Sistemas de Gestion de Seguridad de La ion Iso 27001
-
Upload
rodrigo-hernandez -
Category
Documents
-
view
219 -
download
0
Transcript of Sistemas de Gestion de Seguridad de La ion Iso 27001
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 1/71
1/71
Sistemas de gestión
de seguridad de la informaciónISO 27001
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 2/71
2/71
INTRODUCCIÓN
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 3/71
3/71
Introducción
Your Your NetworkNetwork
FOR
MACIÓN
HERRAMIENTAS
AUDITORÍAS
SNOC
LOPD / LSSI
SISTEMA GESTION
DE LA SEGURIDAD
DE LA INFORMACION
(SGSI)
BS 7799
MANTENIMIENTO
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 4/71
4/71
Introducción
70 %Incidentes
internos
Incidentes seguridad externos
Virus
Incidentes seguridad internos
Errores de usuario
OtrosIncidentes de seguridad: Quien es quien
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 5/71
5/71
Introducción
Impacto de incidentes de seguridad en el negocio:
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 6/71
6/71
ISO 17799 – 1
TRANSPOSICIÓN LITERAL
BS 7799 – 1
CÓDIGO BUENAS PRÁCTICAS
ISO 27001 (Octubre 2005)
BS 7799 – 2
IMPLEMENTACION SGSI Y
CERTIFICACION
IMPLEMENTACIÓN
INTEGRACIÓN BS7799 / ISO 9000 / ISO 14000
CERTIFICACIÓN
Introducción
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 7/71
7/71
Introducción
ISO 27001BS 7799-2 (2005)BS 7799-2:2002BS 7799 – 2
ISO 27002ISO 17799 (2005)ISO 17799 (2000)BS 7799 – 1
Año2007
Año2006
(Enero)
Año2005
(Junio)
Año2000 – 2002
Año
1999
UNE 71502
+ ISO 27004 Indicadores y Cuadros de mando (2007)
BS 7799 Evolution
BS ISO
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 8/71
8/71
Cambios / Mejoras en ISO 27001
This is possibly the biggest change inthat as well as implementing andoperating the ISMS, it is now required
to define how to measure theeffectiveness of controls or groups of controls, and that it shall be specifiedhow these measurements are to be
used to assess control effectiveness toproduce comparable and reproducibleresults. This could cause somemajor problems for clients.
Item d) ‘Define how tomeasure the
effectiveness’ has beenadded
4.2.2Implementand operate
the ISMS
4.2.2Implementand operate
the ISMS
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 9/71
9/71
A.6 Mejora en las relaciones con terceras partes
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 10/71
10/71
A.8 Mejoras en el control sobre las personas
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 11/71
11/71
A.8 Mejoras en el control sobre las personas
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 12/71
12/71
A.8 Mejoras en el control sobre las personas
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 13/71
13/71
A.13 Mejoras en el registro de incidentes / debilidades
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 14/71
14/71
A.13 Mejoras en el registro de incidentes / debilidades
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 15/71
15/71
A.14 Mejoras en la gestión de continuidad de negocio
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 16/71
16/71
A.14 Mejora en la gestión de continuidad de negocio
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 17/71
17/71
• Control y clasificación de activos
• Organización de la Seguridad
• Dirección de operaciones y comunicaciones
• Política de Seguridad
• Evaluación de riesgos• Seguridad del personal
• Desarrollo y mantenimiento de sistemas
• Dirección de Planes de Contingencia
• Cumplimiento con la legislación
Introducción
Introducción
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 18/71
18/71
Activos de información SGSI:
Soportes digitalesPapelPersonas
Componentes SGSI:Análisis+Trabajo técnicoDocumentaciónPersonas
Órganos gestión SGSI:Comité de seguridadResponsable SeguridadAuditor interno
La seguridad es tan fuerte como el eslabón más débil de la cadena
PERSONAS
Introducción
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 19/71
19/71
FORMACIÓNDIFUSIÓN
Creación de una Cultura de la Seguridaddentro de la empresa
¿ Cómo protejo la parte más débil del SGSI ?
PERSONAS
Introducción
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 20/71
20/71
FORMACION:
• Plan de formación• Para TODOS los empleados• Todos aportan
DIFUSION:• Herramientas existentes: News• Herramientas especificas: Proteus / Cramm /
Cobra / ...• Controles y evaluación de cumplimiento
Introducción
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 21/71
21/71
FORMACION + DIFUSION:Conseguir que las personas sean la base de un SGSI
Informado
Formado
Concienciado
Aceptación
Proactivo
TIEMPO
COMPORTAMIENTO
Introducción
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 22/71
22/71
ÁREA
SEGURIDAD
PROCESO IMPLEMENTACION GLOBAL
ISO 9000 / 14000ISO 17799 / BS 7799
PROCESOS COMUNES
Revisión BS 7799-2:2002Revision BS 7799-2:2005
ISO 27001
ÁREA CALIDAD
Introducción
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 23/71
23/71
• LA SEGURIDAD ES UN PROCESO = SGSI
• SGSI = PROCESO SEGURIDAD + CALIDAD GLOBAL
• BS 7799: ESQUEMA DE IMPLEMENTACION Y CERTIFICACIÓN
DE SGSI RECONOCIDO (INTERNACIONAL)(ISO 27001)
• SGSI = ISO 27001, CONTINUIDAD, CONTROL y EVALUACION DE
EFECTIVIDAD DE PROCESO DE SEGURIDAD
• AUNQUE NO EXISTE SEGURIDAD TOTAL, Sí ES UN SISTEMA CON
SEGURIDAD RAZONABLE
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 24/71
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 25/71
25/71
Definir la política
Definir el alcancedel SGSI
Análisis de riesgos
Gestionar el riesgo
Seleccionarobjetos de control
y controles aimplementar
Preparar unadeclaración deaplicabilidad
Fase 1
Fase 2
Fase 3
Fase 4
Fase 5
Fase 6
Riesgos,amenazas yvulnerabilidades
Gestión de riesgosdesde el punto de vistaorganizacional
Grado deaseguramientorequerido
Sección 3 de la BS7799, objetos decontrol y controles
Controles adicionales
que no sean de BS7799
Documento de lapolítica
Alcance del SGSI
Activos de Informacion
Análisis de riesgo
Resultados y conclusiones
Controles seleccionados
Objetos de control y controlesseleccionados
Declaración de aplicabilidad
Introducción
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 26/71
26/71
La importancia de la información
• ¿Cuánto tiempo sobreviviría nuestra empresa sin el acceso ala información?
• ¿Hasta que punto estamos preparados para responder a unincidente de seguridad?• ¿Cumplimos la LOPD, LSSICE y los derechos de propiedad
intelectual?
Los SGSI certificados dan una respuesta a la creciente demandade seguridad global
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 27/71
27/71
Tipos de información
• Impresa o escrita en papel• Guardada en formato electrónico
• Transmitida por correo o por vía electrónica• Verbal – hablada en conversaciones
“…cualquier forma que la información adopte, o procesospor los cuales sea compartida o guardada, deberá ser
siempre adecuadamente protegida”(ISO/IEC 17799: 2000)
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 28/71
28/71
Gestión de la seguridad de la información
El objetivo del SGSI es salvaguardar la:
- Confidencialidad
- Integridad- Disponibilidad
de la información escrita, hablada o procesada por losordenadores.
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 29/71
29/71
Compromiso de la dirección
Intención
Requisitos
Herramientas y técnicas
Metodología
Estándares,
normas, leyes...
Guías y modelos
Procedimientos
Políticas
EvidenciasRegistros y trazas
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 30/71
30/71
Evolución de los sistemas de gestión
SistemasSistemas
PropietariosPropietarios
SistemasSistemas
“ “normalizadosnormalizados” ”
SistemasSistemascertificadoscertificados
- Sistemas únicos y personalizados
- Sistemas que tienen en cuenta
ciertas normas y que se orientan aestándares
- Sistemas auditados y certificados
que se rigen por estándaresaprobados y reconocidos
Implementación
ó
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 31/71
31/71
SistemasSistemas
PropietariosPropietarios
SistemasSistemas
“ “normalizadosnormalizados” ”
SistemasSistemascertificadoscertificados
Seguridad propietaria
(Principio de oscuridad)
Evolución de los sistemas SGSI
Sistemas basados en normas:
ISO 71501, NIST 800 – 42, ISECOM, ISO17799-1
Sistemas auditables basados en:• ISO 17799 / BS 7799 – 2 : 2002• UNE 71502
Implementación
ó
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 32/71
32/71
Secciones de la BS7799-1 (ISO17799)
• Alcance• Términos y definiciones• Política de seguridad• Seguridad corporativa
• Clasificación y control de activos• Seguridad del personal• Seguridad física y medioambiental• Gestión de las operaciones y comunicaciones
• Control de accesos• Mantenimiento y desarrollo de sistemas• Gestión de la continuidad del negocio• Cumplimiento
Implementación
I l ió
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 33/71
33/71
Secciones de BS7799-2:2002
• Alcance• Referencias normativas
• Términos y definiciones• Sistema de gestión de la seguridad de la información
(SGSI)• Responsabilidades de la dirección
• Revisión del SGSI• Mejora del SGSI
Implementación
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 34/71
34/71Implantación de un SGSI basado en la norma BS7799-2
p
Definir la política
Definir el alcancedel SGSI
Análisis de riesgos
Gestionar el riesgo
Seleccionarobjetos de control
y controles aimplementar
Preparar unadeclaración deaplicabilidad
Fase 1
Fase 2
Fase 3
Fase 4
Fase 5
Fase 6
Riesgos,amenazas yvulnerabilidades
Gestión de riesgosdesde el punto de vistaorganizacional
Grado deaseguramiento
requeridoSección 3 de la BS7799, objetos decontrol y controles
Controles adicionalesque no sean de BS7799
Documento de lapolítica
Alcance del SGSI
Activos de Informacion
Análisis de riesgo
Resultados y conclusiones
Controles seleccionados
Objetos de control y controlesseleccionados
Declaración de aplicabilidad
I l t ió
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 35/71
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la política y el alcance del SGSI
Selección de controles
Declaración de aplicabilidad
Implementación
Responsibilidades y recursos
Gestión del riesgo
Registro de activos y análisis de riesgos
Implementación
I l t ió
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 36/71
36/71
Revisión inicial
• Revisión de la seguridad de la información dentro del marcoestablecido por los requerimientos de la BS 7799-2 utilizando
las guías proporcionadas por el código de buenas prácticasISO/IEC17799:2000• Tener la ISO 9000 ayuda (Ver tabla equiv.)• ¿Existe DML y documentación asociada?
• ¿Es consistente con el alcance?
Implementación
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 37/71
37/71
CComité de seguridad1,0Registro de incidentes de seguridad016000
GResponsable de seguridad1,0Manual básico de seguridad015000
CComité de seguridad1,0Plan de continuidad de negocio014000
GComité de seguridad1,0Procedimiento de control de activos013000
R Comité de seguridad2,0Registro de activos012000
R Comité de seguridad2,0Plan de tratamiento de riesgos (PTR)011000
PComité de seguridad2,0Declaración de aplicabilidad (DdA)010000
R Comité de seguridad1,0Procedimiento de gestión de riesgos009000
R Comité de seguridad1,0Procedimiento de análisis de riesgos008000
GControlador de docs1,0Modelo de cambio de documentación007000
GControlador de docs1,0Procedimiento de control de docs006000
R Responsable de seguridad2,5Manual de seguridad de admins005000
GResponsable de seguridad3,0Manual de seguridad de usuario004000
CResponsable de seguridad1,0Política de seguridad003000
PResponsable de seguridad1.0Alcance002000
R Controlador de docs2,0Document Master List001000
UbicaciónClasePropietarioRev.DescripciónNo.Tipo
DML
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 38/71
38/71
Compras
Dpto.
Financiero
Dpto.
producción
Dpto
I.T.
Administración
Marketing
RRHH
ISPs
Outsourcing
Proveedores de
suministro
eléctrico
Necesidades
del Cliente
Mnto.
Satisfacción del
Cliente
Contratos, SLAs y
MOUs
Ejemplo derevisión delalcance
Implementación
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 39/71
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la política y el alcance del SGSI
Selección de controles
Declaración de aplicabilidad
Implementación
Responsibilidades y recursos
Gestión del riesgo
Registro de activos y análisis de riesgos
Implementación
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 40/71
40/71
Comité de seguridad de la información
Es un comité/forum de gestión.
Su actividad se basa en:• Revisión y aceptación de la política.• Monitorización de los cambios y la exposición de los activos a las
amenazas más importantes.• Revisión y monitorización de los riesgos de los activos deinformación.
Implementación
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 41/71
41/71
Responsable del proyecto de SGSI
• Apoyar al comité de seguridad• Gestionar y mantener el SGSI• Planificar auditorías internas• Gestión de los incidentes de seguridad• Trabajo conjunto con los propietarios de los procesos
• Mantener el proceso de mejora continua
Implementación
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 42/71
42/71
Propietarios de los procesos
Los propietarios de los procesos son:
– Responsables de registrar sus activose implementar el SGSI en sus procesos
– Responsables de reportar al comité de seguridad y colaborarcon el responsable del SGSI
Implementación
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 43/71
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la política y el alcance del SGSI
Selección de controles
Declaración de aplicabilidad
Implementación
Responsibilidades y recursos
Registro de activos y análisis de riesgos
Gestión del riesgo
Implementación
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 44/71
44/71
Registro de activos
Requisito de BS7799-2:2002
– Identificar los activos, los propietarios, su ubicación y su valorasociado dentro del alcance del SGSI
Implementación
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 45/71
45/71
AmenazasUna amenaza tiene el potencial de poder causar incidentesindeseados que pueden derivar en daños a un sistema, unaempresa o sus activos.
VulnerabilidadesUna vulnerabilidad es una condición o conjunto de
circunstancias que pueden permitir a una amenaza afectar aun activo. No obstante en sí misma no causa el daño.
Implementación
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 46/71
46/71
Identificación de riesgos
Las vulnerabilidades son debilidades asociadas a los activosde información.
Estas debilidades pueden ser explotadas por una amenazacausando una ruptura en la seguridad que puede derivar en lapérdida o daño de estos activos.
Implementación
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 47/71
47/71
1. Identificación de procesos2. Identificación de activos:Papel, sw, hw, dependencias, personal, contratos, ...
3. Valor de los activos de información
4. Identificación de las amenazas y las vulnerabilidades5. Identificación de los riesgos y niveles aceptables6. Identificación de los controles, objetivos y medidas7. Generación de informes para el comité de seguridad
8. Monitorización y revisión
Procedimiento de análisis de riesgos
Implementación
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 48/71
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la política y el alcance del SGSI
Selección de controles
Declaración de aplicabilidad
Implementación
Responsibilidades y recursos
Gestión del riesgo
Registro de activos y análisis de riesgos
Implementación
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 49/71
49/71
Gestión del riesgo
El comité de seguridad deberá ser el encargado de establecerel nivel de riesgo aceptable y ser consciente de los riesgos
residuales remanentes después de aplicar los controlesapropiados.
Elaboración y revisión del plan de continuidad de negocio y del
proceso de gestión de incidentes de seguridad.
p
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 50/71
50/71
Riesgo residual
Ningún control puede ofrecernos seguridad absoluta, ysiempre tendremos un remanente de riesgo residual.
La dirección de la empresa, una vez definido el nivel deconfianza requerido, debe de aceptar ese riesgo residual yregistrarlo.
El análisis de riesgo debe de realizarse periódicamente y elriesgo residual también debe de ser revisado y validado en lamisma forma.
p
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 51/71
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la política y el alcance del SGSI
Selección de controles
Declaración de aplicabilidad
Implementación
Responsibilidades y recursos
Gestión del riesgo
Registro de activos y análisis de riesgos
p
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 52/71
52/71
Anexo A BS 7799-2:2002
• Política de seguridad• Seguridad organizacional• Control y clasificación de activos• Seguridad del personal• Seguridad física y medioambiental• Gestión de comunicaciones y operaciones• Control de accesos• Desarrollo y mantenimiento de sistemas• Plan de continuidad de negocio
• Cumplimiento de la legislación y normas aplicables
p
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 53/71
53/71
Controles de BS7799-2:2002 Anexo A
Controles obligatorios de la norma:
A.3 – A.7, A.11 y A.12
Aprox. 127 controles necesarios
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 54/71
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la política y el alcance del SGSI
Selección de controles
Declaración de aplicabilidad
Implementación
Responsibilidades y recursos
Gestión del riesgo
Registro de activos y análisis de riesgos
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 55/71
55/71
Declaración de aplicabilidad
Se trata de un documento, aprobado por el comité de
seguridad, en el que se representan todos los controlesaplicados en el SGSI de acuerdo con la norma BS7799 comoresultado del análisis de riesgos realizado.
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 56/71
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la política y el alcance del SGSI
Selección de controles
Declaración de aplicabilidad
Implementación
Responsibilidades y recursos
Gestión del riesgo
Registro de activos y análisis de riesgos
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 57/71
57/71
Revisión de la dirección
El “Security Forum” o “Comité de Seguridad” debe reunirseperiódicamente para evaluar;
– Los resultados de las auditorías internas– Cambios en el SGSI– Reporte de incidentes y acciones derivadas
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 58/71
58/71
Gestión RRHH
- Definición de perfiles profesionales- Análisis previos a incorporación
- Control durante desempeño- Controles después de salida- Procedimiento punitivo
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 59/71
59/71
Gestión de la continuidad de negocio
- Plan de contingencias- Plan de continuidad de negocio- Prueba del plan de continuidad de negocio
Implementación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 60/71
60/71
Auditorías
Son necesarias auditorías internas/externas periódicas
planificadas y documentadas para garantizar que el SGSI estáimplementado de forma efectiva.
El cumplimiento de la norma implementa un modelo de
mejora continua de procesos. (PDCA)
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 61/71
61/71
Certificación
Certificación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 62/71
62/71
¿¿ QuiQuiéén es la entidad certificadora ?n es la entidad certificadora ?
• BSI (British Standards Institution) www.bsi-global.com• Fundada en 1901 para coordinar las normas nacionales en el
Reino Unido.• Con una plantilla integrada por un total de 4.200 personas entodo el mundo
• Es la entidad de certificación número uno a nivel mundial
• Actualmente existen más de 50.000 empresas certificadas.
Certificación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 63/71
63/71
Estructura de las entidades
de certificación
Consultores Homologados
Cliente Final
Entidades de Certificación
AENOR
Entidades de Acreditación España
ENAC
Consultores Homologados
NEXTEL, S.A.
Cliente final
Entidades de Certificación
BSI
Entidades de Acreditación Reino Unido
UKAS
EAEuropean co-operation for Acreditation
IAFInternational Forum of Accreditation
Certificación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 64/71
64/71
MADURACIÓNSGSI
CERTIFICACIÓNREPARACIÓN
?ANÁLISISPREVIO
CONSULTORÍA
POST-CERTIFICACION:
• Revisiones Semestrales / Anuales• Revisión de la Certificación: Cada 3 años
CONSULTOR CERTIFICADOR
Certificación
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 65/71
65/71
• Una auditoria de seguridad es una fuente clave deinformación para el conocimiento de una empresa.
• Demuestra un compromiso inequívoco de los órganosde Dirección de la empresa con el Sistema de Gestiónde la Seguridad de la Información.
• Promoverá la implicación, participación y motivacióndel personal de la empresa en la seguridad de lainformación de esta.
• Proporciona la oportunidad de una mejora continua.
• Incrementara la operatividad de la empresa.
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 66/71
66/71
Conclusiones
Conclusiones
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 67/71
67/71
• Los SGSI basados en la norma BS 7799 nos hacen entender la
seguridad de la información como un proceso y no como unproducto.
• A través de la certificación se obtienen garantías de que el SGSI
está correctamente implantado y de que se está gestionando elriesgo pero no se obtiene la seguridad absoluta.
Conclusiones
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 68/71
68/71
Modelo PDCA
Conclusiones
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 69/71
69/71
Documentación relacionada
UNE 71501-3 Técnicas para la gestión de le Seguridad de TIAENOR. Asociación Española de Normalización y Certificación
UNE 71501-2 Gestión y Planificación de la Seguridad de TIAENOR. Asociación Española de Normalización y Certificación
UNE 71501-1 Conceptos y modelos para la Seguridad de TIAENOR. Asociación Española de Normalización y Certificación
UNE ISO 17799 Código buenas practicasAENOR. Asociación Española de Normalización y Certificación
HB 231 Information Security Risk Management GuidelinesSTANDARDS AUSTRALIA
AS 4360 Risk ManagementSTANDARDS AUSTRALIA
ISO GUIDE 73. Risk Management. Vocabulary. Guidelines for use instandardsISO. International Standard Organitation
ISO GUIDE 73. Risk Management. Vocabulary. Guidelines for use instandardsISO. International Standard Organitation
ISO 2859-4 Procedures for assessment of declared quality levelsISO. International Standard Organitation
Conclusiones
8/3/2019 Sistemas de Gestion de Seguridad de La ion Iso 27001
http://slidepdf.com/reader/full/sistemas-de-gestion-de-seguridad-de-la-ion-iso-27001 70/71
70/71
Documentación relacionada (II)
PD 3005 Guide on the selection of BS 7799-2 ControlsBSI. British Standards Institution
PD 3004 Guide to the implementation and auditing of BS 7799 controlsBSI. British Standards Institution
PD 3003 Are you ready for a BS 7799-2 Audit ?BSI. British Standards Institution
PD 3002 Guide to BS 7799 Risk AssessmentBSI. British Standards Institution
PD 3001 Preparing for BS 7799-2 CertificationBSI. British Standards Institution
BS 15000-2 IT Service Management. Part. 2 Code of practice for servicemngBSI. British Standards Institution
BS 7799-2 Information Security Management Systems. SpecificationsBSI. British Standards Institution