seminario iso 27001
TRANSCRIPT
1ISO 27001PR/mo/item IDDate
www.iso.orgwww.iso.org
OrganizaciOrganizacióón Internacional n Internacional de Normalizacide Normalizacióónn
2ISO 27001PR/mo/item IDDate
ISO/IEC 27001 ISO/IEC 27001 –– Sistema Sistema de Gestide Gestióón de la n de la Seguridad de la Seguridad de la
InformaciInformacióónnPor Dra. Por Dra. AngelikaAngelika PlatePlate
Bogota, Colombia, 9Bogota, Colombia, 9--11 de diciembre11 de diciembre
3ISO 27001PR/mo/item IDDate
La Familia de lasNormas 27000
& ISO/IEC 27001
La Familia de lasNormas 27000
& ISO/IEC 27001
4ISO 27001PR/mo/item IDDate
WG1 Normas del SGSI
Presidente Prof. Ted HumphreysVicepresidente Angelika Plate
WG4 Servicios de SGSI
Presidente Meng-Chow Kang
WG2Técnicas de
SeguridadPresidente Prof. Kenji Namura
WG3Evaluación dela Seguridad
Presidente Mats Ohlin
WG5Privacidad,
Gestión de ID y Biométrica
Presidente -por definirse-
ISO/IEC JTC1 SC27Presidente Dr. Walter Fumy
Vicepresidente Dr. Marijike de SoeteSecretaria Krystyna Passia (DIN)
ISO/IEC JTC1 SC 27ISO/IEC JTC1 SC 27
5ISO 27001PR/mo/item IDDate
Sistema de Gestión de la Seguridad de la Información (SGSI) [27001]
Sistema de Gestión de la Seguridad de la Información (SGSI) [27001]
Guí
a de
impl
emen
taci
ón d
el
SG
SI
[270
03]
Guí
a de
impl
emen
taci
ón d
el
SG
SI
[270
03]
Con
trole
s de
la s
egur
idad
de
la in
form
ació
n (e
x177
99)
[270
02]
Con
trole
s de
la s
egur
idad
de
la in
form
ació
n (e
x177
99)
[270
02]
Pan
oram
a ge
nera
l &
te
rmin
olog
ía d
el S
GS
I [2
7000
]
Pan
oram
a ge
nera
l &
te
rmin
olog
ía d
el S
GS
I [2
7000
]
Med
icio
nes
de la
ges
tión
de
la s
egur
idad
de
la
info
rmac
ión
[270
04]
Med
icio
nes
de la
ges
tión
de
la s
egur
idad
de
la
info
rmac
ión
[270
04]
Ges
tión
del r
iesg
o de
SG
SI
[270
05]
Ges
tión
del r
iesg
o de
SG
SI
[270
05]
Material de orientación y
apoyo a 27001
Requisitos de acreditación para el SGSI [27006]
Requisitos de acreditación para el SGSI [27006]
Directrices de auditoría del SGSI [27007] PROYECTO
NUEVO
Directrices de auditoría del SGSI [27007] PROYECTO
NUEVO
Acreditación y certificación
6ISO 27001PR/mo/item IDDate
Norma Título Estado
27000 Panorama General y Vocabulario FDIS
27001 Requisitos para el SGSI Publicada –actualizada ahora
27002 Código de Práctica para la Gestión de la Seguridad de la Información
Publicada –actualizada ahora
27003 Guía de Implementación del SGSI FCD
27004 Mediciones de la GSI 2do. FCD
27005 Gestión del Riesgo del SGSI Publicada
27006 Requisitos de Acreditación para organismos de certificación Publicada
27007 Directrices de Auditoría del SGSI WD
Normas 27000Normas 27000
7ISO 27001PR/mo/item IDDate
Modelo DCA SGSI Modelo DCA SGSI ModelModel
Ciclo de Vida del SGSICiclo de Vida del SGSI
PLANIFICAR
VERIFICAR
ACTUAR
HACER
Diseño del SGSI
Implementación &
operación del SGSI
Mantenimiento & mejora del
SGSISeguimiento & revisión del SGSI
Modelo PHVAModelo PHVA
8ISO 27001PR/mo/item IDDate
Implementación de procesos de gestión del riesgo para alcanzar un SGSI eficaz mediante un proceso de mejora
continua
Implementación de procesos de gestión del riesgo para alcanzar un SGSI eficaz mediante un proceso de mejora
continua
Information Security Management System (SGSI) Process Model
Information Security Management System (SGSI) Process Model
Diseño del SGSI (evaluación del riesgo, tratamiento del riesgo, selección de los controles …)
Implementación y Utilización del SGSI (implementar y ensayar los controles, políticas, procedimientos, procesos…)
Seguimiento & Revisión del SGSI(incidente, cambios, reevaluación
de los riesgos, hojas de evaluación, auditorías…)
Actualización & Mejora del SGSI(mejorar o implementar nuevos
controles, políticas, procedimientos…)
PHVA
Planificar
PHVA Hacer
Verificar
Actuar
9ISO 27001PR/mo/item IDDate
Puntos sobresalientes y características
Enfoque de gestión del riesgo
evaluación del riesgo, tratamiento del riesgo, toma de decisiones por parte de la Dirección
Modelo de mejora continua
Medidas de eficacia
Especificación de auditoría (Auditoría interna y externa del SGSI)
Está ahora en revisión
Requisitos del SGSIRequisitos del SGSI
10ISO 27001PR/mo/item IDDate
Norma ISO/IEC 27002 Código de Práctica para la gestión de la Seguridad de la Información
Un catálogo de Prácticas EficacesSugiere un grupo de controles holísticosNo es una norma de certificación o de
auditoríaPolítica de seguridad
Organización de la seguridad de la información
Gestión de activos
Seguridad de los recursos humanos
Seguridad física & del entorno
Gestión de operaciones & comunicaciones
Control del acceso
Adquisición, desarrollo y mantenimiento de los sistemas de información
Gestión de la continuidad del negocio
Cumplimiento
Gestión de los incidentes de seguridad de la información
11ISO 27001PR/mo/item IDDate
Código de Práctica para la gestión de la seguridad de la información
Desde la primavera de 2007 a la norma ISO/IEC 17799 se le dio nueva numeración como 27002
La norma está ahora en revisión
12ISO 27001PR/mo/item IDDate
Una guía para avanzar en la implementación de los requisitos definidos en la norma 27001
El alcance incluye orientación sobre implementación en:
Asesoramiento detallado y ayuda en lo concerniente a los procesos PHVA
Alcance y política del SGSI
Identificación de activos
Implementación de controles seleccionados
Seguimiento y revisión y mejora continua
¿¿QuQuéé hay en la norma ISO/IEC 27003?hay en la norma ISO/IEC 27003?
13ISO 27001PR/mo/item IDDate
Orientación sobre las mediciones de la gestión de la seguridad de la información para apoyar los requisitos de medición y eficacia definidos en la norma 27001
¿Qué, cómo y cuándo medir?
Desempeño, benchmarking, seguimiento y revisión de la eficacia del SGSI para ayudar en la toma de decisiones empresariales y mejoras al SGSI
¿¿QuQuéé hay en la norma ISO/IEC 27004?hay en la norma ISO/IEC 27004?
14ISO 27001PR/mo/item IDDate
Orientación en la gestión del riesgo del SGSI para apoyar la evaluación, tratamiento y gestión del riesgo, y la selección de los requisitos de los controles definidos en la norma 27001
Orientación detallada para los implementadores del SGSI, encargados de la gestión del riesgo, oficiales de seguridad …
Publicada
¿¿QuQuéé hay en la norma ISO/IEC 27005?hay en la norma ISO/IEC 27005?
15ISO 27001PR/mo/item IDDate
Requisitos de Acreditación del SGSI
Requisitos específicos del SGSI para complementar los requisitos genéricos en la norma ISO 17021-1
Sustituye a EA 7/03
Publicada en enero de 2007
15
¿¿QuQuéé hay en la norma ISO/IEC 27006?hay en la norma ISO/IEC 27006?
16ISO 27001PR/mo/item IDDate
NORMA ISO/IEC 27007NORMA ISO/IEC 27007Directrices de Auditoría del SGSI
Orientación específica del SGSI para complementar la norma ISO 19011
Manejar la orientación a los auditores en temas como:
Establecimiento de los rastros de auditoría del SGSI
Auditoría de evidencia forense
Alcances del SGSI
Mediciones 16
17ISO 27001PR/mo/item IDDate
EvoluciEvolucióónn
BS 7799-1:1995
BS 7799-1:1999
ISO/IEC 17799:2000
ISO/IEC 17799:2005
Código de práctica para la gestión de la seguridad de la información
15 junio/05
BS 7799-2:1998
BS 7799-2:1999
ISO/IEC 27001:2005
Requisitos del SGSI
15 Oct/05
BS 7799-2:2002
18ISO 27001PR/mo/item IDDate
18
Guí
a de
impl
emen
taci
ón d
el
SG
SI [
2700
3]G
uía
de im
plem
enta
ción
del
S
GS
I [27
003]
Con
trole
s de
la s
egur
idad
de
la in
form
ació
n (e
x177
99)
[270
02]
Con
trole
s de
la s
egur
idad
de
la in
form
ació
n (e
x177
99)
[270
02]
Pan
oram
a ge
nera
l &
term
inol
ogía
del
SG
SI
[270
00]
Pan
oram
a ge
nera
l &
term
inol
ogía
del
SG
SI
[270
00]
Med
icio
nes
de la
ges
tión
de
la s
egur
idad
de
la
info
rmac
ión
[270
04]
Med
icio
nes
de la
ges
tión
de
la s
egur
idad
de
la
info
rmac
ión
[270
04]
Ges
tión
del r
iesg
o de
l SG
SI
[270
05]
Ges
tión
del r
iesg
o de
l SG
SI
[270
05]
Req
uisi
tos
para
los
sist
emas
fina
ncie
ros
[270
1x]
Req
uisi
tos
para
los
sist
emas
fina
ncie
ros
[270
1x]
Req
uisi
tos
para
las
tele
com
unic
acio
nes
[270
11]
Req
uisi
tos
para
las
tele
com
unic
acio
nes
[270
11]
Req
uisi
tos
para
el t
rans
porte
[270
1x]
Req
uisi
tos
para
el t
rans
porte
[270
1x]
Req
uisi
tos
para
WLA
(Aso
ciac
ión
de L
oter
íaM
undi
al) [2
701x
]R
equi
sito
s pa
raW
LA (A
soci
ació
nde
Lot
ería
Mun
dial
) [270
1x]
Req
uisi
tos
para
los
aut
omot
ores
[270
1x]
Req
uisi
tos
para
los
aut
omot
ores
[270
1x]
Req
uisi
tos
para
el c
uida
do d
e la
sal
ud[2
70xx
/277
99]
Req
uisi
tos
para
el c
uida
do d
e la
sal
ud[2
70xx
/277
99]
Técnicas criptográficas, protocolos de autenticación, técnicas biométricas, tecnologías
de privacidad …
Técnicas criptográficas, protocolos de autenticación, técnicas biométricas, tecnologías
de privacidad …
Recuperación de desastres, seguridad de las redes de TI, servicios TTP, IDS, manejo del incidente, aplicaciones de red, gestión de la
identificación, ciber ..
Recuperación de desastres, seguridad de las redes de TI, servicios TTP, IDS, manejo del incidente, aplicaciones de red, gestión de la
identificación, ciber ..
Producto sistemaevaluación & aseguramiento de la seguridad
Producto sistemaevaluación & aseguramiento de la seguridad
Requisitos de Acreditación [17021]
Requisitos de Acreditación [17021]
Requisitos de Acreditación para el
SGSI [27006]
Requisitos de Acreditación para el
SGSI [27006] Directrices de auditoría [19011 & 27007]
Directrices de auditoría [19011 & 27007]
Sistema de Gestión de la Seguridadde la Información (SGSI) [27001]
Sistema de Gestión de la Seguridadde la Información (SGSI) [27001]
19ISO 27001PR/mo/item IDDate
Gestión de manejo de los incidentes de seguridad de la información
Apoya los controles de manejo de los incidentes en ISO/IEC 27002
Proporciona patrones y asesoramiento más técnico sobre cómo implementar esquemas para el manejo del incidente
Publicada en 2005
ISO/IEC 18044
NORMA ISO/IEC 18044NORMA ISO/IEC 18044
20ISO 27001PR/mo/item IDDate
NORMA ISO/IEC 24762NORMA ISO/IEC 24762
Servicios de Recuperación de desastres
El borrador de trabajo es la Norma de Singapur SS 507 para los proveedores de servicios para la recuperación de desastres.
En desarrollo en la nueva WG 4
Publicada
21ISO 27001PR/mo/item IDDate
21
SGSI 27001SGSI 27001
22ISO 27001PR/mo/item IDDate
Ciclo de Vida del SGSICiclo de Vida del SGSI
PLANIFICAR
VERIFICAR
ACTUAR
HACER
Diseño del SGSI
Implementación & operación del
SGSI
Mantenimiento & mejora del
SGSI
Seguimiento & revisión del SGSI
PDCA SGSI ModelPDCA SGSI ModelSGSI PHVASGSI PHVA
23ISO 27001PR/mo/item IDDate
Alcance del SGSI (4.2.1 (a))
1. Definir el alcance y límites del SGSI 2. Corresponde completamente a la
organización definir el alcance del SGSI
3. Se deben identificar las interfaces y dependencias
Diseño delSGSI
Límite
Límite
Alcance del SGSI –Toda la Organización
Alcance del SGSI –Parte de la Organización
Alcance del SGSIAlcance del SGSI
24ISO 27001PR/mo/item IDDate
Alcance del SGSI (4.2.1 (a))1. Definir el alcance y límites del SGSI 2. Corresponde completamente a la
organización definir el alcance del SGSI
3. Se deben identificar las interfaces y dependencias
Diseño delSGSI
Alcance del SGSI
Proveedor de Servicios Externo
ClienteDpto. de Servicio
de TI
Alcance del SGSI Alcance del SGSI
25ISO 27001PR/mo/item IDDate
Ejemplos del Alcance del SGSI
1. Departamento de ventas y compras2. Outsourcing – servicios de gestión de
datos3. Servicios de reembolsos al cliente
• Reclamaciones al seguro• Reclamaciones de cobertura
médica• Reclamaciones de restitución de
mercancías dañadas4. Banca en línea5. Servicios organizacionales de TI
internos
Diseño delSGSI
Alcance del SGSIAlcance del SGSI
26ISO 27001PR/mo/item IDDate
Política del SGSI (4.2.1 (b))
1. Definir la política del SGSI que define un marco para establecer los objetivos y la dirección para la seguridad de la información:
• Tiene en cuenta todos los requisitos aplicables, legales, contractuales y empresariales
• Se alinea con el contexto global de gestión del riesgo de la organización
• Establece los criterios para la evaluación del riesgo
• Ha sido aprobada por la dirección
Diseño delSGSI
Declaración de Política de Seguridad de la InformaciónObjetivos …………………………………….…………………………………………………Definición de seguridad de la información ……............................................................................Requisitos y reglas de la política………………………………..……………………………………………………………………………………………………
Firmado y aprobado por ………….Fecha ………………..
PolPolíítica del SGSI tica del SGSI
27ISO 27001PR/mo/item IDDate
Evaluación del Riesgo (4.2.1 (c)-(e))
1. Definir el enfoque 2. Identificar y evaluar los riesgos
• Activos y sus valores• Amenazas y vulnerabilidades• Riesgos e impactos
Ejemplo A:Activo – registros del cliente – la
sensibilidad y el valor comercial son altos en términos financieros
Amenazas – acceso, fuga y modificación no autorizados
Vulnerabilidades – Control del acceso carente o inapropiado, falta de control de autenticación, falta de control sobre el procesamiento de la información
Riesgo – altoImpacto - alto
Diseño delSGSI
activo
vulnerabilidadesamenazas
riesgos impactos
aprovechan devaluaciones, daños a, etc.
EvaluaciEvaluacióón del Riesgo del SGSIn del Riesgo del SGSI
28ISO 27001PR/mo/item IDDate
Tratamiento del riesgo (4.2.1 (f))
1. Opciones
• Reducir el riesgo – implementar controles
• Aceptar el riesgo – el impacto con el cual la compañía puede vivir financieramente
• Transferir el riesgo – seguros o mediante contratos
• Evitar el riesgo – no comprometerse en un proyecto que pueda originar el riesgo
2. Toma de decisiones de la dirección• Criterios de aceptación del riesgo y
riesgos residuales• Requisitos empresariales• Costo y recursos
Diseño del SGSI
Tratamiento del riesgo del SGSITratamiento del riesgo del SGSI
29ISO 27001PR/mo/item IDDate
Selección de los controles (4.2.1 (g))1. Los controles se seleccionan primordialmente
del Anexo A con base en los resultados de la evaluación del riesgo (los controles de otras listas/normas pueden complementar lo que no se encuentre en el Anexo A) y la decisión tomada durante la fase de tratamiento del riesgo
2. Para la selección se necesitarán los criterios de la compañía para aceptar el riesgo
3. Al realizar la selección se debe tomar en cuenta otros requisitos, como los legales
Continuación del Ejemplo A:
• Implementar mejores mecanismos de autenticación y acceso en los sistemas de TI que contienen los registros del cliente
• ¿Cuáles controles del Anexo A pueden ser aplicables?
Diseño delSGSI
SelecciSeleccióón de los controles del SGSIn de los controles del SGSI
30ISO 27001PR/mo/item IDDate
Aprobación de la dirección(4.2.1 (h)-(i))
Aprobación de los riesgos residualesAprobación y autorización para implementar los controles del SGSI
Diseño delSGSI
AprobaciAprobacióón de la direccin de la direccióónn
31ISO 27001PR/mo/item IDDate
Declaración de Aplicabilidad(4.2.1 (j))
Lista de los controles seleccionados para implementacion, más aquellos controles actualmente implementados y los controles no implementados (exclusiones)
con justificación/razones del por qué
los controles han o no han sido implementados
Diseño delSGSI
Implementación de controles
Decisión de tratamiento del
riesgo
Riesgos identificados y
evaluados
Flujo de desarrollo del SGSI
Revisión y verificación de auditoría del SGSI
DeclaraciDeclaracióón de Aplicabilidadn de Aplicabilidad
32ISO 27001PR/mo/item IDDate
Tratamiento del Riesgo (4.2.2 (a)-(c))
1. Formular plan para el tratamiento del riesgo
• El objetivo es manejar los riesgos a través de la acciones identificadas en la fase de PLANIFICACIÓN
• Identificar acciones, prioridades, recursos, responsabilidades de la Dirección
2. Implementar el plan de tratamiento del riesgo
3. Implementar los controles seleccionados
• Políticas• Procedimientos• Control de los recursos humanos• Controles de los proveedores de
servicios, contratos, SLA (Acuerdos de nivel de servicios)
• Controles técnicos
Implementación & operación del SGSI
Tratamiento del Riesgo del SGSITratamiento del Riesgo del SGSI
33ISO 27001PR/mo/item IDDate
Eficacia (4.2.2 (d))
1. Definir un grupo de mediciones y adoptar un conjunto de métodos para la medición de la eficacia de los controles implementados –luego de la implementación y en períodos regulares de ahí en adelante
• Especificar cómo medir la eficacia de los controles o de los grupos de controles seleccionados
• Especificar cómo estas mediciones se utilizarán para evaluar la eficacia de los controles
• Asegurar resultados comparables y reproducibles
Implementación & operación del SGSI
MediciMedicióón de la Eficacian de la Eficacia
34ISO 27001PR/mo/item IDDate
Acciones de la Dirección (4.2.2 (f)-(h))
1. Gestionar los recursos y operaciones para la operación efectiva de los controles del SGSI
2. Asegurar un grupo efectivo de procedimientos y recursos que estén disponibles para el manejo de incidentes
Implementación & operación del SGSI
Acciones de la DirecciAcciones de la Direccióón del SGSIn del SGSI
35ISO 27001PR/mo/item IDDate
Seguimiento & Revisiones (4.2.3)
1. Medir el desempeño, realizar benchmarking, etc., para verificar la eficacia de los controles
2. Ejecutar procedimientos de seguimiento y revisión para determinar que todo funciona como se espera, que incluyen:
• Intentos de acceso• Uso de los procedimientos• Detección de errores• Detección de intentos de violación e
incidentes• Eficacia• Resultados de la evaluación del riesgo
Seguimiento & revisión del SGSI
Seguimiento y RevisiSeguimiento y Revisióón del SGSIn del SGSI
36ISO 27001PR/mo/item IDDate
Seguimiento & Revisiones (4.2.3)
3. Rastrear los cambios• Riesgos, amenazas• Maneras de hacer negocios, nuevas
empresas del mercado, nuevos proyectos • Cambios en la mano de obra, base de
clientes, sociedades de negocios• Tecnología• Leyes y reglamentaciones
4. Emprender revisiones regulares (revisiones de la dirección) y auditorías (internas y externas) del SGSI, teniendo en cuenta:
• Informes de gestión de incidentes• Mediciones de la eficacia • Sugerencias y retroalimentación• Informes de auditoría• Acciones de la Dirección y su conclusión
Seguimiento & revisión del SGSI
Seguimiento y RevisiSeguimiento y Revisióón del SGSIn del SGSI
37ISO 27001PR/mo/item IDDate
Seguimiento & Revisiones (4.2.3)
5. Actualizar toda la documentación pertinente
• Políticas• Procedimientos • Planes• Programación de ensayos• Revisión y auditoría de manuales
Seguimiento & revisión del SGSI
Seguimiento y RevisiSeguimiento y Revisióón del SGSIn del SGSI
38ISO 27001PR/mo/item IDDate
Actualización & mejora (4.2.4 y 8.1-8.3)
1. Implementar las mejoras identificadas en la fase de VERIFICACIÓN
2. Emprender acciones correctivas y preventivas (consultar más en el artículo 8 del SGSI Mejora)
3. Comunicar las acciones y mejoras a todas las partes interesadas
4. Asegurarse de que las mejoras funcionen como se espera
5. Capacitar de nuevo al personal
Mejoras del SGSI
Mejoras del SGSIMejoras del SGSI
39ISO 27001PR/mo/item IDDate
Diseño delSGSI
Implementación& Operación del SGSI
Seguimiento & Revisión del SGSI
Mejora delSGSI
Ciclo de Vida Ciclo de Vida del SGSIdel SGSI
DocumentaciónAlcance y Declaración de Política del SGSIInforme de Evaluación del RiesgoPlan de Tratamiento del RiesgoDeclaración de AplicabilidadProcedimientos del SGSIManuales del SGSI Manuales de Auditoría
DocumentaciDocumentacióón del SGSIn del SGSI
40ISO 27001PR/mo/item IDDate
Diseño delSGSI
Implementación & Operación del SGSI
Seguimiento & Revisión del SGSI
Mejora delSGSI
Ciclo de Vida Ciclo de Vida del SGSIdel SGSI
Controles (4.3.2)
Controlar y proteger los documentos, utilizando procedimientos para:
Aprobación, revisión, actualización y re-aprobación
Control de versiones y cambios
Asegurar que los documentos sean válidos y accesibles
Asegurar la disponibilidad para todo el que tenga derecho al acceso
Identificar el origen y la distribución
Impedir el uso no previsto
Aplicar la identificación y etiquetadoadecuados
DocumentaciDocumentacióón del SGSIn del SGSI
41ISO 27001PR/mo/item IDDate
RegistrosRegistro del manejo de incidentesRegistros del personalRegistros de capacitacionesRegistros de contratos, ventas y entregas a los clientesRegistros de ventasRegistros financierosRegistros de ensayosRegistros de Benchmarking
Diseño delSGSI
Implementación & Operación del SGSI
Seguimiento & Revisión del SGSI
Mejora delSGSI
Ciclo de Vida Ciclo de Vida del SGSIdel SGSI
Registros del SGSIRegistros del SGSI
42ISO 27001PR/mo/item IDDate
Controles (4.3.3)
Se deben establecer registros para suministrar evidencia de la conformidad con la norma
Para fines de certificación, el SGSI debe haber estado en operación por al menos 4-6 meses para tener la evidencia suficiente
Los registros deben protegerse de la misma manera que toda la documentación
Los requisitos para la documentación y los registros son los mismos que para otros sistemas de gestión
Registros del SGSIRegistros del SGSI
Diseño delSGSI
Implementación & Operación del SGSI
Seguimiento & Revisión del SGSI
Mejora delSGSI
43ISO 27001PR/mo/item IDDate
La Dirección debe estipular su compromiso al:
Establecer la política, objetivos y planes del SGSI
Establecer roles y responsabilidades para la seguridad de la información
Comunicar la importancia de la seguridad de la información
Proporcionar los recursos suficientes para el SGSI
Decidir los criterios para la aceptación del riesgo
Asegurar las auditorías internas del SGSI
Realizar revisiones por parte de la Dirección
Compromiso de la DirecciCompromiso de la Direccióónn
44ISO 27001PR/mo/item IDDate
La organización debe determinar y suministrar los recursos necesarios para:
Establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI
Garantizar que la seguridad de la información brinda apoyo a los requisitos del negocio
Identificar y atender los requisitos legales y reglamentarios y las obligaciones de seguridad contractuales
Mantener la seguridad adecuada mediante la aplicación correcta de todos los controles implementados
Llevar a cabo revisiones y mejorar la eficacia del SGSI donde se requiera.
ProvisiProvisióón de Recursosn de Recursos
45ISO 27001PR/mo/item IDDate
La organización debe asegurar personal competente mediante:
La determinación de las competencias necesarias para el personal en el SGSI
El suministro de formación o la realización de otras acciones (por ej. la contratación de personal competente) para satisfacer estas necesidades
La evaluación de la eficacia de las acciones emprendidas
El mantenimiento de registros de la educación, formación, habilidades, experiencia y calificaciones
Asegurar la toma de conciencia del personal en el SGSI
FormaciFormacióón, Toma de Conciencia & Competencian, Toma de Conciencia & Competencia
46ISO 27001PR/mo/item IDDate
La organización debe llevar a cabo auditorías internas del SGSI a intervalos planificados para asegurar que el SGSI:
Cumple los requisitos de la norma ISO/IEC 27001 y de la legislación y reglamentaciones pertinentes;
Cumple los requisitos identificados de seguridad de la información;
Los procesos y controles del SGSI son implementados y mantenidos eficazmente y su desempeño es acorde con lo esperado
AuditorAuditoríías Internas del SGSIas Internas del SGSI
47ISO 27001PR/mo/item IDDate
Se debe planificar el programa de auditorías
Se deben definir los criterios, el alcance, la frecuencia y los métodos de la auditoría
Se debe asegurar la imparcialidad e independencia de los auditores
Se deben definir las responsabilidades para la planificación y realización de la auditoría y para el reporte
La Dirección es responsable del seguimiento de las acciones apropiadas para reaccionar a cualquier no-conformidad que se identifique
AuditorAuditoríías Internas del SGSIas Internas del SGSI
48ISO 27001PR/mo/item IDDate
Diseño delSGSI
Implementación & operación del SGSI Seguimiento &
revisión del SGSI
Mejora del SGSI
Revisión del SGSI por la Dirección (7.1-7.3)
Revisión por la Dirección1. Por lo menos una vez al año2. Verificación para asegurar la conveniencia, suficiencia y eficacia continuas del
SGSI3. Oportunidades de mejoras4. Actualización de las políticas, procedimientos, planes, objetivos …5. La revisión da como resultado documentos y acciones de reuniones que deben
registrarse
RevisiRevisióón del SGSI por la Direccin del SGSI por la Direccióónn
49ISO 27001PR/mo/item IDDate
Diseño del SGSI
Implementación & operación del SGSI Seguimiento
& revisión del SGSI
Mejora delSGSI
Revisión del SGSI por la Dirección (7.1-7.3)
Entradas para la revisión1. Resultados de revisiones, auditorías, mediciones de la eficacia, reportes de
incidentes, registros operacionales2. Retroalimentación desde el personal, clientes, socios de negocios, proveedores3. Perfiles de amenaza, vulnerabilidad y riesgo4. Controles, tecnología, procedimientos para mejora del SGSI nuevos o adicionales5. Acciones de seguimiento – que incluyen el estado de las acciones correctivas y
preventivas
RevisiRevisióón del SGSI por la Direccin del SGSI por la Direccióónn
50ISO 27001PR/mo/item IDDate
Diseño delSGSI
Implementación & operación del SGSI Seguimiento
& revisión del SGSI
Mejora del SGSI
Revisión del SGSI por la Dirección (7.1-7.3)
Salidas de la Revisión1. Definición de las mejoras del SGSI2. Objetivos de eficacia y mejoras a los métodos y medidas3. Actualizaciones de la evaluación del riesgo y los planes de tratamiento4. Actualizaciones de políticas, procedimientos, planes5. Reformulación de las necesidades de recursos, re-operación y definición de roles y
responsabilidades
RevisiRevisióón del SGSI por la Direccin del SGSI por la Direccióónn
51ISO 27001PR/mo/item IDDate
La organización debe mejorar continuamente la eficacia del SGSI
Acciones correctivas
Identificar las no-conformidades y sus causas
Determinar e implementar las acciones correctivas
Acciones Preventivas
Identificar las no-conformidades potenciales
Determinar e implementar las acciones preventivas
Todas las acciones deben registrarse y revisarse
Mejoras del SGSIMejoras del SGSI
52ISO 27001PR/mo/item IDDate
52
Conformidad & Certificación
Conformidad & Certificación
53ISO 27001PR/mo/item IDDate
Partes interesadas
Organismos de acreditación, Organismos de Certificación y Usuarios Finales
Documentos y normas de certificación
Proceso de Acreditación
Proceso de Certificación
Auditores
Todos los certificados registrados en la actualidad pueden consultarse en www.iso27001certificates.com
CertificaciCertificacióónn
54ISO 27001PR/mo/item IDDate
AcreditaciAcreditacióón n CertificaciCertificacióónn Organismo de Acreditación (OA)
Organismo de Certificación (OC)
OrganizaciónSGSI
Auditores
Asesores
Auditorías de certificación del SGSI• Auditoría inicial
• Auditorías de seguimiento (cada 6-12 meses)• Auditorías de re-certificación (cada 3 años)
Evaluación de los sistemas/procesos de alta calidad del organismo de certificación para
llevar a cabo y administrar las certificacionesAuditorías atestiguadas
55ISO 27001PR/mo/item IDDate
Norma de Certificación
ISO/IEC 27001:2005 (antes BS 7799 Parte:2002)
Directrices para Acreditación
ISO/IEC 17021 (antes Guía ISO 62/EN 45012)
ISO/IEC 27006 (antes EA 7/03), ISO 19011
Documentos de apoyo
ISO/IEC 27002
Documentos y Normas de CertificaciDocumentos y Normas de Certificacióónn
56ISO 27001PR/mo/item IDDate
AcreditaciAcreditacióón n CertificaciCertificacióónn Organismo de Acreditación (OA)
Organismo de Certificación (OC)
OrganizaciónSGSI
Auditores
Asesores
Auditorías de certificación del SGSI• Auditoría inicial
• Auditorías de seguimiento (cada 6-12 meses)• Auditorías de re-certificación (cada 3 años)
Evaluación de los sistemas/procesos de alta calidad del organismo de certificación para llevar a cabo y administrar las certificacionesAuditorías atestiguadas
Documentos empleados:(a) ISO/IEC 17021(b) ISO 19011(c) ISO/IEC 27006
Documentos empleados:(d) ISO/IEC 27001:2005(c) ISO/IEC 27006
57ISO 27001PR/mo/item IDDate
Auditoría Inicial de Certificación
Auditorías de seguimiento
Tres años después del otorgamiento del certificado
Típicamente cada 6-9 meses durante los tres años de período de validación de la certificación
La realización de la auditoría inicial -de dos etapas – tiene como intención el otorgamiento del certificado
Aprueba/desaprueba
Aprueba – otorgamiento del certificado
Acciones correctivas para manejar las no-conformidades
El cliente decide no seguir
desapruebadesaprueba
sí
El cliente solicita la re-certificación
El cliente decide no seguir
no
Acciones correctivas para manejar las no-conformidades
Auditoría de Re-certificación
Proceso de AuditorProceso de Auditoríía a del SGSIdel SGSI
58ISO 27001PR/mo/item IDDate
Típicamente el proceso inicial de auditoría involucra dos etapas:
Etapa 1 de la Auditoría
Revisión de los documentos del SGSI …
Etapa 2 de la Auditoría
Visita en el sitio
Reuniones con el equipo de la Dirección y entrevistas con el personal
Observación y evaluación del SGSI en funcionamiento
Revisión y discusión de los hallazgos, documentos, registros, informes …
Recopilación de la evidencia objetiva
Proceso de AuditorProceso de Auditoríía del SGSIa del SGSI
59ISO 27001PR/mo/item IDDate
Etapa 1 de la Auditoría
En esta etapa de la auditoría, el organismo de certificación debe obtener la documentación sobre el diseño del SGSI abarcando la documentación requerida en el Artículo 4.3.1 de la norma ISO/IEC 27001.
El objetivo de la etapa 1 de la auditoría es suministrar un enfoque para la planificación de la etapa 2 de la auditoría, al obtener una comprensión del SGSI en el contexto de las políticas y objetivos del SGSI de la organización del cliente, y, en particular, del estado de preparación para la auditoría por parte de la organización del cliente.
La etapa 1 de la auditoría incluye la revisión de documentación, pero no debe restringirse sólo a ella. El organismo de certificación debe acordar con la organización del cliente cuándo y dónde debe realizarse la revisión de la documentación. En todo caso, la revisión debe completarse antes del inicio de la etapa 2 de la auditoría.
Los resultados de la etapa 1 de la auditoría deben documentarse en un informe escrito. El organismo de certificación debe revisar el informe de la etapa 1 de la auditoría antes de proseguir con la etapa 2 y para seleccionar el equipo de miembros para la etapa 2 de la auditoría con la competencia necesaria.
El organismo de certificación debe hacer que la organización del cliente se entere de los tipos de información y registros adicionales que pueden requerirse para una revisión detallada durante la etapa 2 de la auditoría.
AuditorAuditoríías del SGSI as del SGSI –– Etapa 1Etapa 1
60ISO 27001PR/mo/item IDDate
Etapa 2 de la Auditoría
• Los objetivos de esta auditoría son:
Confirmar que la organización del cliente se ajusta a sus propias políticas, objetivos y procedimientos;
Confirmar que el SGSI cumple con todos los requisitos de la norma ISO/IEC 27001 y que satisface los objetivos de la organización.
• Esta auditoría siempre se lleva a cabo en las instalaciones de la organización.
• El organismo de certificación elabora un borrador de plan de auditoría para esta etapa 2 de la auditoría con base en los hallazgos de la etapa 1.
AuditorAuditoríías del SGSI as del SGSI –– Etapa 2Etapa 2
61ISO 27001PR/mo/item IDDate
La auditoría debería enfocarse hacia los siguientes aspectos de la organización
Evaluación de la seguridad de la información y riesgos relacionados y que dicha evaluación produzca resultados comparables y reproducibles
Selección de objetivos de control y controles con base en la evaluación del riesgo y los procesos de tratamiento del riesgo
Revisiones de la efectividad del SGSI y mediciones de la eficacia de los controles de seguridad de la información, realizando el reporte y la revisión contra los objetivos del SGSI
Correspondencia entre los controles seleccionados e implementados, la Declaración de Aplicabilidad y los resultados de la evaluación del riesgo y el proceso de tratamiento del riesgo, y la política y los objetivos del SGSI
Programas, procesos, procedimientos, registros, auditorías internas y revisiones de la eficacia del SGSI para garantizar que sean trazables a las decisiones de la Dirección y la política y objetivos del SGSI
AuditorAuditoríías del SGSI as del SGSI –– Etapa 2Etapa 2
62ISO 27001PR/mo/item IDDate
Política del SGSI, objetivos, requisitos empresariales y objetos
resultados de evaluacónesdel riesgo de la seguridadde la información
Decisiones de tratamiento del
riesgo
Declaración de Aplicabilidad
Ras
trode
aud
itoría
Controles paraimplementación
Controles selecionados con base en la decisión sobre el
tratamiento del riesgo
Decisión sobre el tratamientodel riesgo para reducir los
riesgos identificados
Riesgos identificadosy evaluados
Proceso de AuditorProceso de Auditoríía del SGSIa del SGSI
63ISO 27001PR/mo/item IDDate
AcreditaciAcreditacióón n CertificaciCertificacióónn Organismo de acreditación (OA)
Organismo de Certificación (OC)
Organización
Reporte de los equiposde auditoría
Equipo de Direccióndel OC
SGSI
Equipo auditor
Evaluadores
Hallazgos de auditoría
verificadosy aprobados
Si: certificadootorgado
No: acciónde seguimientoemprendida
64ISO 27001PR/mo/item IDDate
ISO/IEC 19011 (Directrices de la auditoría) (www.iso.org)
Educación
Experiencia industrial
Formación
Experiencia en auditoría
Auditores certificados IRCA (www.irca.org)
Auditor provisional
Auditor
Auditor líder
Se están desarrollando más aspectos de la certificación personal para SGSI
Calificaciones del auditor de SGSICalificaciones del auditor de SGSI
65ISO 27001PR/mo/item IDDate
2000 - 2006
EA7/03 de EA
2006
FDIS deISO/IEC 27006
Publicaciónplaneada de
ISO/IEC 27006
Enero/Feb 2007
66ISO 27001PR/mo/item IDDate
ISO/IEC 27006 es la norma de “Requisitos para la acreditación de organismos que ofrecen certificación deSGSI”
Iniciativa conjunta de ISO, IAF yCASCO
Con base en
ISO/IEC 17021
ISO/IEC 27001
ISO/IEC 27006ISO/IEC 27006
67ISO 27001PR/mo/item IDDate
ISO/IEC 27006 contiene requisitos
No existen requisitos para auditotías generales adicionales a ISO/IEC 17021
“Debe” se emplea para indicar requisitos obligatorios de ISO/IEC 17021, ISO/IEC 27001, o los resultantes de combinar las dos
“Debería” tiene que ver con orientación, aunque presenta un método reconocido para el cumplimiento de los requisitos
Uso Uso ofof „„DebeDebe““ yy„„DeberDeberííaa““
68ISO 27001PR/mo/item IDDate
ISO/IEC 27006 sigue la estructura de ISO/IEC 17021
Declaración de alto nivel del contenido de los numerales de ISO/IEC 17021
Orientación SGSI – si existe orientación adicional necesaria para el SGSI, ésta se incluye aquí.
Estructura de ISO/IEC 27006Estructura de ISO/IEC 27006
69ISO 27001PR/mo/item IDDate
StructureStructure ofof ISO/IEC 27006 ISO/IEC 27006 -- ExampleExample
70ISO 27001PR/mo/item IDDate
Sección 5 “Requisitos generales”
Orientación especifica del SGSI en relación con la imparcialidad
Listado del trabajo que pudiera estar en conflicto
Inclusión de una lista de todas las actividades que se pueden realizar out
Sección 6 “Estructura organizacional”
No hay orientación especifica de SGSI, ISO/IEC 17021 se aplica
¿¿QuQuéé incluye ISO/IEC 27006?incluye ISO/IEC 27006?
71ISO 27001PR/mo/item IDDate
Sección 7 “Requisitos de los recursos”
7.1 Orientación específica de SGSI en relación con la competencia de la Dirección
7.2 Orientación específica de SGSI en relación con la competencia del personal del OC
Capacitación, niveles de educación, experiencia laboral pre-requeridos, etc.
7.3 Orientación específica de SGSI en relación con la subcontratación
¿¿QuQuéé incluye ISO/IEC 27006?incluye ISO/IEC 27006?
72ISO 27001PR/mo/item IDDate
Sección 8 “Requisitos de información”
8.1 Orientación específica de SGSI para otorgar mantener,… suspender certificados
8.2 Orientación específica de SGSI para documentos de certificación
El certificado debe hacer referencia a la versión de la Declaración de Aplicabilidad
Cierta orientación más específica de SGSI en relación con
8.4 Uso de sellos
8. 5 Confidencialidad
¿¿QuQuéé incluye ISO/IEC 27006?incluye ISO/IEC 27006?
73ISO 27001PR/mo/item IDDate
Sección 9 “Requisitos del proceso”
9.1.1 Orientación específica de SGSI sobre requisitos generales de auditoría de SGSI para:
Criterios de auditoría de certificación
Políticas y procedimientos
Equipo auditor
9.1.2 Orientación específica de SGSI en relación con el alcance
El OC debe garantizar que el alcance se defina según se requiera en la norma ISO/IEC 27001
El OC debe garantizar que la evaluación del riesgo refleje el alcance
Énfasis especial en las interfaces y la necesidad de manejarlas.
¿¿QuQuéé incluye ISO/IEC 27006?incluye ISO/IEC 27006?
74ISO 27001PR/mo/item IDDate
Sección 9 “Requisitos del proceso”
9.1.3 Orientación específica de SGSI sobre el tiempo de la auditoría
Sin especificar un marco temporal en particular
Listado de factores que pueden influir en el tiempo requerido para la auditoría
Complejidad del SGSI, dimensión del alcance, tipo y diversidad de empresa, número de sitios,…
Referencia al Anexo A.3
¿¿QuQuéé incluye ISO/IEC 27006?incluye ISO/IEC 27006?
75ISO 27001PR/mo/item IDDate
Sección 9 “Requisitos del proceso”
9.1.4 Sitios múltiples
La orientación específica de SGSI contiene la información habitual
Muestreo representativo, en parte aleatorio y en parte basado en el riesgo
Se audita cada sitio con riesgos significativos antes de la certificación
El programa de seguimiento debería cubrir eventualmente todos los sitios
¿¿QuQuéé incluye ISO/IEC 27006?incluye ISO/IEC 27006?
76ISO 27001PR/mo/item IDDate
Sección 9 “Requisitos del proceso”
El resto de la Sección 9 comprende el proceso típico de auditoría
La competencia del equipo auditor se ha actualizado con las normas ISO/IEC 17021 e ISO/IEC 27001
Énfasis especial en evaluación del riesgo, selección del control, efectividad, documentación, auditorías y revisiones
Requisitos específicos de SGSI:
Conformidad reguladora
Integración con otros sistemas de gestión
¿¿QuQuéé incluye ISO/IEC 27006?incluye ISO/IEC 27006?
77ISO 27001PR/mo/item IDDate
Tres anexos nuevos – todos informales
Anexo A.1 Análisis de Complejidad
Valoración de la complejidad de un SGSI
Anexo A.2 Ejemplo de Áreas de Competencia del Auditor
Competencia requerida para las diferentes áreas de control y el SGSI
Anexo A.3 Tiempo de la auditoría
Descripción del proceso para determinar el tiempo de la auditoría
Ejemplo de cálculos con base en IAFGD 2, más días adicionales para SGSI/controles
Anexo A.4 Orientación sobre la revisión de los controles del Anexo A
¿¿QuQuéé incluye ISO/IEC 27006?incluye ISO/IEC 27006?
78ISO 27001PR/mo/item IDDate
78
ISO/IEC 27001Evaluación del Riesgo
&Gestión del Riesgo
ISO/IEC 27001Evaluación del Riesgo
&Gestión del Riesgo
79ISO 27001PR/mo/item IDDate
ISO/IEC 27001 no especifica el enfoque de evaluación/gestión del riesgo que se debe usar
Depende de la organización especificar qué usar (de acuerdo con el numeral 4.2.1 c))
ISO/IEC 27001 presenta el marco e ISO/IEC 27005, cierta información de mayor utilidad
Enfoques de GestiEnfoques de Gestióón del Riesgon del Riesgo
80ISO 27001PR/mo/item IDDate
ISO/IEC 27005 – Gestión del riesgo de seguridad de la información
Ofrece orientación para la gestión del riesgo de seguridad de la información como se plantea en la norma ISO/IEC 27001
Es aplicable para todas las organizaciones (tamaño, tipo de empresa, etc.) que requieran administrar los riesgos de seguridad de la información
ISO/IEC 27005ISO/IEC 27005
81ISO 27001PR/mo/item IDDate
Proceso de gestióndel riesgo enISO/IEC 27005
ModelISOModelISO/IEC 27005/IEC 27005
ESTABLECER CONTEXTO
CO
MU
NIC
AC
IÓN
DEL
RIE
SGO IDENTIFICACIÓN DEL RIESGO
VALORACIÓN DEL RIESGO
EVALUACIÓN DEL RIESGO
EVALUACIÓN DEL RIESGO
ANÁLISIS DEL RIESGO
DECISIÓN SOBRE EL RIESGO PUNTO 1Evaluación satisfactoria Si
Si
TRATAMIENTO DEL RIESGO
SEG
UIM
IEN
TO Y
REV
ISIÓ
N D
EL R
IESG
O
ACEPTACIÓN DEL RIESGO
DECISIÓN SOBRE EL RIESGO PUNTO 2Aceptar riesgos
FIN DE LAS ITERACIONES PRIMERAS O SUBSIGUIENTES
82ISO 27001PR/mo/item IDDate
La norma ISO/IEC 27005 no especifica un enfoque “correcto” de evaluación/gestión del riesgo
Considera análisis cualitativos y cuantitativos
En la actualidad se concentra en la evaluación del riesgo y su tratamiento
Aún se requieren adiciones sobre seguimiento y revisión del riesgo
ISO/IEC 27005 ISO/IEC 27005 -- ContenidoContenido
83ISO 27001PR/mo/item IDDate
ISO/IEC 27005 contiene numerosos anexos útiles
Valoración del activo
Evaluación del impacto
Ejemplo de listas de amenazas
Ejemplo de listas de vulnerabilidades, relacionadas con áreas específicas de seguridad de la información
Análisis de varios enfoques de evaluación del riesgo
Mucha información acerca de la selección de controles (con base en la antigua ISO/IEC 13335-4)
ISO/IEC 27005 ISO/IEC 27005 -- AnexosAnexos
84ISO 27001PR/mo/item IDDate
Procesos empresariales
Información
Personas
Servicios
TCI
Conexiones en red
Entorno físico
Aplicaciones
Dominios de riesgoDominios de riesgo
85ISO 27001PR/mo/item IDDate
Activos en el SGSIActivos en el SGSI
Se deberían identificar todos los activos dentro de los límites del SGSI
A fin de comprender los activos y su función en el SGSI, resulta útil identificarlos como parte de las subdivisiones del SGSI
Esto debería incluir
Activos relacionados con el SGSI vía interfaces
Dependencias a fin de garantizar la protección constante
86ISO 27001PR/mo/item IDDate
Activos del SGSIActivos del SGSI
SGSI
directorio de activos
activos
Procesos empresariales
Información
Personas
Servicios
TCI
Entorno físico
Aplicaciones
Imagen corporativaPersonasInformación /sistemas de informaciónProcesosProductos/serviciosAplicacionesTCIEntorno físico
87ISO 27001PR/mo/item IDDate
¿Cuál es el activo más importante su organización?
Factores que influyen en la importancia:
¿Qué sucede si se daña el activo?
¿El activo es útil para la organización, qué tan difícil resulta realizar negocios sin éste?
¿El activo se relaciona con aplicaciones, recursos críticos, etc.?
Importancia de la mediciImportancia de la medicióón del activon del activo
88ISO 27001PR/mo/item IDDate
¿¿CCóómo medir?mo medir?
‘Valores’ diferentes de un activo
Dinero (por ej. costos de reposición)
Valor que expresa la calidad de crítico
Valores que expresan el impacto potencial y el daño a la empresa por una perdida de
Confidencialidad
Integridad
Disponibilidad
Valores asociados con otras clasificaciones (por ej. Violación de las leyes)
89ISO 27001PR/mo/item IDDate
¿Cuántos niveles
3, 4 ó 5 .... ó ¿cuántos?
La diferencia entre los niveles debe ser fácil de explicar
El significado de estos niveles diferentes debería expresarse en palabras en cuanto a
Confidencialidad
Integridad
Disponibilidad
Otros criterios potenciales
Escala de valoraciEscala de valoracióón del activon del activo
90ISO 27001PR/mo/item IDDate
IdentificaciIdentificacióón de requisitosn de requisitos
Identificación de requisitos para los activos
Obligaciones legales y contractuales que el activo (o su ambiente) debe cumplir
Requisitos empresariales que se relacionan con el activo
Información de entrada necesaria para la valoración
Ejemplo: información con el requisito de cumplir la Ley de Protección de Datos, Data Protection Act
Alta valoración de la confidencialidad e integridad
91ISO 27001PR/mo/item IDDate
Identificar toda la legislación y regulación aplicable para el SGSI y sus activos
Véase también la norma ISO/IEC 27002, Sección 12.1
Identificar las obligaciones contractuales
Considerar todos los contratos existentes e identificar las obligaciones allí contempladas.
Acuerdos en el nivel de servicios
Conformidad con las políticas y procedimientos de seguridad
Derechos para auditar en contratos de terceros
Requisitos IPR (Derechos de Propiedad Intelectual)
…
Requisitos legales/contractualesRequisitos legales/contractuales
92ISO 27001PR/mo/item IDDate
Requisitos empresarialesRequisitos empresariales
Identificar todos los requisitos empresariales aplicables para el SGSI y sus activos, resultantes de
Aplicaciones específicas tales como la Internet, Comercio electrónico, etc.
Asuntos empresariales tales como joint ventures, requisitos para el correcto procesamiento empresarial, requisitos para entrega oportuna, etc.
Requisitos de disponibilidad para la información y los servicios, por ej. los resultantes de los requisitos del cliente
93ISO 27001PR/mo/item IDDate
Requisitos de confidencialidad (C)
Valor del activo
Clase Descripción
1 - BAJO Disponible al público
La información no sensible y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles para el público.
2 - MEDIANO Para uso interno exclusivamente o uso restringido solamente
La información no sensible está restringida para uso interno exclusivamente, es decir, no está disponible para el público o la información restringida y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles dentro de la organización con restricciones variadas con base en las necesidades de la empresa.
3 - ALTO Confidencial o Estrictamente confidencial
La información sensible y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles sólo sobre la base de la necesidad del conocimiento, o
La información sensible y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles sólo sobre la base de la necesidad estricta del conocimiento
Escala de valoraciEscala de valoracióón del activon del activo
94ISO 27001PR/mo/item IDDate
Requisitos de integridad (I)
Valor del activo
Clase Descripción
1 - BAJO Baja integridad El daño o modificación no autorizada no es crítico para las aplicaciones empresariales y el impacto en la empresa es insignificante o menor.
2 - MEDIANO Integridad mediana
El daño o modificación no autorizada no es crítico pero si es notorio para las aplicaciones empresariales y el impacto en la empresa es significativo.
3 - ALTO Integridad alta o muy alta
El daño o modificación no autorizada es crítica para las aplicaciones empresariales y el impacto en la empresa es importante y podría conllevar a falla grave o total de la aplicación empresarial
Escala de valoraciEscala de valoracióón del activon del activo
95ISO 27001PR/mo/item IDDate
Requisitos de disponibilidad (A)Valor del activo Clase Descripción
1 - BAJO Baja disponibilidad
Se puede tolerar que el activo (información, sistema de procesamiento de la información, recursos del sistema/ servicios de red, personas, etc.) no esté disponible por más de un día
2 - MEDIANO Disponibilidad mediana
Se puede tolerar que el activo (información, sistema de procesamiento de la información, recursos del sistema/ servicios de red, personas, etc.) no esté disponible por máximo de medio día a un día.
3 - ALTO Alta disponibilidad
No se puede tolerar que el activo (información, sistema de procesamiento de la información, recursos del sistema/ servicios de red, personas, etc.) no estédisponible por más de unas cuantas horas, o incluso menos.
Escala de valoraciEscala de valoracióón de activosn de activos
96ISO 27001PR/mo/item IDDate
Activos Activos -- ResumenResumen
La protección de los activos es el objetivo de la seguridad de la información y la gestión del riesgo
Cada activo debería
Identificarse y valorarse para permitir la adecuada protección
Se debe identificar un propietario/custodio
Y se debería producir una lista/inventario, que incluya
Clasificación, almacenamiento y fecha de entrada/actualización
Propietario, ubicación, tipo de activo, donde se emplea…
97ISO 27001PR/mo/item IDDate
Controles existentes Controles existentes
Se deben identificar todos los controles ya implementados o planificados
Esto es necesario para
Identificar amenazas y vulnerabilidades en un contexto realista
Verificar si estos controles son realmente necesarios o, de lo contrario, retirarlos
Identificar durante el proceso de evaluación de riesgos dónde funcionan correctamente o deben mejorarse estos controles
Seleccionar controles nuevos que se ajusten a los ya existentes
98ISO 27001PR/mo/item IDDate
IdentificaciIdentificacióón de controlesn de controles
Los controles existentes se pueden identificar fácilmente empleando un análisis de brechas, que sirve para:
Colocar los controles existentes en relación con los de ISO/IEC 27002
Se puede ajustar en detalle, como se requiera
Se puede realizar mediante
Tablas de verificación/P&R
Entrevistas
Recorrido
Análisis de mesa redonda
99ISO 27001PR/mo/item IDDate
Grados de conformidadGrados de conformidad
Grados …
Si – implementada por completo
como se describe en ISO/IEC 27002
Parcial – desde casi completa hasta cuando existen muchas brechas entre la implementación real y la norma ISO/IEC 27002
NO – sin implementarse en absoluto
NO SE APLICA– no es adecuada para la organización, por ej., técnicamente no es factible implementarla.
NO
Parcial
Si
NONO
ParcialParcial
SiSi
100ISO 27001PR/mo/item IDDate
Control Pregunta S/P/ N/NA
Comentarios
Política de Seguridad de la Información
5.1.1 ¿Se ha publicado el documento de la política?, ¿ha sido aprobado por la Dirección y se encuentra disponible para todos los usuarios responsables de la seguridad de la información?
Parcial Ha sido producido y aprobado por la Dirección, pero aún no se ha publicado – véase CISP/001/v1.0.
5.1.2 ¿La política publicada se revisa de manera regular y es apropiada?
No Pero se hará después de que se haya publicado
Organización interna6.1.1 ¿La Dirección está comprometida con la
seguridad de la información y ofrece instrucción clara y apoyo para las iniciativas de seguridad?
Si La Dirección apoya por completo las iniciativas ISO/IEC 27001.
6.1.2 ¿Las iniciativas y las medidas de seguridad están coordinadas por medio de un foro funcional transversal?
No se aplica
Esta es una pequeña empresa y esto de puede manejar en un nivel de trabajo diario.
6.1.3 ¿Están bien definidas las responsabilidades para la protección de activos individuales y la realización de procesos específicos?
Parcial Aún se requiere asignar responsabilidades adicionales en línea con la política de seguridad.
Tabla de anTabla de anáálisis de brechaslisis de brechasde alto nivelde alto nivel
101ISO 27001PR/mo/item IDDate
Tabla detalladaTabla detalladade ande anáálisis de brechas lisis de brechas
Pregunta S/P/ N/NA Comentarios
Control 5.1.1 – Documento de política de seguridad de la
información
¿Se ha implementado la política de seguridad? Si Ha sido publicada y se emprenderán acciones adicionales para la comunicación en el mes. siguiente
¿La política está aprobada por la Dirección? Si Si, ha sido aprobada por la Dirección.¿Se ha publicado y comunicado la política a todos los empleados y partes externas pertinentes?
Parcial Ha sido publicada para todos los empleados, pero aún no externamente
¿Todos entienden la política de seguridad, su propósito e implicaciones?
No No todavía, pero se brindarácapacitación especial para lograrlo el mes siguiente.
¿La política contiene todos los asuntos pertinentes mencionados en Control 5.1.1?
Si Se ha desarrollado la política por completo en línea con la norma 27002.
¿La política de seguridad está poyada por políticas más detalladas (por ej, software o la Internet)?
Parcial Existe una política de control de acceso y directrices de manejo de incidentes, pero en la actualidad no hay política de la Internet.
102ISO 27001PR/mo/item IDDate
Las vulnerabilidades son debilidades, por ej. debilidades de seguridad en el sistema
Las amenazas son cualquier cosa que pudiera causar daño, perjurio o pérdida a los activos de una organización por medio de la explotación de las vulnerabilidades de estos activos
Se necesita la conjunción de vulnerabilidades y amenazas para originar un riesgo
ThreatsThreats & vulnerabilidades& vulnerabilidades
103ISO 27001PR/mo/item IDDate
Las amenazas pueden originarse de Las amenazas pueden originarse de ……
Ataques del exterior, por ej. Intento de intrusión en las redes o predios de una organización
Hackers, spam
Ataques desde el interior usando el conocimiento y las oportunidades brindadas por el empleado
Ejemplo: un banco en Alemania donde desparecieron 8 millones de €
Accidentalmente debido a fallas del sistema o factores geográficos
Inundaciones, huracanes, terremotos
Sobrecarga del sistema
104ISO 27001PR/mo/item IDDate
Ejemplos de amenazasEjemplos de amenazas
Acceso no autorizado
Código malicioso
Hurto, por empleados o no empleados
Mal uso de los sistemas de procesamiento de la información
Fraude
Falla del sistema
Negación del servicio
Errores del usuario
Desastres
……
105ISO 27001PR/mo/item IDDate
IdentificaciIdentificacióón de amenazasn de amenazas
¿Qué podría amenazar este activo?
Empleados o no empleados
Fallas del sistema o desastres
Identificación de las amenazas
¿Quién o qué causa la amenaza?
¿Quién podría beneficiarse de iniciar la amenaza?
¿Qué ha ocurrido en el pasado?
¿Qué probabilidad hay de que esto ocurra (de nuevo)?
106ISO 27001PR/mo/item IDDate
Debido a inadecuados controles de personal, de dirección y administrativos
En relación con políticas, procedimientos y directrices
En relación con la conformidad
En software de computador o equipo de comunicaciones, en redes, sistemas/aplicaciones
En el ambiente físico
Las vulnerabilidades estLas vulnerabilidades estáán alln allíí ……
107ISO 27001PR/mo/item IDDate
Ejemplos de vulnerabilidadEjemplos de vulnerabilidad
Falta de concientización
Falta de responsabilidades claras
Clasificación errónea de la información
Incapacidad de proporcionar evidencia
Falta de control de cambio o versión
Falta de mantenimiento
Identificación y autenticación inapropiada
Falta de seguridad de los medios
Falta de protección física
……
108ISO 27001PR/mo/item IDDate
IdentificaciIdentificacióón de vulnerabilidadesn de vulnerabilidades
Identificación de vulnerabilidades del activo
¿Cuáles son los problemas de seguridad de este activo ?
¿Faltan controles para este activo?
¿Hay defectos en los mecanismos de protección actuales?
Identificación de vulnerabilidades en el ambiente?
¿Cuál es la apariencia del ambiente técnico?
¿Qué pasa con las conexiones, redes, etc.?
¿Qué tan seguro es el ambiente físico?
¿Está bien capacitado el personal? ¿es consciente de la seguridad y cumple con los controles?
109ISO 27001PR/mo/item IDDate
IncidentesIncidentes
Las amenazas y vulnerabilidades sólo causan riesgos si se reúnen y causan incidentes
La evaluación en conjunto sirve para
Facilitar el proceso de evaluación del riesgo
Hacer la evaluación menos teórica y más realista
No se deben combinar todas las amenazas y vulnerabilidades identificadas sin analizar
Se deben tener en cuenta los controles existentes
110ISO 27001PR/mo/item IDDate
Fuentes de informaciFuentes de informacióónn
Recursos internos de la empresa
Informes de incidentes de seguridad
Resultados de auditorías del sistema & revisiones de seguridad
Observación de procesos empresariales & condiciones de trabajo/operacionales,
Charla con los propietarios & usuarios de los activos/el sistema
Internet
CERT
SANS
…
111ISO 27001PR/mo/item IDDate
Cuántos niveles
3, 4 .... ó cuantos?
La diferencia entre los niveles debe ser fácil de explicar
El significado de estos niveles diferentes debería expresarse en palabras, explicando las diferencias en la probabilidad de ocurrencia de los incidentes
Escala de valoraciEscala de valoracióónn
112ISO 27001PR/mo/item IDDate
¿Qué probabilidad hay que ocurra una combinación de amenaza/vulnerabilidad?
¿Qué tanto podría sentirse atraído un atacador posible?
¿Con qué frecuencia ha ocurrido esto en el pasado?
¿Qué tan fácil es explotar las vulnerabilidades?
¿Qué tan buenos son los controles implementados?
ValoraciValoracióónn
113ISO 27001PR/mo/item IDDate
ValoraciValoracióón A/Vn A/V
Amenazas
1 – baja probabilidad
2 – probabilidad media
3 – es probable que ocurra
Vulnerabilidad
1 - Dificultad de explotación, buena protección
2 – Posibilidad de explotación
3 – Facilidad de explotación, poca protección
114ISO 27001PR/mo/item IDDate
2 3 4
Amenazas
Vuln
erab
ilida
des
1 2 3
3 4 5
Bajas
Altas
Bajas AltasRiesgo de Exposición (RdE)1 Exposición baja2 Exposición media3 Exposición significativa4 Exposición alta5 Exposición intolerable
RE
Activos
Imagen corporativaPersonalInformación/sistemas de informaciónProcesosProductos/serviciosApplicacionesTICFísicos
Riesgo de exposiciRiesgo de exposicióónn
115ISO 27001PR/mo/item IDDate
RIESGO DE EXPOSICIÓN
IMPACTO BAJO MEDIO ALTO
Bajo 1 3 5Medio 2 4 6
Alto 3 5 7Muy alto 4 6 8
71 (bajo) 2 3 6 8 (muy alto)54
Incremento en la severidad del riesgo
Matriz de riesgoMatriz de riesgo
116ISO 27001PR/mo/item IDDate
RIESGO DE EXPOSICIÓN
IMPACTO BAJO MEDIO ALTO
Bajo 1 3 5Medio 2 4 6
Alto 3 5 7Muy alto 4 6 8
Matriz de riesgoMatriz de riesgo
117ISO 27001PR/mo/item IDDate
REIm
pact
o
5 6 7
1 2 3
5
6
2
3Nivel
de riesgo
IMPACTO EN EL NEGOCIOBajo (insignificante, sin consecuencias, trivial, insignificante)
Bajo-Medio (notable, considerable pero no importante)Medio (significante, importante)
Medio-Alto (daño serio, potencialmente desastroso)Alto (daño devastador, daño total, cierre completo)
Nivel de riesgo
12 3 4 56 7
Tolerable/insignifi.
} Menor
Significativo
} Mayor
Intolerable
Nivel de riesgoNivel de riesgo
118ISO 27001PR/mo/item IDDate
RIESGO DE EXPOSICIÓN
IMPACTO BAJO MEDIO ALTO
Bajo 1 3 5
Medio 2 4 6
Alto 3 5 7
muy Alto 4 6 8
La escala de riesgo tiene que estar relacionada con sunegocio, ya que éste es el que enfrenta los riesgos. Los números 1 a 8 del ejemplo (y usados en la matriz de riesgo) pueden tener muchos sentidos e interpretaciones. Antes de poder decidir cómo reducir y manejar el riesgo, su negociodebe especificar qué significa cada número en el contexto de su negocio, por ejemplo, 6 se podría interpretar como unapérdida de £100,000 para un negocio, y de £700,000 paraotro.
NNúúmeros relacionados con el riesgomeros relacionados con el riesgo
119ISO 27001PR/mo/item IDDate
Activo Diferentes tratamientos del riesgo
Retención del riesgo - Se aceptan los riesgos con conocimiento y objetivamente
Reducción del riesgo- Reducción mediante aplicación de una selección apropiada de controles- Reducción del riesgo de exposición- Minimizar el impacto
Transferencia del riesgo - Transferencia mediante contrato- Transferencia mediante un seguro
Evitar el riesgo- No comprometiéndose en actividades que generan riesgo- Abandonar la actividad- Cambiar de ubicación- Cambiar/modificar el proceso
Nivel de riesgo
Riesgo de exposición
(RE)
Impacto en el
negocio
Lím
ite d
e ac
epta
ción
del
rie
sgo
Tratamiento del riesgo Tratamiento del riesgo
120ISO 27001PR/mo/item IDDate
Activo
Nivel de riesgo
Riesgo de exposición
(RE)
Impacto en el
negocio
Límite de aceptación del
riesgo
riesgoriesgo
riesgoriesgo
riesgo
riesgo
Niv
el d
e rie
sgoREGISTRO DE
RIESGOS{riesgos
identificados}
REGISTRO DE RIESGOS{riesgos
identificados}
LLíímite de riesgo mite de riesgo
121ISO 27001PR/mo/item IDDate
Límite de aceptación del riesgo
riesgo
riesgoriesgo
riesgo
riesgo
riesgoN
ivel
de
riesg
o
Activo
Nivel de riesgo
Riesgo de exposición
(RE)
Impacto en el
negocio
Rie
sgos
id
entif
icad
os
Controles para
reducción del riesgo
ReducciReduccióón del riesgo n del riesgo
122ISO 27001PR/mo/item IDDate
ReducciReduccióón del riesgo mediante controlesn del riesgo mediante controles
Los riesgos identificados se deberían reducir a un nivel aceptable
Reducción de riesgos por medio de:
reducción de la vulnerabilidad. Por ejemplo, mejorar la identificación y procedimientos de autenticación de los usuarios
reducción de la amenaza. Por ejemplo, barreras contra fuego bien configurada y manejada para protección contra los ataques del exterior
Protección contra los efectos del riesgo. Por ejemplo, usando encriptación para proteger contra cualquier ataque que pudiera ocurrir
123ISO 27001PR/mo/item IDDate
ReducciReduccióón del riesgo n del riesgo
Implementación de un conjunto de controles
Por ejemplo, esta reducción puede haber sido posible por medio de la combinación de mejoras en los procedimientos operativos, formación para su uso, y mejores mecanismos técnicos de control de acceso
3 (Bajo)
5 76Niveles de riesgo
9 (muy Alto)
84
Nivel de riesgo reducido
4 8
Nivel de riesgo calculado
124ISO 27001PR/mo/item IDDate
ReducciReduccióón del riesgo n del riesgo –– ¿¿CCóómo funciona?mo funciona?
La reducción del riesgo siempre es difícil de evaluar
Los controles ayudan a reducir el riesgo
¿En qué grado un control particular reduce la probabilidad de que ocurra la combinación amenaza/vulnerabilidad?
La ISO/IEC 27001 exige que se considere la reducción del riesgo
La mejor forma de hacerlo es identificar en el tiempo si los controles manejan adecuadamente los riesgos
125ISO 27001PR/mo/item IDDate
SelecciSeleccióón de controlesn de controlesEs necesario seleccionar los objetivos y controles apropiados
Del Anexo A de la ISO/IEC 27001
De cualquier otra fuente, cuando sea necesario
La selección de los objetivos de control y de los controles se debería justificar con base en:
Los resultados del proceso de valoración del riesgo
Las conclusiones del proceso de tratamiento del riesgo
Es necesario que los controles existentes y los seleccionados formen un sistema de controles y que trabajen conjuntamente
126ISO 27001PR/mo/item IDDate
DeclaraciDeclaracióón de aplicabilidadn de aplicabilidad
La declaración de aplicabilidad debería contener:
Los objetivos de control y los controles seleccionados, y las razones para su selección
Todos los controles implementados actualmente (véanse los resultados del análisis de brecha)
Cualquier exclusión de los objetivos de control o controles de la ISO/IEC 27001 Anexo A, y la razón para su exclusión
127ISO 27001PR/mo/item IDDate
DeclaraciDeclaracióón de aplicabilidad n de aplicabilidad ––EjemploEjemplo
Objetivo de control y control S/T/ N/NS
Comentarios y razones
Política de Seguridad de la Información
A.5.1 Brindar a la dirección orientación y apoyo en lo relativo a seguridad de la información …
Sí Necesita implementarse para todo el SGSI (ver IVR página 4).
A.5.1.1 Documento de la Política de Seguridad de la Información
Sí Es necesario que la política esté completa de manera que comprenda todos los elementos, como se indica en la ISO/IEC 27002, 5.1.1.
A.5.1.2 Revisión de la información de la Política de Seguridad de la Información
Sí La política será revisada de acuerdo con el procediento de revisión de la PSI.
Organización interna
A.6.1 Manejar la seguridad de la información dentro de la organización
Sí Necesita implementarse para todo el SGSI (véase RAR página 6).
A.6.1.1 … … …
IVR = Informe de valoración del riesgo
128ISO 27001PR/mo/item IDDate
0
20
40
60
80
100personas
sistemas de informació
procesos
productos/serviciosaplicaciones
TIC
físicos
Ene-02Jun-02Ene-03
Control de riesgosControl de riesgos
129ISO 27001PR/mo/item IDDate
Herramientas de valoraciHerramientas de valoracióón del riesgo n del riesgo
Hay muchas herramientas disponibles para valoración y gestión del riesgo
Para seleccionar una herramienta se debería considerar lo siguiente
La herramienta necesita abarcar el proceso de valoración del riesgo/gestión del riesgo, como se indica en la ISO/IEC 27001
La herramienta debería ser adecuada para la organización
La herramienta debería abarcar todas las áreas de control de la ISO/IEC 27002
130ISO 27001PR/mo/item IDDate
RA2 RA2 arte del riesgoarte del riesgo
RA2 arte del riesgo ha sido diseñado especialmente para la ISO/IEC 27001 y la ISO/IEC 27002
Pasa por el todo el proceso de valoración del riesgo, desde la identificación del alcance del SGSI a la declaración de la aplicabilidad
Incluye todos los controles de
ISO/IEC 27002:2000 y
ISO/IEC 27002:2005
131ISO 27001PR/mo/item IDDate
131
ISO/IEC 27002Código de Práctica
Para Gestión deSeguridad de la
Información
ISO/IEC 27002Código de Práctica
Para Gestión deSeguridad de la
Información
132ISO 27001PR/mo/item IDDate
1995-1998
BS 7799 Parte 1Código de Práctica
BS 7799 Parte 2 especificación SGSI
2000
BS 7799 Parte 1 publicada como ISO/IEC 17799
Publicación de las actualización
de las partes 1 y 2
1999
Primera actualización de la ISO/IEC 17799
Junio 15 de 2005
ISO/IEC 27002 ISO/IEC 27002 –– Desarrollo en el tiempoDesarrollo en el tiempo
133ISO 27001PR/mo/item IDDate
Política de seguridad
Organización de la seguridad
Control y clasificación de activos
Seguridad del personal
Seguridad física y ambiental
Gestión de comunicaciones y operaciones
Control de acceso
Desarrollo y mantenimiento de sistemas
Gestión de continuidad del negocio
cumplimiento
Edición 2000 Política de seguridad
Organización de Seguridad de la Inform.
Gestión de activos
Seguridad de los recursos humanos
Seguridad física y ambiental
Gestión de comunicaciones y operaciones
Control de acceso
Adquisición, desarrollo y mantenimiento de sistemas de información
Gestión de continuidad del negocio
Cumplimiento
Gestión de incidentes de seguridad de la información
Edición de 2005
Anterior - Nueva
134ISO 27001PR/mo/item IDDate
Numeral 4 Numeral 4 ValoraciValoracióón y tratamiento del riesgo n y tratamiento del riesgo
Introducción a la valoración y tratamiento de riesgos de seguridad de la Información
Alineación con la ISO/IEC 27001 y la ISO/IEC 27005 (versión actualizada de la ISO/IEC 13335)
Inclusión de la valoración del riesgo en el alcance
Énfasis en la importancia de la valoración del riesgo
135ISO 27001PR/mo/item IDDate
5.1 Pol5.1 Políítica de seguridad de la tica de seguridad de la InformaciInformacióón n
5.1 1 Documento de la política de seguridad de la información
La dirección debería aprobar un documento de la política de seguridad de la información, y lo debería publicar y comunicar a todos los empleados y partes externas interesadas.
5.1.2 Revisión de la política de seguridad de la información
La Política de Seguridad de la Información se debería revisar a intervalos planificados o si ocurren cambios significativos, para asegurar su conveniencia, suficiencia y eficacia continuas.
136ISO 27001PR/mo/item IDDate
Lista de verificaciLista de verificacióón de la poln de la políítica (1)tica (1)
Marco para establecer objetivos, dirección y principios de seguridad de la información
Establece el compromiso de la dirección
Considera los requisitos comerciales y legales y las obligaciones de seguridad contractuales
Se alinea con el contexto de gestión estratégica de riesgo de la organización
Establece criterios contra los cuales se evaluará el riesgo
137ISO 27001PR/mo/item IDDate
Lista de chequeo de la polLista de chequeo de la políítica (2)tica (2)
Establece una definición de seguridad de la información
Explicación acerca de las políticas y principios importantes de seguridad de la información
Formación y toma de conciencia
Consecuencias de violaciones a la seguridad
Referencias a otras políticas más detalladas
Definición de las responsabilidades de seguridad de la información
Aprobada por la Dirección, publicada y comunicada a todos los empleados
138ISO 27001PR/mo/item IDDate
6.1 Organizaci6.1 Organizacióón internan interna
6.1.1 Compromiso de la dirección con la seguridad de la Información
La dirección debería apoyar activamente la seguridad dentro de la organización por medio de un rumbo claro, el compromiso demostrado, una asignación explícita y el conocimiento de las responsabilidades de la seguridad de la información.
6.1.2 Coordinación de la seguridad de la Información
Las actividades de seguridad de la información deberían ser coordinadas por representantes de la organización con roles y funciones pertinentes.
6.1.3 Asignación de responsabilidades para la seguridad de la información
Se deberían definir claramente todas las responsabilidades en cuanto a seguridad de la información.
139ISO 27001PR/mo/item IDDate
6.1.4 Proceso de autorización para los servicios de procesamiento de la información
6.1.5 Acuerdos sobre confidencialidad
6.1.6 Contacto con las autoridades
6.1.7 Contacto con grupos de interés especiales
6.1.8 Revisión independiente de la seguridad de la información
6.1 Organizaci6.1 Organizacióón internan interna
140ISO 27001PR/mo/item IDDate
6.2 Partes externas6.2 Partes externas
6.2.1 Identificación de los riesgos relacionados con las partes externas
6.2.2 Abordar la seguridad cuando se trata con clientes
6.2.3 Abordar la seguridad en acuerdos con terceras partes
141ISO 27001PR/mo/item IDDate
Responsabilidad por los activos
7.1.1 Inventario de activos
7.1.2 Propiedad de los activos
7.1.3 Uso aceptable de los activos
Clasificación de la información
7.2.1 Directrices de clasificación
7.2.2 Etiquetado y manejo de la información
7 Gesti7 Gestióón de activosn de activos
142ISO 27001PR/mo/item IDDate
Ejemplo de inventario de activosEjemplo de inventario de activosValor
Identif. activo
Tipo de activo Propietario y ubicación C I A
XS1 Sistema operativo A
XS2 Sistema operativo B
XS3 Aplicación S/W y utilidades
… … …
XH1 Servidor Administrador del sistema
XH2 Computadores
… … …
XIS1 Sistema de información A Jefe de recursos humanos
XIS2 Sistema de información B Jefe del grupo de finanzas
… … …
XC1 Equipo de comunicaciones. Gerente de comunicaciones
… … …
XP1 CCTV Jefe de gestión de propiedad y oficina… … …
143ISO 27001PR/mo/item IDDate
8.2 Durante la vigencia del contrato laboral8.2.1 Responsabilidades de la dirección 8.2.2 Educación, formación y concientización sobre seguridad de la información8.2.3 Proceso disciplinario
8.1 Antes de la contratación laboral8.1.1 Roles y responsabilidades8.1.2 Selección8.1.3 Términos y condiciones laborales
8.3 Terminación o cambio del contrato laboral8.3.1 Responsabilidades en la terminación 8.3.2 Devolución de activos 8.3.3 Retiro de los derechos de acceso
8 Seguridad de los recursos humanosantes, durante y al terminar el contrato laboral
144ISO 27001PR/mo/item IDDate
9 Seguridad f9 Seguridad fíísicasica
Áreas seguras
9.1.1 Perímetro de seguridad física
9.1.2 Controles de acceso físico
9.1.3 Seguridad de oficinas, recintos e instalaciones
9.1.4 Protección contra amenazas externas y ambientales
9.1.5 Trabajo en áreas seguras
9.1.6 Áreas de carga, despacho y acceso público
145ISO 27001PR/mo/item IDDate
9 Seguridad f9 Seguridad fíísicasica
Seguridad de los equipos
9.2.1 Ubicación y protección de los equipos
9.2.2 Servicios de soporte
9.2.3 Seguridad del cableado
9.2.4 Mantenimiento de los equipos
9.2.5 Seguridad de los equipos fuera de las instalaciones
9.2.6 Seguridad en la reutilización o eliminación de los equipos
9.2.7 Retiro de activos
146ISO 27001PR/mo/item IDDate
10.2.1 Prestación del servicio
10.2.2 Monitoreo y revisión de los servicios por terceros
10.2.3 Gestión de los cambios en los servicios por terceras partes
Basado en BS 15000/ISOIEC 20000
10.2 Gesti10.2 Gestióón de la prestacin de la prestacióón del servicio por n del servicio por terceras partesterceras partes
147ISO 27001PR/mo/item IDDate
Planificación y aceptación del sistema
10.3.1 Gestión de la capacidad
10.3.2 Aceptación del sistema
Protección contra códigos maliciosos y móviles
10.4.1 Controles contra códigos maliciosos
10.4.2 Controles contra códigos móviles
10.3 Planificaci10.3 Planificacióón y aceptacin y aceptacióón del sistema y n del sistema y 10.4 C10.4 Cóódigos maliciososdigos maliciosos
148ISO 27001PR/mo/item IDDate
10.5 Respaldo
10.5.1 Respaldo de la información
10.6 Gestión de redes
10.6.1 Controles de redes
10.6.2 Seguridad de los servicios de redes
10.7 Manejo de la información
10.7.1 Gestión de medios removibles
10.7.2 Eliminación de los medios
10.7.3 Procedimientos para el manejo de la información
10.7.4 Seguridad de la documentación del sistema
Respaldo, gestiRespaldo, gestióón de redes y manejo de la n de redes y manejo de la informaciinformacióónn
149ISO 27001PR/mo/item IDDate
10.8.1 Políticas y procedimientos para el intercambio de información
10.8.2 Acuerdos para el intercambio
10.8.3 Medios físicos en tránsito
10.8.4 Mensajería electrónica
10.8.5 Sistemas de información del negocio
10.8 Intercambio de la informaci10.8 Intercambio de la informacióónn
150ISO 27001PR/mo/item IDDate
10.9.1 Comercio electrónico
10.9.2 Transacciones en línea
10.9.3 Sistemas disponibles públicamente
10.9 Servicios de comercio electr10.9 Servicios de comercio electróóniconico
151ISO 27001PR/mo/item IDDate
10.10.1 Registro de auditorías
10.10.2 Monitoreo del uso del sistema
10.10.3 Protección de la información del registro
10.10.4 Registros del administrador y el operador
10.10.5 Registro de fallas
10.10.6 Sincronización de relojes
10.10 Monitoreo10.10 Monitoreo
152ISO 27001PR/mo/item IDDate
11.1.1 Política de control de acceso
Se debería establecer, documentar y revisar la política de control de acceso con base en los requisitos del negocio y de la seguridad para el acceso
Política de control de acceso
Re
de
s y se
rvicio
s
Info
rma
ció
n y
ap
lica
cio
ne
s
Siste
ma
s o
pe
rativo
s
Derechos y privilegiosCuentas de usuario
Registro de usuariosResponsabilidades de usuarios
11.1 Requisitos del negocio para control del 11.1 Requisitos del negocio para control del accesoacceso
153ISO 27001PR/mo/item IDDate
11.2.1 Registro de usuarios
11.2.2 Gestión de privilegios
11.2.3 Gestión de contraseñas para usuarios
11.2.4 Revisión de los derechos de acceso de los usuarios
11.2 Gesti11.2 Gestióón del acceso de usuariosn del acceso de usuarios
154ISO 27001PR/mo/item IDDate
11.3.1 Uso de contraseñas
11.3.2 Equipo no atendido por usuarios
11.3.3 Política de escritorio y pantalla despejados
11.3 Responsabilidades de los usuarios11.3 Responsabilidades de los usuarios
155ISO 27001PR/mo/item IDDate
11.4.1 Política sobre uso de servicios en red
11.4.2 Autenticación de usuarios para conexiones externas
11.4.3 Identificación de los equipos en las redes
11.4.4 Protección de los puertos de configuración y diagnóstico remoto
11.4.5 Separación en las redes
11.4.6 Control de conexión a las redes
11.4.7 Control del enrutamiento en la red
11.4 Control de acceso a las redes11.4 Control de acceso a las redes
156ISO 27001PR/mo/item IDDate
11.5.1 Procedimientos de registro de inicio seguro
11.5.2 Identificación y autenticación de usuarios
11.5.3 Sistema de gestión de contraseñas
11.5.4 Uso de las utilidades del sistema
11.5.5 tiempo de la inactividad de la sesión
11.5.6 Limitación del tiempo de conexión
11.5 Control de acceso al sistema operativo11.5 Control de acceso al sistema operativo
157ISO 27001PR/mo/item IDDate
11.6.1 Restricción del acceso a la información
11.6.2 Aislamiento de sistemas sensibles
11.6 Control de acceso a las aplicaciones y a la 11.6 Control de acceso a las aplicaciones y a la informaciinformacióónn
158ISO 27001PR/mo/item IDDate
11.7.1 Computación y comunicaciones móviles
11.7.2 Trabajo remoto
network
11.7 Computaci11.7 Computacióón mn móóvil y trabajo remotovil y trabajo remoto
159ISO 27001PR/mo/item IDDate
12.1.1 Análisis y especificación de los requisitos de seguridad
12.1 Requisitos de seguridad de los sistemas de 12.1 Requisitos de seguridad de los sistemas de informaciinformacióónn
160ISO 27001PR/mo/item IDDate
12.2.1 Validación de los datos de entrada
12.2.2 Control de procesamiento interno
12.2.3 Integridad del mensaje
12.2.4 Validación de datos de salida
12.2 Procesamiento correcto en las aplicaciones12.2 Procesamiento correcto en las aplicaciones
161ISO 27001PR/mo/item IDDate
12.3.1 Política sobre el uso de controles criptográficos
Encriptación
Firmas digitales
Servicios de no repudio
12.3.2 Gestión de claves
12.3 Controles criptogr12.3 Controles criptográáficosficos
162ISO 27001PR/mo/item IDDate
12.4.1 Control del software operativo
12.4.2 Protección de los datos de prueba del sistema
12.4.3 Control de acceso al código fuente de los programas
12.4 Seguridad de los archivos del sistema12.4 Seguridad de los archivos del sistema
163ISO 27001PR/mo/item IDDate
12.5.1 Procedimientos de control de cambios
12.5.2 Revisión técnica de las aplicaciones después de los cambios en el sistema operativo
12.5.3 Restricciones en los cambios a los paquetes de software
12.5.4 Fuga de información
12.5.5 Desarrollo de software contratado externamente
12.5 Seguridad en los procesos de desarrollo y 12.5 Seguridad en los procesos de desarrollo y soportesoporte
164ISO 27001PR/mo/item IDDate
12.6.1 Control de las vulnerabilidades técnicas
Identificar las vulnerabilidades
Definir cómo reaccionar a esas vulnerabilidades
Ensayar cuidadosamente antes de instalar parches
Hacer seguimiento y auditar lo que se ha hecho
12.6 Gesti12.6 Gestióón de la vulnerabilidad tn de la vulnerabilidad téécnicacnica
165ISO 27001PR/mo/item IDDate
Reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas
¿Está actualizado para enfrentar la siguiente invasión de ataques? Explotaciones el día cero
Día
s ha
sta
la e
xplo
taci
ón
2002 2003 2004
Slammer
Blaster
Nachi
Sasser
Gestión de la vulnerabilidad
12.6 Gesti12.6 Gestióón de la n de la vulnerabilidad tvulnerabilidad téécnicacnica
166ISO 27001PR/mo/item IDDate
Al alinear con las definiciones de la ISO/IEC 18044, se establece la diferencia entre
Evento de seguridad de la Información – se identifica la ocurrencia de cualquier situación pertinente de seguridad de la información
Incidente de seguridad de la información –sólo se aplica a aquellos eventos que tienen una probabilidad significativa de causar un problema de seguridad
Enlaces a la ISO/IEC 18044Enlaces a la ISO/IEC 18044
167ISO 27001PR/mo/item IDDate
13.1.1 Reporte sobre los eventos de seguridad de la información
13.1.2 Reporte sobre las debilidades en la seguridad
13.113.1 Reporte sobre los eventos y debilidades de Reporte sobre los eventos y debilidades de la seguridad de la informacila seguridad de la informacióónn
168ISO 27001PR/mo/item IDDate
13.2.1 Responsabilidades y procedimientos
13.2.2 Aprendizaje debido a los incidentes de seguridad de la información
13.2.3 Recolección de evidencias
13.2 Gesti13.2 Gestióón de los incidentes y las mejoras n de los incidentes y las mejoras en la seguridad de la informacien la seguridad de la informacióónn
169ISO 27001PR/mo/item IDDate
14.1.1 Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio
14.1.2 Continuidad del negocio y evaluación del impacto
14.1.3 Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información
14.1.4 Estructura para la planificación de la continuidad del negocio
14.1.5 Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio
14 Gesti14 Gestióón de la continuidad del negocion de la continuidad del negocio
170ISO 27001PR/mo/item IDDate
Continuidad del negocio yContinuidad del negocio ySeguridad de la InformaciSeguridad de la Informacióónn
Estructura para continuidad del negocioProcesos de gestión del riesgo
Desarrollo de planes, directrices y políticasImplementación de estos planesPruebas y revisión de los planes
Proceso de gestión
de la seguridad
de la Información
ContinuidadGeneral Del negocio
171ISO 27001PR/mo/item IDDate
15 Cumplimiento15 Cumplimiento
15.1 Cumplimiento de los requisitos legales
15.1.1 Identificación de la legislación aplicable
15.1.2 Derechos de propiedad intelectual (DPI)
15.1.3 Protección de los registros de la organización
15.1.4 Protección de los datos y privacidad de la información personal
15.1.5 Prevención del uso inadecuado de los servicios de procesamiento de información
15.1.6 Reglamentación de los controles criptográficos
172ISO 27001PR/mo/item IDDate
15 Cumplimiento15 Cumplimiento
15.2 Cumplimiento de las políticas y las normas de seguridad y cumplimiento técnico
15.2.1 Cumplimiento de las políticas y normas de seguridad
15.2.2 Verificación del cumplimiento técnico
15.3 Consideraciones de la auditoría de los sistemas de información
15.3.1 Controles de auditoría de los sistemas de información
15.3.2 Protección de las herramientas de auditoría de los sistemas de información
173ISO 27001PR/mo/item IDDate
173
Más acerca de la Familia
de Normas 27000
Más acerca de la Familia
de Normas 27000
174ISO 27001PR/mo/item IDDate
Decisión reciente: concentrarse sólo en el tema de la “implementación” , sin discusión sobre la fase de VERIFICAR y ACTUAR del SGSI
Acuerdos de diseño:
No se especifica el contenido mínimo ni se definen requisitos para la implementación
No hay formas particulares de implementar un SGSI
Ejemplos, estudios de casos
ISO/IEC 27003 ISO/IEC 27003 –– VisiVisióón generaln general
175ISO 27001PR/mo/item IDDate
Compromiso de la dirección
Buen gobierno dentro de la organización
Consideraciones financieras
Consideraciones específicas de un sector/industria
Consideración de la situación de riesgo global
Cooperación con otras organizaciones
Reconocimiento de la necesidad de cambios y actualizaciones
Factores de Factores de ééxito crxito crííticos ticos
176ISO 27001PR/mo/item IDDate
Integración con otros sistemas de gestión
Identificación de los elementos comunes, por ejemplo, en la parte de “sistema de gestión”
Responsabilidad por los otros sistemas de gestión
Identificación clara de toda la documentación del SGSI (exigida en la ISO/IEC 27006)
Cumplimiento de leyes y reglamentos
Importante para identificar todas las leyes y reglamentos aplicables
Inclusión en los requisitos en la etapa “planificar”
Aspectos relacionadosAspectos relacionados
177ISO 27001PR/mo/item IDDate
Todos los capítulos que abordan la implementación del flujo de trabajo tienen la misma estructura
Visión general
Objetivos
Precondiciones
Organización del trabajo
¿A quién involucrar?
¿Cómo se hace?
Resultados
Estructura de los capEstructura de los capíítulostulos
178ISO 27001PR/mo/item IDDate
Fase PlanificarFase Planificar
Requisitos para proteger los activos de las organizaciones
Hacer análisis del negocio
Hacer análisis de brecha
7.3
Hacer valoración del riesgo
Redactar la política de seguridad de inform.
Establecer la declaración de aplicabilidad
Controles apropiados
Declaración de aplicabilidad
La fase Planificar tiene varios pasos que se deberían seguir para la implementación de este proceso. Cada paso brinda entradas al paso siguiente, en un flujo lógico. Este procedimiento paso a paso se ejemplifica en esta sección mediante diagramas de flujo. Cada paso se describe de manera que una organización que no esté familiarizada con seguridad de la información y/o normas de gestión de la ISO pueda entender lo que se pretende.
Área de navegación
Figura 7.1 Proceso para la fase de planificación
179ISO 27001PR/mo/item IDDate
Recolectar información para establecer el SGSI
Definir el alcance y los límites del SGSI
Interfaces y dependencias
Definir la política del SGSI
Planificación de las estructuras organizacionales
Compromiso de la dirección
Identificación del enfoque global a la seguridad de la información
AnAnáálisis del negociolisis del negocio
180ISO 27001PR/mo/item IDDate
Estructura organizacionalEstructura organizacional
Miembros con roles exclusivos,
Consultores permanentes
Comité de seguridad de la información
Dirección
• Elaborar una carta de designación
• Respaldar
• Ajustar
• Respaldar
Equipo de planificación de seguridad de la información
Asesorar
Depto. de sistemas
Depto. de Recursos Humanos
Depto. Administrativo
Depto. Contabilidad Depto. auditoría Depto. gestión edificio e
instalaciones
181ISO 27001PR/mo/item IDDate
Identificación del nivel de actividades y controles de seguridad existentes
Basado en
ISO/IEC 27001 para procesos del sistema de gestión
ISO/IEC 27002 para controles de Seguridad de la Información
Determinación de los grados de implementación
Entrevistas, discusiones, cuestionarios, recorridos
Hablar a diferentes niveles de personal en la organización
AnAnáálisis de brechalisis de brecha
182ISO 27001PR/mo/item IDDate
Son pre-condiciones necesarias el establecimiento del contexto del negocio y la realización de un análisis de brecha
La ISO/IEC 27005 explica más acerca de cómo hacer una valoración del riesgo
¿A quién involucrar?
Alta dirección
Gerencias
Dueños del proceso y
Usuarios “normales”
ValoraciValoracióón del riesgon del riesgo
183ISO 27001PR/mo/item IDDate
Desarrollo de una Política de Seguridad de la Información
Con base en los resultados previos
El contenido como se describe en la ISO/IEC 27002
El alcance de la Política de Seguridad de la Información podría ser el mismo que para el SGSI, o más grande
Tamaño recomendado: 2-4 páginas
Se debería hacer referencia a documentación más detallada
Ona forma: hipervínculos
PolPolíítica de Seguridad de la Informacitica de Seguridad de la Informacióónn
184ISO 27001PR/mo/item IDDate
La declaración de aplicabilidad incluye
Todos los controles seleccionados (con referencia al Anexo A de la ISO/IEC 27001) y las razones para su selección
Todos los controles existentes (se recomienda también relacionarlos con los riesgos identificados)
Todos los controles del Anexo A de la ISO/IEC 27001 que no han sido seleccionados y una justificación para no seleccionarlos
Se pueden incluir controles de otras fuentes (se recomienda también relacionarlos con los riesgos identificados)
DeclaraciDeclaracióón de aplicabilidadn de aplicabilidad
185ISO 27001PR/mo/item IDDate
Fase HACERFase HACERLa fase Hacer tiene varios pasos que se deberían seguir para la implementación de este proceso. Cada paso brinda entradas al paso siguiente, en un flujo lógico. Este procedimiento paso a paso se ejemplifica en esta sección mediante diagramas de flujo. Cada paso se describe de manera que una organización que no esté familiarizada con seguridad de la información y/o normas de gestión de la ISO pueda entender lo que se pretende.
Área de navegación
Política de SGSI
Declaración de aplicabilidad
Controles apropiados
Normas y proced. de seguridad de la información 8.2
Implementac. Controles de SGSI
Implementac. de programas de formación y concientización8.4
Gestión de recursos para el SGSI
8.5 SGSI en operación
186ISO 27001PR/mo/item IDDate
Alcance
Brindar orientación sobre el desarrollo y uso de medidas para evaluar la eficacia de sus procesos, objetivos de control y controles de SGSI, como se especifica en la ISO/IEC 27001
Introducción en la que se explican las partes principales del programa de medición
Visión general de la gestión para facilitar su comprensión, especialmente para las pymes
ISO/IEC 27004ISO/IEC 27004
187ISO 27001PR/mo/item IDDate
Programa de mediciPrograma de medicióónn
Implementar modificaciones (numeral 10.4)
Autoridad para el programa de SGSI
Establecimiento del programa de GSIObjetivos y modelo de medición (numeral 5)Responsabilidades de gestión (numeral 6)Recursos, formación, toma de conciencia y competenciaMedidas y desarrollo de mediciones (numeral 7)
[4.2.2.e]
Implementación del programa de GSIProgramación de mediciones evaluación y selección del personal de medicióndirección de las actividades de mediciónmantenimiento de registros[4.2.3]
Monitoreo y revisión del programa de GSI(numeral 10)Monitoreo y revisiónIdentificar necesidades de acciones correctivas y preventivas
Identificar oportunidades de mejora
Actividades de mediciónOperación de medición (numeral 8)análisis y reporte de mediciones (numeral 9)
Planificar
Actuar Basado en las decisiones y acciones de los resultados de la revisión por la dirección
(7.3)
Hacer
Verificar
188ISO 27001PR/mo/item IDDate
Medidas básicas
Resultan de aplicar métodos de medición a atributos de objetos de medición
Medidas derivadas
Se definen mediante la aplicación de la función de medición a una o más medidas de bases
Indicadores
Se obtienen mediante la aplicación de un modelo analítico a las medidas derivadas
Resultados de las mediciones
Se evalúan mediante la interpretación de indicadores aplicables con base en criterios de definición definidos
Modelo de mediciModelo de medicióónn
189ISO 27001PR/mo/item IDDate
Objeto de la medición: bases de datos de empleados
Atributo: registros de los empleados
Método de medición: Búsqueda en la base de datos, para extraer el número de empleados de la base de datos de seguimiento a la concientización y formación en seguridad
Medida básica: Número de empleados que recibieron concientización y formación en seguridad
Medidas bMedidas báásicassicas
190ISO 27001PR/mo/item IDDate
Medida básica: Número de empleados que recibieron concientización y formación en seguridad, y que firmaron acuerdos de usuario
Función de medición: Se divide el número de empleados que recibieron formación y concientización en seguridad y que firmaron acuerdos de usuario, por el número de empleados que firmaron acuerdos de usuario, y se multiplica por el 100%
Medida derivada: Porcentaje de empleados que recibieron concientización y formación en seguridad y que firmaron acuerdos de usuario
Medida derivadaMedida derivada
191ISO 27001PR/mo/item IDDate
Medida derivada: Porcentaje de empleados que recibieron concientización y formación en seguridad y que firmaron acuerdos de usuario.
Modelo analítico: se definen los niveles porcentuales a los cuales el indicador toma un color ROJO, AMARILLO, VERDE
Ejemplo:
95% o más - VERDE
90% o más – AMARILLO
Menos de 90 % - ROJO
IndicadoresIndicadores
192ISO 27001PR/mo/item IDDate
Indicadores: Verde, Amarillo o Rojo, dependiendo de los resultados de la medida derivada
Criterios de decisión: Describe el límite para emprender acciones – dependiendo de la medida usada, esto puede variar
Resultado de la medición:
La situación no requiere cambios
La situación se debería considerar para revisión
La situación debería mejorar
Resultados de la mediciResultados de la medicióónn
193ISO 27001PR/mo/item IDDate
Identificar una necesidad de informaciónIdentificación del objeto de mediciónDesarrollo de la medición
Método y función de la mediciónSelección y validación de atributosModelo analíticoIndicadores y formatos de reporteCriterios de decisión
Validación de la mediciónRecolección, análisis y reporte de datosDocumentación
Desarrollo de medidasDesarrollo de medidas
194ISO 27001PR/mo/item IDDate
Control 11.3.1 “Se espera que los usuarios seleccionen contraseñas adecuadas”
Propósito: Evaluar la calidad de las contraseñas seleccionadas por los usuarios
Objeto y atributo de la medición: Cuentas de los empleados y contraseñas individuales
Ejemplo: Calidad de las contraseEjemplo: Calidad de las contraseññas (1)as (1)
195ISO 27001PR/mo/item IDDate
Medidas básicas:
Número de contraseñas descifrables
Número total de registros de cuentas de empleados
Tiempo que toma “romper” la contraseña
Métodos de medición:
Correr herramientas de desciframiento de contraseñas
Hacer la búsqueda en los registros de cuentas de los empleados
Medir el tiempo que toma descifrar la contraseña
ExampleExample: : QualityQuality ofof PasswordsPasswords (1)(1)Ejemplo: Calidad de las contraseEjemplo: Calidad de las contraseññas (1)as (1)
196ISO 27001PR/mo/item IDDate
Descripción y muestra de indicadores (como en la 27004):
Línea de tendencias que describe la descifrabilidad de las contraseñas para todos los registros ensayados, con líneas superpuestas producidas durante ensayos anteriores
Mi sugerencia: 1% o menos – VERDE
10% o menos – AMARILLO
Más del 10% - ROJO
Ejemplo: Calidad de contraseEjemplo: Calidad de contraseññas (4) as (4) –– IndicadoresIndicadores
197ISO 27001PR/mo/item IDDate
Acciones por tomar si se descifra alguna contraseña; esta medición necesita hacerse de nuevo en 30 días
VERDE: contactar a los individuos e incrementar la concientización
AMARILLO: Instalar un juego de computador que despierte la conciencia y enfatice la importancia, y asegurar que lo jueguen
ROJO: Iniciar la formación de concientización para todos los empleados
Ejemplo: Calidad de las contraseEjemplo: Calidad de las contraseññas (4) as (4) ––Criterios de decisiCriterios de decisióón y accionesn y acciones
198ISO 27001PR/mo/item IDDate
Ejemplo Ejemplo Hoja de mediciHoja de medicióón (1)n (1)
Métrica: Totalidad y corrección del inventario de activos
Alcance de la métrica: Esta métrica brinda una medida de lo correcto, completo y actualizado que está el registro de activos. La métrica se aplica en toda la organización.
Propósito y
objetivos:
El objetivo de esta métrica es asegurar la gestión correcta de un inventario de activos.
Método de medición: La medición funciona acumulando un punto menos para cada uno de los activos que se han encontrado y que no están en el registro de activos, o activos que siguen estando en el registro aunque ya hayan salido de la organización.
El valor ideal es 100, y para cada activo que no está o que estáincorrectamente en el inventario, se resta 1 del valor ideal.
La misma medición se aplica para la corrección de la entrada, y se resta 1 punto del valor ideal, por cualquier entrada incorrecta encontrada.
199ISO 27001PR/mo/item IDDate
Ejemplo Ejemplo Hoja de mediciHoja de medicióón (2)n (2)
Frecuencia de la medición:
Esta medición se realiza una vez cada tres meses – una frecuencia menor sería muy dispendiosa, y está a tiempo para el informe trimestral que se presenta a la organización principal.
Procedimientos para las fuentes de datos y recolección de datos:
Completos y actualizados hasta la fecha:El inventario de activos corrientes se examina, se examinan de nuevo todos los otros inventarios, es decir, los de hardware y de software.Verificaciones puntuales; se selecciona una división en cada verificación y se examina cuidadosamente si hay activos en esa división que no están en el inventario.Se verifican los protocolos desde el punto de entrega, para asegurar que los activos que entran al sitio han sido incluidos en el registro de activos.Los protocolos de los activos que salen del sitio se cotejan contra el registro de activos.Los protocolos de disposición de activos se cotejan contra el registro de activos.
200ISO 27001PR/mo/item IDDate
Ejemplo Ejemplo Hoja de mediciHoja de medicióón (3)n (3)
Procedimientos para las fuentes de datos y recolección de datos:
Fuente de datos para determinar que las entradas son correctas:
Se verifica que los activos bajo revisión tengan un dueño asignado a ellos, y que sea el dueño correcto de ese activo.
Se verifica que la ubicación y descripción del activo estén incluidos correctamente en el inventario de activos.
Los valores de los activos en el inventario de activos (expresando el daño a un negocio por una pérdida de confidencialidad, integridad y/o disponibilidad) se discuten conel dueño del activo para verificar que son correctos.
Se pregunta a los dueños de los activos acerca del procedimiento para actualizar las entradas de sus activos en el inventario de activos, y se verifican los registros de las últimas actualizaciones.
201ISO 27001PR/mo/item IDDate
Ejemplo Ejemplo Hoja de mediciHoja de medicióón (4)n (4)
Indicadores: Indicador de metas: los resultados de las mediciones indican los siguientes grados de cumplimiento de la meta de lograr un registro de activos completo, correcto y actualizado:100 – 98: bueno – significa que el registro de activos es correcto, con 2 desviaciones máximo.97 – 93: aceptable – significa que se deberían hacer algunas mejoras en el futuro; la acción de seguimiento exacta depende de las causas de los errores.Menos de 93: no es aceptable – es necesario corregir el registro de activos y se deberían tomar acciones preventivas para evitar que este mal resultado ocurra nuevamente.
Indicador de impacto: Se deberían examinar los activos cuya entrada no se encuentre en el inventario de activos o sea incorrecta; si al menos uno de los valores de los activos (incorrectos) es “alto”, esto indica que se debería examinar más a fondo. En todos los otros casos son suficientes las metas de desempeño normales y no se necesitan otros indicadores de impacto.
202ISO 27001PR/mo/item IDDate
GuGuíía ISO 27001 a ISO 27001
203ISO 27001PR/mo/item IDDate
203
Normas específicas para sectores
Normas específicas para sectores
204ISO 27001PR/mo/item IDDate
TelecomunicacionesTelecomunicaciones
El grupo de normas UIT-T, Cuestión 7/17, desarrolló la norma X.1051 “Informationsecurity management guidelines fortelecommunications based on ISO/IEC 27002”
El objetivo es apoyar la implementación de la ISO/IEC 27002 en el sector de las telecomunicaciones
205ISO 27001PR/mo/item IDDate
TelecomunicacionesTelecomunicaciones
La norma contiene:
Una visión general que presenta la estructura dentro de la que opera
Versiones ampliadas de los controles de la ISO/IEC 27002 para el tema de las telecomunicaciones
Esta norma ha sido adoptada por el SC 27 como ISO/IEC 27011 (en proceso de publicación)
206ISO 27001PR/mo/item IDDate
El comité TC 215 de normas sobre salud estádesarrollando una norma que está basada en la ISO/IEC 27001 y la ISO/IEC 27002 (en etapa DIS) “Health informatics -- Security management in health using ISO/IEC 27002”
Contiene una mezcla de requisitos y directrices de ambas normas del SGSI
SaludSalud
207ISO 27001PR/mo/item IDDate
SC 27/WG 1 (el que desarrolla la serie 27000) ha trabajado normas de SGSI para sectores específicos, para
Gobierno de TI
Infraestructuras críticas
Sector financiero
….
Desarrollos en el SC 27Desarrollos en el SC 27
208ISO 27001PR/mo/item IDDate
¿¿Por quPor quéé manejar los incidentes?manejar los incidentes?
No importa qué tan bueno sea el SGSI – se presentan errores…
No importa lo perfectos que sean los controles –nuevas amenazas o tecnologías podrían llegar antes de usted pueda reaccionar
No hay 100% de seguridad
¡Siempre ocurrirán incidentes!
209ISO 27001PR/mo/item IDDate
¿¿Por quPor quéé manejar los incidentes?manejar los incidentes?
Por tanto, una organización necesita contar con un proceso implementado para:
Detección y reporte de incidentes
Valorar el incidente y reaccionar de acuerdo con esto
Identificar qué salió mal y por qué ocurrió el incidente
Limitar el daño
Implementar controles para mejorar o prevenir
210ISO 27001PR/mo/item IDDate
Ejemplo de incidente Ejemplo de incidente ––NegaciNegacióón de servicion de servicio
Ataque distribuido de negación de servicio
Gusano similar al Código Rojo
Alrededor de 40.000 servidores en Asia fueron desconectados
Se utilizó la vulnerabilidad al “MS SQL server”
Se conocía la vulnerabilidad y había un parche disponible
No se instalaron los parches
Las descargas e instalaciones anti-pánico causaron incluso más problemas en la red
211ISO 27001PR/mo/item IDDate
ConcientizaciConcientizacióónn
Información técnica acerca de incidentes
CERT
FIRST
Microsoft
Varias organizaciones de software de seguridad
Información orientada a los técnicos y a la dirección
NIST
SANS
Encuestas DTI sobre Violaciones a la Seguridad de la Información
212ISO 27001PR/mo/item IDDate
Manejo de incidentes de seguridad de la Información
Apoya los controles para manejo de incidentes, de la ISO/IEC 17799
Incluye plantillas y más asesoría técnica sobre cómo implementar programas de manejo de incidentes
Publicada desde el año 2005
ISO/IEC 18048
ISO/IEC 18044ISO/IEC 18044
213ISO 27001PR/mo/item IDDate
Proceso de gestiProceso de gestióón de incidentesn de incidentes
Existe un proceso para la gestión de incidentes de seguridad de la información
Se ajusta bien al modelo PHVA descrito en la ISO/IEC 27001
Planificar y Preparar
Usar la gestiónde incidentes
revisarlosincidentes
Mejorarel proceso
214ISO 27001PR/mo/item IDDate
Planificar y preparar (1)Planificar y preparar (1)
Obtener el compromiso de la alta dirección y cualquier otra parte interesada importante
Desarrollar una política de gestión de incidentes
Desarrollar un programa de gestión de incidentes para apoyar la política, que incluya:
Herramientas de detección y formatos de reporte
Procedimientos para evaluar incidentes y tomar decisiones
Procedimientos para responder a incidentes
Detalles de una escala de severidad de los incidentes
215ISO 27001PR/mo/item IDDate
Planificar y preparar (2)Planificar y preparar (2)
Actualizar todos los otros documentos (políticas, procedimientos) que deberían hacer referencia a la política de gestión de incidentes
Establecer una estructura organizacional para apoyar la gestión de incidentes, por ejemplo:
Equipo de Respuesta a Incidentes de Seguridad de la Información (ERISI)
Todos los roles y responsabilidades necesarios
Puntos de contacto en caso de un incidente
Implementar para todos formación en concientización
Poner a prueba el programa de gestión de incidentes
216ISO 27001PR/mo/item IDDate
Detectar y reportar cualquier ocurrencia de eventos de seguridadde la información
Recolectar toda la información pertinente acerca de eventos de seguridad de la información
Evaluar si el evento es realmente un incidente
Responder a todos los incidentes lo más rápido posible y limitar el daño, si es posible, por ejemplo,
Reiniciar sistemas
Iniciar reparaciones o actualizaciones
Instalar respaldos
Comenzar procedimientos de recuperación de desastres
Usar la gestiUsar la gestióón de incidentes (1)n de incidentes (1)
217ISO 27001PR/mo/item IDDate
Si no es posible responder exitosamente a un incidente, iniciar actividades de crisis (tales como un plan de continuidad del negocio)
Comunicar el incidente y cualquier detalle necesario a las personas y organizaciones pertinentes
Incluir a las autoridades externas, si es necesario
Recolectar toda la información importante para realizar los análisis
Generar registros de todas las actividades
Cerrar el incidente
Utilizar la gestiUtilizar la gestióón de incidentes (2)n de incidentes (2)
218ISO 27001PR/mo/item IDDate
Revisar los incidentesRevisar los incidentes
Realizar análisis forenses si se necesita más información
Identificar las lecciones aprendidas de los incidentes
Identificar acciones de mejora
Identificar cualquier mejora necesaria para el programa de gestión de incidentes, por ejemplo, para:
Procedimientos o procesos
Formas de respuesta a eventos o incidentes
Estructuras organizacionales
219ISO 27001PR/mo/item IDDate
Mejorar el procesoMejorar el proceso
Revisar la política y el programa de gestión de incidentes con base en
Re-valoraciones de los riesgos
Revisiones por la dirección o auditorías internas
Cualquier otra revisión que muestre necesidad de mejoras
Hacer todas las mejoras identificadas
Asegurar que las mejoras logran sus objetivos
Importante: ¡los procesos de gestión de incidentes son iterativos!
220ISO 27001PR/mo/item IDDate
ImplementaciImplementacióón del ERISI (1)n del ERISI (1)
El tamaño y la estructura dependen de la organización
Equipo virtual o real
Con o sin participación directa de la alta dirección
Un conjunto típico de miembros son
Operaciones comerciales
TI/Telecomunicaciones
Seguridad de la Información
Recursos humanos
Auditoría
221ISO 27001PR/mo/item IDDate
ImplementaciImplementacióón del ERISI (2)n del ERISI (2)
Asegurar que los puntos de contacto y los miembros del equipo estén disponibles cuando sea necesario
El ERISI debería tener:
La autoridad para tomar decisiones sobre cómo hacer frente a los incidentes
Línea de reporte directa con la dirección
El conjunto de habilidades y conocimientos requeridos
Procedimientos implementados para asignar tareas a los miembros más competentes del equipo
222ISO 27001PR/mo/item IDDate
Beneficios de la gestiBeneficios de la gestióón de seguridad de la n de seguridad de la informaciinformacióónn
Mejoras a la Seguridad de la Información
Reducción de daño por incidentes
Reducción de recurrencia de los incidentes
Recolección de evidencia
Contribución a toma de decisiones posteriores, por ejemplo, sobre prioridades o presupuestos
Mejoras a los resultados de la valoración del riesgo
Obtención de material realista para formacion en concientización
223ISO 27001PR/mo/item IDDate
Aspectos claves de Aspectos claves de ééxito (1)xito (1)
El compromiso de la dirección con la gestión de incidentes (como parte del compromiso general de la organización con el SGSI)
Concientización de todos en la organización
Cómo reportar eventos
A quién contactar en caso de eventos
Por qué es importante reportar
Beneficios de reportar los eventos
224ISO 27001PR/mo/item IDDate
Aspectos claves de Aspectos claves de ééxito (2)xito (2)Cumplimiento de todos los requisitos legales, reglamentarios y contractuales
Identificación de toda la legislación pertinente
Protección de datos y aspectos sobre privacidad
Monitoreo legalmente correcto
Cumplimiento de requisitos contractuales
Contacto con los organismos que velan por el cumplimiento de la ley
Abordar adecuadamente los temas de responsabilidad
Mantenimiento de registros organizacionales
Hacer acuerdos de confidencialidad ejecutables
225ISO 27001PR/mo/item IDDate
Aspectos claves de Aspectos claves de ééxito (3)xito (3)
El anonimato, por ejemplo, en relación con la información que se aporta para el proceso de gestión de incidentes
Confidencialidad de cualquier información delicada involucrada en el proceso de gestión de incidentes
Respuesta oportuna que mantiene informadas a las personas
Operación creíble y fidedigna
226ISO 27001PR/mo/item IDDate
http://www.iso.org
¡Gracias por su atención !