Seminario Iso 27001

www.iso.org

www.iso.org

Organizaci

Organizaci

ó

_ó

n Internacional

_{n Internacional}

de Normalizaci

2 ISO 27001

PR/mo/item ID

ISO/IEC 27001

ISO/IEC 27001

–

_–

Sistema

_Sistema

de Gesti

de Gesti

ó

_ó

n de la

_{n de la}

Seguridad de la

Seguridad de la

Informaci

Informaci

ó

_ó

n

_n

Por Dra. AngelikaAngelika PlatePlate

Bogota, Colombia, 9

La Familia de las

Normas 27000

& ISO/IEC 27001

La Familia de las

Normas 27000

& ISO/IEC 27001

4 ISO 27001

PR/mo/item ID

WG1

Normas del SGSI

Presidente Prof. Ted Humphreys Vicepresidente Angelika Plate

WG4

Servicios de SGSI

Presidente Meng-Chow Kang

WG2

Técnicas de Seguridad

Presidente Prof. Kenji Namura

WG3

Evaluación de la Seguridad

Presidente Mats Ohlin

WG5 Privacidad, Gestión de ID

y Biométrica

Presidente -por definirse-ISO/IEC JTC1 SC27

Presidente Dr. Walter Fumy

Vicepresidente Dr. Marijike de Soete Secretaria Krystyna Passia (DIN)

ISO/IEC JTC1 SC 27

Sistema de Gestión de la Seguridad de la Información (SGSI) [27001] Sistema de Gestión de la Seguridad

de la Información (SGSI) [27001]

Guía de implementación del

SGSI [27003]

Guía de implementación del

SGSI [27003]

Controles de la seguridad de la información (ex17799)

[27002]

Controles de la seguridad de la información (ex17799)

[27002]

Panorama general & _{terminología del SGSI}

[27000]

Panorama general & _{terminología del SGSI}

[27000]

Mediciones de la gestión de

la seguridad de la _{información [27004]}

Mediciones de la gestión de

la seguridad de la _{información [27004]}

Gestión del riesgo de SGSI

[27005]

Gestión del riesgo de SGSI

[27005] Material de orientación y Requisitos de acreditación para el SGSI [27006] Requisitos de acreditación para el SGSI [27006] Directrices de auditoría del SGSI [27007] PROYECTO

NUEVO

Directrices de auditoría del SGSI [27007] PROYECTO

NUEVO

Acreditación y certificación

6 ISO 27001

PR/mo/item ID

Norma Título Estado

27000 Panorama General y Vocabulario FDIS

27001 Requisitos para el SGSI Publicada –

actualizada ahora

27002 Código de Práctica para la Gestión de la Seguridad de la Información

Publicada –

actualizada ahora 27003 Guía de Implementación del SGSI FCD

27004 Mediciones de la GSI 2do. FCD

27005 Gestión del Riesgo del SGSI Publicada

27006 Requisitos de Acreditación para organismos de

certificación Publicada

27007 Directrices de Auditoría del SGSI WD

Normas 27000

Modelo DCA SGSI

Modelo DCA SGSI

Model

_Model

Ciclo de Vida del SGSI

Ciclo de Vida del SGSI

PLANIFICAR VERIFICAR ACTUAR HACER Diseño del SGSI Implementa ción & operación del SGSI Mantenimiento & mejora del

SGSI Seguimiento & revisión del SGSI

Modelo PHVA

Modelo PHVA

8 ISO 27001

PR/mo/item ID

Implementación de procesos de gestión del riesgo para alcanzar un SGSI eficaz mediante un proceso de mejora

continua

Implementación de procesos de gestión del riesgo para alcanzar un SGSI eficaz mediante un proceso de mejora

continua

Information Security Management

System (SGSI) Process Model

Information Security Management

System (SGSI) Process Model

Diseño del SGSI (evaluación del

riesgo, tratamiento del riesgo, selección de los controles …)

Implementación y Utilización del SGSI (implementar y

ensayar los controles, políticas, procedimientos, procesos…)

Seguimiento & Revisión del SGSI

(incidente, cambios, reevaluación de los riesgos, hojas de evaluación, auditorías…)

Actualización & Mejora del SGSI

(mejorar o implementar nuevos controles, políticas, procedimientos…)

PHVA

PHVA

Puntos sobresalientes y características Enfoque de gestión del riesgo

evaluación del riesgo, tratamiento del riesgo, toma de decisiones por parte de la Dirección Modelo de mejora continua

Medidas de eficacia

Especificación de auditoría (Auditoría interna y externa del SGSI)

Está ahora en revisión

Requisitos del SGSI

10 ISO 27001

PR/mo/item ID

Norma ISO/IEC 27002 Código de Práctica para la gestión de la Seguridad de la

Información

‰ Un catálogo de Prácticas Eficaces

‰ Sugiere un grupo de controles holísticos ‰ No es una norma de certificación o de

auditoría

Política de seguridad

Organización de la seguridad de la información Gestión de activos

Seguridad de los recursos humanos Seguridad física & del entorno

Gestión de operaciones & comunicaciones Control del acceso

Adquisición, desarrollo y mantenimiento de los sistemas de información

Gestión de la continuidad del negocio Cumplimiento

Gestión de los incidentes de seguridad de la información

Código de Práctica para la gestión

de la seguridad de la información

Desde la primavera de 2007 a la

norma ISO/IEC 17799 se le dio

nueva numeración como 27002

La norma está ahora en revisión

12 ISO 27001

PR/mo/item ID

Una guía para avanzar en la implementación de los

requisitos definidos en la norma 27001

El alcance incluye orientación sobre implementación

en:

Asesoramiento detallado y ayuda en lo concerniente a los procesos PHVA

Alcance y política del SGSI Identificación de activos

Implementación de controles seleccionados Seguimiento y revisión y mejora continua

¿

Orientación sobre las mediciones de la

gestión de la seguridad de la información para

apoyar los requisitos de medición y eficacia

definidos en la norma 27001

¿Qué, cómo y cuándo medir?

Desempeño, benchmarking, seguimiento y

revisión de la eficacia del SGSI para ayudar

en la toma de decisiones empresariales y

mejoras al SGSI

¿

14 ISO 27001

PR/mo/item ID

Orientación en la gestión del riesgo del SGSI para

apoyar la evaluación, tratamiento y gestión del riesgo, y la selección de los requisitos de los controles

definidos en la norma 27001

Orientación detallada para los implementadores del SGSI, encargados de la gestión del riesgo, oficiales de seguridad …

Publicada

¿

Requisitos de Acreditación del SGSI

Requisitos específicos del SGSI para

complementar los requisitos genéricos en la norma

ISO 17021-1

Sustituye a EA 7/03

Publicada en enero de 2007

¿

16 ISO 27001

PR/mo/item ID

NORMA ISO/IEC 27007

NORMA ISO/IEC 27007

Directrices de Auditoría del SGSI

Orientación específica del SGSI para complementar

la norma ISO 19011

Manejar la orientación a los auditores en temas

como:

Establecimiento de los rastros de auditoría del

SGSI

Auditoría de evidencia forense

Alcances del SGSI

Evoluci

Evoluci

ó

ó

n

n

Código de práctica para la gestión de la seguridad de la información

15 junio/05

BS 7799-2:1998 BS 7799-2:1999

ISO/IEC 27001:2005

Requisitos del SGSI

15 Oct/05 BS 7799-2:2002

18 ISO 27001

PR/mo/item ID 18

Guía de implementación del

SGSI [27003]

Guía de implementación del

SGSI [27003]

Controles de la seguridad de la información (ex17799)

[27002]

Controles de la seguridad de la información (ex17799)

[27002]

Panorama general & _{terminología del SGSI}

[27000]

Panorama general & _{terminología del SGSI}

[27000]

Mediciones de la gestión de

la seguridad de la _{información [27004]}

Mediciones de la gestión de

la seguridad de la _{información [27004]}

Gestión del riesgo del SGSI

[27005]

Gestión del riesgo del SGSI

[27005]

Requisitos para los sistemas financieros

[2701x]

Requisitos para los sistemas financieros

[2701x]

Requisitos para las telecomunicaciones [27011]Requisitos para las telecomunicaciones [27011]

Requisitos para el transporte

[2701x]

Requisitos para el transporte

[2701x] Requisitos para W LA (A so cia c ión de Lote ría Mund ia l) [2701x] Requisitos para W LA (A so cia c ión de Lote ría Mund ia l) [2701x]

Requisitos para los automotores [2701x]Requisitos para los automotores [2701x]

Requisitos para el cuidado de la salud

[270xx/27799]

Requisitos para el cuidado de la salud

[270xx/27799]

Técnicas criptográficas, protocolos de

autenticación, técnicas biométricas, tecnologías de privacidad …

Técnicas criptográficas, protocolos de

autenticación, técnicas biométricas, tecnologías de privacidad …

Recuperación de desastres, seguridad de las redes de TI, servicios TTP, IDS, manejo del incidente, aplicaciones de red, gestión de la

identificación, ciber ..

Recuperación de desastres, seguridad de las redes de TI, servicios TTP, IDS, manejo del incidente, aplicaciones de red, gestión de la

identificación, ciber ..

Producto sistema

evaluación & aseguramiento de la seguridad

Producto sistema

evaluación & aseguramiento de la seguridad Requisitos de Acreditación [17021] Requisitos de Acreditación [17021] Requisitos de Acreditación para el SGSI [27006] Requisitos de Acreditación para el

SGSI [27006] _{Directrices de auditoría} [19011 & 27007] Directrices de auditoría

[19011 & 27007] Sistema de Gestión de la Seguridad

de la Información (SGSI) [27001] Sistema de Gestión de la Seguridad

Gestión de manejo de los incidentes de

seguridad de la información

Apoya los controles de manejo de los incidentes en ISO/IEC 27002

Proporciona patrones y asesoramiento más técnico sobre cómo implementar esquemas para el manejo del incidente

Publicada en 2005

ISO/IEC 18044

NORMA ISO/IEC 18044

20 ISO 27001

PR/mo/item ID

NORMA ISO/IEC 24762

NORMA ISO/IEC 24762

Servicios de Recuperación de desastres

El borrador de trabajo es la Norma de

Singapur SS 507 para los proveedores de

servicios para la recuperación de

desastres.

En desarrollo en la nueva WG 4

Publicada

SGSI 27001

SGSI 27001

22 ISO 27001

PR/mo/item ID

Ciclo de Vida del SGSI

Ciclo de Vida del SGSI

PLANIFICAR VERIFICAR ACTUAR HACER Diseño del SGSI Implementación

& operación del SGSI

Mantenimiento & mejora del

SGSI Seguimiento

& revisión del SGSI

PDCA SGSI Model

Alcance del SGSI (4.2.1 (a))

1. Definir el alcance y límites del SGSI 2. Corresponde completamente a la

organización definir el alcance del SGSI

3. Se deben identificar las interfaces y dependencias

Diseño del SGSI

Límite

Límite

Alcance del SGSI – Toda la Organización Alcance del SGSI –

Parte de la Organización

Alcance del SGSI

24 ISO 27001

PR/mo/item ID

Alcance del SGSI (4.2.1 (a))

1. Definir el alcance y límites del SGSI 2. Corresponde completamente a la

organización definir el alcance del SGSI

3. Se deben identificar las interfaces y

dependencias

Diseño del SGSI

Alcance del SGSI

Proveedor de Servicios Externo

Cliente

Dpto. de Servicio de TI

Alcance del SGSI

Ejemplos del Alcance del SGSI

1. Departamento de ventas y compras

2. Outsourcing – servicios de gestión de

datos

3. Servicios de reembolsos al cliente • Reclamaciones al seguro • Reclamaciones de cobertura médica • Reclamaciones de restitución de mercancías dañadas 4. Banca en línea 5. Servicios organizacionales de TI internos Diseño del SGSI

Alcance del SGSI

26 ISO 27001

PR/mo/item ID

Política del SGSI (4.2.1 (b))

1. Definir la política del SGSI que define un marco para establecer los objetivos y la dirección para la seguridad de la información:

• Tiene en cuenta todos los requisitos aplicables, legales, contractuales y empresariales

• Se alinea con el contexto global de gestión del riesgo de la

organización

• Establece los criterios para la evaluación del riesgo

• Ha sido aprobada por la dirección

Diseño del SGSI

Declaración de Política de Seguridad de la Información

Objetivos ………. ……… Definición de seguridad de la información ……...

... Requisitos y reglas de la política

………..

……… ………

Firmado y aprobado por …………. Fecha ………..

Pol

Evaluación del Riesgo (4.2.1 (c)-(e)) 1. Definir el enfoque

2. Identificar y evaluar los riesgos

• Activos y sus valores

• Amenazas y vulnerabilidades • Riesgos e impactos

Ejemplo A:

Activo – registros del cliente – la

sensibilidad y el valor comercial son altos en términos financieros

Amenazas – acceso, fuga y modificación no autorizados

Vulnerabilidades – Control del acceso carente o inapropiado, falta de control de autenticación, falta de control sobre el procesamiento de la información Riesgo – alto Impacto - alto Diseño del SGSI activo vulnerabilidades amenazas riesgos impactos aprovechan _{devaluaciones,} daños a, etc.

Evaluaci

28 ISO 27001

PR/mo/item ID

Tratamiento del riesgo (4.2.1 (f))

1. Opciones

• Reducir el riesgo – implementar controles

• Aceptar el riesgo – el impacto con el cual la compañía puede vivir financieramente

• Transferir el riesgo – seguros o mediante contratos

• Evitar el riesgo – no

comprometerse en un proyecto que pueda originar el riesgo

2. Toma de decisiones de la dirección

• Criterios de aceptación del riesgo y riesgos residuales

• Requisitos empresariales • Costo y recursos

Diseño del SGSI

Tratamiento del riesgo del SGSI

Selección de los controles (4.2.1 (g))

1. Los controles se seleccionan primordialmente del Anexo A con base en los resultados de la evaluación del riesgo (los controles de otras listas/normas pueden complementar lo que no se encuentre en el Anexo A) y la decisión

tomada durante la fase de tratamiento del riesgo

2. Para la selección se necesitarán los criterios de la compañía para aceptar el riesgo

3. Al realizar la selección se debe tomar en cuenta otros requisitos, como los legales Continuación del Ejemplo A:

• Implementar mejores mecanismos de

autenticación y acceso en los sistemas de TI que contienen los registros del cliente

• ¿Cuáles controles del Anexo A pueden ser aplicables?

Diseño del SGSI

Selecci

30 ISO 27001

PR/mo/item ID

Aprobación de la dirección

(4.2.1 (h)-(i))

Aprobación de los riesgos residuales Aprobación y autorización para

implementar los controles del SGSI

Diseño del SGSI

Aprobaci

Declaración de Aplicabilidad

(4.2.1 (j))

Lista de los controles seleccionados para implementacion, más aquellos controles actualmente implementados y los

controles no implementados (exclusiones)



implementados Diseño del SGSI Implementación de controles Decisión de tratamiento del riesgo Riesgos identificados y evaluados

Flujo de desarrollo del SGSI

Declaraci

32 ISO 27001

PR/mo/item ID

Tratamiento del Riesgo (4.2.2 (a)-(c))

1. Formular plan para el tratamiento

del riesgo

• El objetivo es manejar los riesgos a través de la acciones identificadas en la fase de PLANIFICACIÓN

• Identificar acciones, prioridades, recursos, responsabilidades de la Dirección

2. Implementar el plan de tratamiento del riesgo

3. Implementar los controles seleccionados

• Políticas

• Procedimientos

• Control de los recursos humanos • Controles de los proveedores de

servicios, contratos, SLA

(Acuerdos de nivel de servicios) • Controles técnicos

Implementación & operación del SGSI

Tratamiento del Riesgo del SGSI

Eficacia (4.2.2 (d))

1. Definir un grupo de mediciones y adoptar un conjunto de métodos para la medición de la eficacia de los controles implementados – luego de la implementación y en períodos regulares de ahí en adelante

• Especificar cómo medir la eficacia de los controles o de los grupos de controles seleccionados

• Especificar cómo estas mediciones se utilizarán para evaluar la

eficacia de los controles

• Asegurar resultados comparables y reproducibles

Implementación & operación del SGSI

Medici

34 ISO 27001

PR/mo/item ID

Acciones de la Dirección (4.2.2

(f)-(h))

1. Gestionar los recursos y

operaciones para la operación efectiva de los controles del SGSI 2. Asegurar un grupo efectivo de

procedimientos y recursos que estén disponibles para el manejo de incidentes

Implementación & operación del SGSI

Acciones de la Direcci

Seguimiento & Revisiones (4.2.3) 1. Medir el desempeño, realizar

benchmarking, etc., para verificar la eficacia de los controles

2. Ejecutar procedimientos de seguimiento y revisión para

determinar que todo funciona como se espera, que incluyen:

• Intentos de acceso

• Uso de los procedimientos • Detección de errores

• Detección de intentos de violación e incidentes

• Eficacia

• Resultados de la evaluación del riesgo Seguimiento

& revisión del SGSI

Seguimiento y Revisi

36 ISO 27001

PR/mo/item ID

Seguimiento & Revisiones (4.2.3)

3. Rastrear los cambios

• Riesgos, amenazas

• Maneras de hacer negocios, nuevas

empresas del mercado, nuevos proyectos • Cambios en la mano de obra, base de

clientes, sociedades de negocios • Tecnología

• Leyes y reglamentaciones

4. Emprender revisiones regulares

(revisiones de la dirección) y auditorías (internas y externas) del SGSI, teniendo en cuenta:

• Informes de gestión de incidentes • Mediciones de la eficacia

• Sugerencias y retroalimentación • Informes de auditoría

• Acciones de la Dirección y su conclusión Seguimiento

& revisión del SGSI

Seguimiento y Revisi

Seguimiento & Revisiones (4.2.3) 5. Actualizar toda la documentación

pertinente

• Políticas

• Procedimientos • Planes

• Programación de ensayos

• Revisión y auditoría de manuales Seguimiento

& revisión del SGSI

Seguimiento y Revisi

38 ISO 27001

PR/mo/item ID

Actualización & mejora (4.2.4 y

8.1-8.3)

1. Implementar las mejoras identificadas en la fase de VERIFICACIÓN

2. Emprender acciones correctivas y preventivas (consultar más en el artículo 8 del SGSI Mejora)

3. Comunicar las acciones y mejoras a todas las partes interesadas

4. Asegurarse de que las mejoras funcionen como se espera

5. Capacitar de nuevo al personal

Mejoras del SGSI

Mejoras del SGSI

Diseño del SGSI

Implementación

& Operación del SGSI Seguimiento & Revisión del SGSI Mejora del SGSI Ciclo de Vida Ciclo de Vida del SGSI del SGSI Documentación

Alcance y Declaración de Política del SGSI

Informe de Evaluación del Riesgo Plan de Tratamiento del Riesgo Declaración de Aplicabilidad Procedimientos del SGSI Manuales del SGSI Manuales de Auditoría



Documentaci

40 ISO 27001 PR/mo/item ID Diseño del SGSI Implementación & Operación del SGSI

Seguimiento & Revisión del SGSI

Mejora del SGSI Ciclo de Vida Ciclo de Vida del SGSI del SGSI



Controlar y proteger los documentos, utilizando procedimientos para:

Aprobación, revisión, actualización y re-aprobación

Control de versiones y cambios

Asegurar que los documentos sean válidos y accesibles

Asegurar la disponibilidad para todo el que tenga derecho al acceso

Identificar el origen y la distribución Impedir el uso no previsto

Aplicar la identificación y etiquetado adecuados

Documentaci

Registros

Registro del manejo de incidentes Registros del personal

Registros de capacitaciones Registros de contratos, ventas y entregas a los clientes

Registros de ventas Registros financieros Registros de ensayos Registros de Benchmarking Diseño del SGSI Implementación

& Operación del SGSI Seguimiento & Revisión del SGSI Mejora del SGSI Ciclo de Vida Ciclo de Vida del SGSI del SGSI



Registros del SGSI

42 ISO 27001

PR/mo/item ID



Controles (4.3.3)

Se deben establecer registros para

suministrar evidencia de la conformidad con la norma

Para fines de certificación, el SGSI debe haber estado en operación por al menos 4-6 meses para tener la evidencia suficiente

Los registros deben protegerse de la misma manera que toda la documentación

Los requisitos para la documentación y los registros son los mismos que para otros sistemas de gestión

Registros del SGSI

Registros del SGSI

Diseño del SGSI

Implementación & Operación del SGSI

Seguimiento & Revisión del SGSI Mejora del

La Dirección debe estipular su compromiso al:

Establecer la política, objetivos y planes del SGSI Establecer roles y responsabilidades para la

seguridad de la información

Comunicar la importancia de la seguridad de la información

Proporcionar los recursos suficientes para el SGSI

Decidir los criterios para la aceptación del riesgo Asegurar las auditorías internas del SGSI

Realizar revisiones por parte de la Dirección

Compromiso de la Direcci

44 ISO 27001

PR/mo/item ID

La organización debe determinar y suministrar los recursos necesarios para:

Establecer, implementar, operar, hacer

seguimiento, revisar, mantener y mejorar un SGSI

Garantizar que la seguridad de la información brinda apoyo a los requisitos del negocio

Identificar y atender los requisitos legales y

reglamentarios y las obligaciones de seguridad contractuales

Mantener la seguridad adecuada mediante la aplicación correcta de todos los controles

implementados

Llevar a cabo revisiones y mejorar la eficacia del SGSI donde se requiera.

Provisi

La organización debe asegurar personal competente mediante:

La determinación de las competencias necesarias para el personal en el SGSI

El suministro de formación o la realización de otras acciones (por ej. la contratación de personal

competente) para satisfacer estas necesidades La evaluación de la eficacia de las acciones

emprendidas

El mantenimiento de registros de la educación,

formación, habilidades, experiencia y calificaciones Asegurar la toma de conciencia del personal en el SGSI

Formaci

46 ISO 27001

PR/mo/item ID

La organización debe llevar a cabo auditorías internas del SGSI a intervalos planificados para asegurar que el SGSI:

Cumple los requisitos de la norma ISO/IEC 27001 y de la legislación y reglamentaciones pertinentes;

Cumple los requisitos identificados de seguridad de la información;

Los procesos y controles del SGSI son

implementados y mantenidos eficazmente y su desempeño es acorde con lo esperado

Auditor

Se debe planificar el programa de auditorías

Se deben definir los criterios, el alcance, la frecuencia y los métodos de la auditoría

Se debe asegurar la imparcialidad e independencia de los auditores

Se deben definir las responsabilidades para la

planificación y realización de la auditoría y para el reporte

La Dirección es responsable del seguimiento de las acciones apropiadas para reaccionar a cualquier no-conformidad que se identifique

Auditor

48 ISO 27001 PR/mo/item ID Diseño del SGSI Implementación

& operación del SGSI Seguimiento & revisión del SGSI

Mejora del SGSI

Revisión del SGSI por la Dirección (7.1-7.3)

Revisión por la Dirección

1. Por lo menos una vez al año

2. Verificación para asegurar la conveniencia, suficiencia y eficacia continuas del SGSI

3. Oportunidades de mejoras

4. Actualización de las políticas, procedimientos, planes, objetivos …

5. La revisión da como resultado documentos y acciones de reuniones que deben registrarse

Revisi

Diseño del SGSI

Implementación

& operación del SGSI Seguimiento

& revisión del SGSI Mejora del

SGSI

Revisión del SGSI por la Dirección (7.1-7.3)

Entradas para la revisión

1. Resultados de revisiones, auditorías, mediciones de la eficacia, reportes de incidentes, registros operacionales

2. Retroalimentación desde el personal, clientes, socios de negocios, proveedores 3. Perfiles de amenaza, vulnerabilidad y riesgo

4. Controles, tecnología, procedimientos para mejora del SGSI nuevos o adicionales 5. Acciones de seguimiento – que incluyen el estado de las acciones correctivas y

preventivas

Revisi

50 ISO 27001 PR/mo/item ID Diseño del SGSI Implementación

& operación del SGSI Seguimiento

& revisión del SGSI Mejora del

SGSI

Revisión del SGSI por la Dirección (7.1-7.3)

Salidas de la Revisión

1. Definición de las mejoras del SGSI

2. Objetivos de eficacia y mejoras a los métodos y medidas

3. Actualizaciones de la evaluación del riesgo y los planes de tratamiento 4. Actualizaciones de políticas, procedimientos, planes

5. Reformulación de las necesidades de recursos, re-operación y definición de roles y responsabilidades

Revisi

La organización debe mejorar continuamente la eficacia del SGSI

Acciones correctivas

Identificar las no-conformidades y sus causas

Determinar e implementar las acciones correctivas Acciones Preventivas

Identificar las no-conformidades potenciales

Determinar e implementar las acciones preventivas Todas las acciones deben registrarse y revisarse

Mejoras del SGSI

52 ISO 27001 PR/mo/item ID 52

Conformidad

& Certificación

Conformidad

& Certificación

Partes interesadas

Organismos de acreditación, Organismos de Certificación y Usuarios Finales

Documentos y normas de certificación Proceso de Acreditación

Proceso de Certificación Auditores

Todos los certificados registrados en la actualidad pueden consultarse en

www.iso27001certificates.com

Certificaci

54 ISO 27001 PR/mo/item ID

Acreditaci

Acreditaci

ó

ó

n

n

Certificaci

Certificaci

ó

ó

n

n

Organismo de Certificación (OC)

Organización SGSI

Auditores

Asesores

Auditorías de certificación del SGSI

• Auditoría inicial

• Auditorías de seguimiento (cada 6-12 meses)

• Auditorías de re-certificación (cada 3 años)

Evaluación de los sistemas/procesos de alta calidad del organismo de certificación para llevar a cabo y administrar las certificaciones Auditorías atestiguadas

Norma de Certificación

ISO/IEC 27001:2005 (antes BS 7799 Parte:2002) Directrices para Acreditación

ISO/IEC 17021 (antes Guía ISO 62/EN 45012) ISO/IEC 27006 (antes EA 7/03), ISO 19011 Documentos de apoyo

ISO/IEC 27002

Documentos y Normas de Certificaci

56 ISO 27001 PR/mo/item ID

Acreditaci

Acreditaci

ó

ó

n

n

Certificaci

Certificaci

ó

ó

n

n

Organismo de Certificación (OC)

Organización SGSI

Auditores

Asesores

Auditorías de certificación del SGSI

• Auditoría inicial

• Auditorías de seguimiento (cada 6-12 meses)

• Auditorías de re-certificación (cada 3 años)

Evaluación de los sistemas/procesos de alta calidad del organismo de certificación para llevar a cabo y administrar las certificaciones Auditorías atestiguadas Documentos empleados: (a) ISO/IEC 17021 (b) ISO 19011 (c) ISO/IEC 27006 Documentos empleados: (d) ISO/IEC 27001:2005 (c) ISO/IEC 27006

Auditoría Inicial de Certificación

Auditorías de seguimiento

Tres años después del otorgamiento del certificado

Típicamente cada 6-9 meses durante los tres años de período de validación de la certificación

La realización de la auditoría inicial -de dos etapas – tiene como intención el otorgamiento del certificado

Aprueba/desaprueba

Aprueba – otorgamiento del certificado Acciones

correctivas para manejar las

no-conformidades El cliente decide no _seguir desaprueba desaprueba El cliente solicita la re-certificación El cliente decide no seguir no Acciones correctivas para manejar las no-conformidades Auditoría de Re-certificación

Proceso de Auditor

Proceso de Auditor

í

í

a

a

del SGSI

del SGSI

58 ISO 27001

PR/mo/item ID

Típicamente el proceso inicial de auditoría involucra dos etapas:

Etapa 1 de la Auditoría

Revisión de los documentos del SGSI …

Etapa 2 de la Auditoría

Visita en el sitio

Reuniones con el equipo de la Dirección y entrevistas con el personal

Observación y evaluación del SGSI en funcionamiento Revisión y discusión de los hallazgos, documentos, registros, informes …

Recopilación de la evidencia objetiva

Proceso de Auditor

Etapa 1 de la Auditoría

En esta etapa de la auditoría, el organismo de certificación debe obtener la documentación sobre el diseño del SGSI abarcando la documentación

requerida en el Artículo 4.3.1 de la norma ISO/IEC 27001.

El objetivo de la etapa 1 de la auditoría es suministrar un enfoque para la planificación de la etapa 2 de la auditoría, al obtener una comprensión del SGSI en el contexto de las políticas y objetivos del SGSI de la organización del cliente, y, en particular, del estado de preparación para la auditoría por parte de la organización del cliente.

La etapa 1 de la auditoría incluye la revisión de documentación, pero no debe restringirse sólo a ella. El organismo de certificación debe acordar con la organización del cliente cuándo y dónde debe realizarse la revisión de la documentación. En todo caso, la revisión debe completarse antes del inicio de la etapa 2 de la auditoría.

Los resultados de la etapa 1 de la auditoría deben documentarse en un

informe escrito. El organismo de certificación debe revisar el informe de la etapa 1 de la auditoría antes de proseguir con la etapa 2 y para seleccionar el equipo de miembros para la etapa 2 de la auditoría con la competencia necesaria.

El organismo de certificación debe hacer que la organización del cliente se entere de los tipos de información y registros adicionales que pueden

requerirse para una revisión detallada durante la etapa 2 de la auditoría.

Auditor

60 ISO 27001

PR/mo/item ID

Etapa 2 de la Auditoría

• Los objetivos de esta auditoría son:

Confirmar que la organización del cliente se ajusta a sus propias políticas, objetivos y procedimientos;

Confirmar que el SGSI cumple con todos los requisitos de la norma ISO/IEC 27001 y que satisface los objetivos de la organización.

• Esta auditoría siempre se lleva a cabo en las

instalaciones de la organización.

• El organismo de certificación elabora un

borrador de plan de auditoría para esta etapa 2 de la auditoría con base en los hallazgos de la etapa 1.

Auditor

La auditoría debería enfocarse hacia los siguientes aspectos de la organización

Evaluación de la seguridad de la información y riesgos relacionados y que dicha evaluación produzca resultados comparables y reproducibles

Selección de objetivos de control y controles con base en la evaluación del riesgo y los procesos de tratamiento del riesgo

Revisiones de la efectividad del SGSI y mediciones de la eficacia de los controles de seguridad de la información, realizando el reporte y la revisión contra los objetivos del SGSI

Correspondencia entre los controles seleccionados e implementados, la Declaración de Aplicabilidad y los resultados de la evaluación del riesgo y el proceso de tratamiento del riesgo, y la política y los objetivos del SGSI

Programas, procesos, procedimientos, registros, auditorías internas y

revisiones de la eficacia del SGSI para garantizar que sean trazables a las decisiones de la Dirección y la política y objetivos del SGSI

Auditor

62 ISO 27001

PR/mo/item ID

Política del SGSI, objetivos, requisitos empresariales y objetos

resultados de evaluacónes del riesgo de la seguridad de la información Decisiones de tratamiento del riesgo Declaración de Aplicabilidad

Rastro

de auditoría

Controles selecionados con base en la decisión sobre el

tratamiento del riesgo Decisión sobre el tratamiento

del riesgo para reducir los riesgos identificados Riesgos identificados

y evaluados

Proceso de Auditor

Acreditaci

Acreditaci

ó

ó

n

n

Certificaci

Certificaci

ó

ó

n

n

Organismo de Certificación (OC)

Organización Reporte de los equipos de auditoría Equipo de Dirección del OC SGSI Equipo auditor Evaluadores Hallazgos de auditoría verificados y aprobados Si: certificado otorgado No: acción de seguimiento emprendida

64 ISO 27001

PR/mo/item ID

ISO/IEC 19011 (Directrices de la auditoría) (www.iso.org) Educación

Experiencia industrial Formación

Experiencia en auditoría

Auditores certificados IRCA (www.irca.org) Auditor provisional

Auditor

Auditor líder

Se están desarrollando más aspectos de la certificación personal para SGSI

Calificaciones del auditor de SGSI

2000 - 2006

EA7/03 de EA

2006

FDIS de

ISO/IEC 27006 _{planeada de}Publicación ISO/IEC 27006

Enero/Feb 2007

66 ISO 27001

PR/mo/item ID

ISO/IEC 27006 es la norma de “

Requisitos

para la acreditación de organismos que

ofrecen certificación deSGSI”

Iniciativa conjunta de ISO, IAF yCASCO

Con base en

ISO/IEC 17021

ISO/IEC 27001

ISO/IEC 27006

ISO/IEC 27006 contiene requisitos

No existen requisitos para auditotías generales adicionales a ISO/IEC 17021

“Debe” se emplea para indicar requisitos

obligatorios de ISO/IEC 17021, ISO/IEC 27001, o los resultantes de combinar las dos

“Debería” tiene que ver con orientación,

aunque presenta un método reconocido para el cumplimiento de los requisitos

Uso

68 ISO 27001

PR/mo/item ID

ISO/IEC 27006 sigue la estructura de

ISO/IEC 17021

Declaración de alto nivel del contenido

de los numerales de ISO/IEC 17021

Orientación SGSI – si existe orientación

adicional necesaria para el SGSI, ésta

se incluye aquí.

Estructura de ISO/IEC 27006

Structure

70 ISO 27001

PR/mo/item ID

Sección 5 “Requisitos generales”

Orientación especifica del SGSI en relación con la imparcialidad

Listado del trabajo que pudiera estar en conflicto

Inclusión de una lista de todas las actividades que se pueden realizar out

Sección 6 “Estructura organizacional”

No hay orientación especifica de SGSI, ISO/IEC 17021 se aplica

¿

Sección 7 “Requisitos de los recursos”

7.1 Orientación específica de SGSI en relación con la competencia de la Dirección

7.2 Orientación específica de SGSI en relación con la competencia del personal del OC

Capacitación, niveles de educación, experiencia laboral pre-requeridos, etc.

7.3 Orientación específica de SGSI en relación con la subcontratación

¿

72 ISO 27001

PR/mo/item ID

Sección 8 “Requisitos de información”

8.1 Orientación específica de SGSI para otorgar mantener,… suspender certificados

8.2 Orientación específica de SGSI para documentos de certificación

El certificado debe hacer referencia a la versión de la Declaración de Aplicabilidad

Cierta orientación más específica de SGSI en relación con

8.4 Uso de sellos

8. 5 Confidencialidad

¿

Sección 9 “Requisitos del proceso”

9.1.1 Orientación específica de SGSI sobre

requisitos generales de auditoría de SGSI para:

Criterios de auditoría de certificación Políticas y procedimientos

Equipo auditor

9.1.2 Orientación específica de SGSI en relación

con el alcance

El OC debe garantizar que el alcance se defina según se requiera en la norma ISO/IEC 27001

El OC debe garantizar que la evaluación del riesgo refleje el alcance

¿

74 ISO 27001

PR/mo/item ID

Sección 9 “Requisitos del proceso”

9.1.3 Orientación específica de SGSI sobre el tiempo de la auditoría

Sin especificar un marco temporal en particular

Listado de factores que pueden influir en el tiempo requerido para la auditoría

Complejidad del SGSI, dimensión del alcance, tipo y diversidad de empresa, número de

sitios,…

Referencia al Anexo A.3

¿

Sección 9 “Requisitos del proceso”

9.1.4 Sitios múltiples

La orientación específica de SGSI contiene la

información habitual

Muestreo representativo, en parte aleatorio y en parte basado en el riesgo

Se audita cada sitio con riesgos significativos antes de la certificación

El programa de seguimiento debería cubrir eventualmente todos los sitios

¿

76 ISO 27001

PR/mo/item ID

Sección 9 “Requisitos del proceso”

El resto de la Sección 9 comprende el proceso típico de auditoría

La competencia del equipo auditor se ha actualizado con las normas ISO/IEC 17021 e ISO/IEC 27001

Énfasis especial en evaluación del riesgo, selección del control, efectividad, documentación, auditorías y revisiones

Requisitos específicos de SGSI: Conformidad reguladora

Integración con otros sistemas de gestión

¿

Tres anexos nuevos – todos informales Anexo A.1 Análisis de Complejidad

Valoración de la complejidad de un SGSI

Anexo A.2 Ejemplo de Áreas de Competencia del Auditor

Competencia requerida para las diferentes áreas de control y el SGSI Anexo A.3 Tiempo de la auditoría

Descripción del proceso para determinar el tiempo de la auditoría Ejemplo de cálculos con base en IAFGD 2, más días adicionales para SGSI/controles

Anexo A.4 Orientación sobre la revisión de los controles del Anexo A

¿

78 ISO 27001

PR/mo/item ID 78

ISO/IEC 27001

Evaluación del Riesgo

&

Gestión del Riesgo

ISO/IEC 27001

Evaluación del Riesgo

&

Gestión del Riesgo

ISO/IEC 27001 no especifica el enfoque de

evaluación/gestión del riesgo que se debe usar

Depende de la organización especificar qué usar

(de acuerdo con el numeral 4.2.1 c))

ISO/IEC 27001 presenta el marco e ISO/IEC

27005, cierta información de mayor utilidad

Enfoques de Gesti

80 ISO 27001

PR/mo/item ID

ISO/IEC 27005 – Gestión del riesgo de seguridad de la información

Ofrece orientación para la gestión del riesgo de seguridad de la información como se plantea en la norma ISO/IEC 27001

Es aplicable para todas las organizaciones

(tamaño, tipo de empresa, etc.) que requieran administrar los riesgos de seguridad de la

información

ISO/IEC 27005

Proceso

de gestión

del riesgo en

ISO/IEC 27005

ModelISO

ModelISO

/IEC 27005

_{/IEC 27005}

ESTABLECER CONTEXTO

COMUNICA

CIÓN DEL RIE

S

GO

IDENTIFICACIÓN DEL RIESGO VALORACIÓN DEL RIESGO EVALUACIÓN DEL RIESGO

EVALUACIÓN DEL RIESGO ANÁLISIS DEL RIESGO DECISIÓN SOBRE EL RIESGO PUNTO 1 Evaluación satisfactoria _Si Si

TRATAMIENTO DEL RIESGO

SEGUIMIEN TO Y REVI SIÓN DE L RIE S GO

ACEPTACIÓN DEL RIESGO

DECISIÓN SOBRE EL RIESGO PUNTO 2 Aceptar riesgos

82 ISO 27001

PR/mo/item ID

La norma ISO/IEC 27005 no especifica un enfoque “correcto” de evaluación/gestión del riesgo

Considera análisis cualitativos y cuantitativos

En la actualidad se concentra en la evaluación del riesgo y su tratamiento

Aún se requieren adiciones sobre seguimiento y revisión del riesgo

ISO/IEC 27005

ISO/IEC 27005 contiene numerosos anexos útiles Valoración del activo

Evaluación del impacto

Ejemplo de listas de amenazas

Ejemplo de listas de vulnerabilidades, relacionadas con áreas específicas de seguridad de la información Análisis de varios enfoques de evaluación del riesgo Mucha información acerca de la selección de

controles (con base en la antigua ISO/IEC 13335-4)

ISO/IEC 27005

84 ISO 27001 PR/mo/item ID Procesos empresariales Información Personas Servicios TCI Conexiones en red Entorno físico Aplicaciones

Dominios de riesgo

Dominios de riesgo

Activos en el SGSI

Activos en el SGSI

Se deberían identificar todos los activos dentro de los límites del SGSI

A fin de comprender los activos y su función en el SGSI, resulta útil identificarlos como parte de las subdivisiones del SGSI

Esto debería incluir

Activos relacionados con el SGSI vía interfaces Dependencias a fin de garantizar la protección constante

86 ISO 27001

PR/mo/item ID

Activos del SGSI

Activos del SGSI

SGSI directorio de activos activos Procesos empresariales Información Personas Servicios TCI Entorno físico Aplicaciones Imagen corporativa Personas

Información /sistemas de información Procesos

Productos/servicios Aplicaciones

TCI

¿Cuál es el activo más importante su organización? Factores que influyen en la importancia:

¿Qué sucede si se daña el activo?

¿El activo es útil para la organización, qué tan difícil resulta realizar negocios sin éste?

¿El activo se relaciona con aplicaciones, recursos críticos, etc.?

Importancia de la medici

88 ISO 27001

PR/mo/item ID

¿

¿

C

_C

ó

_ó

mo medir?

_{mo medir?}

‘Valores’ diferentes de un activo

Dinero (por ej. costos de reposición) Valor que expresa la calidad de crítico

Valores que expresan el impacto potencial y el daño a la empresa por una perdida de

Confidencialidad Integridad

Disponibilidad

Valores asociados con otras clasificaciones (por ej. Violación de las leyes)

¿Cuántos niveles

3, 4 ó 5 .... ó ¿cuántos?

La diferencia entre los niveles debe ser fácil de explicar

El significado de estos niveles diferentes debería expresarse en palabras en cuanto a

Confidencialidad Integridad

Disponibilidad

Otros criterios potenciales

Escala de valoraci

90 ISO 27001

PR/mo/item ID

Identificaci

Identificaci

ó

_ó

n de requisitos

_{n de requisitos}

Identificación de requisitos para los activos

Obligaciones legales y contractuales que el activo (o su ambiente) debe cumplir

Requisitos empresariales que se relacionan con el activo

Información de entrada necesaria para la valoración Ejemplo: información con el requisito de cumplir la Ley de Protección de Datos, Data Protection Act

Identificar toda la legislación y regulación aplicable para el SGSI y sus activos

Véase también la norma ISO/IEC 27002, Sección 12.1 Identificar las obligaciones contractuales

Considerar todos los contratos existentes e identificar las obligaciones allí contempladas.

Acuerdos en el nivel de servicios

Conformidad con las políticas y procedimientos de seguridad Derechos para auditar en contratos de terceros

Requisitos IPR (Derechos de Propiedad Intelectual) …

Requisitos legales/contractuales

92 ISO 27001

PR/mo/item ID

Requisitos empresariales

Requisitos empresariales

Identificar todos los requisitos empresariales

aplicables para el SGSI y sus activos, resultantes de Aplicaciones específicas tales como la Internet, Comercio electrónico, etc.

Asuntos empresariales tales como

joint ventures

empresarial, requisitos para entrega oportuna, etc.

Requisitos de disponibilidad para la información y los servicios, por ej. los resultantes de los

Requisitos de confidencialidad (C) Valor del activo Clase Descripción 1 - BAJO Disponible al público

La información no sensible y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles para el público.

2 - MEDIANO Para uso interno exclusivamente o uso restringido solamente

La información no sensible está restringida para uso interno exclusivamente, es decir, no está disponible para el público o la información restringida y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles dentro de la organización con restricciones variadas con base en las necesidades de la empresa.

3 - ALTO Confidencial o Estrictamente confidencial

La información sensible y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles sólo sobre la base de la necesidad del conocimiento, o

La información sensible y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles sólo sobre la base de la necesidad estricta del conocimiento

Escala de valoraci

94 ISO 27001

PR/mo/item ID

Requisitos de integridad (I)

Valor del activo

Clase Descripción

1 - BAJO Baja integridad El daño o modificación no autorizada no es crítico para las aplicaciones empresariales y el impacto en la

empresa es insignificante o menor. 2 - MEDIANO Integridad

mediana

El daño o modificación no autorizada no es crítico pero si es notorio para las aplicaciones empresariales y el impacto en la empresa es significativo.

3 - ALTO Integridad alta o muy alta

El daño o modificación no autorizada es crítica para las aplicaciones empresariales y el impacto en la

empresa es importante y podría conllevar a falla grave o total de la aplicación empresarial

Escala de valoraci

Requisitos de disponibilidad (A)

Valor del activo Clase Descripción

1 - BAJO Baja

disponibilidad

Se puede tolerar que el activo (información, sistema de procesamiento de la información, recursos del sistema/ servicios de red, personas, etc.) no esté disponible por más de un día

2 - MEDIANO Disponibilidad mediana

Se puede tolerar que el activo (información, sistema de procesamiento de la información, recursos del sistema/ servicios de red, personas, etc.) no esté disponible por máximo de medio día a un día.

3 - ALTO Alta

disponibilidad

No se puede tolerar que el activo (información, sistema de procesamiento de la información, recursos del

sistema/ servicios de red, personas, etc.) no esté disponible por más de unas cuantas horas, o incluso menos.

Escala de valoraci

96 ISO 27001

PR/mo/item ID

Activos

Activos

-

_-

Resumen

_Resumen

La protección de los activos es el objetivo de la seguridad de la información y la gestión del riesgo Cada activo debería

Identificarse y valorarse para permitir la adecuada protección

Se debe identificar un propietario/custodio

Y se debería producir una lista/inventario, que incluya Clasificación, almacenamiento y fecha de

entrada/actualización

Propietario, ubicación, tipo de activo, donde se emplea…

Controles existentes

Controles existentes

Se deben identificar todos los controles ya implementados o planificados

Esto es necesario para

Identificar amenazas y vulnerabilidades en un contexto realista

Verificar si estos controles son realmente necesarios o, de lo contrario, retirarlos

Identificar durante el proceso de evaluación de riesgos dónde funcionan correctamente o deben mejorarse estos controles

Seleccionar controles nuevos que se ajusten a los ya existentes

98 ISO 27001

PR/mo/item ID

Identificaci

Identificaci

ó

_ó

n de controles

_{n de controles}

Los controles existentes se pueden identificar fácilmente empleando un análisis de brechas, que sirve para:

Colocar los controles existentes en relación con los de ISO/IEC 27002

Se puede ajustar en detalle, como se requiera Se puede realizar mediante

Tablas de verificación/P&R Entrevistas

Recorrido

Grados de conformidad

Grados de conformidad

Grados …

Si – implementada por completo como se describe en ISO/IEC 27002

Parcial – desde casi completa hasta cuando existen

muchas brechas entre la implementación real y la norma ISO/IEC 27002

NO – sin implementarse en absoluto

NO SE APLICA– no es adecuada para la organización, por ej., técnicamente no es factible implementarla.

NO Parcial Si NO NO Parcial Parcial Si Si

100 ISO 27001 PR/mo/item ID Control Pregunta S/P/ N/NA Comentarios

Política de Seguridad de la Información

5.1.1 ¿Se ha publicado el documento de la política?, ¿ha sido aprobado por la Dirección y se encuentra disponible para todos los usuarios responsables de la seguridad de la información?

Parcial Ha sido producido y aprobado por la Dirección, pero aún no se ha publicado – véase CISP/001/v1.0.

5.1.2 ¿La política publicada se revisa de manera regular y es apropiada?

No Pero se hará después de que se haya publicado

Organización interna

6.1.1 ¿La Dirección está comprometida con la

seguridad de la información y ofrece instrucción clara y apoyo para las iniciativas de seguridad?

Si La Dirección apoya por completo las iniciativas ISO/IEC 27001.

6.1.2 ¿Las iniciativas y las medidas de seguridad están coordinadas por medio de un foro funcional

transversal?

No se

aplica Esta es una pequeña empresa y _{esto de puede manejar en un nivel}

de trabajo diario.

6.1.3 ¿Están bien definidas las responsabilidades para la protección de activos individuales y la

realización de procesos específicos?

Parcial Aún se requiere asignar

responsabilidades adicionales en línea con la política de seguridad.

Tabla de an

Tabla de an

á

á

lisis de brechas

lisis de brechas

de alto nivel

Tabla detallada

Tabla detallada

de an

de an

á

á

lisis de brechas

lisis de brechas

Pregunta S/P/ N/NA Comentarios

Control 5.1.1 – Documento de política de seguridad de la información

¿Se ha implementado la política de seguridad? Si Ha sido publicada y se emprenderán acciones adicionales para la

comunicación en el mes. siguiente ¿La política está aprobada por la Dirección? Si Si, ha sido aprobada por la Dirección. ¿Se ha publicado y comunicado la política a todos los

empleados y partes externas pertinentes?

Parcial Ha sido publicada para todos los empleados, pero aún no externamente ¿Todos entienden la política de seguridad, su propósito

e implicaciones?

No No todavía, pero se brindará

capacitación especial para lograrlo el mes siguiente.

¿La política contiene todos los asuntos pertinentes mencionados en Control 5.1.1?

Si Se ha desarrollado la política por completo en línea con la norma 27002. ¿La política de seguridad está poyada por políticas más

detalladas (por ej, software o la Internet)?

Parcial Existe una política de control de acceso y directrices de manejo de incidentes, pero en la actualidad no hay política de la Internet.

102 ISO 27001

PR/mo/item ID

Las vulnerabilidades son debilidades, por ej. debilidades de seguridad en el sistema

Las amenazas son cualquier cosa que pudiera

causar daño, perjurio o pérdida a los activos de una organización por medio de la explotación de las

vulnerabilidades de estos activos

Se necesita la conjunción de vulnerabilidades y amenazas para originar un riesgo

Threats

Las amenazas pueden originarse de

Las amenazas pueden originarse de

…

_…

Ataques del exterior, por ej. Intento de intrusión en las redes o predios de una organización

Hackers, spam

Ataques desde el interior usando el conocimiento y las oportunidades brindadas por el empleado

Ejemplo: un banco en Alemania donde desparecieron 8 millones de €

Accidentalmente debido a fallas del sistema o factores geográficos

Inundaciones, huracanes, terremotos Sobrecarga del sistema

104 ISO 27001 PR/mo/item ID

Ejemplos de amenazas

Ejemplos de amenazas

Hurto, por empleados o no empleados

Mal uso de los sistemas de procesamiento de la información Fraude

Falla del sistema

Negación del servicio Errores del usuario Desastres

Identificaci

Identificaci

ó

_ó

n de amenazas

_{n de amenazas}

¿Qué podría amenazar este activo? Empleados o no empleados Fallas del sistema o desastres Identificación de las amenazas

¿Quién o qué causa la amenaza?

¿Quién podría beneficiarse de iniciar la amenaza? ¿Qué ha ocurrido en el pasado?

¿Qué probabilidad hay de que esto ocurra (de nuevo)?