Vous êtes sur la page 1sur 84

SEGURIDAD DE LA INFORMACION

SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION


(ISMS Information Security Management System)

Ms. Ing. Edwin Valencia Castillo


evalencia@unc.edu.pe

Seguridad de la Informacin| SGSI

ndice

Introduccin a los SGSI y la norma ISO 27001


Desarrollo de normativas

Aspectos claves en la implantacin de un SGSI: Anlisis de Riesgos


Anlisis y Gestin de Riesgos Qu es un Sistema de Gestin? Especificaciones SGSI: ISO 27001

Buenas prcticas: ISO 27002 Procesos de Certificacin


2

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Qu es un Sistema de Gestin de Seguridad de la Informacin?

Es la herramienta de la organizacin para dotarse en cada momento de las medidas de seguridad oportunas, que proporcionen los niveles de proteccin de la informacin que en cada momento sean necesarias, de la forma mas eficiente, en un entorno de mejora continua.

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Qu es un Sistema de Gestin de Seguridad de la Informacin?

Es un proceso sistemtico, documentado y conocido por toda la organizacin, desde un enfoque de riesgo empresarial. Ayuda a establecer polticas y procedimientos en relacin a los objetivos del negocio de la organizacin, con el objeto de mantener un nivel de exposicin siempre menor al nivel de riesgo que la propia organizacin ha decidido asumir.
4
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Qu es un Sistema de Gestin de Seguridad de la Informacin? Es un conjunto de polticas, procedimientos y controles que persigue mantener el riesgos de los sistemas de informacin dentro de unos niveles asumibles por la direccin y mejorar la seguridad de la informacin para apoyar los procesos de negocio a travs del ciclo de mejora continua.
Planificar Establecer el SGSI Actuar Hacer Mantener y Implantar y Mejorar el SGSI Operar el SGSI Comprobar Monitorizar y Revisar el SGSI

El ncleo sobre el que se fundamenta un SGSI es la GESTION DEL RIESGO

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Cmo trata el riesgo un SGSI?

Primero analizar el riesgo

Activos CLASIFICACION Amenazas Vulnerabilidades DEL RIESGO Impacto


NIVEL ACEPTABLE DEL RIESGO

Segundo decidir sobre 1.- Aceptarlo 2.- Transferirlo el riesgo

3.- Gestionarlo

Cuarto corregir y mejorar

Tercero 1.- Polticas medir cmo 2.- Procedimientos van las cosas 3.- Implantacin
4.- Eficacia
6
Tuesday, October 1, 2013 Seguridad de la Informacin

CONTROL DEL RIESGO

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Normativa sobre SGSI

Normas de referencia

ISO 27002: Cdigo de buenas prcticas para


la gestin de la seguridad de la informacin
Da recomendacin sobre como gestionar la seguridad de la informacin, a travs de 12 secciones, cada una de las cuales tiene una serie de objetivos, que se alcanzan implantando una serie de controles

ISO 27001: Especificaciones para los Sistemas de Gestin


de la Seguridad de la Informacin (SGSI)
Establece las especificaciones que debe cumplir el sistema de gestin que implante la organizacin para que pueda ser auditado y certificado
Seguridad de la Informacin 2011 Edwin Valencia Castillo.

Tuesday, October 1, 2013

Seguridad de la Informacin| SGSI

Familia de estndares ISO 27000


ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea.

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Evolucin Histrica del marco ISO 27000


1995 1996 1999 2000 2002 2005

BS7799:1995 ISO 14980:1996 BS7799-1:1999 ISO/IEC 17799:2000

UNE/ISO 17799:2002
ISO 27001:2005 ISO 27002:2005

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Evolucin Histrica del marco ISO 27000

UNE-ISO/IEC 27001

ISO/IEC 27002

2007

10

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Historia del ISO 27001

11

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

La familia de normas ISO 27000


ISO 27000 Vocabulario y Definiciones: Publicada el 1 de Mayo de 2009 y revisada con una segunda edicin de 01 de Diciembre de 2012. Esta norma proporciona una visin general de las normas que componen la serie 27000, una introduccin a los Sistemas de Gestin de Seguridad de la Informacin, una breve descripcin del ciclo Plan-Do-Check-Act y trminos y definiciones que se emplean en toda la serie 27000 ISO 27001 Especificaciones de un SGSI: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya qued anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. ISO 27002 Cdigo de Buenas Prcticas (anterior ISO/IEC 17799:2005): Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. agrupados en 12 dominios. Desde 2007 se ha traducido en el Per (como ISO 17799).

12

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

La familia de normas ISO 27000


ISO 27003 Gua de implantacin de un SGSI: Publicada el 01 de Febrero de 2010. No certificable. Es una gua que se centra en los aspectos crticos necesarios para el diseo e implementacin con xito de un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de especificacin y diseo desde la concepcin hasta la puesta en marcha de planes de implementacin, as como el proceso de obtencin de aprobacin por la direccin para implementar un SGSI. ISO 27004 Mtricas e Indicadores: Publicada el 15 de Diciembre de 2009. No certificable. Es una gua para el desarrollo y utilizacin de mtricas y tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados segn ISO/IEC 27001. ISO 27005 Gua de gestin de Riesgos: Publicada en segunda edicin el 1 de Junio de 2011 (primera edicin del 15 de Junio de 2008). No certificable. Proporciona directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos.

13

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

La familia de normas ISO 27000


ISO 27006 Requisitos acreditacin entidades de certificacin: Publicada en segunda edicin el 1 de Diciembre de 2011 (primera edicin del 1 de Marzo de 2007). Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. ISO 27007 Publicada el 14 de Noviembre de 2011. No certificable. Es una gua de auditora de un SGSI, como complemento a lo especificado en ISO 19011. ISO 27008 Publicada el 15 de Octubre de 2011. No certificable. Es una gua de auditora de los controles seleccionados en el marco de implantacin de un SGSI. ISO 27010 Publicada el 20 de Octubre de 2012. Consiste en una gua para la gestin de la seguridad de la informacin cuando se comparte entre organizaciones o sectores. ISO 27011 Publicada el 15 de Diciembre de 2008. Es una gua de interpretacin de la implementacin y gestin de la seguridad de la informacin en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. ISO 27013 Publicada el 15 de Octubre de 2012. Es una gua de implementacin integrada de ISO/IEC 27001 (gestin de seguridad de la informacin) y de ISO/IEC 20000-1 (gestin de servicios TI).

14

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

La familia de normas ISO 27000


ISO 27014 En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de gobierno corporativo de la seguridad de la informacin. ISO 27015 Publicada el 23 de Noviembre de 2012. Es una gua de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002. ISO/IEC 27016 En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de valoracin de los aspectos financieros de la seguridad de la informacin. ISO/IEC 27017 En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de seguridad para Cloud Computing. ISO/IEC 27018 En fase de desarrollo, con publicacin prevista en 2013. Consistir en un cdigo de buenas prcticas en controles de proteccin de datos para servicios de computacin en cloud computing. ISO/IEC 27019 En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua con referencia a ISO/IEC 27002 para el proceso de control de sistemas especficos al sector de la industria de la energa.

15

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

La familia de normas ISO 27000


ISO/IEC 27031 Publicada el 01 de Marzo de 2011. No certificable. Es una gua de apoyo para la adecuacin de las tecnologas de informacin y comunicacin (TIC) de una organizacin para la continuidad del negocio. ISO/IEC 27032 Publicada el 16 de Julio de 2012. Proporciona orientacin para la mejora del estado de seguridad ciberntica, extrayendo los aspectos nicos de esa actividad y de sus dependencias en otros dominios de seguridad, concretamente: Informacin de seguridad, seguridad de las redes, seguridad en Internet e informacin de proteccin de infraestructuras crticas (CIIP). ISO/IEC 27033 Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el 15 de Diciembre de 2009); 27033-2, directrices de diseo e implementacin de seguridad en redes (publicada el 27 de Julio de 2012); 27033-3, escenarios de referencia de redes (publicada el 3 de Diciembre de 2010); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista para 2013); 27033-6, convergencia IP (prevista para 2013); 27033-7, redes inalmbricas (prevista para 2013).

16

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

La familia de normas ISO 27000


ISO/IEC 27034 Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informticas, consistente en 5 partes: 27034-1, conceptos generales (publicada el 21 de Noviembre de 2011); 27034-2, marco normativo de la organizacin (sin previsin de publicacin); 27034-3, proceso de gestin de seguridad en aplicaciones (sin previsin de publicacin); 27034-4, validacin de la seguridad en aplicaciones (sin previsin de publicacin); 27034-5, estructura de datos de protocolos y controles de seguridad de aplicaciones (sin previsin de publicacin). ISO/IEC 27035 Publicada el 17 de Agosto de 2011. Proporciona una gua sobre la gestin de incidentes de seguridad en la informacin. ISO/IEC 27036 En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visin general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC; 27036-4, seguridad en outsourcing (externalizacin de servicios).

17

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

La familia de normas ISO 27000


ISO/IEC 27037 Publicada el 15 de Octubre de 2012. Es una gua que proporciona directrices para las actividades relacionadas con la identificacin, recopilacin, consolidacin y preservacin de evidencias digitales potenciales localizadas en telfonos mviles, tarjetas de memoria, dispositivos electrnicos personales, sistemas de navegacin mvil, cmaras digitales y de video, redes TCP/IP, entre otros dispositivos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones. ISO/IEC 27038 En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de especificacin para seguridad en la redaccin digital. ISO/IEC 27039 En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua para la seleccin, despliegue y operativa de sistemas de deteccin y prevencin de intrusin (IDS/IPS). ISO/IEC 27040 En fase de desarrollo, con publicacin prevista no antes de 2014. Consistir en una gua para la seguridad en medios de almacenamiento. ISO/IEC 27041 En fase de desarrollo, con publicacin prevista no antes de 2014. Consistir en una gua para la garantizar la idoneidad y adecuacin de los mtodos de investigacin.

18

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

La familia de normas ISO 27000


ISO/IEC 27042 En fase de desarrollo, con publicacin prevista no antes de 2014. Consistir en una gua con directrices para el anlisis e interpretacin de las evidencias digitales. ISO/IEC 27043 En fase de desarrollo, con publicacin prevista no antes de 2014. Desarrollar principios y procesos de investigacin. ISO/IEC 27044 En fase de desarrollo, con publicacin prevista no antes de 2014. Gestin de eventos y de la seguridad de la informacin - Security Information and Event Management (SIEM). ISO 27799 Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretacin y aplicacin en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la informacin sobre los datos de salud de los pacientes.

19

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Relacin entre las normas ISO 27000

20

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Relacin con otros estndares

21

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Seguridad, de qu estamos hablando? La seguridad de la informacin se caracteriza como la preservacin de la su Confidencialidad, Integridad y Disponibilidad NECESIDADES SEGURIDAD DE NUESTRO CONFIDENCIALIDAD NEGOCIO S
INTEGRIDAD

DISPONIBILIDAD

E G U R I D A D

AUTENTICACION

NO REPUDIO

TRAZABILIDAD

RESPONSABILIDAD GESTIN DE LA SEGURIDAD SEGURIDAD TOTAL

22

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ndice

Introduccin a los SGSI y la norma ISO 27001


Desarrollo de normativas

Aspectos claves en la implantacin de un SGSI: Anlisis de Riesgos


Anlisis y Gestin de Riesgos Qu es un Sistema de Gestin? Especificaciones SGSI: ISO 27001

Buenas prcticas: ISO 27002 Procesos de Certificacin


23

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Anlisis de Riesgos
Elemento fundamental de un Sistema de Gestin de la Seguridad de la Informacin Es el proceso de identificar los riesgos de la seguridad, determinando su magnitud e identificando las reas que requieren medidas de salvaguarda

24

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Anlisis de Riesgos
El anlisis de riesgos intenta que los criterios en los que se apoya la seguridad sean mas objetivos
Introduce un grado importante de objetividad Permite a la organizacin gestionar sus riesgos por s mismos Apoyar la toma de decisiones basndose en los riesgos propios Centrarse en proteger los activos importantes Formar y comunicar los aspectos de la seguridad necesarios

Control de los riesgos Riesgo conocido y asumido por la compaa


25
Tuesday, October 1, 2013 Seguridad de la Informacin

Disminucin del riesgo Vigilancia del nivel de riesgo.

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Anlisis de Riesgos. Definiciones

26

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Anlisis de Riesgos. Relaciones Amenazas


Protegen contra Explota

Vulnerabilidades
Afecta a Aumenta

Aumenta

Salvaguardas

Disminuye

Riesgo
Aumenta Indica

Activos

Satisfecho por

Tiene

Requisitos de seguridad

Valor de activos

27

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Anlisis de Riesgos. Relaciones


Dir. Transversal, Equipos obsoletos, Buff. Overflow, Buff. Overrun, Unauthorized mail access, Priv. Escalation, DoS, Falta formacin, Open Relay, etc.

Hackers, Sabotajes, Explota Virus, Phising, Spam, Averas, etc.


Protegen contra Aumenta

Afecta a

Cluster, Antivirus, Disminuye Antispam, Backup Respaldo, Formacin, etc.

Aumenta

Riesgo
Aumenta

eMail

Satisfecho por

Indica

Tiene

Requisitos de seguridad

Valor del eMail

28

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Anlisis de Riesgos. Objetivo Tiene por objetivo la toma de una decisin.

Que es la accin de neutralizar un riesgo considerado no aceptable. La accin se plasma en la implantacin de salvaguardas. Salvaguardas escogidas entre alternativas + o excluyentes. El estado final de seguridad alcanzado puede no coincidir con el estado final de seguridad deseado. Pueden entran en juego restricciones: legales, econmicas, tcnicas, temporales, sociales, culturales, etc.
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.

29

Seguridad de la Informacin| SGSI

Anlisis de Riesgos. Metodologas de Anlisis de Riesgos NIST SP800-30(NIST-USA). MAGERIT AS/NZ (Estandar Australiano) IT Baseline Protection Manual (BSI - Alemania). CRAMM (Siemens Insight Consulting - UK) OCTAVE (SEI Carnegie Mellon University - US). EBIOS (DCSSI-Francia). MHARI (Mthode Harmonise dAnalyse de Risques Informatiques). 565 , herramienta RISICARE (9200+565 formacin extranjero) Otras: COBRA, SCORE, CALIO, ISAAM, RA2, MOSLER, Gretener, etc.
30
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Gestin de Riesgos
Anlisis de los Riesgos: proceso sistemtico para identificar y estimar la magnitud del riesgo sobre un sistema de informacin.
Activos Amenazas Vulnerabilidades Anlisis de Riesgos Riesgos Gestin de Riesgos Salvaguardas

Gestin de los Riesgos: seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir, controlar o transferir los riesgos identificados. 31
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Gestin de Riesgos.

Fuentes de las necesidades de seguridad Legislacin, estatutos, contratos Necesidades del negocio Anlisis de riesgos
SEGURIDAD PRINCIPIOS OBJETIVOS ANLISIS DE RIESGO LEGAL CONTRACTUAL

La seguridad slo se consigue combinando medidas tecnolgicas y de gestin


32
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Gestin de Riesgos.

Gestionar los riesgos identificados:


Determinar si el riesgo es aceptable
SI: Identificar y aceptar el riesgo residual No: Decidir sobre la forma de gestionar el riesgo

Forma de gestionar el riesgo:


Vulnerabilidad seguros.

Evitarlo: Suprimir las causas del riesgo: Activo, Amenaza, Transferirlo: Cambiar un riesgo por otro: Outsourcing, Reducirlo: Reducir la amenaza, vulnerabilidad, impacto Asumirlo: Detectar y recuperarse

33

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Gestin de Riesgos.
Identificar requisito de seguridad

Se acepta el riesgo

No

Hacemos algo?

Si
Eliminar el origen del riesgo, o transferirlo

No
Reducimos riesgo?

Si
Proceso de reduccin de nivel de riesgo Seleccin de controles

34

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Qu es un Sistema de Gestin? Es un mtodo para establecer la poltica y Objetivos de una organizacin y lograrlos, Mediante: Una estructura organizativa donde las funciones, responsabilidades, autoridad, etc. de las personas estn definidas Procesos y recursos necesarios para lograr los objetivos Metodologa de medida y de evaluacin para valorar los resultados frente a los objetivos, incluyendo la realimentacin de resultados para planificar las mejoras del sistema Un proceso de revisin para asegurar que los problemas se detectan y se corrigen, y las oportunidades de mejora se implementan cuando estn justificadas
35
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Para que sirve un SGSI


El Sistema de Gestin de la Seguridad de la Informacin (SGSI) ayuda a establecer estas polticas y procedimientos en relacin a los objetivos de negocio de la organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel de riesgo que la propia organizacin ha decidido asumir.
Con un SGSI, la organizacin conoce los riesgos a los que est sometida su informacin y los asume, minimiza, transfiere o controla mediante una sistemtica definida, documentada y conocida por todos, que se revisa y mejora constantemente. 36
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Que incluye un SGSI

37

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Manual de seguridad
DOCUMENTOS DE NIVEL 1 Manual de seguridad: por analoga con el manual de calidad, aunque el trmino se usa tambin en otros mbitos. Sera el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, polticas y directrices principales, etc., del SGSI.

38

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Procedimientos
DOCUMENTOS DE NIVEL 2 Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificacin, operacin y control de los procesos de seguridad de la informacin.

39

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Instrucciones, checklist y formularios


DOCUMENTOS DE NIVEL 3 Instrucciones, checklists y formularios: documentos que describen cmo se realizan las tareas y las actividades especficas relacionadas con la seguridad de la informacin.

40

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Registros
DOCUMENTOS DE NIVEL 4 Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; estn asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos.

41

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Documentos de un SGSI segn el ISO 27001


ESTA DOCUMENTACION PUEDE ESTAR EN CUALQUIER FORMATO O TIPO DE MEDIO Alcance del SGSI: mbito de la organizacin que queda sometido al SGSI, incluyendo una identificacin clara de las dependencias, relaciones y lmites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el mbito de influencia del SGSI considere un subconjunto de la organizacin como delegaciones, divisiones, reas, procesos, sistemas o tareas concretas). Poltica y objetivos de seguridad: documento de contenido genrico que establece el compromiso de la direccin y el enfoque de la organizacin en la gestin de la seguridad de la informacin. Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el propio funcionamiento del SGSI. Enfoque de evaluacin de riesgos: descripcin de la metodologa a emplear (cmo se realizar la evaluacin de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relacin a los activos de informacin contenidos dentro del alcance seleccionado), desarrollo de criterios de aceptacin de riesgo y fijacin de niveles de riesgo aceptables.
42
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Documentos de un SGSI segn el ISO 27001


Informe de evaluacin de riesgos: estudio resultante de aplicar la metodologa de evaluacin anteriormente mencionada a los activos de informacin de la organizacin. Plan de tratamiento de riesgos: documento que identifica las acciones de la direccin, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la informacin, en funcin de las conclusiones obtenidas de la evaluacin de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc. Procedimientos documentados: todos los necesarios para asegurar la planificacin, operacin y control de los procesos de seguridad de la informacin, as como para la medida de la eficacia de los controles implantados. Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI. Declaracin de aplicabilidad (SOA Statement of Applicability): documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluacin y tratamiento de riesgos, justificando inclusiones y exclusiones.

43

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Cmo se implementa un SGSI?


Para establecer y gestionar un Sistema de Gestin de la Seguridad de la Informacin en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestin de la calidad.
Plan (planificar): establecer el SGSI.

Act (actuar): mantener y mejorar el SGSI.

Do (hacer): implementar y utilizar el SGSI. Check (verificar): monitorizar y revisar el SGSI.

44

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Gestin de la Seguridad . ISO 27001


Definir el alcance del SGSI Definir la poltica del SGSI Identificar los riesgos Gestionar los riesgos Seleccionar los controles ISO 17799:2005

Planificar
Implantar las mejoras Adoptar acciones preventivas y correctivas Comunicar acciones y resultados Verificar que las mejoras cumplen su objetivo

Establecer el SGSI Actuar Hacer Mantener y Implantar y Mejorar el SGSI Operar el SGSI Comprobar Monitorizar y Revisar el SGSI

Definir e implantar plan de gestin de riesgos Implantar controles seleccionados y sus indicadores Implantar el Sistema de Gestin

Desarrollar procedimientos de monitorizacin Revisar regularmente el SGSI Revisar los niveles de riesgo Auditar internamente el SGSI

45

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Establecer el SGSI

46

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Plan: Establecer el SGSI


Definir el alcance del SGSI en trminos del negocio, la organizacin, su localizacin, activos y tecnologas, incluyendo detalles y justificacin de cualquier exclusin. Definir una poltica de seguridad que:
Incluya el marco general y los objetivos de seguridad de la informacin de la organizacin; Considere requerimientos legales o contractuales relativos a la seguridad de la informacin; Est alineada con el contexto estratgico de gestin de riesgos de la organizacin en el que se establecer y mantendr el SGSI; establezca los criterios con los que se va a evaluar el riesgo; Est aprobada por la direccin.
47
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Plan: Establecer el SGSI cont.


Definir una metodologa de evaluacin del riesgo apropiada para el SGSI y los requerimientos del negocio, adems de establecer los criterios de aceptacin del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodologa es que los resultados obtenidos sean comparables y repetibles (existen numerosas metodologas estandarizadas para la evaluacin de riesgos, aunque es perfectamente aceptable definir una propia). Identificar los riesgos:
Identificar los activos que estn dentro del alcance del SGSI y a sus responsables directos, denominados propietarios; Identificar las amenazas en relacin a los activos; Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas; Identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos.
48
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Plan: Establecer el SGSI cont.


Analizar y evaluar los riesgos:
Evaluar el impacto en el negocio de un fallo de seguridad que suponga la prdida de confidencialidad, integridad o disponibilidad de un activo de informacin; Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relacin a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estn implementados; Estimar los niveles de riesgo; Determinar, segn los criterios de aceptacin de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado.

Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:


Aplicar controles adecuados; Aceptar el riesgo, siempre y cuando se siga cumpliendo con las polticas y criterios establecidos para la aceptacin de los riesgos; Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan; Transferir el riesgo a terceros, p. ej., compaas aseguradoras o proveedores de outsourcing.

49

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Plan: Establecer el SGSI cont.

50

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Plan: Establecer el SGSI cont.


Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluacin del riesgo. Aprobar por parte de la direccin tanto los riesgos residuales como la implantacin y uso del SGSI. Definir una declaracin de aplicabilidad que incluya:
Los objetivos de control y controles seleccionados y los motivos para su eleccin; Los objetivos de control y controles que actualmente ya estn implantados; Los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusin; este es un mecanismo que permite, adems, detectar posibles omisiones involuntarias.
51
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Do: Implementar y utilizar el SGSI


Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin. Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignacin de recursos, responsabilidades y prioridades. Implementar los controles anteriormente seleccionados que lleven a los objetivos de control. Definir un sistema de mtricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles. Procurar programas de formacin y concienciacin en relacin a la seguridad de la informacin a todo el personal. Gestionar las operaciones del SGSI. Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la informacin. Implantar procedimientos y controles que permitan una rpida deteccin y respuesta a los incidentes de seguridad.
52
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Check: Monitorizar y revisar el SGSI


La organizacin deber: Ejecutar procedimientos de monitorizacin y revisin para:
Detectar a tiempo los errores en los resultados generados por el procesamiento de la informacin; Identificar brechas e incidentes de seguridad; Ayudar a la direccin a determinar si las actividades desarrolladas por las personas y dispositivos tecnolgicos para garantizar la seguridad de la informacin se desarrollan en relacin a lo previsto; Detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores; Determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas.

Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la poltica y objetivos del SGSI, los resultados de auditoras de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas. Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI.
53
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Check: Monitorizar y revisar el SGSI


Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad. Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organizacin, la tecnologa, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos legales, obligaciones contractuales, etc.-. Realizar peridicamente auditoras internas del SGSI en intervalos planificados. Revisar el SGSI por parte de la direccin peridicamente para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes. Actualizar los planes de seguridad en funcin de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorizacin y revisin.
54
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Act: Mantener y mejorar el SGSI


La organizacin deber regularmente: Implantar en el SGSI las mejoras identificadas. Realizar las acciones preventivas y correctivas adecuadas en relacin a la clasula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones. Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder. Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.
55
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

56

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Gestin de la Seguridad . ISO 27001 ISO 27001:2005

57

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Gestin de la Seguridad . Criterios de xito para la implantacin de un SGSI


Las recomendaciones de la norma
1. 2. 3. 4. 5. 6. 7. 8. 9.

Poltica de seguridad coherente con los objetivos de negocio Un sistema consistente con la cultura de la organizacin Un buen anlisis de los requerimientos de seguridad Buena comunicacin de la seguridad a todo el personal Mtricas e indicadores que permitan saber cmo funciona el SGSI Distribucin de guas de seguridad Soporte de la direccin Recursos Formacin y concienciacin de incidentes
Seguridad de la Informacin 2011 Edwin Valencia Castillo.

10. Gestin

58

Tuesday, October 1, 2013

Seguridad de la Informacin| SGSI

ndice

Introduccin a los SGSI y la norma ISO 27001


Desarrollo de normativas

Aspectos claves en la implantacin de un SGSI: Anlisis de Riesgos


Anlisis y Gestin de Riesgos Qu es un Sistema de Gestin? Especificaciones SGSI: ISO 27001

Buenas prcticas: ISO 27002 Procesos de Certificacin


59

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ISO 27002

Qu es ISO 27002 (ISO 17799)?

Cdigo de buenas prcticas para la gestin de la seguridad de los sistemas de informacin


Una cadena es tan fuerte como el ms dbil de sus eslabones

60

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ISO 27002 Da recomendaciones para gestionar la seguridad Es una base comn para desarrollar ...
normas de seguridad organizativas, prcticas efectivas de gestin de la seguridad y la confianza organizaciones en las relaciones entre

Debe usarse conforme a la legislacin y reglamentos aplicables

61

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ISO 27002
Con origen en la norma britnica BS7799-1, constituye un cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin. Establece la base comn para desarrollar normas de seguridad dentro de las organizaciones. Define doce dominios de control que cubren por completo la Gestin de la Seguridad de la Informacin. 41 objetivos de control y 133 controles.

62

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ISO 27002: Tipos de controles


Prevencin Deteccin Contencin Correccin Evaluacin Riesgo Incidente Daos Recuperacin

63

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ISO 27002: 12 secciones, 41 objetivos, 133 controles


Conformidad legal
(3 Objetivo, 10 Controles)

Gestin de incidentes de seguridad

(10 Objetivo, 32 Controles)

Compras, Desarrollo y Mantenimiento de sistemas

(7 Objetivo, 25 Controles)

(6 Objetivo, 16 Controles)

Control de acceso

Plan de Continuidad de Negocio

Anlisis de Riesgos

Comunicaciones y operaciones

(2 Objetivo, 5 Controles)

(1 Objetivo, 5 Controles)

(2 Objetivos)

Recursos humanos de seguridad

(3 Objetivo, 9 Controles)

(2 Objetivo, 13 Controles)

Seguridad fsica

Organizacin de la seguridad

(2 Objetivo, 11 Controles)

Gestin de activos
(2 Objetivo, 5 Controles)

Poltica de Seguridad
(1 Objetivo, 2 Controles)

64

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ISO 27002

65

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ISO 27002

66

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ISO 27002

67

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ISO 27002

68

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ISO 27002

69

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ISO 27002

70

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ISO 27002

71

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ISO 27002

72

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ISO 27002

73

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ISO 27002

74

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ISO 27002

75

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ISO 27002

76

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ISO 27002

77

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Gestin de la Seguridad . Factores de xito Orientacin al negocio Liderazgo de la direccin Participacin del personal Seguridad basada en riesgo Enfoque basado en procesos, no en productos Enfoque de sistema de gestin Medicin y mejora continua Toma de decisin basada en hechos Gestin planificada de incidentes
78
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

ndice

Introduccin a los SGSI y la norma ISO 27001


Desarrollo de normativas

Aspectos claves en la implantacin de un SGSI: Anlisis de Riesgos


Anlisis y Gestin de Riesgos Qu es un Sistema de Gestin? Especificaciones SGSI: ISO 27001

Buenas prcticas: ISO 27002 Procesos de Certificacin


79

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Proceso de Certificacin Cmo

Auditora / evaluacin inicial Anlisis de riesgos Seleccin de controles

Consultora

PROYECTO DE IMPLANTACION Y CERTIFICACION DE SGSI

Desarrollo e implantacin del SGSI Auditora interna Correccin de no conformidades Auditora de certificacin

Certificadora

80

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Proceso de Certificacin
SOLICITUD + MANUAL+ PROCEDIMIENTOS REVISIN DE DOCUMENTACIN
DOC. COMPLETA Y ADECUADA SI

NO

C i c l o c o m p l e t o
SI

AUDITORA INICIAL
ACCIONES CORRECTORAS VALIDAS SI

PETICIN DE NUEVAS ACCIONES CORRECTORAS Y/O VISITA EXTRAORDINARIA

NO

CONCESIN DEL CERTIFICADO AUDITORA DE SEGUIMIENTO (ANUAL)


ACCIONES CORRECTORAS VALIDAS

PETICIN DE NUEVAS ACCIONES CORRECTORAS Y/O VISITA EXTRAORDINARIA

NO

VALIDACIN DEL CERTIFICADO

AUDITORA DE RENOVACIN (TRIANUAL)

81

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Proceso de Certificacin Cmo

Ejemplo simplificado del diagrama de flujos de una Auditora de Applus+ de certificacin SGSI
CLIENTE
Inicio de la auditora
AUDITORA DOCUMENTAL

AUDITORIA IN SITU

DOCUM ENTACIN
. Descripci n de l a organi zaci n . Descripci n de l os m edi os tcni cos de SGSI . Descripci n breve del SGSI . Al cance . Pol i ti cas y norm as . Decl aracion de apl i cabi l i i dad . anal i si s de ri esgos . Pl an de gesti n de ri esgos . Procedim i entos criti cos

Envo documentacin del SGSI Anlisis de la documentacin enviada

Elaboracin y envo del inf orme de auditora documental

Informe Auditora Documental

No

Certi fi cable?

Si Si
Hay No Conformi dades?

Acciones correctivas

No Elaboracin Plan auditora


Revision acciones correctivas

Plan de Auditora

Acciones correctivas

. . . . .

Implicacin de direccin Auditora controles Revisin registros Revisin indicadores Pruebas sustantivas

Informe Auditora

Si
Certif icable?

No

Si

Corregible?

No

Denegacin del certificado

82

Tuesday, October 1, 2013

Seguridad de la Informacin

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Conclusiones

Los procesos de negocio dan dinero, los Sistemas de Informacin apoyan estos procesos Cada da hay nuevos problemas potenciales: problemas tcnicos, personal inexperto, accidentes, etc. La seguridad orientada a productos no es suficiente Hay que conocer el riesgo y priorizar recursos para controlarlo El proceso de anlisis y control tiene que ser continuo travs de un proceso de medicin del desempeo Este es el espritu de las normas sobre SGSI ISO 27001 e ISO 27002
Seguridad de la Informacin 2011 Edwin Valencia Castillo.

83

Tuesday, October 1, 2013

SEGURIDAD DE LA INFORMACION

Preguntas y Respuestas