Sistemas de Gestion de Seguridad de La ion Iso 27001

8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001

http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 1/71

1/71

Sistemas de gestión

de seguridad de la informaciónISO 27001



2/71

INTRODUCCIÓN



3/71

Introducción

Your Your NetworkNetwork

FOR

MACIÓN

HERRAMIENTAS

AUDITORÍAS

SNOC

LOPD / LSSI

SISTEMA GESTION

DE LA SEGURIDAD

DE LA INFORMACION

(SGSI)

BS 7799

MANTENIMIENTO



4/71

Introducción

70 %Incidentes

internos

Incidentes seguridad externos

Virus

Incidentes seguridad internos

Errores de usuario

OtrosIncidentes de seguridad: Quien es quien



5/71

Introducción

Impacto de incidentes de seguridad en el negocio:



6/71

ISO 17799 – 1

TRANSPOSICIÓN LITERAL

BS 7799 – 1

CÓDIGO BUENAS PRÁCTICAS

ISO 27001 (Octubre 2005)

BS 7799 – 2

IMPLEMENTACION SGSI Y

CERTIFICACION

IMPLEMENTACIÓN

INTEGRACIÓN BS7799 / ISO 9000 / ISO 14000

CERTIFICACIÓN

Introducción



7/71

Introducción

ISO 27001BS 7799-2 (2005)BS 7799-2:2002BS 7799 – 2

ISO 27002ISO 17799 (2005)ISO 17799 (2000)BS 7799 – 1

Año2007

Año2006

(Enero)

Año2005

(Junio)

Año2000 – 2002

Año

1999

UNE 71502

+ ISO 27004 Indicadores y Cuadros de mando (2007)

BS 7799 Evolution

BS ISO



8/71

Cambios / Mejoras en ISO 27001

This is possibly the biggest change inthat as well as implementing andoperating the ISMS, it is now required

to define how to measure theeffectiveness of controls or groups of controls, and that it shall be specifiedhow these measurements are to be

used to assess control effectiveness toproduce comparable and reproducibleresults. This could cause somemajor problems for clients.

Item d) ‘Define how tomeasure the

effectiveness’ has beenadded

4.2.2Implementand operate

the ISMS

4.2.2Implementand operate

the ISMS



9/71

A.6 Mejora en las relaciones con terceras partes



10/71

A.8 Mejoras en el control sobre las personas



11/71




12/71




13/71

A.13 Mejoras en el registro de incidentes / debilidades



14/71

A.13 Mejoras en el registro de incidentes / debilidades



15/71

A.14 Mejoras en la gestión de continuidad de negocio



16/71

A.14 Mejora en la gestión de continuidad de negocio



17/71

• Control y clasificación de activos

• Organización de la Seguridad

• Dirección de operaciones y comunicaciones

• Política de Seguridad

• Evaluación de riesgos• Seguridad del personal

• Desarrollo y mantenimiento de sistemas

• Dirección de Planes de Contingencia

• Cumplimiento con la legislación

Introducción

Introducción



18/71

Activos de información SGSI:

Soportes digitalesPapelPersonas

Componentes SGSI:Análisis+Trabajo técnicoDocumentaciónPersonas

Órganos gestión SGSI:Comité de seguridadResponsable SeguridadAuditor interno

La seguridad es tan fuerte como el eslabón más débil de la cadena

PERSONAS

Introducción



19/71

FORMACIÓNDIFUSIÓN

Creación de una Cultura de la Seguridaddentro de la empresa

¿ Cómo protejo la parte más débil del SGSI ?

PERSONAS

Introducción



20/71

FORMACION:

• Plan de formación• Para TODOS los empleados• Todos aportan

DIFUSION:• Herramientas existentes: News• Herramientas especificas: Proteus / Cramm /

Cobra / ...• Controles y evaluación de cumplimiento

Introducción



21/71

FORMACION + DIFUSION:Conseguir que las personas sean la base de un SGSI

Informado

Formado

Concienciado

Aceptación

Proactivo

TIEMPO

COMPORTAMIENTO

Introducción



22/71

ÁREA

SEGURIDAD

PROCESO IMPLEMENTACION GLOBAL

ISO 9000 / 14000ISO 17799 / BS 7799

PROCESOS COMUNES

Revisión BS 7799-2:2002Revision BS 7799-2:2005

ISO 27001

ÁREA CALIDAD

Introducción



23/71

• LA SEGURIDAD ES UN PROCESO = SGSI

• SGSI = PROCESO SEGURIDAD + CALIDAD GLOBAL

• BS 7799: ESQUEMA DE IMPLEMENTACION Y CERTIFICACIÓN

DE SGSI RECONOCIDO (INTERNACIONAL)(ISO 27001)

• SGSI = ISO 27001, CONTINUIDAD, CONTROL y EVALUACION DE

EFECTIVIDAD DE PROCESO DE SEGURIDAD

• AUNQUE NO EXISTE SEGURIDAD TOTAL, Sí ES UN SISTEMA CON

SEGURIDAD RAZONABLE

Implementación



25/71

Definir la política

Definir el alcancedel SGSI

Análisis de riesgos

Gestionar el riesgo

Seleccionarobjetos de control

y controles aimplementar

Preparar unadeclaración deaplicabilidad

Fase 1

Fase 2

Fase 3

Fase 4

Fase 5

Fase 6

Riesgos,amenazas yvulnerabilidades

Gestión de riesgosdesde el punto de vistaorganizacional

Grado deaseguramientorequerido

Sección 3 de la BS7799, objetos decontrol y controles

Controles adicionales

que no sean de BS7799

Documento de lapolítica

Alcance del SGSI

Activos de Informacion

Análisis de riesgo

Resultados y conclusiones

Controles seleccionados

Objetos de control y controlesseleccionados

Declaración de aplicabilidad

Introducción



26/71

La importancia de la información

• ¿Cuánto tiempo sobreviviría nuestra empresa sin el acceso ala información?

• ¿Hasta que punto estamos preparados para responder a unincidente de seguridad?• ¿Cumplimos la LOPD, LSSICE y los derechos de propiedad

intelectual?

Los SGSI certificados dan una respuesta a la creciente demandade seguridad global

Implementación



27/71

Tipos de información

• Impresa o escrita en papel• Guardada en formato electrónico

• Transmitida por correo o por vía electrónica• Verbal – hablada en conversaciones

“…cualquier forma que la información adopte, o procesospor los cuales sea compartida o guardada, deberá ser

siempre adecuadamente protegida”(ISO/IEC 17799: 2000)

Implementación



28/71

Gestión de la seguridad de la información

El objetivo del SGSI es salvaguardar la:

- Confidencialidad

- Integridad- Disponibilidad

de la información escrita, hablada o procesada por losordenadores.

Implementación



29/71

Compromiso de la dirección

Intención

Requisitos

Herramientas y técnicas

Metodología

Estándares,

normas, leyes...

Guías y modelos

Procedimientos

Políticas

EvidenciasRegistros y trazas

Implementación



30/71

Evolución de los sistemas de gestión

SistemasSistemas

PropietariosPropietarios

SistemasSistemas

“ “normalizadosnormalizados” ”

SistemasSistemascertificadoscertificados

- Sistemas únicos y personalizados

- Sistemas que tienen en cuenta

ciertas normas y que se orientan aestándares

- Sistemas auditados y certificados

que se rigen por estándaresaprobados y reconocidos

Implementación

ó



31/71

SistemasSistemas

PropietariosPropietarios

SistemasSistemas

“ “normalizadosnormalizados” ”

SistemasSistemascertificadoscertificados

Seguridad propietaria

(Principio de oscuridad)

Evolución de los sistemas SGSI

Sistemas basados en normas:

ISO 71501, NIST 800 – 42, ISECOM, ISO17799-1

Sistemas auditables basados en:• ISO 17799 / BS 7799 – 2 : 2002• UNE 71502

Implementación

ó



32/71

Secciones de la BS7799-1 (ISO17799)

• Alcance• Términos y definiciones• Política de seguridad• Seguridad corporativa

• Clasificación y control de activos• Seguridad del personal• Seguridad física y medioambiental• Gestión de las operaciones y comunicaciones

• Control de accesos• Mantenimiento y desarrollo de sistemas• Gestión de la continuidad del negocio• Cumplimiento

Implementación

I l ió



33/71

Secciones de BS7799-2:2002

• Alcance• Referencias normativas

• Términos y definiciones• Sistema de gestión de la seguridad de la información

(SGSI)• Responsabilidades de la dirección

• Revisión del SGSI• Mejora del SGSI

Implementación

Implementación



34/71Implantación de un SGSI basado en la norma BS7799-2

p

Definir la política

Definir el alcancedel SGSI

Análisis de riesgos

Gestionar el riesgo

Seleccionarobjetos de control

y controles aimplementar

Preparar unadeclaración deaplicabilidad

Fase 1

Fase 2

Fase 3

Fase 4

Fase 5

Fase 6

Riesgos,amenazas yvulnerabilidades

Gestión de riesgosdesde el punto de vistaorganizacional

Grado deaseguramiento

requeridoSección 3 de la BS7799, objetos decontrol y controles

Controles adicionalesque no sean de BS7799

Documento de lapolítica

Alcance del SGSI

Activos de Informacion

Análisis de riesgo

Resultados y conclusiones

Controles seleccionados

Objetos de control y controlesseleccionados


I l t ió



Fase 1:

Fase 2:

Fase 3:

Fase 4:

Fase 7:

Fase 5:

Fase 6:

Definir la política y el alcance del SGSI

Selección de controles


Implementación

Responsibilidades y recursos

Gestión del riesgo

Registro de activos y análisis de riesgos

Implementación

I l t ió



36/71

Revisión inicial

• Revisión de la seguridad de la información dentro del marcoestablecido por los requerimientos de la BS 7799-2 utilizando

las guías proporcionadas por el código de buenas prácticasISO/IEC17799:2000• Tener la ISO 9000 ayuda (Ver tabla equiv.)• ¿Existe DML y documentación asociada?

• ¿Es consistente con el alcance?

Implementación

Implementación



37/71

CComité de seguridad1,0Registro de incidentes de seguridad016000

GResponsable de seguridad1,0Manual básico de seguridad015000

CComité de seguridad1,0Plan de continuidad de negocio014000

GComité de seguridad1,0Procedimiento de control de activos013000

R Comité de seguridad2,0Registro de activos012000

R Comité de seguridad2,0Plan de tratamiento de riesgos (PTR)011000

PComité de seguridad2,0Declaración de aplicabilidad (DdA)010000

R Comité de seguridad1,0Procedimiento de gestión de riesgos009000

R Comité de seguridad1,0Procedimiento de análisis de riesgos008000

GControlador de docs1,0Modelo de cambio de documentación007000

GControlador de docs1,0Procedimiento de control de docs006000

R Responsable de seguridad2,5Manual de seguridad de admins005000

GResponsable de seguridad3,0Manual de seguridad de usuario004000

CResponsable de seguridad1,0Política de seguridad003000

PResponsable de seguridad1.0Alcance002000

R Controlador de docs2,0Document Master List001000

UbicaciónClasePropietarioRev.DescripciónNo.Tipo

DML

Implementación



38/71

Compras

Dpto.

Financiero

Dpto.

producción

Dpto

I.T.

Administración

Marketing

RRHH

ISPs

Outsourcing

Proveedores de

suministro

eléctrico

Necesidades

del Cliente

Mnto.

Satisfacción del

Cliente

Contratos, SLAs y

MOUs

Ejemplo derevisión delalcance

Implementación

Implementación



Fase 1:

Fase 2:

Fase 3:

Fase 4:

Fase 7:

Fase 5:

Fase 6:




Implementación


Gestión del riesgo


Implementación

Implementación



40/71

Comité de seguridad de la información

Es un comité/forum de gestión.

Su actividad se basa en:• Revisión y aceptación de la política.• Monitorización de los cambios y la exposición de los activos a las

amenazas más importantes.• Revisión y monitorización de los riesgos de los activos deinformación.

Implementación

Implementación



41/71

Responsable del proyecto de SGSI

• Apoyar al comité de seguridad• Gestionar y mantener el SGSI• Planificar auditorías internas• Gestión de los incidentes de seguridad• Trabajo conjunto con los propietarios de los procesos

• Mantener el proceso de mejora continua

Implementación

Implementación



42/71

Propietarios de los procesos

Los propietarios de los procesos son:

– Responsables de registrar sus activose implementar el SGSI en sus procesos

– Responsables de reportar al comité de seguridad y colaborarcon el responsable del SGSI

Implementación

Implementación



Fase 1:

Fase 2:

Fase 3:

Fase 4:

Fase 7:

Fase 5:

Fase 6:




Implementación



Gestión del riesgo

Implementación

Implementación



44/71

Registro de activos

Requisito de BS7799-2:2002

– Identificar los activos, los propietarios, su ubicación y su valorasociado dentro del alcance del SGSI

Implementación

Implementación



45/71

AmenazasUna amenaza tiene el potencial de poder causar incidentesindeseados que pueden derivar en daños a un sistema, unaempresa o sus activos.

VulnerabilidadesUna vulnerabilidad es una condición o conjunto de

circunstancias que pueden permitir a una amenaza afectar aun activo. No obstante en sí misma no causa el daño.

Implementación

Implementación



46/71

Identificación de riesgos

Las vulnerabilidades son debilidades asociadas a los activosde información.

Estas debilidades pueden ser explotadas por una amenazacausando una ruptura en la seguridad que puede derivar en lapérdida o daño de estos activos.

Implementación

Implementación



47/71

1. Identificación de procesos2. Identificación de activos:Papel, sw, hw, dependencias, personal, contratos, ...

3. Valor de los activos de información

4. Identificación de las amenazas y las vulnerabilidades5. Identificación de los riesgos y niveles aceptables6. Identificación de los controles, objetivos y medidas7. Generación de informes para el comité de seguridad

8. Monitorización y revisión

Procedimiento de análisis de riesgos

Implementación

Implementación



Fase 1:

Fase 2:

Fase 3:

Fase 4:

Fase 7:

Fase 5:

Fase 6:




Implementación


Gestión del riesgo


Implementación

Implementación



49/71

Gestión del riesgo

El comité de seguridad deberá ser el encargado de establecerel nivel de riesgo aceptable y ser consciente de los riesgos

residuales remanentes después de aplicar los controlesapropiados.

Elaboración y revisión del plan de continuidad de negocio y del

proceso de gestión de incidentes de seguridad.

p

Implementación



50/71

Riesgo residual

Ningún control puede ofrecernos seguridad absoluta, ysiempre tendremos un remanente de riesgo residual.

La dirección de la empresa, una vez definido el nivel deconfianza requerido, debe de aceptar ese riesgo residual yregistrarlo.

El análisis de riesgo debe de realizarse periódicamente y elriesgo residual también debe de ser revisado y validado en lamisma forma.

p

Implementación



Fase 1:

Fase 2:

Fase 3:

Fase 4:

Fase 7:

Fase 5:

Fase 6:




Implementación


Gestión del riesgo


p

Implementación



52/71

Anexo A BS 7799-2:2002

• Política de seguridad• Seguridad organizacional• Control y clasificación de activos• Seguridad del personal• Seguridad física y medioambiental• Gestión de comunicaciones y operaciones• Control de accesos• Desarrollo y mantenimiento de sistemas• Plan de continuidad de negocio

• Cumplimiento de la legislación y normas aplicables

p

Implementación



53/71

Controles de BS7799-2:2002 Anexo A

Controles obligatorios de la norma:

A.3 – A.7, A.11 y A.12

Aprox. 127 controles necesarios

Implementación



Fase 1:

Fase 2:

Fase 3:

Fase 4:

Fase 7:

Fase 5:

Fase 6:




Implementación


Gestión del riesgo


Implementación



55/71


Se trata de un documento, aprobado por el comité de

seguridad, en el que se representan todos los controlesaplicados en el SGSI de acuerdo con la norma BS7799 comoresultado del análisis de riesgos realizado.

Implementación



Fase 1:

Fase 2:

Fase 3:

Fase 4:

Fase 7:

Fase 5:

Fase 6:




Implementación


Gestión del riesgo


Implementación



57/71

Revisión de la dirección

El “Security Forum” o “Comité de Seguridad” debe reunirseperiódicamente para evaluar;

– Los resultados de las auditorías internas– Cambios en el SGSI– Reporte de incidentes y acciones derivadas

Implementación



58/71

Gestión RRHH

- Definición de perfiles profesionales- Análisis previos a incorporación

- Control durante desempeño- Controles después de salida- Procedimiento punitivo

Implementación



59/71

Gestión de la continuidad de negocio

- Plan de contingencias- Plan de continuidad de negocio- Prueba del plan de continuidad de negocio

Implementación



60/71

Auditorías

Son necesarias auditorías internas/externas periódicas

planificadas y documentadas para garantizar que el SGSI estáimplementado de forma efectiva.

El cumplimiento de la norma implementa un modelo de

mejora continua de procesos. (PDCA)



61/71

Certificación

Certificación



62/71

¿¿ QuiQuiéén es la entidad certificadora ?n es la entidad certificadora ?

• BSI (British Standards Institution) www.bsi-global.com• Fundada en 1901 para coordinar las normas nacionales en el

Reino Unido.• Con una plantilla integrada por un total de 4.200 personas entodo el mundo

• Es la entidad de certificación número uno a nivel mundial

• Actualmente existen más de 50.000 empresas certificadas.

Certificación



63/71

Estructura de las entidades

de certificación

Consultores Homologados

Cliente Final

Entidades de Certificación

AENOR

Entidades de Acreditación España

ENAC

Consultores Homologados

NEXTEL, S.A.

Cliente final

Entidades de Certificación

BSI

Entidades de Acreditación Reino Unido

UKAS

EAEuropean co-operation for Acreditation

IAFInternational Forum of Accreditation

Certificación



64/71

MADURACIÓNSGSI

CERTIFICACIÓNREPARACIÓN

?ANÁLISISPREVIO

CONSULTORÍA

POST-CERTIFICACION:

• Revisiones Semestrales / Anuales• Revisión de la Certificación: Cada 3 años

CONSULTOR CERTIFICADOR

Certificación



65/71

• Una auditoria de seguridad es una fuente clave deinformación para el conocimiento de una empresa.

• Demuestra un compromiso inequívoco de los órganosde Dirección de la empresa con el Sistema de Gestiónde la Seguridad de la Información.

• Promoverá la implicación, participación y motivacióndel personal de la empresa en la seguridad de lainformación de esta.

• Proporciona la oportunidad de una mejora continua.

• Incrementara la operatividad de la empresa.



66/71

Conclusiones

Conclusiones



67/71

• Los SGSI basados en la norma BS 7799 nos hacen entender la

seguridad de la información como un proceso y no como unproducto.

• A través de la certificación se obtienen garantías de que el SGSI

está correctamente implantado y de que se está gestionando elriesgo pero no se obtiene la seguridad absoluta.

Conclusiones



68/71

Modelo PDCA

Conclusiones



69/71

Documentación relacionada

UNE 71501-3 Técnicas para la gestión de le Seguridad de TIAENOR. Asociación Española de Normalización y Certificación

UNE 71501-2 Gestión y Planificación de la Seguridad de TIAENOR. Asociación Española de Normalización y Certificación

UNE 71501-1 Conceptos y modelos para la Seguridad de TIAENOR. Asociación Española de Normalización y Certificación

UNE ISO 17799 Código buenas practicasAENOR. Asociación Española de Normalización y Certificación

HB 231 Information Security Risk Management GuidelinesSTANDARDS AUSTRALIA

AS 4360 Risk ManagementSTANDARDS AUSTRALIA

ISO GUIDE 73. Risk Management. Vocabulary. Guidelines for use instandardsISO. International Standard Organitation

ISO GUIDE 73. Risk Management. Vocabulary. Guidelines for use instandardsISO. International Standard Organitation

ISO 2859-4 Procedures for assessment of declared quality levelsISO. International Standard Organitation

Conclusiones



70/71

Documentación relacionada (II)

PD 3005 Guide on the selection of BS 7799-2 ControlsBSI. British Standards Institution

PD 3004 Guide to the implementation and auditing of BS 7799 controlsBSI. British Standards Institution

PD 3003 Are you ready for a BS 7799-2 Audit ?BSI. British Standards Institution

PD 3002 Guide to BS 7799 Risk AssessmentBSI. British Standards Institution

PD 3001 Preparing for BS 7799-2 CertificationBSI. British Standards Institution

BS 15000-2 IT Service Management. Part. 2 Code of practice for servicemngBSI. British Standards Institution

BS 7799-2 Information Security Management Systems. SpecificationsBSI. British Standards Institution



71/71

GRACIAS

Sistemas de Gestion de Seguridad de La ion Iso 27001

Documents

Transcript of Sistemas de Gestion de Seguridad de La ion Iso 27001