Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Implementación SGSI - Factores de Exito

Conferencia PUCP, Junio 2013
by

Stanley Velando

on 9 December 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Implementación SGSI - Factores de Exito

Factor 1: Definir bien el alcance
- Incluir uno o dos procesos "core" del negocio que necesiten que su información sea protegida
- Incluir al proceso de tecnologías de información
- No incluir procesos muy grandes o con muchos subprocesos
Factor 3: Elaborar un buen Análisis de Riesgos
Matriz tipo:
Factor 2. Buen Inventario de Activos de Información
Factor 5: Entregables
Evaluación de Riesgos
Que debe contener:
1) Alcance del SGSI
2) Informe de Diagnóstico (brecha)
3) Inventario de Activos de Información
4) Lineamientos para evaluacion de riesgos
5) Matriz de Riesgos
6) Plan de Tratamiento de Riesgos
7) Declaración de aplicabilidad
8) Política y Reglamento de Seguridad de Información
9) Procedimientos con los diseños de los controles
Utilizar metodologías conocidas, p.ej. Magerit
Implementación de un SGSI
Factores de Exito
ISO 27001
ISO 27002
ISO 27005
Sistema de Gestión de Seguridad de Información
Estándar certificable de gestión de seguridad de la información
Estándar de buenas prácticas de seguridad de información (11 dominios, 133 controles sugeridos)
Estándar de gestión de riesgos de seguridad de información
Algunos mitos sobre la
implementación de un SGSI...
" No aporta valor a la organización "
- Es solo un montón de documentos
- Es un proyecto de sistemas
- Se puede implementar en 30 días
ISO 27001
Propósito del ISO 27001
¿Cómo podemos proteger
la información?
¿Que podemos concluir de este ejemplo?
Es un marco de trabajo que permite
proteger la información crítica
del negocio.
Preservación de:

- Confidencialidad
- Integridad
- Disponibilidad

De la Información
Digamos que usted deja su laptop con mucha frecuencia en su auto...
Implementar Controles:
- Procedimiento
- Contraseña
- Cifrado
- Legal
- Entrenamiento y concientización
La seguridad de la información:
- No depende solo de la tecnología (sistemas)
- Depende de como nos organicemos (rrhh)
- Depende de procedimientos
- Depende de la seguridad física
- Depende de temas legales
- Depende de entrenar y concientizar
En conclusión:
La seguridad de la información no depende de un sólo control sino de un conjunto de ellos. La cantidad de controles depende de que tan critica es la información que queremos proteger.
Factor 4: Un buen plan de tratamiento de riesgos
Riesgo Inherente
Riesgo Residual
Proteger mucha información...
Ahora imagine...
Para esto necesitamos un "sistema" que nos permita gestionar su seguridad... para esto necesitamos un SGSI
¿Donde está la información en un proceso?

- En archivos de su computadora
- En documentos físicos
- En el "conocimiento" de las personas
- En los sistemas de Información

¿Y donde estan los sistemas?: en servidores con sistemas windows, con bases de datos... todo esto dentro de un cuarto de servidores (datacenter).
- Diseñar bien los controles por cada riesgo
- Definir la responsabilidad de implementar los controles (inhouse o tercerizado), tiempos de implementación, presupuesto, etc.
Proteger la información significa:
- Que nuestros planes estan protegidos
- Que el "know-how" de nuestros procesos está protegido
- Que nuestra gente está concientizada

entre otros...
Activo de información identificado
Servidor SERVERBBDD01 IBM X-Series 370 N/S 23H1612 (Bases de Datos de los sistemas Contable y Financiero)
Motor de Base de datos Oracle 10G (Sistema Contable y Financiero)
Activo de información
identificado
Dispositivos de comunicación de red y voz internos (switches), firewalls (Fortinet), Proxy (Blue Coat)
Activo de información
identificado
Datacenter
Activo de información
identificado
Uso no apropiado de los activos de información debido a que no se ha asignado formalmente el rol de Oficial o Encargado de Seguridad de la información que lidere las iniciativas en este sentido.
Riesgo identificado
Activo
Todos los activos del proceso
Acceso no autorizado a los sistemas debido a que no existe un procedimiento formal que obligue a RRHH a informar a SISTEMAS sobre el cese del personal.
Riesgo identificado
Activo
Sistemas de informacion (Sist Contable)
Acceso no autorizado al datacenter debido a que se utiliza llaves físicas de acceso fácilmente duplicables y de las cuales no se puede llevar un log (registro) de accesos.
Riesgo identificado
Activo
Servidores y dispositivos de comunicación.
En caso de pérdida de una laptop la información alli contenida no cuenta con un sistema de cifrado que evite sea accedida de manera no autorizada
Riesgo identificado
Activo
Computadoras portátiles (laptops)
Riesgo
No se ha designado un oficial de seguridad
Control Propuesto
Asignar de manera formal el ROL de "oficial" o "encargado" de seguridad de información a una persona de la plana actual de la Organizacion
Riesgo
No hay un procedimiento formal de RRHH
Control Propuesto
Elaborar un procedimiento formal donde se obligue al area de RRHH a alertar al area de SISTEMAS sobre los ceses de personal para que sus accesos sean dados de baja.
Riesgo
Acceso al datacenter con llaves físicas.
Control Propuesto
Implementar un control de acceso a través de tarjetas magnéticas que permita mejorar el control de cuantas personas tienen acceso y que tambien permita almacenar un registro de visitas.
Riesgo
Acceso a datos de laptop perdida.
Control Propuesto
Implementar una solucion de cifrado de disco duro de computadoras portátiles que en caso de pérdida de éstas, evite que la información sea accedida.
Ing. Stanley Velando, CISA, CRISC
Director - Risk Management
Kunak Consulting
Full transcript