Security Asessment ISO 17799

1
Security AsessmentISO 17799

• Evaluación y Estimación de Nivel de Seguridad

2
Agenda

• Concepto de Seguridad
• Normas ISO 17799
• Propuesta de Servicio
• Entregables

3
Concepto de Seguridad

• Conjunto de Políticas, normas y procedimientos
  que apoyados por recursos humanos, de hardware y
  software garantizan la integridad, accesibilidad
  y disponibilidad de los activos de la empresa.
• El estado del arte actualmente vigente es la
  norma ISO 17799 y el Orange Book.

4
ISO 17799 (BS7799)

• Es un estándar detallado de seguridad que está
  organizado en diez secciones principales, en las
  cuales se cubre un área o tópico diferente.
• Este estándar, una vez implementado y
  certificado, en conjunto con un análisis de
  riesgo, garantiza un nivel adecuado de protección
  para todos los activos de información de una
  empresa no relacionada con la Defensa y/o
  Servicio Exterior.

5
Secciones del ISO 17799

• 1 Plan de Continuidad de Negocio
• 2 Control de Acceso a los Sistemas
• 3 Desarrollo y Mantencíón de Sistemas
• 4 Seguridad Física y Ambiental
• 5 Cumplimiento de Normas
• 6 Seguridad del Personal
• 7 Seguridad de la Organización
• 8 Administración de Computadores y Operaciones
• 9 Clasificación y Control de Activos
• 10 Políticas de Seguridad

6
1 Plan de Continuidad de Negocios

• Los objetivos de esta sección son
• Prevenir y contrarrestar interrupciones a las
  actividades del negocio y a procesos críticos de
  negocio de los efectos de fracasos o desastres
  mayores.

7
2 Control de Acceso a los Sistemas

• Los objetivos de esta sección son
• 1 Controlar el acceso a la información
• 2 Prevenir accesos no autorizados a sistemas de
  información
• 3 Asegurar la protección de los servicios de red.
• 4 Prevenir accesos no autorizados a computadores
• 5 Detectar actividades no autorizadas
• 6 Asegurar la seguridad de la información cuando
  se usa la computación móvil y telenetworking

8
3 Desarrollo y Mantencíón de Sistemas

• Los objetivos de esta sección son
• 1 Asegurar que la seguridad esté incorporada en
  los sistemas operacionales
• 2 Prevenir la pérdida, mal uso o modificación de
  datos del usuario en los sistemas de aplicación
• 3 Proteger la confidencialidad, autenticidad e
  integridad de la información
• 4 Asegurar que los proyectos TI y actividades de
  soporte sean conducidos de una manera segura
• 5 Mantener la seguridad de los sistemas de
  aplicación, software y datos.

9
4 Seguridad Física y Ambiental

• Los objetivos de esta sección son
• 1 Prevenir acceso no autorizado, daño e
  interferencia a oficinas de negocios e
  información
• 2 Prevenir la pérdida, daño o compromiso de
  activos e interrupción de actividades de negocio
• 3 Prevenir el compromiso o robo de información o
  de las facilidades de procesamiento de la
  información

10
5 Cumplimiento de Normas

• Los objetivos de esta sección son
• 1 Evitar brechas de cualquier ley civil o
  criminal, estatutos, obligaciones regulatorias o
  contractuales y de cualquier requerimiento de
  seguridad
• 2 Asegurar el cumplimiento de sistemas para
  cualquier política organizacional y de estándar
  corporativo
• 3 Maximizar la efectividad de los procesos de
  auditoría y minimizar la interferencia desde y
  hacia los sistemas de auditoría

11
6 Seguridad del Personal

• Los objetivos de esta sección son
• 1 Reducir los riesgos de error humano, mal uso,
  robo o fraude de los recursos
• 2 Asegurar que los usuarios están al tanto de las
  amenazas a la seguridad de la información y de
  las preocupaciones y que estén equipados para
  apoyar las políticas de seguridad corporativa en
  el curso normal de su trabajo
• 3 Minimizar el daño derivados de los incidentes
  de seguridad y de los desperfectos y aprender de
  esos incidentes

12
7 Seguridad de la Organización

• Los objetivos de esta sección son
• 1 Administrar la seguridad de la información
  dentro de la compañía.
• 2 Mantener la seguridad de la información, de los
  recursos de procesamiento de la información y de
  los activos de información accedidos por terceros
• 3 Mantener la seguridad de la información cuando
  la responsabilidad del procesamiento de la
  información ha sido externalizado a otra
  organización

13
8 Administración de Computadores y Operaciones

• Los objetivos de esta sección son
• 1 Asegurar la operación segura y correcta de los
  recursos de procesamiento de la información
• 2 Minimizar el riesgo de caída en los sistemas
• 3 Proteger la integridad del software y de la
  información
• 4 Mantener la integridad y disponibilidad del
  procesamiento de la información y de las
  comunicaciones
• 5 Asegurar la protección de la información en las
  redes y la protección de la infraestructura que
  las soporta
• 6 Prevenir el daño de los activos e
  interrupciones a las actividades de negocio
• 7 Prevenir la pérdida modificación o mal uso de
  la información intercambiada con otras
  organizaciones

14
9 Clasificación y Control de Activos

• Los objetivos de esta sección son
• 1 Mantener una protección apropiada de los
  activos y asegurar que la información de los
  activos reciba un nivel apropiado de protección.

15
10 Políticas de Seguridad

• Los objetivos de esta sección son
• Entregar a la alta gerencia dirección y apoyo en
  seguridad de la información

16
Propuesta de Servicio (...)

• Nuestra propuesta de servicio se orienta en un
  principio a realizar un Security Asessment basado
  en
• 1 Levantamiento de la infraestructura y recursos
  TI
• 2 Lista de preocupaciones (concerns) de la
  gerencia
• 3 Análisis de riesgo
• 4 Conformidad con los estándares escogidos

17
Propuesta de Servicio (continuado)

• Los entregables de esta asesoría son
• 1 Informe de Levantamiento
• 2 Análisis de riesgo y prioridades de seguridad
• 3 Recomendaciones de seguridad
• 4 Procedimientos y calendarización de auditoría a
  las recomendaciones de seguridad
• 5 Estándares aplicados