Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
BREVE DESCRIPCIÓN DE LOS PROCESOS ADMINISTRACIÓN DE LA SEGURIDAD (ASI) Y OPERACIÓN DE CONTROLES DE SEGURIDAD (OPEC) DEL MAAGTIC-SI Ricardo Calderón Cruz Abril 2016 OBJETIVO DE LA REUNIÓN Describir los procesos ASI y OPEC del MAAGTIC-SI, con la finalidad de dar a conocer como pueden fortalecer la identificación de infraestructura critica, administración de riesgos, el sistema de gestión de la información y el funcionamiento de equipos de respuesta a incidentes. AGENDA 1. Introducción 2. Modelo actual de procesos del MAAGTIC-SI 3. Algunos conceptos básicos 4. Descripción del proceso ASI 5. Descripción del Proceso OPEC 6. Relación entre los procesos ASI y OPEC 7. Interacción entre los procesos ASI y OPEC 8. Elementos básicos del SGSI 9. Resumen INTRODUCCIÓN Como respuesta al problema cada vez mayor de amenazas en el ciberespacio, el Consejo de Seguridad Nacional estableció el Grupo Técnico Intersecretarial Especializado en Seguridad de la Información (GTECSI), con el objetivo de coordinar los trabajos para el desarrollo de una política general de seguridad de la información. Estos trabajos dieron como resultado diversos lineamientos generales que el Ejecutivo Federal, acordó incorporar en el Manual Administrativo de Aplicación General en materia de Tecnologías de Información y Comunicaciones (MAAGTICSI). En consecuencia, el 29 de noviembre de 2011 se publicó en el Diario Oficial de la Federación (DOF) el "Acuerdo por el que se establecen las disposiciones administrativas en materia de tecnologías de la información y comunicaciones, y se expide el Manual Administrativo de Aplicación General en esa materia y en la de Seguridad de la Información" (MAAGTICSI). INTRODUCCIÓN Los principales productos de los procesos ASÍ y OPEC son el Modelo de Gobierno de la Seguridad de la Información (MGSI) de la institución y del Sistema de Gestión de la Seguridad de la Información (SGSI). ASI OPEC MGSI y SGSI INTRODUCCIÓN El modelo de gobierno para la Seguridad de la Información esta basado en: Ley de seguridad nacional Estrategia Digital Nacional Acuerdos en materia de TIC MAAGTICSI Información de la institución Estrategia de seguridad de la información Políticas de la Seguridad de la información MODELO ACTUAL DE PROCESOS DEL MAAGTIC-SI CONCEPTOS BÁSICOS El Sistema de Gestión de la Seguridad de la Información SGSI Es una herramienta de gestión que permite conocer, gestionar y minimizar los posibles riesgos que atenten contra la seguridad de la información en la empresa. Activos de información Son software, sistemas de información, bienes informáticos, soluciones tecnológicas, sus componentes, las bases de datos o archivos electrónicos y la información contenida en éstos. Para identificar los activos de información hay que tener en cuenta que estos pueden proceder de distintas fuentes de información dentro de la empresa y que pueden encontrarse en diferentes soportes, como papel o medios digitales. Además es necesario considerar el ciclo de vida de la información ya que, lo que puede ser critico para el negocio puede dejar de tener importancia con el tiempo. CONCEPTOS BÁSICOS Gestión de Riesgo La gestión de los riesgos va a permitir preservar la confidencialidad, integridad y disponibilidad de la información en el interior y al exterior de la empresa ante nuestros clientes y ante distintas partes interesadas en el negocio. Controles de seguridad Medios para manejar el riesgo. Estas acciones van a proteger a la institución frente a amenazas y riesgos que puedan poner en peligro la continuidad de los niveles de competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos de negocio. De esta manera, se conseguirá mantener el riesgo para nuestra información por debajo del nivel definido por la propia institución CONCEPTOS BÁSICOS ISO/IEC 27000 Con el fin de proporcionar un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización se creó una familia de estándares con el nombre de ISO/IEC 27000. Estas normas van a permitir disminuir de forma significativa el impacto de los riesgos sin necesidad de realizar grandes inversiones en software y sin contar con una gran estructura de personal. PROCESO DE ADMINISTRACIÓN DE LA SEGURIDAD (ASI) Objetivo general Establecer y vigilar los mecanismos que permitan la administración de la seguridad de la información de la Institución, así como disminuir el impacto de eventos adversos, que potencialmente podrían afectar el logro de los objetivos de la Institución o constituir una amenaza para la Seguridad Nacional. Para cumplir con el objetivo, se deberán considerar las siguientes actividades: PROCESO DE ADMINISTRACIÓN DE LA SEGURIDAD (ASI) Designar al RSII Elaborar el Catalogo de IC Diseñar la estrategia de SI Establecer el ETIC Establecer la directriz de admón. de riesgos Definir los controles para proteger la activos críticos de TIC Constatar que las actualizaciones de seguridad se apliquen en toda la Institución. Integrar el ETAR Informar al CISEN de su designación Establecer mecanismos de protección de la IC Definir el SGSI y programa de implantación Identificar procesos críticos de la Institución Identificar activos a proteger Documentar los controles determinados Obtener el desempeño del SGSI y definir las mejoras correspondientes Identificar amenazas y vulnerabilidades Establecer el GESI y su operación Vigilar los controles de seguridad Capacitar a la Institución en temas de SI Identificar actividades criticas de los procesos clave Identificar y evaluar escenarios de riesgo. Elaborar el documento de mejora del SGSI Constatar la implementación del SGSI Elaborar un programa de evaluación del SGSI Identificar si los procesos críticos están vinculados con la integridad, estabilidad y permanencia del Edo. Mexicano. Elaborar análisis costo-beneficio de los controles Comunicar las mejoras que se van a aplicar. Elaborar la directriz rectora de respuesta a incidentes (ERISC) Elaborar docto. De resultados del Análisis de Riesgo Dar seguimiento a las acciones de mejora del SGSI Comunicar al OIC cumplimientos al SGSI Seleccionar controles a implementar Elaborar un informe de seguimiento a las acciones de mejora. Elaborar e implementar Programa AR Establecer modelo de gobierno de SI Operar y mantener modelo de gobierno de SI Diseño del SGSI Identificar Infra. Critica y Activos clave Elaborar el Análisis de Riesgos Integrar al SGSI controles mínimos Mejorar el SGSI PROCESO DE ADMINISTRACIÓN DE LA SEGURIDAD (ASI) Relación de productos 1. Documento de integración y operación del grupo Estratégico de Seguridad de la Información. Formato ASI F1. 2. Catálogo de Infraestructuras Críticas. Formato ASI F2. 3. Documento de resultados del Análisis de Riesgos. Formato ASI F3. 4. Documento de definición del SGSI. Formato ASI F4. 5. Directriz rectora de respuesta a incidentes. Formato ASI F5. PROCESO DE ADMINISTRACIÓN DE LA SEGURIDAD (ASI) Indicador del proceso ASI Nombre: Cumplimiento del Proceso ASI. Objetivo: Obtener la eficiencia del proceso en base a su cumplimiento. Descripción: Medir el cumplimiento en la implementación de los controles establecidos durante el proceso. Fórmula: % de eficiencia = (controles implementados / controles programados para su implementación) X 100. Responsable: El responsable del proceso ASI Frecuencia de cálculo: Anual. PROCESO DE OPERACIÓN DE CONTROLES Y DEL ERISC (OPEC) Objetivo General Implementar y operar los controles de seguridad de la información de acuerdo al programa de implementación del SGSI, así como los correspondientes a la capacidad de respuesta a incidentes. Para cumplir con el objetivo,se deberán realizar las siguientes actividades: PROCESO DE OPERACIÓN DE CONTROLES Y DEL ERISC (OPEC) Asignar Resp. de Implementación de controles Definir reglas de operación del ERISC Definir acciones de atención a incidentes de SI Ejecutar los programas de manejo de riesgos y de imp. Del SGSI Mantener los componentes de doms. tecs. Con el sw de SI y de monitoreo. Verificar eficacia y eficiencia de controles implementados Aplicar acciones correctivas y preventivas a los ctrls. de SI Comunicar esta asignación a involucrados Elaborar la guía técnica de atención a incidentes Verificar que los resp. de implementar ctrls. apliquen la guía Dar seguimiento a estos programas Reforzar conexiones de redes con ctrls. de acceso Evaluar el SGSI Documentar resultados de acciones de mejora Actualizar Docto. Resultado Análisis de Riesgo y PI del SGSI Definir mecanismo de registro de incidentes Integrar los datos del incidente al repositorio del area corresp. Elaborar informe de resultados de la imp. del SGSI Asegurar que servidores cuenten con sw de protección contra código malicioso Registrar intentos de violaciones e incidentes de SI Actualizar informe de seguimiento a las mejoras del SGSI Reportar al RSII los incidentes de SI Checar que ctrls. de SI se hayan imp. de acuerdo al diseño del SGSI Proteger correo electrónico contra correo no deseado Documentarlas acciones de mejora al SGSI Actualizar programa de evaluaciones del SGSI Hacer informe de desviación de imp y/o operación de controles de SI Proteger equipos de computo Gestionar privilegios de acceso Integrar los controles de doms. Tecs al SGSI Designar Resp. de Impl. de controles Establecer los elementos de operación del ERISC Op. del ERISC en la atención de incidentes Implant. los ctrls. de mitigación de riesgos y del SGSI Implant. los ctrls. del SGSI de dominios tecs. de TIC Revisar la operación del SGSI Aplicar al SGSI las mejoras definidas PROCESO DE OPERACIÓN DE CONTROLES Y DEL ERISC (OPEC) Relación de productos Este proceso utiliza para su operación, consulta y actualización los productos del Proceso de Administración de la Seguridad de la Información (ASI). PROCESO DE OPERACIÓN DE CONTROLES Y DEL ERISC (OPEC) Indicador del proceso Nombre: Cumplimiento de la administración de riesgos. Objetivo: Medir la eficiencia de la gestión del proceso. Descripción: Medir el cumplimiento en la implementación de los controles para la mitigación de riesgos establecidos durante el proceso. Fórmula: % de eficiencia = (controles implementados en operación de acuerdo a su definición / controles implementados) X 100. Responsable: El responsable del proceso. Frecuencia de cálculo: Anual. INTERACCIÓN ENTRE LOS PROCESOS ASI Y OPEC ASI-1. Modelo de gobierno de SI ASI-2. Mantener el modelo de gobierno de SI Opec-2. Establecer el ERISC ASI-3. Diseñar el SGSI ASI-4. Identificar la IC ASI-5. Establecer Directriz de Administración de Riesgos ASI-6. Elaborar Análisis de Riesgos ASI-7. Diseñar controles mínimos OPEC-1. Establecer el Grupo de Implantación. OPEC-3. Operar el ERISC OPEC-4 y OPEC-5. Implantar los controles del SGSI. OPEC-6. Revisar la operación del SGSI. ASI-8. Definir mejoras al SGSI OPEC-7. Aplicar mejoras al SGSI SGSI Actuar Verificar Ejecutar Políticas de SI Planear ELEMENTOS BÁSICOS DEL SGSI Planeación -Catalogo de activos -Análisis de Riesgos - Declaración de Aplicabilidad Ejecución Seguimiento Mejora Control implantado: - Gestión incidentes de SI - Registro de usuarios Control implantado: Respaldo de información Indicadores Acciones de mejora Políticas de SI Estudio de la organización Implementación de Controles de Seguridad Evaluación de la eficacia de los controles Mantenimiento del SSI …colocando las piezas del rompecabezas juntas… Para establecer un SGSI en el IIE 1. Establecer el modelo de gobierno de la SI 2. Crear o actualizar las Políticas de SI 3. Integrar del catalogo de infraestructura critica 4. Administrar el riesgo de los activos de información críticos y/o claves a) Definir las directrices para el análisis de riesgo b) Identificación y evaluación de escenarios de riesgo para la infraestructura del catalogo (tabla de análisis y determinación de riesgos, tabla de evaluación de riesgos) c) Realizar análisis costo-beneficio de controles de seguridad (tabla de análisis costo-beneficio) d) Realizar el documento de Declaración de Aplicabilidad e) Realizar el programa de mitigación de riesgos f) Realizar el programa de contingencia de riesgos g) Realizar el programa de implantación para el manejo de riesgos 5. Hacer el programa de implantación de controles 6. Conformar el SGSI 7. Evaluar el SGSI 8. Realizar el programa de mejora del SGSI …en resumen… …en resumen… Seguridad Informática Seguridad Informática Gracias por su atención
Compartir