Upload
doantuyen
View
222
Download
3
Embed Size (px)
Citation preview
Introducción a la ISO 27001
Sistemas de Gestión deSeguridad de Información
Carlos Ignacio Gamboa Hirales
Contenido
• Necesidades actuales
• Introducción a la ISO 27000
• Las grandes confusiones en torno a ISO 27000
• Principales elementos
• Mercado objetivo
• Empresas que cuentan con ISO 27000
• Requisitos de Acreditación
Necesidades actuales
• Las instituciones a lo largo de su historia hanacumulado una gran cantidad de información.
• Información como uno de los grandes bastionesdel crecimiento o desarrollo de las instituciones.
• La tecnología nos ofrece grandes ventajas, perotambién asumimos riesgos provenientes dediversas fuentes.
• Para nuestras organizaciones debemos definir unentorno más “seguro”.
¿qué implica el término Seguridadde Información?
• Tiene que ver con las propiedades de lainformación:– Confidencialidad
– Integridad
– Disponibilidad
¿qué puede alterar estaSeguridad?
• Diversos factores queimplican un Riesgo para laorganización.
• Se convierten en “Amenazas”
Revisión por:• NCC (Centro
Nacional deComputación)
• Consorcio usuarios
1993
Estándar nacionalbritánico
1995
Estándar Internacional(Fast Track)
1999 2000
Revisión periódica(5 años)
2005
Nuevoestándarnacionalcertificable
EstándarInternacional
1998 2002
Revisiónconjunta de laspartes 1 y 2
Revisión yacercamiento a:• ISO 9001• ISO 14001• OCDE
1999 2005
Centro deSeguridad deInformáticaComercial delReino Unido(CCSC/DTI)
1989
Revisiónconjunta de laspartes 1 y 2
■ Certificable
Código deprácticasparausuarios
■PD0003Código deprácticaspara lagestión de laseguridad delainformación
■BS 7799
■BS 7799-1
:1999
■ISO/IEC 17799
:2000
■ISO/IEC 17799
:2005
■
BS 7799-2:2002
■BS 7799-2
■BS 7799-2
:1999
■ISO/IEC 27001
:2005
■
Historia de ISO 27001 e ISO 17799
■ No certificable
Introducción a la ISO27000
Esta norma internacional:Proporciona un modelo para la creación,
implementación, operación, supervisión,revisión, mantenimiento y mejora de unSistema de Gestión de la Seguridad de laInformación.
Abarca todo tipo de organizaciones (empresas,organismos públicos y privados, entidadessin afán de lucro)
Introducción a la ISO27000
• ISO 27000: Contiene la descripción general y vocabulario a serempleado en toda la serie 27000. Se puede utilizar para tenerun entendimiento más claro de la serie y la relación entre losdiferentes documentos que la conforman.
• UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de laSeguridad de la Información (SGSI). Requisitos”.(anteriormente denominada ISO17799).
• ISO 27002: (anteriormente denominada ISO17799).Guía debuenas prácticas que describe los objetivos de control ycontroles recomendables en cuanto a seguridad de lainformación.
• ISO 27003: Guía de implementación de SGSI e informaciónacerca del uso del modelo PDCA y de los requisitos de susdiferentes fases.
• ISO 27004: Especifica las métricas y las técnicas de medidaaplicables para determinar la eficiencia y eficacia de laimplantación de un SGSI y de los controles relacionados.
• ISO 27005: Consiste en una guía para la gestión del riesgo dela seguridad de la información y sirve, por tanto, de apoyo a laISO 27001 y a la implantación de un SGSI. Incluye partes de laISO 13335.
• ISO 27006: Especifica los requisitos para acreditación deentidades de auditoría y certificación de sistemas de gestiónde seguridad de la información.
Introducción a la ISO27000
Las grandes confusiones entorno a ISO 27000
Definamos Seguridad de la Información.
Consiste en la preservación de la confidencialidad, la integridad y la disponibilidad dela información, pudiendo además abarcar otras propiedades, como la autenticidad, laresponsabilidad, la fiabilidad y el no repudio.
Los eventos de seguridad de la información.
La ocurrencia detectada en un estado de un sistema, servicio o red que indica unaposible violación de la política de seguridad de la información, un fallo en lassalvaguardas o una situación desconocida hasta el momento y que puede serrelevante para la seguridad.
Las grandes confusionesen torno a ISO 27000
Implica algo más que el simple acceso a lainformación, se debe convertir en toda unacultura organizacional, desde la dirección yhacia todos y cada uno de los empleados de laorganización.
Retomando la propiedades de la información tenemos:
La Confidencialidad.
Propiedad por la que la información no se pone a disposición ose revela a individuos, entidades o procesos no autorizados.
La Integridad.
La propiedad de salvaguardar la exactitud y completitud de losactivos.
La Disponibilidad.
La propiedad de ser accesible y utilizable por una entidadautorizada.
Las grandes confusionesen torno a ISO 27000
Principales elementos
Modelo PDCA.
PartesInteresadas
PartesInteresadas
Crear el SGSICrear el SGSI
PartesInteresadas
PartesInteresadas
Supervisar y revisar elSGSI
Supervisar y revisar elSGSI
Implementar y operarel SGSI
Implementar y operarel SGSI
Mantener y mejorar elSGSI
Mantener y mejorar elSGSI
Planificar (Plan)
Hacer (Do)
Verificar(Check)
Actuar (Act)
Requisitos yexpectaivas de SI
SI Gestionada
Principales elementos
Mercado Objetivo
Empresas que cuentan conCertificación
• http://www.iso27001certificates.com/
ImpactoPotencial alNegocio
Activos
Controles
Valor
Requerimientosde Seguridad
Vulnerabilidades
Riesgos
Amenazas
EjercicioExplotan
Reducen Expuestos a
Aum
enta
Amenazas Vulnerabilidades
ActivosRiesgosControles
ValorRequerimientosde Seguridad
ImpactoPotencial alNegocio
La entidad mexicana de acreditación, a. c.cuenta con el programa de acreditación en
ISO IEC 27006:2007Tecnologías de la información - Técnicas de Seguridad - Requisitos para
organismos que proporcionan la auditoría y certificación de sistemas degestión de la seguridad de la información.
NORMA ISO IEC 27006:2007
Organismos de Certificación
• Contar con un sistema efectivo para el análisis de las competenciasde los clientes, esto determina el alcance de la evaluación.
• Para los equipos auditores debe tener capacitación para:– Tener el conocimiento de la norma del SGSI– El entendimiento de la seguridad de información– El entendimiento de la evaluación de riesgos y la gestión de riesgos
desde la perspectiva del negocio.– El conocimiento técnico de la actividad auditada.– El conocimiento general de los requisitos reglamentarios pertinentes a
los SGSI– Conocimiento de los sistemas de gestión.– Capacidad de entendimiento de las necesidades de la organización
cliente.– Tener un entendimiento apropiado a los requisitos regulatorios
aplicables al SGSI de la organización cliente.
Organismos de Certificación
• En cuanto a la formación académica:– Tener educación a nivel secundaria.– Al menos cuatro años de experiencia laboral de tiempo
completo en tecnología de información, al menos dos añosen alguna función relacionada a la seguridad deinformación.
– Haber ganado experiencia en todo el proceso deevaluación de la seguridad de la información previa aasumir la responsabilidad para desempeñarse comoauditor.
– Tener experiencia “razonablemente” reciente.– Tener capacidad de poner en perspectiva amplia,
operaciones complejas.
Organismos de Certificación
Requisitos generalesde la norma ISO IEC 27006:2007
La 27006, contiene los siguientes anexos:
Anexo A (Inf).- Análisis de la complejidad de laorganización cliente y aspectos del sector específico.Anexo B (Inf).- Ejemplos de áreas de competencia delos auditores.Anexo C (Inf).- Tiempo de AuditoríaAnexo D (Inf).- Guía para la revisión de laimplementación de la ISO/IEC 27001:2005
Por su atención
¡GRACIAS!