Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Seminario de Implementación del SGSI Carlos Lobos de Medina Consultas Carlos Lobos de Medina https://www.linkedin.com/in/clobos/ carlos.lobos@usach.cl Director del Programas de Diplomados de Ciberseguridad www.diplomadociberseguridad.com Cybersecurity Governance & Management Expert Advisor | Academic |Global | 20 years experience ISO 27001/22301/37301/27701 Implementer and Auditor Certified COBIT 2019 | NIST | CISM | CISA | CCSA https://www.linkedin.com/in/clobos/ mailto:carlos.lobos@usach.cl http://www.diplomadociberseguridad.com/ Agenda ▪ 9:30 a 9:45 Introducción al SGSI ▪ 9:45 a 10:30 Lecciones Aprendidas del SGSI ▪ 10:30 a 10:45 Receso ▪ 11:00 a 12:10 Lecciones Aprendidas del SGSI ▪ 12:10 a 12:30 Consultas SEMINARIO IMPLEMENTACIÓN DEL SGSI Sistema de Gestión de Seguridad de la Información “Conjunto de elementos de una organización interrelacionados o que interactúan para establecer políticas, objetivos, y procesos para lograr estos objetivos.” ISO 9.000 Definiciones de un Sistema de Gestión “Un SGSI (Sistema de Gestión de la Seguridad de la Información) consiste en un conjunto de políticas, procedimientos, guías y sus recursos y actividades asociados, que son gestionados de manera colectiva por una organización.” ISO 27.000 “Un SGSI es un enfoque sistemático para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información de una organización para alcanzar los objetivos de negocio.” ISO 27.000 “Es un sistema que determina que requiere protegerse, y por qué, de que debe ser protegido y como protegerlo.” Albert, 2003 Otra forma de verlo Fuente: Managing Information Security Risk – Christopher Albert.2003 ¿Que requiere protegerse? ¿por qué protegerlos? ¿De que protegerlos? ¿Cómo protegerlos? ▪ Los procesos de negocio ▪ La información y TIC habilitantes ▪ El valor que tienen para el negocio ▪ Para preservar la CID requerida ▪ Amenazas ▪ Vulnerabilidades ▪ Con una metodología ▪ Con prácticas de gestión de riesgo ▪ Implementando controles ▪ Con un proceso estructurado ▪ Mejorando continuamente Una metodología basada en mejores prácticas que posibilita la implementación de un SGSI ¿Que ofrece ISO 27.001? Planificar (Plan) Hacer (Do) Verificar (Check) Actuar (Act) Visión de Procesos alineada al ciclo PDCA Enfoque de Riesgos Metodología Estandarizada Controles de Seguridad de la Información Ciclo PDCA ✓ Permite a una organización asegurarse de que sus procesos cuenten con recursos y se gestionen adecuadamente. ✓ Posibilita que las oportunidades de mejora se determinen y se actúe en consecuencia. ✓ La aplicación del enfoque a procesos en un sistema de gestión permite: A. La comprensión en el cumplimiento de los requisitos. B. La consideración de los procesos integrado. C. El logro del desempeño eficaz del proceso. D. La mejora de los procesos con base en la evaluación de los datos, la información y objetivos. Procesos de un SGSI – ISO 27.022 Parece que acá ya se complico la cosa!!! ▪ Existen decisiones estratégicas que tomar? ▪ Tenemos que tener políticas de seguridad? ▪ Debemos gestionar nuestros riesgos? ▪ Habrá que controlar los servicios? ▪ Tenemos que capacitar a nuestros RRHH? ▪ Que hacer con las incidencias? Parece que algunos procesos hay que tener!!! ▪ Si los procesos cambian? ▪ Necesitamos auditar los procesos? ▪ Evaluaremos los procesos? ▪ Será necesario irlos mejorando? Necesitamos información para todo esto!!! Enfoque de Riesgos El propósito de un SGSI es tener sus riesgos gestionados!!! Controles de Seguridad de la Información – ISO 27.002 SEMINARIO IMPLEMENTACIÓN DEL SGSI Lecciones Aprendidas de la Implementación Algunas visiones ISO 27001 checklist: 16 steps for the implementation – Dejan Kosutic https://advisera.com/27001academy/knowledgebase/iso-27001-implementation-checklist/ https://advisera.com/27001academy/knowledgebase/iso-27001-implementation-checklist/ #01 La implementación del SGSI no sólo involucra a TI, deber ser abordado desde una perspectiva integral y con buenas prácticas de gestión Consideraciones Importantes de la Implementación Es un importante cambio que debe realizar en la organización, requiere prácticas de gestión ad-hoc La Implementación de un Sistema de Gestión se basa en el Ciclo PDCA Debe gestionar la implementación como un Proyecto, empleando metodologías ad-hoc Cuando hablamos de Ciberseguridad desde las Buenas Prácticas La implementación del SGSI no sólo involucra a TI, deber ser abordado desde una perspectiva integral y con buenas prácticas de gestión Consideraciones de la Implementación – Visión de Controles Gobernanza Gestión de Proyectos Gestión de Activos Control de Accesos Seguridad en RRHH Capacitación y Concientización Protección de Información y Medios Seguridad Física Seguridad en la Configuración Seguridad Operaciones Gestión de Vulnerabilidades Seguridad en Redes Seguridad en Software Seguridad con Proveedores Gestión de la Continuidad Gestión de Incidentes Ciberinteligencia Riesgos en Cadena de Suministro Privacidad y Cumplimiento Pentesting Monitoreo Red y Servicios Seguridad en la Nube Auditoría y Aseguramiento Gestión de Logs y Evidencia Controles Administrativos Controles en TI Controles Ciber #01 21 Pasos para la Implementación 1.- Creación de la Urgencia 2.- Formar una coalición 3.- Comprender el Estado Actual 4.- Entender el Contexto 5.- Formulación de Objetivos 6.- Plan de Implementación 7.- Formalización de Comité de Seguridad de la Información 8.- Programa de capacitación, entrenamiento y concientización 9.- Definir la Gobernanza y Gestión de la Seguridad de la Información 10.- Establecimiento del Política de Seguridad 11.- Implementación de procedimientos de apoyo del SGSI 12.- Implementación de procedimientos y controles bases del SGSI 13.- Definir Metodología e Implementación de Apreciación de Riesgos 14.- Desarrollar el Plan de Tratamiento de Riesgos 15.- Implementación de Políticas, Procedimientos y Controles 16.- Gestión de Indicadores de Performance 17.- Monitoreo del SGSI 18.- Auditoría al SGSI 19.- Revisión de la Dirección al SGSI 20.- Mejora Continua 21.- Preparación para la Auditoría Certificación 1.- Creación de la Urgencia Prever lo que pasará a futuro, para bien y para mal PARA MAL ▪ ¿Cumplimos actualmente con la Ley? ▪ ¿En el sector hay ciberataques? ▪ ¿Estamos expuestos actualmente? ▪ ¿Cuál es el potencial impacto? ▪ ¿Si perdemos datos sensibles? ▪ ¿Se paralizaría nuestra operación? ▪ ¿Podríamos afectar a pacientes? ▪ ¿Cómo responderíamos a un ciberataque? PARA BIEN ▪ ¿Tenemos las capacidades internas? ▪ ¿Cuál es nuestro estado actual? ▪ ¿Qué es lo que debemos hacer? ▪ ¿Cómo mejorar nuestras falencias? ▪ ¿Qué recursos se necesitan? ▪ ¿Cómo armamos un plan? ▪ ¿Quiénes nos pueden ayudar? ▪ ¿Cuánto demorará la implementación? Lograr que los directivos y tomadores de decisión se den cuenta que sería un error no realizar cambios necesarios, que lleguen a las mismas conclusiones. #02 Casos de Negocio ▪ Algo simple, pero contundente ▪ Plantee algunos escenarios representativos ▪ Identifique algunos riesgos claves ▪ Identifique los potenciales efectos ▪ El análisis BIA es un buen amigo ▪ Considere la realidad organizacional ▪ Plantee algo realista ▪ Tenga claro a quien va dirigido ▪ Ver Lección Aprendida 3 Casos de Negocio - Representativos Fuga de InformaciónCiberataques Casos de Negocio - Representativos Fraude del CEOIngeniería Social Casos de Negocio - Representativos Continuidad del Negocio Proveedores Criticos Casos de Negocio - Representativos Seguridad Física Seguridad en Instalaciones 2.- Formar una coalición ▪ No es solo una función de TI ni de Ciberseguridad ▪ El impacto en los procesos claves de negocio es una forma de buscar potenciales aliados ▪ Quienes manejaninformación sensible son buenos candidatos ▪ Áreas administrativas tienen un rol importante: RRHH, Operaciones, Adquisiciones, entre otros. Articular un equipo de trabajo representativo que comparta la misma visión y hacerles participe del cambio, involucrarlos y trabajar juntos. #03 Distribución de Roles y Funciones ▪ Ciertamente y pese a que son pocas las funciones que aparecen en como de responsabilidad especifica en el ámbito de la ciberseguridad, el rol de esta en los diversos dominios es importante. ▪ Muchas de las funciones en la adopción de controles es responsabilidad de áreas de tecnologías y propias del negocio, en las cuales la ciberseguridad tendrá menor o mayor injerencia. ▪ A continuación, se presentan algunos ejemplos que pueden ayudar a clarificar más la idea. Caso 1: Definición de Políticas de Ciberseguridad Definición y Formulación Revisión y Aprobación Proveer Recursos Adopción y Ejecución Revisión de Resultados Mejora Continua Es común que sea definida por áreas de Riesgos en conjunto con Ciberseguridad La dirección es quien debe revisarla y aprobarla La dirección es quien debe proveer los recursos Ciberseguridad en conjunto con otros roles la llevaran a cabo Desde la misma gestión se evaluará, Auditoría evaluará el cumplimiento La Dirección deberá analizar y proveer las directrices y los recursos para ello Caso 2: Protección frente a Malware (equipamiento usuarios) Definición Herramientas de Protección Instalación y/o Implementación Revisión y Monitoreo Respuesta Frente a Incidentes Continuidad del Negocio Es común que sea definida por áreas de TI, Ciberseguridad y Riesgos Normalmente es TI el responsable de la instalación Es Ciberseguridad en conjunto con TI quienes desarrollan esta función Es una función comúnmente desarrollada por Ciberseguridad Esta es una función propia del negocio, ellos deben saber cómo operar en contingencia Caso 3: Capacitación y Concientización Detección de Necesidades de Capacitación Provisión de Capacitación Campañas de Concientización Ejercicios de Concientización Evaluación de Resultados Es común que sea definida por áreas de RRHH con apoyo de ciberseguridad Normalmente es RRHH quien realiza esto con directrices de Ciberseguridad Es RRHH en conjunto con Ciberseguridad quienes lo desarrollan Es una función comúnmente desarrollada por Ciberseguridad Esta es una función propia de RRHH Caso 4: Control de Accesos Políticas y Procedimientos Definición de Accesos e Identidades Despliegue de Accesos e Identidades Revisión de Accesos e Identidades Riesgos de IAM Es común que sea definida por áreas de TI y RRHH, con apoyo de Riesgos Normalmente es el negocio + TI los responsables Es el Negocio, TI o RRHH quienes desarrollan esta función Es una función comúnmente desarrollada por Auditoría Es un punto de interés clave en Ciberseguridad Caso 5: Gestión de Vulnerabilidades (Estándar) Políticas y Procedimientos Identificación de Parches o Vulnerabilidades Revisión de Parches Actualización de Software (Parchado) Monitoreo Continuo Es común que sea definida por áreas de TI Es una función que debe desarrollar TI Es responsabilidad de TI, apoyada por Ciberseguridad sobre todo frente a vulnerabilidades criticas Es una función que debe desarrollar TI Es un punto de interés clave en Ciberseguridad Caso 6: Continuidad del Negocio (Estándar) Políticas y Procedimientos Levantamiento de Procesos Criticos Definición del RIA + BIA Definición de Estrategias + BCP + Gestión de Crisis Respuesta a Incidentes Es común que sea definida por áreas de Riesgos o Continuidad Es una función que debe desarrollar el Negocio Es responsabilidad de del Negocio Es una función que debe desarrollar el Negocio Es un punto de interés clave en Ciberseguridad El Negocio debe seguir operando 2.- Formar una coalición ▪ Aliados claves ▪ Dirección ▪ TI ▪ Áreas de Negocio Criticas ▪ Como seducirlos ▪ Con la necesidad ▪ Con la calidad ▪ Con las regulaciones ▪ Con la debida diligencia ▪ Con los casos de negocio!!! Articular un equipo de trabajo representativo que comparta la misma visión y hacerles participe del cambio, involucrarlos y trabajar juntos. #03 3.- Comprender el Estado Actual Realice evaluaciones realistas de las brechas y capacidades, considerando los aspectos de mejora priorizados que deben ser desarrollados. #04 Uso de Check List Uso de Modelos de Madurez Estudios Comparativos Usando Check List Estandar Usando COBIT 2019 Usando otros Instrumentos Institucionalidad Prioridades legislativas Consideraciones presupuestarias Requisitos para el Sector P Aumentos de Precios de Servicios Aumento de Rentas en Ciberseguridad Rentas poco competitivas Inflación/Tasas de Cambio E Mayor uso de teléfonos, internet, redes sociales…. Mayor uso de servicios electrónicos Mayor valor en la protección de datos Percepción de inseguridad S Riesgos en el sector Riesgos en las tecnologías claves Tendencias, desafíos y oportunidades Herramientas de protección y arquitecturas de seguridad T Gestión de residuos Eficiencia energética Riesgos ambientales derivados de ciberataques E Ley Marco de Ciberseguridad Ley de Protección de Datos Ley de Delitos Informáticos Leyes sectoriales L 4.- Entender el Contexto Externo Desarrolle el análisis centrado en la organización y con una visión de negocio, el publico objetivo es la dirección y que comprenda potenciales riesgos. #05 4.- Entender el Contexto Interno Sea objetivos en los análisis, su organización probablemente tenga muchas debilidades, reconocerlas es un paso fundamental. #06 5.- Formulación de Objetivos Sea coherente con las necesidades identificadas y su realidad, la formulación de un alcance y expectativas realista ayudará en el éxito. #07 1.- Creación de la Urgencia 2.- Formar una coalición 3.- Comprender el Estado Actual 4.- Entender el Contexto Acciones concretas a desarrollar para subsanar brechas Matriz de Análisis FODA Matriz de Análisis FODA Sector Servicios 6.- Plan de Implementación Un plan de implementación implica establecer metas, pero también responsable y recursos (personas, tecnologías, servicios, recursos). #08 6.- Plan de Implementación 8.- Programa de capacitación, entrenamiento y concientización Considere un programa distintivo y orientado en los roles, tomadores de decisión, gerencial, roles específicos de ciberseguridad y usuarios generales. #10 NICE FrameworkENISA – Roles de CiberseguridadTres Líneas de Defensa – The IIA 9.- Definir la Gobernanza y Gestión de la Seguridad de la Información Establezca son los roles y responsabilidades claves en las líneas de defensa, así como en cargos de responsabilidad especifica en SGSI y ciberseguridad. #11 Tres Líneas de Defensa – The IIA 10.- Establecimiento del Política de Seguridad Defina el público objetivo y desarróllela en consecuencia, es un documento que otorga directrices y comunicación clave, las cuales deben ser realistas. #12 Desde las buenas prácticas (ISO 27001/ISO 27002/ISO 27003) 11.- Implementación de procedimientos de apoyo del SGSI La adopción de plantillas de procesos es una buena práctica, pero deben reflejar el quehacer organizacional, el copiar-pegar no sirve. #13 ▪ Procesos en general de adopción inicial: ▪ Gestión Documental ▪ Gestión de Comunicaciones ▪ Gestión de Gobernanza ▪ Gestión de Políticas de Seguridad ▪ Auditoría Interna ▪ Gestión de RRHH ▪ Son independiente de los Riesgos, los deberá implementar, ayudarán a generar rápidos resultados del proyecto. 11.- Implementación de procedimientos de apoyo del SGSI 11.- Implementación de procedimientos de apoyo del SGSI 12.- Implementación de procedimientos y controles bases del SGSI Los controles deseguridad de la información deben integrarse en los procesos, no implica la creación de nuevos procesos, probablemente ya tenga definiciones al respecto, utilícelas. #14 Gobernanza Gestión de Proyectos Gestión de Activos Control de Accesos Seguridad en RRHH Capacitación y Concientización Protección de Información y Medios Seguridad Física Seguridad en la Configuración Seguridad Operaciones Gestión de Vulnerabilidades Seguridad en Redes Seguridad en Software Seguridad con Proveedores Gestión de la Continuidad Gestión de Incidentes Ciberinteligencia Riesgos en Cadena de Suministro Privacidad y Cumplimiento Pentesting Monitoreo Red y Servicios Seguridad en la Nube Auditoría y Aseguramiento Gestión de Logs y Evidencia Controles Administrativos Controles en TI Controles Ciber 11.- Implementación de procedimientos de apoyo del SGSI 12.- Implementación de procedimientos y controles bases del SGSI 13.- Definir Metodología e Implementación de Apreciación de Riesgos El proceso y los instrumentos para la gestión de riesgos son aspectos de mayor complejidad en el SGSI, emplee modelos funcionales y considere la capacitación especial basada en casos a los responsables #15 Contexto de Riesgos - Apetito ▪ Se debe establecer el Apetito de Riesgo, considerando el contexto de riesgo, regulaciones, intereses, requisitos de partes interesadas, entre otros. Caso 1: Sector Público Considerar que: Caso 2: Sector Financiero Consideraciones Riesgo de Continuidad Riesgo de Ciberseguridad Línea Base Riesgo en Infraestructura Critica Terremotos Incendios APT Ciberguerra Organizaciones críticas 14.- Desarrollar el Plan de Tratamiento de Riesgos La definición del proceso es simple, pero procure establecer los elementos de revisión y consolidación idóneos entre las partes. #16 Cada plan de tratamiento de riesgos procure gestionarlo como proyecto, ayudará en su capacidad de gestión y monitoreo #17 15.- Implementación de Políticas, Procedimientos y Controles Establezca claramente los alcances de la implementación de controles, evalué la pertinencia de la documentación y el uso de recursos (persona, tecnologías, servicios, infraestructura, entre otros). #18 16.- Gestión de Indicadores Claves de Performance Defínalos a un alto nivel de actividades (son claves), a nivel de procesos es una buena práctica, cuestiónese la utilidad y su pertinencia de uso, principalmente en la toma de decisiones. #19 ISO 27004 – Indicadores del SGSI Deben medir una gestión que sea necesaria de controlar y pueda aportar en la mejora continua 17.- Monitoreo del SGSI Monitoreo periódico y con objetivos específicos, la provisión oportuna y de calidad de la información es clave #20 17.- Monitoreo del SGSI 18.- Auditoría al SGSI Las capacidades de los auditores es una importante brecha a subsanar, la actividad es el clave para el aseguramiento y mejora del SGSI, principalmente en la evaluación de controles y actividades criticas. #21 19.- Revisión de la Dirección al SGSI La revisión de la dirección debe ser periódica e integral, recogiendo todos los puntos de atención necesarios que signifiquen una potencial de brecha en los objetivos establecidos o una desviación, tomando decisiones oportunas para su corrección o fortalecimiento de medidas. #22 21.- Preparación para la Auditoría Certificación La inversión en la certificación es marginal en la implementación de un SGSI, tiende a aportar valor y compromiso a las partes interesadas #24 21.- Preparación para la Auditoría Certificación SEMINARIO IMPLEMENTACIÓN DEL SGSI Lecciones Aprendidas de la Implementación Reflexión General “Si no te preparas, te estás preparando para fallar” Benjamín Franklin Consultas Carlos Lobos de Medina https://www.linkedin.com/in/clobos/ carlos.lobos@usach.cl Director del Programas de Diplomados de Ciberseguridad www.diplomadociberseguridad.com Cybersecurity Governance & Management Expert Advisor | Academic |Global | 20 years experience ISO 27001/22301/37301/27701 Implementer and Auditor Certified COBIT 2019 | NIST | CISM | CISA | CCSA https://www.linkedin.com/in/clobos/ mailto:carlos.lobos@usach.cl http://www.diplomadociberseguridad.com/ Seminario de Implementación del SGSI Carlos Lobos de Medina Diapositiva 1: Seminario de Implementación del SGSI Diapositiva 2: Consultas Diapositiva 3: Agenda Diapositiva 4: Sistema de Gestión de Seguridad de la Información Diapositiva 5: Definiciones de un Sistema de Gestión Diapositiva 6: Otra forma de verlo Diapositiva 7: ¿Que ofrece ISO 27.001? Diapositiva 8: Ciclo PDCA Diapositiva 9: Procesos de un SGSI – ISO 27.022 Diapositiva 10: Enfoque de Riesgos Diapositiva 11: Controles de Seguridad de la Información – ISO 27.002 Diapositiva 12: Lecciones Aprendidas de la Implementación Diapositiva 13: Algunas visiones Diapositiva 14: Consideraciones Importantes de la Implementación Diapositiva 15: Cuando hablamos de Ciberseguridad desde las Buenas Prácticas Diapositiva 16: Consideraciones de la Implementación – Visión de Controles Diapositiva 17: 21 Pasos para la Implementación Diapositiva 18: 1.- Creación de la Urgencia Diapositiva 19: Casos de Negocio Diapositiva 20: Casos de Negocio - Representativos Diapositiva 21: Casos de Negocio - Representativos Diapositiva 22: Casos de Negocio - Representativos Diapositiva 23: Casos de Negocio - Representativos Diapositiva 24: 2.- Formar una coalición Diapositiva 25: Distribución de Roles y Funciones Diapositiva 26: Caso 1: Definición de Políticas de Ciberseguridad Diapositiva 27: Caso 2: Protección frente a Malware (equipamiento usuarios) Diapositiva 28: Caso 3: Capacitación y Concientización Diapositiva 29: Caso 4: Control de Accesos Diapositiva 30: Caso 5: Gestión de Vulnerabilidades (Estándar) Diapositiva 31: Caso 6: Continuidad del Negocio (Estándar) Diapositiva 32: 2.- Formar una coalición Diapositiva 33: 3.- Comprender el Estado Actual Diapositiva 34: Usando Check List Estandar Diapositiva 35: Usando COBIT 2019 Diapositiva 36: Usando otros Instrumentos Diapositiva 37: 4.- Entender el Contexto Externo Diapositiva 38: 4.- Entender el Contexto Interno Diapositiva 39: 5.- Formulación de Objetivos Diapositiva 40: Matriz de Análisis FODA Diapositiva 41: Matriz de Análisis FODA Diapositiva 42: 6.- Plan de Implementación Diapositiva 43: 6.- Plan de Implementación Diapositiva 44: 8.- Programa de capacitación, entrenamiento y concientización Diapositiva 45: 9.- Definir la Gobernanza y Gestión de la Seguridad de la Información Diapositiva 46: 10.- Establecimiento del Política de Seguridad Diapositiva 47: 11.- Implementación de procedimientos de apoyo del SGSI Diapositiva 48: 11.- Implementación de procedimientos de apoyo del SGSI Diapositiva 49: 11.- Implementación de procedimientos de apoyo del SGSI Diapositiva 50: 12.- Implementación de procedimientos y controles bases del SGSI Diapositiva 51: 11.- Implementación de procedimientos de apoyo del SGSI Diapositiva 52: 12.- Implementación de procedimientos y controles bases del SGSI Diapositiva 53: 13.- Definir Metodología e Implementación de Apreciación de Riesgos Diapositiva 54: Contexto de Riesgos - Apetito Diapositiva 55: Caso 1: Sector Público Diapositiva 56: Caso 2: Sector Financiero Diapositiva 57: Consideraciones Diapositiva 58: 14.- Desarrollar el Plan de Tratamiento de Riesgos Diapositiva 59: 15.- Implementación de Políticas, Procedimientos y Controles Diapositiva 60: 16.- Gestión de Indicadores Claves de Performance Diapositiva 61: 17.- Monitoreo del SGSI Diapositiva 62: 17.- Monitoreo del SGSI Diapositiva 63: 18.- Auditoría al SGSI Diapositiva 64: 19.- Revisión de la Dirección al SGSI Diapositiva 65: 21.- Preparación para la Auditoría Certificación Diapositiva 66: 21.- Preparación para la Auditoría Certificación Diapositiva 67: Lecciones Aprendidas de la Implementación Diapositiva 68: Reflexión General Diapositiva 69:Consultas Diapositiva 70: Seminario de Implementación del SGSI
Compartir