ISO 27001:2013 Ing. Yango Alexander Colmenares| Instituto Politécnico Nacional -Maestría en

Ingeniería en Seguridad y Tecnologías de la Información - México 2014

Objetivos de la Sesión

•Entender las diferencias claves de la versión ISO 27001:2005 a la versión 2013

•Indicar los nuevos requerimientos de la versión 2013

•Mostrar los nuevos Controles y Dominios Agregados en la ISO 27001:2013

2

Lo recuerdas?

Es una federación mundial de organismos nacionales de normalización alrededor de 160 países, trabajan a nivel de Comités Técnicos.

(Source: iso.org) 3

Necesidad del Proyecto ISO 27001:2013

Causas: Los estándares ISO se revisan cada 4 o 5 años. Los controles de la ISO 27002 muchos son obsoletos. La necesidad de integrar los sistemas de gestión (Anexo SL, PAS 99).

El proyecto nace con la aprobación de un articulo en el New Work Item (NWI) el 19 de mayo 2009.

Los primeros 3 borradores de trabajo conservan la estructura de 1ra edición.

La estructura común y el texto básico actual aplican al draft 4 en oposición de varios organismos nacionales.

El 15 de Febrero del 2012, el Consejo de Gestión Técnica de ISO (TMB) decidió que la norma ISO 27001 tiene que seguir la nueva estructura, unificado, pero que las desviaciones justificadas se admiten.

La alianza para dejar caer la Declaración de aplicabilidad falló.

Los intentos para terminar el proyecto hasta el final fracasaron.

4

Revisión por: • NCC (Centro Nacional de

Computación) • Consorcio usuarios

1993

Estándar nacional británico

1995

Estándar Internacional (Fast Track)

1999 2000

Revisión periódica (5 años)

2005

Nuevo estándar nacional certificable

Estándar Internacional

1998 2002

Revisión conjunta de las partes 1 y 2

Revisión y acercamiento a: • ISO 9001 • ISO 14001 • OCDE

1999 2005

Centro de Seguridad de Informática Comercial del Reino Unido (CCSC/DTI)

1989

Revisión conjunta de las partes 1 y 2

■ Certificable

Código de prácticas para usuarios

■ PD0003 Código de prácticas para la gestión de la seguridad de la información

■ BS 7799

■ BS 7799-1 :1999

■ ISO/IEC 17799

:2000

■

ISO/IEC 17799 :2005 ■

BS 7799-2 :2002 ■

BS 7799-2 ■

BS 7799-2 :1999 ■

ISO/IEC 27001 :2005 ■

Historia de ISO 27001 e ISO 17799

■ No certificable

2013

ISO/IEC 27001 :2013 ■

2013

Cambios de Estructura en las Normas

1. Introducción

2. Objeto

3. Referencias Normativas

4. Contexto de la Organización

5. Liderazgo

6. Planificación

7. Soporte

8. Operación

9. Evaluación del desempeño

10. Mejora

1.Introducción

2. Objeto

3. Referencias Normativas

4. Sistema de Gestión de la Seguridad de la Información

4.1 General 4.2 SGSI 4.2.1 Establecer 4.2.2 Implementar y Operar

4.2.3 Monitorear y Revisar 4.2.4 Mantener y Mejorar 4.3

Documentar

5. Responsabilidad de la Dirección

6. Auditoría Interna

7. Revisión de la Dirección

8. Mejora

VERSIÓN ISO 27001: 2005 VERSIÓN ISO 27001: 2013

6

Entregas

9. Evaluación del desempeño

VERSIÓN 2005 VERSIÓN 2013

ANEXO A Objetivos de control y Controles

ANEXO B OECD Principios y estándares Internacionales

ANEXOC Correspondencia entre ISO:9001:2000, ISO

14001:2004 y la este estándar internacional.

ANEXO A Objetivos de control y Controles

7

Nuevos conceptos ISO 27002:2013 Clausula 8.1 Activos relacionados con las instalaciones de procesamiento de información deben ser identificados y un inventario de los activos deberá estar documentado y actualizado.

Activo

Activo Primario

Información Procesos

Activo de Soporte

Infraestructura, Hardware y Software

8

Nuevos Conceptos 6.Planeacíon 8.Operación 6.1 Actions to address risks and opportunities

ISO 27001:2013 Clausulas 6.1.2 y 8.2 Evaluación de los riesgos de la seguridad de la información.

(Source: Isaca)

8.2The organization shall retain documented information of the results of the information security risk assessments.

ISO 31000:2009 CRISC-Isaca

9

Nuevos Conceptos: 5.Liderazgo

La alta dirección debe asegurarse de que las responsabilidades y las funciones pertinentes a la seguridad de información se asignen y se comuniquen.

Tareas/actividades

Procedimientos

Herramientas/tecnología

Procesos de control de cambios del proyecto

Roles de la Organización responsabilidades y autoridades

5.3 Note:Top management may also assign responsibilities and authorities for reporting performance of the information security management system within the organization.

10

ISO 27002:2005 Vs ISO 27002:2013

5. Política de Seguridad de la Información 6. Organización de la Seguridad de la Información

7. Seguridad de los Recursos Humanos

8. Gestión de activos

9. Control de acceso

10. Criptografía Política y Gestión de Clave

11. Seguridad física y del entorno

12. Seguridad en la operaciones

13. Seguridad de las comunicaciones

14. Adquisición, desarrollo y mantenimiento de los sistemas 15. Relación con los proveedores

16. Gestión de incidentes de S.I.

17. Los aspectos de la S.I. en la G.C.N.

18. Cumplimiento

5. Política de Seguridad de la Información 6. Organización de la Seguridad de la Información

7. Gestión de activos

8. Seguridad de los Recursos Humanos

11. Control de acceso

10. Gestión de comunicaciones y operaciones

12. Adquisición, desarrollo y mantenimiento en sistemas de información 13. Gestión de incidentes de S.I. 14. Gestión de continuidad de negocio

15. Cumplimiento

9. Seguridad física y del entorno

ISO 27002:2005 ISO 27002:2013

11

En resumen:

ISO 27002:2005 ISO 27002:2013

11 Dominiosde seguridad de la información. 14 Dominios de seguridad de la información.

39 Objetivos de Control 35 Objetivos de Control

133 Controles 111 Controles

21 Controles Borrados 14 Nuevos Controles

No poseía el concepto de seguridad de la Información

Revisión y fusión de Controles

SGSI (ISMS) Establecer, Implementar, Operar, Revisar, Mantener, Hacer Seguimiento y Mejorar la seguridad de la información.

Fortalece el concepto de la seguridad de la información (SI) en la preservación de las 3 Propiedades de la información.

12

Controles Eliminados: ISO 27002:2005 ISO 27002:2005

A.6.1.1 Compromiso de la Gerencia con la seguridad de la información

A 11.4.2 Autenticación del usuario para conexiones externas

A.6.1.2Cordinación de la seguridad de la información A 11.4.3 Identificación del equipo en red

A 6.1.4 Proceso de autorización para los medios de procesamiento

A 11.4.4 Protección del puerto de diagnostico remoto

A 6.2.1 Identificación de Riesgos relacionados con entidades externas

A 11.4.6 Control conexión de redes

A 6.2.2 Tratamiento de la seguridad cuando se trabaja con clientes

A 11.4.7 Control de 'routing' de redes

A 10.2.1 Entrega de servicio A 10.8.5 Sistemas de información comercial

A 10.7.4 Seguridad de documentación del sistema A 11.6.2 Aislamiento del sistema sensible

A 10.10.2 Uso del sistema de monitoreo A 12.2.4 Validación de data de output

A 10.10.5 Registro de fallas (faulth logging) A 15.3.2 Protección de las herramientas de auditoria de los sistemas de información

13

Nuevos Controles : ISO 27002:2013 ISO 27002:2013

A.6.1.5 Seguridad de la información en la administración de proyectos

A 16.1.5 Respuesta a incidentes de seguridad de la información

A.12.6.2 Restricciones en la instalación de software A 17.2.1 Disponibilidad de instalaciones del procesamiento de la información

A 14.2.1 Políticas de desarrollo seguro

A 14.2.5 Principios de ingeniería para sistemas seguros

A 14.2.6 Entorno para desarrollo seguro

A 14.2.8 Pruebas de seguridad en los sistemas (testing)

A 15.1.1 Política de seguridad de la información para las relaciones con proveedores

A 15.1.3 Tecnologías de la información en la cadena de suministros

A 16.1.4 Evaluación y decisión sobre los eventos de la seguridad de la información.

14

Países con mayores Certificados en IS0 27001:2005

(Source: iso.org)

15

Países con Certificados en IS0 27001:2005

0 €

1.000 €

2.000 €

3.000 €

4.000 €

5.000 €

6.000 €

7.000 €

8.000 €

Japón India China España Alemania Usa México Colombia

Certificados obtenidos al 2012

(Source: iso.org)

16

Países Latinos con Certificados en IS0 27001:2005

México Colombia Brasil Argentina Chile Peru Ecuador

Certificados Obtenidos 75 58 53 33 23 7 3

0 €

10 €

20 €

30 €

40 €

50 €

60 €

70 €

80 €

Nú

me

ro d

e C

ert

ific

ad

os

Certificados Obtenidos

(Source: iso.org)

17

Conclusiones Los conceptos que debemos reforzar: Partes interesadas, Liderazgo, Sensibilización, Comunicación, Capacidades, Propietario del riesgo, Activos, Gestión de Riesgos y Oportunidades.

La ISO 27002:2013 tiene menos controles en cantidad y en método hay menos controles tecnológicos, adicionalmente se cuentan con políticas de control mas claras.

ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y 114 CONTROLES

Los Requisitos de evaluación de riesgos deben alinearse con la norma ISO 31000

18

Referencias y Bibliografía.

Information technology — Security techniques — Information security management systems — Requirements ISO/IEC 27001:2013

Survey World distribution of ISO/IEC 27001 certificates in 2012

ISACA.Org

ISO 27001:2005

Procesos de control ISO tools.org

Msi. Ing. Darío Medina Ramírez, Cátedra- Análisis de Riesgos

19

Gracias por su atención…

Desarrollado por: Ing.Yango Alexander Colmenares Auditor Interno Certificado ISO 27001

20