iso 27001-2013 isc2 colombia chapter

7/23/2019 ISO 27001-2013 ISC2 Colombia Chapter

http://slidepdf.com/reader/full/iso-27001-2013-isc2-colombia-chapter 1/56

ISO 27001:2013 Todo lo que ustednecesita saber acerca de los nuevos

cambios

Cambios respecto a ISO 27001:2005

William !lab" CISS#$ #%#&ISC'2 Capitulo Colombia (oard %ember

Si usted asisti) a esta c*arlaa+radecemos dili+enciar lasi+uiente encuesta

*ttp:,,+oo-+l,rc./c



Obetivos de la Sesi)n

• ntender las dierencias claves• ntender los nuevos requerimientos de la

norma

• ntender los controles adicionados " loscontroles eliminados



(I4 #ICT

• 6a versi)n 2013 es una evoluci)n$ .Ouna revoluci)n-

• %uc*o del te/to de la versi)n 2005 "

sus requerimientos &debes'permanecen$ pero al+unos se *anmovido para austarse a las nuevassecciones-

• .o es una mi+raci)n ma"or como loue de (S 77 a ISO 177-

8 90 Se mantiene



;+enda

• ISO 27000 – 6a amilia ISO 27000 – <=u> es ISO 27001:2013?

– <=u> es un S4SI? – #or que seleccionar ISO 27001?

• Principales cambios ISO 27001: 2013 Vs. ISO 27001:2005 – l ciclo #@; – 6os 5 principales cambios

– Otros Cambios relevantes

– structura del Aocumento – Sección 3 T>rminos " deiniciones – Sección 4 Conte/to de la or+aniBaci)n – Sección 5 6ideraB+o – Sección 6 #laneaci)n – Sección 7 Soporte

– Sección 8 Operaciones – Sección 9 valuaci)n del desempeo – Sección 10 %eora – ne!o Cambios en los Controles

• "iempo #e "ransición• $oncl%siones



;+enda

• ISO 27000 – 6a amilia ISO 27000 – <=u> es ISO 27001:2013?

– <=u> es un S4SI? – #or que seleccionar ISO 27001?

• Principales cambios ISO 27001: 2013 Vs. ISO 27001:2005 – l ciclo #@; – 6os 5 principales cambios – Otros Cambios relevantes – structura del Aocumento – Sección 3 T>rminos " deiniciones – Sección 4 Conte/to de la or+aniBaci)n – Sección 5 6ideraB+o – Sección 6 #laneaci)n – Sección 7 Soporte

– Sección 8 Operaciones – Sección 9 valuaci)n del desempeo – Sección 10 %eora – ne!o Cambios en los Controles




6a amilia ISO 27000



=u> es ISO 27001:2013?

ISO 27001 es la Mnica norma internacional auditable que deine los requisitospara un sistema de +esti)n de la se+uridad de la inormaci)n &S4SI'- 6a norma

se *a concebido para +arantiBar la selecci)n de controles de se+uridadadecuados " proporcionales-

llo a"uda a prote+er los activos de inormaci)n " otor+a conianBa a

cualquiera de las partes interesadas$ sobre todo a los clientes- 6a normaadopta un enoque por procesos para establecer$ implantar$ operar$supervisar$ revisar$ mantener " meorar un S4SI-



=u> es ISO 27001:2013?

Para %in es si-ni*ica(io

ISO 27001 es una norma adecuada para cualquieror+aniBaci)n$ +rande o pequea$ de cualquier sector o parte

del mundo- 6a norma es particularmente interesante si laprotecci)n de la inormaci)n es crNtica$ como en inanBas$sanidad$ sector pMblico " tecnolo+Na de la inormaci)n &TI'-

ISO 27001 tambi>n es mu" eicaB para or+aniBaciones que+estionan la inormaci)n por encar+o de otros$ por eemplo$empresas de subcontrataci)n de TI- #uede utiliBarse para+arantiBar a los clientes que su inormaci)n est! prote+ida



=u> es ISO 27001:2013?

Timeline



<=u> es un S4SI?

l concepto clave de un S4SI es el #iseo implan(ación + man(enimien(o #e%n con%n(o #e procesos para +estionar eicientemente la accesibilidad de la

inormaci)n$ buscando ase-%rar la con*i#enciali#a# in(e-ri#a# +#isponibili#a# de los activos de inormaci)n minimiBando a la veB los ries+osde se+uridad de la inormaci)n-

Como todo proceso de +esti)n$ un SSI debe se+uir siendo eiciente duranteun lar+o tiempo a#ap(n#ose a los cambios internos de la or+aniBaci)n asNcomo los e/ternos del entorno



<=u> es un S4SI?

. S4SI$ <= (.PICIOS ;#OT;?• n anlisis #e ries-os$ identiicando amenaBas$ vulnerabilidades e impactos en la actividad

empresarial-

• na meora con(in%a en la +esti)n de la se+uridad-

• na +arantNa de continuidad " #isponibili#a# #el ne-ocio-

• e#%cción #e los cos(os vinculados a los incidentes-

• l incremen(o #e los nieles #e con*ian;a de clientes " partners-• l aumento del valor comercial " meora #e la ima-en de la or+aniBaci)n-

• @oluntad de c%mplir con la le-islación i-en(e de protecci)n de datos de car!cter personal$servicios de la sociedad e la inormaci)n$ comercio electr)nico$ propiedad intelectual " en+eneral$ aquella relacionada con la se+uridad de la inormaci)n-



<#or que seleccionar ISO 27001?

Por % necesi(amos %n SSI

6as or+aniBaciones " sus sistemas " redes de inormaci)n est!n e/puestos a las ,'<=S dese+uridad tales como el raude$ espionae$ incendios$ inundaciones " el sabotae proveniente deuna amplia +ama de uentes- l creciente nMmero de allos de se+uridad *a llevado a una ma"orpreocupaci)n por la se+uridad de la inormaci)n entre las or+aniBaciones de todo el mundo-

>O V<$'S '< S'?I@@ @' > I<AO,$IB< es un +ran desaNo para la or+aniBaci)n

"a que <O P?'@' >OS' SO>O "VCS @' ,'@IOS "'$<O>BI$OS " nunca debe serimplementado de una manera que no este alineado con el enoque de la or+aniBaci)n a losries+os o de orma tal que se creen diicultades para sus operaciones comerciales-

#or lo tanto *a" una necesidad de mirar a se+uridad de la inormaci)n desde una P'SP'$"IVDO>ES"I$ lo que *ace necesario tener una metodolo+Na de +esti)n de se+uridad de lainormaci)n para prote+er la inormaci)n de manera sistem!tica- S aquN donde el S4SI entra en ue+o-



;+enda

• >a *amilia ISO 27000 – <=u> es ISO 27001:2013? – <=u> es un S4SI?

– #or que seleccionar ISO 27001?

• Principales cambios ISO 27001: 2013 Vs. ISO 27001:2005 – l ciclo #@; – 6os 5 principales cambios – Otros Cambios relevantes – structura del Aocumento – Sección 3 T>rminos " deiniciones – Sección 4 Conte/to de la or+aniBaci)n – Sección 5 6ideraB+o – Sección 6 #laneaci)n – Sección 7 Soporte – Sección 8 Operaciones

– Sección 9 valuaci)n del desempeo – Sección 10 %eora – ne!o Cambios en los Controles




Cambios: marco central

Para (ener en c%en(a sobre los cambios:• 6a norma a*ora es menos descriptiva " prescriptiva• Aa ma"ores libertades en la implementaci)n• #ropone un periodo de transici)n para las or+aniBaciones "a

certiicadas



Cambios: l ciclo #@;

l modelo PDV no se reerencia e/plNcitamenteen la nueva norma$ sin embar+o$ est! allN como unmodelo de meora sub"acente pero --

• 6os dierentes elementos de PDV sedistribu"en a*ora dentro de la estructuracomMn de la norma-

• #or eemplo $"? se puede interpretarcomo la cl!usula 10 ,'FO



l ciclo #@;

#lanear

acer

@eriicar

;ctuar

H Conte/to de la or+aniBaci)n5 6ideraB+o

J #laneaci)n7 Soporte



l ciclo #@;

#lanear

acer

@eriicar

;ctuar

4 $on(e!(o #e la or-ani;ación• Conocimiento de la

or+aniBaci)n " su conte/to• Comprensi)n de las

necesidades " e/pectativas delas partes interesadas

• Aeterminaci)n del alcance delS4SI

• S4SI



l ciclo #@;

#lanear

acer

@eriicar

;ctuar

5 >i#era;-o• 6ideraB+o " compromiso• #olNtica

• oles$ responsabilidades "autoridades en laor+aniBaci)n



l ciclo #@;

#lanear

acer

@eriicar

;ctuar

6 Plani*icación• ;cciones para tratar ries+os "

oportunidades

• Obetivos de la SI " planespara lo+rarlos



l ciclo #@;

#lanear

acer

@eriicar

;ctuar

7 Sopor(e• ecursos• Competencia

• Toma de conciencia• Comunicaci)n• Inormaci)n documentada



l ciclo #@;

#lanear

acer

@eriicar

;ctuar

8 Operaciones

• #laniicaci)n " controlOperacional

• @aloraci)n de ries+os de la SI• Tratamiento de ries+os de la SI



l ciclo #@;

#lanear

acer

@eriicar

;ctuar

- 'al%ación #el @esempeo• Se+uimiento$ medici)n$

an!lisis " evaluaci)n• ;uditoria Interna• evisi)n por la direcci)n



l ciclo #@;

#lanear

acer

@eriicar

;ctuar

10 ,eora• .o conormidades " acciones

correctivas• %eora continua



Cambios: 5 Aierencias undamentales

• 6a nueva norma esta escrita deconormidad con el ;ne/o S6

• lSO 27002 "a no es una normativa dereerencia

• 6as deiniciones ueron removidas "reubicadas en la norma ISO 27000

• Cambios en la terminolo+Na: poreemplo$ D#olNtica de SIF es usada enlu+ar de D#olNtica del S4SIF

• 6os requisitos para el compromiso dela ;lta Airecci)n ueron revisados "a*ora est!n presentes en la Cl!usulade 6ideraB+o



Cambios: H dierencias adicionales

• 6as acciones preventivas sereemplaBaron por Qacciones para

abordar los ries+os " oportunidades

• 6os requisitos de evaluaci)n de ries+osson a*ora m!s +enerales " se alineancon la norma ISO 31000

• 6os requisitos de la declaraci)n deaplicabilidad &So;' son similares pero seda ma"or claridad en la determinaci)nde los controles del proceso detratamiento de ries+os

• %a"or >nasis en el establecimiento delos obetivos$ el se+uimiento deldesempeo " m>tricas



Cambios: .ueva structura documental

• Aesarrollado usando el ;ne/oS6 – #ara estandariBar a los

redactores de normas – #roporciona te/to est!ndar

bien conocido entre losSistemas de +esti)n-

• .ueva estructura paraconvertirse en comMn paratodas las normas de Sistemasde 4esti)n-

• Se desea estandariBarterminolo+Na " requisitosundamentales para sistemasde +esti)n




In(ro#%c(ion

1- Scope2- .ormative reerences3- Terms and deinitionsH- Conte/t o t*e or+aniBation

5- 6eaders*ip

J- #lannin+7- Support9- Operation- #erormance evaluation

10- Improvement

Identical core te/t Por clauses H10 t*ere are also subclauses$ andidentical core te/t &requirements' is provided &reer ;ppendi/ 3 in;nne/ S6'-

i+* 6evel Structure R %ain clauses

T*e common rameGorE is deined in ;ppendi/ 3 o ISO,IC Airectives$ #art 1 ;nne/S6 &pp 1H3152'



#rincipales Aierencias

Tomado de iso27000-es




T a b

l a

d e c o

n t e n i d o




• 3 "rminos + #e*iniciones

– Todas las deiniciones ueron removidas – 6as deiniciones relevantes ueron movidas a

ISO27000

– #romueve la consistencia de t>rminos "deiniciones en toda la amilia ISO270KK




4 $on(e!(o #e la Or-ani;ación

– elacionados con el conte/to de la Or+aniBaci)n determinar losproblemas e/ternos e internos

– equisito claros para considerar las partes interesadas

– l conte/to determina la polNtica de SI$ los obetivos " la orma en que

la or+aniBaci)n tendr! en cuenta el ries+o " el eecto del ries+o en sune+ocio

– equisitos de las partes interesadas pueden incluir los requisitosle+ales " re+lamentarios " las obli+aciones contractuales




$on(e!(o '!(erno

– social$ cultural$ polNtico$ urNdico$ normativo$ inanciero$ tecnol)+ico$econ)mico$ natural " ambiente competitivo &internacional$ nacional$re+ional o local'

– Pactores clave " tendencias que tienen impacto en los obetivos de laor+aniBaci)n

– elaciones percepciones " valores de los actores e/ternos




$on(e!(o In(erno

– Cultura de la or+aniBaci)n – structura de +obierno$ roles " responsabilidades

– #olNticas$ obetivos " las estrate+ias en marc*a para alcanBarlos

– Capitales en t>rminos de recursos " de conocimientos &procesos e-$ Ainero$tiempo$ +ente$ sistemas " tecnolo+Nas'

– sistemas de inormaci)n Inormales " ormales " luos de procesos paratoma de decisiones

– .ormas adoptadas$ 4uias " modelos

– Porma " alcance de las relaciones contractuales

– elaciones$ percepciones " valores de los actores internos




5 >i#era;-o

– esume los requisitos especNicos para el papel de la alta direcci)n en el S4SI

– Aelinea ormas especNicas para demostrar la +esti)n " su compromiso con el sistema- emplosinclu"en:

• ase+urando que los recursos necesarios para el sistema de +esti)n de la se+uridad de la inormaci)n est>ndisponibles

• comunicando la importancia de una +esti)n de la se+uridad de la inormaci)n eicaB " de la conormidad con

los requisitos del sistema de +esti)n de la se+uridad de la inormaci)n

– ;unque se renombro la #olNtica del S4SI$ los requisitos de polNtica ori+inales permanecen

– 6a alta direcci)n debe ase+urarse de que las responsabilidades " autoridades para los rolespertinentes a la se+uridad de la inormaci)n se asi+nen " comuniquen-




6 Plani*icación

– stablecimiento de obetivos " principios rectores para el S4SI – ;l planiicar el S4SI- el conte/to de la or+aniBaci)n debe ser tenido en cuenta a

trav>s de la consideraci)n de los ries+os " oportunidades

– 6os obetivos de la or+aniBaci)n deben estar claramente deinidos unto conlos planes para alcanBarlos

– equisitos de evaluaci)n de ries+os m!s +eneral " alineados con la norma ISO31000

– equisitos de la declaraci)n de aplicabilidad &So;' pr!cticamente sin cambios-




ies-o

– #ropietario del ies+o en lu+ar de propietario del activo – S)lo es necesario para identiicar los ries+os con respecto a

Conidencialidad$ Inte+ridad " Aisponibilidad

– inclu"e Qries+os positivosQ tambi>n conocidos comoOportunidades

– #lan de tratamiento de ries+os usado para crear ladeclaraci)n de aplicabilidad




ies-o

i i l i i




Plan #e "ra(amien(o #el ies-o

– 6a cl!usula J-1-3 describe c)mo una or+aniBaci)n puede responder alos ries+os con un #lan de Tratamiento de ies+os$ una parteimportante de esto es la elecci)n de los controles adecuados

– stos controles " obetivos de control$ i+uran en el ;ne/o ;$ aunquetambi>n es posible$ en principio que las or+aniBaciones implementencontroles tomados de cualquier otra uente

# i i l Ai i




7 Sopor(e

– 6o necesario para establecer$ implementar " mantener " meorarcontinuamente un S4SI eectivo inclu"e:

• equerimientos de recursos o

• competencias de las personas involucradas

• Conocimiento " comunicaci)n con las partes interesadas

• equisitos para la +esti)n de documentos – Se reiere a la Qinormaci)n documentadaQ en lu+ar de Qdocumentos "

re+istrosD

– a no es una lista de los documentos que se necesitan o nombres particulares

que se les debe dar – %!s >nasis en el contenido en lu+ar del nombre-

# i i l Ai i




8 Operaciones

– 6as or+aniBaciones deben planiUcar$ implementar "controlar los procesos necesarios para cumplir losrequisitos de se+uridad de la inormaci)n

– Se inclu"e:• 6levar a cabo valoraciones de ries+o de SI a intervalos planiicados

• 6a implementaci)n de un #lan de Tratamiento de ies+os de SI

# i i l Ai i




9 'al%aciones #el #esempeo

– ;uditorNas internas " revisi)n por la direcci)nm>todos clave de la revisi)n del rendimiento delS4SI " *erramientas para su meora continua

– equisitos m!s especNicos para la medici)n de laeectividad

# i i l Ai i




10 ,eora

– 6as no conormidades de los S4SI tienen que sertratadas unto con las acciones correctivas paraase+urarse de que no vuelvan a ocurrir

– ;l i+ual que con todos los est!ndares de sistemasde +esti)n$ la meora continua es un requisitob!sico de la norma

# i i l Ai i



• ;*ora se tienen 1H dominios &2005: 11 dominios'

• l nMmero de controles se reduo de 133 a 113 controles

• Se *an eliminado o usionado al+unos controles

• ;l+unos controles nuevos se *an aadido

• ;l+unos de los controles que permanecen *an sido *an sidoreormulados

Aominios " Controles

ISO27001&2005 ISO27001&2013Total dominios de loscontroles 11

Total dominios de loscontroles 1H

.Mmero de controles 133 .Mmero de controles 113





l nMmero de dominios del ane/o

aumenta de 11 a 1H

;-5 #olNtica de Se+uridad

;-J Or+aniBaci)n de la se+uridad de

la inormaci)n

;-7 4esti)n de ;ctivos

;-9 Se+uridad de los recursos*umanos

;- Se+uridad Nsica " del entorno

;-10 4esti)n de comunicaciones "

operaciones;-11 Control de ;cceso

;-12 ;dquisici)n$ desarrollo "mantenimiento de Sistemas de

Inormaci)n

;-13 4esti)n de los incidentes de lase+uridad de la inormaci)n

;-1H 4esti)n de la continuidad delne+ocio

;-15 Cumplimiento

n e ! o I S O 2 7 0 0 1 : 2 0 0 5 O b e ( i 4 o s # e c o n ( r o l


Aominios de la norma ISO,IC 27001:2013




>is(a #e con(roles %e +a no *orman par(e #el es(n#ar:Control Descripción Cambia por Incluye los

controles de laISO 27001:2005

A.6.1.1 Comité de gestión parala seguridad de la

información

Roles de laseguridad de la

información y susresponsabilidades

.6.1.3 y A.8.1.1

A.6.1.2 Coordinación deseguridad de lainformación

Contacto conautoridades

.6.1.6

A.6.1.4 Procesos de autorizaciónpara instalaciones paraprocesamiento deinformación

Seguridad de lainformación en lagestión deproyectos

A.6.2.1 Identificación de riesgosrelacionados conagentes externos

Política dedispositivo móvil

.11.7.1

A.6.2.2 Direccionamiento deseguridad al tratar conclientes

Trabajo a distancia .11.7.2

A.10.2.1 Entrega del servicio

A.10.7.4 Seguridad del sistema

de documentosA.10.8.5 Sistema de información

de negocios

A.10.10.2 Seguimiento al uso desistema

A.10.10.5 Falla en el registro

A.11.4.2 Autenticación deusuarios paraconexiones externas


Controles del;ne/o ;




>is(a #e con(roles %e +a no *orman par(e #eles(n#ar:

A.11.4.3 Identificación de equipos

A.11.4.4 Puerto remoto de diagnóstico

y configuración de protección

A.11.4.6 Control para la conexión deredes

A.11.6.2 Aislamiento del sistemasensible

A.12.2.1 Validación de datos deentrada

Controles contramalware

A.10.4.1

A.12.2.2 Control de procesamientointerno

A.12.2.3 Integridad de mensaje

A.12.2.4 Validación de datos de salida

A.12.5.4 Filtración de la información

A.15.1.5 Prevención del uso indebidode las instalaciones para elprocesamiento de información

A.15.3.2 Protección de lasherramientas de auditoría desistemas de información






<%eos con(roles prop%es(osControl Descripción Absorbe los

controles de laISO 27001:2005

A.6.1.4 Seguridad de la información en la gestiónde proyectosA.12.6.2 Restricciones en la instalación de

softwareA.14.2.1 Política de desarrollo de seguridad

A.14.2.5 Desarrollo de procedimientos para elsistema

A.14.2.6 Desarrollo de un entorno seguro

A.14.2.8 Sistema de prueba de seguridad

A.15.1.1 Información de seguridad para lasrelaciones de proveedores

A.6.2.3

A.15.1.3 Cadena de suministro ICT

A.16.1.4 Evaluación y decisión de los eventos deseguridad de la información

A.16.1.5 Respuesta a incidentes de seguridad dela información

A.17.1.2 Implementación de la continuidad de laseguridad de la información

A.17.2.1 Disponibilidad de las instalaciones paraprocesamiento de



;+enda



;+enda

• ISO 27000 – 6a amilia ISO 27000 – <=u> es ISO 27001:2013? – <=u> es un S4SI?

– #or que seleccionar ISO 27001?

• Principales cambios ISO 27001: 2013 Vs. ISO 27001:2005 – l ciclo #@; – 6os 5 principales cambios – Otros Cambios relevantes

– structura del Aocumento – Sección 3 T>rminos " deiniciones – Sección 4 Conte/to de la or+aniBaci)n – Sección 5 6ideraB+o – Sección 6 #laneaci)n – Sección 7 Soporte – Sección 8 Operaciones

– Sección 9 valuaci)n del desempeo – Sección 10 %eora – ne!o Cambios en los Controles





Se+Mn lo especiicado por el Poro Internacional de ;creditaci)n &I;P'$ todos los

cer(i*ica#os i-en(es bao los requisitos #e la norma ISO&I'$ 27001:2005deber!n ser ac(%ali;a#os en un periodo m!/imo de dos &2' aos$ el cualinaliBar! en 2015G10G01$

"iempo #e (ransición





6ineamientos aplicables para la transici)n de las certiicaciones a la nueva versi)n:

1. Or-ani;aciones cer(i*ica#as con la ISO&I'$ 27001 ersión 2005 an(es #el #Ha 2013G10G016as auditorNas de se+uimientos$ reactivaciones " renovaciones de certiicadosemitidos con la norma ISO,IC 27001 versi)n 2005$ se podr!n realiBar *asta el 20150H01-

2. Or-ani;aciones %e an no es(n cer(i*ica#as con la ISO&I'$ 270016as auditorNas de otor+amiento de certiicados con la norma ISO,IC 27001 con laversi)n 2005 solo ser!n permitidas *asta el dNa 201H1001$ despu>s de esta ec*a lasauditorNas de otor+amiento se realiBar!n solamente con ISO,IC 27001 versi)n 2013-


"iempo #e (ransición




$oncl%siones

sta nueva versi)n relea una ma+or *le!ibili#a# para su implementaci)n dentrode las empresas sin importar su tamao$ asN como la necesidad de a#ap(arse a laeol%ción #e las (ecnolo-Has$ lo que para muc*os "a era inminente desde *aceal+unos aos-

6a recomendaci)n para quienes "a poseen un S4SI implementado es considerar elapo"o de consultores con e/periencia para llevar a cabo las modiicaciones "diri+ir los esuerBos *acia una actualiBaci)n e/itosa de la norma$ conorme lodictan los requisitos- Aespu>s de todo$ con la ac(%ali;ación #e la norma el

c%mplimien(o ser! m!s !cil de implementar con meor le/ibilidad para lasempresas de cualquier tamao-




Si usted asisti) a esta c*arla a+radecemos dili+enciar

la si+uiente encuesta

*ttp:,,+oo-+l,rc./c

#re+untas



#re+untas

iso 27001-2013 isc2 colombia chapter

Documents