Modelo de Seguridad de la Información

Jorge Fernando Bejarano LoboNoviembre de 2013

AGENDA• Modelo de Seguridad de la Información para la Estrategia de Gobierno en

línea 2.0• Qué se puede encontrar en el modelo?• En qué esta basado el modelo?• A quién está dirigido?• De qué se compone?• Sistema de Gestión de Seguridad de la Información para las Entidades• Etapas de implementación• Ciclo PHVA

Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea 2.0

El documento presenta una estrategia de preparación por partedel Gobierno para soportar al Sistema de Administración deSeguridad de la Información de Gobierno en Línea (SASIGEL)como modelo sostenible, y cubre desde la preparación de laentidad para comenzar la implementación del Modelo, ladefinición de las brechas, la alineación y la implementación delSGSI como modelo sostenible.

Qué se puede encontrar en el modelo?

Reúne el conjunto de lo siguiente:

• Lineamientos

• Políticas

• Normas

• Procesos

• 16 anexos de apoyo

http://programa.gobiernoenlinea.gov.co/lineamientos.shtml (pág. 4)

En qué esta basado el modelo?

• La arquitectura del modelo, se basa enel ciclo PHVA

• Etapas alineadas con los niveles demadurez del manual de GEL 3.1

• Que a su vez, son coherentes con loslineamientos del entandar NTC:ISO/IEC27001:2005.

Se aclara que el estándar internacional se complementa de manera armónica con otras iniciativas y estándares nacionales e internacionales, tales como MECI (Modelo Estándar de Control Interno), COBIT, ITIL, entre otros.

A quién está dirigido?

• Entidades públicas de orden nacional

• Entidades públicas de orden territorial

• Proveedores de servicios de Gobierno en línea

• Terceros que deseen adoptar el modelo.

De qué se compone?

• Sistema de Administración de Seguridad de laInformación de Gobierno en línea – SASIGEL

• Sistema de Gestión de Seguridad de la Informaciónpara las Entidades

Sistema de Gestión de Seguridad de la Información para las Entidades

El modelo se divide en:• Etapas de implementación

– Preparación– Análisis de la situación actual– Alineación con el SGSI– Seguimiento y control

• Ciclo PHVA– Panear– Hacer– Verificar– Actuar

Etapas de implementación

PreparaciónPreparación

Las etapas previas a la implementación del SGSI son fundamentales para lograr una adecuada sensibilización, motivación ycompromiso por parte de la entidad y sus funcionarios

1. Involucrar y sensibilizar a la alta dirección• acordar el compromiso• pre-requisitos y • requisitos

2. Identificación de los responsables• Comité de Seguridad (GEL)• Líder de proyecto - GEL• Oficial de Seguridad de la Información• Personal de seguridad de la información• Representante del área de tecnología• Representante de control interno• Representante del área de planeación• Representante de SG de calidad• Funcionarios, proveedores y ciudadanos

PreparaciónPreparación

2. Identificación de los responsables

Análisis de la situación

actual

Análisis de la situación

actual

1. Aplicar la encuesta• Anexo N° 2 – Encuesta de Seguridad• Los resultados se utilizaran en la definición de

brechas

2. Definir el nivel de madurez• Anexo N° 4 – Autoevaluación• Nivel inicial (identificar conocimiento, definir,

divulgar, conformar, activos, riesgos y plan de acción)

• Nivel básico (Ejecución y documentación)• Nivel avanzado (Culmina controles y

documentación, capacitación, plan verificación y reportar avances.)

• Nivel de mejora continua (Se refuerza la divulgación, ejecución repetitiva, revisión de los riesgos, evaluación y acciones de mejora)

Análisis de la situación

actual

Análisis de la situación

actual

3. Definición de brechasSe planea la ruta a seguir, teniendo en cuenta lo actual con lo deseado. ¿Cómo?

Utilizando el resultado de la encuesta:

• Revisión de la estructura organizacional• Revisión de nivel de madurez• Revisión de controles existentes y los ausentes• Revisión de las métricas (nivel de eficacia)• Definición del plan o cronograma a seguir

Anexo 4 del modelo sirve para diligenciar sus hallazgos.Este documento será evidencia del análisis donde se registre el cumplimiento o ausencia de cadaelemento analizado. Y es un insumo para definir el plan de alineación con el SGSI

Alineación con SGSI

Alineación con SGSI

1. Factores críticos de éxito

• Realizar aproximación de “arriba-a-abajo”• Soporte visible por parte de los gerentes y

coordinadores• Requerimientos de seguridad claramente

articulados con las necesidades de la Entidad• Políticas de seguridad alineadas con la misión y

objetivos de la entidad• Definición de responsabilidades y roles del SGSI• Realizar concientización, entrenamiento y

educación• Análisis de riesgos (activos, amenazas, requisitos

normativos, legislativos y regulatorios, controles implementados y propuestos, y riesgo residual)

• Métricas para la evaluación del desempeño

Ciclo PHVA

Es necesario que las entidades recorran un camino en donde comiencen por definir el alcancedel SGSI y terminen con la preparación del plan de acción en cuanto a seguridad de la información de la entidad, tal como lo muestra la figura

Nivel inicial de madurez

1. Obtener soporte de la dirección de la Entidad• Compromiso en establecer, operar,

monitorear, revisar, mantener y mejorar el SGSI

• Garantizar que los recursos requeridos estén disponibles

• Respaldo en la política de seguridad de la información, definición de roles, importancia de adherirse a la política de SI

Nivel inicial de madurez

2. Identificar legislación y normatividad aplicable• Influencian directamente en el alcance• Los documentos aplicables a la entidad,

deben estar actualizados.

4. Definir la política de seguridad de la información• Apoyarse del Anexo N° 5 Formato política

SGSI• Una buena política es concisa, fácil de leer

y comprender, flexible y fácil de hacer cumplir para todos dentro del alcance sin excepción

Nivel inicial de madurez

3. Definir el alcance del SGSI• Acotar los límites• Sedes administrativas• Funciones claves del negocio• Activos y tecnologías claves

6. Enumerar las opciones para el tratamiento /reducción del riesgo• Apoyarse del Anexo N° 8 Controles de

seguridad• Otros conjunto de controles adicionales

existentes son ISO 27002, NIST SP-800-53

Nivel inicial de madurez

5. Análisis de riesgo• Evaluar basado en los niveles de

confidencialidad, integridad, y disponibilidad.

• Definir los objetivos para reducir el riesgo a un nivel aceptable

• Evaluar las opciones de tratamiento de riesgo

8. Generar la DDA – Declaración de Aplicabilidad*• Orientado a aquellas entidades que

deseen optar por una futura certificación en NTC:ISO/IEC 27001:2005

• Listado de controles aceptados• Explicación de las excepciones.

Nivel inicial de madurez

7. Plan de tratamiento de riesgo• Método aplicable para cada riesgo:

aceptar, reducir, transferir o eliminar• Listado de controles actualmente

implementados• Controles adicionales propuestos• Tiempo en el cual los controles serán

implementados

Es necesario que las entidades recorran un camino en donde comiencen por ejecutar el plan de tratamiento de riesgos y terminen con la implementación de los procedimientos, tal como lo muestra la figura

Nivel básico de madurez

Nivel básico de madurez

1. Implementar el plan de tratamiento de riesgo• Se inicia la ejecución del plan• Se crean políticas detalladas de los

controles seleccionados• Se prefiere mantener una trazabilidad al

conjunto de controles

2. Documentar los controles del SGSI• Porque el control fue seleccionado?• Quien es el responsable de la selección,

implementación y verificación de cumplimiento?

• Como se implementa el control?• Cuando se implementa el control?• Que mediciones y métricas se utilizan para

medir su desempeño?

Nivel básico de madurez

3. Implementar políticas y controles de seguridad de la fase de planeación• Es importante tener claro las funcionalidades

requeridas del control• Porque se decidió implementarlo• Apoyarse del anexo N° 11 – Ejemplos y

procedimientos mas usados

4. Implementar los planes de concientización y entrenamiento• Funcionarios, terceros y usuarios y como

pueden contribuir a evitar perdidas• Educación detallada para los funcionarios

del área de seguridad• Bases mas sólidas de conocimiento.

Nivel básico de madurez

5. Documentación de procedimientos

• Descripción del perfil para cada función• Inventario de habilidades• Procedimientos para la gestión del cambio• Procedimiento para la asignación de

personal (segregación de responsabilidades)• Procedimientos para la implementación de

herramientas• Procedimientos para la operación de

herramientas• Procedimientos para la identificación de

acciones preventivas y correctivas

Nivel básico de madurez

6. Implementar la infraestructura de respuesta a incidentes

• Monitoreo• Detección• Notificación• Escalación• Respuesta• Aislamiento• Restauración• Análisis de causa raíz• Retroalimentación a la entidad

Es necesario que las entidades recorran un camino en donde comiencen por empatar con la fase anterior, donde se ejecuta el plan operacional, y este queda documentado con lo realizado en la sección anterior, el cual es revisado de manera regular, y termina con el registro de impacto en el SGSI, tal como lo muestra la figura

Nivel avanzado de madurez

Nivel avanzado de madurez

1. Revisiones regulares de la eficacia• Monitorear y revisar políticas, estándares,

procedimientos, y prácticas• Revisar la eficacia de las operaciones de

seguridad usando métrica y mediciones

2. Revisar el nivel del riesgo residual• Evitar que el riesgo se eleve a nivel no

aceptable• Los ambientes son dinámicos• Nuevas vulnerabilidades aparecen

Nivel avanzado de madurez

3. Realizar auditorias internas• Determinan si las políticas y procedimientos

existen• Existen métricas?• Quien es el responsable?• Que reportes existen de desempeño?• Se pueden realizar auditorias externas para las

entidades que optaron por la certificación

4. Revisión de la dirección del SGSI• Se enfoca en la eficacia lograda por el SGSI• Se pueden identificar mejoras y

refinamientos para el SGSI

5. Registro del impacto en el SGSI• Por si cambian los objetivos estratégicos

de la entidad

Es necesario que las entidades recorran un camino en donde comiencen la implantación de mejoras identificadas en el nivel anterior y sigan en mejoramiento continuo, tal como lo muestra la figura

Nivel de madurez de mejora continua

Nivel de madurez de mejora continua

1. Implementar las mejoras identificadas y aprobadas al SGSI en un nuevo ciclo• De la fase anterior se obtienen un

conjunto de mejoras (monitoreo, auditorias internas y externas, ajustes de la Dirección)

2. Tomar medidas preventivas y correctivas• procesos para la identificación de acciones

preventivas y correctivas (entradas)

3. Aplicar las lecciones aprendidas• Experiencias internas• Su implementación, refuerza el SGSI

Nivel de madurez de mejora continua

4. Comunicar los resultados• Permanecer actualizados y preparados

5. Proceso continuo y Gestión auto sostenible del modelo de las entidades• Verificación del alcance del conjunto de

políticas en la entidad• Recopilación y análisis de los indicadores

del modelo• Análisis de estadísticas de incidentes de

seguridad de la información en entidades del Estado

• Implementación de los ajustes

Preguntas

Jorge Fernando Bejarano LoboDirector de Estándares y Arquitectura de T.I.

Viceministerio de Tecnologías y Sistemas de Informaciónjbejarano@mintic.gov.co

@jfbejaranowww.mintic.gov.co