Proyecto integrador. Las TIC en la sociedad S4.pptx
Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
1. Información segura. Negocios seguros.
Caso: Implementando SGSI en
Caso: Implementando SGSI en
Instituciones Estatales
Roberto Puyó Valladares, CISM
Comité Técnico de Normalización e Intercambio
Comité Técnico de Normalización e Intercambio
Electrónico de Datos EDI
Oficial de Seguridad
LOGO ORADOR
2. Agenda
1 ¿Por qué Implementar un SGSI?
2 Alineamiento con Objetivos Institucionales
3 Alcance
4 Lecciones Aprendidas
5 Integrabilidad de Estándares
6 Visión d l Seguridad d la Información
Vi ió de la S id d de l I f ió
7 El Proyecto
8 Trabajo del Comité EDI
5. Documentos Adulterados
Papel sumergido en bebida gaseosa Papel sumergido en bebida gaseosa
Papel sumergido en Té (Cola Cola)
(Cola-Cola) (Pepsi Cola)
(Pepsi-Cola)
8. Alineamiento con Objetivos Institucionales
US01 - Mejorar la percepción del cliente de
la lid d del
l calidad d l servicio.
i i
US.02- Reducir el fraude
11
PI.02
PI 02 - Mejorar la calidad del servicio
*Fuente: PEI 2007 -201
FI.01 - Conciliar rentabilidad con seguridad
EN.02 - Mejorar la Imagen Institucional
j g
:
SEGURIDAD DE LA INFORMACIÓN
SGSI
9. PLAP - LIMA Centro Cívico Departamentales
CENTRO DE COMPUTO
Primera
Etapa: • Sistemas Informáticos
• Infraestructura
Certificar • Servidores
en • Comunicaciones
ISO/IEC • Aplicaciones
27001 •BBases d D t
de Datos
11. Alcance – Ámbito de implementación
Ámbito: Centro de Cómputo
Soporte Técnico
(Adm. de la Plataforma y las
Mesa d
M de
Comunicaciones)
Ayuda
(Soporte a
Seguridad Usuarios)
)
de la Adm. de la Contingencia del C.C.
Información
Adm. de las Operaciones del Centro de Cómputo
12. Alcance – Lo norma implementada
ISO 27001: “Sistema de Gestión de Seguridad de la Información”
Política de
Seguridad
Organización de la Seguridad
de Información
S G S I
Seguridad del
S id d d l Implica a:
Gestión de Activos
RRHH
Gestión de las Comunicaciones y
Seguridad Física
Operaciones
Organización
Tecnología
Gestión de Acceso
Adquisición, desarrollo y Legal
mantenimiento de sistemas
Física
Gestión de las Gestión de la
Continuidad del Negocio
Continuidad del Negocio Cumplimiento
p
Incidencias de Seguridad
Incidencias de Seguridad
Personas Procesos Tecnología
13. El Proyecto
Lo implementado en el Centro de Cómputo
Análisis Establecimiento
E t bl i i t Implementación
I l t ió Monitoreo y
M it Mantenimiento y
Preliminar y del SGSI y Operación Revisión Mejora
Planeamiento
Normativa de Auditorías Plan de Mejora
j
Definición Alcance
Seguridad Internas Continua
Análisis GAP
Análisis de Plan de
Cuadro de Control Plan para la
Impacto Respuesta al
y Monitoreo Revisión Ejecutiva
Riesgo
Análisis de Implementación
Riesgo de Controles Preparación para
la Certificación
Plan de
Selección de
Educación en
Controles
Seguridad
Certificación
Documento
Aplicabilidad
17. Lección Aprendida
Organice el Comité de Seguridad de la
Organice el Comité de Seguridad de la
Información.
Tienen que participar representantes de
Tienen que participar representantes de
diversas áreas, tales como RRHH, Legal, TI,
personal de las áreas de los procesos
personal de las áreas de los procesos
áreas de los procesos
principales.
principales
No olvidar involucrar al área responsable de
N l id i l lá bl d
emitir documentos normativos.
18. Lección Aprendida
De ser necesario, modificar el MOF de la
De ser necesario, modificar el MOF de la
Institución para que ciertas funciones clave,
en lo que respecta a la seguridad de la
en lo que respecta a la seguridad de la
información y la gestión de riesgos, sean
incluidas.
19. Lección Aprendida
Desarrolle o revise las políticas de seguridad de la
p g
Institución. Cambie el enfoque de políticas de
seguridad informática a políticas de seguridad de la
información.
Guíese de los dominios de la norma ISO/IEC 17799
(ISO/IEC 27002).
( / )
Busque apoyo en otras Instituciones Públicas para no
tratar de “Inventar la Pólvora”.
t t d “I t l Pól ”
25. Lección Aprendida
Capacite a los empleados en seguridad de la
Capacite a los empleados en seguridad de la
información.
Presente casos reales que se hayan efectuado
Presente casos reales que se hayan efectuado
en la institución.
Utilice lenguaje apropiado.
Utili l j i d
Prepare presentaciones diferenciadas por
áreas pero con el mismo mensaje de fondo.
26. LEY Nº 27309 ‐ INCORPORA AL CODIGO PENAL LOS DELITOS
LEY Nº 27309 ‐
INFORMATICOS (ART. 2007 C.P.)
INFORMATICOS (ART. 2007 C.P.)
Art. 207º A .- El que utiliza o ingresa Art. 207º B .- El que utiliza, ingresa o
indebidamente a una base de datos, sistema interfiere indebidamente una base de
o red de computadoras o cualquier parte de datos, sistema o red o programa de
la misma, para diseñar, ejecutar o alterar un computadoras o cualquier parte de la
esquema u otro similar, o para interferir, misma con el fin de alterarlos, dañarlos
interceptar, acceder o copiar información en o destruirlos.
transito o contenida en una base de datos.
CIRCUNSTANCIAS AGRAVANTES
Art. 207º C
El agente accede a una base de El agente pone en peligro la
datos, sistema o red de seguridad nacional".
computadoras, haciendo uso de
información
i f ió privilegiada,
i il i d
obtenida en función a su cargo.
27. FIGURAS DELICTIVAS MAS CONOCIDAS
EMPLEANDO ALTA TECNOLOGIA
DELITO CONTRA EL (Código Penal) DELITO CONTRA LA LIBERTAD
PATRIMONIO OFENSAS AL PUDOR PUBLICO
(HURTO AGRAVADO) (PORNOGRAFIA INFANTIL)
Art. 186º.- El que para obtener Art. 183º A.- El que posee, promueve,
provecho, se apodera ilegítimamente fabrica, distribuye, exhibe, ofrece,
de un bien mueble, total o comercializa o publica, importa o exporta
parcialmente ajeno, sustrayéndolo del por cualquier medio incluido la INTERNET,
lugar donde se encuentra, … objetos, libros, IMÁGENES VISUALES o
auditivas, o realiza espectáculos en vivo de
3. Mediante la tili ió de i t
3 M di t l utilización d sistemas carácter pornográfico, en los cuales se
de transferencia electrónica de utilice a personas de 14 y menos de 18 años
fondos, de la telemática en general o de edad, …
la violación del empleo de claves
secretas.
t Cuando el menor tenga menos de 14 años
de edad, …
30. Lección Aprendida
De ser el caso no dude en solicitar apoyo de la
De ser el caso no dude en solicitar apoyo de la
Policía Informática del Perú – DIVINDAT.
División de Investigaciones de Delitos de Alta
División de Investigaciones de Delitos de Alta
Tecnología.
http://www.policiainformatica.gob.pe/
http://www policiainformatica gob pe/
34. Lección Aprendida
Integre los estándares para NO DUPLICAR
los estándares para NO DUPLICAR
ESFUERZOS:
COSO
COBIT
ISO/IEC 27001
ISO/IEC 27002
Reglamento de Seguridad y Salud en el
Trabajo
35. Integrabilidad
REGULACIONES
SST BCI
Seguridad y Salud en el Trabajo Business Continuity Institute
DRI PMI-PMBOK
Disaster Recovery Institute
ISO 27.005 CMMI BS 25.999
Gestión de Riesgos de segurida nivel de Madurrez Business Continuity Management
COBIT/
ISO 27.001 – 27.002 ISO 20.000
Sistema de Gestión de Seguridad ISO 38500 Sistema de Gestión de Servicios TI
de la Información (SGSI) Gobernabilidad TI (ITIL)
Sistemas de Gestión y Gobernabilidad
alineados con el Negocio
COSO - ERM
36. Integración de Normas – Arman contra la corrupción y el fraude
Escenario del Fraude Control a implementar Informe COSO – RC N° Norma ISO/IEC 27001:2005 COBIT v4- Control de
320-2006- CG- Control – Sistema de Gestión de Tecnologías[
Interno] Seguridad
Tipo d Fraude
Norma de la SBS
de
Uso indebido de los privilegios Código de Ética 3.2 Segregación de A.11 Control de Accesos. DS5 – Garantizar la
Corrupción
en los sistemas de información Funciones A.11.1.1 Política de Control Seguridad de los Sistemas
para ingresar información sin 4.4
44 Sistemas de de Accesos
sustento, adulterar montos, y Información A.11.2.2 Gestión de
favorecer a terceros. Privilegios.
A.11.2.4 Revisión de los
derechos de acceso de los
usuarios
Obtener información de los Aplicar transformación de datos entre los 4.4 Sistemas de A.10.1.4 Separación de las DS11 Administración de la
sistemas de información de los ambientes. Efectuar separación lógica de los Información instalaciones de desarrollo, Información
ambientes de pruebas o ambientes. Controlar el acceso a los mismos. prueba y operación.
desarrollo, dado que la No entregar copias de las bases de datos de A.11.6 Control de Acceso a
información ahí almacenada producción en los ambientes de pruebas o las aplicaciones e
es idéntica a la de los desarrollo. información.
ambientes de producción. A.11.6.2 Aislamiento de
sistemas sensibles.
Personal que ingresa a una Se debe hacer un chequeo y verificación de 1.4 Estructura A.8 Seguridad en Recursos PO7 Administrar recursos
organización sin que se informaciones anteriores de todos los Organizacional Humanos humanos de TI
verifiquen sus documentos. candidatos para el empleo, en concordancia 1.5 Administración de A.8.2.3 Proceso disciplinario
con las leyes, regulaciones y ética. Recursos Humanos
Se debe limitar el acceso a los sistemas, 4.4 Sistemas de
según la necesidad de tener y saber. Información
Uso de accesos físicos y Reforzar el procedimiento de baja del 1.5 Administración de A.8.3.1. Responsabilidades PO7 Administrar recursos
lógicos de empleados que ya personal. Lo ideal es que sus cuentas se Recursos Humanos de Finalización humanos de TI
dejaron de laborar. encuentran centralizadas al momento de la A.8.3.2 Devolución de DS12 Administrar el
baja. Aquí debe establecerse apoyo con el Activos ambiente físico
personal de vigilancia de la Entidad. A.8.3.3 Al finalizar el empleo DS11 Administrar los
Retiro de derechos de datos
acceso.
38. El Proyecto ‐ Cronograma
Lo implementado en el Centro de Cómputo
2007 2008 2009
SGSI
Semestre Semestre Semestre Semestre Semestre Semestre
I II I II I II
Análisis Preliminar y
Planeamiento X X
Establecimiento del
SGSI X X
Implementación y
Operación
p X X
Monitoreo y
Revisión X X
Mantenimiento y
Mejora
j X
Auditoria para la
Certificación X
Certificación
39. El Proyecto ‐ Esfuerzo
RECURSOS: Equipo consultor y personal de la Institución
Para el SGSI del Centro de Cómputo
p
564 días útiles
Mas de 02 Esfuerzo total
AÑOS del proyecto Desde Hasta
dedicados ENE 07 FEB 09
Consultores Instit.
Participación
p
Mas de
M d 35 Directa
6 3
personas
Participación
participando 14 15
Indirecta
40. El Proyecto ‐ Resultados
La Institución aprobó exitosamente la auditoría de certificación para el
Centro de Cómputo(*)
Se usaron las buenas prácticas internacionales
Un Sistema d G tió alineado a l Obj ti
U Si t de Gestión li d los Objetivos I tit i
Institucionales
l
En los próximos 18 meses la integración de los 06 SGSI
(*) En tramites
41. Por último – desde el Comité EDI
• Para el 2009 en proceso:
• PNTP ISO/IEC 27006: 2007 ‐ Information technology Security
PNTP ‐ ISO/IEC 27006: 2007 Information technology – Security
techniques – Requirements for bodies providing audit and
certification of information security management systems.
• PNTP ISO/IEC 27005: 2008 ‐ Information technology Security
PNTP ‐ ISO/IEC 27005: 2008 Information technology – Security
techniques – Information security risk management
• PNTP – ISO 27799:2008 ‐ Health informatics ‐‐ Information
security management in health using
security management in health using
• PNTP – ISO 28001:2007 ‐ Security management systems for the
supply chain ‐ Best practices for implementing supply chain
security, assessments and plans ‐ Requirements and guidance.
security assessments and plans Requirements and guidance
42. !MUCHAS GRACIAS por su atención!
p
Roberto Puyó Valladares, CISM
Roberto Puyó Valladares CISM
robertopuyovalladares@gmail.com
995786312