Estrategias para la

Implementación de un
Sistema de Gestión de
Seguridad de Información
 Agenda
1 Introducción

2 Definiciones , Aspectos Conceptuales, Tendencias

3 Metodología propuesta para ISO/IEC 27001

4 Paso a Paso…

5 Conclusiones
 Antes de comenzar …

• Recomendaciones de la sala
• Uso de teléfonos móviles, notebooks y PDA
• No fumar
 FACILITADOR

Eduardo A. Recabarren Domínguez

Oficial de Privacidad y Seguridad

del Banco de Chile

Ingeniero en Computación e Informática

Ingeniero Civil Industrial
 ¿Quiénes somos?

 El Banco de Chile, fundado en 1893, ha liderado el

mercado financiero chileno como uno de los bancos
más exitosos en términos de retorno de activos y en
la creación de mayor valor para sus accionistas.

 Las actividades del Banco de Chile se desarrollan bajo

una estrategia multimarca, en que las marcas Banco
de Chile y Banco Edwards-Citi cubren los segmentos
de empresas y personas, mientras que el segmento
de consumo es atendido bajo la marca Banco
Credichile, a través de redes de distribución
independientes y de cobertura nacional.
 ¿Quiénes somos?

 El 2 de enero del 2008 nace un nuevo Banco de Chile,

a raíz de la fusión que se produce entre éste y
Citibank Chile.

 La nueva organización cuenta con:

 Una participación de mercado en torno al 20% de las
colocaciones del sistema.

 Más de 1,5 millones de clientes

 Una red de cobertura con más de 400 sucursales a lo largo del

país.

 Nuevas ventajas competitivas, con una mejor cobertura

internacional, para la gama de productos y servicios globales
ofrecidos a los clientes.
 Estructura Gobierno de SI…

- Gerente General - Gerente de Riesgo Operacional

- Gerente División Gestión y Control Financiero - Gerente Operaciones Especializadas Tesorería
- Gerente División Operaciones y Tecnología CERO - Comité Ejecutivo - Gerente de Contraloría
- Gerente División de Calidad de Riesgo Operacional - Gerente Servicio Cliente
- Gerente División Contraloría - Jefe Área Consumo
- Gerente Seguridad y Prevención de Riesgo - Jefe Depto. Riesgo Operacional
- Gerente de Riesgo Operacional - Gerente Serv. Procesamiento e Infraestructura
- Gerencia Zonal
Comité Operativo de - Gerente Operaciones Productos Masivos
Riesgo Operacional

Gerencia Riesgo Operacional

Seguimiento, control de
avance y escalamiento PMO

AREA SEGURIDAD DE LA AREA CONTINUIDAD DEL

AREA RIESGO OPERACIONAL
INFORMACION NEGOCIO

Autoevaluación de Riesgo Operacional Proyectos Tecnológicos Modelo de Continuidad

Proceso SOX Administración de Infraestructura TI Definición Procesos Críticos
Matriz de Autoevaluación (MAE ) Evaluación de Riesgo Planes de Continuidad del Negocio
Proceso de Castigos Aceptación de riesgo Plan de Recuperación de Desastres
Evaluación de Proveedores (SAS 70) Comité Administración de Incidentes (SIRT) Comité Administración de Crisis
Evaluación nuevos procesos y productos Comité de Arquitectura Tecnológica (CAT) Coordinación de Pruebas
Educación Educación Educación
 Algunas Definiciones Previas..

Seguridad de la Información (SI).- Preservación de la confidencialidad, integridad

y disponibilidad de la información; adicionalmente autenticidad, responsabilidad,
no repudio y confiabilidad.

SGSI.- La parte del Sistema de gestión Global, basada en una orientación a riesgo de
negocio, para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar la seguridad de la información.

Activo.- Algo que tiene valor para la organización (ISO/IEC 13335-1:2004)

Amenaza.- Evento que puede provocar un incidente en la organización produciendo

daños o pérdidas materiales y/o inmateriales

Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias

externas.
 Tendencias…

9
 Tendencias…

10
 Tendencias…

11
 Tendencias…

Tendencias

12
 Aspectos Conceptuales…
Cabe la Pregunta:

¿ A quien compete la Seguridad de la Información en una

organización: ?

Gestores de la organización

Contralores, auditores internos

Personal de TI

Personal en general

“La Seguridad de la Información es responsabilidad de los dueños de la información”

 Aspectos Conceptuales

Misión:

Detectar que se debe proteger

Detectar nuestras debilidades

Proponer controles

Implementar controles

Medir el desempeño de los controles

 ¿Qué es ISO/IEC 27000?

• Familia de estándares ISO orientados a la Seguridad

de Información
• ISO 27000: Conceptos y definiciones que soportan a
la familia.
 Integrantes

• ISO /IEC 27001

• ISO /IEC 27002
• ISO/IEC 27003: Guía de Implementación siguiendo PHVA
• ISO/IEC 27004: Estándar para Métricas y Mediciones de
Gestión de Seguridad de Información
• ISO/IEC 27005: Estándar de Gestión de Riesgos de Seguridad
de información (BS-7799:3)
• ISO/IEC 27006: Guía para la recuperación ante desastres de
servicios tecnológicos de información y comunicación”
Gestión de Riesgos de la
Información
 ¿POR QUÉ GESTIÓN DE RIESGOS DE LA INFORMACIÓN?

 Necesidad de Proteger la Información

 Sin embargo, esto puede generar:
 Crecimiento de cantidad y complejidad de los controles
 Pérdida del foco de actividades (Seguridad v/s Negocio)
 Por otra parte, requiere:
 Mediciones del impacto producido por los controles en
seguridad
 Aplicar un criterio de negocios
 ¿CUAL ESCOGER?

Depende de cual sea el objetivo

 Orientada a Procesos
 ISO 9001:2000
 ISO/IEC 27001
 CMM
 ITIL
 ISM3
 Orientada a Controles
 ISO 13335-4
 BSI-ITPM
 Orientada a Productos  Orientada a la Buenas Prácticas
 Common Criteria  ISO/EIC 17799:2005
 Orientada al Análisis de Riesgos  Cobit
 OCTAVE  ISF-SGP
 Magerit
Implantación de un SGSI
 Metodología propuesta para ISO/IEC 27001 (1/5)

Factores Críticos de Éxito

 Apoyo de la
Administración
 Beneficios de Negocios
Guía para la aproximación
procesos
Guía para el uso del modelo
PHVA
 Metodología propuesta para
ISO/IEC 27004 (2/5)

Guía Proceso “Planificar”

Introducción
Estableciendo el alcance del SGSI
Formulando las políticas de SGSI y
Seguridad de Información
Ejecutando la valoración de riesgos
Tomando decisiones en el
tratamiento de riesgos
 Metodología propuesta para
ISO/IEC 27004 (3/5)

Guía Proceso “Hacer”

Introducción
Creando e Implantando el Plan de
Tratamiento de Riesgos
Implementado los controles
Capacitación y sensibilización
Implementando un programa de manejo
de incidentes de seguridad de
información
Administrando recursos
 Metodología propuesta para
ISO/IEC 27004 (4/5)

Guía Proceso “Verificar”

Introducción
Monitoreo
• Chequeo rutinario
• Self-policing
procedures
Revisiones
Haciendo Auditorias internas del SGSI
Ejecutando revisiones administrativas
Midiendo el SGSI
Analizando tendencias
Controlando documentación y registros
 Metodología propuesta para
ISO/IEC 27004 (5/5)

Guía Proceso “Actuar”

Introducción
Implementando mejoras
Identificando no-conformidades
Identificando e implementado acciones
preventivas y correctivas
Asegurando mejora continua.
Probando
Comunicando cambios y mejoras
 Oferta del mercado …

• Implantador “certificado”
• Metodologías “express” para SGSI

¿Cuales son los pasos previos y

su construcción?
 Pasos Previos …

Cómo me preparo para el proceso…

 Pasos Previos …

I. Identificar los objetivos estratégicos de la

organización
II. Identificar legislación, regulaciones y obligaciones
contractuales aplicables
III. Establezca el ámbito al que orientará su labor
IV. Establecer la necesidad de gestionar los riesgos
V. Identificar procesos clave
VI. Identificar a las personas clave
VII. Identificar los activos de información relevantes
 Lo primero es …

• Defina su propia
planificación
 Estrategia de Seguridad
 Objetivos
 Tareas específicas
 Plazos y entregables
• Recomendación:

Nunca deje de retroalimentar a la alta

dirección…
 Identificando legislación aplicable…

Legislación Chilena…

• Ley 19223 Delitos Informáticos.

• Ley 19799 Firma Electrónica.
• Ley 19628 Protección de datos
Personales
• Ley 20009 Responsabilidad de tarjetas
de crédito
• Otras específicas
• Obligaciones contractuales y
regulaciones
• Tabule para contar con registro y orden.
• ¡¡Atención las transnacionales!!
Implantación de un Sistema de
Gestión de Seguridad de la
Información
 Implantación de un sistema de Gestión de
Seguridad de Información
► Establecer el Alcance
► Establezca criterios de riesgo
► Identifique y valorice los activos de información
► Determine el nivel de riesgo real
► Escriba la Política de Seguridad
► Elabore el Documento de Aplicabilidad
►Objetivos de control y controles
► Definición de políticas, normas y procedimientos
► Producción e implantación
► Complementación de la documentación del SGSI
► Auditoria y Revisión del SGSI
► Resumen revisión de proceso de implantación
 Establecer el Alcance

• Definir cual o cuales procesos serán considerados

dentro del SGSI
• Especificar activos que participan
 Listado de contratos y acuerdos
 Mapas de red
 Inventario de activos relevantes

 (Cláusulas 4.2.a ISO/IEC 27001)

 Identificando objetivos estratégicos (1/2)

• Pregunte…
• Un gran número de organizaciones no realiza planificación
estratégica
• Cual es el objetivo de la organización
 ¿Quién es él o los clientes?
 ¿Cuáles son las necesidades de su cliente que su
organización satisface?
 ¿Cómo satisface su organización las necesidades de sus
clientes?
• Podrá tener una idea de cuales son las principales líneas de
actividad de la organización
 Identificando objetivos estratégicos (2/2)

• Para cada negocio o actividad identificado responda:

 ¿Existen metas de crecimiento?
 ¿Existe orden de posicionar algún producto o servicio en
particular?
 ¿Objetivos Financieros?
 ¿Mejorar la satisfacción de los clientes?
 ¿Mejorar el tiempo de solución de problemas internos?
 ¿Desarrollar un nuevo negocio?
• Estas respuestas le ayudarán a tener una idea general de los
objetivos estratégicos de su organización.
 Mapa de Procesos (1/4)
Estrategicos

Proceso I Proceso D Proceso J Proceso A

Clave

Proceso E Proceso B Proceso G Proceso K

De Apoyo

Proceso H Proceso L Proceso F Proceso C

 Mapa de Procesos (2/4)

¿Cambios? Medidas de Mejora

Proceso (Propietario)

Entradas

Tareas Salidas

Activos Controles Registros

 Mapa de Procesos (2/4)

¿Cambios? Medidas de Mejora

Proceso (Propietario)

Entradas

Tareas Salidas

Activos Controles Registros

Clientes Mapa de Procesos (3/4)

Clientes
 Mapa de Procesos (4/4)

Interrelación de procesos
 Establezca Alcance

• Establezca el alcance de su Sistema de Gestion de

Seguridad de Informacion.
 Identifique y valorice los activos de información

• Identifique los activos de información

• Defina a los roles asociados a cada uno de ellos
• Clasifique los activos de información de acuerdo a
algún criterio preestablecido
• Redacte guías de uso aceptable de los activos
dependiendo su clasificación

 (Cláusulas 7.1, 7.2 ISO/IEC 17799:2005)

 Identificar los activos

• Caracterice cada uno de los procesos relevantes para

los objetivos asociados a su proyecto de Seguridad
de Información
 Identificar los activos de información

• Cuales son los activos de información

 Procesamiento
 Almacenamiento
 Otros
• Definición de Roles
 Dueño
 Custodio
 Usuario
 Identificar Riesgos

• ¿Qué puede suceder?

• ¿Cómo puede suceder?
• Tomando en cuenta los resultados de ejercicios anteriores,
formule su propia tabla de identificación de riesgos
 Análisis de Riesgo (2/2)

• Realice un análisis de riesgo

empleando uno de los
métodos mencionados
anteriormente.
 Evaluación de Riesgo

• Evalúe los Riesgos empleando

uno de los criterios mencionados
o defina un criterio propio con su
grupo de trabajo.
 Establezca el criterios de riesgo

• Defina la metodología de aproximación a la valoración de riesgo

y documéntela.
• Desarrolle el proceso de análisis y evaluación de riesgos.

 (Cláusula 4.2.1.c;d;e ISO/IEC 27001:2005)

 Política de Seguridad

• Escriba una Política de Seguridad de Información

• Emplee la ficha 8.
• Defina un protocolo de revisiones de la misma.

 (Cláusula 5.1, ISO/IEC 17799:2005)

 (Cláusula 4.2.1b ISO/IEC 27001:2005)
 Escriba el Documento de Aplicabilidad

• Seleccione los Objetivos de Control y Controles.

• Justifique cualquier exclusión apoyándose en el
análisis de riesgos

 (Cláusula 4.2.1j ISO/IEC 27001:2005)

 Documento de Aplicabilidad

• Escriba su documentos de Aplicabilidad

 Definición de Políticas, normas …
Estructura Documental
• Establezca un sistema de gestión de documentos
 Política General
 Alcance Documentado
 Procedimientos de Apoyo a SGSI
 Descripción Aproximación AR
 Reporte del Análisis de Riesgos
 Plan de Tratamiento de Riesgos
 Procedimientos Documentados
 Acciones Correctivas
 Acciones Preventivas
 Plan de Auditorias
 Plan de Revisiones Administrativas
 Registros requeridos
 Control de Documentos
 Control de Registros
 Documento de Aplicabilidad
 Complementación de Documentación

• Es necesario crear una política específica

 Procedimiento Mejora Continua

• Plan de Auditorias Internas

 Registros de ejecución
• Plan de Revisiones Administrativas
 Registros
• Proc. Manejo No-Conformidades
• Proc. Acciones Preventivas

 (Cláusulas 6, 7 y 8 ISO/IEC 27001:2005)

Resumen de Pasos para la Implementación…
 Define Política de
Aprueba Continuidad y Estrategia

Depende
Plan de
Continuidad
Operativa de
Negocio (BCP)

Plan de
Contingencia
Controla Auditoría Tecnológico
(DRP)
Audita

Desarrolla y actualiza
Desarrolla, mantiene
y realiza seguimiento al
SGSI
Oficial de Seguridad de Define y confecciona
la Información (OSI)
Plan Anual de
Seguridad de
la Información
Impulsa y coordina
Comité de Seguridad
Información Aprueba
Plan Anual de
Riesgo
Operacional
 Conclusiones

 La Seguridad de la Información es un Proceso

 La Seguridad de la Información se basa en Personas
 La Seguridad de la Información debe orientarse al Riesgo

 No existe la Seguridad Absoluta. El SGSI AYUDA a la gestión.

 Un proyecto SGSI requiere un equipo de trabajo

MULTICONOCIMIENTO
 Conclusiones

Beneficios de un SGSI
 Conocer realmente los activos que disponemos
 Involucrar a la Alta dirección en la Seg. de la Inf.
 Realizar análisis de Riesgos para el desarrollo del Negocio
 Disponer de planes de contingencia ante incidentes
 Disminución de riesgos a Niveles aceptables
 …..