SEGURIDAD
SEGURIDAD
INFORMATICA
INFORMATICA
ISO 27001
ISO 27001
1: Princi1: Principios fundamepios fundamentntales de ales de la Segurila Seguridaddad
de la
de la InfInformaciónormación
2: 2: Estándar y Estándar y Marco Marco NormativoNormativo
3: Impleme3: Implementntación de ación de la Norma la Norma ISO 27001ISO 27001
Agenda
1: Princi1: Principios fundamepios fundamentntales de ales de la Segurila Seguridaddad
de la
de la InfInformaciónormación
2: 2: Estándar y Estándar y Marco Marco NormativoNormativo
3: Impleme3: Implementntación de ación de la Norma la Norma ISO 27001ISO 27001
Agenda
Principios fundament
Principios fundamentales ales de lade la
Seguridad de
Seguridad de la Informaciónla Información
Sección
• El término seguridad proviene
de la palabra securitas del latín.
• Cotidianamente se puede referir
a la seguridad como la reducción del riesgo o también a la
confianza en algo o alguien.
• Sin embargo, el término puede
tomar diversos sentidos según el área o campo a la que haga referencia.
• Información: Datos significativos
• Activo: Cualquier bien que tiene valor
• Las organizaciones poseen información que deben
proteger frente a riesgos y amenazas para asegurar el correcto funcionamiento de su negocio.
• Este tipo de información imprescindible para las
empresas es lo que se denomina activo de información.
Tipos de Activos de Información
o Servicios: Procesos de negocio de la organización o Datos/Información: Que son manipulados dentro
de la organización, suelen ser el núcleo del sistema, los demás activos les dan soporte.
o Aplicaciones (Software)
o Equipo Informático (Hardware) o Personal
o Redes de Comunicación o Soporte de Información o Equipamiento Auxiliar o Instalaciones
•
• Documento: Documento: Inf Información y su ormación y su medio de soportemedio de soporte
•
• Registro: Registro: Documento que indique los resultados Documento que indique los resultados
obteni
obtenidos dos o proporcione evidencia de las actividadeso proporcione evidencia de las actividades
desempeñadas
LaLa seg segururidaidad d de de la la ininfforormamacióciónn es el conjunto de es el conjunto de
medidas preventivas y reactivas de las organizaciones que
medidas preventivas y reactivas de las organizaciones que
p
peerrmmiitteen n rreessgguuaarrddaar r y y pprrootteeggeer r lla a iinnffoorrmmaacciióónn,,
busc
buscando ando manmantetener ner las las didimenmensionsiones es (c(confonfideidencincialidalidad,ad,
d
diissppoonniibbiilliiddaad d e e iinntteeggrriiddaadd) ) dde e lla a mmiissmma a ..
Nota: Nota: TTambién pueden participar ambién pueden participar otras otras propiedades,propiedades,como la autcomo la autenticidad,enticidad,
la responsabilidad,
Abarca todo tipo de información
Abarca todo tipo de información
ImpImpreresa sa o eso escritcritaa a maa manono
Grabada con asistencia técnica Grabada con asistencia técnica
TTransmitida por cransmitida por correo orreo electrónicoelectrónico o o electrónicamenteelectrónicamente
Incluida en Incluida en un sitio wun sitio webeb
Mostrada Mostrada en videos corporen videos corporativosativos
Mencionada durante las conversaciones Mencionada durante las conversaciones
Etc.
• La confidencialidad es la propiedad que impide la
divulgación de información a personas o sistemas no autorizados.
• A grandes rasgos, asegura el acceso a la información
únicamente a aquellas personas que cuenten con la debida autorización.
• Es la propiedad que busca mantener los datos libres
de modificaciones no autorizadas.
• La integridad es mantener con exactitud la
información tal cual fue generada, sin ser
manipulada o alterada por personas o procesos no autorizados.
• La disponibilidad es la característica, cualidad o
condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.
• La disponibilidad es el acceso a la información y a los
sistemas por personas autorizadas en el momento que así lo requieran.
• La debilidad de un activo o de un control que puede
ser explotada por una o más amenazas.
• Las vulnerabilidades pueden ser intrínsecas o
Amenazas
• Una Amenaza es la posibilidad de
ocurrencia de cualquier tipo de evento o acción que puede producir un daño (material o inmaterial) sobre los Elementos de Información
.
Análisis de Riesgos
Relación: Vulnerabilidad y Amenaza
Cambio adverso importante en el nivel de los objetivos de negocios logrados
Información
• Potencialidad de que una amenaza explote una
vulnerabilidad en un activo o grupo de activos y por lo tanto causará daño a la organización
Probabilidad de
Ocurrencia
Consecuencia
Impacto y la Probabilidad
• zona 1 – riesgos muy probables
y de muy alto impacto
• zona 2 – franja amarilla: cubre
un amplio rango desde
situaciones improbables y de impacto medio, hasta
situaciones muy probables pero de impacto bajo o muy bajo
• zona 3 – riesgos improbables y
de bajo impacto
• zona 4 – riesgos improbables
Objetivo de Control
• Declaración de describir lo que se quiere lograr como
resultado de los controles de aplicación
Control
• Métodos para gestionar a riesgo
• Incluye las políticas, procedimientos, directrices y
prácticas o estructuras organizativas
Control preventivo
Desalentar o evitar la aparición de problemas
Ejemplos:
• Publicación de la política de seguridad de la información. • Hacer que socios y empleados firmen un acuerdo de
confidencialidad.
• Establecer y mantener contactos apropiados con los
grupos de especialistas en seguridad de la información.
• Contratar sólo personal calificado.
Control de investigación
Buscar e identificar anomalías Ejemplos:
• Controles en trabajos de producción.
• Control de ecos en las telecomunicaciones.
• Alarmas para detectar el calor, humo, fuego o riesgos relacionados
con el agua.
• Verificación de los dobles cálculos.
• Cámaras de vídeo.
Control correctivo
Evitar la repetición de anomalías Ejemplos:
• Implementar planes de emergencia con la formación,
concienciación, pruebas, procedimientos y actividades de mantenimiento necesarios.
• Procedimientos de emergencia, tales como copias de
seguridad periódicas, el almacenamiento en un lugar seguro y la recuperación de las transacciones.
Las Relaciones entre Conceptos de
Gestión de Riesgos
Estándar y Marco Normativo
¿Qué es ISO?
• ISO es una red de organismos nacionales de
estandarización de mas de 160 países.
• Los resultados finales de los trabajos realizados por
ISO son publicados como normas internacionales
Básicos de las Normas ISO
Representación igualitaria: 1 voto por país
Adhesión voluntaria: ISO no tiene la autoridad para forzar la adopción de sus normas
Orientación al negocio: ISO sólo desarrolla
normas para las que existe demanda del mercado
Enfoque de consenso: busca un amplio consenso entre las distintas partes interesadas
Cooperación internacional: más de 160 países además de organismos de enlace
Principios
Básicos de las Normas ISO
• Un sistema de gestión es una estructura
probada para la gestión y mejora
continua de las políticas, los
procedimientos y procesos de la organización.
• Un sistema de gestión ayuda a lograr los
objetivos de la organización mediante una serie de estrategias, que incluyen la
optimización de procesos, el enfoque centrado en la gestión y el pensamiento
SISTEMA DE GESTION SALUD Y SEGURIDAD TRABAJO OHSAS 18001 CALIDAD ISO 9001 AMBIENTALISO ISO 14001 SEGURIDAD DE LA INFORMACION ISO 27001
• Un SGSI (Sistema de Gestión de Seguridad de la
Información) proporciona un modelo para establecer,
implementar, operar, monitorear, revisar, mantener y
mejorar la protección de los activos de información para
lograr objetivos de negocio.
• El análisis de los requisitos para la protección de los
activos de información y la aplicación de controles
adecuados para garantizar la protección de estos activos de información, contribuye a la exitosa implementación de un SGSI.
El Sistema de Gestión de la Seguridad de la
Información (SGSI) en las empresas ayuda a
establecer estas políticas, procedimientos y
controles en relación a los objetivos de negocio
de la organización.
• El circulo de DEMING se constituye como una de las
principales herramientas para lograr la mejora continua en las organizaciones o empresas que desean aplicar a la excelencia sistemas de gestion.
• El conocido Ciclo Deming o también se le denomina el
ciclo PHVA que quiere decir según las iniciales
(planear, hacer, verificar y actuar) o ingles PDCA (Plan, Do, Check, Act)
ISO 27000
V o c a b u l a r i o R e q u i s i t o s G e n e r a l i d a d e s d u s t r i a ISO 27000 Vocabulario ISO 27001 Requisitos del SGSI ISO 27004 Métricas ISO 27002 Código buenas practicas ISO 27003 Guía de Implementación ISO 27005 Gestión de Riesgos ISO 27007-27008 Guías de Auditoria ISO 270XX Vocabulario ISO 27011 Telecomunicaciones ISO 27799 Salud ISO 27009 Requisitos organización certificadora• Especifica los requisitos de gestión
de un SGSI (Cláusula 4 a 10)
• Los requisitos (cláusulas) son
escritos utilizando el verbo "deberán" en imperativo
• Anexo A: 14 cláusulas que
contienen 35 objetivos de control y 114 controles
• La organización puede ser
• Guía para el código de prácticas para los
controles de la seguridad de la
información (Documento de referencia)
• Cláusulas escritas utilizando el verbo
"debería"
• Compuesto de 14 cláusulas, 35 objetivos
de control y 114 controles
• Una organización no puede ser certificada
en esta norma
• Guía para el código de prácticas para
la implementación de un SGSI
• Documento de referencia para ser
utilizado con las normas ISO 27001 e ISO 27002
• Consta de 9 cláusulas que definen 28
etapas para implementar un SGSI
• La certificación con esta norma no es
Historia de la Norma
ISO 27001
ISO 27001
Clausula 7 Clausula 4 Contexto de la organización Clausula 5 Clausula 5 Planificación Clausula 8 Funcionamiento Clausula 10 Mejora Clausula 9 Evaluación del desempeñoImplemen
Implementacióntaciónde la Node la Norma ISO 2700rma ISO 270011
Sección
•
• La aplicación del enfLa aplicación del enfoque de proceso voque de proceso variará de unaariará de una
organización a otra en función de su tamaño,
organización a otra en función de su tamaño,
compl
complejidad y ejidad y actividadesactividades
•
• A A menudo las menudo las organizorganizaciones identifican aciones identifican demasiademasiadosdos
procesos
procesos
•
• Los prLos procesos se pueden deocesos se pueden definir como ufinir como un grupo lógicon grupo lógico
de tareas relacionadas entre sí, para alcanzar un
de tareas relacionadas entre sí, para alcanzar un
objetivo definido.
1. Creación
1. Creación
2. Identificación
2. Identificación
3. Clasi
3. Clasificaciónficacióny seguriy seguridaddad
4. Modificación 4. Modificación 5. Aprobación 5. Aprobación 6. Distribución 6. Distribución 7. Uso adecuado 7. Uso adecuado 8. Archivado 8. Archivado
• Información y
documentación. Sistemas de gestión para
documentos. Requisitos
• La organización puede ser
La implantación de un Sistema de Gestión
de Seguridad de la Información es una
decisión estratégica que debe involucrar
a toda la organización y que debe ser
apoyada y dirigida desde la dirección
• Compromiso de la dirección • Planificación
• Fechas
• Responsables
• Definir alcance del SGSI • Definir Política de Seguridad • Metodología de evaluación de riesgos. • Inventarios de activos • Identificar amenazas y vulnerabilidades • Identificar Impactos
• Análisis y evaluación de riesgos • Selección de controlesy SOA
• Revisar el SGSI
Medir eficacia de los controles
• Definir plan de tratamiento de
riesgos
• Implantar plan de tratamiento
de riesgos • Implementar controles • Formacióny concienciación • Operar el SGSI • Implantar mejoras • Acciones correctivas • Acciones Preventivas • Comprobar eficacia de las
Definición del enfoque para la aplicación del SGSI
• Velocidad de Implementación
• Nivel de madurez del proceso y controles • Expectativas y ámbito
Selección de un marco metodológico
• Metodología para gestionar el proyecto (PMBOK)
Alineación con las mejores practicas
• ISO 27001 • ISO 27002 • ISO 27003 • ISO 27004
Es importante determinar en que nivel se encuentra la organización, para ello
CMM muestra la madurez de una organización
basándose en la capacidad de sus procesos
Desarrollar las actividades principales para la dirección e inicio de la implantación del SGSI.
• Obtener el apoyo institucional
• Determinar el alcance del Sistema de Gestión
de Seguridad de la Información
• Determinar la declaración de Política de Seguridad
de la Información y objetivos
• Determinar criterios para la evaluación y
Institucional
•
Existen 4 ejes de apoyo para sustentar el
apoyo institucional, estos son:
1. Cumplimiento
2. Protección de Procesos de Negocio 3. Disminución de incidentes
AREAS FUNCIONALES OSI OFICIAL DE SEGURIDAD DE LA INFORMACION
ROLES
COSI COMITÉ TÉCNICO DE SEGURIDAD DE LA INFORMACION CGSI COMITÉ DE GESTION DE SEGURIDAD DE LA INFORMACION SI SF El Comité de Gestión de Seguridad de la Información es el máximo
órgano consultivo de carácter no técnico sobre la seguridad de la información.
Se reunirá por lo menos una vez al mes para evaluar la situación
institucional en materia de seguridad de la información y el plan de acción para mejorarla continuamente.
Las funciones del Comité de Gestión de Seguridad de la
Información son las siguientes:
• Informar la situación Institucional en materia de seguridad de la información. • Proponer la designación del Oficial de Seguridad de la Información.
• Designar a los miembros del Comité Técnico de Seguridad de la Información. • Patrocinar y participar en la implementación, operación, monitoreo, revisión,
mantenimiento y mejora continua del Sistema de Gestión Seguridad de la Información (SGSI)
El Comité Técnico de Seguridad de la Información es un órgano
consultivo de carácter técnico y está integrado por los Jefes de los procesos involucrados en el alcance quienes deberán tener un amplio conocimiento de los procesos que se realizan en la institución.
Las funciones del Comité Consultivo de Seguridad de la
Información son las siguientes:
• Proponer mejoras o iniciativas en materia de seguridad de la información al Comité de
Gestión o al Oficial de Seguridad de la Información en materia de gestión de riesgos, activos de información, procesamiento de la información, mejoras al SGSI, entre otros.
• Ser “embajadores” de seguridad de la información para influenciar las opiniones de una
forma positiva y, recoger las necesidades y expectativas de los trabajadores.
• Reunirse periódicamente a fin de analizar y evaluar la seguridad de la información y emitir
informes al Comité de Gestión de Seguridad de la Información.
del SGSI
• Se debe definir en función de características
del negocio, organización, localización, activos y tecnología, definir el alcance y los límites del SGSI (el SGSI no tiene por qué abarcar toda la organización; de hecho, es recomendable
empezar por un alcance limitado) …
del SGSI
• Definir los limites de la organización.
• Definir los limites de los sistemas de información. • Definir el ámbito y limites físicos.
• Definir el alcance del SGSI. • Cambios en el alcance.
Seguridad de la Información y Objetivos • Debe tener el marco general y los objetivos de seguridad de la
información de la organización
• Debe explicar los requisitos de negocio, legales y contractuales
en cuanto a seguridad
• Debe de estar alineada con la gestión de riesgo general,
establecer criterios de evaluación de riesgo y ser aprobada por la Dirección.
• La política de seguridad es un documento muy general, una
especie de "declaración e intenciones" de la Dirección, por lo que no pasará de dos o tres páginas.
Política de Seguridad Política de Seguridad de la Información Política del SGSI Política sobre control de acceso Política sobre criptografía Política de gestión de incidentes POLITICA GENERALES DE ALTO NIVEL
POLITICA ALTO NIVEL X TEMAS ESPECIFICOS
POLITICA DETALLADAS
• Resumen • Introducción • Ámbito de aplicación • Objetivos • Principios • Responsabilidades • Resultados importantes • Políticas relacionadas • Definiciones • Sanciones
Evaluación y Aceptación de Riesgos
• Se debe definir una metodología de evaluación de
riesgos apropiada para el SGSI y las necesidades de la organización, desarrollar criterios de aceptación de riesgos y determinar el nivel de riesgo aceptable.
• Existen muchas metodologías de evaluación de riesgos
aceptadas; la organización puede optar por una de ellas, hacer una combinación de varias o crear la suya propia.
• ISO 27001 no impone ninguna ni da indicaciones
• Magerit (España) • Octave (EE.UU.)
• Cramm (Reino Unido) • Microsoft (EE.UU.) • Tra (Canada)
• Nist 800-30 (EE.UU.) • Ebios (Francia)
de la Metodología
1. Compatibilidad con los criterios de la ISO 27001 2. Idioma del método
3. Posibilidad de herramientas de software 4. Documentación, formación, apoyo.
5. Facilidad de uso 6. Costo de utilización
7. Existencia de material de comparación (métricas, estudios, casos, etc.)
norma de manera metodológica y en concordancia con la política y objetivos del SGSI dentro del alcance del mismo.
• Realizar evaluación de Riesgos
• Conducir un análisis entre los riesgos identificados y
las medidas correctivas existentes
• Desarrollar un plan de tratamiento de riesgos
Desarrolla la declaración de Aplicabilidad
• Todos aquellos activos de información que tienen
algún valor para la organización y que quedan dentro del alcance del SGSI
• Se debe inventariar el nombre activo, tipo,
responsable y ubicación como campos mínimos.
Realizar Evaluación de Riesgos
Inventario de Activos
ESCALA VALORACION
1 Muy Alto (MA) 2 Alto (A)
Análisis de Riesgos
• Análisis de los riesgos:
Evaluar el daño resultante de un fallo de seguridad (es decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en función de los niveles definidos previamente) o requiere tratamiento.
Realizar Evaluación de Riesgos
Análisis de Riesgos
Plan de
Tratamiento de Riesgos
• Confeccionar una Declaración de Aplicabilidad: la
llamada SOA (Statement of Applicability) es una lista de todos los controles seleccionados y la razón de su selección, los controles actualmente implementados y la justificación de cualquier control del Anexo A excluido.
• Es, en definitiva, un resumen de las decisiones
Redacción de la Declaración de
Aplicabilidad
•
Elaborar el plan de trabajo priorizado
•
Desarrollar documentos y registros necesarios
•
Implementar los controles seleccionados
• Un plan de trabajo es un instrumento de
planificación.
• Comprende: Estructura de actividades,
responsables, tiempos, recursos, generalmente se expresa por medio de un diagrama de gantt.
1. Definir las necesidades de capacitación 2. Diseño y planificación de la capacitación 3. Provisión de la capacitación
La gran diferencia entre la formación y la concientización es que la capacitación tiene por objeto proporcionar los conocimientos para permitir que la persona ejerza sus funciones; mientras que el objetivo de concientizar es centrar la atención en un interés individual o una serie de asuntos sobre la
1. Determinar qué queremos conseguir, cuáles son nuestros objetivos.
2. Decidir a quién vamos a dirigir nuestra comunicación. 3. Pensar cuál es la idea que queremos transmitir.
4. Fijar el presupuesto con el que contamos (cuánto). 5. Seleccionar los medios apropiados y su frecuencia de
utilización.
Partes Interesadas
• Clientes • Proveedores • Empleados • Comunidades • Medios de Comunicación • InversoresEl compromiso con las partes interesadas constituye una oportunidad para que una organización pueda conocer sus problemas e inquietudes; puede llevar a que el
ahora 27002
Área 1: Política de seguridad.
Área 2: Organización de la seguridad de la información. Área 3: Gestión de activos.
Área 4: Seguridad relacionada con los recursos humanos. Área 10: Gestión de la continuidad del negocio .
Área 6: Gestión de comunicaciones y operaciones. Área 7: Control de accesos.
Área 8: Adquisición, desarrollo y mantenimiento de sistemas. Área 9: Gestión de incidentes.
Área 5: Seguridad física y del entorno
Área 11: Conformidad Seguridad Organizativa Seguridad Lógica Seguridad Física Seguridad Legal
Realizar actividades de revisión del SGSI evidenciando el cumplimiento de los requisitos de la norma
• Monitorear el desempeño del SGSI • Fortalecer la gestión de incidentes
• Desarrollar documentos y registros necesarios
• Desarrollar las actividades para evidenciar la mejora
Determinar los Objetivos de la Medición
• La norma no indica lo que debe ser objeto
de supervisión o medición
• Corresponde a la empresa determinar qué es
lo que necesita ser controlado y medido
• Es una mejor práctica centrarse en la
vigilancia y medición de las actividades que están vinculadas a los procesos críticos que permiten a la organización alcanzar sus metas y objetivos de seguridad de la información
• Demasiadas medidas pueden distorsionar el
Los objetivos de la medición en el marco de un sistema de gestión incluyen:
• Evaluación de la eficacia de los procesos y procedimientos
implementados;
• Verificación de la medida en que los requisitos identificados
de la norma se han cumplido.
• Facilitar la mejora del rendimiento;
• Aportar para la revisión de la gestión para facilitar la toma de
decisiones y justificar las mejoras que necesita el sistema de gestión implementado.
Monitoreo
Tableros de Mando
1. Asegurarse de que los eventos de seguridad son detectados e identificados.
2. Educar a los usuarios acerca de los factores de riesgo que podrían causar incidentes de seguridad.
3. Tratar los incidentes de seguridad en la forma más adecuada y eficaz.
4. Reducir el posible impacto de los incidentes sobre las operaciones de la organización.
5. Prevenir futuros incidentes de seguridad y reducir su probabilidad de ocurrencia.
Auditar e implementar las mejoras y correcciones del SGSI a fin de cumplir con los requisitos de la norma
• Auditar internamente el SGSI
• Implementar las acciones correctivas
• Implementar las acciones preventivas pertinentes • Desarrollar, corregir y mejorar documentación nueva
1. Crear el programa de auditoría interna 2. Designar al responsable
3. Establecer la independencia, objetividad e imparcialidad 4. Planificación de las actividades
5. Asignar y administrar los recursos del programa de auditoría 6. Crear procedimientos de auditoría
7. Realizar actividades de auditoría 8. Seguimiento de no conformidades
no Conformidades
• Definir un proceso para resolver problemas y no
conformidades.
• Definir un procedimiento de acción correctiva. • Definir un procedimiento de acción preventiva. • Elaborar Planes de Acción.
• Organismo de Certificación:
• Terceros que realizan la evaluación de la
conformidad de los sistemas de gestión.
• Certificación:
• Procedimiento en el cual un tercero garantiza por
escrito que un producto, proceso o servicio es conforme a las condiciones indicadas
1. Selección de la entidad certificadora. 2. Auditoria de Pre-evaluación.
3. Etapa 1 de la auditoria, se fija en el diseño del SGSI 4. Etapa 2 de la auditoria, se lleva a cabo en la empresa. 5. Auditoria de seguimiento, si tuviera no conformidades 6. Confirmación de la inscripción.
