Seminario Iso 27001

1ISO 27001PR/mo/item IDDate

www.iso.orgwww.iso.org

OrganizaciOrganizacióón Internacional n Internacional de Normalizacide Normalizacióónn


ISO/IEC 27001 ISO/IEC 27001 –– Sistema Sistema de Gestide Gestióón de la n de la Seguridad de la Seguridad de la

InformaciInformacióónnPor Dra. Por Dra. AngelikaAngelika PlatePlate

Bogota, Colombia, 9Bogota, Colombia, 9--11 de diciembre11 de diciembre


La Familia de lasNormas 27000

& ISO/IEC 27001

La Familia de lasNormas 27000

& ISO/IEC 27001


WG1 Normas del SGSI

Presidente Prof. Ted HumphreysVicepresidente Angelika Plate

WG4 Servicios de SGSI

Presidente Meng-Chow Kang

WG2Técnicas de

SeguridadPresidente Prof. Kenji Namura

WG3Evaluación dela Seguridad

Presidente Mats Ohlin

WG5Privacidad,

Gestión de ID y Biométrica

Presidente -por definirse-

ISO/IEC JTC1 SC27Presidente Dr. Walter Fumy

Vicepresidente Dr. Marijike de SoeteSecretaria Krystyna Passia (DIN)

ISO/IEC JTC1 SC 27ISO/IEC JTC1 SC 27


Sistema de Gestión de la Seguridad de la Información (SGSI) [27001]

Sistema de Gestión de la Seguridad de la Información (SGSI) [27001]

Guí

a de

impl

emen

taci

ón d

el

SG

SI

[270

03]

Guí

a de

impl

emen

taci

ón d

el

SG

SI

[270

03]

Con

trole

s de

la s

egur

idad

de

la in

form

ació

n (e

x177

99)

[270

02]

Con

trole

s de

la s

egur

idad

de

la in

form

ació

n (e

x177

99)

[270

02]

Pan

oram

a ge

nera

l &

te

rmin

olog

ía d

el S

GS

I [2

7000

]

Pan

oram

a ge

nera

l &

te

rmin

olog

ía d

el S

GS

I [2

7000

]

Med

icio

nes

de la

ges

tión

de

la s

egur

idad

de

la

info

rmac

ión

[270

04]

Med

icio

nes

de la

ges

tión

de

la s

egur

idad

de

la

info

rmac

ión

[270

04]

Ges

tión

del r

iesg

o de

SG

SI

[270

05]

Ges

tión

del r

iesg

o de

SG

SI

[270

05]

Material de orientación y

apoyo a 27001

Requisitos de acreditación para el SGSI [27006]

Requisitos de acreditación para el SGSI [27006]

Directrices de auditoría del SGSI [27007] PROYECTO

NUEVO

Directrices de auditoría del SGSI [27007] PROYECTO

NUEVO

Acreditación y certificación


Norma Título Estado

27000 Panorama General y Vocabulario FDIS

27001 Requisitos para el SGSI Publicada –actualizada ahora

27002 Código de Práctica para la Gestión de la Seguridad de la Información

Publicada –actualizada ahora

27003 Guía de Implementación del SGSI FCD

27004 Mediciones de la GSI 2do. FCD

27005 Gestión del Riesgo del SGSI Publicada

27006 Requisitos de Acreditación para organismos de certificación Publicada

27007 Directrices de Auditoría del SGSI WD

Normas 27000Normas 27000


Modelo DCA SGSI Modelo DCA SGSI ModelModel

Ciclo de Vida del SGSICiclo de Vida del SGSI

PLANIFICAR

VERIFICAR

ACTUAR

HACER

Diseño del SGSI

Implementación &

operación del SGSI

Mantenimiento & mejora del

SGSISeguimiento & revisión del SGSI

Modelo PHVAModelo PHVA


Implementación de procesos de gestión del riesgo para alcanzar un SGSI eficaz mediante un proceso de mejora

continua

Implementación de procesos de gestión del riesgo para alcanzar un SGSI eficaz mediante un proceso de mejora

continua

Information Security Management System (SGSI) Process Model

Information Security Management System (SGSI) Process Model

Diseño del SGSI (evaluación del riesgo, tratamiento del riesgo, selección de los controles …)

Implementación y Utilización del SGSI (implementar y ensayar los controles, políticas, procedimientos, procesos…)

Seguimiento & Revisión del SGSI(incidente, cambios, reevaluación

de los riesgos, hojas de evaluación, auditorías…)

Actualización & Mejora del SGSI(mejorar o implementar nuevos

controles, políticas, procedimientos…)

PHVA

Planificar

PHVA Hacer

Verificar

Actuar


Puntos sobresalientes y características

Enfoque de gestión del riesgo

evaluación del riesgo, tratamiento del riesgo, toma de decisiones por parte de la Dirección

Modelo de mejora continua

Medidas de eficacia

Especificación de auditoría (Auditoría interna y externa del SGSI)

Está ahora en revisión

Requisitos del SGSIRequisitos del SGSI


Norma ISO/IEC 27002 Código de Práctica para la gestión de la Seguridad de la Información

Un catálogo de Prácticas EficacesSugiere un grupo de controles holísticosNo es una norma de certificación o de

auditoríaPolítica de seguridad

Organización de la seguridad de la información

Gestión de activos

Seguridad de los recursos humanos

Seguridad física & del entorno

Gestión de operaciones & comunicaciones

Control del acceso

Adquisición, desarrollo y mantenimiento de los sistemas de información

Gestión de la continuidad del negocio

Cumplimiento

Gestión de los incidentes de seguridad de la información


Código de Práctica para la gestión de la seguridad de la información

Desde la primavera de 2007 a la norma ISO/IEC 17799 se le dio nueva numeración como 27002

La norma está ahora en revisión


Una guía para avanzar en la implementación de los requisitos definidos en la norma 27001

El alcance incluye orientación sobre implementación en:

Asesoramiento detallado y ayuda en lo concerniente a los procesos PHVA

Alcance y política del SGSI

Identificación de activos

Implementación de controles seleccionados

Seguimiento y revisión y mejora continua

¿¿QuQuéé hay en la norma ISO/IEC 27003?hay en la norma ISO/IEC 27003?


Orientación sobre las mediciones de la gestión de la seguridad de la información para apoyar los requisitos de medición y eficacia definidos en la norma 27001

¿Qué, cómo y cuándo medir?

Desempeño, benchmarking, seguimiento y revisión de la eficacia del SGSI para ayudar en la toma de decisiones empresariales y mejoras al SGSI



Orientación en la gestión del riesgo del SGSI para apoyar la evaluación, tratamiento y gestión del riesgo, y la selección de los requisitos de los controles definidos en la norma 27001

Orientación detallada para los implementadores del SGSI, encargados de la gestión del riesgo, oficiales de seguridad …

Publicada



Requisitos de Acreditación del SGSI

Requisitos específicos del SGSI para complementar los requisitos genéricos en la norma ISO 17021-1

Sustituye a EA 7/03

Publicada en enero de 2007

15



NORMA ISO/IEC 27007NORMA ISO/IEC 27007Directrices de Auditoría del SGSI

Orientación específica del SGSI para complementar la norma ISO 19011

Manejar la orientación a los auditores en temas como:

Establecimiento de los rastros de auditoría del SGSI

Auditoría de evidencia forense

Alcances del SGSI

Mediciones 16


EvoluciEvolucióónn

BS 7799-1:1995

BS 7799-1:1999

ISO/IEC 17799:2000

ISO/IEC 17799:2005

Código de práctica para la gestión de la seguridad de la información

15 junio/05

BS 7799-2:1998

BS 7799-2:1999

ISO/IEC 27001:2005

Requisitos del SGSI

15 Oct/05

BS 7799-2:2002


18

Guí

a de

impl

emen

taci

ón d

el

SG

SI [

2700

3]G

uía

de im

plem

enta

ción

del

S

GS

I [27

003]

Con

trole

s de

la s

egur

idad

de

la in

form

ació

n (e

x177

99)

[270

02]

Con

trole

s de

la s

egur

idad

de

la in

form

ació

n (e

x177

99)

[270

02]

Pan

oram

a ge

nera

l &

term

inol

ogía

del

SG

SI

[270

00]

Pan

oram

a ge

nera

l &

term

inol

ogía

del

SG

SI

[270

00]

Med

icio

nes

de la

ges

tión

de

la s

egur

idad

de

la

info

rmac

ión

[270

04]

Med

icio

nes

de la

ges

tión

de

la s

egur

idad

de

la

info

rmac

ión

[270

04]

Ges

tión

del r

iesg

o de

l SG

SI

[270

05]

Ges

tión

del r

iesg

o de

l SG

SI

[270

05]

Req

uisi

tos

para

los

sist

emas

fina

ncie

ros

[270

1x]

Req

uisi

tos

para

los

sist

emas

fina

ncie

ros

[270

1x]

Req

uisi

tos

para

las

tele

com

unic

acio

nes

[270

11]

Req

uisi

tos

para

las

tele

com

unic

acio

nes

[270

11]

Req

uisi

tos

para

el t

rans

porte

[270

1x]

Req

uisi

tos

para

el t

rans

porte

[270

1x]

Req

uisi

tos

para

WLA

(Aso

ciac

ión

de L

oter

íaM

undi

al) [2

701x

]R

equi

sito

s pa

raW

LA (A

soci

ació

nde

Lot

ería

Mun

dial

) [270

1x]

Req

uisi

tos

para

los

aut

omot

ores

[270

1x]

Req

uisi

tos

para

los

aut

omot

ores

[270

1x]

Req

uisi

tos

para

el c

uida

do d

e la

sal

ud[2

70xx

/277

99]

Req

uisi

tos

para

el c

uida

do d

e la

sal

ud[2

70xx

/277

99]

Técnicas criptográficas, protocolos de autenticación, técnicas biométricas, tecnologías

de privacidad …

Técnicas criptográficas, protocolos de autenticación, técnicas biométricas, tecnologías

de privacidad …

Recuperación de desastres, seguridad de las redes de TI, servicios TTP, IDS, manejo del incidente, aplicaciones de red, gestión de la

identificación, ciber ..

Recuperación de desastres, seguridad de las redes de TI, servicios TTP, IDS, manejo del incidente, aplicaciones de red, gestión de la

identificación, ciber ..

Producto sistemaevaluación & aseguramiento de la seguridad

Producto sistemaevaluación & aseguramiento de la seguridad

Requisitos de Acreditación [17021]

Requisitos de Acreditación [17021]

Requisitos de Acreditación para el

SGSI [27006]

Requisitos de Acreditación para el

SGSI [27006] Directrices de auditoría [19011 & 27007]

Directrices de auditoría [19011 & 27007]

Sistema de Gestión de la Seguridadde la Información (SGSI) [27001]

Sistema de Gestión de la Seguridadde la Información (SGSI) [27001]


Gestión de manejo de los incidentes de seguridad de la información

Apoya los controles de manejo de los incidentes en ISO/IEC 27002

Proporciona patrones y asesoramiento más técnico sobre cómo implementar esquemas para el manejo del incidente

Publicada en 2005

ISO/IEC 18044

NORMA ISO/IEC 18044NORMA ISO/IEC 18044


NORMA ISO/IEC 24762NORMA ISO/IEC 24762

Servicios de Recuperación de desastres

El borrador de trabajo es la Norma de Singapur SS 507 para los proveedores de servicios para la recuperación de desastres.

En desarrollo en la nueva WG 4

Publicada


21

SGSI 27001SGSI 27001


Ciclo de Vida del SGSICiclo de Vida del SGSI

PLANIFICAR

VERIFICAR

ACTUAR

HACER

Diseño del SGSI

Implementación & operación del

SGSI

Mantenimiento & mejora del

SGSI

Seguimiento & revisión del SGSI

PDCA SGSI ModelPDCA SGSI ModelSGSI PHVASGSI PHVA


Alcance del SGSI (4.2.1 (a))

1. Definir el alcance y límites del SGSI 2. Corresponde completamente a la

organización definir el alcance del SGSI

3. Se deben identificar las interfaces y dependencias

Diseño delSGSI

Límite

Límite

Alcance del SGSI –Toda la Organización

Alcance del SGSI –Parte de la Organización

Alcance del SGSIAlcance del SGSI


Alcance del SGSI (4.2.1 (a))1. Definir el alcance y límites del SGSI 2. Corresponde completamente a la

organización definir el alcance del SGSI

3. Se deben identificar las interfaces y dependencias

Diseño delSGSI

Alcance del SGSI

Proveedor de Servicios Externo

ClienteDpto. de Servicio

de TI

Alcance del SGSI Alcance del SGSI


Ejemplos del Alcance del SGSI

1. Departamento de ventas y compras2. Outsourcing – servicios de gestión de

datos3. Servicios de reembolsos al cliente

• Reclamaciones al seguro• Reclamaciones de cobertura

médica• Reclamaciones de restitución de

mercancías dañadas4. Banca en línea5. Servicios organizacionales de TI

internos

Diseño delSGSI

Alcance del SGSIAlcance del SGSI


Política del SGSI (4.2.1 (b))

1. Definir la política del SGSI que define un marco para establecer los objetivos y la dirección para la seguridad de la información:

• Tiene en cuenta todos los requisitos aplicables, legales, contractuales y empresariales

• Se alinea con el contexto global de gestión del riesgo de la organización

• Establece los criterios para la evaluación del riesgo

• Ha sido aprobada por la dirección

Diseño delSGSI

Declaración de Política de Seguridad de la InformaciónObjetivos …………………………………….…………………………………………………Definición de seguridad de la información ……............................................................................Requisitos y reglas de la política………………………………..……………………………………………………………………………………………………

Firmado y aprobado por ………….Fecha ………………..

PolPolíítica del SGSI tica del SGSI


Evaluación del Riesgo (4.2.1 (c)-(e))

1. Definir el enfoque 2. Identificar y evaluar los riesgos

• Activos y sus valores• Amenazas y vulnerabilidades• Riesgos e impactos

Ejemplo A:Activo – registros del cliente – la

sensibilidad y el valor comercial son altos en términos financieros

Amenazas – acceso, fuga y modificación no autorizados

Vulnerabilidades – Control del acceso carente o inapropiado, falta de control de autenticación, falta de control sobre el procesamiento de la información

Riesgo – altoImpacto - alto

Diseño delSGSI

activo

vulnerabilidadesamenazas

riesgos impactos

aprovechan devaluaciones, daños a, etc.

EvaluaciEvaluacióón del Riesgo del SGSIn del Riesgo del SGSI


Tratamiento del riesgo (4.2.1 (f))

1. Opciones

• Reducir el riesgo – implementar controles

• Aceptar el riesgo – el impacto con el cual la compañía puede vivir financieramente

• Transferir el riesgo – seguros o mediante contratos

• Evitar el riesgo – no comprometerse en un proyecto que pueda originar el riesgo

2. Toma de decisiones de la dirección• Criterios de aceptación del riesgo y

riesgos residuales• Requisitos empresariales• Costo y recursos

Diseño del SGSI

Tratamiento del riesgo del SGSITratamiento del riesgo del SGSI


Selección de los controles (4.2.1 (g))1. Los controles se seleccionan primordialmente

del Anexo A con base en los resultados de la evaluación del riesgo (los controles de otras listas/normas pueden complementar lo que no se encuentre en el Anexo A) y la decisión tomada durante la fase de tratamiento del riesgo

2. Para la selección se necesitarán los criterios de la compañía para aceptar el riesgo

3. Al realizar la selección se debe tomar en cuenta otros requisitos, como los legales

Continuación del Ejemplo A:

• Implementar mejores mecanismos de autenticación y acceso en los sistemas de TI que contienen los registros del cliente

• ¿Cuáles controles del Anexo A pueden ser aplicables?

Diseño delSGSI

SelecciSeleccióón de los controles del SGSIn de los controles del SGSI


Aprobación de la dirección(4.2.1 (h)-(i))

Aprobación de los riesgos residualesAprobación y autorización para implementar los controles del SGSI

Diseño delSGSI

AprobaciAprobacióón de la direccin de la direccióónn


Declaración de Aplicabilidad(4.2.1 (j))

Lista de los controles seleccionados para implementacion, más aquellos controles actualmente implementados y los controles no implementados (exclusiones)

con justificación/razones del por qué

los controles han o no han sido implementados

Diseño delSGSI

Implementación de controles

Decisión de tratamiento del

riesgo

Riesgos identificados y

evaluados

Flujo de desarrollo del SGSI

Revisión y verificación de auditoría del SGSI

DeclaraciDeclaracióón de Aplicabilidadn de Aplicabilidad


Tratamiento del Riesgo (4.2.2 (a)-(c))

1. Formular plan para el tratamiento del riesgo

• El objetivo es manejar los riesgos a través de la acciones identificadas en la fase de PLANIFICACIÓN

• Identificar acciones, prioridades, recursos, responsabilidades de la Dirección

2. Implementar el plan de tratamiento del riesgo

3. Implementar los controles seleccionados

• Políticas• Procedimientos• Control de los recursos humanos• Controles de los proveedores de

servicios, contratos, SLA (Acuerdos de nivel de servicios)

• Controles técnicos

Implementación & operación del SGSI

Tratamiento del Riesgo del SGSITratamiento del Riesgo del SGSI


Eficacia (4.2.2 (d))

1. Definir un grupo de mediciones y adoptar un conjunto de métodos para la medición de la eficacia de los controles implementados –luego de la implementación y en períodos regulares de ahí en adelante

• Especificar cómo medir la eficacia de los controles o de los grupos de controles seleccionados

• Especificar cómo estas mediciones se utilizarán para evaluar la eficacia de los controles

• Asegurar resultados comparables y reproducibles


MediciMedicióón de la Eficacian de la Eficacia


Acciones de la Dirección (4.2.2 (f)-(h))

1. Gestionar los recursos y operaciones para la operación efectiva de los controles del SGSI

2. Asegurar un grupo efectivo de procedimientos y recursos que estén disponibles para el manejo de incidentes


Acciones de la DirecciAcciones de la Direccióón del SGSIn del SGSI


Seguimiento & Revisiones (4.2.3)

1. Medir el desempeño, realizar benchmarking, etc., para verificar la eficacia de los controles

2. Ejecutar procedimientos de seguimiento y revisión para determinar que todo funciona como se espera, que incluyen:

• Intentos de acceso• Uso de los procedimientos• Detección de errores• Detección de intentos de violación e

incidentes• Eficacia• Resultados de la evaluación del riesgo


Seguimiento y RevisiSeguimiento y Revisióón del SGSIn del SGSI



3. Rastrear los cambios• Riesgos, amenazas• Maneras de hacer negocios, nuevas

empresas del mercado, nuevos proyectos • Cambios en la mano de obra, base de

clientes, sociedades de negocios• Tecnología• Leyes y reglamentaciones

4. Emprender revisiones regulares (revisiones de la dirección) y auditorías (internas y externas) del SGSI, teniendo en cuenta:

• Informes de gestión de incidentes• Mediciones de la eficacia • Sugerencias y retroalimentación• Informes de auditoría• Acciones de la Dirección y su conclusión





5. Actualizar toda la documentación pertinente

• Políticas• Procedimientos • Planes• Programación de ensayos• Revisión y auditoría de manuales




Actualización & mejora (4.2.4 y 8.1-8.3)

1. Implementar las mejoras identificadas en la fase de VERIFICACIÓN

2. Emprender acciones correctivas y preventivas (consultar más en el artículo 8 del SGSI Mejora)

3. Comunicar las acciones y mejoras a todas las partes interesadas

4. Asegurarse de que las mejoras funcionen como se espera

5. Capacitar de nuevo al personal

Mejoras del SGSI

Mejoras del SGSIMejoras del SGSI


Diseño delSGSI

Implementación& Operación del SGSI

Seguimiento & Revisión del SGSI

Mejora delSGSI

Ciclo de Vida Ciclo de Vida del SGSIdel SGSI

DocumentaciónAlcance y Declaración de Política del SGSIInforme de Evaluación del RiesgoPlan de Tratamiento del RiesgoDeclaración de AplicabilidadProcedimientos del SGSIManuales del SGSI Manuales de Auditoría

DocumentaciDocumentacióón del SGSIn del SGSI


Diseño delSGSI

Implementación & Operación del SGSI


Mejora delSGSI


Controles (4.3.2)

Controlar y proteger los documentos, utilizando procedimientos para:

Aprobación, revisión, actualización y re-aprobación

Control de versiones y cambios

Asegurar que los documentos sean válidos y accesibles

Asegurar la disponibilidad para todo el que tenga derecho al acceso

Identificar el origen y la distribución

Impedir el uso no previsto

Aplicar la identificación y etiquetadoadecuados

DocumentaciDocumentacióón del SGSIn del SGSI


RegistrosRegistro del manejo de incidentesRegistros del personalRegistros de capacitacionesRegistros de contratos, ventas y entregas a los clientesRegistros de ventasRegistros financierosRegistros de ensayosRegistros de Benchmarking

Diseño delSGSI



Mejora delSGSI


Registros del SGSIRegistros del SGSI


Controles (4.3.3)

Se deben establecer registros para suministrar evidencia de la conformidad con la norma

Para fines de certificación, el SGSI debe haber estado en operación por al menos 4-6 meses para tener la evidencia suficiente

Los registros deben protegerse de la misma manera que toda la documentación

Los requisitos para la documentación y los registros son los mismos que para otros sistemas de gestión

Registros del SGSIRegistros del SGSI

Diseño delSGSI



Mejora delSGSI


La Dirección debe estipular su compromiso al:

Establecer la política, objetivos y planes del SGSI

Establecer roles y responsabilidades para la seguridad de la información

Comunicar la importancia de la seguridad de la información

Proporcionar los recursos suficientes para el SGSI

Decidir los criterios para la aceptación del riesgo

Asegurar las auditorías internas del SGSI

Realizar revisiones por parte de la Dirección

Compromiso de la DirecciCompromiso de la Direccióónn


La organización debe determinar y suministrar los recursos necesarios para:

Establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI

Garantizar que la seguridad de la información brinda apoyo a los requisitos del negocio

Identificar y atender los requisitos legales y reglamentarios y las obligaciones de seguridad contractuales

Mantener la seguridad adecuada mediante la aplicación correcta de todos los controles implementados

Llevar a cabo revisiones y mejorar la eficacia del SGSI donde se requiera.

ProvisiProvisióón de Recursosn de Recursos


La organización debe asegurar personal competente mediante:

La determinación de las competencias necesarias para el personal en el SGSI

El suministro de formación o la realización de otras acciones (por ej. la contratación de personal competente) para satisfacer estas necesidades

La evaluación de la eficacia de las acciones emprendidas

El mantenimiento de registros de la educación, formación, habilidades, experiencia y calificaciones

Asegurar la toma de conciencia del personal en el SGSI

FormaciFormacióón, Toma de Conciencia & Competencian, Toma de Conciencia & Competencia


La organización debe llevar a cabo auditorías internas del SGSI a intervalos planificados para asegurar que el SGSI:

Cumple los requisitos de la norma ISO/IEC 27001 y de la legislación y reglamentaciones pertinentes;

Cumple los requisitos identificados de seguridad de la información;

Los procesos y controles del SGSI son implementados y mantenidos eficazmente y su desempeño es acorde con lo esperado

AuditorAuditoríías Internas del SGSIas Internas del SGSI


Se debe planificar el programa de auditorías

Se deben definir los criterios, el alcance, la frecuencia y los métodos de la auditoría

Se debe asegurar la imparcialidad e independencia de los auditores

Se deben definir las responsabilidades para la planificación y realización de la auditoría y para el reporte

La Dirección es responsable del seguimiento de las acciones apropiadas para reaccionar a cualquier no-conformidad que se identifique

AuditorAuditoríías Internas del SGSIas Internas del SGSI


Diseño delSGSI

Implementación & operación del SGSI Seguimiento &

revisión del SGSI

Mejora del SGSI

Revisión del SGSI por la Dirección (7.1-7.3)

Revisión por la Dirección1. Por lo menos una vez al año2. Verificación para asegurar la conveniencia, suficiencia y eficacia continuas del

SGSI3. Oportunidades de mejoras4. Actualización de las políticas, procedimientos, planes, objetivos …5. La revisión da como resultado documentos y acciones de reuniones que deben

registrarse

RevisiRevisióón del SGSI por la Direccin del SGSI por la Direccióónn


Diseño del SGSI

Implementación & operación del SGSI Seguimiento

& revisión del SGSI

Mejora delSGSI


Entradas para la revisión1. Resultados de revisiones, auditorías, mediciones de la eficacia, reportes de

incidentes, registros operacionales2. Retroalimentación desde el personal, clientes, socios de negocios, proveedores3. Perfiles de amenaza, vulnerabilidad y riesgo4. Controles, tecnología, procedimientos para mejora del SGSI nuevos o adicionales5. Acciones de seguimiento – que incluyen el estado de las acciones correctivas y

preventivas



Diseño delSGSI

Implementación & operación del SGSI Seguimiento

& revisión del SGSI

Mejora del SGSI


Salidas de la Revisión1. Definición de las mejoras del SGSI2. Objetivos de eficacia y mejoras a los métodos y medidas3. Actualizaciones de la evaluación del riesgo y los planes de tratamiento4. Actualizaciones de políticas, procedimientos, planes5. Reformulación de las necesidades de recursos, re-operación y definición de roles y

responsabilidades



La organización debe mejorar continuamente la eficacia del SGSI

Acciones correctivas

Identificar las no-conformidades y sus causas

Determinar e implementar las acciones correctivas

Acciones Preventivas

Identificar las no-conformidades potenciales

Determinar e implementar las acciones preventivas

Todas las acciones deben registrarse y revisarse

Mejoras del SGSIMejoras del SGSI


52

Conformidad & Certificación

Conformidad & Certificación


Partes interesadas

Organismos de acreditación, Organismos de Certificación y Usuarios Finales

Documentos y normas de certificación

Proceso de Acreditación

Proceso de Certificación

Auditores

Todos los certificados registrados en la actualidad pueden consultarse en www.iso27001certificates.com

CertificaciCertificacióónn


AcreditaciAcreditacióón n CertificaciCertificacióónn Organismo de Acreditación (OA)

Organismo de Certificación (OC)

OrganizaciónSGSI

Auditores

Asesores

Auditorías de certificación del SGSI• Auditoría inicial

• Auditorías de seguimiento (cada 6-12 meses)• Auditorías de re-certificación (cada 3 años)

Evaluación de los sistemas/procesos de alta calidad del organismo de certificación para

llevar a cabo y administrar las certificacionesAuditorías atestiguadas


Norma de Certificación

ISO/IEC 27001:2005 (antes BS 7799 Parte:2002)

Directrices para Acreditación

ISO/IEC 17021 (antes Guía ISO 62/EN 45012)

ISO/IEC 27006 (antes EA 7/03), ISO 19011

Documentos de apoyo

ISO/IEC 27002

Documentos y Normas de CertificaciDocumentos y Normas de Certificacióónn


AcreditaciAcreditacióón n CertificaciCertificacióónn Organismo de Acreditación (OA)


OrganizaciónSGSI

Auditores

Asesores

Auditorías de certificación del SGSI• Auditoría inicial

• Auditorías de seguimiento (cada 6-12 meses)• Auditorías de re-certificación (cada 3 años)

Evaluación de los sistemas/procesos de alta calidad del organismo de certificación para llevar a cabo y administrar las certificacionesAuditorías atestiguadas

Documentos empleados:(a) ISO/IEC 17021(b) ISO 19011(c) ISO/IEC 27006

Documentos empleados:(d) ISO/IEC 27001:2005(c) ISO/IEC 27006


Auditoría Inicial de Certificación

Auditorías de seguimiento

Tres años después del otorgamiento del certificado

Típicamente cada 6-9 meses durante los tres años de período de validación de la certificación

La realización de la auditoría inicial -de dos etapas – tiene como intención el otorgamiento del certificado

Aprueba/desaprueba

Aprueba – otorgamiento del certificado

Acciones correctivas para manejar las no-conformidades

El cliente decide no seguir

desapruebadesaprueba

sí

El cliente solicita la re-certificación

El cliente decide no seguir

no

Acciones correctivas para manejar las no-conformidades

Auditoría de Re-certificación

Proceso de AuditorProceso de Auditoríía a del SGSIdel SGSI


Típicamente el proceso inicial de auditoría involucra dos etapas:

Etapa 1 de la Auditoría

Revisión de los documentos del SGSI …


Visita en el sitio

Reuniones con el equipo de la Dirección y entrevistas con el personal

Observación y evaluación del SGSI en funcionamiento

Revisión y discusión de los hallazgos, documentos, registros, informes …

Recopilación de la evidencia objetiva

Proceso de AuditorProceso de Auditoríía del SGSIa del SGSI



En esta etapa de la auditoría, el organismo de certificación debe obtener la documentación sobre el diseño del SGSI abarcando la documentación requerida en el Artículo 4.3.1 de la norma ISO/IEC 27001.

El objetivo de la etapa 1 de la auditoría es suministrar un enfoque para la planificación de la etapa 2 de la auditoría, al obtener una comprensión del SGSI en el contexto de las políticas y objetivos del SGSI de la organización del cliente, y, en particular, del estado de preparación para la auditoría por parte de la organización del cliente.

La etapa 1 de la auditoría incluye la revisión de documentación, pero no debe restringirse sólo a ella. El organismo de certificación debe acordar con la organización del cliente cuándo y dónde debe realizarse la revisión de la documentación. En todo caso, la revisión debe completarse antes del inicio de la etapa 2 de la auditoría.

Los resultados de la etapa 1 de la auditoría deben documentarse en un informe escrito. El organismo de certificación debe revisar el informe de la etapa 1 de la auditoría antes de proseguir con la etapa 2 y para seleccionar el equipo de miembros para la etapa 2 de la auditoría con la competencia necesaria.

El organismo de certificación debe hacer que la organización del cliente se entere de los tipos de información y registros adicionales que pueden requerirse para una revisión detallada durante la etapa 2 de la auditoría.

AuditorAuditoríías del SGSI as del SGSI –– Etapa 1Etapa 1



• Los objetivos de esta auditoría son:

Confirmar que la organización del cliente se ajusta a sus propias políticas, objetivos y procedimientos;

Confirmar que el SGSI cumple con todos los requisitos de la norma ISO/IEC 27001 y que satisface los objetivos de la organización.

• Esta auditoría siempre se lleva a cabo en las instalaciones de la organización.

• El organismo de certificación elabora un borrador de plan de auditoría para esta etapa 2 de la auditoría con base en los hallazgos de la etapa 1.



La auditoría debería enfocarse hacia los siguientes aspectos de la organización

Evaluación de la seguridad de la información y riesgos relacionados y que dicha evaluación produzca resultados comparables y reproducibles

Selección de objetivos de control y controles con base en la evaluación del riesgo y los procesos de tratamiento del riesgo

Revisiones de la efectividad del SGSI y mediciones de la eficacia de los controles de seguridad de la información, realizando el reporte y la revisión contra los objetivos del SGSI

Correspondencia entre los controles seleccionados e implementados, la Declaración de Aplicabilidad y los resultados de la evaluación del riesgo y el proceso de tratamiento del riesgo, y la política y los objetivos del SGSI

Programas, procesos, procedimientos, registros, auditorías internas y revisiones de la eficacia del SGSI para garantizar que sean trazables a las decisiones de la Dirección y la política y objetivos del SGSI



Política del SGSI, objetivos, requisitos empresariales y objetos

resultados de evaluacónesdel riesgo de la seguridadde la información

Decisiones de tratamiento del

riesgo

Declaración de Aplicabilidad

Ras

trode

aud

itoría

Controles paraimplementación

Controles selecionados con base en la decisión sobre el

tratamiento del riesgo

Decisión sobre el tratamientodel riesgo para reducir los

riesgos identificados

Riesgos identificadosy evaluados

Proceso de AuditorProceso de Auditoríía del SGSIa del SGSI


AcreditaciAcreditacióón n CertificaciCertificacióónn Organismo de acreditación (OA)


Organización

Reporte de los equiposde auditoría

Equipo de Direccióndel OC

SGSI

Equipo auditor

Evaluadores

Hallazgos de auditoría

verificadosy aprobados

Si: certificadootorgado

No: acciónde seguimientoemprendida


ISO/IEC 19011 (Directrices de la auditoría) (www.iso.org)

Educación

Experiencia industrial

Formación

Experiencia en auditoría

Auditores certificados IRCA (www.irca.org)

Auditor provisional

Auditor

Auditor líder

Se están desarrollando más aspectos de la certificación personal para SGSI

Calificaciones del auditor de SGSICalificaciones del auditor de SGSI


2000 - 2006

EA7/03 de EA

2006

FDIS deISO/IEC 27006

Publicaciónplaneada de

ISO/IEC 27006

Enero/Feb 2007


ISO/IEC 27006 es la norma de “Requisitos para la acreditación de organismos que ofrecen certificación deSGSI”

Iniciativa conjunta de ISO, IAF yCASCO

Con base en

ISO/IEC 17021

ISO/IEC 27001

ISO/IEC 27006ISO/IEC 27006


ISO/IEC 27006 contiene requisitos

No existen requisitos para auditotías generales adicionales a ISO/IEC 17021

“Debe” se emplea para indicar requisitos obligatorios de ISO/IEC 17021, ISO/IEC 27001, o los resultantes de combinar las dos

“Debería” tiene que ver con orientación, aunque presenta un método reconocido para el cumplimiento de los requisitos

Uso Uso ofof „„DebeDebe““ yy„„DeberDeberííaa““


ISO/IEC 27006 sigue la estructura de ISO/IEC 17021

Declaración de alto nivel del contenido de los numerales de ISO/IEC 17021

Orientación SGSI – si existe orientación adicional necesaria para el SGSI, ésta se incluye aquí.

Estructura de ISO/IEC 27006Estructura de ISO/IEC 27006


StructureStructure ofof ISO/IEC 27006 ISO/IEC 27006 -- ExampleExample


Sección 5 “Requisitos generales”

Orientación especifica del SGSI en relación con la imparcialidad

Listado del trabajo que pudiera estar en conflicto

Inclusión de una lista de todas las actividades que se pueden realizar out

Sección 6 “Estructura organizacional”

No hay orientación especifica de SGSI, ISO/IEC 17021 se aplica

¿¿QuQuéé incluye ISO/IEC 27006?incluye ISO/IEC 27006?


Sección 7 “Requisitos de los recursos”

7.1 Orientación específica de SGSI en relación con la competencia de la Dirección

7.2 Orientación específica de SGSI en relación con la competencia del personal del OC

Capacitación, niveles de educación, experiencia laboral pre-requeridos, etc.

7.3 Orientación específica de SGSI en relación con la subcontratación



Sección 8 “Requisitos de información”

8.1 Orientación específica de SGSI para otorgar mantener,… suspender certificados

8.2 Orientación específica de SGSI para documentos de certificación

El certificado debe hacer referencia a la versión de la Declaración de Aplicabilidad

Cierta orientación más específica de SGSI en relación con

8.4 Uso de sellos

8. 5 Confidencialidad



Sección 9 “Requisitos del proceso”

9.1.1 Orientación específica de SGSI sobre requisitos generales de auditoría de SGSI para:

Criterios de auditoría de certificación

Políticas y procedimientos

Equipo auditor

9.1.2 Orientación específica de SGSI en relación con el alcance

El OC debe garantizar que el alcance se defina según se requiera en la norma ISO/IEC 27001

El OC debe garantizar que la evaluación del riesgo refleje el alcance

Énfasis especial en las interfaces y la necesidad de manejarlas.




9.1.3 Orientación específica de SGSI sobre el tiempo de la auditoría

Sin especificar un marco temporal en particular

Listado de factores que pueden influir en el tiempo requerido para la auditoría

Complejidad del SGSI, dimensión del alcance, tipo y diversidad de empresa, número de sitios,…

Referencia al Anexo A.3




9.1.4 Sitios múltiples

La orientación específica de SGSI contiene la información habitual

Muestreo representativo, en parte aleatorio y en parte basado en el riesgo

Se audita cada sitio con riesgos significativos antes de la certificación

El programa de seguimiento debería cubrir eventualmente todos los sitios




El resto de la Sección 9 comprende el proceso típico de auditoría

La competencia del equipo auditor se ha actualizado con las normas ISO/IEC 17021 e ISO/IEC 27001

Énfasis especial en evaluación del riesgo, selección del control, efectividad, documentación, auditorías y revisiones

Requisitos específicos de SGSI:

Conformidad reguladora

Integración con otros sistemas de gestión



Tres anexos nuevos – todos informales

Anexo A.1 Análisis de Complejidad

Valoración de la complejidad de un SGSI

Anexo A.2 Ejemplo de Áreas de Competencia del Auditor

Competencia requerida para las diferentes áreas de control y el SGSI

Anexo A.3 Tiempo de la auditoría

Descripción del proceso para determinar el tiempo de la auditoría

Ejemplo de cálculos con base en IAFGD 2, más días adicionales para SGSI/controles

Anexo A.4 Orientación sobre la revisión de los controles del Anexo A



78

ISO/IEC 27001Evaluación del Riesgo

&Gestión del Riesgo

ISO/IEC 27001Evaluación del Riesgo

&Gestión del Riesgo


ISO/IEC 27001 no especifica el enfoque de evaluación/gestión del riesgo que se debe usar

Depende de la organización especificar qué usar (de acuerdo con el numeral 4.2.1 c))

ISO/IEC 27001 presenta el marco e ISO/IEC 27005, cierta información de mayor utilidad

Enfoques de GestiEnfoques de Gestióón del Riesgon del Riesgo


ISO/IEC 27005 – Gestión del riesgo de seguridad de la información

Ofrece orientación para la gestión del riesgo de seguridad de la información como se plantea en la norma ISO/IEC 27001

Es aplicable para todas las organizaciones (tamaño, tipo de empresa, etc.) que requieran administrar los riesgos de seguridad de la información



Proceso de gestióndel riesgo enISO/IEC 27005

ModelISOModelISO/IEC 27005/IEC 27005

ESTABLECER CONTEXTO

CO

MU

NIC

AC

IÓN

DEL

RIE

SGO IDENTIFICACIÓN DEL RIESGO

VALORACIÓN DEL RIESGO

EVALUACIÓN DEL RIESGO

EVALUACIÓN DEL RIESGO

ANÁLISIS DEL RIESGO

DECISIÓN SOBRE EL RIESGO PUNTO 1Evaluación satisfactoria Si

Si

TRATAMIENTO DEL RIESGO

SEG

UIM

IEN

TO Y

REV

ISIÓ

N D

EL R

IESG

O

ACEPTACIÓN DEL RIESGO

DECISIÓN SOBRE EL RIESGO PUNTO 2Aceptar riesgos

FIN DE LAS ITERACIONES PRIMERAS O SUBSIGUIENTES


La norma ISO/IEC 27005 no especifica un enfoque “correcto” de evaluación/gestión del riesgo

Considera análisis cualitativos y cuantitativos

En la actualidad se concentra en la evaluación del riesgo y su tratamiento

Aún se requieren adiciones sobre seguimiento y revisión del riesgo

ISO/IEC 27005 ISO/IEC 27005 -- ContenidoContenido


ISO/IEC 27005 contiene numerosos anexos útiles

Valoración del activo

Evaluación del impacto

Ejemplo de listas de amenazas

Ejemplo de listas de vulnerabilidades, relacionadas con áreas específicas de seguridad de la información

Análisis de varios enfoques de evaluación del riesgo

Mucha información acerca de la selección de controles (con base en la antigua ISO/IEC 13335-4)

ISO/IEC 27005 ISO/IEC 27005 -- AnexosAnexos


Procesos empresariales

Información

Personas

Servicios

TCI

Conexiones en red

Entorno físico

Aplicaciones

Dominios de riesgoDominios de riesgo


Activos en el SGSIActivos en el SGSI

Se deberían identificar todos los activos dentro de los límites del SGSI

A fin de comprender los activos y su función en el SGSI, resulta útil identificarlos como parte de las subdivisiones del SGSI

Esto debería incluir

Activos relacionados con el SGSI vía interfaces

Dependencias a fin de garantizar la protección constante


Activos del SGSIActivos del SGSI

SGSI

directorio de activos

activos

Procesos empresariales

Información

Personas

Servicios

TCI

Entorno físico

Aplicaciones

Imagen corporativaPersonasInformación /sistemas de informaciónProcesosProductos/serviciosAplicacionesTCIEntorno físico


¿Cuál es el activo más importante su organización?

Factores que influyen en la importancia:

¿Qué sucede si se daña el activo?

¿El activo es útil para la organización, qué tan difícil resulta realizar negocios sin éste?

¿El activo se relaciona con aplicaciones, recursos críticos, etc.?

Importancia de la mediciImportancia de la medicióón del activon del activo


¿¿CCóómo medir?mo medir?

‘Valores’ diferentes de un activo

Dinero (por ej. costos de reposición)

Valor que expresa la calidad de crítico

Valores que expresan el impacto potencial y el daño a la empresa por una perdida de

Confidencialidad

Integridad

Disponibilidad

Valores asociados con otras clasificaciones (por ej. Violación de las leyes)


¿Cuántos niveles

3, 4 ó 5 .... ó ¿cuántos?

La diferencia entre los niveles debe ser fácil de explicar

El significado de estos niveles diferentes debería expresarse en palabras en cuanto a

Confidencialidad

Integridad

Disponibilidad

Otros criterios potenciales

Escala de valoraciEscala de valoracióón del activon del activo


IdentificaciIdentificacióón de requisitosn de requisitos

Identificación de requisitos para los activos

Obligaciones legales y contractuales que el activo (o su ambiente) debe cumplir

Requisitos empresariales que se relacionan con el activo

Información de entrada necesaria para la valoración

Ejemplo: información con el requisito de cumplir la Ley de Protección de Datos, Data Protection Act

Alta valoración de la confidencialidad e integridad


Identificar toda la legislación y regulación aplicable para el SGSI y sus activos

Véase también la norma ISO/IEC 27002, Sección 12.1

Identificar las obligaciones contractuales

Considerar todos los contratos existentes e identificar las obligaciones allí contempladas.

Acuerdos en el nivel de servicios

Conformidad con las políticas y procedimientos de seguridad

Derechos para auditar en contratos de terceros

Requisitos IPR (Derechos de Propiedad Intelectual)

…

Requisitos legales/contractualesRequisitos legales/contractuales


Requisitos empresarialesRequisitos empresariales

Identificar todos los requisitos empresariales aplicables para el SGSI y sus activos, resultantes de

Aplicaciones específicas tales como la Internet, Comercio electrónico, etc.

Asuntos empresariales tales como joint ventures, requisitos para el correcto procesamiento empresarial, requisitos para entrega oportuna, etc.

Requisitos de disponibilidad para la información y los servicios, por ej. los resultantes de los requisitos del cliente


Requisitos de confidencialidad (C)

Valor del activo

Clase Descripción

1 - BAJO Disponible al público

La información no sensible y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles para el público.

2 - MEDIANO Para uso interno exclusivamente o uso restringido solamente

La información no sensible está restringida para uso interno exclusivamente, es decir, no está disponible para el público o la información restringida y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles dentro de la organización con restricciones variadas con base en las necesidades de la empresa.

3 - ALTO Confidencial o Estrictamente confidencial

La información sensible y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles sólo sobre la base de la necesidad del conocimiento, o

La información sensible y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles sólo sobre la base de la necesidad estricta del conocimiento



Requisitos de integridad (I)

Valor del activo

Clase Descripción

1 - BAJO Baja integridad El daño o modificación no autorizada no es crítico para las aplicaciones empresariales y el impacto en la empresa es insignificante o menor.

2 - MEDIANO Integridad mediana

El daño o modificación no autorizada no es crítico pero si es notorio para las aplicaciones empresariales y el impacto en la empresa es significativo.

3 - ALTO Integridad alta o muy alta

El daño o modificación no autorizada es crítica para las aplicaciones empresariales y el impacto en la empresa es importante y podría conllevar a falla grave o total de la aplicación empresarial



Requisitos de disponibilidad (A)Valor del activo Clase Descripción

1 - BAJO Baja disponibilidad

Se puede tolerar que el activo (información, sistema de procesamiento de la información, recursos del sistema/ servicios de red, personas, etc.) no esté disponible por más de un día

2 - MEDIANO Disponibilidad mediana

Se puede tolerar que el activo (información, sistema de procesamiento de la información, recursos del sistema/ servicios de red, personas, etc.) no esté disponible por máximo de medio día a un día.

3 - ALTO Alta disponibilidad

No se puede tolerar que el activo (información, sistema de procesamiento de la información, recursos del sistema/ servicios de red, personas, etc.) no estédisponible por más de unas cuantas horas, o incluso menos.

Escala de valoraciEscala de valoracióón de activosn de activos


Activos Activos -- ResumenResumen

La protección de los activos es el objetivo de la seguridad de la información y la gestión del riesgo

Cada activo debería

Identificarse y valorarse para permitir la adecuada protección

Se debe identificar un propietario/custodio

Y se debería producir una lista/inventario, que incluya

Clasificación, almacenamiento y fecha de entrada/actualización

Propietario, ubicación, tipo de activo, donde se emplea…


Controles existentes Controles existentes

Se deben identificar todos los controles ya implementados o planificados

Esto es necesario para

Identificar amenazas y vulnerabilidades en un contexto realista

Verificar si estos controles son realmente necesarios o, de lo contrario, retirarlos

Identificar durante el proceso de evaluación de riesgos dónde funcionan correctamente o deben mejorarse estos controles

Seleccionar controles nuevos que se ajusten a los ya existentes


IdentificaciIdentificacióón de controlesn de controles

Los controles existentes se pueden identificar fácilmente empleando un análisis de brechas, que sirve para:

Colocar los controles existentes en relación con los de ISO/IEC 27002

Se puede ajustar en detalle, como se requiera

Se puede realizar mediante

Tablas de verificación/P&R

Entrevistas

Recorrido

Análisis de mesa redonda


Grados de conformidadGrados de conformidad

Grados …

Si – implementada por completo

como se describe en ISO/IEC 27002

Parcial – desde casi completa hasta cuando existen muchas brechas entre la implementación real y la norma ISO/IEC 27002

NO – sin implementarse en absoluto

NO SE APLICA– no es adecuada para la organización, por ej., técnicamente no es factible implementarla.

NO

Parcial

Si

NONO

ParcialParcial

SiSi


Control Pregunta S/P/ N/NA

Comentarios

Política de Seguridad de la Información

5.1.1 ¿Se ha publicado el documento de la política?, ¿ha sido aprobado por la Dirección y se encuentra disponible para todos los usuarios responsables de la seguridad de la información?

Parcial Ha sido producido y aprobado por la Dirección, pero aún no se ha publicado – véase CISP/001/v1.0.

5.1.2 ¿La política publicada se revisa de manera regular y es apropiada?

No Pero se hará después de que se haya publicado

Organización interna6.1.1 ¿La Dirección está comprometida con la

seguridad de la información y ofrece instrucción clara y apoyo para las iniciativas de seguridad?

Si La Dirección apoya por completo las iniciativas ISO/IEC 27001.

6.1.2 ¿Las iniciativas y las medidas de seguridad están coordinadas por medio de un foro funcional transversal?

No se aplica

Esta es una pequeña empresa y esto de puede manejar en un nivel de trabajo diario.

6.1.3 ¿Están bien definidas las responsabilidades para la protección de activos individuales y la realización de procesos específicos?

Parcial Aún se requiere asignar responsabilidades adicionales en línea con la política de seguridad.

Tabla de anTabla de anáálisis de brechaslisis de brechasde alto nivelde alto nivel


Tabla detalladaTabla detalladade ande anáálisis de brechas lisis de brechas

Pregunta S/P/ N/NA Comentarios

Control 5.1.1 – Documento de política de seguridad de la

información

¿Se ha implementado la política de seguridad? Si Ha sido publicada y se emprenderán acciones adicionales para la comunicación en el mes. siguiente

¿La política está aprobada por la Dirección? Si Si, ha sido aprobada por la Dirección.¿Se ha publicado y comunicado la política a todos los empleados y partes externas pertinentes?

Parcial Ha sido publicada para todos los empleados, pero aún no externamente

¿Todos entienden la política de seguridad, su propósito e implicaciones?

No No todavía, pero se brindarácapacitación especial para lograrlo el mes siguiente.

¿La política contiene todos los asuntos pertinentes mencionados en Control 5.1.1?

Si Se ha desarrollado la política por completo en línea con la norma 27002.

¿La política de seguridad está poyada por políticas más detalladas (por ej, software o la Internet)?

Parcial Existe una política de control de acceso y directrices de manejo de incidentes, pero en la actualidad no hay política de la Internet.


Las vulnerabilidades son debilidades, por ej. debilidades de seguridad en el sistema

Las amenazas son cualquier cosa que pudiera causar daño, perjurio o pérdida a los activos de una organización por medio de la explotación de las vulnerabilidades de estos activos

Se necesita la conjunción de vulnerabilidades y amenazas para originar un riesgo

ThreatsThreats & vulnerabilidades& vulnerabilidades


Las amenazas pueden originarse de Las amenazas pueden originarse de ……

Ataques del exterior, por ej. Intento de intrusión en las redes o predios de una organización

Hackers, spam

Ataques desde el interior usando el conocimiento y las oportunidades brindadas por el empleado

Ejemplo: un banco en Alemania donde desparecieron 8 millones de €

Accidentalmente debido a fallas del sistema o factores geográficos

Inundaciones, huracanes, terremotos

Sobrecarga del sistema


Ejemplos de amenazasEjemplos de amenazas

Acceso no autorizado

Código malicioso

Hurto, por empleados o no empleados

Mal uso de los sistemas de procesamiento de la información

Fraude

Falla del sistema

Negación del servicio

Errores del usuario

Desastres

……


IdentificaciIdentificacióón de amenazasn de amenazas

¿Qué podría amenazar este activo?

Empleados o no empleados

Fallas del sistema o desastres

Identificación de las amenazas

¿Quién o qué causa la amenaza?

¿Quién podría beneficiarse de iniciar la amenaza?

¿Qué ha ocurrido en el pasado?

¿Qué probabilidad hay de que esto ocurra (de nuevo)?


Debido a inadecuados controles de personal, de dirección y administrativos

En relación con políticas, procedimientos y directrices

En relación con la conformidad

En software de computador o equipo de comunicaciones, en redes, sistemas/aplicaciones

En el ambiente físico

Las vulnerabilidades estLas vulnerabilidades estáán alln allíí ……


Ejemplos de vulnerabilidadEjemplos de vulnerabilidad

Falta de concientización

Falta de responsabilidades claras

Clasificación errónea de la información

Incapacidad de proporcionar evidencia

Falta de control de cambio o versión

Falta de mantenimiento

Identificación y autenticación inapropiada

Falta de seguridad de los medios

Falta de protección física

……


IdentificaciIdentificacióón de vulnerabilidadesn de vulnerabilidades

Identificación de vulnerabilidades del activo

¿Cuáles son los problemas de seguridad de este activo ?

¿Faltan controles para este activo?

¿Hay defectos en los mecanismos de protección actuales?

Identificación de vulnerabilidades en el ambiente?

¿Cuál es la apariencia del ambiente técnico?

¿Qué pasa con las conexiones, redes, etc.?

¿Qué tan seguro es el ambiente físico?

¿Está bien capacitado el personal? ¿es consciente de la seguridad y cumple con los controles?


IncidentesIncidentes

Las amenazas y vulnerabilidades sólo causan riesgos si se reúnen y causan incidentes

La evaluación en conjunto sirve para

Facilitar el proceso de evaluación del riesgo

Hacer la evaluación menos teórica y más realista

No se deben combinar todas las amenazas y vulnerabilidades identificadas sin analizar

Se deben tener en cuenta los controles existentes


Fuentes de informaciFuentes de informacióónn

Recursos internos de la empresa

Informes de incidentes de seguridad

Resultados de auditorías del sistema & revisiones de seguridad

Observación de procesos empresariales & condiciones de trabajo/operacionales,

Charla con los propietarios & usuarios de los activos/el sistema

Internet

CERT

SANS

…


Cuántos niveles

3, 4 .... ó cuantos?

La diferencia entre los niveles debe ser fácil de explicar

El significado de estos niveles diferentes debería expresarse en palabras, explicando las diferencias en la probabilidad de ocurrencia de los incidentes

Escala de valoraciEscala de valoracióónn


¿Qué probabilidad hay que ocurra una combinación de amenaza/vulnerabilidad?

¿Qué tanto podría sentirse atraído un atacador posible?

¿Con qué frecuencia ha ocurrido esto en el pasado?

¿Qué tan fácil es explotar las vulnerabilidades?

¿Qué tan buenos son los controles implementados?

ValoraciValoracióónn


ValoraciValoracióón A/Vn A/V

Amenazas

1 – baja probabilidad

2 – probabilidad media

3 – es probable que ocurra

Vulnerabilidad

1 - Dificultad de explotación, buena protección

2 – Posibilidad de explotación

3 – Facilidad de explotación, poca protección


2 3 4

Amenazas

Vuln

erab

ilida

des

1 2 3

3 4 5

Bajas

Altas

Bajas AltasRiesgo de Exposición (RdE)1 Exposición baja2 Exposición media3 Exposición significativa4 Exposición alta5 Exposición intolerable

RE

Activos

Imagen corporativaPersonalInformación/sistemas de informaciónProcesosProductos/serviciosApplicacionesTICFísicos

Riesgo de exposiciRiesgo de exposicióónn


RIESGO DE EXPOSICIÓN

IMPACTO BAJO MEDIO ALTO

Bajo 1 3 5Medio 2 4 6

Alto 3 5 7Muy alto 4 6 8

71 (bajo) 2 3 6 8 (muy alto)54

Incremento en la severidad del riesgo

Matriz de riesgoMatriz de riesgo




Bajo 1 3 5Medio 2 4 6

Alto 3 5 7Muy alto 4 6 8

Matriz de riesgoMatriz de riesgo


REIm

pact

o

5 6 7

1 2 3

5

6

2

3Nivel

de riesgo

IMPACTO EN EL NEGOCIOBajo (insignificante, sin consecuencias, trivial, insignificante)

Bajo-Medio (notable, considerable pero no importante)Medio (significante, importante)

Medio-Alto (daño serio, potencialmente desastroso)Alto (daño devastador, daño total, cierre completo)

Nivel de riesgo

12 3 4 56 7

Tolerable/insignifi.

} Menor

Significativo

} Mayor

Intolerable

Nivel de riesgoNivel de riesgo




Bajo 1 3 5

Medio 2 4 6

Alto 3 5 7

muy Alto 4 6 8

La escala de riesgo tiene que estar relacionada con sunegocio, ya que éste es el que enfrenta los riesgos. Los números 1 a 8 del ejemplo (y usados en la matriz de riesgo) pueden tener muchos sentidos e interpretaciones. Antes de poder decidir cómo reducir y manejar el riesgo, su negociodebe especificar qué significa cada número en el contexto de su negocio, por ejemplo, 6 se podría interpretar como unapérdida de £100,000 para un negocio, y de £700,000 paraotro.

NNúúmeros relacionados con el riesgomeros relacionados con el riesgo


Activo Diferentes tratamientos del riesgo

Retención del riesgo - Se aceptan los riesgos con conocimiento y objetivamente

Reducción del riesgo- Reducción mediante aplicación de una selección apropiada de controles- Reducción del riesgo de exposición- Minimizar el impacto

Transferencia del riesgo - Transferencia mediante contrato- Transferencia mediante un seguro

Evitar el riesgo- No comprometiéndose en actividades que generan riesgo- Abandonar la actividad- Cambiar de ubicación- Cambiar/modificar el proceso

Nivel de riesgo

Riesgo de exposición

(RE)

Impacto en el

negocio

Lím

ite d

e ac

epta

ción

del

rie

sgo

Tratamiento del riesgo Tratamiento del riesgo


Activo

Nivel de riesgo


(RE)

Impacto en el

negocio

Límite de aceptación del

riesgo

riesgoriesgo

riesgoriesgo

riesgo

riesgo

Niv

el d

e rie

sgoREGISTRO DE

RIESGOS{riesgos

identificados}

REGISTRO DE RIESGOS{riesgos

identificados}

LLíímite de riesgo mite de riesgo


Límite de aceptación del riesgo

riesgo

riesgoriesgo

riesgo

riesgo

riesgoN

ivel

de

riesg

o

Activo

Nivel de riesgo


(RE)

Impacto en el

negocio

Rie

sgos

id

entif

icad

os

Controles para

reducción del riesgo

ReducciReduccióón del riesgo n del riesgo


ReducciReduccióón del riesgo mediante controlesn del riesgo mediante controles

Los riesgos identificados se deberían reducir a un nivel aceptable

Reducción de riesgos por medio de:

reducción de la vulnerabilidad. Por ejemplo, mejorar la identificación y procedimientos de autenticación de los usuarios

reducción de la amenaza. Por ejemplo, barreras contra fuego bien configurada y manejada para protección contra los ataques del exterior

Protección contra los efectos del riesgo. Por ejemplo, usando encriptación para proteger contra cualquier ataque que pudiera ocurrir


ReducciReduccióón del riesgo n del riesgo

Implementación de un conjunto de controles

Por ejemplo, esta reducción puede haber sido posible por medio de la combinación de mejoras en los procedimientos operativos, formación para su uso, y mejores mecanismos técnicos de control de acceso

3 (Bajo)

5 76Niveles de riesgo

9 (muy Alto)

84

Nivel de riesgo reducido

4 8

Nivel de riesgo calculado


ReducciReduccióón del riesgo n del riesgo –– ¿¿CCóómo funciona?mo funciona?

La reducción del riesgo siempre es difícil de evaluar

Los controles ayudan a reducir el riesgo

¿En qué grado un control particular reduce la probabilidad de que ocurra la combinación amenaza/vulnerabilidad?

La ISO/IEC 27001 exige que se considere la reducción del riesgo

La mejor forma de hacerlo es identificar en el tiempo si los controles manejan adecuadamente los riesgos


SelecciSeleccióón de controlesn de controlesEs necesario seleccionar los objetivos y controles apropiados

Del Anexo A de la ISO/IEC 27001

De cualquier otra fuente, cuando sea necesario

La selección de los objetivos de control y de los controles se debería justificar con base en:

Los resultados del proceso de valoración del riesgo

Las conclusiones del proceso de tratamiento del riesgo

Es necesario que los controles existentes y los seleccionados formen un sistema de controles y que trabajen conjuntamente


DeclaraciDeclaracióón de aplicabilidadn de aplicabilidad

La declaración de aplicabilidad debería contener:

Los objetivos de control y los controles seleccionados, y las razones para su selección

Todos los controles implementados actualmente (véanse los resultados del análisis de brecha)

Cualquier exclusión de los objetivos de control o controles de la ISO/IEC 27001 Anexo A, y la razón para su exclusión


DeclaraciDeclaracióón de aplicabilidad n de aplicabilidad ––EjemploEjemplo

Objetivo de control y control S/T/ N/NS

Comentarios y razones

Política de Seguridad de la Información

A.5.1 Brindar a la dirección orientación y apoyo en lo relativo a seguridad de la información …

Sí Necesita implementarse para todo el SGSI (ver IVR página 4).

A.5.1.1 Documento de la Política de Seguridad de la Información

Sí Es necesario que la política esté completa de manera que comprenda todos los elementos, como se indica en la ISO/IEC 27002, 5.1.1.

A.5.1.2 Revisión de la información de la Política de Seguridad de la Información

Sí La política será revisada de acuerdo con el procediento de revisión de la PSI.

Organización interna

A.6.1 Manejar la seguridad de la información dentro de la organización

Sí Necesita implementarse para todo el SGSI (véase RAR página 6).

A.6.1.1 … … …

IVR = Informe de valoración del riesgo


0

20

40

60

80

100personas

sistemas de informació

procesos

productos/serviciosaplicaciones

TIC

físicos

Ene-02Jun-02Ene-03

Control de riesgosControl de riesgos


Herramientas de valoraciHerramientas de valoracióón del riesgo n del riesgo

Hay muchas herramientas disponibles para valoración y gestión del riesgo

Para seleccionar una herramienta se debería considerar lo siguiente

La herramienta necesita abarcar el proceso de valoración del riesgo/gestión del riesgo, como se indica en la ISO/IEC 27001

La herramienta debería ser adecuada para la organización

La herramienta debería abarcar todas las áreas de control de la ISO/IEC 27002


RA2 RA2 arte del riesgoarte del riesgo

RA2 arte del riesgo ha sido diseñado especialmente para la ISO/IEC 27001 y la ISO/IEC 27002

Pasa por el todo el proceso de valoración del riesgo, desde la identificación del alcance del SGSI a la declaración de la aplicabilidad

Incluye todos los controles de

ISO/IEC 27002:2000 y

ISO/IEC 27002:2005


131

ISO/IEC 27002Código de Práctica

Para Gestión deSeguridad de la

Información

ISO/IEC 27002Código de Práctica

Para Gestión deSeguridad de la

Información


1995-1998

BS 7799 Parte 1Código de Práctica

BS 7799 Parte 2 especificación SGSI

2000

BS 7799 Parte 1 publicada como ISO/IEC 17799

Publicación de las actualización

de las partes 1 y 2

1999

Primera actualización de la ISO/IEC 17799

Junio 15 de 2005

ISO/IEC 27002 ISO/IEC 27002 –– Desarrollo en el tiempoDesarrollo en el tiempo


Política de seguridad

Organización de la seguridad

Control y clasificación de activos

Seguridad del personal

Seguridad física y ambiental

Gestión de comunicaciones y operaciones

Control de acceso

Desarrollo y mantenimiento de sistemas

Gestión de continuidad del negocio

cumplimiento

Edición 2000 Política de seguridad

Organización de Seguridad de la Inform.

Gestión de activos

Seguridad de los recursos humanos

Seguridad física y ambiental

Gestión de comunicaciones y operaciones

Control de acceso

Adquisición, desarrollo y mantenimiento de sistemas de información

Gestión de continuidad del negocio

Cumplimiento

Gestión de incidentes de seguridad de la información

Edición de 2005

Anterior - Nueva


Numeral 4 Numeral 4 ValoraciValoracióón y tratamiento del riesgo n y tratamiento del riesgo

Introducción a la valoración y tratamiento de riesgos de seguridad de la Información

Alineación con la ISO/IEC 27001 y la ISO/IEC 27005 (versión actualizada de la ISO/IEC 13335)

Inclusión de la valoración del riesgo en el alcance

Énfasis en la importancia de la valoración del riesgo


5.1 Pol5.1 Políítica de seguridad de la tica de seguridad de la InformaciInformacióón n

5.1 1 Documento de la política de seguridad de la información

La dirección debería aprobar un documento de la política de seguridad de la información, y lo debería publicar y comunicar a todos los empleados y partes externas interesadas.

5.1.2 Revisión de la política de seguridad de la información

La Política de Seguridad de la Información se debería revisar a intervalos planificados o si ocurren cambios significativos, para asegurar su conveniencia, suficiencia y eficacia continuas.


Lista de verificaciLista de verificacióón de la poln de la políítica (1)tica (1)

Marco para establecer objetivos, dirección y principios de seguridad de la información

Establece el compromiso de la dirección

Considera los requisitos comerciales y legales y las obligaciones de seguridad contractuales

Se alinea con el contexto de gestión estratégica de riesgo de la organización

Establece criterios contra los cuales se evaluará el riesgo


Lista de chequeo de la polLista de chequeo de la políítica (2)tica (2)

Establece una definición de seguridad de la información

Explicación acerca de las políticas y principios importantes de seguridad de la información

Formación y toma de conciencia

Consecuencias de violaciones a la seguridad

Referencias a otras políticas más detalladas

Definición de las responsabilidades de seguridad de la información

Aprobada por la Dirección, publicada y comunicada a todos los empleados


6.1 Organizaci6.1 Organizacióón internan interna

6.1.1 Compromiso de la dirección con la seguridad de la Información

La dirección debería apoyar activamente la seguridad dentro de la organización por medio de un rumbo claro, el compromiso demostrado, una asignación explícita y el conocimiento de las responsabilidades de la seguridad de la información.

6.1.2 Coordinación de la seguridad de la Información

Las actividades de seguridad de la información deberían ser coordinadas por representantes de la organización con roles y funciones pertinentes.

6.1.3 Asignación de responsabilidades para la seguridad de la información

Se deberían definir claramente todas las responsabilidades en cuanto a seguridad de la información.


6.1.4 Proceso de autorización para los servicios de procesamiento de la información

6.1.5 Acuerdos sobre confidencialidad

6.1.6 Contacto con las autoridades

6.1.7 Contacto con grupos de interés especiales

6.1.8 Revisión independiente de la seguridad de la información

6.1 Organizaci6.1 Organizacióón internan interna


6.2 Partes externas6.2 Partes externas

6.2.1 Identificación de los riesgos relacionados con las partes externas

6.2.2 Abordar la seguridad cuando se trata con clientes

6.2.3 Abordar la seguridad en acuerdos con terceras partes


Responsabilidad por los activos

7.1.1 Inventario de activos

7.1.2 Propiedad de los activos

7.1.3 Uso aceptable de los activos

Clasificación de la información

7.2.1 Directrices de clasificación

7.2.2 Etiquetado y manejo de la información

7 Gesti7 Gestióón de activosn de activos


Ejemplo de inventario de activosEjemplo de inventario de activosValor

Identif. activo

Tipo de activo Propietario y ubicación C I A

XS1 Sistema operativo A

XS2 Sistema operativo B

XS3 Aplicación S/W y utilidades

… … …

XH1 Servidor Administrador del sistema

XH2 Computadores

… … …

XIS1 Sistema de información A Jefe de recursos humanos

XIS2 Sistema de información B Jefe del grupo de finanzas

… … …

XC1 Equipo de comunicaciones. Gerente de comunicaciones

… … …

XP1 CCTV Jefe de gestión de propiedad y oficina… … …


8.2 Durante la vigencia del contrato laboral8.2.1 Responsabilidades de la dirección 8.2.2 Educación, formación y concientización sobre seguridad de la información8.2.3 Proceso disciplinario

8.1 Antes de la contratación laboral8.1.1 Roles y responsabilidades8.1.2 Selección8.1.3 Términos y condiciones laborales

8.3 Terminación o cambio del contrato laboral8.3.1 Responsabilidades en la terminación 8.3.2 Devolución de activos 8.3.3 Retiro de los derechos de acceso

8 Seguridad de los recursos humanosantes, durante y al terminar el contrato laboral


9 Seguridad f9 Seguridad fíísicasica

Áreas seguras

9.1.1 Perímetro de seguridad física

9.1.2 Controles de acceso físico

9.1.3 Seguridad de oficinas, recintos e instalaciones

9.1.4 Protección contra amenazas externas y ambientales

9.1.5 Trabajo en áreas seguras

9.1.6 Áreas de carga, despacho y acceso público


9 Seguridad f9 Seguridad fíísicasica

Seguridad de los equipos

9.2.1 Ubicación y protección de los equipos

9.2.2 Servicios de soporte

9.2.3 Seguridad del cableado

9.2.4 Mantenimiento de los equipos

9.2.5 Seguridad de los equipos fuera de las instalaciones

9.2.6 Seguridad en la reutilización o eliminación de los equipos

9.2.7 Retiro de activos


10.2.1 Prestación del servicio

10.2.2 Monitoreo y revisión de los servicios por terceros

10.2.3 Gestión de los cambios en los servicios por terceras partes

Basado en BS 15000/ISOIEC 20000

10.2 Gesti10.2 Gestióón de la prestacin de la prestacióón del servicio por n del servicio por terceras partesterceras partes


Planificación y aceptación del sistema

10.3.1 Gestión de la capacidad

10.3.2 Aceptación del sistema

Protección contra códigos maliciosos y móviles

10.4.1 Controles contra códigos maliciosos

10.4.2 Controles contra códigos móviles

10.3 Planificaci10.3 Planificacióón y aceptacin y aceptacióón del sistema y n del sistema y 10.4 C10.4 Cóódigos maliciososdigos maliciosos


10.5 Respaldo

10.5.1 Respaldo de la información

10.6 Gestión de redes

10.6.1 Controles de redes

10.6.2 Seguridad de los servicios de redes

10.7 Manejo de la información

10.7.1 Gestión de medios removibles

10.7.2 Eliminación de los medios

10.7.3 Procedimientos para el manejo de la información

10.7.4 Seguridad de la documentación del sistema

Respaldo, gestiRespaldo, gestióón de redes y manejo de la n de redes y manejo de la informaciinformacióónn


10.8.1 Políticas y procedimientos para el intercambio de información

10.8.2 Acuerdos para el intercambio

10.8.3 Medios físicos en tránsito

10.8.4 Mensajería electrónica

10.8.5 Sistemas de información del negocio

10.8 Intercambio de la informaci10.8 Intercambio de la informacióónn


10.9.1 Comercio electrónico

10.9.2 Transacciones en línea

10.9.3 Sistemas disponibles públicamente

10.9 Servicios de comercio electr10.9 Servicios de comercio electróóniconico


10.10.1 Registro de auditorías

10.10.2 Monitoreo del uso del sistema

10.10.3 Protección de la información del registro

10.10.4 Registros del administrador y el operador

10.10.5 Registro de fallas

10.10.6 Sincronización de relojes

10.10 Monitoreo10.10 Monitoreo


11.1.1 Política de control de acceso

Se debería establecer, documentar y revisar la política de control de acceso con base en los requisitos del negocio y de la seguridad para el acceso

Política de control de acceso

Re

de

s y se

rvicio

s

Info

rma

ció

n y

ap

lica

cio

ne

s

Siste

ma

s o

pe

rativo

s

Derechos y privilegiosCuentas de usuario

Registro de usuariosResponsabilidades de usuarios

11.1 Requisitos del negocio para control del 11.1 Requisitos del negocio para control del accesoacceso


11.2.1 Registro de usuarios

11.2.2 Gestión de privilegios

11.2.3 Gestión de contraseñas para usuarios

11.2.4 Revisión de los derechos de acceso de los usuarios

11.2 Gesti11.2 Gestióón del acceso de usuariosn del acceso de usuarios


11.3.1 Uso de contraseñas

11.3.2 Equipo no atendido por usuarios

11.3.3 Política de escritorio y pantalla despejados

11.3 Responsabilidades de los usuarios11.3 Responsabilidades de los usuarios


11.4.1 Política sobre uso de servicios en red

11.4.2 Autenticación de usuarios para conexiones externas

11.4.3 Identificación de los equipos en las redes

11.4.4 Protección de los puertos de configuración y diagnóstico remoto

11.4.5 Separación en las redes

11.4.6 Control de conexión a las redes

11.4.7 Control del enrutamiento en la red

11.4 Control de acceso a las redes11.4 Control de acceso a las redes


11.5.1 Procedimientos de registro de inicio seguro

11.5.2 Identificación y autenticación de usuarios

11.5.3 Sistema de gestión de contraseñas

11.5.4 Uso de las utilidades del sistema

11.5.5 tiempo de la inactividad de la sesión

11.5.6 Limitación del tiempo de conexión

11.5 Control de acceso al sistema operativo11.5 Control de acceso al sistema operativo


11.6.1 Restricción del acceso a la información

11.6.2 Aislamiento de sistemas sensibles

11.6 Control de acceso a las aplicaciones y a la 11.6 Control de acceso a las aplicaciones y a la informaciinformacióónn


11.7.1 Computación y comunicaciones móviles

11.7.2 Trabajo remoto

network

11.7 Computaci11.7 Computacióón mn móóvil y trabajo remotovil y trabajo remoto


12.1.1 Análisis y especificación de los requisitos de seguridad

12.1 Requisitos de seguridad de los sistemas de 12.1 Requisitos de seguridad de los sistemas de informaciinformacióónn


12.2.1 Validación de los datos de entrada

12.2.2 Control de procesamiento interno

12.2.3 Integridad del mensaje

12.2.4 Validación de datos de salida

12.2 Procesamiento correcto en las aplicaciones12.2 Procesamiento correcto en las aplicaciones


12.3.1 Política sobre el uso de controles criptográficos

Encriptación

Firmas digitales

Servicios de no repudio

12.3.2 Gestión de claves

12.3 Controles criptogr12.3 Controles criptográáficosficos


12.4.1 Control del software operativo

12.4.2 Protección de los datos de prueba del sistema

12.4.3 Control de acceso al código fuente de los programas

12.4 Seguridad de los archivos del sistema12.4 Seguridad de los archivos del sistema


12.5.1 Procedimientos de control de cambios

12.5.2 Revisión técnica de las aplicaciones después de los cambios en el sistema operativo

12.5.3 Restricciones en los cambios a los paquetes de software

12.5.4 Fuga de información

12.5.5 Desarrollo de software contratado externamente

12.5 Seguridad en los procesos de desarrollo y 12.5 Seguridad en los procesos de desarrollo y soportesoporte


12.6.1 Control de las vulnerabilidades técnicas

Identificar las vulnerabilidades

Definir cómo reaccionar a esas vulnerabilidades

Ensayar cuidadosamente antes de instalar parches

Hacer seguimiento y auditar lo que se ha hecho

12.6 Gesti12.6 Gestióón de la vulnerabilidad tn de la vulnerabilidad téécnicacnica


Reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas

¿Está actualizado para enfrentar la siguiente invasión de ataques? Explotaciones el día cero

Día

s ha

sta

la e

xplo

taci

ón

2002 2003 2004

Slammer

Blaster

Nachi

Sasser

Gestión de la vulnerabilidad

12.6 Gesti12.6 Gestióón de la n de la vulnerabilidad tvulnerabilidad téécnicacnica


Al alinear con las definiciones de la ISO/IEC 18044, se establece la diferencia entre

Evento de seguridad de la Información – se identifica la ocurrencia de cualquier situación pertinente de seguridad de la información

Incidente de seguridad de la información –sólo se aplica a aquellos eventos que tienen una probabilidad significativa de causar un problema de seguridad

Enlaces a la ISO/IEC 18044Enlaces a la ISO/IEC 18044


13.1.1 Reporte sobre los eventos de seguridad de la información

13.1.2 Reporte sobre las debilidades en la seguridad

13.113.1 Reporte sobre los eventos y debilidades de Reporte sobre los eventos y debilidades de la seguridad de la informacila seguridad de la informacióónn


13.2.1 Responsabilidades y procedimientos

13.2.2 Aprendizaje debido a los incidentes de seguridad de la información

13.2.3 Recolección de evidencias

13.2 Gesti13.2 Gestióón de los incidentes y las mejoras n de los incidentes y las mejoras en la seguridad de la informacien la seguridad de la informacióónn


14.1.1 Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio

14.1.2 Continuidad del negocio y evaluación del impacto

14.1.3 Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información

14.1.4 Estructura para la planificación de la continuidad del negocio

14.1.5 Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio

14 Gesti14 Gestióón de la continuidad del negocion de la continuidad del negocio


Continuidad del negocio yContinuidad del negocio ySeguridad de la InformaciSeguridad de la Informacióónn

Estructura para continuidad del negocioProcesos de gestión del riesgo

Desarrollo de planes, directrices y políticasImplementación de estos planesPruebas y revisión de los planes

Proceso de gestión

de la seguridad

de la Información

ContinuidadGeneral Del negocio


15 Cumplimiento15 Cumplimiento

15.1 Cumplimiento de los requisitos legales

15.1.1 Identificación de la legislación aplicable

15.1.2 Derechos de propiedad intelectual (DPI)

15.1.3 Protección de los registros de la organización

15.1.4 Protección de los datos y privacidad de la información personal

15.1.5 Prevención del uso inadecuado de los servicios de procesamiento de información

15.1.6 Reglamentación de los controles criptográficos


15 Cumplimiento15 Cumplimiento

15.2 Cumplimiento de las políticas y las normas de seguridad y cumplimiento técnico

15.2.1 Cumplimiento de las políticas y normas de seguridad

15.2.2 Verificación del cumplimiento técnico

15.3 Consideraciones de la auditoría de los sistemas de información

15.3.1 Controles de auditoría de los sistemas de información

15.3.2 Protección de las herramientas de auditoría de los sistemas de información


173

Más acerca de la Familia

de Normas 27000

Más acerca de la Familia

de Normas 27000


Decisión reciente: concentrarse sólo en el tema de la “implementación” , sin discusión sobre la fase de VERIFICAR y ACTUAR del SGSI

Acuerdos de diseño:

No se especifica el contenido mínimo ni se definen requisitos para la implementación

No hay formas particulares de implementar un SGSI

Ejemplos, estudios de casos

ISO/IEC 27003 ISO/IEC 27003 –– VisiVisióón generaln general


Compromiso de la dirección

Buen gobierno dentro de la organización

Consideraciones financieras

Consideraciones específicas de un sector/industria

Consideración de la situación de riesgo global

Cooperación con otras organizaciones

Reconocimiento de la necesidad de cambios y actualizaciones

Factores de Factores de ééxito crxito crííticos ticos


Integración con otros sistemas de gestión

Identificación de los elementos comunes, por ejemplo, en la parte de “sistema de gestión”

Responsabilidad por los otros sistemas de gestión

Identificación clara de toda la documentación del SGSI (exigida en la ISO/IEC 27006)

Cumplimiento de leyes y reglamentos

Importante para identificar todas las leyes y reglamentos aplicables

Inclusión en los requisitos en la etapa “planificar”

Aspectos relacionadosAspectos relacionados


Todos los capítulos que abordan la implementación del flujo de trabajo tienen la misma estructura

Visión general

Objetivos

Precondiciones

Organización del trabajo

¿A quién involucrar?

¿Cómo se hace?

Resultados

Estructura de los capEstructura de los capíítulostulos


Fase PlanificarFase Planificar

Requisitos para proteger los activos de las organizaciones

Hacer análisis del negocio

Hacer análisis de brecha

7.3

Hacer valoración del riesgo

Redactar la política de seguridad de inform.

Establecer la declaración de aplicabilidad

Controles apropiados

Declaración de aplicabilidad

La fase Planificar tiene varios pasos que se deberían seguir para la implementación de este proceso. Cada paso brinda entradas al paso siguiente, en un flujo lógico. Este procedimiento paso a paso se ejemplifica en esta sección mediante diagramas de flujo. Cada paso se describe de manera que una organización que no esté familiarizada con seguridad de la información y/o normas de gestión de la ISO pueda entender lo que se pretende.

Área de navegación

Figura 7.1 Proceso para la fase de planificación


Recolectar información para establecer el SGSI

Definir el alcance y los límites del SGSI

Interfaces y dependencias

Definir la política del SGSI

Planificación de las estructuras organizacionales

Compromiso de la dirección

Identificación del enfoque global a la seguridad de la información

AnAnáálisis del negociolisis del negocio


Estructura organizacionalEstructura organizacional

Miembros con roles exclusivos,

Consultores permanentes

Comité de seguridad de la información

Dirección

• Elaborar una carta de designación

• Respaldar

• Ajustar

• Respaldar

Equipo de planificación de seguridad de la información

Asesorar

Depto. de sistemas

Depto. de Recursos Humanos

Depto. Administrativo

Depto. Contabilidad Depto. auditoría Depto. gestión edificio e

instalaciones


Identificación del nivel de actividades y controles de seguridad existentes

Basado en

ISO/IEC 27001 para procesos del sistema de gestión

ISO/IEC 27002 para controles de Seguridad de la Información

Determinación de los grados de implementación

Entrevistas, discusiones, cuestionarios, recorridos

Hablar a diferentes niveles de personal en la organización

AnAnáálisis de brechalisis de brecha


Son pre-condiciones necesarias el establecimiento del contexto del negocio y la realización de un análisis de brecha

La ISO/IEC 27005 explica más acerca de cómo hacer una valoración del riesgo

¿A quién involucrar?

Alta dirección

Gerencias

Dueños del proceso y

Usuarios “normales”

ValoraciValoracióón del riesgon del riesgo


Desarrollo de una Política de Seguridad de la Información

Con base en los resultados previos

El contenido como se describe en la ISO/IEC 27002

El alcance de la Política de Seguridad de la Información podría ser el mismo que para el SGSI, o más grande

Tamaño recomendado: 2-4 páginas

Se debería hacer referencia a documentación más detallada

Ona forma: hipervínculos

PolPolíítica de Seguridad de la Informacitica de Seguridad de la Informacióónn


La declaración de aplicabilidad incluye

Todos los controles seleccionados (con referencia al Anexo A de la ISO/IEC 27001) y las razones para su selección

Todos los controles existentes (se recomienda también relacionarlos con los riesgos identificados)

Todos los controles del Anexo A de la ISO/IEC 27001 que no han sido seleccionados y una justificación para no seleccionarlos

Se pueden incluir controles de otras fuentes (se recomienda también relacionarlos con los riesgos identificados)

DeclaraciDeclaracióón de aplicabilidadn de aplicabilidad


Fase HACERFase HACERLa fase Hacer tiene varios pasos que se deberían seguir para la implementación de este proceso. Cada paso brinda entradas al paso siguiente, en un flujo lógico. Este procedimiento paso a paso se ejemplifica en esta sección mediante diagramas de flujo. Cada paso se describe de manera que una organización que no esté familiarizada con seguridad de la información y/o normas de gestión de la ISO pueda entender lo que se pretende.

Área de navegación

Política de SGSI

Declaración de aplicabilidad

Controles apropiados

Normas y proced. de seguridad de la información 8.2

Implementac. Controles de SGSI

Implementac. de programas de formación y concientización8.4

Gestión de recursos para el SGSI

8.5 SGSI en operación


Alcance

Brindar orientación sobre el desarrollo y uso de medidas para evaluar la eficacia de sus procesos, objetivos de control y controles de SGSI, como se especifica en la ISO/IEC 27001

Introducción en la que se explican las partes principales del programa de medición

Visión general de la gestión para facilitar su comprensión, especialmente para las pymes



Programa de mediciPrograma de medicióónn

Implementar modificaciones (numeral 10.4)

Autoridad para el programa de SGSI

Establecimiento del programa de GSIObjetivos y modelo de medición (numeral 5)Responsabilidades de gestión (numeral 6)Recursos, formación, toma de conciencia y competenciaMedidas y desarrollo de mediciones (numeral 7)

[4.2.2.e]

Implementación del programa de GSIProgramación de mediciones evaluación y selección del personal de medicióndirección de las actividades de mediciónmantenimiento de registros[4.2.3]

Monitoreo y revisión del programa de GSI(numeral 10)Monitoreo y revisiónIdentificar necesidades de acciones correctivas y preventivas

Identificar oportunidades de mejora

Actividades de mediciónOperación de medición (numeral 8)análisis y reporte de mediciones (numeral 9)

Planificar

Actuar Basado en las decisiones y acciones de los resultados de la revisión por la dirección

(7.3)

Hacer

Verificar


Medidas básicas

Resultan de aplicar métodos de medición a atributos de objetos de medición

Medidas derivadas

Se definen mediante la aplicación de la función de medición a una o más medidas de bases

Indicadores

Se obtienen mediante la aplicación de un modelo analítico a las medidas derivadas

Resultados de las mediciones

Se evalúan mediante la interpretación de indicadores aplicables con base en criterios de definición definidos

Modelo de mediciModelo de medicióónn


Objeto de la medición: bases de datos de empleados

Atributo: registros de los empleados

Método de medición: Búsqueda en la base de datos, para extraer el número de empleados de la base de datos de seguimiento a la concientización y formación en seguridad

Medida básica: Número de empleados que recibieron concientización y formación en seguridad

Medidas bMedidas báásicassicas


Medida básica: Número de empleados que recibieron concientización y formación en seguridad, y que firmaron acuerdos de usuario

Función de medición: Se divide el número de empleados que recibieron formación y concientización en seguridad y que firmaron acuerdos de usuario, por el número de empleados que firmaron acuerdos de usuario, y se multiplica por el 100%

Medida derivada: Porcentaje de empleados que recibieron concientización y formación en seguridad y que firmaron acuerdos de usuario

Medida derivadaMedida derivada


Medida derivada: Porcentaje de empleados que recibieron concientización y formación en seguridad y que firmaron acuerdos de usuario.

Modelo analítico: se definen los niveles porcentuales a los cuales el indicador toma un color ROJO, AMARILLO, VERDE

Ejemplo:

95% o más - VERDE

90% o más – AMARILLO

Menos de 90 % - ROJO

IndicadoresIndicadores


Indicadores: Verde, Amarillo o Rojo, dependiendo de los resultados de la medida derivada

Criterios de decisión: Describe el límite para emprender acciones – dependiendo de la medida usada, esto puede variar

Resultado de la medición:

La situación no requiere cambios

La situación se debería considerar para revisión

La situación debería mejorar

Resultados de la mediciResultados de la medicióónn


Identificar una necesidad de informaciónIdentificación del objeto de mediciónDesarrollo de la medición

Método y función de la mediciónSelección y validación de atributosModelo analíticoIndicadores y formatos de reporteCriterios de decisión

Validación de la mediciónRecolección, análisis y reporte de datosDocumentación

Desarrollo de medidasDesarrollo de medidas


Control 11.3.1 “Se espera que los usuarios seleccionen contraseñas adecuadas”

Propósito: Evaluar la calidad de las contraseñas seleccionadas por los usuarios

Objeto y atributo de la medición: Cuentas de los empleados y contraseñas individuales

Ejemplo: Calidad de las contraseEjemplo: Calidad de las contraseññas (1)as (1)


Medidas básicas:

Número de contraseñas descifrables

Número total de registros de cuentas de empleados

Tiempo que toma “romper” la contraseña

Métodos de medición:

Correr herramientas de desciframiento de contraseñas

Hacer la búsqueda en los registros de cuentas de los empleados

Medir el tiempo que toma descifrar la contraseña

ExampleExample: : QualityQuality ofof PasswordsPasswords (1)(1)Ejemplo: Calidad de las contraseEjemplo: Calidad de las contraseññas (1)as (1)


Descripción y muestra de indicadores (como en la 27004):

Línea de tendencias que describe la descifrabilidad de las contraseñas para todos los registros ensayados, con líneas superpuestas producidas durante ensayos anteriores

Mi sugerencia: 1% o menos – VERDE

10% o menos – AMARILLO

Más del 10% - ROJO

Ejemplo: Calidad de contraseEjemplo: Calidad de contraseññas (4) as (4) –– IndicadoresIndicadores


Acciones por tomar si se descifra alguna contraseña; esta medición necesita hacerse de nuevo en 30 días

VERDE: contactar a los individuos e incrementar la concientización

AMARILLO: Instalar un juego de computador que despierte la conciencia y enfatice la importancia, y asegurar que lo jueguen

ROJO: Iniciar la formación de concientización para todos los empleados

Ejemplo: Calidad de las contraseEjemplo: Calidad de las contraseññas (4) as (4) ––Criterios de decisiCriterios de decisióón y accionesn y acciones


Ejemplo Ejemplo Hoja de mediciHoja de medicióón (1)n (1)

Métrica: Totalidad y corrección del inventario de activos

Alcance de la métrica: Esta métrica brinda una medida de lo correcto, completo y actualizado que está el registro de activos. La métrica se aplica en toda la organización.

Propósito y

objetivos:

El objetivo de esta métrica es asegurar la gestión correcta de un inventario de activos.

Método de medición: La medición funciona acumulando un punto menos para cada uno de los activos que se han encontrado y que no están en el registro de activos, o activos que siguen estando en el registro aunque ya hayan salido de la organización.

El valor ideal es 100, y para cada activo que no está o que estáincorrectamente en el inventario, se resta 1 del valor ideal.

La misma medición se aplica para la corrección de la entrada, y se resta 1 punto del valor ideal, por cualquier entrada incorrecta encontrada.



Frecuencia de la medición:

Esta medición se realiza una vez cada tres meses – una frecuencia menor sería muy dispendiosa, y está a tiempo para el informe trimestral que se presenta a la organización principal.

Procedimientos para las fuentes de datos y recolección de datos:

Completos y actualizados hasta la fecha:El inventario de activos corrientes se examina, se examinan de nuevo todos los otros inventarios, es decir, los de hardware y de software.Verificaciones puntuales; se selecciona una división en cada verificación y se examina cuidadosamente si hay activos en esa división que no están en el inventario.Se verifican los protocolos desde el punto de entrega, para asegurar que los activos que entran al sitio han sido incluidos en el registro de activos.Los protocolos de los activos que salen del sitio se cotejan contra el registro de activos.Los protocolos de disposición de activos se cotejan contra el registro de activos.



Procedimientos para las fuentes de datos y recolección de datos:

Fuente de datos para determinar que las entradas son correctas:

Se verifica que los activos bajo revisión tengan un dueño asignado a ellos, y que sea el dueño correcto de ese activo.

Se verifica que la ubicación y descripción del activo estén incluidos correctamente en el inventario de activos.

Los valores de los activos en el inventario de activos (expresando el daño a un negocio por una pérdida de confidencialidad, integridad y/o disponibilidad) se discuten conel dueño del activo para verificar que son correctos.

Se pregunta a los dueños de los activos acerca del procedimiento para actualizar las entradas de sus activos en el inventario de activos, y se verifican los registros de las últimas actualizaciones.



Indicadores: Indicador de metas: los resultados de las mediciones indican los siguientes grados de cumplimiento de la meta de lograr un registro de activos completo, correcto y actualizado:100 – 98: bueno – significa que el registro de activos es correcto, con 2 desviaciones máximo.97 – 93: aceptable – significa que se deberían hacer algunas mejoras en el futuro; la acción de seguimiento exacta depende de las causas de los errores.Menos de 93: no es aceptable – es necesario corregir el registro de activos y se deberían tomar acciones preventivas para evitar que este mal resultado ocurra nuevamente.

Indicador de impacto: Se deberían examinar los activos cuya entrada no se encuentre en el inventario de activos o sea incorrecta; si al menos uno de los valores de los activos (incorrectos) es “alto”, esto indica que se debería examinar más a fondo. En todos los otros casos son suficientes las metas de desempeño normales y no se necesitan otros indicadores de impacto.


GuGuíía ISO 27001 a ISO 27001


203

Normas específicas para sectores

Normas específicas para sectores


TelecomunicacionesTelecomunicaciones

El grupo de normas UIT-T, Cuestión 7/17, desarrolló la norma X.1051 “Informationsecurity management guidelines fortelecommunications based on ISO/IEC 27002”

El objetivo es apoyar la implementación de la ISO/IEC 27002 en el sector de las telecomunicaciones


TelecomunicacionesTelecomunicaciones

La norma contiene:

Una visión general que presenta la estructura dentro de la que opera

Versiones ampliadas de los controles de la ISO/IEC 27002 para el tema de las telecomunicaciones

Esta norma ha sido adoptada por el SC 27 como ISO/IEC 27011 (en proceso de publicación)


El comité TC 215 de normas sobre salud estádesarrollando una norma que está basada en la ISO/IEC 27001 y la ISO/IEC 27002 (en etapa DIS) “Health informatics -- Security management in health using ISO/IEC 27002”

Contiene una mezcla de requisitos y directrices de ambas normas del SGSI

SaludSalud


SC 27/WG 1 (el que desarrolla la serie 27000) ha trabajado normas de SGSI para sectores específicos, para

Gobierno de TI

Infraestructuras críticas

Sector financiero

….

Desarrollos en el SC 27Desarrollos en el SC 27


¿¿Por quPor quéé manejar los incidentes?manejar los incidentes?

No importa qué tan bueno sea el SGSI – se presentan errores…

No importa lo perfectos que sean los controles –nuevas amenazas o tecnologías podrían llegar antes de usted pueda reaccionar

No hay 100% de seguridad

¡Siempre ocurrirán incidentes!


¿¿Por quPor quéé manejar los incidentes?manejar los incidentes?

Por tanto, una organización necesita contar con un proceso implementado para:

Detección y reporte de incidentes

Valorar el incidente y reaccionar de acuerdo con esto

Identificar qué salió mal y por qué ocurrió el incidente

Limitar el daño

Implementar controles para mejorar o prevenir


Ejemplo de incidente Ejemplo de incidente ––NegaciNegacióón de servicion de servicio

Ataque distribuido de negación de servicio

Gusano similar al Código Rojo

Alrededor de 40.000 servidores en Asia fueron desconectados

Se utilizó la vulnerabilidad al “MS SQL server”

Se conocía la vulnerabilidad y había un parche disponible

No se instalaron los parches

Las descargas e instalaciones anti-pánico causaron incluso más problemas en la red


ConcientizaciConcientizacióónn

Información técnica acerca de incidentes

CERT

FIRST

Microsoft

Varias organizaciones de software de seguridad

Información orientada a los técnicos y a la dirección

NIST

SANS

Encuestas DTI sobre Violaciones a la Seguridad de la Información


Manejo de incidentes de seguridad de la Información

Apoya los controles para manejo de incidentes, de la ISO/IEC 17799

Incluye plantillas y más asesoría técnica sobre cómo implementar programas de manejo de incidentes

Publicada desde el año 2005

ISO/IEC 18048



Proceso de gestiProceso de gestióón de incidentesn de incidentes

Existe un proceso para la gestión de incidentes de seguridad de la información

Se ajusta bien al modelo PHVA descrito en la ISO/IEC 27001

Planificar y Preparar

Usar la gestiónde incidentes

revisarlosincidentes

Mejorarel proceso


Planificar y preparar (1)Planificar y preparar (1)

Obtener el compromiso de la alta dirección y cualquier otra parte interesada importante

Desarrollar una política de gestión de incidentes

Desarrollar un programa de gestión de incidentes para apoyar la política, que incluya:

Herramientas de detección y formatos de reporte

Procedimientos para evaluar incidentes y tomar decisiones

Procedimientos para responder a incidentes

Detalles de una escala de severidad de los incidentes


Planificar y preparar (2)Planificar y preparar (2)

Actualizar todos los otros documentos (políticas, procedimientos) que deberían hacer referencia a la política de gestión de incidentes

Establecer una estructura organizacional para apoyar la gestión de incidentes, por ejemplo:

Equipo de Respuesta a Incidentes de Seguridad de la Información (ERISI)

Todos los roles y responsabilidades necesarios

Puntos de contacto en caso de un incidente

Implementar para todos formación en concientización

Poner a prueba el programa de gestión de incidentes


Detectar y reportar cualquier ocurrencia de eventos de seguridadde la información

Recolectar toda la información pertinente acerca de eventos de seguridad de la información

Evaluar si el evento es realmente un incidente

Responder a todos los incidentes lo más rápido posible y limitar el daño, si es posible, por ejemplo,

Reiniciar sistemas

Iniciar reparaciones o actualizaciones

Instalar respaldos

Comenzar procedimientos de recuperación de desastres

Usar la gestiUsar la gestióón de incidentes (1)n de incidentes (1)


Si no es posible responder exitosamente a un incidente, iniciar actividades de crisis (tales como un plan de continuidad del negocio)

Comunicar el incidente y cualquier detalle necesario a las personas y organizaciones pertinentes

Incluir a las autoridades externas, si es necesario

Recolectar toda la información importante para realizar los análisis

Generar registros de todas las actividades

Cerrar el incidente

Utilizar la gestiUtilizar la gestióón de incidentes (2)n de incidentes (2)


Revisar los incidentesRevisar los incidentes

Realizar análisis forenses si se necesita más información

Identificar las lecciones aprendidas de los incidentes

Identificar acciones de mejora

Identificar cualquier mejora necesaria para el programa de gestión de incidentes, por ejemplo, para:

Procedimientos o procesos

Formas de respuesta a eventos o incidentes

Estructuras organizacionales


Mejorar el procesoMejorar el proceso

Revisar la política y el programa de gestión de incidentes con base en

Re-valoraciones de los riesgos

Revisiones por la dirección o auditorías internas

Cualquier otra revisión que muestre necesidad de mejoras

Hacer todas las mejoras identificadas

Asegurar que las mejoras logran sus objetivos

Importante: ¡los procesos de gestión de incidentes son iterativos!


ImplementaciImplementacióón del ERISI (1)n del ERISI (1)

El tamaño y la estructura dependen de la organización

Equipo virtual o real

Con o sin participación directa de la alta dirección

Un conjunto típico de miembros son

Operaciones comerciales

TI/Telecomunicaciones

Seguridad de la Información

Recursos humanos

Auditoría


ImplementaciImplementacióón del ERISI (2)n del ERISI (2)

Asegurar que los puntos de contacto y los miembros del equipo estén disponibles cuando sea necesario

El ERISI debería tener:

La autoridad para tomar decisiones sobre cómo hacer frente a los incidentes

Línea de reporte directa con la dirección

El conjunto de habilidades y conocimientos requeridos

Procedimientos implementados para asignar tareas a los miembros más competentes del equipo


Beneficios de la gestiBeneficios de la gestióón de seguridad de la n de seguridad de la informaciinformacióónn

Mejoras a la Seguridad de la Información

Reducción de daño por incidentes

Reducción de recurrencia de los incidentes

Recolección de evidencia

Contribución a toma de decisiones posteriores, por ejemplo, sobre prioridades o presupuestos

Mejoras a los resultados de la valoración del riesgo

Obtención de material realista para formacion en concientización


Aspectos claves de Aspectos claves de ééxito (1)xito (1)

El compromiso de la dirección con la gestión de incidentes (como parte del compromiso general de la organización con el SGSI)

Concientización de todos en la organización

Cómo reportar eventos

A quién contactar en caso de eventos

Por qué es importante reportar

Beneficios de reportar los eventos


Aspectos claves de Aspectos claves de ééxito (2)xito (2)Cumplimiento de todos los requisitos legales, reglamentarios y contractuales

Identificación de toda la legislación pertinente

Protección de datos y aspectos sobre privacidad

Monitoreo legalmente correcto

Cumplimiento de requisitos contractuales

Contacto con los organismos que velan por el cumplimiento de la ley

Abordar adecuadamente los temas de responsabilidad

Mantenimiento de registros organizacionales

Hacer acuerdos de confidencialidad ejecutables


Aspectos claves de Aspectos claves de ééxito (3)xito (3)

El anonimato, por ejemplo, en relación con la información que se aporta para el proceso de gestión de incidentes

Confidencialidad de cualquier información delicada involucrada en el proceso de gestión de incidentes

Respuesta oportuna que mantiene informadas a las personas

Operación creíble y fidedigna


http://www.iso.org

¡Gracias por su atención !

Documents

Seminario Iso 27001