Modelo de Seguridad de la Informaci贸n Jorge Fernando Bejarano Lobo Noviembre de 2013
AGENDA • Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea 2.0 • Qué se puede encontrar en el modelo? • En qué esta basado el modelo? • A quién está dirigido? • De qué se compone? • Sistema de Gestión de Seguridad de la Información para las Entidades • Etapas de implementación • Ciclo PHVA
Modelo de Seguridad de la Información para la Estrategia de Gobierno en línea 2.0 El documento presenta una estrategia de preparación por parte del Gobierno para soportar al Sistema de Administración de Seguridad de la Información de Gobierno en Línea (SASIGEL) como modelo sostenible, y cubre desde la preparación de la entidad para comenzar la implementación del Modelo, la definición de las brechas, la alineación y la implementación del SGSI como modelo sostenible.
Qué se puede encontrar en el modelo? Reúne el conjunto de lo siguiente: • Lineamientos • Políticas • Normas • Procesos • 16 anexos de apoyo http://programa.gobiernoenlinea.gov.co/lineamientos.shtml (pág. 4)
En qué esta basado el modelo? • La arquitectura del modelo, se basa en el ciclo PHVA • Etapas alineadas con los niveles de madurez del manual de GEL 3.1 • Que a su vez, son coherentes con los lineamientos del entandar NTC:ISO/IEC 27001:2005. Se aclara que el estándar internacional se complementa de manera armónica con otras iniciativas y estándares nacionales e internacionales, tales como MECI (Modelo Estándar de Control Interno), COBIT, ITIL, entre otros.
A quién está dirigido? • • • •
Entidades públicas de orden nacional Entidades públicas de orden territorial Proveedores de servicios de Gobierno en línea Terceros que deseen adoptar el modelo.
De qué se compone? • Sistema de Administración de Seguridad de la Información de Gobierno en línea – SASIGEL • Sistema de Gestión de Seguridad de la Información para las Entidades
Sistema de Gestión de Seguridad de la Información para las Entidades El modelo se divide en: • Etapas de implementación – – – –
Preparación Análisis de la situación actual Alineación con el SGSI Seguimiento y control
• Ciclo PHVA – – – –
Panear Hacer Verificar Actuar
Etapas de implementaci贸n
Preparación
1. Involucrar y sensibilizar a la alta dirección • acordar el compromiso • pre-requisitos y • requisitos 2. Identificación de los responsables • Comité de Seguridad (GEL) • Líder de proyecto - GEL • Oficial de Seguridad de la Información • Personal de seguridad de la información • Representante del área de tecnología • Representante de control interno • Representante del área de planeación • Representante de SG de calidad • Funcionarios, proveedores y ciudadanos
Las etapas previas a la implementación del SGSI son fundamentales para lograr una adecuada sensibilización, motivación y compromiso por parte de la entidad y sus funcionarios
2. Identificaci贸n de los responsables
Preparaci贸n
Análisis de la situación actual
1. Aplicar la encuesta • Anexo N° 2 – Encuesta de Seguridad • Los resultados se utilizaran en la definición de brechas 2. Definir el nivel de madurez • Anexo N° 4 – Autoevaluación • Nivel inicial (identificar conocimiento, definir, divulgar, conformar, activos, riesgos y plan de acción) • Nivel básico (Ejecución y documentación) • Nivel avanzado (Culmina controles y documentación, capacitación, plan verificación y reportar avances.) • Nivel de mejora continua (Se refuerza la divulgación, ejecución repetitiva, revisión de los riesgos, evaluación y acciones de mejora)
Análisis de la situación actual
3. Definición de brechas Se planea la ruta a seguir, teniendo en cuenta lo actual con lo deseado. ¿Cómo? Utilizando el resultado de la encuesta: • • • • •
Revisión de la estructura organizacional Revisión de nivel de madurez Revisión de controles existentes y los ausentes Revisión de las métricas (nivel de eficacia) Definición del plan o cronograma a seguir
Anexo 4 del modelo sirve para diligenciar sus hallazgos. Este documento será evidencia del análisis donde se registre el cumplimiento o ausencia de cada elemento analizado. Y es un insumo para definir el plan de alineación con el SGSI
1. Factores críticos de éxito
Alineación con SGSI
• Realizar aproximación de “arriba-a-abajo” • Soporte visible por parte de los gerentes y coordinadores • Requerimientos de seguridad claramente articulados con las necesidades de la Entidad • Políticas de seguridad alineadas con la misión y objetivos de la entidad • Definición de responsabilidades y roles del SGSI • Realizar concientización, entrenamiento y educación • Análisis de riesgos (activos, amenazas, requisitos normativos, legislativos y regulatorios, controles implementados y propuestos, y riesgo residual) • Métricas para la evaluación del desempeño
Ciclo PHVA
Nivel inicial de madurez Es necesario que las entidades recorran un camino en donde comiencen por definir el alcance del SGSI y terminen con la preparaci贸n del plan de acci贸n en cuanto a seguridad de la informaci贸n de la entidad, tal como lo muestra la figura
Nivel inicial de madurez 1. Obtener soporte de la dirección de la Entidad • Compromiso en establecer, operar, monitorear, revisar, mantener y mejorar el SGSI • Garantizar que los recursos requeridos estén disponibles • Respaldo en la política de seguridad de la información, definición de roles, importancia de adherirse a la política de SI
2. Identificar legislación y normatividad aplicable • Influencian directamente en el alcance • Los documentos aplicables a la entidad, deben estar actualizados.
Nivel inicial de madurez 3. Definir el alcance del SGSI • Acotar los límites • Sedes administrativas • Funciones claves del negocio • Activos y tecnologías claves 4. Definir la política de seguridad de la información • Apoyarse del Anexo N° 5 Formato política SGSI • Una buena política es concisa, fácil de leer y comprender, flexible y fácil de hacer cumplir para todos dentro del alcance sin excepción
Nivel inicial de madurez 5. Análisis de riesgo • Evaluar basado en los niveles de confidencialidad, integridad, y disponibilidad. • Definir los objetivos para reducir el riesgo a un nivel aceptable • Evaluar las opciones de tratamiento de riesgo 6. Enumerar las opciones para el tratamiento /reducción del riesgo • Apoyarse del Anexo N° 8 Controles de seguridad • Otros conjunto de controles adicionales existentes son ISO 27002, NIST SP-800-53
Nivel inicial de madurez 7. Plan de tratamiento de riesgo • Método aplicable para cada riesgo: aceptar, reducir, transferir o eliminar • Listado de controles actualmente implementados • Controles adicionales propuestos • Tiempo en el cual los controles serán implementados 8. Generar la DDA – Declaración de Aplicabilidad* • Orientado a aquellas entidades que deseen optar por una futura certificación en NTC:ISO/IEC 27001:2005 • Listado de controles aceptados • Explicación de las excepciones.
Nivel b谩sico de madurez Es necesario que las entidades recorran un camino en donde comiencen por ejecutar el plan de tratamiento de riesgos y terminen con la implementaci贸n de los procedimientos, tal como lo muestra la figura
Nivel básico de madurez 1. Implementar el plan de tratamiento de riesgo • Se inicia la ejecución del plan • Se crean políticas detalladas de los controles seleccionados • Se prefiere mantener una trazabilidad al conjunto de controles 2. Documentar los controles del SGSI • Porque el control fue seleccionado? • Quien es el responsable de la selección, implementación y verificación de cumplimiento? • Como se implementa el control? • Cuando se implementa el control? • Que mediciones y métricas se utilizan para medir su desempeño?
Nivel básico de madurez 3. Implementar políticas y controles de seguridad de la fase de planeación • Es importante tener claro las funcionalidades requeridas del control • Porque se decidió implementarlo • Apoyarse del anexo N° 11 – Ejemplos y procedimientos mas usados 4. Implementar los planes de concientización y entrenamiento • Funcionarios, terceros y usuarios y como pueden contribuir a evitar perdidas • Educación detallada para los funcionarios del área de seguridad • Bases mas sólidas de conocimiento.
Nivel básico de madurez 5. Documentación de procedimientos • • • •
Descripción del perfil para cada función Inventario de habilidades Procedimientos para la gestión del cambio Procedimiento para la asignación de personal (segregación de responsabilidades) • Procedimientos para la implementación de herramientas • Procedimientos para la operación de herramientas • Procedimientos para la identificación de acciones preventivas y correctivas
Nivel básico de madurez 6. Implementar la infraestructura de respuesta a incidentes • • • • • • • • •
Monitoreo Detección Notificación Escalación Respuesta Aislamiento Restauración Análisis de causa raíz Retroalimentación a la entidad
Nivel avanzado de madurez Es necesario que las entidades recorran un camino en donde comiencen por empatar con la fase anterior, donde se ejecuta el plan operacional, y este queda documentado con lo realizado en la secci贸n anterior, el cual es revisado de manera regular, y termina con el registro de impacto en el SGSI, tal como lo muestra la figura
Nivel avanzado de madurez 1. Revisiones regulares de la eficacia • Monitorear y revisar políticas, estándares, procedimientos, y prácticas • Revisar la eficacia de las operaciones de seguridad usando métrica y mediciones 2. Revisar el nivel del riesgo residual • Evitar que el riesgo se eleve a nivel no aceptable • Los ambientes son dinámicos • Nuevas vulnerabilidades aparecen
Nivel avanzado de madurez 3. Realizar auditorias internas • Determinan si las políticas y procedimientos existen • Existen métricas? • Quien es el responsable? • Que reportes existen de desempeño? • Se pueden realizar auditorias externas para las entidades que optaron por la certificación 4. Revisión de la dirección del SGSI • Se enfoca en la eficacia lograda por el SGSI • Se pueden identificar mejoras y refinamientos para el SGSI 5. Registro del impacto en el SGSI • Por si cambian los objetivos estratégicos de la entidad
Nivel de madurez de mejora continua Es necesario que las entidades recorran un camino en donde comiencen la implantaci贸n de mejoras identificadas en el nivel anterior y sigan en mejoramiento continuo, tal como lo muestra la figura
Nivel de madurez de mejora continua 1. Implementar las mejoras identificadas y aprobadas al SGSI en un nuevo ciclo • De la fase anterior se obtienen un conjunto de mejoras (monitoreo, auditorias internas y externas, ajustes de la Dirección) 2. Tomar medidas preventivas y correctivas • procesos para la identificación de acciones preventivas y correctivas (entradas) 3. Aplicar las lecciones aprendidas • Experiencias internas • Su implementación, refuerza el SGSI
Nivel de madurez de mejora continua 4. Comunicar los resultados • Permanecer actualizados y preparados 5. Proceso continuo y Gestión auto sostenible del modelo de las entidades • Verificación del alcance del conjunto de políticas en la entidad • Recopilación y análisis de los indicadores del modelo • Análisis de estadísticas de incidentes de seguridad de la información en entidades del Estado • Implementación de los ajustes
Preguntas
Jorge Fernando Bejarano Lobo Director de Estándares y Arquitectura de T.I. Viceministerio de Tecnologías y Sistemas de Información jbejarano@mintic.gov.co @jfbejarano www.mintic.gov.co