jorge bejarano - el modelo de la seguridad de la información de la estrategia de gobierno en...
DESCRIPTION
II Jornadas EGOVCITRANSCRIPT
Modelo de Seguridad de la Información
Jorge Fernando Bejarano LoboNoviembre de 2013
AGENDA• Modelo de Seguridad de la Información para la Estrategia de Gobierno en
línea 2.0• Qué se puede encontrar en el modelo?• En qué esta basado el modelo?• A quién está dirigido?• De qué se compone?• Sistema de Gestión de Seguridad de la Información para las Entidades• Etapas de implementación• Ciclo PHVA
Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea 2.0
El documento presenta una estrategia de preparación por partedel Gobierno para soportar al Sistema de Administración deSeguridad de la Información de Gobierno en Línea (SASIGEL)como modelo sostenible, y cubre desde la preparación de laentidad para comenzar la implementación del Modelo, ladefinición de las brechas, la alineación y la implementación delSGSI como modelo sostenible.
Qué se puede encontrar en el modelo?
Reúne el conjunto de lo siguiente:
• Lineamientos
• Políticas
• Normas
• Procesos
• 16 anexos de apoyo
http://programa.gobiernoenlinea.gov.co/lineamientos.shtml (pág. 4)
En qué esta basado el modelo?
• La arquitectura del modelo, se basa enel ciclo PHVA
• Etapas alineadas con los niveles demadurez del manual de GEL 3.1
• Que a su vez, son coherentes con loslineamientos del entandar NTC:ISO/IEC27001:2005.
Se aclara que el estándar internacional se complementa de manera armónica con otras iniciativas y estándares nacionales e internacionales, tales como MECI (Modelo Estándar de Control Interno), COBIT, ITIL, entre otros.
A quién está dirigido?
• Entidades públicas de orden nacional
• Entidades públicas de orden territorial
• Proveedores de servicios de Gobierno en línea
• Terceros que deseen adoptar el modelo.
De qué se compone?
• Sistema de Administración de Seguridad de laInformación de Gobierno en línea – SASIGEL
• Sistema de Gestión de Seguridad de la Informaciónpara las Entidades
Sistema de Gestión de Seguridad de la Información para las Entidades
El modelo se divide en:• Etapas de implementación
– Preparación– Análisis de la situación actual– Alineación con el SGSI– Seguimiento y control
• Ciclo PHVA– Panear– Hacer– Verificar– Actuar
Etapas de implementación
PreparaciónPreparación
Las etapas previas a la implementación del SGSI son fundamentales para lograr una adecuada sensibilización, motivación ycompromiso por parte de la entidad y sus funcionarios
1. Involucrar y sensibilizar a la alta dirección• acordar el compromiso• pre-requisitos y • requisitos
2. Identificación de los responsables• Comité de Seguridad (GEL)• Líder de proyecto - GEL• Oficial de Seguridad de la Información• Personal de seguridad de la información• Representante del área de tecnología• Representante de control interno• Representante del área de planeación• Representante de SG de calidad• Funcionarios, proveedores y ciudadanos
PreparaciónPreparación
2. Identificación de los responsables
Análisis de la situación
actual
Análisis de la situación
actual
1. Aplicar la encuesta• Anexo N° 2 – Encuesta de Seguridad• Los resultados se utilizaran en la definición de
brechas
2. Definir el nivel de madurez• Anexo N° 4 – Autoevaluación• Nivel inicial (identificar conocimiento, definir,
divulgar, conformar, activos, riesgos y plan de acción)
• Nivel básico (Ejecución y documentación)• Nivel avanzado (Culmina controles y
documentación, capacitación, plan verificación y reportar avances.)
• Nivel de mejora continua (Se refuerza la divulgación, ejecución repetitiva, revisión de los riesgos, evaluación y acciones de mejora)
Análisis de la situación
actual
Análisis de la situación
actual
3. Definición de brechasSe planea la ruta a seguir, teniendo en cuenta lo actual con lo deseado. ¿Cómo?
Utilizando el resultado de la encuesta:
• Revisión de la estructura organizacional• Revisión de nivel de madurez• Revisión de controles existentes y los ausentes• Revisión de las métricas (nivel de eficacia)• Definición del plan o cronograma a seguir
Anexo 4 del modelo sirve para diligenciar sus hallazgos.Este documento será evidencia del análisis donde se registre el cumplimiento o ausencia de cadaelemento analizado. Y es un insumo para definir el plan de alineación con el SGSI
Alineación con SGSI
Alineación con SGSI
1. Factores críticos de éxito
• Realizar aproximación de “arriba-a-abajo”• Soporte visible por parte de los gerentes y
coordinadores• Requerimientos de seguridad claramente
articulados con las necesidades de la Entidad• Políticas de seguridad alineadas con la misión y
objetivos de la entidad• Definición de responsabilidades y roles del SGSI• Realizar concientización, entrenamiento y
educación• Análisis de riesgos (activos, amenazas, requisitos
normativos, legislativos y regulatorios, controles implementados y propuestos, y riesgo residual)
• Métricas para la evaluación del desempeño
Ciclo PHVA
Es necesario que las entidades recorran un camino en donde comiencen por definir el alcancedel SGSI y terminen con la preparación del plan de acción en cuanto a seguridad de la información de la entidad, tal como lo muestra la figura
Nivel inicial de madurez
1. Obtener soporte de la dirección de la Entidad• Compromiso en establecer, operar,
monitorear, revisar, mantener y mejorar el SGSI
• Garantizar que los recursos requeridos estén disponibles
• Respaldo en la política de seguridad de la información, definición de roles, importancia de adherirse a la política de SI
Nivel inicial de madurez
2. Identificar legislación y normatividad aplicable• Influencian directamente en el alcance• Los documentos aplicables a la entidad,
deben estar actualizados.
4. Definir la política de seguridad de la información• Apoyarse del Anexo N° 5 Formato política
SGSI• Una buena política es concisa, fácil de leer
y comprender, flexible y fácil de hacer cumplir para todos dentro del alcance sin excepción
Nivel inicial de madurez
3. Definir el alcance del SGSI• Acotar los límites• Sedes administrativas• Funciones claves del negocio• Activos y tecnologías claves
6. Enumerar las opciones para el tratamiento /reducción del riesgo• Apoyarse del Anexo N° 8 Controles de
seguridad• Otros conjunto de controles adicionales
existentes son ISO 27002, NIST SP-800-53
Nivel inicial de madurez
5. Análisis de riesgo• Evaluar basado en los niveles de
confidencialidad, integridad, y disponibilidad.
• Definir los objetivos para reducir el riesgo a un nivel aceptable
• Evaluar las opciones de tratamiento de riesgo
8. Generar la DDA – Declaración de Aplicabilidad*• Orientado a aquellas entidades que
deseen optar por una futura certificación en NTC:ISO/IEC 27001:2005
• Listado de controles aceptados• Explicación de las excepciones.
Nivel inicial de madurez
7. Plan de tratamiento de riesgo• Método aplicable para cada riesgo:
aceptar, reducir, transferir o eliminar• Listado de controles actualmente
implementados• Controles adicionales propuestos• Tiempo en el cual los controles serán
implementados
Es necesario que las entidades recorran un camino en donde comiencen por ejecutar el plan de tratamiento de riesgos y terminen con la implementación de los procedimientos, tal como lo muestra la figura
Nivel básico de madurez
Nivel básico de madurez
1. Implementar el plan de tratamiento de riesgo• Se inicia la ejecución del plan• Se crean políticas detalladas de los
controles seleccionados• Se prefiere mantener una trazabilidad al
conjunto de controles
2. Documentar los controles del SGSI• Porque el control fue seleccionado?• Quien es el responsable de la selección,
implementación y verificación de cumplimiento?
• Como se implementa el control?• Cuando se implementa el control?• Que mediciones y métricas se utilizan para
medir su desempeño?
Nivel básico de madurez
3. Implementar políticas y controles de seguridad de la fase de planeación• Es importante tener claro las funcionalidades
requeridas del control• Porque se decidió implementarlo• Apoyarse del anexo N° 11 – Ejemplos y
procedimientos mas usados
4. Implementar los planes de concientización y entrenamiento• Funcionarios, terceros y usuarios y como
pueden contribuir a evitar perdidas• Educación detallada para los funcionarios
del área de seguridad• Bases mas sólidas de conocimiento.
Nivel básico de madurez
5. Documentación de procedimientos
• Descripción del perfil para cada función• Inventario de habilidades• Procedimientos para la gestión del cambio• Procedimiento para la asignación de
personal (segregación de responsabilidades)• Procedimientos para la implementación de
herramientas• Procedimientos para la operación de
herramientas• Procedimientos para la identificación de
acciones preventivas y correctivas
Nivel básico de madurez
6. Implementar la infraestructura de respuesta a incidentes
• Monitoreo• Detección• Notificación• Escalación• Respuesta• Aislamiento• Restauración• Análisis de causa raíz• Retroalimentación a la entidad
Es necesario que las entidades recorran un camino en donde comiencen por empatar con la fase anterior, donde se ejecuta el plan operacional, y este queda documentado con lo realizado en la sección anterior, el cual es revisado de manera regular, y termina con el registro de impacto en el SGSI, tal como lo muestra la figura
Nivel avanzado de madurez
Nivel avanzado de madurez
1. Revisiones regulares de la eficacia• Monitorear y revisar políticas, estándares,
procedimientos, y prácticas• Revisar la eficacia de las operaciones de
seguridad usando métrica y mediciones
2. Revisar el nivel del riesgo residual• Evitar que el riesgo se eleve a nivel no
aceptable• Los ambientes son dinámicos• Nuevas vulnerabilidades aparecen
Nivel avanzado de madurez
3. Realizar auditorias internas• Determinan si las políticas y procedimientos
existen• Existen métricas?• Quien es el responsable?• Que reportes existen de desempeño?• Se pueden realizar auditorias externas para las
entidades que optaron por la certificación
4. Revisión de la dirección del SGSI• Se enfoca en la eficacia lograda por el SGSI• Se pueden identificar mejoras y
refinamientos para el SGSI
5. Registro del impacto en el SGSI• Por si cambian los objetivos estratégicos
de la entidad
Es necesario que las entidades recorran un camino en donde comiencen la implantación de mejoras identificadas en el nivel anterior y sigan en mejoramiento continuo, tal como lo muestra la figura
Nivel de madurez de mejora continua
Nivel de madurez de mejora continua
1. Implementar las mejoras identificadas y aprobadas al SGSI en un nuevo ciclo• De la fase anterior se obtienen un
conjunto de mejoras (monitoreo, auditorias internas y externas, ajustes de la Dirección)
2. Tomar medidas preventivas y correctivas• procesos para la identificación de acciones
preventivas y correctivas (entradas)
3. Aplicar las lecciones aprendidas• Experiencias internas• Su implementación, refuerza el SGSI
Nivel de madurez de mejora continua
4. Comunicar los resultados• Permanecer actualizados y preparados
5. Proceso continuo y Gestión auto sostenible del modelo de las entidades• Verificación del alcance del conjunto de
políticas en la entidad• Recopilación y análisis de los indicadores
del modelo• Análisis de estadísticas de incidentes de
seguridad de la información en entidades del Estado
• Implementación de los ajustes
Preguntas
Jorge Fernando Bejarano LoboDirector de Estándares y Arquitectura de T.I.
Viceministerio de Tecnologías y Sistemas de Informació[email protected]
@jfbejaranowww.mintic.gov.co