Lecture 04 SGSI
Transcript of Lecture 04 SGSI
SEGURIDAD DE LA INFORMACION
SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION
(ISMS –Information Security Management System)
Ms. Ing. Edwin Valencia [email protected]
2 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Introducción a los SGSI y la norma ISO 27001
Desarrollo de normativasAspectos claves en la implantación de un SGSI: Análisis de Riesgos
Análisis y Gestión de Riesgos¿Qué es un Sistema de Gestión?Especificaciones SGSI: ISO 27001
Buenas prácticas: ISO 27002Procesos de Certificación
Índice
3 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Es la herramienta de la organización para dotarse en cada momento de las medidas de seguridad oportunas, que proporcionen los niveles de protección de la información que en cada momento sean necesarias, de la forma mas eficiente, en un entorno de mejora continua.
¿Qué es un Sistema de Gestión de Seguridad de la Información?
4 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Es un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial.Ayuda a establecer políticas y procedimientos en relación a los objetivos del negocio de la organización, con el objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.
¿Qué es un Sistema de Gestión de Seguridad de la Información?
5 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Es un conjunto de políticas, procedimientos y controles que persigue mantener el riesgos de los sistemas de información dentro de unos niveles asumibles por la dirección y mejorar la seguridad de la información para apoyar los procesos de negocio a través del ciclo de mejora continua.
¿Qué es un Sistema de Gestión de Seguridad de la Información?
El núcleo sobre el que se fundamenta un SGSI
es la GESTION DEL RIESGO
Implantar y Operar el SGSI
Hacer
Monitorizar y Revisar el SGSI
Comprobar
Mantener yMejorar el SGSI
Actuar
Establecer el SGSI
Planificar
6 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Primero… analizar el riesgo
¿Cómo trata el riesgo un SGSI?
Segundo… decidir sobre el riesgo
ActivosAmenazasVulnerabilidadesImpacto
CLASIFICACION DEL RIESGO
1.- Aceptarlo2.- Transferirlo3.- Gestionarlo
NIVEL ACEPTABLE DEL
RIESGO
Tercero… medir cómo van las cosas
1.- Políticas2.- Procedimientos3.- Implantación4.- Eficacia
CONTROL DEL RIESGO
Cuarto… corregir y mejorar
7 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27002: Código de buenas prácticas para la gestión de la seguridad de la información Da recomendación sobre como gestionar la
seguridad de la información, a través de 12 secciones, cada una de las cuales tiene una serie de objetivos, que se alcanzan implantando una serie de controles
ISO 27001: Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) Establece las especificaciones que debe cumplir el sistema de
gestión que implante la organización para que pueda ser auditado y certificado
Normas de referenciaNormativa sobre SGSI
8 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Familia de estándares ISO 27000ISO/IEC 27000 es un conjunto de estándaresdesarrollados -o en fase de desarrollo por ISO(International Organization for Standardization) e IEC(International Electrotechnical Commission), queproporcionan un marco de gestión de la seguridad de lainformación utilizable por cualquier tipo de organización,pública o privada, grande o pequeña.
9 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
1995 1996 1999 2000 2002 2005
BS7799:1995
ISO 14980:1996
BS7799-1:1999
ISO/IEC 17799:2000
UNE/ISO 17799:2002
ISO 27001:2005ISO 27002:2005
Evolución Histórica del marco ISO 27000
10 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Evolución Histórica del marco ISO 27000
UNE-ISO/IEC 27001
2007
ISO/IEC 27002
11 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Historia del ISO 27001
12 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27000 Vocabulario y Definiciones: Publicada el 1 de Mayo de 2009 yrevisada con una segunda edición de 01 de Diciembre de 2012. Esta normaproporciona una visión general de las normas que componen la serie 27000,una introducción a los Sistemas de Gestión de Seguridad de la Información, unabreve descripción del ciclo Plan-Do-Check-Act y términos y definiciones que seemplean en toda la serie 27000ISO 27001 Especificaciones de un SGSI: Publicada el 15 de Octubre de 2005.Es la norma principal de la serie y contiene los requisitos del sistema de gestiónde seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que yaquedó anulada) y es la norma con arreglo a la cual se certifican por auditoresexternos los SGSIs de las organizaciones.ISO 27002 Código de Buenas Prácticas (anterior ISO/IEC 17799:2005):Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005. Es unaguía de buenas prácticas que describe los objetivos de control y controlesrecomendables en cuanto a seguridad de la información. No es certificable.Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.agrupados en 12 dominios.Desde 2007 se ha traducido en el Perú (como ISO 17799).
La familia de normas ISO 27000
13 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27003 Guía de implantación de un SGSI: Publicada el 01 de Febrero de2010. No certificable. Es una guía que se centra en los aspectos críticosnecesarios para el diseño e implementación con éxito de un SGSI de acuerdoISO/IEC 27001:2005. Describe el proceso de especificación y diseño desde laconcepción hasta la puesta en marcha de planes de implementación, así comoel proceso de obtención de aprobación por la dirección para implementar unSGSI.ISO 27004 Métricas e Indicadores: Publicada el 15 de Diciembre de 2009. Nocertificable. Es una guía para el desarrollo y utilización de métricas y técnicasde medida aplicables para determinar la eficacia de un SGSI y de los controleso grupos de controles implementados según ISO/IEC 27001.ISO 27005 Guía de gestión de Riesgos: Publicada en segunda edición el 1 deJunio de 2011 (primera edición del 15 de Junio de 2008). No certificable.Proporciona directrices para la gestión del riesgo en la seguridad de lainformación. Apoya los conceptos generales especificados en la norma ISO/IEC27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridadde la información basada en un enfoque de gestión de riesgos.
La familia de normas ISO 27000
14 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27006 Requisitos acreditación entidades de certificación: Publicada ensegunda edición el 1 de Diciembre de 2011 (primera edición del 1 de Marzo de2007). Especifica los requisitos para la acreditación de entidades de auditoría ycertificación de sistemas de gestión de seguridad de la información.ISO 27007 Publicada el 14 de Noviembre de 2011. No certificable. Es una guíade auditoría de un SGSI, como complemento a lo especificado en ISO 19011.ISO 27008 Publicada el 15 de Octubre de 2011. No certificable. Es una guía deauditoría de los controles seleccionados en el marco de implantación de unSGSI.ISO 27010 Publicada el 20 de Octubre de 2012. Consiste en una guía para lagestión de la seguridad de la información cuando se comparte entreorganizaciones o sectores.ISO 27011 Publicada el 15 de Diciembre de 2008. Es una guía deinterpretación de la implementación y gestión de la seguridad de la informaciónen organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002.ISO 27013 Publicada el 15 de Octubre de 2012. Es una guía deimplementación integrada de ISO/IEC 27001 (gestión de seguridad de lainformación) y de ISO/IEC 20000-1 (gestión de servicios TI).
La familia de normas ISO 27000
15 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27014 En fase de desarrollo, con publicación prevista en 2013. Consistiráen una guía de gobierno corporativo de la seguridad de la información.ISO 27015 Publicada el 23 de Noviembre de 2012. Es una guía de SGSIorientada a organizaciones del sector financiero y de seguros y comocomplemento a ISO/IEC 27002.ISO/IEC 27016 En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de valoración de los aspectos financieros de la seguridad de la información.ISO/IEC 27017 En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de seguridad para Cloud Computing.ISO/IEC 27018 En fase de desarrollo, con publicación prevista en 2013. Consistirá en un código de buenas prácticas en controles de protección de datos para servicios de computación en cloud computing.ISO/IEC 27019 En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía con referencia a ISO/IEC 27002 para el proceso de control de sistemas específicos al sector de la industria de la energía.
La familia de normas ISO 27000
16 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO/IEC 27031 Publicada el 01 de Marzo de 2011. No certificable. Es una guía de apoyo para la adecuación de las tecnologías de información y comunicación (TIC) de una organización para la continuidad del negocio. ISO/IEC 27032 Publicada el 16 de Julio de 2012. Proporciona orientación para la mejora del estado de seguridad cibernética, extrayendo los aspectos únicos de esa actividad y de sus dependencias en otros dominios de seguridad, concretamente: Información de seguridad, seguridad de las redes, seguridad en Internet e información de protección de infraestructuras críticas (CIIP). ISO/IEC 27033 Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el 15 de Diciembre de 2009); 27033-2, directrices de diseño e implementación de seguridad en redes (publicada el 27 de Julio de 2012); 27033-3, escenarios de referencia de redes (publicada el 3 de Diciembre de 2010); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de comunicaciones mediante VPNs(prevista para 2013); 27033-6, convergencia IP (prevista para 2013); 27033-7, redes inalámbricas (prevista para 2013).
La familia de normas ISO 27000
17 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO/IEC 27034 Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informáticas, consistente en 5 partes: 27034-1, conceptos generales (publicada el 21 de Noviembre de 2011); 27034-2, marco normativo de la organización (sin previsión de publicación); 27034-3, proceso de gestión de seguridad en aplicaciones (sin previsión de publicación); 27034-4, validación de la seguridad en aplicaciones (sin previsión de publicación); 27034-5, estructura de datos de protocolos y controles de seguridad de aplicaciones (sin previsión de publicación).ISO/IEC 27035 Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la gestión de incidentes de seguridad en la información. ISO/IEC 27036 En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visión general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC; 27036-4, seguridad en outsourcing (externalización de servicios).
La familia de normas ISO 27000
18 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO/IEC 27037 Publicada el 15 de Octubre de 2012. Es una guía que proporciona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros dispositivos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones.ISO/IEC 27038 En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de especificación para seguridad en la redacción digital.ISO/IEC 27039 En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía para la selección, despliegue y operativa de sistemas de detección y prevención de intrusión (IDS/IPS).ISO/IEC 27040 En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía para la seguridad en medios de almacenamiento.ISO/IEC 27041 En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía para la garantizar la idoneidad y adecuación de los métodos de investigación.
La familia de normas ISO 27000
19 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO/IEC 27042 En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía con directrices para el análisis e interpretación de las evidencias digitales.ISO/IEC 27043 En fase de desarrollo, con publicación prevista no antes de 2014. Desarrollará principios y procesos de investigación.ISO/IEC 27044 En fase de desarrollo, con publicación prevista no antes de 2014. Gestión de eventos y de la seguridad de la información - Security Information and Event Management (SIEM).ISO 27799 Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes.
La familia de normas ISO 27000
20 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Relación entre las normas ISO 27000
21 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Relación con otros estándares
22 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
La seguridad de la información se caracteriza como la preservación de la su Confidencialidad, Integridad y
Disponibilidad
TRAZABILIDAD
AUTENTICACION
NO REPUDIO
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
SEGURIDAD
SEGURIDAD TOTAL
SEGURIDAD NECESIDADESDE NUESTRO
NEGOCIO
Seguridad, ¿de qué estamos hablando?
RESPONSABILIDAD
GESTIÓN DE LA SEGURIDAD
23 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Introducción a los SGSI y la norma ISO 27001
Desarrollo de normativasAspectos claves en la implantación de un SGSI: Análisis de Riesgos
Análisis y Gestión de Riesgos¿Qué es un Sistema de Gestión?Especificaciones SGSI: ISO 27001
Buenas prácticas: ISO 27002Procesos de Certificación
Índice
24 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Es el proceso de identificar los riesgos de la seguridad, determinando su magnitud e identificando las áreas que requieren medidas de salvaguarda
Elemento fundamental de un Sistema de Gestiónde la Seguridad de la Información
Análisis de Riesgos
25 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
El análisis de riesgos intenta que los criterios en los que se apoya la seguridad sean mas objetivos
Introduce un grado importante de objetividadPermite a la organización gestionar sus riesgos por sí mismosApoyar la toma de decisiones basándose en los riesgos propiosCentrarse en proteger los activos importantesFormar y comunicar los aspectos de la seguridad necesarios
Control de los riesgos
Riesgo conocido y asumido por la compañía
Disminución del riesgo
Vigilancia del nivel de riesgo.
Análisis de Riesgos
26 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Análisis de Riesgos. Definiciones
27 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Riesgo
Amenazas Vulnerabilidades
Activos
Valor de activosRequisitos deseguridad
Salvaguardas
Explota
Afecta a
TieneIndicaSatisfechopor
Protegencontra
Aumenta
Aumenta
Aumenta
Disminuye
Análisis de Riesgos. Relaciones
28 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Riesgo
Hackers, Sabotajes, Virus, Phising,
Spam, Averías, etc.
Dir. Transversal, Equipos obsoletos,
Buff. Overflow, Buff. Overrun,
Unauthorized mail access, Priv. Escalation, DoS,
Falta formación, Open Relay, etc.
Valor del eMailRequisitos deseguridad
Cluster, Antivirus, Antispam, Backup
Respaldo, Formación, etc.
Explota
Afecta a
TieneIndicaSatisfechopor
Protegencontra
Aumenta
Aumenta
Aumenta
Disminuye
Análisis de Riesgos. Relaciones
29 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Tiene por objetivo la toma de una decisión.
Que es la acción de neutralizar un riesgo considerado no aceptable.
La acción se plasma en la implantación de salvaguardas. Salvaguardas escogidas entre alternativas + o -
excluyentes. El estado final de seguridad alcanzado puede no coincidir
con el estado final de seguridad deseado. Pueden entran en juego restricciones: legales, económicas,
técnicas, temporales, sociales, culturales, etc.
Análisis de Riesgos. Objetivo
30 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
NIST SP800-30(NIST-USA).MAGERITAS/NZ (Estandar Australiano)IT Baseline Protection Manual (BSI - Alemania).CRAMM (Siemens Insight Consulting - UK)OCTAVE (SEI Carnegie Mellon University - US).EBIOS (DCSSI-Francia).MÉHARI (Méthode Harmonisée d’Analyse de Risques Informatiques). 565 €, herramienta RISICARE (9200€+565€ formación extranjero)Otras: COBRA, SCORE, CALIO, ISAAM, RA2, MOSLER, Gretener, etc.
Análisis de Riesgos. Metodologías de Análisis de Riesgos
31 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Análisis de los Riesgos: proceso sistemático para identificar y estimar la magnitud del riesgo sobre un sistema de información.
Gestión de los Riesgos: selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir, controlar o transferir los riesgos identificados.
Riesgos
Salvaguardas
Gestiónde Riesgos
Análisisde Riesgos
Activos Amenazas Vulnerabilidades
Gestión de Riesgos
32 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Fuentes de las necesidades de seguridad
Legislación, estatutos, contratos
Necesidades del negocio
Análisis de riesgos
La seguridad sólo se consigue combinando medidas tecnológicas y de gestión
LEGAL CONTRACTUAL
SEGURIDAD
PRINCIPIOS OBJETIVOS
ANÁLISIS DE RIESGO
Gestión de Riesgos.
33 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Gestionar los riesgos identificados:Determinar si el riesgo es aceptable
• SI: Identificar y aceptar el riesgo residual• No: Decidir sobre la forma de gestionar el riesgo
Forma de gestionar el riesgo:Evitarlo: Suprimir las causas del riesgo: Activo, Amenaza,
VulnerabilidadTransferirlo: Cambiar un riesgo por otro: Outsourcing,
seguros.Reducirlo: Reducir la amenaza, vulnerabilidad, impacto
Asumirlo: Detectar y recuperarse
Gestión de Riesgos.
34 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Identificar requisito de seguridad
¿Hacemos algo?
¿Reducimos riesgo?
Proceso de reducción de nivel de riesgo
Se acepta el riesgo
Eliminar el origen del riesgo,
o transferirlo
No
No
Si
Si
Selección de controles
Gestión de Riesgos.
35 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Es un método para establecer la política yObjetivos de una organización y lograrlos,Mediante:
Una estructura organizativa donde las funciones, responsabilidades, autoridad, etc. de las personas están definidasProcesos y recursos necesarios para lograr los objetivosMetodología de medida y de evaluación para valorar los resultados frente a los objetivos, incluyendo la realimentación de resultados para planificar las mejoras del sistemaUn proceso de revisión para asegurar que los problemas se detectan y se corrigen, y las oportunidades de mejora se implementan cuando están justificadas
¿Qué es un Sistema de Gestión?
36 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Para que sirve un SGSI
Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.
El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.
37 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Que incluye un SGSI
38 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Manual de seguridadDOCUMENTOS DE NIVEL 1
Manual de seguridad: por analogía con el manual de calidad, aunque el término se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.
39 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ProcedimientosDOCUMENTOS DE NIVEL 2
Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información.
40 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
DOCUMENTOS DE NIVEL 3Instrucciones, checklists y formularios: documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.
Instrucciones, checklist y formularios
41 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
RegistrosDOCUMENTOS DE NIVEL 4
Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos.
42 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Documentos de un SGSI según el ISO 27001
ESTA DOCUMENTACION PUEDE ESTAR EN CUALQUIER FORMATO O TIPO DE MEDIOAlcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una identificación clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de influencia del SGSI considere un subconjunto de la organización como delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas).Política y objetivos de seguridad: documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información.Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el propio funcionamiento del SGSI.Enfoque de evaluación de riesgos: descripción de la metodología a emplear (cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de información contenidos dentro del alcance seleccionado), desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables.
43 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Documentos de un SGSI según el ISO 27001Informe de evaluación de riesgos: estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organización.Plan de tratamiento de riesgos: documento que identifica las acciones de la dirección, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la información, en función de las conclusiones obtenidas de la evaluación de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc.Procedimientos documentados: todos los necesarios para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados.Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI.Declaración de aplicabilidad (SOA – Statement of Applicability):documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones.
44 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
¿Cómo se implementa un SGSI?Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.
Plan (planificar): establecer el SGSI.
Do (hacer): implementar y utilizar el SGSI.
Act (actuar): mantener y mejorar el SGSI.
Check (verificar):monitorizar y revisar el SGSI.
45 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Implantar y Operar el SGSI
Hacer
Monitorizar y Revisar el SGSI
Comprobar
Mantener yMejorar el SGSI
Actuar
Establecer el SGSI
Planificar
Definir el alcance del SGSI Definir la política del SGSI Identificar los riesgos Gestionar los riesgos Seleccionar los controles ISO 17799:2005
Definir e implantar plan de gestión de riesgos Implantar controles seleccionados y sus indicadores Implantar el Sistema de Gestión
Desarrollar procedimientos de monitorización Revisar regularmente el SGSI Revisar los niveles de riesgo Auditar internamente el SGSI
Implantar las mejoras Adoptar acciones preventivas y correctivas Comunicar acciones y resultados Verificar que las mejoras cumplen su objetivo
Gestión de la Seguridad . ISO 27001
46 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Establecer el SGSI
47 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Plan: Establecer el SGSIDefinir el alcance del SGSI en términos del negocio, la organización, su localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión.Definir una política de seguridad que:
Incluya el marco general y los objetivos de seguridad de la información de la organización;Considere requerimientos legales o contractuales relativos a la seguridad de la información;Esté alineada con el contexto estratégico de gestión de riesgos de la organización en el que se establecerá y mantendrá el SGSI;establezca los criterios con los que se va a evaluar el riesgo;Esté aprobada por la dirección.
48 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Plan: Establecer el SGSI –cont.Definir una metodología de evaluación del riesgo apropiada para el SGSI y los requerimientos del negocio, además de establecer los criterios de aceptación del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodología es que los resultados obtenidos sean comparables y repetibles (existen numerosas metodologías estandarizadas para la evaluación de riesgos, aunque es perfectamente aceptable definir una propia).Identificar los riesgos:
Identificar los activos que están dentro del alcance del SGSI y a sus responsables directos, denominados propietarios;Identificar las amenazas en relación a los activos;Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas;Identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos.
49 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Plan: Establecer el SGSI –cont.Analizar y evaluar los riesgos:
Evaluar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información;Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estén implementados;Estimar los niveles de riesgo;Determinar, según los criterios de aceptación de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado.
Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:
Aplicar controles adecuados;Aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y criterios establecidos para la aceptación de los riesgos;Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan;Transferir el riesgo a terceros, p. ej., compañías aseguradoras o proveedores de outsourcing.
50 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Plan: Establecer el SGSI –cont.
51 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Plan: Establecer el SGSI –cont.Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluación del riesgo.Aprobar por parte de la dirección tanto los riesgos residuales como la implantación y uso del SGSI.Definir una declaración de aplicabilidad que incluya:
Los objetivos de control y controles seleccionados y los motivos para su elección;Los objetivos de control y controles que actualmente ya están implantados;Los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusión; este es un mecanismo que permite, además, detectar posibles omisiones involuntarias.
52 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Do: Implementar y utilizar el SGSIDefinir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información.Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignación de recursos, responsabilidades y prioridades.Implementar los controles anteriormente seleccionados que lleven a los objetivos de control.Definir un sistema de métricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles.Procurar programas de formación y concienciación en relación a la seguridad de la información a todo el personal.Gestionar las operaciones del SGSI.Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la información.Implantar procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad.
53 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Check: Monitorizar y revisar el SGSILa organización deberá:
Ejecutar procedimientos de monitorización y revisión para:Detectar a tiempo los errores en los resultados generados por el procesamiento de la información;Identificar brechas e incidentes de seguridad;Ayudar a la dirección a determinar si las actividades desarrolladas por las personas y dispositivos tecnológicos para garantizar la seguridad de la información se desarrollan en relación a lo previsto;Detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores;Determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas.
Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la política y objetivos del SGSI, los resultados de auditorías de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas.Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI.
54 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Check: Monitorizar y revisar el SGSIMedir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad.Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organización, la tecnología, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos legales, obligaciones contractuales, etc.-.Realizar periódicamente auditorías internas del SGSI en intervalos planificados.Revisar el SGSI por parte de la dirección periódicamente para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes.Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorización y revisión.
55 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Act: Mantener y mejorar el SGSILa organización deberá regularmente:
Implantar en el SGSI las mejoras identificadas.Realizar las acciones preventivas y correctivas adecuadas en relación a la claúsula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones.Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder.Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.
56 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
57 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27001:2005
Gestión de la Seguridad . ISO 27001
58 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Las recomendaciones de la norma
1. Política de seguridad coherente con los objetivos de negocio
2. Un sistema consistente con la cultura de la organización
3. Un buen análisis de los requerimientos de seguridad
4. Buena comunicación de la seguridad a todo el personal
5. Métricas e indicadores que permitan saber cómo funciona el SGSI
6. Distribución de guías de seguridad
7. Soporte de la dirección
8. Recursos
9. Formación y concienciación
10. Gestión de incidentes
Gestión de la Seguridad . Criterios de éxito para la implantación de un SGSI
59 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Introducción a los SGSI y la norma ISO 27001
Desarrollo de normativasAspectos claves en la implantación de un SGSI: Análisis de Riesgos
Análisis y Gestión de Riesgos¿Qué es un Sistema de Gestión?Especificaciones SGSI: ISO 27001
Buenas prácticas: ISO 27002Procesos de Certificación
Índice
60 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Código de buenas prácticas para la gestión de la seguridad de los sistemas de información
“Una cadena es tan fuerte como el más débil de sus eslabones”
¿Qué es ISO 27002 (ISO 17799)?
ISO 27002
61 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Da recomendaciones para gestionar la seguridadEs una base común para desarrollar ...
normas de seguridad organizativas,prácticas efectivas de gestión de la seguridad yla confianza en las relaciones entreorganizaciones
Debe usarse conforme a la legislación y reglamentos aplicables
ISO 27002
62 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27002Con origen en la norma británica BS7799-1, constituye un código de buenas prácticas para la Gestión de la Seguridad de la Información.Establece la base común para desarrollar normas de seguridad dentro de las organizaciones.Define doce dominios de control que cubren por completo la Gestión de la Seguridad de la Información.41 objetivos de control y 133 controles.
63 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Prevención
DetecciónContención
Corrección
Evaluación
Riesgo
Incidente
Daños
Recuperación
ISO 27002: Tipos de controles
64 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Anál
isis
de
Ries
gos
(2 O
bjet
ivos)
Organización de la seguridad(2 Objetivo, 11 Controles)
Gestión de activos(2 Objetivo, 5 Controles)
Recursos humanos de seguridad(3 Objetivo, 9 Controles)
Seguridad física(2 Objetivo, 13 Controles)
Conformidad legal(3 Objetivo, 10 Controles)
Com
unic
acio
nes
y op
erac
ione
s(1
0 Ob
jetiv
o, 3
2 Co
ntro
les)
Cont
rol d
e ac
ceso
(7 O
bjet
ivo, 2
5 Co
ntro
les)
Com
pras
, Des
arro
lloy
Man
teni
mie
nto
de s
iste
mas
(6 O
bjet
ivo, 1
6 Co
ntro
les)
Política de Seguridad(1 Objetivo, 2 Controles)
Gestión de incidentes de seguridad
(2 Objetivo, 5 Controles)
Plan de Continuidad de Negocio
(1 Objetivo, 5 Controles)
ISO 27002: 12 secciones, 41 objetivos, 133 controles
65 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27002
66 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27002
67 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27002
68 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27002
69 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27002
70 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27002
71 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27002
72 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27002
73 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27002
74 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27002
75 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27002
76 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27002
77 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
ISO 27002
78 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Orientación al negocioLiderazgo de la direcciónParticipación del personalSeguridad basada en riesgoEnfoque basado en procesos, no en productosEnfoque de sistema de gestiónMedición y mejora continuaToma de decisión basada en hechosGestión planificada de incidentes
Gestión de la Seguridad . Factores de éxito
79 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Introducción a los SGSI y la norma ISO 27001
Desarrollo de normativasAspectos claves en la implantación de un SGSI: Análisis de Riesgos
Análisis y Gestión de Riesgos¿Qué es un Sistema de Gestión?Especificaciones SGSI: ISO 27001
Buenas prácticas: ISO 27002Procesos de Certificación
Índice
80 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Cómo
PROYECTO DE IMPLANTACION Y
CERTIFICACION DE SGSI
Auditoría / evaluación inicial
Análisis de riesgos
Selección de controles
Desarrollo e implantación del SGSI
Auditoría interna
Corrección de no conformidades
Auditoría de certificación
Consultora
Certificadora
Proceso de Certificación
81 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
DOC. COMPLETA
Y ADECUADA
ACCIONES CORRECTORAS
VALIDAS
SOLICITUD + MANUAL+PROCEDIMIENTOS
REVISIÓN DE DOCUMENTACIÓN
AUDITORÍA INICIAL
PETICIÓN DE NUEVASACCIONES CORRECTORAS
Y/O VISITA EXTRAORDINARIA
AUDITORÍA DE SEGUIMIENTO(ANUAL)
VALIDACIÓN DEL CERTIFICADO
AUDITORÍA DE RENOVACIÓN(TRIANUAL)
PETICIÓN DE NUEVASACCIONES CORRECTORAS
Y/O VISITA EXTRAORDINARIA
ACCIONES CORRECTORAS
VALIDAS
NO
SI
NO
SI
NO
SI
CONCESIÓN DEL CERTIFICADO
Ciclo
completo
Proceso de Certificación
82 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Cómo
DOCUMENTACIÓNAUDITORIA IN SITUAUDITORÍA DOCUMENTAL
Inicio de la auditoría
Análisis de ladocumentación
enviada
¿Certificable?
Ejemplo simplificado del diagrama de flujos de una Auditoría de Applus+ de certificación SGSI
CLIENTE
Informe AuditoríaDocumental
Si
ElaboraciónPlan auditoría
Plan deAuditoría
Revision accionescorrectivas
. Implicación de dirección
. Auditoría controles
. Revisión registros
. Revisión indicadores
. Pruebas sustantivas
¿Certif icable?
InformeAuditoría
Si
No
Accionescorrectivas
. Descripción de la organización
. Descripción de los mediostécnicos de SGSI. Descripción breve del SGSI. Alcance. Politicas y normas. Declaracion de aplicabil i idad. analisis de riesgos. Plan de gestión de riesgos. Procedimientos criticos
Envío documentacióndel SGSI
Elaboración yenvío del informe
de auditoríadocumental
¿Hay NoConformidades?
Si
Accionescorrectivas
¿Corregible?Si Denegación
del certificadoNo
No
No
Proceso de Certificación
83 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013
Seguridad de la Información| SGSI
Los procesos de negocio dan dinero, los Sistemas de Información apoyan estos procesosCada día hay nuevos problemas potenciales: problemas técnicos, personal inexperto, accidentes, etc.La seguridad orientada a productos no es suficienteHay que conocer el riesgo y priorizar recursos para controlarloEl proceso de análisis y control tiene que ser continuo través de un proceso de medición del desempeñoEste es el espíritu de las normas sobre SGSI ISO 27001 e ISO 27002
Conclusiones
SEGURIDAD DE LA INFORMACION
Preguntas y Respuestas