Sistemas de Gestión de la

Seguridad de la Información.

Implantación, y Mantenimiento de un Sistema de Gestión de la

Seguridad de la Información (UNIT-ISO/IEC 27001)

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 1

 Agenda

• Introducción
– Conceptos Fundamentales
– Las normas ISO
– Regulaciones Internacionales.
• Resumen de la norma UNIT-ISO/IEC 27001
– PDCA
• Factores Clave de Éxito
• Beneficios de la Implantación
• Preguntas.

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 2

 Introducción

Conceptos Fundamentales

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 3

 Conceptos Fundamentales

• ¿De que estamos hablando?

• ¿Qué tan expuestos estamos?

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 4

¿Seguridad de la Información?

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 5

 ¿Seguridad de la Información?

• Algunas noticias recientes:

• Hackers demand $10m ransom for Virginia medical data

– 8.3 million records held hostage
– Posted in Security, 5th May 2009 19:02 GMT

• Data-sniffing attack costs Heartland $12.6m

– card processor promises end-to-end encryption
– Posted in Security, 7th May 2009 22:16 GMT

• Missile data, medical records found on discarded disks

– Study finds all manner of stuff on eBay
– Posted in Enterprise Security, 7th May 2009 11:28 GMT

• Financial districts a wireless hacker's paradise

– 57 percent of the access points had no security or and easy-to-hack form of
encryption
– Published: 2009-05-13
DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 6
 Algunos datos actuales

• En general las organizaciones carecen de información e

indicadores sobre su nivel de seguridad y su gestión.

• Existe una creciente presión en materia de regulaciones y

legislaciones en la materia. Ejemplo: Ley de Protección de Datos y
Habeas Data, Ley de Acceso a la Información Publica.

• Existe una creciente conciencia por parte de los clientes, empresas

y ciudadanos en materia de seguridad y sus derechos asociados.

• Existe un creciente numero de empresas certificando sus Sistemas

de gestión de la Seguridad de la Información.

• Es muy probable que en los incidentes/fraudes esté involucrado

personal interno. En su gran mayoría inconcientemente
DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 7
 Normas
UNIT-ISO/IEC 27001 y UNIT-ISO/IEC 27002

¿Quien es quien?

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 8

 Origen de las normas ISO/IEC (SGSI)

• Comienzo del grupo de trabajo del ISO/IEC – enero 1993

• Emisión de un código – Septiembre 1993
• Publicación de BS 7799-1 Febrero 1995

• Publicación de BS 7799-2 Febrero 1998

• Nueva Publicación de la BS7799: 1999 1 y 2 Abril 1999
• ISO/IEC 17799 (BS 7799-1) – Diciembre 2000

• BS 7799-2 - Publicado en Septiembre 2002.

• ISO/IEC 17799 (Buenas Practicas)
– Publicado Julio 2005 (Renombrada ISO/IEC 27002)

• ISO/IEC 27001 (Especificación de Requerimientos)

– – Publicado octubre 2005.

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 9

 Grupo de Normas ISO/IEC 27000

• Publicadas
– ISO/IEC 27000: 2009 Fundamentos y vocabulario
– ISO/IEC 27001: 2005 Requisitos de SGSI
– ISO/IEC 27002: 2005 Código de Prácticas para GSI
– ISO/IEC 27005: 2008 Gestión de riesgos de la SI.
– ISO/IEC 27006: 2007 Requisitos para la acreditación de las organizaciones
que proporcionan la certificación de los SGSI
– ISO/IEC 27011: 2008 – Guías para SGSI en el sector de
Telecomunicaciones
– ISO/IEC 27799: 2008 - Guías para SGSI en el sector de la Salud.

• En proceso
– ISO/IEC 27003 Directrices para la implementación de un SGSI.
– ISO/IEC 27004 Métricas para la GSI.
– ISO/IEC 27007: Guías para la auditoria de SGSI

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 10

 Otros Normas

• Sectores Específicos:
– Controles de Seguridad - WLA-SCS: 2006 (Loterías)
– Banco Central del Uruguay
– Banco Central del Paraguay
– Banco Central de la Republica Argentina
– Superintendencia de Instituciones Financieras del Perú
– …

• Otras relaciones:
– PCI-DSS
– ISO 20000
– CobiT

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 11

 ¿Que brinda la UNIT-ISO/IEC 27001?

• Esta diseñada como una herramienta de:

– gestión de riesgos,
– mejora del negocio,
– para ayudar a proteger y gestionar toda la información critica del negocio.

• Brinda a las organizaciones las herramientas para:

– gestionar la confidencialidad,
– integridad
– y disponibilidad de su activo más vital….su Información.
– Permite medir la eficacia de los controles implementados.

• Esta Herramienta debe ser comprendida y utilizada por la

Dirección.

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 12

 Los Requisitos

Modelo P-H-V-A

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 13

 SGSI

• El sistema de gestión de la seguridad de la información (SGSI)

es la parte del sistema de gestión de la empresa, basado en un
enfoque de riesgos del negocio, para:

– establecer,
– implementar,
– operar,
– monitorear,
– mantener y mejorar la seguridad de la información.

• Incluye.
– Estructura, políticas, actividades, responsabilidades, prácticas,
procedimientos, procesos y recursos.

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 14

 ¿Seguridad de la Información?
• La seguridad de la información consiste en procesos y controles
diseñados para proteger información de su divulgación no
autorizada, transferencia, modificación o destrucción, a los efectos
de:
– asegurar la continuidad del negocio;
– minimizar posibles daños al negocio;
– maximizar oportunidades de negocios.”

• La información es un activo que como otros activos importantes tiene valor y

requiere en consecuencia una protección adecuada.

• La información puede estar:

• Impresa o escrita en papel.
• Almacenada electrónicamente.
• Trasmitida por correo o medios electrónicos
• Mostrada en filmes.
• Hablada en conversación.
DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 15
 (Planificar /Hacer /Verificar /Actuar)

• Modelo utilizado para establecer, implementar, monitorear y mejorar

el SGSI.

Planificar Actuar
Establecer Mantener y
el SGSI Mejorar el SGSI

Partes Partes
Interesadas Interesadas

Implementar y Monitorear
Requisitos y operar el SGSI el SGSI Seguridad
expectativas
Hacer Verificar Gestionada

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 16

 Establecer el SGSI (Plan)

• Establecer la política de seguridad, objetivos, metas, procesos y

procedimientos relevantes para manejar riesgos y mejorar la
seguridad de la información para generar resultados de acuerdo con
una política y objetivos marco de la organización.

• Definir el alcance del SGSI a la luz de la organización y sus objetivos.

• Definir la Política de Seguridad.

• Definir y Aplicar un enfoque sistémico para evaluar el riesgo.

– No se establece una metodología a seguir.

– Intentemos su integración con otros metodologías ya utilizadas
internamente.

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 17

 Análisis de Riesgos (Plan)

Explota
Amenazas Vulnerabilidades

Protege Aumenta Expone

contra Aumenta

Reduce
Controles Riesgos Activos
Miden
Eficacia
Cumplidos Indica Tienen
por Aumentan

Métricas
Requerimientos Valor

Impacto al negocio.
DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 18
 Matriz de Riesgos

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 19

 Establecer el SGSI (Plan)

• Identificar y evaluar opciones para tratar los riesgos identificados

– Mitigar, Eliminar, Transferir, Aceptar
– Dentro del Alcance definido.

• Seleccionar objetivos de control y controles a implementar (Mitigar),

– En virtud del resultado del análisis de riesgos, considerando a
su vez los requisitos legales y regulatorios.

– Tomando como base los 133 controles definidos por la UNIT-

ISO/IEC 27002

• Establecer enunciado de aplicabilidad

– Selección o no de cada uno de los controles y explicación.

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 20

 Controles Sugeridos

• 11 Áreas de Control

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 21

 Objetivos de Control y Controles
Edición 2005 Objetivos Controles

5 Política de Seguridad 1 2
6 Aspectos organizativos para la seguridad 2 11
7 Gestión de los activos 2 5
8 Seguridad de los Recursos Humanos 3 9
9 Seguridad física y del entorno 2 13
10 Gestión de comunicaciones y operaciones 10 32
11 Control de accesos 7 25
12 Adquisición, Desarrollo y mantenimiento de sistemas 6 16

13 Gestión de incidentes de seguridad de la información. 2 5

14 Gestión de continuidad del negocio 1 5

15 Conformidad 3 10
Totales 39 133

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 22

 Implementar y operar (Do)

• Implementar y operar la política de seguridad, controles,

procesos y procedimientos.

• Implementar plan de tratamiento de riesgos.

– Transferir, Eliminar, Aceptar, Mitigar..
– Clave para el éxito de la implantación.

• Implementar programas de Capacitación y concientización continua.

– Clave para el éxito de la implantación.

• Implementar procedimientos y controles de detección y respuesta a

incidentes.
– Clave para el éxito del seguimiento y la mejora.

• Implementar indicadores para medir la eficacia de los controles.

– Clave para el éxito del seguimiento y la mejora.
DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 23
 Monitoreo y Revisión (Check)

• Evaluar y medir el desempeño de los procesos contra la

política de seguridad, los objetivos y experiencia practica y
reportar los resultados a la dirección para su revisión.

– Revisar el nivel de riesgo residual aceptable, considerando los

cambios en el entorno.
• Actualizar el análisis de riesgos en virtud de los cambios en
el entorno, eficacia de los controles, eventos, etc.

– Auditorias internas.

– Revisiones por parte de la Dirección

“Héctor es un ejemplo del éxito de

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 24
nuestra política de escritorios
 Mantenimiento y mejora (Act)

• Tomar acciones correctivas y preventivas, basadas en los

resultados de la revisión de la dirección, para lograr la mejora
continua del SGSI.

– Identificar mejoras en el SGSI a fin de implementarlas.

– Tomar las acciones apropiadas (preventivas y correctivas).

– Comunicar los resultados y las acciones a emprender, y

consultar con todas las partes involucradas.

– Revisar el SGSI donde sea necesario implementando las

acciones seleccionadas.

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 25

 La implantación del SGSI

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 26

 Proceso de Implantación

Adquirir las Realizar Crear un equipo y

Definir el Alcance
normas Capacitación una estrategia

Identificar
Identificar Activos Valorar Activos de Requisitos Legales Determinar los
de Información Información Regulatorios y riesgos
Contractuales

Determinar los Identificar los

requisitos de Objetivos de Sigue
seguridad Control y controles.

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 27

 Proceso de Implantación

Gestión de
Definir planes de Elaborar e
Incidentes y
Sigue implementación de implementar los
Eficacia de los
los controles controles
controles

Finalizar las
Más Capacitación y exigencias de Revisión por la
Auditoria Interna
Concientización documentación del Dirección.
SGSI

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 28

 Factores críticos de éxito

´ El apoyo visible y el compromiso

evidente de la alta dirección ´

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 29

 Factores críticos de éxito

• GESTION DEL CAMBIO:

– Es fundamental comprender que la implantación de un SGSI

implica un cambio en la forma de trabajo, y como tal siempre
genera turbulencias dentro de la organización, que deben ser
analizadas y tratadas. De lo contrario, tal vez el proyecto de
implantación del SGSI sea exitoso, pero difícilmente su
mantenimiento lo sea. Finalmente, la herramienta que es el
SGSI no aportara el valor deseado.

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 30

 Factores críticos de éxito

• El apoyo visible y el compromiso evidente de la alta dirección

– Asignación de recursos económicos y en especial humanos.

– Concientización de los mandos medios.

• Un alcance, política y objetivos que reflejen los objetivos del

negocio.
– Alinear el SGSI con el negocio.

• Ser conciente del esfuerzo permanente que se requiere.

– RRHH.

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 31

 Factores críticos de éxito

• La adecuada capacitación y permanente

concientización del personal.

• Un sistema de gestión de incidentes que permita

centralizar el registro y seguimiento de los eventos e
incidentes de seguridad.

• Un sistema de estimulo al reporte de eventos e

incidentes.

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 32

 Factores críticos de éxito

• Un sistema integrado de indicadores que permita

evaluar la eficacia de los controles y procesos
implementados.

• Herramientas de gestión de permita centralizar el

registro y seguimiento de diferentes procesos y
controles.

• Herramientas de gestión de la documentación y los

registros.

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 33

 Factores críticos de éxito

GESTION DE
INDICADORES
EVENTOS
de EFICACIA

CONCIENTIZACION y
GESTION DE
ESTIMULO
RIESGOS

COMPROMISO OBJETIVOS

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 34

 Preguntas y respuestas

• Consultas

– reynaldo@datasec-soft.com

– http://www.datasec-soft.com

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 35

 Muchas gracias!

DataSec - Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA 36