Introducción a la ISO 27001

Sistemas de Gestión deSeguridad de Información

Carlos Ignacio Gamboa Hirales

Contenido

• Necesidades actuales

• Introducción a la ISO 27000

• Las grandes confusiones en torno a ISO 27000

• Principales elementos

• Mercado objetivo

• Empresas que cuentan con ISO 27000

• Requisitos de Acreditación

Necesidades actuales

• Las instituciones a lo largo de su historia hanacumulado una gran cantidad de información.

• Información como uno de los grandes bastionesdel crecimiento o desarrollo de las instituciones.

• La tecnología nos ofrece grandes ventajas, perotambién asumimos riesgos provenientes dediversas fuentes.

• Para nuestras organizaciones debemos definir unentorno más “seguro”.

¿qué implica el término Seguridadde Información?

• Tiene que ver con las propiedades de lainformación:– Confidencialidad

– Integridad

– Disponibilidad

¿qué puede alterar estaSeguridad?

• Diversos factores queimplican un Riesgo para laorganización.

• Se convierten en “Amenazas”

Revisión por:• NCC (Centro

Nacional deComputación)

• Consorcio usuarios

1993

Estándar nacionalbritánico

1995

Estándar Internacional(Fast Track)

1999 2000

Revisión periódica(5 años)

2005

Nuevoestándarnacionalcertificable

EstándarInternacional

1998 2002

Revisiónconjunta de laspartes 1 y 2

Revisión yacercamiento a:• ISO 9001• ISO 14001• OCDE

1999 2005

Centro deSeguridad deInformáticaComercial delReino Unido(CCSC/DTI)

1989

Revisiónconjunta de laspartes 1 y 2

■ Certificable

Código deprácticasparausuarios

■PD0003Código deprácticaspara lagestión de laseguridad delainformación

■BS 7799

■BS 7799-1

:1999

■ISO/IEC 17799

:2000

■ISO/IEC 17799

:2005

■

BS 7799-2:2002

■BS 7799-2

■BS 7799-2

:1999

■ISO/IEC 27001

:2005

■

Historia de ISO 27001 e ISO 17799

■ No certificable

Introducción a la ISO27000

Esta norma internacional:Proporciona un modelo para la creación,

implementación, operación, supervisión,revisión, mantenimiento y mejora de unSistema de Gestión de la Seguridad de laInformación.

Abarca todo tipo de organizaciones (empresas,organismos públicos y privados, entidadessin afán de lucro)

Introducción a la ISO27000

• ISO 27000: Contiene la descripción general y vocabulario a serempleado en toda la serie 27000. Se puede utilizar para tenerun entendimiento más claro de la serie y la relación entre losdiferentes documentos que la conforman.

• UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de laSeguridad de la Información (SGSI). Requisitos”.(anteriormente denominada ISO17799).

• ISO 27002: (anteriormente denominada ISO17799).Guía debuenas prácticas que describe los objetivos de control ycontroles recomendables en cuanto a seguridad de lainformación.

• ISO 27003: Guía de implementación de SGSI e informaciónacerca del uso del modelo PDCA y de los requisitos de susdiferentes fases.

• ISO 27004: Especifica las métricas y las técnicas de medidaaplicables para determinar la eficiencia y eficacia de laimplantación de un SGSI y de los controles relacionados.

• ISO 27005: Consiste en una guía para la gestión del riesgo dela seguridad de la información y sirve, por tanto, de apoyo a laISO 27001 y a la implantación de un SGSI. Incluye partes de laISO 13335.

• ISO 27006: Especifica los requisitos para acreditación deentidades de auditoría y certificación de sistemas de gestiónde seguridad de la información.

Introducción a la ISO27000

Las grandes confusiones entorno a ISO 27000

Definamos Seguridad de la Información.

Consiste en la preservación de la confidencialidad, la integridad y la disponibilidad dela información, pudiendo además abarcar otras propiedades, como la autenticidad, laresponsabilidad, la fiabilidad y el no repudio.

Los eventos de seguridad de la información.

La ocurrencia detectada en un estado de un sistema, servicio o red que indica unaposible violación de la política de seguridad de la información, un fallo en lassalvaguardas o una situación desconocida hasta el momento y que puede serrelevante para la seguridad.

Las grandes confusionesen torno a ISO 27000

Implica algo más que el simple acceso a lainformación, se debe convertir en toda unacultura organizacional, desde la dirección yhacia todos y cada uno de los empleados de laorganización.

Retomando la propiedades de la información tenemos:

La Confidencialidad.

Propiedad por la que la información no se pone a disposición ose revela a individuos, entidades o procesos no autorizados.

La Integridad.

La propiedad de salvaguardar la exactitud y completitud de losactivos.

La Disponibilidad.

La propiedad de ser accesible y utilizable por una entidadautorizada.

Las grandes confusionesen torno a ISO 27000

Principales elementos

Modelo PDCA.

PartesInteresadas

PartesInteresadas

Crear el SGSICrear el SGSI

PartesInteresadas

PartesInteresadas

Supervisar y revisar elSGSI

Supervisar y revisar elSGSI

Implementar y operarel SGSI

Implementar y operarel SGSI

Mantener y mejorar elSGSI

Mantener y mejorar elSGSI

Planificar (Plan)

Hacer (Do)

Verificar(Check)

Actuar (Act)

Requisitos yexpectaivas de SI

SI Gestionada

Principales elementos

Mercado Objetivo

Empresas que cuentan conCertificación

• http://www.iso27001certificates.com/

ImpactoPotencial alNegocio

Activos

Controles

Valor

Requerimientosde Seguridad

Vulnerabilidades

Riesgos

Amenazas

EjercicioExplotan

Reducen Expuestos a

Aum

enta

Amenazas Vulnerabilidades

ActivosRiesgosControles

ValorRequerimientosde Seguridad

ImpactoPotencial alNegocio

La entidad mexicana de acreditación, a. c.cuenta con el programa de acreditación en

ISO IEC 27006:2007Tecnologías de la información - Técnicas de Seguridad - Requisitos para

organismos que proporcionan la auditoría y certificación de sistemas degestión de la seguridad de la información.

NORMA ISO IEC 27006:2007

Organismos de Certificación

• Contar con un sistema efectivo para el análisis de las competenciasde los clientes, esto determina el alcance de la evaluación.

• Para los equipos auditores debe tener capacitación para:– Tener el conocimiento de la norma del SGSI– El entendimiento de la seguridad de información– El entendimiento de la evaluación de riesgos y la gestión de riesgos

desde la perspectiva del negocio.– El conocimiento técnico de la actividad auditada.– El conocimiento general de los requisitos reglamentarios pertinentes a

los SGSI– Conocimiento de los sistemas de gestión.– Capacidad de entendimiento de las necesidades de la organización

cliente.– Tener un entendimiento apropiado a los requisitos regulatorios

aplicables al SGSI de la organización cliente.

Organismos de Certificación

• En cuanto a la formación académica:– Tener educación a nivel secundaria.– Al menos cuatro años de experiencia laboral de tiempo

completo en tecnología de información, al menos dos añosen alguna función relacionada a la seguridad deinformación.

– Haber ganado experiencia en todo el proceso deevaluación de la seguridad de la información previa aasumir la responsabilidad para desempeñarse comoauditor.

– Tener experiencia “razonablemente” reciente.– Tener capacidad de poner en perspectiva amplia,

operaciones complejas.

Organismos de Certificación

Requisitos generalesde la norma ISO IEC 27006:2007

La 27006, contiene los siguientes anexos:

Anexo A (Inf).- Análisis de la complejidad de laorganización cliente y aspectos del sector específico.Anexo B (Inf).- Ejemplos de áreas de competencia delos auditores.Anexo C (Inf).- Tiempo de AuditoríaAnexo D (Inf).- Guía para la revisión de laimplementación de la ISO/IEC 27001:2005

Por su atención

¡GRACIAS!