JUNIO 2009
Implementación
de un Sistema de Gestión de la Seguridad de la Información (SGSI)
Harro Osthoff -
TÜV Rheinland Argentina
Los tres pilares básicos de un
SGSI:
-
Confidencialidad: Previene
el acceso no autorizado a la información, de forma
intencional o no.
-
Integridad: Evita
modificaciones de la información por parte de personal
no autorizado.
-
Disponibilidad: Proporciona
acceso seguro a la información en el momento en que se
precisa.
Areas de la SGSI en las organizaciones (ISO
27001-2005)
Dirección
-Política de la seguridad de la información [A.5]
-Seguridad de la organización [A.6]
-Clasificación y control de los activos [A.7]
- Gestión de los incidentes de la seguridad de
la información [A.13]
-Cumplimiento (con los requerimientos legales
y de la organización) [A.15]
Recursos Humanos
Seguridad personal de los recursos humanos [A.8]
Procesos del Negocio
-Gestión de riesgos [4.3.1]
-Gestión de la continuidad del negocio [A.14]
Control de Acceso
Control de acceso [A.11]
Edificio/Medio
Ambiente
Seguridad física y
ambiental [A.9]
Trabajo Diario
Gestión de la
operación y de la
comunicación [A.10]
Planificación/ Proyectos
Desarollo y mantenimiento
de sistemas [A.12]
7
05/08/2009
Cybsec 2009 |
Harro
Osthoff
|
Beneficios del SGSI
La
inversión en tiempo y recursos que supone la
implantación de un SGSI se ve
ampliamente superada por las ventajas que
resultan de su implementación:
El
SGSI otorga un
enfoque global
a la gestión de la
seguridad.
Proporciona
una
imagen corporativa de
compromiso con la seguridad.
Puede
suponer un incremento de la
rentabilidad
del negocio.
8
05/08/2009
Cybsec 2009 |
Harro
Osthoff
|
Beneficios de certificar el SGSI (1)
Norma
reconocida
mundialmente
con gran
número de certificados en todo el mundo.
Incremento
en el
conocimiento de
la seguridad
por parte de los empleados.
Evaluación
de los
procesos de
negocio
bajo el
punto de vista de la seguridad de la
información.
Disminución
de cuotas
de las aseguradoras.
Estructuras
más claras
¡reducción de gastos!
Compatibilidad
de la norma con la
ISO 9001.
9
05/08/2009
Cybsec 2009 |
Harro
Osthoff
|
Beneficios de certificar el SGSI (2)
Las
empresas certificadas son vistas por
la opinión pública / cliente como empresas
de confianza.
Las
transacciones futuras pueden llevarse
a cabo en la confianza de que los riesgos
de la Seguridad de la Información están
siendo efectivamente controlados.
La
Seguridad de la Información es un
ingrediente esencial para un crecimiento
sostenible y actúa como un diferenciador
en el mercado.
10
05/08/2009
Cybsec 2009 |
Harro
Osthoff
|
Procedimiento de certificación ISO/IEC
27001:2005
Auditoría Certificación
Conformidad y cumplimiento del SGSI
Certificación
Emisión del certificado
Seguimiento
Mejora continua
anual
Fase 2 Procesos y Control
Auditoría Certificación
Revisión documental
en sitio
Conformidad y cumplimiento del SGSI
Fase 1
11
05/08/2009
Cybsec 2009 |
Harro
Osthoff
|
Plazos para llevar adelante una auditoría
de certificación
Fase 1
Max 3 meses
Ca. 1 mes
tiempo
Fase 1 Evaluación del alcance del SGSI /
Chequeo de documentos
Implementación de las acciones correctivas por
parte del cliente
Fase 2 Chequeo de documentos / Fase2 Auditoría
de certificación
con revisión técnica para asegurar la eficacia
Implementación de las acciones correctivas por
parte del cliente
Certificación
Fase 1
Fase 2
Fase 3
Fase 4
Max 3 meses
Observación
Fase 2
No conformidad
12
05/08/2009
Cybsec 2009 |
Harro
Osthoff
|
Certficados en Argentina
Interbanking
S.A
Servicios de Bancos
ETEK
Reycom International Holding
Soluciones integrales de la seguridad
informática
ADEA
Gestión de documentos
Telpin
Provisión de servicios de telefonía y de
Internet
Bactssa
Terminal de Contenedores
Telefonica
Data Center
13
05/08/2009
Cybsec 2009 |
Harro
Osthoff
|
Importante
¡La
ISO 27001 permite certificar un subproceso de la
compañía!
Establecer el SGSI para un subproceso para
implementar los
documentos y procesos, y ganar experiencia con
la norma.
Después
extender el SGSI para el resto de la compañía.
14
05/08/2009
Cybsec 2009 |
Harro
Osthoff
|
Certificación ADEA
Proceso
simple, parte de la compañía
Mucho
experiencia y proceso bien definido (documentación)
ISO
9001
Asignación
de recursos y consultores
Motivación:
Cliente
15
05/08/2009
Cybsec 2009 |
Harro
Osthoff
|
Aceleradoras:
ISO
9001 “Gestión de la Calidad”
ISO
20000-1 “Gestión de Servicios de TI”
ITIL:
IT Infrastructure Library
Cobit:
Control Ojectives for Information and related
Technologies
SOX:
Sarbanes-Oxely
16
05/08/2009
Cybsec 2009 |
Harro
Osthoff
|
Algunos de Nuestros Clientes en Alemania
17
05/08/2009
Cybsec 2009 |
Harro
Osthoff
|
SGSI certificados mundialmente
Número de certificados mundiales:
www.iso27001certificates.com: 2007
-500
500
1500
2500
3500
4500
5500
En
e
-9
9
En
e
-0
0
En
e
-0
1
En
e
-0
2
En
e
-0
3
En
e
-0
4
En
e
-0
5
En
e
-0
6
En
e
-0
7
En
e
-0
8
En
e
-0
9
Diciembre
2004
Se
alcanzan los 1.000
Agosto
2005
(1.689)
Japón:
964
UK:
212
India:
121
Taiwán:
56
Alemania:
43
Italia:
26
EE.UU.:
23
Agosto
2007
(3.890)
Japón:
2.280
UK:
352
Alemania:
73
EE.UU.:
52
Mayo
2009
(5.333)
Japón:
2.999
UK:
395
Alemania:
124
EE.UU.:
86
18
05/08/2009
Cybsec 2009 |
Harro
Osthoff
|
Servicios de TÜV Rheinland Argentina
para la norma ISO 27001
Auditoría:
Pre auditoría
Certificación
Seguimiento
Renovación
Capacitación:
Sistemas de gestión de la seguridad de la
información (SGSI):
Introducción a la ISO 27001
Auditor Interno
Auditor Líder IRCA
(24-28 Agosto)
19
05/08/2009
Cybsec 2009 |
Harro
Osthoff
|
Programa de Acceso al Crédito y
Competitividad para MiPyME
-PACC-
Préstamo BID 1884/OC-AR
Ministerio de Producción
Ministerio de Producción
www.sepyme.gov.ar
20
05/08/2009
Cybsec 2009 |
Harro
Osthoff
|
Proyectos
Ministerio de Producción
Ministerio de Producción
Mejoras de la competitividad de la PYME
Innovación tecnológica
Certificación de Normas de calidad de producto
o de
SGC de mayor complejidad
Desarrollo, implementación y certificación de
normas de calidad
Desarrollo e implementación de sistemas
informáticos standard o
a medida
21
05/08/2009
Cybsec 2009 |
Harro
Osthoff
|
Paso a paso para alcanzar la eficiencia
TÜV Rheinland ayuda a sus clientes
Harro
Osthoff
Auditor ISO 27001 / 9001
TÜV Rheinland Argentina S.A.
Gracias por su atención.
Áreas de la SGSI en las
organizaciones (ISO 27001-2005):
Dirección:
-
Clasificación y control
de los activos [A.7]
-
Gestión de los
incidentes de la seguridad de la información [A.13]
-
Cumplimiento (con los
requerimientos legales y de la organización) [A.15]
Procesos del Negocio:
Edificio/Medio Ambiente:
Seguridad física y ambiental [A.9]
Trabajo Diario: Gestión
de la operación y de la comunicación [A.10]
Planificación/
Proyectos: Desarrollo y mantenimiento de sistemas
[A.12]
Control de Acceso:
Control de Acceso [A.11]
Recursos Humanos:
Seguridad
personal de los recursos humanos [A.8]
Beneficios del SGSI:
La inversión en tiempo y
recursos que supone la implantación de un SGSI se ve
ampliamente superada por las ventajas que resultan
de su implementación:
-
El SGSI otorga un
enfoque global a la gestión de la seguridad.
-
Proporciona una
imagen corporativa de compromiso con la
seguridad.
-
Puede suponer un
incremento de la rentabilidad del negocio.
Beneficios de
certificar el SGSI:
-
Norma reconocida
mundialmente con gran número de certificados en todo el
mundo.
-
Incremento en el
conocimiento de la seguridad por parte de los empleados.
-
Evaluación de
los procesos de negocio bajo el punto de vista de la
seguridad de la información.
-
Disminución de
cuotas de las aseguradoras.
-
Estructuras más
claras, reducción de gastos.
-
Compatibilidad
de la norma con la ISO 9001.
-
Las empresas
certificadas son vistas por la opinión pública / cliente
como empresas de confianza.
-
Las
transacciones futuras pueden llevarse a cabo en la confianza
de que los riesgos de la Seguridad de la Información están
siendo efectivamente controlados.
-
La Seguridad de
la Información es un ingrediente esencial para un
crecimiento sostenible y actúa como un diferenciador en el
mercado.
EXTRAÍDO DE LA
PRESENTACIÓN EN INFOSECURITY 2009
- BUENOS AIRES
MAYO 2009
Identificación
de Funciones y Responsabilidades de TI
Lic. Martín Vila -
ISec Information Security Inc.
Para llevar a cabo una correcta gestión de seguridad de la información
es conveniente tener identificada y documentada las funciones y
responsabilidades de cada área de TI de la Compañía, a continuación
definimos algunos tips necesarios:
-
Relevamientos de FUNCIONES llevadas a
cabo en TI: Sistemas Informáticos, Telefonía, Comunicaciones
Satelitales, Outsorcing de Funciones en Proveedores, Servicios de
Hosting / Housing a Terceros.
-
Definición de áreas de responsabilidad
del Departamento de Sistemas, comprende: Comité de Sistemas,
Responsable del área de TI, Desarrollo, Tecnología, Operaciones y
sus áreas complementarias: Mesa de ayuda, Administración de
seguridad, Líderes de proyecto, Control de Calidad.
-
Identificación de Procesos del Área de
Sistemas: Administración de Usuarios y Permisos, Administración de
Licencias de Software, Copias de respaldo y restauración,
Instalación de Software, Servicios de Correo electrónico e Internet,
Desarrollo de Aplicaciones, Seguridad Física, Administración de las
Comunicaciones, Prevención de Virus Informáticos, Continuidad del
Procesamiento
Factores críticos del éxito:
-
Política de seguridad, objetivos y
actividades que reflejen los objetivos de la empresa;
-
Una estrategia de implementación de
seguridad que sea consecuente con la cultura organizacional;
-
Apoyo y compromiso manifiestos por parte
de la gerencia;
-
Un claro entendimiento de los
requerimientos de seguridad, la evaluación de riesgos y la
administración de los mismos;
-
Comunicación eficaz de los temas de
seguridad a todos los gerentes y empleados;
-
Distribución de guías sobre políticas y
estándares de seguridad de la información a todos los empleados y
contratistas;
-
Instrucción y entrenamiento adecuados;
-
Un sistema integral y equilibrado de
medición que se utilice para evaluar el desempeño de la gestión de
la seguridad de la información y para brindar sugerencias tendientes
a mejorarlo.
ABRIL 2009
LOS 10 MANDAMIENTOS PARA LAS PYMES
Loreto Serrano
Mc Afee - Chile
1. Las soluciones para pequeñas y medianas empresas no deben ser versiones
reducidas de las diseñadas para grandes empresas. Una misma solución no
sirve para todos, pues una pyme requiere una solución comprobada, diseñada
según sus necesidades como tamaño, presupuesto y desafíos.
2. Una buena protección no precisa ser complicada. Una pyme requiere una
solución fácil de instalar y de actualizar. Como complemento, es necesario:
Crear una política de seguridad para la empresa y entrenar a los empleados
para aplicarla; obtener los parches de seguridad más recientes, los cuales
proporcionan una protección más actualizada; suscribirse a boletines
informativos de seguridad, notificaciones de actualización de software u
otros. Además, se deben establecer prácticas para una correcta
administración de contraseñas y cuentas, las cuales una vez que dejen de
utilizarse se deben desactivar.
3. En seguridad, la protección debe ser proactiva, no reactiva. El secreto
es encontrar una solución de seguridad que haga mucho más que detectar y
reaccionar a los virus. La solución apropiada monitorea constantemente toda
la red, administra políticas de seguridad en todos los niveles y toma
medidas para mantener la protección contra virus de última generación.
4. Soluciones de costo reducido no siempre significan protección de baja
calidad. La solución ideal es la que se ajusta a su presupuesto sin
sacrificar la calidad de la protección. Soluciones imprescindibles son un
firewall de perímetro y un software antivirus para desktop, que sean
aplicaciones proactivas en la identificación y exclusión de virus conocidos
y desconocidos, aunque debe considerar tener varias capas de protección,
como anti-spam, servicios administrados u otros.
5. Los usuarios son los peores enemigos de sí mismos. La pequeña y mediana
empresa está cada vez más vulnerable. El creciente número de opciones para
conexiones remotas como empleados a distancia o con sistemas móviles, hizo
que las pymes fueran más conscientes y vulnerables al acceso no autorizado.
Con una solución de detección de invasión proactiva y basada en la red, la
empresa puede bloquear ataques a la red, deteniendo las amenazas antes de
que entren.
6. La bandeja de entrada es un riesgo potencial. Gartner Research afirma:
"La amenaza a la seguridad que puede presentarse con más probabilidad en
pequeñas y medianas empresas es un virus que llega por e-mail". Por lo que
se deben aplicar medidas corporativas a los usuarios como: No compartir la
dirección de e-mail; no abrir correos electrónicos de origen desconocido; no
abrir o ejecutar adjuntos, a menos que sepa lo que son; no abrir ningún
archivo con extensión doble (hello.txt.vbs) o protegerse con soluciones
antispam.
7. La bandeja de salida es un riesgo potencial. Los mensajes que contienen
comentarios ofensivos sobre raza, sexo, edad, orientación sexual,
pornografía, credos religiosos o políticos, origen nacional o discapacidad
física perjudican la imagen de una empresa. Además, enviar un e-mail es como
enviar una tarjeta postal, muchas personas pueden leerlo en el camino.
Algunas recomendaciones son protegerse contra un eventual contenido
inadecuado adicionando automáticamente un mensaje de exención de
responsabilidad a todos los e-mails de salida, prevenir mensajes y archivos
inapropiados, no solicitados u hostiles.
8. Las amenazas mixtas hoy llegan rápidamente, replicándose e inundando la
red. Ellas combinan los peores aspectos de los worms, virus y troyanos, y
son complementadas con sofisticadas técnicas de invasión. Probablemente, la
víctima nunca sabrá qué es lo que lo afectó. Tales amenazas se diseminan tan
rápidamente que pueden interrumpir las actividades comerciales en cuestión
de minutos.
9. Los usuarios finales bajan software no relacionado con el trabajo. Evitar
que los usuarios finales realicen descargas de internet en computadores del
trabajo, ya que pueden dejar la red vulnerable a un ataque viral. Bloquear
las PC con una configuración segura, con un firewall en cada equipo,
permitirá una exposición mínima a aplicaciones perjudiciales. Establecer
políticas claras en la empresa sobre descargas de música, pornografía, salas
de charlas o juegos.
10. La pyme es la espina dorsal de la economía nacional. Lo que la
diferencia de las grandes corporaciones es que pueden ser más receptivas y
flexibles a los cambios en tecnología, por lo que pueden ser innovadoras en
su ramo. De acuerdo con un estudio de Giga Information Group en 2003, la
inversión en las soluciones McAfee Network Protection proporcionó a las
empresas un ROI positivo de hasta un 145 por ciento en tres años. El estudio
reveló que las empresas que usaban el appliance de prevención de intrusos,
economizaron 23 por ciento en costos de capital, 41 por ciento en costos de
operación y 33 por ciento en beneficios comerciales, de modo que la solución
"se pagaba" en cuatro meses.
Fuente: Diario El Mercurio - Chile
|
