Professional Documents
Culture Documents
Centro Nagua
Las organizaciones gastan millones de dlares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabn ms dbil de la cadena de seguridad: la gente que usa y administra los ordenadores.
Kevin Mitnick
Requisitos generales
27001 Requisitos
Guas generales
ISO IEC IS 27031:2011 ISO IEC FCD 27033-X ISO IEC FCD 27034 ISO IEC IS 27035:2011
PARTES INTERESADAS
SEGURIDAD DE INFORMACIN MANEJADA
CONTROLES: DOMINIOS
Evaluacin y tratamiento de riesgos
Cumplimiento Seguridad fsica y ambiental Gestin de incidentes de seg. de la informacin Gestin de continuidad del negocio Seguridad de recursos humanos Adquisicin, desarrollo y mantenimiento de informacin
QU ES LA SEGURIDAD DE LA INFORMACIN?
PROCESO
Dilannia Alcelis Mara Alex Eloy Luis
1 2 3 4 5 6 7 8 9 10 11 12
Contabilidad Aud. Int. Sistemas Asesora leg. Seguridad Tesorera Crditos Logstica Adm. de Cred. Age. Org. Des. Defen. cli. MAR / ANG
3 4 1 5
2 4 2
2 4 4
4 4 5
3 4 5 5 5
Virtudes
Sixta
17 19
37 1
1 3 4 4 3 3 1 2 5 2 2 5 1 1 2 1 1 2 3 5 1 4 3 2 2 3
14 9 12 5 10 5 8 3
TOTAL
Seguridad
-Seg. de archivos -Adm. antivirus e incidentes -Control acceso
Base de datos
-Perfil usuario -Monitoreo y afinamiento -Copias de seguridad -Actualizacin de objetos y cdigo fuente
Soporte tcnico
-Inst. aplicaciones -Actualizaciones -Mantenimiento -Inv. aplicaciones -Clasificacin activos
Redes y telecomunicaciones
-Comunicacin de voz y datos -Adm. y config. de equipos -Manejo de perfiles.
Seguridad
Bancos.
IDENTIFICACIN DE ACTIVOS
# 1 2 3 4 5 6 7 8 9 10 Infraestructura de red Licencias de software Suministro de energa alternativa Servidor de aplicaciones Sistemas de telecomunicaciones Manuales Gerente de TI IDS / IPS Software de seguridad ACTIVOS Servidor de base de datos
11
12
Hardware
Sistema de backup
PROPIETARIOS
SISTEMAS SISTEMAS SISTEMAS SISTEMAS SISTEMAS
HARDWARE
A instalaciones
Humanas
Tecnolgicas
Operaciones
Errores de administracin de BD DoS Acceso no autorizado
Sociales
Inundaciones Terremotos
Cada de energa
Sabotaje
Infraestructura de red
Factores ambientales
Fallas en la red Perdida de Ancho de seguridad banda Fallas en equipo insuficiente DoS Mal administracin del sistema Aspectos regulatorios Acceso no autorizado
Hacking
Servidor de aplicaciones
Fallas de software
Gerente de TI
Huracanes
Errores de uso
Delincuencia
Hardware
Inundacin
Robo
Amenazas
Cada de energa Perdida de personal clave Errores de administracin de BD Acceso no autorizado Inundaciones, Terremotos, Fallas del manejador de BD, DoS, Sabotaje Cada de energa Fallas en la red DoS Hacking Factores ambientales, Incendio, Perdida de personal clave, Ancho de banda insuficiente, Perdida de seguridad, Fallas en equipo Cada de energa Perdida de personal clave Fallas de software Acceso no autorizado Incendio, Mal administracin del sistema, Aspectos regulatorios Epidemias Desvinculacin del personal Errores de uso Delincuencia Huracanes, Enfermedades Perdida de energa Fallas hardware Falta de mantenimiento Robo Inundacin, incendio, mal uso de los equipos, no apagado de los equipos
Probabilidad de ocurrencia
5 2 2 4 3 4 1 3
TOTAL
Infraestructura de red
Servidor de aplicaciones
3 2 2 1 3 4 2 5 3 2 2 4
Gerente de TI
Hardware
Vulnerabilidad
Enfermedad Empleados desmotivados Renuncia voluntaria Fallecimiento Falta de polticas de acceso Segregacin inapropiada de funciones Password sin modificar Falta de mantenimiento a los equipos de energa alterna Suspensin del servicio elctrico Apagado de los equipos de energa alterna Variaciones de voltajes Falta de entrenamiento en seguridad Carencia de control de copiado Falta de actualizacin
TOTAL VULN.
Acceso no autorizado
Cada de energa
El plan de continuidad del negocio y su metodologa son exigidos por el modelo, mediante el control A.14
Sixta M. Hernandez H.
Dilannia Y. taveras N.
FASE: DO
El diseo e implementacin del SGSI de una organizacin esta influenciado por sus necesidades y objetivos, requisitos de seguridad, los procesos, empleados y estructura de la organizacin.
Se espera que la escala de implementacin de un SGSI se establezca de acuerdo a la organizacin, es decir una situacin sencilla requiere una solucin de SGSI sencilla.
Procedimientos
Instrucciones
Comandos Tcnicos
Registros
Indicadores, Mtricas
Es en los registros es que se incluyen los indicadores y mtricas de seguridad que permiten evaluar la consecuencia de los objetivos
de seguridad establecidos.
Actividades de esta fase: Deteccin de incidentes y eventos de seguridad. La norma ISO 27001:2005 en su Seccin 3 Trminos y Definiciones.
Un evento de seguridad: ocurrencia identificada de una situacin de sistema, servicio o red que indica una posible violacin de la poltica de seguridad de la informacin o falla de salvaguardas, o una situacin previamente desconocida que puede ser relevante para la seguridad.
Un incidente de seguridad: un evento o serie de eventos de seguridad de la informacin indeseables o inesperados que tienen una probabilidad importante de comprometer las operaciones de negocios y amenazar la seguridad de la informacin.
Realizacin de las revisiones peridicas al SGSI. Esta actividad esta complementada con la clausula 7 de la Norma ISO 27001:2005 Revisin del SGSI por la Direccin Generalidades: la gerencia deber revisar el SGSI al menos una vez al ao. (Apropiado, adecuado y efectivo).
Salidas de la revisin
El resultado de la revisin de gerencia deber incluir cualquier decisin y accin relativas a lo siguiente:
a) Mejoramiento de la efectividad del SGSI. b) Actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos. c) Modificacin de los procedimientos y controles de seguridad de la informacin, segn sea necesario, para responder a eventos internos o externos que puedan impactar el SGSI, incluyendo cambios en:
1.los requerimientos del negocio; 2.los requisitos de seguridad; 3.procesos de negocios que afectan los requerimientos actuales del negocio; 4.requisitos de regulacin o legales; 5.obligaciones contractuales; y 6.criterios de niveles de riesgo y/o de aceptacin de riesgos.
CMO MEJORAR?
Mediante el uso de polticas de seguridad de la informacin;
Objetivos de seguridad de informacin; Resultados de auditorias;
a)
b) c) d) e) f)
c)
d) e)
El objetivo de este requerimiento es que, con base en evidencias objetivas de ocurrencias, se vean las tendencias y las empresas desarrolle acciones preventivas para evitar que la no conformidad se presente.
PIRAMIDE DOCUMENTAL
Facilita la Auditoria,
Para los fines de esta Norma Internacional, la poltica del SGSI es considerada como un superconjunto de la poltica de seguridad de la informacin. Estas polticas pueden describirse en un solo documento.
4.2,1b) Definir una poltica de SGSI en funcin de las caractersticas del negocio, la organizacin, su ubicacin, activos y tecnologa.
4.2.1a) Definir el alcance y lmites del SGSI en funcin de las caractersticas del negocio, la organizacin, su ubicacin, activos, tecnologa, e incluyendo detalles y justificacin de cualquier exclusin del alcance (ver 1.2).
2.- Preparar criterios de aceptacin de riesgos e identificar los niveles de riesgos aceptables.
G) PROCEDIMIENTOS DOCUMENTADOS QUE LA ORGANIZACIN NECESITA PARA ASEGURAR EL PLANEAMIENTO, OPERACIN Y CONTROL EFECTIVOS DE SUS PROCESOS DE SEGURIDAD DE LA INFORMACIN Y DESCRIBIR CMO MEDIR LA EFECTIVIDAD DE LOS CONTROLES.
4.2.3. c: Medir la efectividad de los controles para verificar que los requisitos de seguridad se han cumplido.
Los registros debern permanecer legibles, fcilmente identificables. Se debern documentar e implementar controles para la identificacin, almacenamiento, proteccin, recuperacin, tiempo de retencin y eliminacin de registros.
I) DECLARACIN DE APLICABILIDAD
El auditor debe ser independiente al rea auditada y mantener registros de Auditoria y sus resultados.
La auditoria es un elemento fundamental para asegurar el mantenimiento del sistema e impulsar la mejora continua. La gerencia es responsable del rea siendo auditada, debe accionar para que se eliminen las no-conformidades detectadas y sus causas.
EL CERTIFICADO
Obtener un documento a travs de un tercero de confianza que verifica la correcta implantacin de la norma.
Con ello se certifica la gestin del sistema pero no las medidas implantadas o la seguridad de la empresa. Lo que certifica es que la empresa gestiona adecuadamente la seguridad.
Auditoria Documental
La poltica de seguridad; El alcance de la certificacin; El anlisis de riesgos; La seleccin de los controles de acuerdo con la declaracin de aplicabilidad; La revisin de la documentacin de los controles seleccionados por la entidad de certificacin.
EL INFORME
1. 2. Todo correcto; Observaciones sobre el sistema que no tienen excesiva relevancia pero que deben ser tenidas en cuenta en la siguiente fase de la auditoria, bien para ser revisadas in-situ o bien para ser mejoradas en el siguiente ciclo de mejora; No conformidades menores. Estas son incidencias encontradas en la implantacin subsanables mediante la presentacin de un Plan de Acciones Correctivas en el que se identifican la incidencia y la manera de solucionarla;
3.
4.
No conformidades mayores que deben ser subsanadas por la empresa sin su resolucin y en la mayor parte de los casos, la realizacin de una auditoria extraordinaria por parte de la entidad de certificacin, no se obtendra el certificado ya que se trata de incumplimientos graves de la norma. En caso de darse tras la auditoria documental es necesario su resolucin antes de llevar a cabo la auditoria in-situ.
OBTENCIN DE LA CERTIFICACIN
Una vez conseguido el certificado del sistema, ste tiene una validez de tres aos, aunque est sujeto a revisiones anuales. Durante el primer ao se realiza la auditoria inicial. Posteriormente cada tres aos se realiza una auditoria de renovacin. En los dos aos posteriores tanto a la auditoria inicial como a las de renovacin se realizaran auditorias de seguimiento. Una vez conseguido el certificado del sistema, ste tiene una validez de tres aos, aunque est sujeto a revisiones anuales.
CONCLUSIONES
La implantacin del modelo ISO 27001:2005 requiere una participacin completa del nivel estratgico.
Su papel tiene que ser protagnico en la implantacin del modelo. La implantacin del ISO 27001:2005 tiene que contemplarse como un proyecto, el cual tiene:
Tiempos asignados a actividades; Consume recursos; Tiene un gerente que lo controla; Tiene un padrino que lo apoya (alta gerencia).
La correcta implantacin del modelo en una empresa debe seguir pasos metodolgicos comprobados y consistentes, que den resultados comparables y reproducibles.
El Ciclo metodolgico para la implantacin del modelo ISO 27001:2005 consta de 11 fases y de 26 actividades.
El funcionamiento de la metodologa tiene que ir acompaado de habilidades para la documentacin de los documentos exigidos por el ISO 27001:2005. Todos los pasos de la metodologa estn orientados a preparar a una empresa en el menor tiempo posible, para obtener la certificacin internacional del modelo. La duracin en implantar el ISO 27001:2005 depende de:
El alcance del modelo; Los recursos disponibles; La participacin de la gerencia; La prioridad que se le da al proyecto de implantacin.
Licda. Alcelis E. Ozoria Gelabert Lic. Alex Rafael Polanco Bobadilla Licda. Dilannia Yinet Taveras Nez Licda. Eloy Pea Santana Lic. Lus Keylin Hernndez
Licda. Mara Eduvigis De Jess Luna Licda. Mara Elena Amaro Medina Ing. Milciades Comas Snchez Licda. Sixta Mara Hernndez Hinojosa Licda. Virtudes Miguel Calcao