ISO27000

Presentacin de PowerPoint

NORMAS ISO/IEC 270002015

Docente: Ing. Manuel Castillo Fernndez1INDICEMODULO I: Introduccin a ISO 27000MODULO II: Anlisis de RiesgosMODULO III: Sistema de Gestin de Seguridad de la Informacin.MODULO IV: Auditora del Sistema

2 MODULO I: Introduccin a ISO 27000


4Marco legal y jurdico de la Seguridad de la Informacin.Normas nacionales e internacionales de ISO 27000. Conceptos bsicos sobre la seguridad de la informacinReferencias:ISO www.iso.orgBSI GROUP www.bsigroup.comISO 27000 www.iso27000.esMarco legal y jurdico de la Seguridad de la Informacin:Ley de Proteccin de Datos Personales del Per (Ley N29733)Autoridad Nacional de Proteccin de Datos Personales (APDP)Resolucin Ministerial N 246-2007-PCM, aprueba la Norma Tcnica Peruana NTP ISO/IEC 17799:2007 EDI, Tcnicas de seguridad, Cdigo de Buenas Prcticas para la gestin de seguridad de la informacin. 2a Edicin.Resolucin Ministerial 129-2012-PCM, aprueba el uso obligatorio de la norma tcnica peruana NTP-ISO/IEC 27001:2008 EDI Tecnologas de la Informacin. Tcnicas de Seguridad. Sistemas de Gestin de Seguridad de la Informacin en todas las entidades integrantes del Sistema Nacional de Informtica.5 MODULO I: Introduccin a ISO 27000

6 MODULO I: Introduccin a ISO 27000Ley de Proteccin de Datos

DERECHOS DE LA PERSONA: "Todos los peruanos tenemos derecho a que los servicios informticos computarizados o no, pblicos o privados no suministren informaciones que afecten la intimidad personal y familiar". Constitucin Poltica del Per Artculo 2, Numeral 6.BANCOS DE DATOS PERSONALES: Cualquier conjunto de datos de personas naturales, por ejemplo: las planillas, los files del personal, los directorios de proveedores, de clientes, informes mdicos, etc.OBLIGACIONES: Las empresas pblicas y privadas estn obligadas a cumplir la Ley # 29733 a fin de garantizar el derecho fundamental de los peruanos a la proteccin de datos personales. 7 MODULO I: Introduccin a ISO 27000Ley de Proteccin de Datos

AUTORIDAD NACIONAL DE PROTECCION DE DATOS PERSONALES: El Ministerio de Justicia a travs de la Direccin Nacional de Justicia constituye la Autoridad Nacional de Proteccin de Datos Personales. Esta institucin promueve el cumplimiento de la ley, recibe las denuncias de los ciudadanos, audita a las instituciones y llega a sancionar en caso de incumplimiento hasta por un mximo de 100 UITs (Ver artculo 39 de la Ley).TRATAMIENTO DE DATOS PERSONALES: Las empresas pblicas y privadas deben implementar mecanismos para: - Obtener el consentimiento - Transferir datos personales - Brindar tratamientos especiales - Implementar medidas de seguridad8 MODULO I: Introduccin a ISO 27000Reglamento de la Ley 29733

Tiene el objetivo de garantizar el derecho fundamental a la proteccin de losdatos personales y dispone que el Ministerio de Justicia y Derechos Humanosasuman la Autoridad Nacional de Proteccin de Datos personales. Artculo 10 - Principio de Seguridad: Establece que las Compaas deben adoptar las medidas de seguridad que resulten necesarias a fin de evitar la prdida o alteracin por accin humana o medio tcnico.Captulo V Medidas de Seguridad: En el cual se plantean los artculos para el tratamiento de informacin digital, gestin de accesos a los sistemas de informacin, autenticacin de usuarios, privilegios, el respaldo de informacin y almacenamiento.Normas nacionales e internacionales de ISO 27000. ISO/IEC 27000 es un conjunto de estndares desarrollados y en fase de desarrollo - por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea.9

MODULO I: Introduccin a ISO 27000

Publicada el 1 de Mayo de 2009 y revisada con una segunda edicin de 01 de Diciembre de 2012. Esta norma proporciona una visin general de las normas que componen la serie 27000, una introduccin a los Sistemas de Gestin de Seguridad de la Informacin.


La Familia ISO 27000 se especializa en el Sistema de Gestin de Seguridad de la Informacin (SGSI).

ISO 27001 mediante un SGSI, requiere garantizar la continuidad de los procesos que se protegern conforme al valor que aportan en la empresa, por lo que es importante identificar el mtodo de continuidad que se requiere conforme a dichos procesos.


Estndares relacionados:ISO/IEC 27000 Information security management systems Overview and vocabularyISO/IEC 27001 Information security management systems RequirementsISO/IEC 27002 Code of practice for information security managementISO/IEC 27003 Information security management system implementation guidanceISO/IEC 27004 Information security management MeasurementISO/IEC 27005 Information security risk management


Estndares relacionados:ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systemsISO/IEC 27011 Information security management guidelines for telecommunications organizations based on ISO/IEC 27002ISO/IEC 27031 Guidelines for information and communications technology readiness for business continuityISO/IEC 27033-1 Network security overview and conceptsISO/IEC 27035 Security incident managementISO 27799 Information security management in health using ISO/IEC 27002


ORIGENDesde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards Institution) es responsable de la publicacin de importantes normas como:- BS 5750. Publicada en 1979. Origen de ISO 9001- BS 7750. Publicada en 1992. Origen de ISO 14001- BS 8800. Publicada en 1996. Origen de OHSAS 18001


La norma BS 7799 de BSI apareci por primera vez en 1995.La primera parte de la norma (BS 7799-1) fue una gua de buenas prcticas, para la que no se estableca un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998.Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000.En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin.En 2005, con ms de 1700 empresas certificadas en BS 7799-2, esta norma se public por ISO, con algunos cambios, como estndar ISO 27001. Al tiempo se revis y actualiz ISO 17799. Esta ltima norma se renombr como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido as como el ao de publicacin formal de la revisin.

15

CONTENIDO

En esta seccin se hace un breve resumen del contenido de las principales normas de la serie 27000 ya publicadas.16 MODULO I: Introduccin a ISO 27000

ISO/IEC 27001:Publicada el 15 de Octubre de 2005 . Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya qued anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones.

17

Tcnicas de Seguridad

27000 Visin general y Vocabulario27001Requisitos27002 Cdigo de Prctica27003 Gua de Implementacin27004 Medicin

27005 Gestin de Riesgos27006 Requisitos para Auditores27007 Lneas guas de Auditora27008 Lneas guas de ControlesGeneral27009 Requisitos27010ISM para comunicaciones27011 Cdigo de Prctica27013 Implementacin27001 + 20000-127014 GobiernoInter-sectores e Inter-organizaciones27015 Lneas gua de Servicio27016Economa de la OrganizacinFinanzas Tcnicas de Seguridad

27017 Cdigo de Prctica27018Proteccin PIICloud27019 Control de ProcesosEnerga27021 Requisitos competencias27023 ISO/IEC 27001 vs 2700227031 Continuidad del negocio27032 Lneas guasCiberseguridadCompetencias, continuidad y ciberseguridad Tcnicas de Seguridad

27033-1 Visin general y conceptos27033-2 Lneas gua de diseo e implementacin27033-3 Amenazas, tcnicas y control27033-4 Asegurar con gateways27033-5 Asegurar con VPN27033-6 Asegurar Wireless IPSeguridad de Red27034-1 Visin general y Conceptos27034-2 Framework normativo27034-3 Gestin seguridad Apps.Seguridad de Aplicaciones27034-4 Validacin seguridad Apps.27034-5 Protocolos y estructura de datos27034-6 Gua de seguridad Apps.27034-7 Garanta seguridad Apps.27034-5-1 Esquemas XML Tcnicas de Seguridad

27035 Gestin de incidentes27035-1 Incidentes27035-2 Lneas gua de respuestas27035-3 Lneas guaOperaciones CSIRTGestin de incidentes de Seguridad de la Informacin27036-1 Visin general y conceptos27036-2 Requisitos27036-3 Lneas gua cadena suministro27036-4 Lneas gua servicios CloudGestin de relaciones con suministradores Tcnicas de Seguridad

27037 Evidencia digital27038 Redaccin digital27039 Sistemas de deteccin IDPS27040 Seguridad de Almacenamiento27041 Mtodo Investigacin 27042 Anlisis e Interpretacin 27043 Principios y procesos27044 Gestin de Info y eventos SIEMEvidencias e Intrusin 27050-1 Visin general y conceptos27050-2 Gobierno y Gestin 27050-3 Cdigo de PrcticaDescubrimiento electrnico27050-4 Preparacin TIC ISO/IEC 27002:Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como ao de edicin. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin.

ISO/IEC 27003:Publicada el 01 de Febrero de 2010. No certificable. Es una gua que se centra en los aspectos crticos necesarios para el diseo e implementacin con xito de un SGSI23 ISO/IEC 27004:Publicada el 15 de Diciembre de 2009. No certificable. Es una gua para el desarrollo y utilizacin de mtricas y tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados segn ISO/IEC 27001.

ISO/IEC 27005:Publicada en segunda edicin el 1 de Junio de 2011 (primera edicin del 15 de Junio de 2008). No certificable. Proporciona directrices para la gestin del riesgo en la seguridad de la informacin.

24 ISO/IEC 27006:Publicada en segunda edicin el 1 de Diciembre de 2011 (primera edicin del 1 de Marzo de 2007). Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin ISO/IEC 27007:Publicada el 14 de Noviembre de 2011. No certificable. Es una gua de auditora de un SGSI, como complemento a lo especificado en ISO 19011. Es una gua de auditora de los controles seleccionados en el marco de implantacin de un SGSI. ISO/IEC 27010:Publicada el 20 de Octubre de 2012. Consiste en una gua para la gestin de la seguridad de la informacin cuando se comparte entre organizaciones o sectores.

25 ISO/IEC 27011:Publicada el 15 de Diciembre de 2008. Es una gua de interpretacin de la implementacin y gestin de la seguridad de la informacin en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. ISO/IEC 27013:Publicada el 15 de Octubre de 2012. Es una gua de implementacin integrada de ISO/IEC ISO/IEC 27014:Publicada en el 2013. Consistir en una gua de gobierno corporativo de la seguridad de la informacin.

26 ISO/IEC TR 27015:Publicada el 23 de Noviembre de 2012. Es una gua de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002. ISO/IEC TR 27016:Publicada en el 2013. Consistir en una gua de valoracin de los aspectos financieros de la seguridad de la informacin. ISO/IEC TS 27017:Publicada en el 2013. Consistir en una gua de seguridad para Cloud Computing.

27 ISO/IEC 27018:Publicada en el 2013. Consistir en un cdigo de buenas prcticas en controles de proteccin de datos para servicios de computacin en cloud computing. ISO/IEC TR 27019:Publicada en el 2013. Consistir en una gua con referencia a ISO/IEC 27002 para el proceso de control de sistemas especficos al sector de la industria de la energa. ISO/IEC 27031:Publicada el 01 de Marzo de 2011. No certificable. Es una gua de apoyo para la adecuacin de las tecnologas de informacin y comunicacin (TIC) de una organizacin para la continuidad del negocio. El documento toma como referencia el estndar BS 25777.

28 ISO/IEC 27032:Publicada el 16 de Julio de 2012. Proporciona orientacin para la mejora del estado de seguridad ciberntica, extrayendo los aspectos nicos de esa actividad y de sus dependencias en otros dominios de seguridad. Esta norma establece una descripcin general de Seguridad Ciberntica. ISO/IEC 27033:Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el 15 de Diciembre de 2009 aseguramiento de las comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de comunicaciones mediante VPNs, 27033-6, convergencia IP 27033-7, redes inalmbricas

29 ISO/IEC 27034:Norma dedicada la seguridad en aplicaciones informticas. ISO/IEC 27035:Publicada el 17 de Agosto de 2011. Proporciona una gua sobre la gestin de incidentes de seguridad en la informacin. En Espaa, no est traducida. ISO/IEC 27036:En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visin general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC; 27036-4, seguridad en outsourcing (externalizacin de servicios).

30 ISO/IEC 27037:Publicada el 15 de Octubre de 2012. Es una gua que proporciona directrices para las actividades relacionadas con la identificacin, recopilacin, consolidacin y preservacin de evidencias digitales potenciales localizadas en telfonos mviles, tarjetas de memoria, dispositivos electrnicos personales, sistemas de navegacin mvil. ISO/IEC 27038:Publicada en el 2013. Consiste en una gua de especificacin para seguridad en la redaccin digital.

31 ISO/IEC 27039:Publicada en el 2013. Consistir en una gua para la seleccin, despliegue y operativa de sistemas de deteccin y prevencin de intrusin (IDS/IPS). ISO/IEC 27040:Publicada en el 2014. Consistir en una gua para la seguridad en medios de almacenamiento. ISO/IEC 27041:Publicada en el 2014. Consistir en una gua para la garantizar la idoneidad y adecuacin de los mtodos de investigacin.

32 ISO/IEC 27042:Publicada en el 2014. Consistir en una gua con directrices para el anlisis e interpretacin de las evidencias digitales. ISO/IEC 27043:Publicada en el 2014. Desarrollar principios y procesos de investigacin.

33 ISO/IEC 27044:Publicada en el 2014. Gestin de eventos y de la seguridad de la informacin - Security Information and Event Management (SIEM). ISO 27799:Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretacin y aplicacin en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la informacin sobre los datos de salud de los pacientes. 34Conceptos bsicos sobre la seguridad de la informacin

Para comprender qu es la seguridad de la informacin, en primer lugar, debemos conocer que la informacin en este rea es referida a los activos de informacin (es decir, los datos, pero tambin los equipos, las aplicaciones, las personas, que se utilizan para crear, gestionar, trasmitir y destruir la informacin), que tienen un valor para la organizacin.

No se debe confundir la seguridad de la informacin con la seguridad informtica ya que la seguridad de la informacin abarca muchas ms reas mientras que la seguridad informtica se encarga de la proteccin de las infraestructuras TIC que soportan el negocio. Por tanto la seguridad de la informacin abarca la seguridad informtica.


Conceptos bsicos sobre la seguridad de la informacin

La seguridad de la informacin, por tanto, se puede definir como la proteccin de la confidencialidad, integridad y disponibilidad de los activos de informacin segn sea necesario para alcanzar los objetivos de negocio de la organizacin.Estos tres parmetros bsicos de la seguridad se definen como: Confidencialidad: A la informacin solo pueden acceder las personas autorizadas para ello. Integridad: La informacin ha de estar completa y correcta en todo momento. Disponibilidad: La informacin estar lista para acceder a ella o utilizarse cuando se necesita.36 MODULO I: Introduccin a ISO 27000


Conceptos bsicos sobre la seguridad de la informacin

Dependiendo de los modelos utilizados, tambin son parmetros a tener en cuenta: Autenticidad: La informacin es lo que dice ser o el transmisor de la informacin es quien dice ser.Trazabilidad: Poder asegurar en todo momento quin hizo qu y cuando lo hizo.


Conceptos bsicos sobre la seguridad de la informacinUn fallo de seguridad es cualquier incidente que la compromete, es decir que pone en peligro cualquiera de los parmetros con los que se valora la seguridad: la confidencialidad, la disponibilidad o la integridad de la informacin. Con la actual complejidad de los sistemas de informacin, con una economa y un comercio que se basan en intercambios y comunicaciones a lo largo y ancho del mundo, con un nmero creciente de usuarios que no slo se conectan desde dentro sino tambin desde fuera de la organizacin, es fcil hacerse una idea del reto que presenta evitar que sucedan cosas como: Fallos en las comunicaciones. Fallos en el suministro elctrico. Fallos humanos de usuarios internos, usuarios externos, administradores, programadores, etc. Fallos en los sistemas de informacin: redes, aplicaciones, equipos, etc. Virus informticos, gusanos, troyanos, etc. que inundan la red. Accesos no autorizados a los sistemas o la informacin. Incumplimiento de una ley o un reglamento.39 MODULO I: Introduccin a ISO 27000

Conceptos bsicos sobre la seguridad de la informacinLos fallos de seguridad son ocasionados muchas veces por la errnea percepcin de que si la seguridad fsica est razonablemente asegurada, no tiene por qu haber problemas. O que protegiendo nicamente las aplicaciones y las bases de datos ya est garantizada la seguridad. Con esos supuestos se dejan desprotegidas muchas reas de la organizacin, muchos activos de informacin que pueden ser fcilmente daados o destruidos, ya que no se han tenido en cuenta todos los aspectos de la seguridad de la informacin: la seguridad fsica, la seguridad lgica y las medidas organizativas.


41Estructura de ISO 27001 (clausulas de control)Desarrollo y Mantenimientode SistemasGestin de Comunicaciones y OperacionesGestin de Continuidad de NegocioSeguridad de RHCumplimientoGestin de ActivosOrganizacin de la Seguridad de InformacinControl de AccesoPoltica de SeguridadGestin de Incidentes de SeguridadSeguridad Fsica y Ambiental MODULO I: Introduccin a ISO 27000

4227001 - Anexo A.14.1 Continuidad del negocio

A.14.1.1. Incluir a la Seguridad de la Informacin en el proceso de administracin de Continuidad del NegocioA.14.1.2.Continuidad del Negocio y Anlisis de RiesgosA.14.1.3.Desarrollo e implementacin de Planes de Continuidad incluyendo la Seguridad de la InformacinA.14.1.4.Marco de trabajo de la planeacin de la Continuidad del NegocioA.14.1.5.Pruebas, mantenimiento y reevaluacin de los Planes de Continuidad del Negocio

MODULO I: Introduccin a ISO 27000


44 Tcnicas de Seguridad Organizacin - Planear

PLANEAR Puntos de Control de GestinContexto de la OrganizacinComprenderOrganizacin y ContextoExpectativas de los interesadosAlcance del ISMSISMSLiderazgoLiderazgo y ConfirmacinPolticasRoles, responsabilidades y autoridadesPlanificacinAcciones Riesgos y OportunidadesObjetivos y Planes Seguridad de la InformacinSoporteRecursosCompetenciaConcientizacinComunicacinInformacin documentada45 Tcnicas de Seguridad Organizacin Puntos de Control de Gestin

HACEROperacinPlanificacin y Control OperacionalEvaluacin Riesgos de Seguridad de la InformacinTratamiento de Riesgos de Seguridad de la InformacinEvaluacin RendimientoMonitorizacin, Medicin, Anlisis y EvaluacinAuditora InternaRevisin AdministrativaMejoraNo conformidades y Acciones correctivasMejora ContinuaVERIFICARACTUAR46

NUEVA ESTRUCTURA ISO 27001 -2013La ISO es una federacin mundial de organismos nacionales de normalizacin alrededor de 160 pases, trabajan a nivel de Comits Tcnicos y tienen al menos 19,000 estndares publicados desde 1,947. La ISO 27001: 2013, trabaja en funcin a 8 principios de gestin:Orientacin al ClienteLiderazgoParticipacin del personalEnfoque de procesosEnfoque de Sistemas de GestinMejora ContinuaEnfoque de Mejora ContinuaRelacin mutuamente beneficiosa con el proveedor47 MODULO I: Introduccin a ISO 27000

Dominios ISO 27001

49 MODULO I: Introduccin a ISO 27000 - Dominios

50 MODULO I: Introduccin a ISO 27000Documentos y registros necesarios

DocumentosCaptulo de ISO 27001:2013Alcance del SGSI 4.3 Polticas y objetivos de seguridad de la informacin 5.2, 6.2 Metodologa de evaluacin y tratamiento de riesgos6.1.2 Declaracin de aplicabilidad 6.1.3 d) Plan de tratamiento del riesgo6.1.3 e), 6.2 Informe sobre evaluacin y tratamiento de riesgos 8.2, 8.3Definicin de funciones y responsabilidades de seguridad A.7.1.2, A.13.2.4 Inventario de activos A.8.1.1 Uso aceptable de los activos A.8.1.3 Poltica de control de acceso A.9.1.1 Procedimientos operativos para gestin de TI A.12.1.1 51 MODULO I: Introduccin a ISO 27000Documentos y registros necesarios

DocumentosCaptulo de ISO 27001:2013Principios de ingeniera para sistema seguro A.14.2.5 Poltica de seguridad para proveedores A.15.1.1 Procedimiento para gestin de incidentes A.16.1.5 Procedimientos de la continuidad del negocio A.17.1.2 Requisitos legales, normativos y contractuales A.18.1.1 52 MODULO I: Introduccin a ISO 27000Documentos y registros necesarios

RegistrosCaptulo de ISO 27001:2013Registros de capacitacin, habilidades, experiencia y calificaciones 7.2 Resultados de supervisin y medicin 9.1 Programa de auditora interna 9.2 Resultados de las auditoras internas 9.2 Resultados de la revisin por parte de la direccin 9.3 Resultados de acciones correctivas 10.1 Registros sobre actividades de los usuarios, excepciones y eventos de seguridad

A.12.4.1, A.12.4.3 53 MODULO I: Introduccin a ISO 27000Documentos no obligatorios de uso frecuente

Documentos Captulo de ISO 27001:2013 Procedimiento para control de documentos 7.5 Controles para gestin de registros 7.5 Procedimiento para auditora interna 9.2 Procedimiento para medidas correctivas 10.1 Poltica Trae tu propio dispositivo A.6.2.1 Poltica sobre dispositivos mviles y tele-trabajo A.6.2.1 Poltica de clasificacin de la informacin A.8.2.1, A.8.2.2, A.8.2.3 Poltica de claves A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3 Poltica de eliminacin y destruccin A.8.3.2, A.11.2.7 Procedimiento para trabajo en reas seguras A.11.1.5 54 MODULO I: Introduccin a ISO 27000Documentos no obligatorios de uso frecuente

Documentos Captulo de ISO 27001:2013 Poltica de pantalla y escritorio limpio A.11.2.9 Poltica de gestin de cambio A.12.1.2, A.14.2.4 Poltica de creacin de copias de seguridad A.12.3.1 Poltica de transferencia de la informacin A.13.2.1, A.13.2.2, A.13.2.3 Anlisis del impacto en el negocio A.17.1.1 Plan de prueba y verificacin A.17.1.3 Plan de mantenimiento y revisin A.17.1.3 55 MODULO I: Introduccin a ISO 27000

Alcance del SGSI

Este documento es, habitualmente, bastante corto y se redacta al inicio de la implementacin de ISO 27001. En general, se trata de un documento independiente, aunque puede ser unificado con una poltica de seguridad de la informacin. 56 MODULO I: Introduccin a ISO 27000

Polticas y objetivos de seguridad de la informacin

La poltica de seguridad de la informacin generalmente es un documento breve y de alto nivel que detalla el principal objetivo del SGSI. Los objetivos para el SGSI, en general, se presentan como un documento independiente, pero tambin pueden ser unificados en la poltica de seguridad de la informacin. Contrariamente a la revisin 2005 de ISO 27001, ya no se necesitan ambas polticas (Poltica del SGSI y Poltica de seguridad de la informacin); solo hace falta una poltica de seguridad de la informacin. 57 MODULO I: Introduccin a ISO 27000

Metodologa e informes de evaluacin y tratamiento de riesgos

La metodologa de evaluacin y tratamiento del riesgo es, habitualmente, un documento de 4 a 5 pginas y debe ser redactado antes que se realice la evaluacin y el tratamiento de riesgos. El informe de evaluacin y tratamiento de riesgos debe ser redactado una vez que se realiz la evaluacin y el tratamiento de riesgos, y all se resumen todos los resultados. 58 MODULO I: Introduccin a ISO 27000

Declaracin de aplicabilidad

La Declaracin de aplicabilidad (o DdA) se redacta en base a los resultados del tratamiento del riesgo; es un documento clave dentro del SGSI porque describe no slo qu controles del Anexo A son aplicables, sino tambin cmo se implementarn y su estado actual. Tambin debera considerar a la Declaracin de aplicabilidad como un documento que describe el perfil de seguridad de su empresa. 59 MODULO I: Introduccin a ISO 27000

Plan de tratamiento del riesgo

Este es, bsicamente, un plan de accin sobre cmo implementar los diversos controles definidos por la DdA. Este documento se desarrolla en funcin de la Declaracin de aplicabilidad y se utiliza y actualiza activamente a lo largo de toda la implementacin del SGSI. A veces se puede fusionar con el Plan del proyecto. 60 MODULO I: Introduccin a ISO 27000

Funciones y responsabilidades de seguridad El mejor mtodo es describir estas funciones y responsabilidades en todas las polticas y procedimientos de la forma ms precisa posible. Evite expresiones como "debera hacerlo"; en cambio, utilice algo como "el Jefe de seguridad realizar xyz todos los lunes a las zxy horas". Algunas empresas prefieren detallar las funciones y responsabilidades de seguridad en sus descripciones del trabajo; sin embargo, esto puede generar mucho papelero. Las funciones y responsabilidades de seguridad para terceros se definen a travs de contratos 61 MODULO I: Introduccin a ISO 27000

Inventario de activos

Si no contaba con un inventario de este tipo antes del proyecto ISO 27001, la mejor forma de hacerlo es directamente a partir del resultado de la evaluacin de riesgos ya que all, de todos modos, se tienen que identificar todos los activos y sus propietarios; entonces, simplemente puede copiar el resultado desde ese instrumento. 62 MODULO I: Introduccin a ISO 27000

Uso aceptable de los activos Habitualmente, este documento se confecciona bajo la forma de una poltica y puede cubrir un amplio rango de temas porque la norma no define muy bien este control. Probablemente, la mejor forma de encararlo es la siguiente: (1) djelo para el final de la implementacin de su SGSI y (2) todas las reas y controles que no haya cubierto con otros documentos y que involucran a todos los empleados, inclyalos en esta poltica. 63 MODULO I: Introduccin a ISO 27000

Poltica de control de acceso

En este documento usted puede cubrir slo la parte comercial de la aprobacin de acceso a determinada informacin y sistemas, o tambin puede incluir el aspecto tcnico del control de acceso. Adems, puede optar por definir reglas para acceso lgico nicamente o tambin para acceso fsico. Debera redactar este documento solamente despus de finalizado su proceso de evaluacin y tratamiento de riesgos. 64 MODULO I: Introduccin a ISO 27000

Procedimientos operativos para gestin de TI

Puede crear este procedimiento como un nico documento o como una serie de polticas y procedimientos; si se trata de una empresa pequea, debera tener menor cantidad de documentos. Normalmente, aqu puede abarcar todas las reas de las secciones A.12 y A.13: gestin de cambios, servicios de terceros, copias de seguridad, seguridad de red, cdigos maliciosos, eliminacin y destruccin, transferencia de informacin, supervisin del sistema, etc. Este documento se debera redactar solamente una vez que finalice su proceso de evaluacin y tratamiento de riesgos. 65 MODULO I: Introduccin a ISO 27000

Principios de ingeniera para sistema seguro Este es un nuevo control en ISO 27001:2013 y requiere que se documenten los principios de ingeniera de seguridad bajo la forma de un procedimiento o norma y que se defina cmo incorporar tcnicas de seguridad en todas las capas de arquitectura: negocio, datos, aplicaciones y tecnologa. Estos principios pueden incluir validacin de datos de entrada, depuracin, tcnicas para autenticacin, controles de sesin segura, etc. 66 MODULO I: Introduccin a ISO 27000

Poltica de seguridad para proveedores

Este tambin es un control nuevo en ISO 27001:2013, y una poltica de este tipo puede abarcar un amplio rango de controles: cmo se realiza la seleccin de potenciales contratistas, cmo se ejecuta la evaluacin de riesgos de un proveedor, qu clusulas incluir en el contrato, cmo supervisar el cumplimiento de clusulas contractuales de seguridad, cmo modificar el contrato, cmo cerrar el acceso una vez cancelado el contrato, etc. 67 MODULO I: Introduccin a ISO 27000

Procedimiento para gestin de incidentes Este es un procedimiento importante que define cmo se informan, clasifican y manejan las debilidades, eventos e incidentes de seguridad. Este procedimiento tambin define cmo aprender de los incidentes de seguridad de la informacin para que se puedan evitar en el futuro. Un procedimiento de esta clase tambin puede invocar al plan de continuidad del negocio si un incidente ha ocasionado una interrupcin prolongada 68 MODULO I: Introduccin a ISO 27000

Procedimientos de la continuidad del negocio

Generalmente se trata de planes de continuidad del negocio, planes de respuesta ante incidentes, planes de recuperacin para el sector comercial de la organizacin y planes de recuperacin ante desastres (planes de recuperacin para infraestructura de TI). Estos procedimientos se describen con mayor detalle en la norma ISO 22301, la principal norma internacional para continuidad del negocio 69 MODULO I: Introduccin a ISO 27000

Requisitos legales, normativos y contractuales

Este listado debe confeccionarse en la etapa ms temprana posible del proyecto porque muchos documentos tendrn que ser desarrollados de acuerdo a estos datos. Este listado debe incluir no slo las responsabilidades para el cumplimiento de determinados requerimientos, sino tambin los plazos. 70 MODULO I: Introduccin a ISO 27000

Registros de capacitacin, habilidades, experiencia y calificaciones

Es el departamento de recursos humanos el que generalmente se encarga de llevar estos registros. Si usted no tiene un sector de este tipo, cualquier persona que habitualmente se encargue de los registros de los empleados debera ser quien realice este trabajo. Bsicamente, sera suficiente una carpeta en la que se encuentren todos los documentos 71 MODULO I: Introduccin a ISO 27000

Resultados de supervisin y medicin

La forma ms sencilla de describir cmo se miden los controles es a travs de polticas y procedimientos que definan a cada control. En general, esta descripcin puede ser realizada al final de cada documento, y cada descripcin tiene que definir los tipos de ICD (indicadores clave de desempeo) que es necesario medir para cada control o grupo de controles. Una vez que se estableci este mtodo de control, usted debe realizar la medicin en funcin de dicho mtodo. Es importante reportar los resultados de esta medicin en forma regular a las personas que estn a cargo su evaluacin. 72 MODULO I: Introduccin a ISO 27000

Programa de auditora interna

El programa de auditora interna no es ms que un plan anual para realizar las auditoras; para las empresas ms pequeas, puede tratarse solamente de una auditora, mientras que para las organizaciones ms grandes puede ser una serie de, por ejemplo, 20 auditoras internas. Este programa debe definir quin realizar las auditoras, los mtodos que se utilizarn, los criterios que se aplicarn, etc. 73 MODULO I: Introduccin a ISO 27000

Resultados de las auditoras internas

Un auditor interno debe generar un informe de auditora, que incluye los resultados de la auditora (observaciones y medidas correctivas). Este informe debe ser confeccionado dentro de un par de das luego de realizada la auditora interna. En algunos casos, el auditor interno tendr que verificar si todas las medidas correctivas se aplicaron segn lo esperado. 74 MODULO I: Introduccin a ISO 27000

Resultados de la revisin por parte de la direccin Estos registros se presentan, normalmente, bajo la forma de actas de reunin y deben incluir todo el material tratado durante la reunin de la direccin, como tambin todas las decisiones que se tomaron. Estas actas pueden ser en papel o en formato digital. 75 MODULO I: Introduccin a ISO 27000

Resultados de acciones correctivas

Generalmente, estos son incluidos en los formularios para medidas correctivas (FMC). Sin embargo, es mucho mejor agregar estos registros en alguna aplicacin que ya est en uso en la organizacin; por ejemplo, la Mesa de ayuda, porque las medidas correctivas no son ms que listas de actividades a realizar con responsabilidades, tareas y plazos bien definidos. 76 MODULO I: Introduccin a ISO 27000

Registros sobre actividades de los usuarios, excepciones y eventos de seguridad

Habitualmente se llevan de dos formas: (1) en formato digital, generados en forma automtica o semiautomtica como registros de diversas TI y de otros sistemas, y (2) en papel, donde cada registro se hace manualmente. 77 MODULO I: Introduccin a ISO 27000

Procedimiento para control de documentos

En general, este es un procedimiento independiente, de 2 o 3 pginas de extensin. Si usted ya implement alguna otra norma como ISO 9001, ISO 14001, ISO 22301 o similar, puede utilizar el mismo procedimiento para todos estos sistemas de gestin. A veces es mejor redactar este procedimiento como el primer documento de un proyecto. 78 MODULO I: Introduccin a ISO 27000

Controles para gestin de registros La forma ms sencilla es redactar el control de registros en cada poltica o procedimiento (u otro documento) que requiera la generacin de un registro. Estos controles, normalmente son incluidos hacia el final de cada documento y se confeccionan bajo el formato de una tabla que detalla dnde se archiva el registro, quin tiene acceso, cmo se protege, por cunto tiempo se archiva, etc. 79 MODULO I: Introduccin a ISO 27000

Procedimiento para auditora interna

Habitualmente este es un procedimiento independiente que puede tener entre 2 y 3 pginas y que tiene que ser redactado antes que comience la auditora interna. En cuanto al procedimiento para control de documentos, un procedimiento para auditora interna puede ser utilizado para cualquier sistema de gestin. 80 MODULO I: Introduccin a ISO 27000

Procedimiento para medidas correctivas

Este procedimiento no debera exceder las 2 o 3 pginas y puede ser confeccionado al final del proyecto de implementacin, aunque es mejor hacerlo antes para que los empleados puedan familiarizarse con l.

PRINCIPALES CLAVES PARA IMPLANTAR LA ISO 27001

Identificar los objetivos de negocio

Seleccionar un alcance adecuado

Determinar el nivel de madurez ISO 27001

Analizar el retorno de inversin

Dominios ISO 27002

COMO ADAPTARSE

MODULO II: Anlisis de Riesgos8687Activos de seguridad de la informacin. Anlisis y valoracin de riesgos. MODULO II: Anlisis de Riesgos88 MODULO II: Anlisis de Riesgos Proceso de Evaluacin de RiesgosIdentificacin y Tasacin de ActivosIdentificacin de Requerimientos de SeguridadEvaluacin de la posibilidad de que las Amenazas y Vulnerabilidades ocurranClculo de los Riesgos de seguridadSeleccin de opciones de Tratamiento de Riesgo apropiadasSeleccin de Controles para reducir el Riesgo a Nivel aceptable89 MODULO II: Anlisis de Riesgos Identificacin y Tasacin de ActivosUn activo es algo que tiene valor o utilidad para la organizacin, sus operaciones y su continuidad. El ISO 17799 (Cdigo de Prctica para la Gestin de la Seguridad de Informacin) clasifica los activos de la siguiente manera:Activos de Informacin: bases de datos y archivos de datos, documentacin del sistema, manuales de usuario, materiales de entrenamiento, procedimientos operativos de apoyo, planes de continuidad.Documentos impresos: documentos impresos, contratos, lineamientos, documentos de la compaa, documentos que contienen resultados importantes del negocio.Activos de software: Software de aplicacin, software de sistemas, herramientas de desarrollo.90 MODULO II: Anlisis de Riesgos Identificacin y Tasacin de ActivosActivos fsicos: Equipos de comunicacin y computacin, medios magnticos, otros equipos tcnicos.Personas: Personal, clientes, suscriptores.Imagen y reputacin de la compaaServicios: Servicios de computacin y comunicacin, otros servicios tcnicos.La tasacin de activos, basados en las necesidades del negocio de una organizacin, es un factor importante en la evaluacin del riesgo. Para poder encontrar la proteccin apropiada para los activos, es necesario evaluar su valor en trminos de su importancia para el negocio. Para poder tasar los valores de los activos y poder relacionarlos apropiadamente, una escala de valor para activos debe ser aplicada.

91 MODULO II: Anlisis de Riesgos Identificacin de Requerimientos de Seguridad Los requerimientos de seguridad en cualquier organizacin, grande o pequea, son derivados de tres fuentes esenciales y debieran de documentarse en un SGSI.El conjunto nico de amenazas y vulnerabilidades que pudieran ocasionar prdidas significativas en la empresa si ocurrieran. Los requerimientos contractuales que deben satisfacerse por la organizacin. El conjunto nico de principios, objetivos y requerimientos para el procesamiento de informacin que una organizacin ha desarrollado para apoyar las operaciones del negocio y sus procesos.Una vez que estos requerimientos de seguridad han sido identificados, es recomendable formularlos en trminos de requerimientos de confidencialidad, integridad y disponibilidad.92 MODULO II: Anlisis de Riesgos Identificacin de Amenazas y Vulnerabilidades Los activos estn sujetos a muchos tipos de amenazas. Una amenaza tiene el potencial de causar un incidente no deseado, el cual puede generar dao al sistema, la organizacin y a los activos. El dao puede ocurrir por un ataque directo o indirecto a la informacin organizacional. Las amenazas pueden originarse de fuentes accidentales o de manera deliberada. Una amenaza para poder causar dao al activo, tendra que explotar la vulnerabilidad del sistema, aplicacin o servicio.Las vulnerabilidades son debilidades asociadas con los activos organizacionales. Las debilidades pueden ser explotadas por la amenaza, causando incidentes no deseados, que pudieran terminar causando prdidas, dao o deterioro a los activos. La vulnerabilidad como tal, no causa dao, es simplemente una condicin o conjunto de condiciones que pueden permitir que una amenaza afecte a un activo. Una evaluacin de la posibilidad de ocurrencia de las vulnerabilidades y las amenazas, debe ser efectuada en esta fase.93 MODULO II: Anlisis de Riesgos Clculo de los Riesgos de Seguridad El objetivo de la evaluacin del riesgo es la de identificar y evaluar los riesgos. Los riesgos son calculados de una combinacin de valores de activos y niveles de requerimientos de seguridad.La evaluacin de riesgos envuelve la sistemtica consideracin de los siguientes aspectos:Consecuencias.- El dao al negocio como resultado de un incumplimiento de seguridad de informacin considerando las potenciales consecuencias de prdidas o fallas de confidencialidad, integridad y disponibilidad de informacin. Probabilidad.- La real posibilidad de que tal incumplimiento ocurra a la luz del reinado de amenazas, vulnerabilidades y controles. 94 MODULO II: Anlisis de Riesgos Clculo de los Riesgos de Seguridad Es importante hacer hincapi que no existe una manera buena o mala de calcular los riesgos, en la medida que los conceptos descritos en las fases anteriores se combinen en una manera sensata. Es menester de la firma identificar un mtodo para la evaluacin del riesgo que sea adecuada a los requerimientos de seguridad del negocio.95 MODULO II: Anlisis de Riesgos Seleccin de Opciones Apropiadas de Tratamiento del Riesgo Cuando los riesgos han sido identificados y evaluados, la prxima tarea para la organizacin es identificar y evaluar la accin ms apropiada de cmo tratar los riesgos. La decisin debe ser tomada basada en los activos involucrados y sus impactos en el negocio. Otro aspecto importante ha considerar es el nivel de riesgo aceptable que ha sido identificado siguiendo la seleccin de la metodologa apropiada de evaluacin.El estndar ISO 27001, requiere que la organizacin en relacin al tratamiento del riesgo siga cuatro posibles acciones:Aplicacin de apropiados controles para reducir los riesgos. Los controles tienen que ser identificados en el anexo A. Si los controles no pueden ser hallados en el anexo A, la firma puede crearlos y documentarlos. Aceptar objetivamente los riesgos partiendo del supuesto que satisfacen la poltica de la organizacin y su criterio para la aceptacin del riesgo. Evitar los riesgos Transferir el riesgo asociado a otras partes. 96 MODULO II: Anlisis de Riesgos Seleccin de Opciones Apropiadas de Tratamiento del Riesgo La organizacin por cada uno de los riesgos, debe evaluar estas opciones para identificar la ms adecuada. Los resultados de esta actividad deben ser documentados y luego la firma debe documentar su plan de tratamiento del riesgo.Hay dos opciones en la identificacin y evaluacin del riesgo que requieren mayor explicacin. Las alternativas son: evitar el riesgo y transferencia del riesgo. (a) Evitar el riesgo. Describe cualquier accin donde los activos son transferidos de las reas riesgosas. Cuando se evala la posibilidad de evitar el riesgo esto debe sopesarse entre las necesidades de la empresa y las monetarias. (b) Transferencia del riesgo. Esta opcin puede ser vista como la mejor si es imposible reducir los niveles del riesgo. Existen muchas alternativas a considerar en relacin a la estrategia de transferencia del riesgo. La transferencia del riesgo podra alcanzarse tomndose una pliza de seguro. Otra posibilidad podra ser la utilizacin de servicios de outsourcingpara que se manejen activos y procesos crticos. La responsabilidad por los servicios tercerizados siempre recae en la empresa. Eso jams se delega.97 MODULO II: Anlisis de Riesgos Seleccin de Controles para Reducir los Riesgos a un Nivel Aceptable Para reducir el riesgo evaluado dentro del alcance del SGSI considerado, controles de seguridad apropiados y justificados deben ser identificados y seleccionados. Estos controles deben ser seleccionados del anexo A del ISO 27001. El estndar presenta 11 clusulas, 39 objetivos de control y 133 controles especficos. Es muy importante estar claros sobre el rol del ISO 17799:2005. La organizacin puede utilizar el ISO 17799: como gua para la implementacin de los controles, pero deben ser escogidos del ISO 27001.La seleccin de los controles debe ser sustentada por los resultados de la evaluacin del riesgo. Las vulnerabilidades con las amenazas asociadas indican donde la proteccin pudiera ser requerida y que forma debe tener. Especialmente para propsitos de certificacin, las relaciones con la evaluacin del riesgo deben ser documentadas para justificar la seleccin de los controles.98 MODULO II: Anlisis de Riesgos Seleccin de Controles para Reducir los Riesgos a un Nivel Aceptable Cuando se seleccionan controles para la implementacin, un nmero de factores deben ser considerados, incluyendo:Uso de controles Transparencia del usuario Ayuda otorgada a los usuarios para desempear su funcin Relativa fuerza de los controles Tipos de funciones desempeadas. En trminos generales, un control podr satisfacer ms de una de estas funciones.99 MODULO II: Anlisis de Riesgos Reduccin del Riesgo y su Aceptacin Para todos aquellos riesgos donde la decisin de reduccin de riesgo ha sido escogida, controles apropiados deben ser seleccionados para reducir los riesgos a un nivel que la gerencia, decidir su nivel adecuado.100 MODULO II: Anlisis de Riesgos Riesgo Residual Despus de identificar los controles adecuados para reducir un riesgo especfico al nivel considerado aceptable, debe evaluarse cuanto los controles, si se implementan reducirn el riesgo. Esta reduccin de riesgo es el denominado riesgo residual.El riesgo residual usualmente es difcil evaluarlo. Por lo menos una estimacin de cuanto los controles reducen el nivel de los requerimientos de los valores asociados de seguridad debieran ser identificados para asegurar que la suficiente proteccin es alcanzada.Si el riesgo residual es inaceptable, una decisin comercial debe ser tomada sobre como se ir a manejar la situacin. Una opcin es la de seleccionar mas controles para finalmente reducir los riesgos a un nivel aceptable. Es una buena prctica no tolerar riesgos inaceptables, pero muchas veces no es posible o financieramente factible reducir todos los riesgos al nivel aceptable.

101 MODULO II: Anlisis de Riesgos Riesgo Residual Despus de la implementacin de los controles seleccionados, es importante estar claros, que siempre habr riesgos existentes. Esto sucede por que los sistemas de informacin en las organizaciones nunca podrn estar absolutamente seguros. Esta es la razn por la cual es necesario revisar la implementacin, y los resultados de los controles para finalmente evaluar qu tan bien los controles implementados estn operando. Este es fundamentalmente el propsito de las revisiones gerenciales parapoder tener un control concreto del proceso del riesgo en la firma y poder iniciar la accin correctiva cuando sea necesario.

102 MODULO II: Anlisis de Riesgos Matriz de RiesgoUna matriz de riesgo constituye una herramienta de control y de gestin normalmente utilizada para identificar las actividades (procesos y productos) ms importantes de una empresa, el tipo y nivel de riesgos inherentes a estas actividades y los factores exgenos y endgenos relacionados con estos riesgos (factores de riesgo). Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada gestin y administracin de los riesgos financieros que pudieran impactar los resultados y por ende al logro de los objetivos de una organizacin. Una efectiva matriz de riesgo permite hacer comparaciones objetivas entre proyectos, reas, productos, procesos o actividades. Todo ello constituye un soporte conceptual y funcional de un efectivo Sistema Integral de Gestin de Riesgo103 MODULO II: Anlisis de Riesgos FasesA partir de los objetivos estratgicos y plan de negocios, la administracin de riesgos debe desarrollar un proceso para la identificacin de las actividades principales y los riesgos a los cuales estn expuestas; entendindose como riesgo la eventualidad de que una determinada entidad no pueda cumplir con uno o ms de los objetivos. 104 MODULO II: Anlisis de Riesgos Fases

105 MODULO II: Anlisis de Riesgos ValorizacinLa valorizacin consiste en asignar a los riesgos calificaciones dentro de un rango, que podra ser por ejemplo: de 1 a 5 ( insignificante (1), baja (2), media (3), moderada (4) o alta (5), dependiendo de la combinacin entre impacto y probabilidad. En el siguiente grfico se ve un ejemplo:

106 MODULO II: Anlisis de Riesgos Riesgo residualFinalmente se calcula el Riesgo Neto o Residual, que resulta de la relacin entre el grado de manifestacin de los riesgos inherentes y la gestin de mitigacin de riesgos establecida por la administracin. En el siguiente cuadro se muestra un ejemplo para calcular el riesgo residual utilizando escalas numricas de posicin de riesgo:107 MODULO II: Anlisis de Riesgos Riesgo residual

108 MODULO II: Anlisis de Riesgos Conclusiones

La implementacin del ISO 27001 dentro de cierto alcance previamente determinado en la empresa, tiene un requerimiento bsico, el cual es una completa participacin de la gerencia. Este estndar es un sistema de gestin. Esta hecho para gestionar un sistema de seguridad de informacin. Su propsito fundamental es el de asegurar que la informacin en la firma mantenga: confidencialidad, integridad y disponibilidad.La gestin del riesgo es el tema central de este nuevo estndar internacional. Un antiguo axioma plantea que uno no puede mejorar lo que no se puede medir. Esto es cierto para la gestin del riesgo. Uno no puede gestionar el riesgo si no se puede medirlo.La dinmica de este nuevo estndar es bien clara en trminos de mitigar la informacin del riesgo en la empresa. La firma tiene la autonoma de decidir el alcance del estndar. Luego tiene que identificar los activos dentro del alcance y realizar por cada activo de informacin un anlisis y evaluacin del riesgo para determinar el plan de tratamiento del riesgo. Modelos de Gestin de Riesgos

COBIT 5.0Risk ITM_o_RMAGERITNIST SP 800-30Microsoft Threat ModelingSTRIDE/DREADTRIKEAS/NZS 4360CVSSOCTAVECRAMMPTA ACE Team

109 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad

109110 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad COBIT 5

COBIT 5 permite administrar a las TI de manera integral para toda la empresa, teniendo en cuenta la totalidad del negocio, las reas funcionales de responsabilidad de las TI y los intereses de las partes interesadas (stakeholders), internas y externas, relacionadas con las TI.COBIT 5 para la Seguridad de la Informacin se basa en el marco de control COBIT 5 y proporciona una gua ms detallada para los profesionales en seguridad de la informacin y los stakeholders a todos los niveles de la empresa.COBIT 5 incluye los siguientes procesos:APO13 Administracin de la SeguridadDSS04 Gestin de la ContinuidadDSS05 Gestin de los servicios de seguridad110111 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - COBIT 5

Los principales controladores de COBIT para la Seguridad de Informacin son:

La necesidad de describir la seguridad de informacin en un contexto empresarial.Una necesidad de la empresa cada vez mayor de: Mantener los riesgos a un nivel aceptable y proteger la informacin contra la divulgacin no autorizada, modificaciones no autorizadas o accidentales y posibles intrusiones; la satisfaccin del usuario mediante la disponibilidad de los servicios de TI y el cumplimiento de leyes y reglamentos.La necesidad de conectarse, y alinearse con otros importantes marcos y estndares en el mercado.La necesidad de unir todas las principales investigaciones de ISACA con un enfoque principal en el Modelo de Negocio de Informacin de Seguridad111112 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad COBIT 5

Beneficios

Reduccin de la complejidad y aumento de la rentabilidad debido a una mayor integracin de los estndares de la seguridad de la informacin.Aumento en la satisfaccin de los usuarios.Integracin de la seguridad de la informacin en la empresa.Decisiones a partir de la identificacin de los riesgos y Conciencia del riesgo.Reduccin de los incidentes de la seguridad de la informacin.Mayor apoyo a la innovacin y competitividad.Mejora de la gestin de costos relacionados con la funcin de seguridad de la informacin.112113 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad- Risk IT

Publicada en el 2009 por ISACA. La gestin del riesgo empresarial es un componente esencial de la administracin responsable de cualquier organizacin. Debido a su importancia, los riesgos TI deben ser entendidos como riesgos clave para el negocio.El marco TI permite a los usuarios:Integrar la gestin de riesgos IT con el ERM.Entender cmo gestionar el riesgo.Principios:Alineacin con los objetivos de negocioAlineacin de la gestin de riesgos de TI con el ERMBalancear los costos y beneficios de la gestin de riesgos de TIPromover la comunicacin justa y abierta de los riesgos de TI113114 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad Risk IT

Existen tres dominios en el marco Risk IT:Gobierno del Riesgo: Asegura de que las prcticas de gestin de riesgos de TI estn integradas en la empresa, con el objetivo de tener una ptima rentabilidad. Se basa en los siguientes procesos:Establecer y mantener una visin comn del riesgo.Integrarlo con el ERMHacer una concientizacin del riesgo en las decisiones de la empresa.Evaluacin del Riesgo: Asegurar que los riesgos IT sean identificados yanalizados. Se basa en los siguientes procesos:Recopilacin de informacinAnlisis del RiesgoMapa de RiesgosRespuesta a los riesgos: Los riesgos deben ser clasificados de acuerdo alas prioridades del negocio:Gestin de RiesgosImplementacin de ControlesPlanes de respuesta a incidentesComunicacin de eventos de riesgo.114115 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - M_o_R

Los principales temas que abarca la Gua son:Principios M_o_R: Los principios estn alineados con los descritos en ISO 31000, y para ser ms consistente con los principios de otras Guas de Gestin.Los principios son:Alineacin con los objetivos de la empresa.Adaptacin con el contexto.Compromiso de las partes interesadas. (stakeholders)Proporcionar una orientacin clara.Informacin de las decisiones tomadas.Mejora Continua.Creacin de una cultura la cual apoye los principios.Lograr un valor medible.115116 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - M_o_R

Enfoque M_o_R: En donde se encuentra toda la documentacin de la Gestin del Riesgo.Proceso M_o_R: Hay un gran nfasis a la necesidad de comunicacin a lo largo de las diferentes fases del proceso.Existen 4 fases:IdentificacinActivosPlanImplementacinRevisin M_o_R: Este captulo ha sido reescrito para mejorar la orientacin sobre cmo integrar la gestin de riesgos.116Se trata de una metodologa promovida por el CSAE (Consejo Superior de administracin electrnica) que persigue una aproximacin metdica al anlisis de riesgos. Se trata por tanto de una metodologa para auxiliar en tarea de toma de decisiones en entornos crticos.117 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - MAGERIT

117Los objetivos de la aplicacin de este modelo son:Concientizar a los responsables de los sistemas de informacin de la existencia de riesgos y de la necesidad de atajarlos a tiempo Ofrecer un mtodo sistemtico para analizar tales riesgos Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control Apoyar la preparacin a la Organizacin para procesos de evaluacin, auditora, certificacin o acreditacin, segn corresponda en cada caso Su aplicacin se estructura en cinco niveles: Modelo de valorModelo de riesgosEstado de los riesgos Informe de insuficienciasPlan de seguridad118 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - MAGERIT

118

Modelos de Gestin de Riesgos: Magerit119119120 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - NIST SP 800-30

El NIST (National Institute of Standards and Technology) ha incluido una metodologa (Risk Management Guide for Information Technology Systems) para el anlisis y gestin de riesgos de la Seguridad de la Informacin, alineada y complementaria con el resto de documentos de la serie.Compuesta por tres procesos principales: Valoracin del riesgo, Mitigacin del Riesgo y Evaluacin del Riesgo.120121Valoracin del Riesgo: Incluye 9 pasos.Paso 1: Caracterizacin del SistemaPaso 2: Identificacin de la amenazaPaso 3: Identificacin de una vulnerabilidadPaso 4: Anlisis de ControlPaso 5: Determinacin de la probabilidadPaso 6: Anlisis del ImpactoPaso 7: Determinacin del RiesgoPaso 8: Recomendaciones del ControlPaso 9: Resultados de la documentacin MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - NIST SP 800-30

121122 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - NIST SP 800-30

Mitigacin del Riesgo: Incluye priorizacin, evaluacin e implementacin de los apropiados controles para reducir el riesgo, recomendados del proceso previo.Evaluacin del Riesgo: En esta etapa se hace hincapi en la buena prctica y la necesidad de una evaluacin continua del riesgo y la evaluacin y los factores que conduzcan a un programa de gestin de riesgos exitoso.122Este modelo tiene cinco pasos:Identificar los objetivos de seguridadEvaluar el sistemaRealizar la descomposicin del sistemaIdentificar las amenazasIdentificar las vulnerabilidades

123

MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - Microsoft Threat Modeling

123Identificar los Objetivos Los objetivos se pueden clasificar en :Objetivos de IdentidadObjetivos FinancierosObjetivos de reputacinObjetivos de integridad y confidencialidadObjetivos de disponibilidad

124 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - Microsoft Threat Modeling

124Evaluacin del sistemaUna vez que se han declarado los objetivos se debe analizar el diseo del sistema para identificar los componentes, los flujos de informacin y los lmites de confianza.Descomponer el sistemaImplica identificar las caractersticas y los mdulos con impacto en la seguridad que deben ser evaluados.125 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - Microsoft Threat Modeling

125Identificar las amenazasSe parte del hecho de que es imposible identificar amenazas que no son conocidas. Por lo tanto, concentrndose en los riesgos conocidos, se realiza una identificacin basada en el empleo de herramientas de BugTraq.

126 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - Microsoft Threat Modeling

126Identificar las amenazas Adems de saber qu tipo de amenaza es el que se puede identificar, es preciso clasificar quin es el posible atacante. Se propone la siguiente clasificacin:Descubrimiento accidentalMalware automticoAtacante curiosoScript KiddiesAtacante MotivadoCrimen organizado127 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - Microsoft Threat Modeling

127STRIDE es una metodologa para identificar amenazas conocidas. Establece seis categoras:Spoofing IdentityTampering with DataRepudiationInformation DisclosureDenial of serviceElevation of privilege

128 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - STRIDE

128DREAD es un modelo que permite establecer un grado de riesgo que permite ordenar los riesgos mediante la evaluacin de cinco categoras.Propone una expresin que se traduce en un ndice:

129

MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - STRIDE

129Damage Potential Si la amenaza se materializa, cunto dao puede causar?0 = Nothing 5 = Individual user data is compromised or affected. 10 = Complete system or data destruction Reproducibility Cmo de fcil es reproducir el exploit?0 = Very hard or impossible, even for administrators of the application. 5 = One or two steps required, may need to be an authorized user. 10 = Just a web browser and the address bar is sufficient, without authentication. Exploitability Qu se necesita para materializar la amenaza?0 = Advanced programming and networking knowledge, with custom or advanced attack tools. 5 = Malware exists on the Internet, or an exploit is easily performed, using available attack tools. 10 = Just a web browser 130 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - STRIDE

130Affected Users Cuntos usuarios se ven afectados?0 = None 5 = Some users, but not all 10 = All users Discoverability Cmo de facil es descubrir esta amenaza?0 = Very hard to impossible; requires source code or administrative access. 5 = Can figure it out by guessing or by monitoring network traces. 9 = Details of faults like this are already in the public domain and can be easily discovered using a search engine. 10 = The information is visible in the web browser address bar or in a form.

131 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - STRIDE

131Es un modelo similar al propuesto desde Microsoft.Existen sin embargo diferencias. TRIKE propone una aproximacin a la descripcin del riesgo que no ana los ataques, las amenazas y las vulnerabilidades. Al contrario, permite distinguir unos de otros construyendo un sistema experto para toma de decisiones.132 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - TRIKE

132El Australian/New Zealand Standard es simple, muy flexible e iterativo .Proporciona una serie de conjuntos de tablas de riesgos como ejemplos, pero permite desarrollar y adaptar su propio modelo a las organizaciones.El modelo se resume en cinco puntos.Establecer el contextoIdentificar los riesgos Analizar los riesgosEvaluar los riesgosHabilitar contramedidas.133 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad AS/NZS 4360

133El departamento de Homeland Security (DHS) del gobierno de EEUU estableci que el denominado grupo NIAC Vulnerability Disclosure Working Group, que incorporaba a Cisco Systems, Symantec, ISS, Qualys, Microsoft, CERT/CC y eBay.Uno de los resultados de este grupo ha sido el CVSS Common Vulnerability Scoring System134 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - CVSS

134CVSS no es un modelo en s, sino que permite normalizar las notificaciones de seguridad asignndole una mtrica nica a las amenazas descubiertas.La definicin de la mtrica es muy compleja y su clculo implica tener en cuenta factores software y de entorno. La evaluacin de estos factores obliga a utilizar una tabla para determinar el grado de criticidad de las amenazas conocidas.De hecho la sobrecarga que supone calcular el ndice CVSS sobre una aplicacin determinada aumenta factorialmente con cada amenaza que se estima.135 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - CVSS

135CVSS no encuentra ni reduce la superficie de ataque.Tampoco enumera los riesgos para una programa determinado.Lo que proporciona es una aproximacin tcnica, estandarizada, abierta y ordenada de una vulnerabilidad especfica.

136 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - CVSS

136Se trata de un modelo muy complejo originario de la Carnagie Mellon University en colaboracin con el CERT.Se centra en la evaluacin del riesgo organizativo y no tcnico.Aunque til en la gestin de grandes organizaciones es demasiado costoso y no proporciona medidas para mitigar los efectos de las amenazas. Es ms bien un declogo de buenas costumbres.137 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - OCTAVE

137CRAMM - (CCTA (Central Computer and Telecommunications Agency) Risk Analysis and Management Method)Propuesta creada por la CCTA de Reino Unido.Actualmente est en su quinta versinEst estructurada en tres etapasCada etapa est estructurada por unos cuestionarios que permiten identificar y analizar los riesgos del sistema. La ltima etapa propone contramedidas para los riesgos.138/38 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - CRAMM

138Etapa 1: Establecimiento de objetivosDefinir los lmites del estudio.Identificar y valorar los activos del sistema.Determinar el valor de los datos del sistema a travs de entrevistas con el personal acerca del potencial dao empresarial que tendra la falta de disponibilidad, su destruccin, falta de confidencialidad o su modificacin.Identificar y valorar los activos software del sistema.139/38 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - CRAMM

139Etapa 2: Evaluacin de riesgosIdentificar y valorar el tipo y nivel de amenazas que podran afectar al sistema.Evaluar la exposicin del sistema frente a estas amenazas.Combinar ambos aspectos con la valoracin de los activos para determinar una medida del riesgo.140/38 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - CRAMM

140Etapa 3: Identificacin y Seleccin de contramedidasSe propone una librera de contramedidas agrupadas en 70 grupos lgicos para facilitar su aplicacin.

141/38 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - CRAMM

141El Practical Threat Analysis propone una suite para la elaboracin de modelos de gestin de riesgos y permite estimar un nivel de seguridad a partir de la informacin incluida en cada proyecto.

142 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - PTA

142La realizacin del modelo conlleva, como en casos anteriores una serie de fases:Establecer los prerrequisitos del modeloEstablecer lista de etiquetasIdentificar los recursos del sistemaIdentificar las vulnerabilidades del sistemaIdentificar las contramedidasIdentificar a los atacantes potencialesIdentificar los potenciales puntos de entrada del sistema.Construir los escenarios de amenazas y los planes de mitigacin Estudiar los resultados.

143 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad - PTA

143El ACE Team (Application Consulting & Engineering Team) es parte de InfoSec en Microsoft y los encargados de desarrollar un modelo de gestin de riesgos.144 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad ACE Team

144Se propone una metodologa para la extraccin de un modelo de gestin de riesgos:Identificar los objetivos de negocioDefinir perfiles de usuarioDefinir datosDefinir los controles de acceso a datosGenerar los cases para cada usuarioDefinir componentes, servicios e identidadesDetallar las llamadas de y desde el sistema.Generar y evaluar las amenazas (Attack Library)Identificar la relevancia de cada componenteRemarcar las contramedidas.

145 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad ACE Team

145Attack LibraryEsta diseada para: Disponer del mnimo de informacin.Transmitir la relacin del exploit, la causa y la contramedida.Ser accesible para que la especificacin de ataques no suponga la presencia de un tcnico avanzado en seguridad.Entender cmo probar el exploitEntender cmo reconocer una vulnerabilidadEntender cmo implementar contramedidas


146Ejemplos de Attack LibraryVandalismThreat Denial of Service due to damage of the machine Attack Damage through blunt weapon attacks Vulnerability - Machines made of mostly plastic parts Mitigation - Use Cast Iron parts Vulnerability - Exposed telephone style button Mitigation Use recessed buttons Attack - Damage through vehicle intrusions Vulnerability - ATM exposed in outdoor settings Mitigation Recess ATM behind wall with only interop panel exposed Install Secura-Posts in front of ATMs147 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad ACE Team

147SkimmingThreat exposure of ATM card/account data due to the presence of skimming devices on machines Attack-Skimming device placed over card reader slot Vulnerability User cannot tell when a skimming device is present Mitigation place an LCD screen along edge of card slot. When user inserts card, ask user to enter code displayed on LCD. If the user cannot see the LCD, skimming device present, notify bank personnel


148Es necesario definir un modelo de evaluacin de riesgosLos modelos existentes slo permiten evaluar amenazas conocidas. Esta evaluacin se puede hacer de forma cualitativa o cuantitativa.Una parte clave de estos modelos es la definicin de una mtrica que permita evaluar el nivel de seguridad de un sistema.En la definicin de esta mtrica es preciso evaluar las vulnerabilidades y, en eso de nuevo, hay dos posibilidades: una cuantitativa (ms costosa) y otra cualitativa (menos precisa y objetiva).

149 MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de seguridad Conclusiones

149 MODULO III: Sistema de Gestin de Seguridad de la Informacin.

150151Objetivos y conceptos. Procesos y actividades. Gestin del servicio. Implementacin, pautas y metodologa MODULO III: Sistema de Gestin de Seguridad de la Informacin.

La Implementacin de un SGSDP se basa en los siguientes estndares internacionales:

BS 10012:2009 Data protection Specification for a personal information management system ISO/IEC 27001:2013, Information technology Security techniques Information security management systems Requirements. ISO/IEC 27002:2013, Information technology Security techniques Code of practice for information security controls. ISO/IEC 27005:2008, Information TechnologySecurity techniques Information security risk management. ISO/IEC 29100:2011 Information technology Security techniques Privacy framework ISO 31000:2009, Risk management Principles and guidelines ISO GUIDE 72, Guidelines for the justification and development of management systems 152 MODULO III: Sistema de Gestin de Seguridad de la Informacin.

La Implementacin de un SGSDP se basa en los siguientes estndares internacionales:

ISO GUIDE 73, Risk management Vocabulary ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary NIST SP 800-14 Generally Accepted Principles and Practices for Securing Information Technology Systems OECD Guidelines for the Security of Information Systems and Networks Towards a Culture of Security.

153 MODULO III: Sistema de Gestin de Seguridad de la Informacin.

154La informacin es un activo esencial y es decisiva para la viabilidad de una organizacin. Adopta diferentes formas, impresa, escrita en papel, digital, transmitida por correo, mostrada en videos o hablada en conversaciones.

Debido a que est disponible en ambientes cada vez ms interconectados, est expuesta a amenazas y vulnerabilidades.

La seguridad de la informacin es la proteccin de la informacin contra una amplia gama de amenazas; para minimizar los daos, ampliar las oportunidades del negocio, maximizar el retorno de las inversiones y asegurar la continuidad del negocio.

Se va logrando mediante la implementacin de un conjunto adecuado de polticas, procesos, procedimientos, organizacin, controles, hardware y software y, lo ms importante, mediante comportamientos ticos de las personas. MODULO III: Sistema de Gestin de Seguridad de la Informacin

155Para ISO (International Organization for Standardization) un sistema de gestin queda definido por un proceso de 4 etapas, creado por Walter Andrew Shewhart (1891 1967) y popularizado por William Edwards Deming (1900 1993), Planificar (Plan), Implementar (Do), Medir (Check) y Mejorar (Act).

Planificar Implementar Medir Mejorar

MODULO III: Sistema de Gestin de Seguridad de la Informacin

156Conceptos generales de un SGSIISO 27001 es un Sistema de Gestin de la Seguridad de la Informacin (SGSI). La seguridad de la informacin queda definida por tres atributos: Confidencialidad; Integridad; Disponibilidad. La seguridad de la informacin (SI) es la proteccin de la informacin contra una amplia gama de amenazas respecto a: i) Minimizar daos; ii) Oportunidades del negocio; iii) Retorno de la inversin; iv) Continuidad del negocio; v) Cultura tica. El SGSI garantiza la SI mediante una estructura de buenas prcticas, definidas por: a) Gestin de riesgos; b) Polticas; c) Procesos; d) Procedimientos; e) Controles; f) Revisiones; g) Mejoras. MODULO III: Sistema de Gestin de Seguridad de la Informacin

157La Seguridad de la Informacin consiste en mantener: Confidencialidad: Informacin disponible exclusivamente a personas autorizadas.

Integridad: Mantenimiento de la exactitud y validez de la informacin, protegindola de modificaciones o alteraciones no autorizadas. Contra la integridad la informacin puede parecer manipulada, corrupta o incompleta.

Disponibilidad: Acceso y utilizacin de los servicios slo y en el momento de ser solicitado por una persona autorizada. MODULO III: Sistema de Gestin de Seguridad de la Informacin

La documentacin que se genera con la implantacin del SGSI se estructurar de la siguiente forma:

159Por ejemplo, el alcance del SGSI queda cubierto por los procesos de las siguientes reas: Facility Espacio fsico; energa elctrica; aire acondicionado; proteccin contra incendios; accesos Administracin Monitoreo; accesos lgicos; bases de datos; aplicativos Explotacin/Respaldo Mallas de procesos; almacenamiento de informacin Comunicaciones Redes de datos; seguridad lgica; monitoreo equipos de comunicaciones; enlaces ERP SAP Administracin de sistemas SAP. MODULO III: Sistema de Gestin de Seguridad de la Informacin - Alcance

160 MODULO III: Sistema de Gestin de Seguridad de la Informacin - Roadmap

161 MODULO III: Sistema de Gestin de Seguridad de la Informacin

162

163

164Comit de seguridad de la Informacin (CSI) (A 6.1.2 A 6.1.3)Se deben mantener los contactos apropiados con las autoridades pertinentes.

Deben estar representadas todas las reas de la empresa.

G. General; G. Negocios; G. Logstica; G. Personas; G. Contralora; D. Legal; G. Calidad; OSI. Oficial de seguridad de la informacin.

rea de calidad.

Auditores internos en calidad y seguridad de la informacin.

Revisiones Gerenciales

Polticas

Procesos y procedimientos

MODULO III: Sistema de Gestin de Seguridad de la Informacin - Organizacin

165 MODULO III: Sistema de Gestin de Seguridad de la Informacin Riesgo Operacional

Qu es el riesgo operacional? El Comit de Basilea II lo define como: el riesgo de prdidas debido a la inadecuacin o a fallas en los procesos, personal y sistemas internos o por causa de eventos externosQu es la gestin de riesgo operacional? Ms all de la definicin de riesgo operacional, lo importante es contar con un proceso de gestin de riesgos operativos o riesgos operacionales.Este proceso de riesgo operacional es el que debera garantizar la buena gestin de los riesgos segn los estndares internacionales.Segn el Comit de Basilea II, se entiende por gestin de riesgo operacional al proceso de identificacin, evaluacin, seguimiento y control del riesgo operacional.Conclusin: La gestin de riesgo" es un proceso esencial en la empresa.166 MODULO III: Sistema de Gestin de Seguridad de la Informacin - Incidentes de Seguridad de la Informacin

Definir cules sern tratados. Por ejemplo, los incidentes mayores. (Como se trata de un tema de cambio cultural, la recomendacin es ir desde lo simple a lo complejo.)Procedimiento de incidentes de SI. Tratamiento. 167 MODULO III: Sistema de Gestin de Seguridad de la Informacin Plan de continuidad del negocio

Alcance. Gestin de riesgo. Estrategias de continuidad. Plan de Continuidad. Pruebas. Mejoras.

168 MODULO III: Sistema de Gestin de Seguridad de la Informacin Auditoras internas

Preparacin de auditores. Calendario. Ejecucin del calendario. Tratamiento de hallazgos. Mejoras. 169 MODULO III: Sistema de Gestin de Seguridad de la Informacin Revisiones Gerenciales

La alta direccin debe revisar el SGSI, segn la planificacin definida, segn conveniencia, suficiencia y efectividad. Estado de las acciones, en funcin de las RG anteriores. Los cambios internos y externos relevantes para el SGSI. Desempeo de: NC y acciones correctivas. Mediciones e indicadores. Resultado de auditoras internas y externas. Cumplimiento de los objetivos de la SI. Comentarios de partes interesadas. Resultado de la evaluacin y tratamiento de riesgo. Oportunidades para la mejora continua. Acta que evidencie las acciones y los acuerdos de la RG.

170 MODULO III: Sistema de Gestin de Seguridad de la Informacin El punto de partida de la seguridad de la informacin

Un cierto nmero de controles puede ser considerado un buen punto de partida para implementar la seguridad de la informacin. Estos estn basados en requisitos legales esenciales o que se consideren prctica habitual de la seguridad de la informacin. Proteccin de los datos y la privacidad de la informacin personal. Proteccin de los registros de la informacin. Derechos de la propiedad intelectual. Documentacin de la poltica de seguridad de la informacin. Asignacin de responsabilidades. Concienciacin, formacin y capacitacin en seguridad de la informacin. Vulnerabilidad tcnica. Gestin de incidentes de seguridad. Gestin de continuidad del negocio.

171 MODULO III: Sistema de Gestin de Seguridad de la Informacin Recomendaciones

Cmo implementar buenas prcticas? Diferencia entre el qu se debe hacer y el cmo se haceEstablecer acuerdos. El rol de las personas ActitudesAptitudes Los mbitos Predisponen (para bien o para mal) Relacionan y mezclan niveles.Que sean armnicos y no disonantesLos procesos Procedimientos Las relaciones entre los procesos La implementacin Poltica de seguridad, objetivos y actividades que reflejen los objetivos de la empresa; Una estrategia de implementacin de seguridad que sea consecuente con la cultura organizacional; Apoyo y compromiso manifiestos por parte de la gerencia; Un claro entendimiento de los requerimientos de seguridad, la evaluacin de riesgos y la administracin de los mismos; Comunicacin eficaz a todos los gerentes y empleados; MODULO III: Sistema de Gestin de Seguridad de la Informacin Factores crticos de xito

172Distribucin de guas sobre polticas y estndares de seguridad de la informacin a todos los empleados y contratistas;Instruccin y entrenamiento adecuados;Un sistema integral y equilibrado de medicin que se utilice para evaluar el desempeo de la gestin de la seguridad de la informacin y para brindar sugerencias tendientes a mejorarlo. MODULO III: Sistema de Gestin de Seguridad de la Informacin Factores crticos de xito

173QU ES CERTIFICAR?

El proceso de Certificacin es la Generacin de un INFORME Firmado por parte de un TERCERO (ajeno a la organizacin) que define que, de acuerdo con su CRITERIO PROFESIONAL, dicha Organizacin CUMPLE o NO CUMPLE con los Requerimientos establecidos en la Normativa. MODULO III: Sistema de Gestin de Seguridad de la Informacin Certificacin

174PORQUE CERTIFICAR?

Para poder Mostrar al Mercado que la Organizacin tiene un adecuado SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACIN.

Una empresa CERTIFICADA no implica que NO TIENE MAS RIESGOS DE SEGURIDAD DE LA INFORMACION, sino que tienen un adecuado Sistema de Gestin de dichos Riesgos y Proceso de MEJORA CONTINUA. MODULO III: Sistema de Gestin de Seguridad de la Informacin Certificacin

175QUE ORGANIZACIONES PUEDEN CERTIFICAR?

Cualquier Organizacin, grande o pequea, pblica o privada, de Gobierno o sin fines de lucro, etc, est en condiciones y habilitada para CERTIFICARSE. MODULO III: Sistema de Gestin de Seguridad de la Informacin Certificacin

176QUIENES ESTAN AUTORIZADOS A EFECTUAR LA CERTIFICACION?Cualquier Agente ajeno a la Organizacin (Profesional Independiente o Compaa) puede Firmar el Informe antes mencionado.Pero dado que la Certificacin adems de un valor Interno de Asegurarse de Cumplir con la Normativa, tiene un fin principal de poder Mostrar dicha Certificacin al Mercado Externo, generalmente se recurre a Organizaciones que estn Tcnicamente Aceptadas y adems reconocidas INTERNACIONALMENTE para efectuar dicho trabajo. Por ello se recurre a Organizaciones que estn ACREDITADAS (este es el trmino tcnico utilizado) en el Organismo Internacional de Acreditacin. Ejemplo de este tipo de Organizaciones son el Bureau Veritas INSPECTORATE, SGS, etc.

MODULO III: Sistema de Gestin de Seguridad de la Informacin Certificacin

177COMO ES EL PROCESO DE CERTIFICACION?

El requerimiento previo es que la Organizacin cumpla con la Implementacin del SGSI definido en la Seccin anterior.

Luego se convoca al Tercero para efectuar la CERTIFICACION.


178Los principales PASOS son:Preparar la Documentacin Soporte a PresentarEfectuar la PREAUDITORIA para conocer el GAP Analysis respecto al EstndarIdentificar conjuntamente:las NO CONFORMIDADES (incumplimientos de acuerdo al Estndar)las NO CONFORMIDADES que son ACEPTADAS (slo se documentan los argumentos de justificacin)las NO CONFORMIDADES que NO son ACEPTADAS (se definen las MEJORAS a implementar) MODULO III: Sistema de Gestin de Seguridad de la Informacin Certificacin

179Implementar las MEJORAS y Generar los Soportes Documentales correspondientes

Efectuar la AUDITORIA DE CERTIFICACION y Generacin del Informe Final de Certificacin incluyendo las NO CONFORMIDADES (aceptadas o NO y sus Riesgos Residuales aceptados por la Direccin de la Organizacin)


180PUEDE UNA ORGANIZACION PERDER LA CERTIFICACION?

Si una Organizacin no cumple con los requerimientos, puede ocurrir que en la Auditora Peridica la Empresa Certificadora solicite que se saque la Certificacin Obtenida inicialmente.


181CERTIFICACION ISO 27001 EN PERUINDECOPITELEFONICA DEL PERUHERMESPMC LATAM182 MODULO III: Sistema de Gestin de Seguridad de la Informacin Certificacin

BENEFICIOS Establecimiento de una metodologa de gestin de la seguridad clara y estructurada. Reduccin del riesgo de prdida, robo o corrupcin de informacin. Los clientes tienen acceso a la informacin a travs medidas de seguridad. Los riesgos y sus controles son continuamente revisados. Confianza de clientes y socios estratgicos por la garanta de calidad y confidencialidad comercial. Las auditoras externas ayudan cclicamente a identificar las debilidades del sistema y las reas a mejorar. Posibilidad de integrarse con otros sistemas de gestin (ISO 9001, ISO 14001, OHSAS 18001).

BENEFICIOS Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. Conformidad con la legislacin vigente sobre informacin personal, propiedad intelectual y otras. Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. Confianza y reglas claras para las personas de la organizacin. Reduccin de costes y mejora de los procesos y servicio. Aumento de la motivacin y satisfaccin del personal. Aumento de la seguridad en base a la gestin de procesos en vez de en la compra sistemtica de productos y tecnologas.

MODULO IV: Auditora del Sistema.

185186Objetivos y conceptos. Procesos y actividades. Auditora del sistema. Conocimiento. Mtodos, tcnicas y herramientas. MODULO IV: Auditora del Sistema.

187 MODULO IV: Auditora del Sistema.

El arte de auditar un SGSI Auditar el cumplimiento de la ISO 27001:2013 Reuniendo evidencias Que obtener Tcnicas de preguntas Desarrollo de preguntas El arte de auditar Errores del auditor Tcticas negativas en el auditado Auditar el SGSI Auditar los controles188 MODULO IV: Auditora del Sistema.

Reuniendo evidencias Entrevistar Examinar Documentos Observar actividades / condiciones Verificar Independientemente Tomar Notas189 MODULO IV: Auditora del Sistema.

Que Observar Escenarios Tcnico (fsico, lgico,sectorial) Legal Organizacional Equipo auditor coordinado desde el plan inicial190 MODULO IV: Auditora del Sistema.

Que Observar Identidad del Personal Documentacin Registros Producto Escenarios Tcnico (fsico, lgico) Legal Organizacional Planos / Diseos Hallazgos Reales191 MODULO IV: Auditora del Sistema.

Tcnica de Preguntas Qu? Por qu? Cundo? Cmo? Dnde? Quin?192 MODULO IV: Auditora del Sistema.

Desarrollo de Preguntas Mustreme .... ? No comprendo .... ? Que pasa si .... ? Suponga que .... ? Usted est diciendo que .... ? Entiendo que .... ? Esto significa que .... ? Acercamiento en Silencio193 MODULO IV: Auditora del Sistema.

El Arte de Auditar Ser objetivo / corts Buscar no-conformidades Ser persistente Evitar crticas o discusiones Evitar manifestar propias conclusiones Mantener la independencia Decidir in situ Ser positivo194 MODULO IV: Auditora del Sistema.

Que debe evitar el auditor Mostrarse enfadado Hablar demasiado Llegue tarde Discutir Ser negativo Ser sarcstico Ser demasiado amistoso Ser reservado Hacer de consultor195 MODULO IV: Auditora del Sistema.

Tcticas negativas en el auditado Soborno Engao / deshonestidad Excusas Olvido Interrupciones Pobre de m... Prdidas de tiempo, esperas Ausencia de auditados Splicas Falta de colaboracin196 MODULO IV: Auditora del Sistema.

Errores del Auditor Mal nfasis Falta de tcnica Errores de semntica Error de lectura Errores de percepcin Mala comprensin Distraccin Tengo razn!197 MODULO IV: Auditora del Sistema.

Auditando el SGSIRevisin documental de cada unos de los procedimientosde gestin del SGSI (Auditora interna 9.2) Revisin por la Gerencia (Auditora interna 9.3) Auditoras internas de los Controles (A.12.7.1) Revisiones por parte de la direccin Revisin documental de los registros del SGSI


Auditando controlesProcedimiento de implementacin de controles Roles y propietarios de cada uno de ellos Procedimientos propios de los controlesRevisin de cumplimiento199 MODULO IV: Auditora del Sistema.

Como auditar los controles Sobre todos/algunos de los controles, la auditora debe contemplar inspecciones del tipo: Control organizacional Revisin documental, entrevistas, observaciones e inspeccin fsica Control tcnicoMedir la efectividad mediantes system testing o mediante herramientas de audit/reporting System testing Inspeccin visual200 MODULO IV: Auditora del Sistema.

STAGE O. PLAN DE AUDITORA

STAGE1. REUNION CON DIRECCION

STAGE 2. AUDITORIA IN-SITU

REUNION DE CIERRE

CERTIFICACIN


STAGE O. PLAN DE AUDITORAEstudio de la complejidad de la organizacin, elaboracin del plan deauditora, designacin del equipo auditor. Estudio de la complejidad de la organizacin Tiempos de auditora Designacin del equipo auditor Elaboracin del plan de auditora Envo a la organizacin del plan de auditora202 MODULO IV: Auditora del Sistema.


Complejidad de la organizacin Dependiendo de la complejidad de la organizacin: Determinaremos el equipo auditor Determinaremos el tiempo de auditora (junto con otros factores) La complejidad la determinan diversas circunstancias de la organizacin que determinarn un nivel (riesgo potencial) AltoMedio Bajo203 MODULO IV: Auditora del Sistema.


Tiempos de auditora A segn el nmero de empleados (66-85) A=6 days (876-1175) A=13 days +(1 -3) days document review + 2 days audit control ISO 27002 + 0.5 x # sites + factor (si sector riesgo alto) Valor ejemplo -> 25 das de auditoria en una empresa de 1200 empleados con nivel alto de riesgo204 MODULO IV: Auditora del Sistema.

STAGE 1. REUNION CON DIRECCION Plan de Auditora Equipo auditorRevisin documental Alcance Poltica alto nivel Cumplimiento legal Procedimientos de gestin del SGSI Evaluacin de riesgos Proceso de implantacin de controles Gestin de incidencias Comit de seguridad205 MODULO IV: Auditora del Sistema.

STAGE 2. AUDITORA IN-SITU

Auditora segn el plan Auditando el sistema Auditando los controles Revisin tcnica Revisin documental Mediante entrevistas Mediante inspeccin fsica Mediante testing/tools A usuarios, responsables,externos Por muestreo , a todos los sites206 MODULO IV: Auditora del Sistema.

REUNION DE CIERRE Introduccin Resea Impresin General Puntos especficos Conclusiones Respuesta del Auditado Recomendaciones de mejora Firma de no-conformidades Agradecimientos al Auditado Despedida207 MODULO IV: Auditora del Sistema.

Auditoras de seguimiento A intervalos planeados desde el programa de auditora Normalmente cada seis meses En algunas auditoras del SGSI se audita el alcance parcialmente para conseguir la certificacin al final del proceso A los tres aos se requiere una recertificacin

GRACIAS

Docente: Ing. Manuel Castillo Fernndez208

Documents

ISO27000