Contenido

CAPITULO I: Introduccin a ISO/IEC 27000 ....................................................................... 1 1.1. 1.2. 1.3. 1.4. Historia ....................................................................................................................... 1 Propsito de ISO/IEC 27000 .................................................................................. 2 Relacin con COBIT, 17799................................................................................... 3 Relacin con otros estndares .............................................................................. 5 Normas ISO del SC27 ..................................................................................... 5 ITIL ..................................................................................................................... 6 BS 7799-3 ......................................................................................................... 7 BS 25999 ........................................................................................................... 7

1.4.1. 1.4.2. 1.4.3. 1.4.4. 1.5.

Certificacin .............................................................................................................. 8 Implantacin del SGSI..................................................................................... 8 Auditora y certificacin ................................................................................. 11

1.5.1. 1.5.2.

CAPITULO II: ISO/IEC 27000 .............................................................................................. 16 2.1. 2.2. 2.3. 2.4. Alcance .................................................................................................................... 16 Comunicacin ......................................................................................................... 16 Requisitos para un sistema de gestin seguridad TI ....................................... 17 Planificacin e implementacin de la gestin de seguridad TI ....................... 19 Plan: Establecer el SGSI .............................................................................. 20 Do: Implementar y utilizar el SGSI .............................................................. 23 Check: Monitorizar y revisar el SGSI .......................................................... 23 Act: Mantener y mejorar el SGSI ................................................................. 24

2.4.1. 2.4.2. 2.4.3. 2.4.4.

CAPITULO III: Implementacin ........................................................................................... 26 3.1. 3.2. Implementacin incremental de NTP-ISO/IEC 27001:2008............................ 26 Caso Prctico ......................................................................................................... 28 Planear ............................................................................................................ 29 Hacer................................................................................................................ 31 Verificar............................................................................................................ 34 Actuar ............................................................................................................... 35

3.2.1. 3.2.2. 3.2.3. 3.2.4.

Capitulo IV: Conclusiones y Recomendaciones ............................................................... 37

CAPITULO I: Introduccin a ISO/IEC 27000

1.1. Historia

Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards Institution, la organizacin britnica equivalente a AENOR en Espaa) es responsable de la publicacin de importantes normas como: La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a cualquier empresa -britnica o no- un conjunto de buenas prcticas para la gestin de la seguridad de su informacin. La primera parte de la norma (BS 7799-1) es una gua de buenas prcticas, para la que no se establece un esquema de certificacin. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la informacin (SGSI) para ser certificable por una entidad independiente. Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adopt por ISO, sin cambios sustanciales, como ISO 17799 en el ao 2000. En 2002, se revis BS 7799-2 para adecuarse a la filosofa de normas ISO de sistemas de gestin. En 2005, con ms de 1700 empresas certificadas en BS7799-2, este esquema se public por ISO como estndar ISO 27001, al tiempo que se revis y actualiz ISO17799. Esta ltima norma se renombra como ISO 27002:2005 el 1 de Julio de2007, manteniendo el contenido as como el ao de publicacin formal de la revisin.

1.2.

Propsito de ISO/IEC 27000

La ISO 27000 es un conjunto de estndares que tienen como propsito definir y brindar un marco de gestin de la seguridad de la informacin, el cual puede ser utilizado por cualquier clase de organizacin. Las normas que en conjunto forman las ISO 27000 indican se indica cmo puede una organizacin implantar un sistema de gestin de seguridad de la informacin Por ejemplo el estndar de seguridad ISO 27001 ah sido definido para establecer un modelo a seguir, desde el establecimiento del sistema hasta la mejora continua del mismo, para un Sistema de Gestin de Seguridad de Informacin. A continuacin el modelo que plantea la ISO 27001 y su propsito en cada una de sus procesos:

1.3. CobiT

Relacin con COBIT, 17799

El IT Governance Institute fue establecido por ISACA (Information Systems Audit and Control Association) en 1998 para aclarar y orientar en cuestiones actuales y futuras relativas a la administracin, seguridad y aseguramiento TI. Como consecuencia de su rpida difusin internacional, ambas instituciones disponen de una amplia gama de publicaciones y productos diseados para apoyar una gestin efectiva de las TI en el mbito de la empresa. Uno de sus documentos ms conocidos, referencia a nivel mundial, es CobiT (Objetivos de control para tecnologas de la informacin y similares). Se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) y COSO, que incorpora aspectos fundamentales de otros estndares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado segn las prcticas sealadas por CobiT estn ms cerca de adaptarse y lograr la certificacin en ISO 27001. CobiT se estructura en cuatro partes; la principal de ellas se divide de acuerdo con 34 procesos de TI. Cada proceso se cubre en cuatro secciones (objetivo de control de alto nivel para el proceso, los objetivos de control detallados, directrices de gestin y el modelo de madurez para el objetivo) que dan una visin completa de cmo controlar, gestionar y medir el proceso.
3

Utiliza un ciclo de vida de tipo PDCA que lo integra en los procesos de negocio. No existe un certificado en las prcticas indicadas por CobiT, aunque ISACA s ofrece la posibilidad a ttulo personal de obtener certificaciones como Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM) y "Certified in the Governance of Enterprise IT"CGEIT. Los estndares ISO17799 y ISO 27000 es un conjunto de estndares desarrollados, por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea, mientras que COBIT es el marco aceptado internacionalmente como una buena prctica para el control de la informacin, TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de TI y mejorar los controles de TI. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeo y resultados, factores crticos de xito y modelos de madurez, Por lo que notamos una estrecha relacin entre ISO y COBIT, pues COBIT Se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) que incorpora aspectos fundamentales de otros estndares relacionados; por tanto, aquellas empresas y organizaciones que hayan evolucionado segn las prcticas sealadas por COBIT estn ms cerca de adaptarse y lograr la certificacin en ISO 27001. En conclusin ISO17799 e ISO 27000 y COBIT van de la mano pues ambos velan por la buena gestin de la informacin de las organizaciones.

1.4.

Relacin con otros estndares

1.4.1. Normas ISO del SC27 ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) han establecido un comit tcnico conjunto especfico para las Tecnologas de la Informacin denominado JTC1 (Joint Technical Committee). Alcance del SC 27 El desarrollo de normas para la proteccin de la informacin y las TIC. Esto incluye los mtodos genricos, tcnicas y directrices para abordar ambos aspectos de seguridad y privacidad, como por ejemplo: Medidas de seguridad para capturar metodologa; Gestin de la informacin y la seguridad de las TIC, en particular los sistemas de gestin de seguridad de la informacin (SGSI), los procesos de seguridad, controles de seguridad y servicios; Criptogrficas y otros mecanismos de seguridad, incluyendo pero no limitado a mecanismos de proteccin de la responsabilidad,

disponibilidad, integridad y confidencialidad de la informacin; Gestin de seguridad Asistencia Documentos incluidas las directrices de terminologa, as como los procedimientos para el registro de los componentes de seguridad. Aspectos de seguridad de gestin de identidad, biometra y la privacidad; Conformidad con la evaluacin, la acreditacin y de auditora en el mbito de la seguridad de la informacin; Criterios de evaluacin de la seguridad y la metodologa. Mientras que la ISO/IEC 27000 nos brinda el marco terico de gestin de la seguridad de la informacin el comit JTC1 nos brinda el marco tcnico para la implementacin de dicho Sistema de Gestin de Seguridad de la Informacin

1.4.2. ITIL IT Infrastructure Library (ITIL) es un conjunto de publicaciones para las mejores prcticas en la gestin de servicios TI e incluye opciones que pueden ser adoptadas y adaptadas segn necesidades, circunstancias y experiencia de cada proveedor de servicios. Las reas cubiertas por ITIL son: Gestin del Catlogo de Servicios Gestin de Niveles de Servicio Gestin de la Disponibilidad Gestin de la Capacidad Gestin de la Continuidad de los Servicios de TI Gestin de Proveedores Gestin de la Seguridad de Informacin Coordinacin del Diseo En la Gestin de la Seguridad de Informacin ITIL busca asegurar la confidencialidad, la integridad y la disponibilidad de las informaciones, datos y servicios de TI de una organizacin. Normalmente, la Gestin de la Seguridad de TI forma parte del acercamiento de una organizacin a la gestin de seguridad, cuyo alcance es ms amplio que el del proveedor de Servicios de TI. Dentro de esta rea ITIL cuenta con los siguientes subprocesos: Diseo de Controles de Seguridad: Disear tcnicas y medidas

organizativas adecuadas que aseguren la confidencialidad, la integridad, la seguridad y la disponibilidad de los activos de una organizacin, as como su informacin, datos y servicios. Pruebas de Seguridad: Asegurar que todos los mecanismos de seguridad sean objeto de pruebas frecuentes. Gestin de Incidentes de Seguridad: Detectar y combatir ataques e intrusiones, y minimizar los daos causados por actos contra la seguridad.

Revisin de Seguridad: Revisar que las medidas y procedimientos de seguridad sean cnsonos con la percepcin de riesgos en la empresa, y verificar que esas medidas y procedimientos sean sometidas a prueba y reciban mantenimiento frecuente. 1.4.3. BS 7799-3 BSI (British Standards Institution) public en 2006 la tercera parte de BS 7799, dedicada a la gestin de riesgos de seguridad de la informacin. ISO 27001 (evolucionada a partir de BS 7799-2) indica que las organizaciones deben identificar, evaluar, tratar y gestionar los riesgos de seguridad de la informacin, pero no da indicaciones ms detalladas de cmo realizar dicho proceso ni de cmo situar dichos riesgos en el marco de los riesgos generales de la empresa. BS7799-3 profundiza en estos aspectos y da directrices sobre evaluacin de riesgos, tratamiento de riesgos, toma de decisiones por parte de la Direccin, re-evaluacin de riesgos, monitorizacin y revisin del perfil de riesgo, riesgos de seguridad de la informacin en el contexto del gobierno corporativo y conformidad con otros estndares y regulaciones sobre el riesgo. El estndar ISO/IEC 27005 coincide en buena parte de los elementos especificados en BS 7799-3 pero toma referencias adicionales de otros estndares reconocidos como el estndar australiano "AS/NZS 4360:2004, Risk Management" o la gua "ISO/IEC Guide 73:2002, Risk management", entre otros y, por tanto, ha permitido mantener en vigencia el estndar BS 7799-3 como un posible documento de utilidad para la evaluacin de riesgos. 1.4.4. BS 25999 Cada vez resulta ms importante para las empresas el disponer de planes de continuidad de negocio que minimicen la inactividad de la organizacin en caso de cualquier tipo de interrupcin. BSI (British Standards Institution) public en 2006 BS25999-1, que es un cdigo de buenas prcticas dedicado a la gestin de la continuidad de negocio.

Con origen en PAS 56:2003, BS 25999-1 establece el proceso por el cual una organizacin puede desarrollar e implementar la continuidad de negocio, incluyendo una completa lista de controles basada en las mejores prcticas de BCM (Business Continuity Management). Est pensada para su uso por cualquier organizacin grande, mediana o pequea, tanto del sector pblico como privado. En 2007, fue publicada BS 25999-2, que especifica los requisitos para establecer, implementar, operar, supervisar, revisar, probar, mantener y mejorar un sistema de gestin de continuidad de negocio documentado en el contexto de la gestin global de riesgos de una organizacin. En base a esta norma pueden ser certificados los sistemas de gestin de continuidad de negocio. Este estndar sirve actualmente de base para el desarrollo de un estndar internacional denominado ISO 22301. 1.5. Certificacin

La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable. Esto quiere decir que la organizacin que tenga implantado un SGSI puede solicitar una auditora a una entidad certificadora acreditada y, caso de superar la misma con xito, obtener una certificacin del sistema segn ISO 27001. En las siguientes secciones, se abordan diferentes temas relacionados con la certificacin. 1.5.1. Implantacin del SGSI Evidentemente, el paso previo a intentar la certificacin es la implantacin en la organizacin del sistema de gestin de seguridad de la informacin segn ISO 27001. Este sistema deber tener un historial de funcionamiento demostrable de al menos tres meses antes de solicitar el proceso formal de auditora para su primera certificacin. ISO 27001 exige que el SGSI contemple los siguientes puntos:
8

 Implicacin de la Direccin. Alcance del SGSI y poltica de seguridad. Inventario de todos los activos de informacin. Metodologa de evaluacin del riesgo. Identificacin de amenazas, vulnerabilidades e impactos. Anlisis y evaluacin de riesgos. Seleccin de controles para el tratamiento de riesgos. Aprobacin por parte de la direccin del riesgo residual. Declaracin de aplicabilidad. Plan de tratamiento de riesgos. Implementacin de controles, documentacin de polticas, procedimientos e instrucciones de trabajo. Definicin de un mtodo de medida de la eficacia de los controles y puesta en marcha del mismo. Formacin y concienciacin en lo relativo a seguridad de la informacin a todo el personal. Monitorizacin constante y registro de todas las incidencias. Realizacin de auditoras internas. Evaluacin de riesgos peridica, revisin del nivel de riesgo residual, del propio SGSI y de su alcance. Mejora continua del SGSI. La documentacin del SGSI deber incluir: Poltica y objetivos de seguridad. Alcance del SGSI. Procedimientos y controles que apoyan el SGSI. Descripcin de la metodologa de evaluacin del riesgo. Informe resultante de la evaluacin del riesgo. Plan de tratamiento de riesgos. Procedimientos de planificacin, manejo y control de los procesos de seguridad de la informacin y de medicin de la eficacia de los controles. Registros. Declaracin de aplicabilidad (SOA -Statement of Applicability-).
9

 Procedimiento de gestin de toda la documentacin del SGSI.

Hay una serie de controles clave que un auditor va a examinar siempre en profundidad: Poltica de seguridad. Asignacin de responsabilidades de seguridad. Formacin y capacitacin para la seguridad. Registro de incidencias de seguridad. Gestin de continuidad del negocio. Proteccin de datos personales. Salvaguarda de registros de la organizacin. Derechos de propiedad intelectual. El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO 14001).

10

Es recomendable integrar los diferentes sistemas, en la medida que sea posible y prctico. En el caso ideal, es posible llegar a un solo sistema de gestin y control de la actividad de la organizacin, que se puede auditar en cada momento desde la perspectiva de la seguridad de la informacin, la calidad, el medio ambiente o cualquier otra. 1.5.2. Auditora y certificacin Una vez implantado el SGSI en la organizacin, y con un historial demostrable de al menos tres meses, se puede pasar a la fase de auditora y certificacin, que se desarrolla de la siguiente forma: Solicitud de la auditora por parte del interesado a la entidad de certificacin y toma de datos por parte de la misma. Respuesta en forma de oferta por parte de la entidad certificadora. Compromiso. Designacin de auditores, determinacin de fechas y

establecimiento conjunto del plan de auditora. Pre-auditora: opcionalmente, puede realizarse una auditora previa que aporte informacin sobre la situacin actual y oriente mejor sobre las posibilidades de superar la auditora real. Fase 1 de la auditora: no necesariamente tiene que ser in situ, puesto que se trata del anlisis de la documentacin por parte del Auditor Jefe y la preparacin del informe de la

documentacin bsica del SGSI del cliente, destacando los posibles incumplimientos de la norma que se verificarn en la Fase 2. Este informe se enva junto al plan de auditora al cliente. El periodo mximo entre la Fase 1 y Fase 2 es de 6 meses. Fase 2 de la auditora: es la fase de detalle de la auditora, en la que se revisan in situ las polticas, la implantacin de los controles de seguridad y la eficacia del sistema en su conjunto. Se inicia con una reunin de apertura donde se revisa el objeto,
11

alcance, el proceso, el personal, instalaciones y recursos necesarios, as como posibles cambios de ltima hora. Se realiza una revisin de las exclusiones segn la Declaracin de Aplicabilidad (documento SOA), de los hallazgos de la Fase 1, de la implantacin de polticas, procedimientos y controles y de todos aquellos puntos que el auditor considere de inters. Finaliza con una reunin de cierre en la que se presenta el informe de auditora. Certificacin: en el caso de que se descubran durante la auditora no conformidades graves, la organizacin deber implantar acciones correctivas; una vez verificada dicha implantacin o, directamente, en el caso de no haberse presentado no conformidades, el auditor podr emitir un informe favorable y el SGSI de organizacin ser certificado segn ISO 27001. Auditora de seguimiento: semestral o, al menos, anualmente, debe realizarse una auditora de mantenimiento; esta auditora se centra, generalmente, en partes del sistema, dada su menor duracin, y tiene como objetivo comprobar el uso del SGSI y fomentar y verificar la mejora continua. Auditora de re-certificacin: cada tres aos, es necesario superar una auditora de certificacin formal completa como descrita. la

12

Naturalmente, la organizacin que implanta un SGSI no tiene la obligacin de certificarlo. Sin embargo, s es recomendable ponerse como objetivo la certificacin, porque supone la oportunidad de recibir la confirmacin por parte de un experto ajeno a la empresa de que se est gestionando correctamente la seguridad de la informacin, aade un factor de tensin y de concentracin en una meta a todos los miembros del proyecto y de la organizacin en general y enva una seal al mercado de que la empresa en cuestin es confiable y es gestionada transparentemente. 1.5.2.1. La entidad de certificacin

Las entidades de certificacin son organismos de evaluacin de la conformidad, encargados de evaluar y realizar una declaracin objetiva de que los servicios y productos cumplen unos requisitos especficos. En el caso de ISO 27001, certifican, mediante la auditora, que el SGSI de una organizacin se ha diseado, implementado, verificado y mejorado conforme a lo detallado en la norma. Existen numerosas entidades de certificacin en cada pas, ya que se trata de una actividad empresarial privada con un gran auge en el ltimo par de dcadas, debido a la creciente estandarizacin y homologacin de productos y sistemas en todo el mundo. La organizacin que desee certificarse puede contactar a diversas entidades certificadoras y solicitar presupuesto por los servicios ofrecidos, comparando y decidindose por la ms conveniente, como hace con cualquier otro producto o servicio.
13

Para que las entidades de certificacin puedan emitir certificados reconocidos, han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo de acreditacin, comprueba, mediante evaluaciones independientes e imparciales, la competencia de las entidades de certificacin para la actividad objeto de acreditacin. En cada pas suele haber una sola entidad de acreditacin (en algunos, hay ms de una), a la que la Administracin encarga esa tarea. La acreditacin de entidades de certificacin para ISO 27001 o para BS 77992 -antes de derogarse- sola hacerse en base al documento EA 7/03 "Directrices para la acreditacin de organismos operando programas de certificacin/registro de sistemas de gestin de seguridad en la informacin". La aparicin de la norma ISO/IEC 27006 ha supuesto la derogacin del anterior documento. Las entidades de acreditacin establecen acuerdos internacionales para facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de criterios comunes. Para ello, existen diversas asociaciones como IAF (International Accreditation Forum) o EA (European co-operation for Accreditation). 1.5.2.2. El auditor

El auditor es la persona que comprueba que el SGSI de una organizacin se ha diseado, implementado, verificado y mejorado conforme a lo detallado en la norma. En general, se distinguen tres clases de auditores: de primera parte: auditor interno que audita la organizacin en nombre de s misma, normalmente, como mantenimiento del sistema de gestin y como preparacin a la auditora de certificacin; de segunda parte: auditor de cliente, es decir, que audita una organizacin en nombre de un cliente de la misma; por ejemplo, una empresa que audita a su proveedor de outsourcing; de tercera parte: auditor independiente, que audita una organizacin como tercera parte imparcial; normalmente, porque

14

la organizacin tiene la intencin de lograr la certificacin y contrata para ello los servicios de una entidad de certificacin. El auditor, sobre todo si acta como de tercera parte, ha de disponer tambin de una certificacin personal. Esto quiere decir que, nuevamente un tercero, certifica que posee las competencias profesionales y personales necesarias para desempear la labor de auditora de la materia para la que est certificado. En este punto, hay pequeas diferencias entre las entidades certificadoras, que pueden formular requisitos distintos para homologar a sus auditores. Al auditor se le exigen una serie de atributos personales, conocimientos y habilidades, educacin formal, experiencia laboral y formacin como auditor. Existen diversas organizaciones internacionales de certificacin de auditores, con el objeto de facilitar la estandarizacin de requerimientos y garantizar un alto nivel de profesionalidad de los auditores, adems de homologar a las instituciones que ofrecen cursos de formacin de auditor. IRCA (International Register of Certificated Auditors) es el mayor organismo mundial de certificacin de auditores de sistemas de gestin. Tiene su sede en el Reino Unido y, por ello -debido al origen ingls de la norma BS 7799-2 y, por tanto, de ISO 27001-, tiene ya desde hace aos un programa de certificacin de auditores de sistemas de gestin de seguridad de la informacin. En cuanto a la prctica de la auditora, al auditor se le exige que se muestre tico, con mentalidad abierta, diplomtico, observador, perceptivo, verstil, tenaz, decidido y seguro de s mismo. Estas actitudes son las que deberan crear un clima de confianza y colaboracin entre auditor y auditado. El auditado debe tomar el proceso de auditora siempre desde un punto de vista constructivo y de mejora continua, y no de fiscalizacin de sus actividades. Para ello, el auditor debe fomentar en todo momento un ambiente de tranquilidad, colaboracin, informacin y trabajo conjunto.

15

CAPITULO II: ISO/IEC 27000

2.1. Alcance

Se aplica a organizaciones de todo tipo y tamao, comprende: Recolectar, procesar, almacenar, y transmitir grandes cantidades de informacin Reconocer que la informacin, sus procesos relacionados, sistemas, redes y personas son activos importantes para el logro de los objetivos de la organizacin. Se enfrenta un rango de riesgos que puedan afectar el funcionamiento de los activos. Mitigar riesgos implementando controles de seguridad de informacin Toda informacin de la organizacin y procesada por la organizacin es objeto de amenazas de ataque, error, naturaleza, etc. Y es tiene

vulnerabilidades inherentes en su uso. El termino seguridad de informacin se basa generalmente en informacin que es considerada un activo que tiene valor y que requiere la proteccin apropiada, por ejemplo, para evitar la perdida de disponibilidad, confidencialidad e integridad. Permitiendo la disponibilidad de informacin exacta y completa de una manera oportuna a aquellos con la autorizacin necesaria. 2.2. Comunicacin

Conceptos, definiciones y trminos que se usan en una familia da estndares de un Sistema de Gestin de la Seguridad de Informacin Activo: Algo que tiene valor para la organizacin Disponibilidad: Garantizar que los usuarios autorizados tengan acceso a la informacin cuando sea necesario Seguridad de la Informacin: Preservar la confidencialidad, integridad y disponibilidad de la informacin. Evento de seguridad de informacin: Ocurrencia identificada en un sistema, servicio o red indicando una posible brecha de la poltica de seguridad de la informacin o falla de las salvaguardas o una situacin desconocida previa que puede ser relevante.

16

 Incidente de seguridad de informacin: Una serie de eventos no deseados que tienen una probabilidad significativa de comprometer operaciones del negocio y amenazar la seguridad de la informacin. ISMS: Sistema de gestin de la seguridad de informacin basado en un enfoque del riesgo del negocio. Integridad: Salvaguardar la exactitud e integridad de la informacin y activos asociados Riesgo residual: Riesgo remanente despus de un tratamiento del riesgo Aceptacin del riesgo: Aceptar el riesgo de la decisin tomada Anlisis del riesgo: Uso sistemtico de informacin para identificar amenazas y estimar riesgo Estimacin del riesgo: Proceso total de anlisis y evaluacin del riesgo Evaluacin del riesgo: proceso de comparacin del riesgo estimado frente al criterio de riesgo para determinar el significado de riesgo Gestin del riesgo: Actividades coordinadas para dirigir y controlar el riesgo en una organizacin. Tratamiento del riesgo: Proceso de seleccin e implementacin de controles para minimizar el riesgo Declaracin de aplicabilidad: Documento que describe los objetivos de control y los controles que son relevantes y aplicables al ISMS de la organizacin. 2.3. Requisitos para un sistema de gestin seguridad TI

Requisitos para establecer un SGSI: Definir el alcance del SGSI en trminos del negocio, la organizacin, su localizacin, activos y tecnologas, incluyendo detalles y justificacin de cualquier exclusin. Definir una poltica de seguridad que: Incluya el marco general y los objetivos de seguridad de la informacin de la organizacin. Considere requerimientos legales o contractuales relativos a la seguridad de la informacin.

17

 Est alineada con el contexto estratgico de gestin de riesgos de la organizacin en el que se establecer y mantendr el SGSI. Establezca los criterios con los que se va a evaluar el riesgo. Est aprobada por la direccin. Definir una metodologa de evaluacin del riesgo apropiada para el SGSI y los requerimientos del negocio, adems de establecer los criterios de aceptacin del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodologa es que los resultados obtenidos sean comparables y repetibles (existen numerosas metodologas estandarizadas para la evaluacin de riesgos, aunque es perfectamente aceptable definir una propia). Identificar los riesgos: Identificar los activos que estn dentro del alcance del SGSI y a sus responsables directos, denominados propietarios; Identificar las amenazas en relacin a los activos; Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas; Identificar los impactos en la confidencialidad, integridad y

disponibilidad de los activos. Analizar y evaluar los riesgos: Evaluar el impacto en el negocio de un fallo de seguridad que suponga la prdida de confidencialidad, integridad o disponibilidad de un activo de informacin; Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relacin a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estn implementados; Estimar los niveles de riesgo; Determinar, segn los criterios de aceptacin de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado. Identificar y evaluar las distintas opciones de tratamiento de los riesgos para: Aplicar controles adecuados;
18

 Aceptar el riesgo, siempre y cuando se siga cumpliendo con las polticas y criterios establecidos para la aceptacin de los riesgos; Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan; Transferir el riesgo a terceros, p. ej., compaas aseguradoras o proveedores de outsourcing. Aprobar por parte de la direccin tanto los riesgos residuales como la implantacin y uso del SGSI. Definir una declaracin de aplicabilidad que incluya: Los objetivos de control y controles seleccionados y los motivos para su eleccin; Los objetivos de control y controles que actualmente ya estn implantados; Los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusin; este es un mecanismo que permite, adems, detectar posibles omisiones involuntarias. 2.4. Planificacin e implementacin de la gestin de seguridad TI

Para establecer y gestionar un Sistema de Gestin de la Seguridad de la Informacin en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestin de la calidad.

19

Plan (planificar): establecer el SGSI. Do (hacer): implementar y utilizar el SGSI. Check (verificar): monitorizar y revisar el SGSI. Act (actuar): mantener y mejorar el SGSI. 2.4.1. Plan: Establecer el SGSI Definir el alcance del SGSI en trminos del negocio, la organizacin, su localizacin, activos y tecnologas, incluyendo detalles y justificacin de cualquier exclusin. Definir una poltica de seguridad que: Incluya el marco general y los objetivos de seguridad de la informacin de la organizacin. Considere requerimientos legales o contractuales relativos a la seguridad de la informacin. Est alineada con el contexto estratgico de gestin de riesgos de la organizacin en el que se establecer y mantendr el SGSI. Establezca los criterios con los que se va a evaluar el riesgo. Est aprobada por la direccin. Definir una metodologa de evaluacin del riesgo apropiada para el SGSI y los requerimientos del negocio, adems de establecer los criterios de aceptacin del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodologa es que los resultados obtenidos sean comparables y repetibles (existen numerosas metodologas estandarizadas para la evaluacin de riesgos, aunque es perfectamente aceptable definir una propia). Identificar los riesgos: Identificar los activos que estn dentro del alcance del SGSI y a sus responsables directos, denominados propietarios. Identificar las amenazas en relacin a los activos.
20

 Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas. Identificar los impactos en la confidencialidad, integridad y

disponibilidad de los activos. Analizar y evaluar los riesgos: Evaluar el impacto en el negocio de un fallo de seguridad que suponga la prdida de confidencialidad, integridad o disponibilidad de un activo de informacin. Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relacin a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estn implementados; Estimar los niveles de riesgo. Determinar, segn los criterios de aceptacin de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado. Identificar y evaluar las distintas opciones de tratamiento de los riesgos para: Aplicar controles adecuados. Aceptar el riesgo, siempre y cuando se siga cumpliendo con las polticas y criterios establecidos para la aceptacin de los riesgos. Evitar el riesgo, por ejemplo, mediante el cese de las actividades que lo originan. Transferir el riesgo a terceros, por ejemplo, compaas aseguradoras o proveedores de outsourcing.

21

Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluacin del riesgo. Aprobar por parte de la direccin tanto los riesgos residuales como la implantacin y uso del SGSI. Definir una declaracin de aplicabilidad que incluya: Los objetivos de control y controles seleccionados y los motivos para su eleccin. Los objetivos de control y controles que actualmente ya estn implantados. Los objetivos de control y controles del anexo a excluidos y los motivos para su exclusin; este es un mecanismo que permite, adems, detectar posibles omisiones involuntarias. En relacin a los controles de seguridad, el estndar ISO 27002 (antigua ISO 17799) proporciona una completa gua de implantacin que contiene 133 controles, segn 39 objetivos de control agrupados en 11 dominios. Esta norma es referenciada en ISO 27001, en su segunda clusula, en trminos de
22

documento indispensable para la aplicacin de este documento y deja abierta la posibilidad de incluir controles adicionales en el caso de que la gua no contemplase todas las necesidades particulares. 2.4.2. Do: Implementar y utilizar el SGSI Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin. Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignacin de recursos, responsabilidades y prioridades. Implementar los controles anteriormente seleccionados que lleven a los objetivos de control. Definir un sistema de mtricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles. Procurar programas de formacin y concienciacin en relacin a la seguridad de la informacin a todo el personal. Gestionar las operaciones del SGSI. Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la informacin. Implantar procedimientos y controles que permitan una rpida deteccin y respuesta a los incidentes de seguridad. 2.4.3. Check: Monitorizar y revisar el SGSI La organizacin deber: Ejecutar procedimientos de monitorizacin y revisin para: Detectar a tiempo los errores en los resultados generados por el procesamiento de la informacin. Identificar brechas e incidentes de seguridad. Ayudar a la direccin a determinar si las actividades desarrolladas por las personas y dispositivos tecnolgicos para garantizar la seguridad de la informacin se desarrollan en relacin a lo previsto.
23

 Detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores. Determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas. Revisar regularmente la efectividad del SGSI, atendiendo al

cumplimiento de la poltica y objetivos del SGSI, los resultados de auditoras de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas. Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad. Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organizacin, la tecnologa, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos legales, obligaciones

contractuales, etc.-. Realizar peridicamente auditoras internas del SGSI en intervalos planificados. Revisar el SGSI por parte de la direccin peridicamente para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes. Actualizar los planes de seguridad en funcin de las conclusiones y nuevos hallazgos encontrados durante las actividades de

monitorizacin y revisin. Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI. 2.4.4. Act: Mantener y mejorar el SGSI La organizacin deber regularmente: Implantar en el SGSI las mejoras identificadas.

24

 Realizar las acciones preventivas y correctivas adecuadas en relacin a la clausula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones. Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder. Asegurarse que las mejoras introducidas alcanzan los objetivos previstos. PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro fases. Tngase en cuenta que no tiene que haber una secuencia estricta de las fases, sino que por ejemplo puede haber actividades de implantacin que ya se lleven a cabo cuando otras de planificacin an no han finalizado; o que se monitoricen controles que an no estn implantados en su totalidad.

25

CAPITULO III: Implementacin

3.1. Implementacin incremental de NTP-ISO/IEC 27001:2008

La implementacin incremental se realiza cumpliendo estas cinco fases y tiene una adicional de carcter opcional. FA SE Nombre Objetivo Actividades Principales las para la Plazo mximo por fase I ORGANIZACI N Desarrollar actividades principales Obtener el apoyo institucional Hasta 3

Determinar el alcance del Sistema meses de Gestin de Seguridad de la Informacin Determinar la declaracin de Poltica de Seguridad de la Informacin y objetivos Desarrollar documentos necesarios para la Fase II

direccin e inicio de implantacin del SGSI. la II PLANIFICACI N Desarrollar actividades planificacin requeridas norma de por la las de

Determinar

criterios

para

la

evaluacin y aceptacin de riesgos Realizar evaluacin de Riesgos Conducir un anlisis entre Hasta 4 los meses

riesgos identificados y las medidas correctivas existentes Desarrollar un plan de tratamiento de riesgos Desarrollar documentos necesarios para la Fase III Desarrolla Aplicabilidad Elaborar el plan de trabajo priorizado Hasta Desarrollar documentos y registros 12 meses
26

manera metodolgica y en concordancia con la poltica y objetivos del SGSI dentro del alcance del mismo. III DESPLIEGUE Desplegar actividades implementacin las de del

la

declaracin

de

SGSI Realizar actividades de revisin del SGSI evidenciando el de la V CONSOLIDA CIN Auditar implementar mejoras correcciones e las y del cumplimiento de los requisitos norma

necesarios Implementar seleccionados los controles

IV

REVISIN

Monitorear el desempeo del SGSI Fortalecer la gestin de incidentes Desarrollar documentos y registros necesarios Desarrollar las actividades para

Hasta 4 meses

evidenciar la mejora Continua Auditar internamente el SGSI Implementar correctivas Implementar las acciones las Hasta 4

acciones meses

SGSI a fin de cumplir con los requisitos de la norma. Fase opcional: VI CERTIFICACIN

preventivas pertinentes Desarrollar, corregir y mejorar

documentacin nueva o existente

Iniciar

el

proceso internacional

de No en Aplica

certificacin

ISO/IEC 27001:2005 y obtener la certificacin Tomado de Resolucin Ministerial N 129-2012-PCM

27

3.2.

Caso Prctico

Vamos a tomar como caso prctico la aplicacin de la norma tcnica peruana en el Banco de Crdito del Per que ofrece un modelo para establecer, implementar, operar, monitorear, mantener y mejorar un Sistema de gestin de seguridad de la informacin (ISMS por sus siglas en ingles).Esta norma peruana fomenta la aplicacin de un modelo PDCA a todos los procesos ISMS. Para esto debemos tener en claro el enfoque de proceso y las etapas que aplicaremos: Planear Hacer Verificar Actuar Sabiendo que el INPUT a nuestro proceso ser uno o ms requisitos de seguridad de informacin de negocio en la organizacin Requisito Para nuestro caso tomaremos como requisito inicial al punto 1 y 2 del artculo 5 de la CIRCULAR N G- 140 -2009. Veamos lo que exigen dichos puntos: 1. Seguridad lgica a) Procedimientos formales para la concesin, administracin de

derechos y perfiles, as como la revocacin de usuarios. b) Revisiones peridicas sobre los derechos concedidos a los usuarios. c) Los usuarios deben contar con una identificacin para su uso

personal, de tal manera que las posibles responsabilidades puedan ser seguidas e identificadas. d) Controles especiales sobre utilidades del sistema y herramientas de auditora.
28

e) Seguimiento sobre el acceso y uso de los sistemas para detectar actividades no autorizadas. f) Controles especiales sobre usuarios remotos y computacin mvil. 2. Seguridad de personal a) Definicin de roles y responsabilidades establecidos sobre la seguridad de informacin. b) Verificacin de antecedentes, de conformidad con la legislacin laboral vigente. c) Concientizacin y entrenamiento. d) Procesos disciplinarios en caso de incumplimiento de las polticas de seguridad, de conformidad con la legislacin laboral vigente. e) Procedimientos definidos en caso de cese del personal, que incluyan aspectos como la revocacin de los derechos de acceso y la devolucin de activos. Una vez entendido el requisito y comprendida su necesidad podemos entrar a la primera etapa.

3.2.1. Planear

REQUISITO G- 140 2009 Articulo 5

29

Para cumplir con el requisito que acabamos de plantear definiremos uno o ms controles, uno de esos controles se llamar Requerimientos del negocio para el control de acceso (27002:2005 11.1), nos damos cuenta este es un control de la norma ISO 27002 y es que el banco ya tena como un marco a seguir a la ISO 27002 y como el cumplimiento de este marco tambin implica cumplir con la circular G140 de la SBS tambin podemos decir que la SBS est alineada las normas ISO.

Detallamos el control: Uso de un identificador nico para cada usuario Autorizacin del uso del recurso por parte del propietario Custodia de la aprobacin de las gerencias para el registro de usuarios en los sistemas Definicin de procedimientos que aseguren que no se registre un usuario en el sistema hasta que se hayan completado los procedimientos de autorizacin. Revisin peridica de cuentas de usuarios redundantes

Definimos una poltica de control de accesos: a) El Lder Usuario, las Gerencias o las Gerencias de rea/Divisin, deben definir los privilegios que los puestos requieran para el desempeo de sus funciones en coordinacin con la Gerencia Seguridad Informtica; estas definiciones se vern reflejadas en la matriz de roles por puesto.

b) El control de acceso y asignacin de privilegios deber ser utilizado para ofrecer confidencialidad, integridad y disponibilidad de la informacin requerida.

c) Si el usuario que solicite los accesos no contara con un Rol definido deber brindar una matrcula modelo, indicar el puesto especfico y la relacin de las aplicaciones a las cuales requieran el acceso
30

d) Se deben especificar claramente cules son las responsabilidades de los propietarios o lderes usuarios de los recursos.

Definimos mtricas:

Para este caso tendremos como indicador la siguiente relacin: Numero de tickets resueltos de solicitud accesos / nmero total de tickets de solicitud de acceso 3.2.2. Hacer

REQUISITO G- 140 2009 Articulo 5

En esta etapa se pone en marcha lo planeado y se le hace un seguimiento peridicamente Se asegura una segregacin de funciones y mantiene la consistencia entre los permisos otorgados y las funciones desempeadas. Se define un proceso formal para otorgar modificar y quitar accesos. Se aplica una administracin basada en roles Solicita que todo acceso otorgado este debidamente documentado, justificado y autorizado por la gerencia pertinente.

Algunos documentos existentes que evidencian el proceso son:

31

 Matriz de Roles Correos de conformidad Tickets de atencin en mesa de ayuda Aqu se muestran los pasos para efectuar la modificacin de accesos en un Rol determinado:

32

Modificacin de un Rol

rea Usuaria

Adjunta Conformidad de la gerencia y del responsable de la aplicacin afectada Solicita modificacin de Rol en la Matriz por correo

Recibe notificacin de rechazo y la razn

Fin

Recibe Notificacin de cambio efectuado en la Matriz de Roles y genera un ticket de atencin SI

Gerencia de Seguridad Informtica

NO Verifica conformidad Procede?

Fin

NO

Help Desk - Accesos

Recibe solicitud de acceso y la compara con la matriz de roles correspondiente

Le corresponde por Rol?

SI

Despliega el cambio y notifica al usuario

Fin

Este es un ejemplo del Rol de un Consultor del rea de Telemarketing dentro de una matriz de roles
33

3.2.3. Verificar

34

REQUISITO G- 140 2009 Articulo 5

En esta etapa se aplican las mtricas definidas: En un periodo de 3 meses: Tickets de solicitud de acceso resueltos / tickets de solicitud de acceso totales Comparacin peridica entre la matriz de roles y un usuario que pertenece a dicha matriz segn el organigrama de la organizacin. 3.2.4. Actuar

REQUISITO G- 140 2014 Articulo 5

Por ejemplo si se obtiene una relacin de 1 a 3 en la mtrica definida, se podra concluir en que las polticas deben ser modificadas tal vez se deba ser

35

ms flexible en ellas o quizs est ocurriendo una burocracia excesiva. En este caso puede ser que la norma de la SBS se vea modificada y se tenga que adecuar el procedimiento existente en la organizacin.

36

Capitulo IV: Conclusiones y Recomendaciones

Se puede decir que Iniciar un proceso de Certificacin, no solo nos dar un resultado positivo por la certificacin propiamente dicha sino que adems en la trayectoria de dicho proceso la organizacin tambin ir mejorando su eficiencia en los procesos lo cual produce un valor implcito de competitividad.

Desarrollar un plan de seguridad informtica realista es indispensable, sera contraproducente querer llegar a niveles de seguridad que

puedan inducir a la burocracia extrema o a entorpecer los procesos crticos de la empresa, la seguridad ms eficiente para una empresa es aquella que asume riesgos aceptables porque el beneficio que se puede obtener para la empresa lo justifica, en pocas palabras permanecer en un equilibrio es lo mejor no queremos estar en el nivel de seguridad mnima ni en el nivel de seguridad extrema. Se recomienda adquirir, en lo posible, las herramientas que faciliten la implementacin de un ISMS tambin fomentar y mantener la comunicacin entre las diferentes reas de la empresa en cuanto a seguridad informtica. Dentro de la seguridad de informacin se debe considerar el grado de concientizacin y culturizacin a nivel de usuarios es un factor preponderante, ya que sin el compromiso y comportamiento adecuado de ellos todo sistema de seguridad de informacin puede ser afectado es por eso recalcar que el departamento de tecnologa no es el nico responsable de la seguridad de informacin sino que debe existir compromiso desde las altas gerencias hasta los operadores. La seguridad de informacin no debe ser considerada desde el punto de vista tecnolgico nicamente, sino tambin como un aspecto administrativo de tal manera que los controles tecnolgicos se respalden en polticas, procedimientos manuales y estndares.

37