Barcelona, febrero de 2008
ISO/IEC 27001:2005
Contenido
• Introducción
• Motivaciones para certificarse
• Gestión de la seguridad de la información • Enfoque metodológico del SGSI
• Enfoque metodológico repetible del análisis de riesgos • Que se certifica
• Identificación y valoración de activos
• Identificación de vulnerabilidades y amenazas • Identificación de riesgos
• Estado de aplicabilidad de los controles • Definición del nivel de seguridad aceptable • Evaluación de controles
• Gestión de riesgos
• Política de Seguridad de la Información • Definición del Modelo de Organizativo • Beneficios de la certificación
Introducción
• ISO - International Organization for Standardization
• Encargada de promover el desarrollo de normas internacionales de
fabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica.
• ISO registra las entidades nacionales de acreditación
– Para poder acreditar las entidades de acreditación nacional deben incorporar el esquema de acreditación para cada estándar.
– Para poder emitir certificaciones sobre un estándar, las entidades de certificación deben acreditarse contra una entidad nacional de acreditación para el estándar especifico en cuestión. ISO ENAC UKAS … Entidad Acreditadora 1
Introducción
• IEC - International Electrotechnical Commission
• Organización responsable de la estandarización de equipos eléctricos.
• ISO/IEC 27001 - Information technology - Security techniques - Information security management systems – Requirements
• Aprobada y publicada como estándar internacional en Octubre de 2005 por ISO y la comisión IEC.
• Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI). • Se sustenta en la mejora continua, el conocido “Ciclo de Deming” o PDCA
-Plan, Do, Check, Act.
• Alineada con las mejores prácticas de la gestión de la seguridad de la información – ISO/IEC27002:2005.
Introducción
• ISO/IEC 27002:2005 - Information technology - Security techniques - Code of practice for information security management
Clasificación y control de activos
Communications & environmental Organización de Seguridad Política de Seguridad Continuidad de negocio Control de accesos Gestión de operaciones y comunicaciones Cumplimiento Adquisición, desarrollo y mantenimiento de sistemas Seguridad física y ambiental Seguridad del personal Gestión de incidencias 11 secciones 39 objetivos de control 133 controles específicos
Motivaciones para certificarse
• Cultura empresarial
• Requerimiento legal
• Requisito del cliente
• Mantenerse en el mercado
Gestión de la seguridad de la información
• Información
‘La información es un activo que, como otros activos importantes del negocio, tiene valor para una organización y, por lo tanto, necesita ser protegido
adecuadamente’ BS ISO 17799:2000
• Seguridad de la información
• Los activos tienen un valor y por tanto unos requisitos de seguridad en términos de Confidencialidad, Integridad y Disponibilidad.
• Minimizar las amenazas y riesgos continuos a los que está expuesta la
información de una empresa, maximizando el retorno de las inversiones y las oportunidades del negocio.
• Gestión de seguridad de la información
• Implantar procedimientos repetibles que permitan mantener y mejorar sistemáticamente la seguridad de la información.
Gestión de la seguridad de la información
•
¿Seguridad al 100%?
‘El único sistema que es completamente seguro es aquel que está apagado y desenchufado, cerrado en una caja de titanio, enterrado en un bunker, y rodeado por un gas nervioso y custodiado por guardias armados. Incluso así, yo no me jugaría mi vida sobre ello.'
Gene Spafford
Director, Computer Operations, Audit, and Security Technology (COAST), Universidad de Purdue
Enfoque metodológico del SGSI
Preparar i Establecer el SGSI
• Definición del SGSI
• Elaboración de la Política de Seguridad de la
Información
Preparar i Establecer el SGSI
• Definición del SGSI
• Elaboración de la Política de Seguridad de la
Información
Implementar i Operar el SGSI
• Definición del Plan de actuación • Implantación de Controles • Gestión de recursos
Implementar i Operar el SGSI
• Definición del Plan de actuación • Implantación de Controles • Gestión de recursos
Mantener i Mejorar
• Implantación de les
recomendaciones emitidas • Verificar que las mejoras
han cubierto los objetivos
Mantener i Mejorar
• Implantación de les
recomendaciones emitidas • Verificar que las mejoras
han cubierto los objetivos
Monitorizar i Revisar
• Auditorías internas • Revisión del SGSI • Revisiones periódicas de la efectividad de los controles
Monitorizar i Revisar
• Auditorías internas • Revisión del SGSI • Revisiones periódicas de la efectividad de los controles
PLAN
DO
CHECK ACT
Que se certifica
• ISO certifica procesos. NO es OBLIGATORIO certificar TODA la EMPRESA.
• Definir alcance del proyecto.
La certificación abarca el proceso de desarrollo de software realizado por el área de desarrollo excluyendo las áreas restantes que proporcionan servicio a ésta y los procesos desarrollados por estas áreas (p ej: específicación de requisitos, negociación con el cliente y el servicio de post-venda). El principal activo de la compañía es su equipo humano y la metodología empleada.
• Especificar procesos no incluidos en el alcance.
Los procesos relacionados con la definición de los requisitos funcionales, la negociación del contrato y el servicio post-venda al ser gestionados por departamento ajenos al departamento de desarrollo.
• Definir relaciones contractuales entre: • Departamentos de la empresa.
• Empresas proveedoras. • Clientes.
Identificación y valoración de activos
• Tipologías de activos • Tangibles:
– Hardware (firewalls, switches, servidores, ordenadores, discos duros…). – Software (S.O., ofimática, herramientas de desarrollo…).
– Información (BBDD y archivos de datos, procedimientos operativos, …). – Edificios.
– Infraestructuras (suministro eléctrico, climatización, control acceso físico…). • Intangibles
– Experiencia (del personal, de clientes, de suscriptores..). – Imagen y reputación .
– Servicios (proveedor antivirus, desarrollador software…).
• Valoración en función de su Confidencialidad, Integridad y Disponibilidad
INTEGRIDAD
Valor Descripción
1 BAJO: Se puede reemplazar fácilmente con un activo de igual calidad.
2 NORMAL: Se puede reemplazar con un activo de similar calidad, con esfuerzo
razonable.
3 ALTO: Se puede reemplazar con un activo de similar calidad, con esfuerzo alto.
Identificación de vulnerabilidades y amenazas
• Vulnerabilidades: debilidad en un activo o grupo de activos que puede ser explotada por una amenaza.
Una vulnerabilidad en sí no causa daño, es meramente una condición o conjunto de condiciones que pueden permitir a una amenaza afectar a un activo.
• Amenazas: eventos no deseados que pueden desencadenar un incidente en la Organización, causando una degradación de los requerimientos de seguridad en sus activos. Ocurren de forma imprevista en el entorno de la organización.
Se evalúa la probabilidad de ocurrencia de una amenaza:
Periodo medio entre ocurrencias Valor en la escala subjetiva
- menor que una vez por semana - Frecuencia muy alta - menor que cada 2 meses - Frecuencia alta
- menor que un año - Frecuencia media - menor que 6 años - Frecuencia baja
Identificación de riesgos
• Probabilidad que una amenaza explote una vulnerabilidad ocasionando una degradación en alguno de los requisitos de seguridad.
Im p a c to I Importante y poco probable II Importante y muy probable III Poco importante y poco probable IV
Poco importante aunque muy probable 0% 100% 0% 100% Probabilidad Software base 1; 2 1; 2 3 4 5 6; 7; 9 6; 7; 9 8 6; 7; 9 10 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 Probabilidad de ocurrencia Im p a ct o
E
je
m
plo
Declaración de aplicabilidad de los controles
• Justificación de qué controles son relevantes • Evidencias de qué controles no son relevantes
Los siguientes controles son relevantes:
A.5.1.1 Política de la Seguridad de la Información
A.7.1.1 Inventario de activos A.10.5.1 Back-up
A.10.8.2 Seguridad de media en tránsito
Definición del nivel de seguridad aceptable
• La Dirección de la organización tiene que aprobar el nivel de seguridad aceptable.
• Evidencia el compromiso de Dirección en la seguridad de la información.
Im p a c to I Importante y poco probable II Importante y muy probable III Poco importante y poco probable IV
Poco importante aunque muy probable
0% 100%
0% 100%
Evaluación de controles
• Los controles se valoran individualmente.
• El modelo de evaluación no está definido, pero como mínimo debe evaluarse la efectividad de los controles. La organización puede seleccionar el modelo que mejor se adapte a sus necesidades.
• Escala CMM (Capability Maturity Model).
• Auditoría (Diseño, Implantación, Automatización, Evidencia y Efectividad). • Tipologías de controles: • Disuasorios. • Preventivos. • Detectivos. • Correctivos. Proceso definido 3
Repetible pero intuitivo 2 Gestionado y evaluable 4 5 1 0 CMM Optimizado Inicial / Ad hoc Inexistente Estado
Gestión de riesgos
• Estudio y análisis de alternativas y selección de la estrategia a seguir, priorizando el estudio de los riesgos más elevados. Para tratarlos, se dispone de las
siguientes opciones: • Implantar controles. • Aceptar el riesgo. • Eliminar el riesgo. • Transferir el riesgo.
• Como resultado se obtiene “El Plan de Tratamiento de Riesgos” y “El Plan de Actuación”.
Política de Seguridad de la Información
• Aprobada por la Dirección y disponible para toda la organización.
• Habitualmente se trata de un documento de 1 o 2 páginas (como máximo 5 o 6).
• Define las pautas por las que se rige la empresa. Debería contener: • Historial de Revisiones.
• Ámbito de aplicación. • Objetivos del negocio.
• Compromiso dirección en la protección de activos. • Referencia legislativa (LOPD, LSSI…).
• Referencia estatutaria (obligaciones con los accionistas).
• Referencias a políticas y procedimientos que la sustentan (contraseñas, control acceso, backup…).
Definición del Modelo de Organizativo
Procedimientos Instrucciones, checklists, formularios, Manual de seguridad Política, alcance, evaluación del riesgo, Declaración de aplicabilidadDescribe cómo se realizan las tareas y las actividades específicas
Proporciona una evidencia objetiva del cumplimiento de los requisitos del SGSI (cláusula 4.3.3)
Nivel 1
Políticas del marco de gestión en relación a la Cláusula 4.3 de la ISO 27001 Nivel 2 Nivel 3 Nivel 4 Describe procesos quién, qué, cuándo, dónde
Beneficios de la certificación
• Evidencia el compromiso de la dirección en la protección de la información. • Establece un modelo organizativo relativo a la gestión de seguridad de la
información.
• Aumenta la concienciación y sensibilización del personal en esta materia. • Mejora la seguridad de los sistemas de información que soportan los procesos
operativos de la organización.
• Simplifica el establecimiento de políticas, normativas y procedimientos con el propósito de mantener un nivel de riesgo aceptable.
• Automatiza las tareas que permiten conocer los riesgos a los que está expuesta la información.
• Potencia el registro y almacenamiento de las decisiones, procesos y controles, manteniendo su trazabilidad.
• Ubica a la organización en una dinámica de mejora continua, facilitando la adaptación a futuros objetivos de negocio i futura legislación aplicable.
Deloitte Touche Tohmatsu es una organización de firmas independientes, dedicadas a la prestación de servicios y asesoramiento profesional de máxima calidad, y que se centran en el servicio al cliente mediante una estrategia global aplicada a nivel local en cerca de 140 países. Con acceso a un enorme capital intelectual de casi 150.000 personas en todo el mundo, Deloitte presta servicios en cuatro áreas profesionales (auditoría, asesoramiento tributario, consultoría y asesoramiento financiero) a más del 80% de las empresas más importantes del mundo, así como a grandes empresas públicas, aunque por diversos motivos, entre los que se hallan las regulaciones específicas de cada país, no todas las Firmas miembro de Deloitte