Medrano 951 2º Piso (1179) Ciudad de Buenos Aires

Tel. 4867-7545 – Tel/Fax 4863-7711

Web:calidad.sceu.frba.utn.edu.ar AÑO 2009
1
E-mail:calidad@sceu.frba.utn.edu.ar
Disertantes: Lic. Gisel de Porto 2
Objetivo:

• Seguridad de la Información
• Origen de la norma
• Familia de normas ISO 27000
• La norma ISO / IEC 27001:2005:
– Fundamentos,
– Ciclo PDCA,
– Gestión de Riesgos y
– Requisitos

3
 Términos y definiciones
• Información: La información constituye un
importante activo, esencial para las necesidades
empresariales de una organización. La
información puede existir de muchas maneras.
Puede estar impresa o escrita en papel, puede
estar almacenada electrónicamente, ser
transmitida por correo o por medios
electrónicos, se la puede mostrar en videos, o
exponer oralmente en conversaciones.
ISO / IEC 27002:2005
 Términos y definiciones
• Confidencialidad: Propiedad por la cual la información
no esté disponible ni sea divulgada a individuos,
organismos o procesos no autorizados.
ISO 27001:2005, cláusula 3.3
• Integridad: Propiedad de proteger la precisión y la
totalidad de los activos.
ISO 27001:2005, cláusula 3.8
• Disponibilidad: Propiedad de estar accesible y ser
utilizable a demanda por parte de un organismo
autorizado
ISO 27001:2005, cláusula 3.2
 Términos y definiciones
• Seguridad de la información: Preservación de
la confidencialidad, integridad y disponibilidad
de la información; además de otras
propiedades, que también pueden estar
involucradas como la autenticación, registro de
responsabilidad (accountability), el no repudio y
la confiabilidad.
ISO 27001:2005, cláusula 3.4
 Origen de la familia 27000
• British Standards Institution (BSI)
– 1979: Publica BS 5750 – ahora ISO 9001
– 1992: Publica BS 7750 – ahora ISO 14001
– 1995: Publica BS 7799 – luego 7799-1, ahora ISO/IEC 27002
– 1999: Publica BS 7799-2 – ahora ISO/IEC 27001
– 2006: Publica BS 7799-3
• ISO (International Organization for Standardization)
– 2000: Revisa BS 7799-1 y 2. Sin cambios sustanciales de la
parte 1 la adopta como ISO/IEC 17799:2000.
– 2005: adopta BS 7799-2:2002 como ISO/IEC 27001:2005 y la
ISO/IEC 17799:2000 –con modificaciones- como ISO
17799:2005.
– 2007: adopta ISO 17799:2005 -sin cambios- como ISO
27002:2005
– 2008: publica ISO 27005:2008 basándose en BS 7799-3
Sistemas de Gestión Integrados
MISIÓN

OBJETIVOS DEL
NEGOCIO
ISO 14001
OHSAS 18001 RIESGOS DEL ISO 27001
ISO 26000 NEGOCIO

RIESGOS
APLICABLES

CONTROLES
INTERNOS

REVISIÓN

ISO 9001
 Términos y definiciones
• Norma auditable: una especificación
contra la que se puede realizar una
auditoría independiente. Por ejemplo: ISO
9001:2000 e ISO 27001:2005
• Guías: las guías o mejores prácticas
están disponibles para elegir el logro de
cierto objetivo. Por ejemplo: ISO
9004:2000 e ISO 27002:2005
La Familia de Normas ISO 27000
Principios y Vocabulario ISO 27000 (en
desarrollo)

Requisitos para
ISO 27001:2005
Certificación

Código de Práctica de ISO 27002:2005 (ex

Seguridad de la ISO 17799:2005)
Información

Guía de implementación ISO 27003 (en

SGSI y aplicación del desarrollo)
PDCA
La Familia de Normas ISO 27000
Métricas y técnicas de
ISO 27004 (en
medida aplicables para
desarrollo)
determinar la eficacia y
efectividad del SGSI)

Guía para la gestión del

riesgo de la seguridad de la ISO 27005:2008
información

Proceso de acreditación de
entidades de certificación y ISO 27006:2007
registro SGSI

Guía para Auditar ISO 19011:2002

 Fundamentos de la norma ISO
27001
• Implementación de un Sistema de Gestión de Seguridad
de la Información (SGSI).
• Enfoque de la Seguridad de la Información basado en el
Análisis, Evaluación y Tratamiento de Riesgos, con la
finalidad de reducirlos a niveles asumibles (no existe la
seguridad absoluta).
• Gestión de la seguridad de la información con un
enfoque de procesos, imbuida en el negocio de la
organización y no como un producto, tecnología o
proyecto de una única área.
• Mejora continua de la eficacia del SGSI y de sus
controles de seguridad, basada en mediciones objetivas
(métricas).
 Fundamentos de la norma ISO
27001 (continuación)
• Compromiso y apoyo de la Dirección.
• Compromiso y entrenamiento para la
concientización en seguridad de la información
del usuario .
• Reuniones de revisión por la Dirección para
tratamiento eficaz de No Conformidades,
Acciones Preventivas o Acciones de Mejora
(mejora continua).
• Sistema de reporte de incidentes con la finalidad
de aprender de ellos y mejorar (lecciones
aprendidas).
 Términos y definiciones
• Sistema de gestión de seguridad de la
información (SGSI): La parte del sistema global
de gestión, basada en un enfoque de riesgos
empresariales, para establecer, implementar,
operar, monitorear, revisar, mantener y mejorar
la seguridad de la información.
Nota: El sistema de gestión incluye la estructura
organizacional, políticas, actividades de
planificación, responsabilidades, prácticas,
procedimientos, procesos y recursos.
ISO 27001:2005, cláusula 3.7
 Cláusulas de la norma en el
modelo PDCA de mejora continua
Mejora Continua

Partes Establecer Partes

el SGSI
Interesadas Interesadas
4.2.1 y 4.3
Plan
Implementar y Mantener y
Operar el SGSI Do Act Mejorar el SGSI
4.2.2 y 5 4.2.4 y 8
Requisitos y
Expectativas Check Seguridad
de Seguridad Monitorear y de la
de la Revisar el SGSI Información
4.2.3, 6 y 7
Información Gestionada
 La Mejora Continua
Nivel de Seguridad de la empresa
Seguridad operativa débil
Seguridad operativa más fuerte
Mejora continua

Auditoría Auditoría Auditoría

Control Puntos de Auditoría Preparación para la Auditoría

Tiempo
Operación “Normal” de la Seguridad
16
 Términos y definiciones
• Gestión de Riesgos (Risk Management): son las
actividades coordinadas para dirigir y controlar a una
organización respecto del riesgo.
• Es una actividad central en la Gestión de la Seguridad
de la Información.
• El proceso normalmente incluye:

Aceptación
Evaluación Tratamiento
Análisis de y comunicación
de de
Riesgos de Riesgos
Riesgos Riesgos
Residuales
 Términos y definiciones
• Activo (asset): algo que tiene valor para la organización
• Amenaza (threat): la potencial causa de un incidente no deseado,
que puede resultar en daño a un sistema u organización (factor
externo).
• Vulnerabilidad: una debilidad en un activo, grupo de activos o
controles de seguridad que lo protegen, que puede ser aprovechada
por una o más amenazas para concretarse (factor interno).
• Riesgo (risk): la combinación de la probabilidad de ocurrencia y el
impacto o consecuencia de que una amenaza se concrete.
• Control o Contramedida: una técnica para manejar el riesgo,
reduciendo la probabilidad de ocurrencia o el impacto de una
amenaza.
• Riesgo Residual: el riesgo remanente luego de aplicar un control.
Términos y definiciones

Controles y
Contramedidas de
Seguridad

Activos Amenazas

Vulnerabilidades
 Activos
Tipos de Activos (¡no exhaustivo!)
• Información
– Bases de datos y archivos de datos
– Contratos y acuerdos
– Documentación impresa o en línea
– Información de investigación
– Manuales y material de entrenamiento
– Procedimientos
– Pistas de Auditoría
• Software
– Software de aplicación
– Software de base
– Herramientas y utilitarios de desarrollo
 Activos
Tipos de Activos (cont.)
• Activos Físicos
– Equipos de computación
– Equipos de comunicaciones
– Medios de almacenamiento
– Centros de cableados
• Servicios
– Servicios de computación y comunicaciones
– Servicios de soporte (electricidad, aire
acondicionado, iluminación, calefacción)
 Activos
Tipos de Activos (cont.):
• Personas, junto con
– su experiencia,
– calificaciones,
– capacidades y
– competencias
• Activos Intangibles
– Reputación
– Marcas
– Imagen de la organización
 Gestión de Riesgos (risk management)
Identificar y
Planificar
Definir: analizar Identificar:
„ Alcance, „ Activos,
„ Política y „ Vulnerabilidades
„ Metodología „ Amenazas y
„ Controles Análisis y
Analizar: valoración de
„ Riesgos riesgos (Risk
„ Costo / Beneficio
Dirección Assessment)
„ Decidir tratamiento de riesgos
„ Aceptar riesgo residual

Tratamiento
Mitigar Transferir Aceptar Evitar
riesgo riesgo riesgo riesgo de riesgos

Controles: „ Seguros „ Conocer y „ Cese de la

„ Seleccionar „ Proveedores Aceptar las actividad que
„ SOA consecuencias lo origina
„ Implantar
Cláusulas de la Norma ISO 27001
0 - Introducción
1- Alcance Consideraciones
Generales No
2- Referencia Normativa
Auditables
3- Términos y Definiciones
4- Sistema de Gestión de
Seguridad de la Información
Requisitos 5- Responsabilidad de la Dirección
Auditables 6- Auditoría Interna del SGSI
7- Revisión por la Dirección del SGSI
8- Mejora del SGSI
Anexo A- Objetivos de Control y Controles
Anexos B y C (informativos) y Bibliografía
 Anexo A de la norma 27001
A.5- Política de Seguridad
A.6- Organización de la Seguridad de la Información
A.7- Gestión de Activos
A.8- Seguridad de recursos humanos
A.9- Seguridad física y ambiental
A.10- Gestión de comunicaciones y operaciones
Anexo A
A.11- Control de accesos
A.12- Adquisición, desarrollo y mantenimiento de
sistemas de información
A.13- Gestión de incidentes de seguridad de la información
A.14- Gestión de la continuidad del negocio
A.15- Cumplimiento
¿Preguntas?
Medrano 951 2º Piso (1179) Ciudad de Buenos Aires
Tel. 4867-7545 – Tel/Fax 4863-7711 Coordinación del CGC:
27
calidad@sceu.frba.utn.edu.ar / pcoronel@sceu.frba.utn.edu.ar Pablo Coronel