Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Implementación SGSI - Factores de Exito

Conferencia PUCP, Junio 2013
by

Stanley Velando

on 16 July 2017

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Implementación SGSI - Factores de Exito

Factor 1: Contar con apoyo de alta gerencia y definir bien el alcance
Es muy importante que la alta gerencia esté involucrada y apoye el proyecto
El alcance debe incluir uno o dos procesos "core" del negocio que necesiten que su información sea protegida
Factor 3: Elaborar un buen Análisis de Riesgos
Matriz tipo:
Factor 2. Buen Inventario de Activos de Información
Factor 5: Entregables
Evaluación de Riesgos
Que debe contener:
Alcance formal del SGSI
Metodología de Gestión de Riesgos
Manual del SGSI
Inventario de Activos de Información
Matriz de Riesgos
Plan de Tratamiento de Riesgos
Declaración de aplicabilidad (SOA)
Metricas
Políticas
Procedimientos
Utilizar metodologías conocidas, p.ej. ISO27005, Magerit
Implementación de un SGSI
Factores de Exito
ISO 27001
ISO 27002
ISO 27005
Sistema de Gestión de Seguridad de Información
Estándar certificable de gestión de seguridad de la información
Estándar de buenas prácticas de seguridad de información (11 dominios, 133 controles sugeridos)
Estándar de gestión de riesgos de seguridad de información
Algunos mitos sobre la
implementación de un SGSI...
" No aporta valor a la organización "
Es solo un montón de documentos
Es un proyecto de sistemas
Se puede implementar en 20 días
ISO 27001
Objetivo del ISO 27001
¿Cómo podemos proteger
la información?
¿Que podemos concluir de este ejemplo?
Es un marco de trabajo que permite
proteger la información crítica
del negocio.
Preservación de:

Confidencialidad
Integridad
Disponibilidad

De la Información
Pongamos un ejemplo... Digamos que usted deja su laptop con mucha frecuencia en su auto, ¿podría ser que pase esto?...
Toca Implementar Controles (p.ej.):
- Procedimientales
- Seguridad física
- Contraseñas robustas
- Cifrado
- Legales
- Entrenamiento y concientización
La seguridad de la información:
No depende solo de la tecnología (sistemas)
Depende de definir políticas
Depende de como nos organicemos (rrhh)
Depende de procedimientos
Depende de la seguridad física
Depende de temas legales
Depende de entrenar y concientizar
En conclusión:
La seguridad de la información no depende de un sólo control sino de un conjunto de ellos. La cantidad de controles depende de que tan critica es la información que queremos proteger.
Factor 4: Un buen plan de tratamiento de riesgos
Riesgo Inherente
Riesgo Residual
Proteger mucha información...
Ahora imagine...
Para esto necesitamos un "sistema" que nos permita gestionar su seguridad... para esto necesitamos un SGSI
¿Donde está la información en un proceso?

En archivos de su computadora
En documentos físicos
En el "conocimiento" de las personas
En los sistemas de Información

¿Y donde estan los
sistemas
?: en servidores con sistemas windows, linux, con bases de datos... todo esto dentro de un cuarto de servidores (datacenter).
Diseñar bien los controles por cada riesgo
Definir la responsabilidad de implementar los controles (inhouse o tercerizado), tiempos de implementación, presupuesto, etc.
Proteger la información significa:
Que nuestros planes estan protegidos
Que la información de nuestros clientes esta protegida
Que nuestra gente está concientizada

entre otros...
Activo de información identificado
Servidor SERVERBBDD01 IBM X-Series 370 N/S 23H1612 (Bases de Datos de los sistemas Contable y Financiero)
Motor de Base de datos Oracle 10G (Sistema Contable y Financiero)
Activo de información
identificado
Dispositivos de comunicación de red y voz internos (switches), firewalls (Fortinet), Proxy (Blue Coat)
Activo de información
identificado
Datacenter
Activo de información
identificado
Uso no apropiado de los activos de información debido a que no se ha asignado formalmente el rol de Oficial o Encargado de Seguridad de la información que lidere las iniciativas en este sentido.
Riesgo identificado
Activo
Todos los activos del proceso
Acceso no autorizado a los sistemas debido a que no existe un procedimiento formal que obligue a RRHH a informar a SISTEMAS sobre el cese del personal.
Riesgo identificado
Activo
Sistemas de informacion (Sist Contable)
Acceso no autorizado al datacenter debido a que se utiliza llaves físicas de acceso fácilmente duplicables y de las cuales no se puede llevar un log (registro) de accesos.
Riesgo identificado
Activo
Servidores y dispositivos de comunicación.
En caso de pérdida de una laptop la información alli contenida no cuenta con un sistema de cifrado que evite sea accedida de manera no autorizada
Riesgo identificado
Activo
Computadoras portátiles (laptops)
Riesgo
No se ha designado un oficial de seguridad
Control Propuesto
Asignar de manera formal el ROL de "oficial" o "encargado" de seguridad de información a una persona de la plana actual de la Organizacion
Riesgo
No hay un procedimiento formal de RRHH
Control Propuesto
Elaborar un procedimiento formal donde se obligue al area de RRHH a alertar al area de SISTEMAS sobre los ceses de personal para que sus accesos sean dados de baja.
Riesgo
Acceso al datacenter con llaves físicas.
Control Propuesto
Implementar un control de acceso a través de tarjetas magnéticas que permita mejorar el control de cuantas personas tienen acceso y que tambien permita almacenar un registro de visitas.
Riesgo
Acceso a datos de laptop perdida.
Control Propuesto
Implementar una solucion de cifrado de disco duro de computadoras portátiles que en caso de pérdida de éstas, evite que la información sea accedida.
Ing. Stanley Velando Leiva
PMP, CISA, CRISC, ISO27001 Lead Implementer, ISO27002, C)ISSO
Director - Risk Management
Kunak Consulting
Full transcript