plantear Control de routingConsulting Information Technology CIT
•  ISO/IEC 27002:2005 Sección 11: Control de acceso CIT Control de acceso al SO Ordenadores portátiles Control acceso y teletrabajo a aplicaciones y a la información Procedimiento seguro de inicio de sesión Informática móvil Restricción Identificación y de acceso Autenticación usuario Teletrabajo Aislamiento Sistema gestión de sistemas sensibles contraseña Uso recursos del sistema Desconexión Automática de sesión Limitación tiempo conexiónConsulting Information Technology CIT
•  ISO/IEC 27002:2005 Sección 12: Adquisición, desarrollo y mantenimiento de los sistemas de información CIT Requisitos Controles Seguridad de seguridad de sistemas de información criptográficos Desarrollo y soporte Política de Análisis y criptografía especificaciones Control de Tratamiento correcto Gestión claves cambios de las aplicaciones Vulnerabilidad Revisión técnica de técnica Seguridad de los Aplicaciones tras Validación de Archivo del sistema cambios SO Datos de entrada Restricción de Control proceso Control software Cambios software en explotación Control de interno vulnerabilidades Fugas de Integridad de Protección información los mensajes datos prueba Desarrollo Validación de los Control externalizado datos de salida Código fuente Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al desarrollo de los aplicativos que utiliza en sus operacionesConsulting Information Technology CIT
• ISO/IEC 27002:2005 Sección 13: Gestión de incidentes en la seguridad de la información CIT Incidentes de seguridad Notificación eventos y puntos de la información y Débiles de la seguridad mejoras de la información Responsabilidades y Notificación eventos Procedimientos Aprendizaje de los Incidentes de seguridad Notificación puntos Débiles de la seguridad Recopilación de evidencias Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al desarrollo de los aplicativos que utiliza en sus operacionesConsulting Information Technology CIT
• ISO/IEC 27002:2005 Sección 14: Gestión de la continuidad del negocio CIT Seguridad de la información en la gestión del negocio Inclusión de la seguridad de la información en el proceso de gestión de continuidad del negocio Continuidad del negocio y evaluación de riesgos Desarrollo e implantación de planes de continuidad que incluyan seguridad de la información Marco de referencia para la Planificación de la continuidad del negocio Pruebas, mantenimiento y Reevaluación de planes de continuidadConsulting Information Technology CIT
•  ISO/IEC 27002:2005 Sección 15: Cumplimiento CIT Cumplimiento de los Cumplimiento de las Requisitos legales Políticas y normas de seguridad y cumplimiento técnico Identificación de la Legislación aplicable Cumplimiento de las políticas Derechos propiedad y normas de seguridad Intelectual (DPI) Protección documentos Comprobación del Consideraciones de las de la organización Cumplimiento técnico Auditorías de los Sistemas de información Protección datos y Privacidad información personal Control de Auditoría de los sistemas de información Prevención uso indebido De los recursos tratamiento de la información Protección de las herramientas Regulación de los controles de auditoria de los sistemas de criptográficos información Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al desarrollo de los aplicativos que utiliza en sus operacionesConsulting Information Technology CIT
• Gracias … CIT Apoyo gerencial Necesitamos la La Seguridad es un proceso, artillería correcta Equipo Sólido No un producto ¿Preguntas? Alianzas EstratégicasConsulting Information Technology CIT