Conferencia sobre Certificacion ISO 27001 Practicas de manejo de seguridad de la Informacion, dirijida por Ingeniero Alejandro hernandez Isec-segurity que junto con securinf realizan las mejores ponencias en el tema de seguridad informatica http://www.securinf.com

1. Seguridad de la Información NORMA ISO 17799 / ISO 27001

3. QUE ES SEGURIDAD DE LA INFORMACIÓN?

4. Por que? Reconocer los riesgos y su impacto en los negocios

5. INTERNET Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundo Apenas 150 “spammers” norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico. Algunos datos 11:22 | EL GUSANO Un nuevo virus se esconde en tarjetas navideñas Un virus informático , que se esconde en una tarjeta electrónica de felicitación, comenzó a circular por la red, informó Panda Software . La compañía advirtió a los usuarios que extremen las medidas de seguridad durante estas fiestas. ESTAFAS EN INTERNET El “phishing” ya pesca en todo America Detectaron casos que afectaron a numerosas empresas y a los clientes de bancos estadounidenses y del resto de America.

6. Algunos hechos 12:50 | A TRAVES DE MAIL Utilizan las siglas del FBI para propagar un virus La famosa policía federal estadounidense advirtió sobre la difusión de falsos correos electrónicos que llevan su nombre. La pregunta secreta del caso "Paris Hilton" ------------------------------ Hace apenas unos días saltó la noticia de que los contenidos del teléfono móvil de Paris Hilton habían sido publicados en Internet. En un principio se barajó la posibilidad de que hubieran accedido a la tarjeta SIM, o de que se tratara de una intrusión a los servidores de T-Mobile aprovechando inyecciones SQL. Al final parece ser que el método empleado fue mucho más sencillo, bastaba con contestar a la pregunta "¿cuál es el nombre de su mascota favorita?".

7. Legales | Infracciones Graves El delito informático En forma amplia, es "toda acción reputada como delito para cuya consumación se utilizan o afectan medios informáticos". Vulneran tanto los equipos como los programas, e incluyen virus, sustracción de información o piratería. En un terreno más restringido, son sólo aquellas acciones que vulneran los equipos fijos de computación. Libertad, control y responsabilidad en Internet Diario judicial.com publica hoy un polémico fallo por el que se condena a los responsables de un sitio de internet por un mensaje injurioso anónimo ingresado en un libro de visitas , de libre acceso por los navegantes. La resolución preocupa a los sitios web y puede sentar un duro precedente para aquellos que contengan foros y libros de visitas abiertos al público. Algunos hechos

8. Algunos datos La seguridad de redes, una prioridad para las empresas Cisco publicó los resultados de un estudio de seguridad realizado a directivos latinoamericanos de IT. De acuerdo con los resultados, el 79 % de los Directivos de IT de Latinoamérica opina que la seguridad es un tema "de extrema prioridad".

9. NEGOCIOS Una nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad de la información Algunos datos

11. En mi compañía ya tenemos seguridad porque ... ... implementamos un firewall. ... contratamos una persona para el área. ... en la última auditoría de sistemas no hicieron observaciones importantes. ... ya escribí las políticas. ... hice un penetration testing y ya arreglamos todo. Algunas realidades

12. En general todos coinciden en: El 80% de los incidentes/fraudes/ataques son efectuados por personal interno Fuentes: The Computer Security Institute Cooperative Association for Internet Data Analysis (CAIDA) CERT SANS Algunos datos

15. Principales riesgos y su impacto en los negocios

16. Captura de PC desde el exterior Violación de e-mails Violación de contraseñas Interrupción de los servicios Intercepción y modificación de e-mails Virus Fraudes informáticos Incumplimiento de leyes y regulaciones Robo o extravío de notebooks empleados deshonestos Robo de información Destrucción de soportes documentales Acceso clandestino a redes Intercepción de comunicaciones Destrucción de equipamiento Programas “bomba” Acceso indebido a documentos impresos Software ilegal Agujeros de seguridad de redes conectadas Falsificación de información para terceros Indisponibilidad de información clave Spamming Violación de la privacidad de los empleados Ingeniería social Propiedad de la Información Mails “anónimos” con información crítica o con agresiones

17. Password cracking Man in the middle Exploits Denegación de servicio Escalamiento de privilegios Replay attack Keylogging Port scanning Instalaciones default Puertos vulnerables abiertos Servicios de log inexistentes o que no son chequeados Desactualización Backups inexistentes Últimos parches no instalados

19. NORMAS APLICABLES

20. Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas Internacionales aplicables

22. Norma ISO 27001 Gestión de Seguridad

25. Qué cambió de la versión anterior Norma ISO 17799: 2005 – ISO 27001

26. NUEVA SECCION antes 10 ahora 11 Dominios

27. Cumplimiento 15. Cumplimiento 12. Administración de la Continuidad del Negocio 14. Administración de la Continuidad del Negocio 11. Administración de Incidentes de Seguridad de la Información 13. Adquisición , Desarrollo y Mantenimiento de Sistemas de Información 12. Desarrollo y Mantenimiento de Sistemas 10. Administración de Accesos 11. Administración de Accesos 9. Administración de las Comunicaciones y Operaciones 10. Administración de las Comunicaciones y Operaciones 8. Physical & Environmental Security 9. Seguridad Física y Ambiental 7. Seguridad de los Recursos Humanos 8. Seguridad del Personal 6. Administración de Activos 7. Clasificación y Control de Activos 5. Organización de la Seguridad de la Información 6. Organización de la Seguridad de la Información 4. Política de Seguridad 5. Política de Seguridad 3. Evaluación y Manejo de los Riesgos 4. Estructura del Estándar 3. Términos y definiciones 2. Términos y definiciones 2. Alcance 1. Alcance 1. ISO17799:2005 ISO17799:2000

28. 3: Estructura del Estandar • Detalle para asistir al uso y aplicación más ameno y fácil del estándar. 4: Risk Assessment & Treatment • Highlights sobre la importancia de efectuar un risk assessment para definir los CONTROLES APLICABLES. • La necesidad de una continua evaluación y administración de los RIESGOS • Highlights sobre la importancia de la participación de la GERENCIA en el análisis de RIESGOS Hay dos SECCIONES GENERALES nuevas

29. BS7799-2 Fue revisado y se ha convertido en la nueva ISO 27001 Octubre 15, 2005 De la misma forma se espera que la ISO 17799 se convierta en ISO 27002

33. Cómo es un Proceso de Certificación ISO 27001 de una Organización?

34. QUÉ ES CERTIFICAR? El proceso de Certificación es la Generación de un INFORME Firmado por parte de un TERCERO (ajeno a la organización) que define que, de acuerdo con su CRITERIO PROFESIONAL, dicha Organización CUMPLE o NO CUMPLE con los Requerimientos establecidos en la Normativa.

35. PORQUE CERTIFICAR? Para poder Mostrar al Mercado que la Organización tiene un adecuado SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACIÓN. Una empresa CERTIFICADA no implica que NO TIENE MAS RIESGOS DE SEGURIDAD DE LA INFORMACION, sino que tienen un adecuado Sistema de Gestión de dichos Riesgos y Proceso de MEJORA CONTINUA.

36. Empresas certificadas en el mundo

37. QUE ORGANIZACIONES PUEDEN CERTIFICAR? Cualquier Organización, grande o pequeña, pública o privada, de Gobierno o sin fines de lucro, etc, está en condiciones y habilitada para CERTIFICARSE.

38. QUIENES ESTAN AUTORIZADOS A EFECTUAR LA CERTIFICACION? Cualquier Agente ajeno a la Organización (Profesional Independiente o Compañía) puede Firmar el Informe antes mencionado. Pero dado que la Certificación además de un valor Interno de Asegurarse de Cumplir con la Normativa, tiene un fin principal de poder Mostrar dicha Certificación al Mercado Externo, generalmente se recurre a Organizaciones que estén Técnicamente Aceptadas y además reconocidas INTERNACIONALMENTE para efectuar dicho trabajo. Por ello se recurre a Organizaciones que estén ACREDITADAS (este es el término técnico utilizado) en el Organismo Internacional de Acreditación. Ejemplo de este tipo de Organizaciones son el Bureau Veritas BVQI, Det Norske Veritas DNV, TÜV, etc.

39. COMO ES EL PROCESO DE CERTIFICACION? El requerimiento previo es que la Organización cumpla con la Implementación del SGSI definido en la Sección anterior. Luego se convoca al Tercero para efectuar la CERTIFICACION.

42. PUEDE UNA ORGANIZACION PERDER LA CERTIFICACION? Si una Organización no cumple con los requerimientos, puede ocurrir que en la Auditoría Periódica la Empresa Certificadora solicite que se saque la Certificación Obtenida inicialmente.

43. Cómo se implementa un Programa de Gestión de Seguridad de la Información (SGSI - ISMS)?

44. SGSI SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION Está basado en el Modelo utilizado por las NORMAS ISO en general: Planificar Hacer Actuar Verificar

45. Principales PASOS a seguir en la IMPLEMENTACION del SGSI Implementación del SGSI en 12 PASOS: 1) Definir el alcance del SGSI desde el punto de vista de las características de la actividad, la organización, su ubicación, sus activos y su tecnología 2) Definir una Política GENERAL del SGSI

48. High Low High Frequencia Impacto 1 2 3 4 5 6 11 7 8 9 12 13 10 15 14 19 20 21 22 16 23 24 25 26 10 18 17 Mapa de Riesgos

52. Requisitos FUNDAMENTALES de la Documentación SOPORTE en un SGSI MANTENIMIENTO ACTUALIZADO Y PROTEGIDO de la Documentación

54. Contexto Legal Código Civil de 1887 Código de Comercio de 1971 Ley 23 de 1982 Articulo 15, 20 y 333 de la Constitución Política Decisión 351 de 1993 Decreto 1900 de 1990 Ley 527 de 1999

58. ?

59. Alejandro Hernández, CBCP (571) 758 6955 [email_address]