Isec Sgsi 2011 V1.0

Seminario Taller
Cmo Implementar un Sistema de Gestin de Seguridad de la Informacin SGSI segn las Normas
ISO/IEC 27001:2005 ISO/IEC 27002:2005 ISO/IEC 27005:2008
2011
www.isec-global.com
COPYRIGHT 2011 / Ing. Sixto Flores Elaborado para Information Security INC. S.A.
Instructor
Sixto Flores R.
sixto.flores@isec-ecuador.com Country Manager I -Sec Information Security Ecuador (2005 - 2011) Leader Auditor Norma ISO 27001- IRCA Aprobado examen certificacin CISM -ISACA Consultor Autorizado por el Comit de Consultora de Ecuador Reg. No. 1-09037-CIN. Miembro ISACA captulo Ecuador Gerente Comercial IT-Services (2003-2005) Gerente Producto Symantec Ecuador (2000-2003) Gerente Administrativo Financiero Inacorp S.A. (1998-2000) Ha liderado algunos proyectos de Auditora e Implementacin de Programas de Seguridad Informtica en Entidades de primer nivel en el mbito local e internacional, basados en Normativas ISO 27000. Ha desarrollado y participado como instructor en cursos de Seguridad de la Informacin en Latinoamrica ( ISEC INC.) Ha liderado proyectos de implementacin de Business Continuity Plan (BCP).
www.isec-global.com
INDICE
INTRODUCCIN ISO 27001 ISO 27005 ISO 27002
www.isec-global.com
COPYRIGHT 2011 / Sixto Flores Elaborado para Information Security INC. S.A.
INTRODUCCIN
www.isec-global.com
Sugerencias
Identificar objetivos. Anotar respuestas. Intercambiar experiencias. Generar un plan de accin propio. Participar activamente. Aclarar las dudas. Ser positivo y entusiasta. Comunicar los inconvenientes o disconformidades.
www.isec-global.com
Solicitamos aceptar las siguientes Sugerencias

Atender solo llamadas Urgentes mientras se desarrolla el Seminario
OFF
Evitar el sonido de celulares o de buscapersonas
Contar con su participacin activa durante Todo el Evento

www.isec-global.com
PRESENTACIN ALUMNOS
Nombre del asistente Compaa y Producto/Servicio Puesto Nivel de conocimiento del ISO/IEC 27001 ISO/IEC 27002 e ISO/IEC 27005 (escala del 1-10) Expectativas
www.isec-global.com
Objetivo del curso

Al completar el curso el asistente deber: Tener una idea clara del SGSI Tener una idea clara de los estndares ISO/IEC 27001, ISO/IEC 27002 e ISO/IEC 27005 Tener una metodologa para implementar un SGSI segn la Norma ISO/IEC 27001
www.isec-global.com
QU ES INFORMACIN ?
De acuerdo con el estndar ISO/IEC 27002:2005, la informacin se define como:
Un activo que, al igual que otros activos
importantes de la empresa, es esencial para el negocio de una organizacin y consecuentemente necesita estar protegido adecuadamente.
www.isec-global.com
TIPOS DE INFORMACION
Escrita Impresa Presentaciones
Electrnica / Digital
Enviada correo
Verbal / Conversaciones
www.isec-global.com
Tipos de Informacin
INFORMACIN
Crearla Crearla Procesarla Procesarla Almacenarla Almacenarla Destruirla? Destruirla? Transmitirla Transmitirla
Usarla -- (para propsitos legtimos o inadecuados) Usarla (para propsitos legtimos o inadecuados)
Perderla Perderla
Corromperla! Corromperla!
www.isec-global.com
INFORMACIN
Cualquiera que sea la forma que tome la informacin, o el medio por el cual sea compartida o almacenada, sta siempre debe estar protegida apropiadamente.
ISO/IEC 27002:2005
www.isec-global.com
CONTROL ADMINISTRACIN ADMINISTRACI DE IDENTIDAD ACCESO ADMINISTRACION VIDEO DIGITAL
ADM. DE PROPIEDAD SEGURIDAD INFORMACIN INFORMACI ADMINISTRACION CENTRALIZADA ADM. DE VISITANTES AUTOMATIZACIN AUTOMATIZACI EDIFICIOS
Wi-Fi Wi-
ADMINISTRACIN ADMINISTRACI DE ACTIVOS DETECCIN DE INTRUSIN DETECCI INTRUSI
SISTEMAS DE INTERCOMUNICACIN INTERCOMUNICACI www.isec-global.com

SISTEMAS DE ALARMA CONTRA INCENDIO
Mails annimos con informacin crtica o con agresiones
Captura de PC desde el exterior
Spamming
Violacin de contraseas
Firewall
Seg.Fsica Violacin de e-mails Antivirus

Incumplimiento de leyes y regulaciones
Robo de informacin
Destruccin de equipamiento
Ingeniera INFORMACIN Fraudes informticos D.R.P.

Interrupcin de los servicios
Virus
Intercepcin y modificacin de emails Violacin de la privacidad de los empleados

empleados deshonestos
IDS
Programas Propiedad de la Informacin social bomba Destruccin de soportes documentales Seg.Lgica
Acceso clandestino a redes Capacitacin

Acceso indebido a documentos impresos
Indisponibilidad de informacin clave
AntiSpam
Robo o extravo de notebooks
Software ilegal
Intercepcin de comunicaciones Falsificacin de informacin Agujeros de seguridad de redes para terceros conectadas
www.isec-global.com
QU ES RIESGO?
www.isec-global.com
QU ES RIESGO ?
Es la probabilidad o posibilidad de que ocurra un acontecimiento indeseado o se realice una accin no deseada de modo que afecte negativamente a la organizacin, a sus activos y/o a la consecucin de sus fines, objetivos y resultados.
www.isec-global.com
Y LA GESTIN DEL RIESGO?

Se puede definir como el proceso de toma de decisiones en un ambiente de incertidumbre sobre una accin que puede suceder y sobre las consecuencias que existirn si esta accin ocurre
La Gestin de Riesgo implica: Determinar qu se necesita proteger. De qu hay que protegerlo. Cmo hacerlo.
www.isec-global.com
Las normas de la familia 2700k

27000 Descripcin & Vocabulario
Proporciona terminologa y relacionamiento entre las normas 27000
27001 Requisitos SGSI

Proporciona los fundamentos de un SGSI
27005 Gestin del Riesgo Proporciona una metodologa para uso en el SGSI (27001)
27002 Cdigo de Prcticas

Proporciona las mejores prcticas de control para la implantacin del SGSI
27003 Gua para Implantacin

Proporciona directrices detalladas para la implantacin de un SGSI (27001) utilizando ejemplos y estudios de caso
27004 Medicin
Proporciona la metodologa para la medicin de la efectividad del SGSI (27001) y de los controles (27002)
27006 Requisitos de Acreditacin

Proporciona los requisitos para acreditacin de organismos acreditadores y de auditores para 18 Proporcionar servicios de certificacin de SGSI (27001)
www.isec-global.com
ISO/IEC 27001
www.isec-global.com
10
Norma ISO 27001:2005 Seguridad de la Informacin Informaci

El estndar para la seguridad de la informacin ISO/IEC 27001 (Information technology - Security techniques Information security management systems - Requirements).
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn el conocido Ciclo de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).
www.isec-global.com
Norma ISO 27001:2005 Sistema de Gestin de Gesti Seguridad de la Informacin SGSI Informaci SGSI requieren que todos sean informados claramente sobre lo que es requerido de ellos, que todos sean capacitados que qu hacer. En las empresas las personas reciben informacin, la procesan y luego la envan al prximo procesador, todos en una organizacin son clientes, procesadores y proveedores, por lo tanto deben proteger la informacin que manejan. La adopcin de un SGSI debe ser una decisin estratgica de la direccin de una organizacin.
www.isec-global.com
11
Objetivo de la Seguridad de la Informacin es Proteger: Informaci Proteger:
Confidencialidad
Salvaguardar la informacin de clientes y del negocio.
Disponibilidad
Acceso a los recursos por clientes y empleados.
Integridad
Confianza en la informacin del negocio y clientes.
www.isec-global.com
Qu se debe garantizar?
1. CONFIDENCIALIDAD
Se garantiza que la informacin es accesible slo a aquellas personas autorizadas.
www.isec-global.com
12
2. INTEGRIDAD
Se salvaguarda la exactitud y totalidad de la informacin y los mtodos de procesamiento y transmisin.

www.isec-global.com
3. DISPONIBILIDAD
Se garantiza que los usuarios autorizados tienen acceso a la informacin y a los recursos relacionados toda vez que lo requieran.
www.isec-global.com
13
Integridad Integridad
Confidencialidad Confidencialidad
Disponibilidad Disponibilidad
En algunas organizaciones la integridad y/o disponibilidad pueden ser ms importantes que la confidencialidad.
www.isec-global.com
Por qu Implementar un SGSI

La informacin es uno de los bienes ms valiosos de su organizacin. Sin la proteccin apropiada, la informacin puede ser:
Entregada o revelada sin autorizacin Modificada sin consentimiento Perdida sin esperanza de recuperacin No estar disponible cuando se la necesita
www.isec-global.com
14
METODOLOGA DEL ISO/IEC 27001
www.isec-global.com
Cumpliendo los requisitos de la ISO 27001:2005

Los requisitos del proceso del SGSI contenidos en las clusulas 4-8 de la ISO 27001:2005
Los requisitos del proceso del SGSI, declaran cmo una organizacin debe establecer y mantener su SGSI, basado en el modelo PlanDo-Check-Act (PDCA), cualquier organizacin que quiere certificar la norma ISO 27001:2005, tiene que cumplir todos estos requisitos, las exclusiones no son aceptables.
www.isec-global.com
15
Cumpliendo los requisitos de la ISO 27001:2005

Los requisitos de control del SGSI, contenidos en el anexo A de las ISO 27001:2005, que viene a ser la ISO 27002.
Los requisitos de control del SGSI declarados en el Anexo A, son aplicables para una organizacin a menos que la valoracin del RIESGO, y los criterios de aprobacin de riesgo demuestren una NO APLICACIN.
www.isec-global.com
SGSI
www.isec-global.com
16
4.2 Establecer y Administrar el SGSI

4.2.1 Defina el alcance y lmites del SGSI
Debe ser en relacin con las caractersticas de la empresa, la organizacin, su ubicacin, bienes y tecnologa. El alcance del SGSI tiene que estar bien definido y completo.
www.isec-global.com
El Alcance y la Organizacin
www.isec-global.com
17

4.2.1 b) Defina una poltica del SGSI
La direccin aprobar la poltica del SGSI, que incluir una base para fijar los objetivos, dar la direccin para la administracin y la accin, determinar el contexto de gestin de riesgos y los criterios contra los cuales el riesgo ser valorado.
4.2.1 c) Defina un enfoque sistemtico para la evaluacin de riesgos

La organizacin tiene que incluir sus criterios para aceptar los riesgos y la identificacin de los niveles aceptables del riesgo. Definir el mtodo a ser usado para la evaluacin de riesgos.
www.isec-global.com

4.2.1 d) Identifique los Riesgos
Identifique los riesgos a los bienes tomando en cuenta las amenazas y las vulnerabilidades relacionadas con estos bienes y los impactos de las prdidas de la Confidencialidad, Integridad y Disponibilidad, pueden tener sobre los bienes.
www.isec-global.com
18

4.2.1 e) Analice y Valore los riesgos
Basado en la informacin procesada en 4.2.1d incluir todas las reas de control como procesos, operaciones, personas, legal, reglamentos y contratos, instalaciones de procesamiento (PPPTISS). Esto permite evaluar el dao a la empresa como resultado de una falla de seguridad y la probabilidad de tal falla. La organizacin necesita calcular el nivel del riesgo y determinar si lo acepta o lo trata (poner controles).
www.isec-global.com

4.2.1 f) Identifique y valore las alternativas para el tratamiento de los riesgos
En cuanto la organizacin ha identificado, evaluado y comprendido el impacto que los riesgos podran tener sobre su empresa, puede tomar acciones y tratar los riesgos. Las acciones pueden ser poner controles apropiados, evitar los riesgos, transferir los riesgos y aceptar el riesgo.
www.isec-global.com
19

4.2.1 g) Seleccin de los Objetivos de Control y los controles para tratar los riesgos.
Los controles entre los que la organizacin puede seleccionar estn contenidos en el Anexo A de la ISO 27001:2005 (ISO 27002). La seleccin de controles tiene que ser eficaz en costos, el costo de implantar un control no debe exceder el impacto en las finanzas de los riesgos que son previstos reducir.
www.isec-global.com

4.2.1 h ) Obtener la aprobacin y la autorizacin de la direccin. 4.2.1 j ) Prepare una declaracin de aplicabilidad
El SoA (Statment of Aplicability) es un requisito obligatorio para las organizaciones que quieren obtener la certificacin ISO 27001:2005. Presenta los objetivos de control, y controles (ISO 27002) que han sido seleccionados en base a los resultados de la evaluacin y tratamiento de riesgos.
www.isec-global.com
20
GESTION DE RIESGO EN SEGURIDAD DE LA INFORMACIN NORMA ISO 27005:2008
www.isec-global.com
Gestin de riesgos en ISO 27001

Dado que la informacin es uno de los activos ms importantes de toda organizacin, requiere junto a los procesos y sistemas que la manejan, ser protegidos convenientemente frente a amenazas que puedan poner en peligro la disponibilidad, integridad, confidencialidad as como la continuidad de los niveles de competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos de la organizacin.
La organizacin demostrar que ha definido e identificado un mtodo de anlisis de riesgo adecuado, y que ha llevado a cabo un anlisis de riesgos cubriendo todos los activos de informacin, tal y como indica la clusula 4.2.1 de ISO 27001
www.isec-global.com
21
Riesgo Definicin de RIESGO segn ISO

(Guidelines for the Management of IT Security)
El potencial de que una amenaza dada explote las vulnerabilidades de un activo o grupo de activos, causando prdida o dao a los mismos. El impacto o severidad relativa del riesgo es proporcional al valor de las prdidas o daos para el negocio y a la frecuencia estimada de la amenaza.
www.isec-global.com
GESTION DE RIESGO
ANALISIS DE RIESGO
GESTIN DE RIESGO
TRATAMIENTO DE RIESGO
www.isec-global.com
22
GESTIN DEL RIESGO

Se puede definir como el proceso de toma de decisiones en un ambiente de incertidumbre sobre una accin que puede suceder y sobre las consecuencias que existirn si esta accin ocurre
La Gestin de Riesgo implica: Determinar qu se necesita proteger. De qu hay que protegerlo. Cmo hacerlo.
www.isec-global.com
Desarrollando Criterios 4.2.1 c)
4.2.1 e)
Opcin 1
Nivel del riesgo
Opcin 2
NRA - 5.1 f) GG RR 4.2.1 h)
Extensin del tratamiento
www.isec-global.com
23
Prioridad
Objetivo
20Semestre
2011? NRA Top 50? Hasta aqu Nada mas! Esto es la prioridad! Lista de Riesgos Objetivo 10Semestre 2012? Gasto Mayor
www.isec-global.com
Garanta
Garanta con Prdidas
Producto / Servicio
Continuidad de Negocios
Aceptacin
Transferencia
Cambiar, suspender o terminacin
Opciones para las actividades basado en niveles aceptables de operacin
Documentar y Aprobar
Programa de Gestin de Riesgos

Opciones para las actividades basado en niveles aceptables de riesgo
Habilidades y Conocimiento de la fuerza de trabajo
Instalaciones disponibles
Tecnologas de suporte
Datos y informacin
Equipamiento y surtimientos
Partes interesadas
www.isec-global.com
24
Proceso para establecer el SGSI

Determinacin del alcance
Anlisis de Riesgos
Identificacinde activos Identificacinde amenazas Identificacinde vulnerabilidades Probabilidadde vulnerabilidades Tasacinde activos
Probabilidadde ocurrencia Controles existentes Impactode vulnerabilidades
Calificacindel riesgo
Tratamiento del riesgo
Seleccin de controles www.isec-global.com

Enunciado de Aplicabilidad
CADENA DE VALOR EMPRESA ABC
Planificacin Estratgica
MARKETING
COMPRAS COMPRAS
PRODUCCIN
VENTAS
Finanzas Sistemas Legal Administrativo
www.isec-global.com
25
Aplicar los Riesgos al Mapa de Procesos

Plan y Plan y Administracin administracin Administracin administracin Financiera Financiera de negocios de negocios
Definicin del plan estratgico y de negocios Administracin del Libro Mayor Administracin de impuestos Administracin de activos Administracin de tesorera Administracin de Fuerza laboral Procesos Plan y administracin del desempeo de la calidad Administracin del Rol de pagos
Gerenica de Gerenica de Recursos Recursos Humanos Humanos

Planificacin y organizacin de Recursos Humanos Administracin de vacantes y cursos de induccin Entrenamiento de Fuerza laboral
Recursos de Recursos de Informacin y Informacin y Tecnologa Tecnologa

Realizar el plan de necesidades de recursos IT Estrategias de Tecnologa de Informacin Desarrollo de la arquitectura de datos y aplicaciones
Administracin Administracin Administracin Administracin de Capital de Capital General General de proyectos de proyectos
Proyectos alternativos y su factibilidad
Servicios Servicios de Soporte de Soporte
Mantenimiento de la planta Identificar los requerimientos de mantenimiento Planificacin de conservacin de la planta Administracin de actividades de mantenimiento Desarrollo del anlisis de causa - raiz
Gerencia de servicios administrativos Administracin de comunicacin corporativa Comunicacin interna
Plan de negocios
Plan de proyectos
Administracin y desarrollo de negocios Mejora el desempeo del negocio
Planificacin de proyectos
Infraestructura de comunicacin
Ejecucin de proyectos
Servicios Legales
Administracin del costo del producto Anlisis de probabilidad Coordinate/ Perform Audit
Administracin de la Informacin y sistemas operativos
Administracin de programas de seguridad Administracin de Riesgos
Administracin de recompensas
Soporte a usuarios
Administracin de beneficios laborales
Cierres mensuales
Anlisis y reportes mensuales
www.isec-global.com
Anlisis de Riesgos
Identificacindeactivos Tasacindeactivos
Identificacinde amenazas
Probabilidadde ocurrencia
Identificacinde vulnerabilidades
Controlesexistentes
Probabilidadde vulnerabilidades
Impactode vulnerabilidades
www.isec-global.com
26
Anlisis de Riesgos Identificacin Activos

Gente
Reconozca la importancia de la seguridad Conozca su rol y responsabilidad Cuente con los mecanismos para soportar el desempeo de sus funciones en forma segura Aplique los procesos formales eficientemente
Procesos
Definido Normado e implantado Monitoreado y optimizado Seguro Confiable
Aplicaciones Bases de datos Sistemas operativos RED Infraestructura Fsica IT

www.isec-global.com
Soportar el proceso de negocio de forma: Eficaz y eficiente Segura y confiable Administrada adecuadamente para mantener los principios de seguridad de: Integridad Confidencialidad Disponibilidad
Anlisis y Evaluacin del Riesgo Identificacin de los Activos

Activo de informacin electrnica: Activo de informacin en medio electrnico, magntico u ptico que almacena o procesa informacin
Base de datos que soporta aplicativo / Directorio Base de datos / Archivo de datos que no soporta aplicativo
Documentacin de negocio Documentacin de seguridad, contingencia y TI Personas

www.isec-global.com
Hardware
27
Anlisis y Evaluacin del Riesgo Tasacin de Activos
Confidencialidad la informacin sea conocida slo por personas autorizadas.
Integridad la informacin refleje la realidad.
Disponibilidad la informacin se pueda acceder oportunamente para desarrollar actividades con base en ella
Alto=3 Medio=2 Bajo=1 www.isec-global.com

Anlisis y Evaluacin del Riesgo Tasacin de Activos

Proceso Facturacin a Clientes
Alto=3 Medio=2 Bajo=1
Tasacin Activos
Confidencialidad Integridad Disponibilidad
Total
1) Informacin del Cliente
2) Facturas
3) Software de Facturacin
www.isec-global.com
28
Anlisis de Riesgos
Controlesexistentes
www.isec-global.com
Amenazas
Naturales
Incendios Terremotos Inundaciones
AMENAZAS
Internas Maliciosas Humanas No Maliciosas Externas
Impericia
www.isec-global.com
29
Anlisis y Evaluacin del Riesgo Identificacin de Amenazas

Activos Activos de Informacin PC Amenazas Probabilidad de Ocurrencia de la Tasacin de los Activos Descripcin Amenaza M
Contagio de virus Sustraccin de informacin Software sin licencia
Tasacin
A A A
Servidor AS/400 IBM 810
A
Temperatura/ Humedad Erupcin volcnica Daos fsicos
M M M

www.isec-global.com
Anlisis de Riesgos
Controlesexistentes
www.isec-global.com
30
Vulnerabilidades
Es una debilidad en el sistema de seguridad de la informacin Es la falta de uno o varios controles Puede permitir que una amenaza se materialice Es la puerta abierta por la que podra entrar la amenaza La vulnerabilidad en s mismo no causa dao: Es simplemente una condicin o conjunto de condiciones que pueden hacer que una amenaza se concrete y afecte o haga dao
www.isec-global.com
Anlisis y Evaluacin del Riesgo Identificacin de Vulnerabilidades

Activos
Activos de Informacin PC
Tasacin
Tasacin de los Activos Descripcin M
Amenazas
Probabilidad de Ocurrencia de la Amenaza
Vulnerabilidades
Probabilidad que Impacto de amenaza explote materializarse la Vulnerabilidad Amenaza
Descripcin Instalacin mensual de parches al OS de la PC Acceso a Internet
Contagio de virus
A B M M A A
A A B B M M
Sustraccin de informacin
Software sin licencia
Puerto USB habillitados Alta capacidad para envo de archivos por correo Carencia de inventario de licencias instaladas Carencia de inventario de licencias adquiridas
A Temperatura/Humedad Erupcin volcnica Daos fsicos M M M No existe mecanismo de notificacin alterna Falta de sitio alterno No disponibilidad de repuestos B B B M A A
www.isec-global.com
31
Anlisis de Riesgos
Controlesexistentes
www.isec-global.com
Anlisis y Evaluacin del Riesgo Calificacin del Riesgo

Activos Tasacin Amenazas Vulnerabilidades Calificacin del Riesgo
Tasacin de los Activos Descripcin M Contagio de virus A Instalacin mensual de parches al OS de la PC Acceso a Internet Sustraccin de informacin A Puerto USB habillitados Alta capacidad para envo de archivos por correo Software sin licencia A Carencia de inventario de licencias instaladas Carencia de inventario de licencias adquiridas Servidor AS/400 IBM 810 A Temperatura/Humedad Erupcin volcnica Daos fsicos M M M No existe mecanismo de notificacin alterna Falta de sitio alterno No disponibilidad de repuestos B B B M A A 1.5 2 2 1.75 2 2 A B M M A A A A B B M M 3 2 1.5 1.5 2.5 2.5 2.46 2.75 2.25 2.75
Probabilidad de Ocurrencia de la Amenaza Probabilidad que Impacto de Calificacin de amenaza explote materializarse la Riesgo de Vulnerabilidad Amenaza Vulnerabilidad Calificacin de Riesgo de la Riesgo del Amenaza Activo
Descripcin
2.29
Alto=3 Medio=2 Bajo=1 www.isec-global.com

Alto>2.2 Medio>1.6 Bajo<1.7
32
Gestin de Riesgos
+ Medidas Preventivas EVENTO Riesgo Bruto
es ol s tr te on sten C xi E
EVENTO Riesgo Neto

de an n Pl cci A
Sensacin de Riesgo
EVENTO Riesgo Objetivo go e e s nt Ri ere h in
Zona de Confort
www.isec-global.com
PROBABILIDAD
Con un SGSI, la organizacin conoce los riesgos a los que est sometida su informacin y los asume, minimiza, transfiere o controla mediante una metodologa sistemtica, definida, documentada y conocida por todos, que se revisa y mejora constantemente.
www.isec-global.com
Medidas Reactivas
IMPACTO
33
Gestin de Riesgos
www.isec-global.com
Opciones de Tratamiento del Riesgo
Asumir el Riesgo: Aceptar el riesgo y continuar operando tal como se ha estado haciendo
www.isec-global.com
Eliminar (evitar) el Riesgo: Eliminar la causa de ste (ej. sacar de produccin un activo)
Transferir el Riesgo: Usar opciones que compensen la prdida (ej. Adquirir plizas de seguros)
Mitigar el Riesgo: Implementar controles que reduzcan la probabilidad de la amenaza
34

Anlisis de Riesgos

ANEXO A - ISO/IEC 27001:2005

AREAS DE CONTROL
Poltica de seguridad Organizacin de la seguridad de la informacin Gestin de activos Seguridad de los recursos humanos Seguridad fsica y ambiental Gestin de comunicaciones y operaciones Control de acceso Sistemas de informacin: adquisicin, desarrollo y mantenimiento Gestin de incidentes de seguridad de la informacin Gestin de la continuidad del negocio Cumplimiento
www.isec-global.com
OBJETIVOS DE CONTROL
1 2 2 3 2 10 7
CONTROLES
2 11 5 9 13 32 25
6 2 1 3
16 5 5 10
COPYRIGHT 2011 / Sixto Flores TOTAL: Information Security INC. S.A. Elaborado para 11 DOMINIOS
39
133
35
Factores a considerar al seleccionar los controles

Anlisis costo-beneficio Efectividad Legislacin y regulaciones
Seguridad y confiabilidad
Poltica organizacional
www.isec-global.com
Impacto operacional
Seleccin de Controles
Activos Tasacin Amenazas Vulnerabilidades Calificacin del Riesgo Controles
Tasacin de los Activos Descripcin M Contagio de virus
Probabilidad de Ocurrencia de la Amenaza
Descripcin
Probabilidad que Impacto de Calificacin de amenaza explote materializarse la Riesgo de Vulnerabilidad Amenaza Vulnerabilidad
Calificacin de Riesgo de la Riesgo del Amenaza Activo
Seleccin de Controles
2.29 A Instalacin mensual de parches al OS de la PC Acceso a Internet Sustraccin de informacin A Puerto USB habillitados Alta capacidad para envo de archivos por correo Software sin licencia A Carencia de inventario de licencias instaladas Carencia de inventario de licencias adquiridas A B M M A A A A B B M M 3 2 1.5 1.5 2.5 2.5 2.75 2.25 2.75 12.6. Control de 1 vulnerabilidades tcnicas 11.4. Poltica sobre el uso de 1 servicios de red 10.7. Gestin de los medios 1 removibles 10.8. 4 Mensajes electrnico 7.1.1 Inventario de activos 7.1.1 Inventario de activos
2.46 Proteccin contra amenazas externas y 9.1.4 ambientales Desarrollar e 14.1. implementar planes de 3 continuidad Mantenimiento de 9.2.4 equipos
Temperatura/Humedad
No existe mecanismo de notificacin alterna
1.5
1.75
Erupcin volcnica Daos fsicos
M M
Falta de sitio alterno No disponibilidad de repuestos
B B
A A
2 2
2 2
www.isec-global.com
36

Anlisis de Riesgos

Proceso Facturacin a Clientes
Activo de Informacin
Software de facturacin
Objetivo de Control
A.5.1
Control
A.5.1.1 A.5.1.2 A.8.1.1 A.8.1.2 A.8.1.3 A.8.1.4 A.8.2.1 A.8.3.1 A.8.3.2
Justificacin
Proporcionar discrecionalidad en la seguridad de informacin. Minimizar errores humanos en la seguridad de informacin.
A.8.1
A.8.2
Capacitacin del usuario. Minimizar los incidentes de seguridad y aprender de ellos.
A.8.3
A.8.3.3 A.8.3.4 A.8.3.5
A.9.1 A.9.2 A.11.1
A.9.1.2 A.9.2.1 A9.2.2 A.11.1.1
Evitar el acceso fsico no autorizado. Evitar la prdida de activos e interrupcin del servicio. Controlar el acceso a la informacin.
A.11.5
A.11.5.2
Evitar el acceso no autorizado a la computadora.
A.11.5.3
www.isec-global.com
37
ISO 27001/27002 SEGURIDAD DE INFORMACIN
Fundamentos de la Seguridad de la Informacin
www.isec-global.com
Norma ISO 27002:

Seguridad de la Informacin
Esta norma es una base para desarrollar prcticas y estndares de seguridad, para administrar la seguridad de la informacin crtica de una compaa.
www.isec-global.com
38
ISO/IEC 27002:2005
AREAS DE CONTROL
Poltica de seguridad Organizacin de la seguridad de la informacin Gestin de activos Seguridad de los recursos humanos Seguridad fsica y ambiental Gestin de comunicaciones y operaciones Control de acceso Sistemas de informacin: adquisicin, desarrollo y mantenimiento Gestin de incidentes de seguridad de la informacin Gestin de la continuidad del negocio Cumplimiento
www.isec-global.com
OBJETIVOS DE CONTROL
1 2 2 3 2 10 7
CONTROLES
2 11 5 9 13 32 25
6 2 1 3
16 5 5 10
TOTAL: 11 DOMINIOS
39
133
POLITICA SEGURIDAD (PS)
Objetivo de control: Proporcionar direccin y apoyo gerencial para brindar seguridad de la informacin a travs de toda la organizacin, mediante una comunicacin, segn corresponda [ISO 27001]
Documentacin PS
Revisin y Evaluacin PS
www.isec-global.com
39
POLITICA SEGURIDAD
Documentacin PS
Revisin y Evaluacin PS
Definicin objetivo alcance Explicacin polticas, normas Responsabilidades
Propietario Responsable Revisin: eficiencia, costos, efectos
www.isec-global.com
POLTICA DE SEGURIDAD POL

Autorizacin Proteccin Fsica Confiabilidad Confidencialidad Propiedad
Poltica de Seguridad
Legalidad
Disponibilidad
Eficiencia Integridad Exactitud Eficacia
www.isec-global.com
40
POLTICA DE SEGURIDAD POL
Manual de Gestin de Seguridad

Poltica General Normas Procedimientos Estndares tcnicos
www.isec-global.com
ORGANIZACIN SEGURIDAD
Objetivo de control: Administrar la seguridad, para iniciar y controlar la implementacin de SI en la organizacin y mantener la seguridad en el acceso de terceros [ISO 27001]
Organizacin Interna
Terceros
www.isec-global.com
41
ORGANIZACIN SEGURIDAD
Organizacin Interna
Terceros
Compromiso Direccin - SI Coordinacin - SI Asignacin responsabilidades Autorizacin - Recursos Acuerdo - Confidencialidad Contacto - Autoridades Contacto Grupo Interes Revisin Independiente
Anlisis - Riesgos Seguridad - Clientes Seguridad - Contratos
www.isec-global.com
Dominio 6: ORGANIZACION DE LA SEGURIDAD DE LA INFORMACION

Principales roles y funciones
Auspicio y seguimiento Direccin de la Compaa Foro / Comit de Seguridad Autorizacin Dueo de datos Definicin rea de Seguridad Informacin rea de Legales Administracin Administrador de Seguridad Cumplimiento directo Usuarios finales Terceros y personal contratado rea de sistemas Control Auditora Interna Auditora Externa
www.isec-global.com
42
GESTION ACTIVOS
Objetivo de control: Mantener adecuada proteccin Activos de la organizacin, designar propietarios, Clasificar la Informacin para asegurar un adecuado nivel de proteccin [ISO 27001]
Responsabilidad - Activos
Clasificacin - Informacin
Inventario Propiedad Uso aceptable
Directrices - Clasificacin Etiquetado - Manipulacin
www.isec-global.com
CADENA DE VALOR EMPRESA ABC
Planificacin Estratgica
MARKETING
COMPRAS
PRODUCCIN
VENTAS
Finanzas Sistemas Legal Administrativo
www.isec-global.com
43
DEFINICION DE ACTIVOS DE INFORMACION

Los activos pueden agruparse en las siguientes categoras:
Activos de informacin: ficheros y bases de datos, documentacin del sistema, manuales de usuarios, material de formacin, procedimientos operativos o de soporte, planes de continuidad, configuracin del soporte de recuperacin, informacin archivada Activos de software: software de aplicacin, software del sistema, herramientas y programas de desarrollo Archivos fsicos: equipo de tratamiento (procesadores, monitores, porttiles, mdems), equipo de comunicaciones (routers, centrales digitales, mquinas de fax), medios magnticos (discos y cintas), otro equipo tcnico (suministro de energa, unidades de aire acondicionado), muebles, etc. Servicios: servicios de tratamiento y comunicaciones, servicios generales (calefaccin, alumbrado, energa, aire acondicionado).
www.isec-global.com
Dominio 7: Gestin de Activos Gesti Identificacin de la informacin ms crtica Identificar informacin: cul es la ms crtica Identificacin de los sistemas / equipos / documentos donde se conserva la informacin
www.isec-global.com
44
Dominio 7: Gestin de Activos Gesti Clasificacin de la informacin teniendo en cuenta los riesgos identificados
1. Anlisis de los principales riesgos a la que est expuesta. 2. Categorizacin en Confidencial, Restringida o Pblica. 3. Identificacin para determinar si se encuentra en medios electrnicos y/o en medios fsicos. 4. Aprobacin de los sectores / usuarios que deben acceder a la informacin crtica con permisos 5. Consolidacin.
www.isec-global.com
Funciones - Respons Antes - Contratacin Investig - Antecedent Condiciones - Contrata
SEGURIDAD R.R.H.H.
Objetivo control: Reducir riesgos error humano, robo, fraude, uso inadecuado instalaciones. Responsabilidad asignadas. Firma convenio de confidencialidad
Responsab - Gestin Durante - Contratacin Concienciacin - SI Proceso Disciplinario
Responsabilidad-Cese Cese - Contratacin Devolucin - Activos Retiro Derechos Acceso
www.isec-global.com
45
Dominio 8: Seguridad de los Recursos Humanos

8.1 Seguridad en la definicin de puestos de trabajo y la asignacin de recursos. Objetivo: Reducir los riesgos de error humano, robo, fraude o uso inadecuado de instalaciones. Las responsabilidades en materia de seguridad deben ser: explicadas en la etapa de reclutamiento, incluidas en los contratos y monitoreadas durante el desempeo como empleado.
www.isec-global.com

Acuerdos de confidencialidad Los empleados deben firmar habitualmente un acuerdo de esta ndole como parte de sus trminos y condiciones iniciales de empleo. El personal ocasional y los usuarios externos an no contemplados en un contrato formalizado (que contenga el acuerdo de confidencialidad) debern firmar el acuerdo mencionado antes de otorgarles acceso a las instalaciones de procesamiento de informacin. Los acuerdos de confidencialidad deben ser revisados cuando se identifican cambios en los trminos y condiciones del empleo o el contrato.
www.isec-global.com
46

8.2 Capacitacin del usuario Objetivo: Garantizar que los usuarios estn al corriente de las amenazas e incumbencias en materia de seguridad de la informacin, y estn capacitados para respaldar la poltica de seguridad de la organizacin en el transcurso de sus tareas normales.
www.isec-global.com

Algunas consideraciones a tener en cuenta en el proceso de concienciacin Involucrar a TODO el personal de la Compaa. Auspiciado por la Direccin. Asegurar su permanencia a lo largo del tiempo. "Agregar valor a los usuarios. Definir mecanismos de control de la participacin de todo el personal. Implementar sanciones disciplinarias para los que no participen. Definir medidas en caso que algn miembro del personal deje la Compaa.
www.isec-global.com
47

Estrategias de Concienciacin Usuarios finales Terceros Personal del rea de Sistemas
www.isec-global.com

Personal de Sistemas Seleccionar los temas y procedimientos ms crticos Identificar dentro de las normas de Seguridad desarrolladas, cules son: Los temas ms sensibles a la operatoria de la compaa. Los procedimientos que requieran un mayor conocimiento de la gente. Definir capacitacin segn perfil de cada sector: Operaciones Analistas Programadores Desarrollo Tecnologa Responsables de rea
www.isec-global.com
48

8.2.3 Proceso disciplinario Debe existir un proceso disciplinario formal para los empleados que violen las polticas y procedimientos de seguridad de la organizacin.
www.isec-global.com
SEGURIDAD FISICA AMBIENTAL
Objetivo de control: Prevenir accesos fsicos no autorizados, Informacin crtica o sensible procesada en reas seguras. El equipamiento debe estar protegido de amenazas fsicas y de medio ambiente. [ISO 27001]
reas Seguras
Seguridad - Equipos
www.isec-global.com
49
SEGURIDAD FISICA AMBIENTAL
reas Seguras
Seguridad - Equipos
Permetro Seguridad Fsica Controles Fsicos Entrada Seguridad Oficinas Despachos Protec Amenaz Ext Ambien Trabajo reas Seguras reas Acceso Pblico -Carga
Proteccin Equipos Instal Suminist Luz Agua-Aire Seguridad - Cableado Mantenimiento - Equipos Seguridad Equipos - Fuera Reutilizacin Equipos Retiro Equipos - Informacin
www.isec-global.com
Dominio 9: SEGURIDAD FISICA Y AMBIENTAL

Proteccin de: Sedes Instalaciones Documentos Impresos
www.isec-global.com
50

reas Seguras Permetro de Seguridad Fsica Controles de Ingreso Fsico Asegurar oficinas y medios Proteccin contra amenazas internas y externas (fuego, explosin, huelgas, motines) Trabajo en reas seguras (Data Center) reas de acceso pblico- carga descarga
www.isec-global.com

Equipo de Seguridad Ubicacin del equipo de seguridad Servicios pblicos de soporte (luz, agua, telfono) Seguridad de cableado Mantenimiento de equipo Seguridad de equipos fuera de instalaciones Reutilizacin de equipos (computadoras) Retiro de equipos
www.isec-global.com
51
Supervisin/ Monitoreo
Proced - Operacin
Comercio Electrnico GESTION COMUNICACIONES OPERACIONES Intercambio Informac Objetivo: Garantizar correcta y segura operacin instalaciones Manejo Soportes
Gestin Serv Terceros
Planif-Acepta-Sistema
Proteccin Cd Malicio
Seguridad Redes
Back-up
www.isec-global.com
Dominio 10: GESTION DE OPERACIONES Y COMUNICACIONES

Procedimientos y responsabilidades operativas Objetivo: Garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin. Se deben establecer las responsabilidades y procedimientos para la gestin y operacin de todas las instalaciones de procesamiento de informacin. Se debe implementar la separacin de funciones cuando corresponda.
www.isec-global.com
52
Control Acc Aplicacin
Portatiles -Teletrabajo
Requisitos Acceso
CONTROL DE ACCESOS Control Acceso S.O. Gestin Acceso Usuar Objetivo: Control de acceso a la informacin [iso27001]
Control Acceso Red
Responsab- Usuario
www.isec-global.com
Dominio 11: CONTROL DE ACCESO

Poltica de control de accesos Requerimientos polticos y de negocios Las reglas y derechos del control de accesos, para cada usuario o grupo de usuarios, deben ser claramente establecidos en una declaracin de poltica de accesos:
requerimientos de seguridad de cada una de las aplicaciones comerciales; identificacin de toda informacin relacionada con las aplicaciones comerciales; polticas de divulgacin y autorizacin de informacin;
www.isec-global.com
53
Dominio 11: CONTROL DE ACCESO

coherencia entre las polticas de control de acceso y de clasificacin de informacin de los diferentes sistemas y redes; legislacin aplicable y obligaciones contractuales con respecto a la proteccin del acceso a datos y servicios; perfiles de acceso de usuarios estndar, comunes a cada categora de puestos de trabajo ; administracin de derechos de acceso.
www.isec-global.com
Dominio 11: CONTROL DE ACCESO 11:

Reglas de control de accesos diferenciar entre reglas que siempre deben imponerse y reglas optativas o condicionales; establecer reglas sobre la base de la premisa debe estar prohibido a menos que se permita expresamente; reglas que requieren aprobacin antes de entrar en vigencia.
www.isec-global.com
54
Requisitos Seguridad Sist Inf
ADQUISICIN, DESARROLLO MANTENIM SISTEMAS INFORMACIN

Objetivo control: Cerciorarse que la seguridad es parte integral de los sistemas de informacin (infraestructura, aplicaciones)
Procesamiento Correcto Apli
Controles Criptogrficos
Seg. Archivos Sistema
Seg. Procesos Desarrollo Sopor
Gestin Vulnerabilidad Tcnica

www.isec-global.com
Dominio 12: Adquisicin, Desarrollo y Adquisici Mantenimiento de Sistemas de Informacin Informaci

Requerimientos de seguridad de los sistemas. Objetivo: Verificar que la seguridad es incorporada a los sistemas de informacin. Los requerimientos de seguridad deben ser identificados y aprobados antes del desarrollo de los sistemas de informacin.
www.isec-global.com
55
Dominio 12: Adquisicin, Desarrollo y Adquisici Mantenimiento de Sistemas de Informacin Informaci

Anlisis y especificaciones de los requerimientos de seguridad Se deben considerar los controles automticos a incorporar al sistema y la necesidad de controles manuales de apoyo. Los controles introducidos en la etapa de diseo son significativamente ms baratos de implementar y mantener que aquellos incluidos durante o despus de la implementacin.
www.isec-global.com
GESTION INCIDENTES SI
Objetivo de control: Incidentes de Seguridad son comunicados oportunamente y Gestionados en forma efectiva [ISO 27001]
Notificacin Eventos
Gestin Incidentes SI
Notificacin Eventos Notificacin Puntos dbiles
Responsabilidad - Procedi Aprendizaje Incidentes Recopilacin Evidencias
www.isec-global.com
56
Dominio 13: Gestin de Incidentes de Seguridad de Gesti la Informacin Informaci

Respuesta a incidentes y anomalas en materia de seguridad Objetivo: Minimizar el dao producido por incidentes y anomalas en materia de seguridad, monitorear dichos incidentes y aprender de los mismos.
www.isec-global.com
Dominio 13: Gestin de Incidentes de Seguridad de Gesti la Informacin Informaci

Los incidentes que afectan la seguridad deben ser comunicados mediante canales gerenciales. Se debe concienciar a todos los empleados y contratistas acerca de los procedimientos de comunicacin de los diferentes tipos de incidentes. La organizacin debe establecer un proceso disciplinario formal para ocuparse de los empleados que perpetren violaciones de la seguridad.
www.isec-global.com
57
Dominio 13: Gestin de Incidentes de Seguridad de la Gesti Informacin Informaci

Comunicacin de incidentes relativos a la seguridad Se debe establecer un procedimiento formal de: comunicacin, respuesta a incidentes, "feedback" a la persona luego de resueltos. Estos incidentes pueden ser utilizados durante la capacitacin a fin de crear conciencia de seguridad en el usuario.
www.isec-global.com
Inclusin Segur gestin BCP
CONTINUIDA D DEL NEGOCIO

Objetivo control: Contrarrestar las interrupciones de las actividades y proteger los proceso crticos de los negocios de los efectos de fallas significativa o desastres [ISO 27001]
www.isec-global.com
Continuidad Evala - Riesgo
Desarrollo Implant Plan BCP incluya SI
Marco Referencia Continuidad Negocios
Pruebas Mantenim Plan BCP
58
Dominio 14: Gestin DE CONTINUIDAD DEL Gesti NEGOCIO

Principales etapas Clasificacin de los distintos escenarios de desastres Evaluacin de impacto en el negocio Desarrollo de una estrategia de recupero Implementacin de la estrategia Documentacin del plan de recupero Testeo y mantenimiento del plan
www.isec-global.com

Clasificacin de los distintos escenarios de desastres Identificar los distintos tipos de desastres Ponderar su ocurrencia Fijar el alcance del proyecto a los desastres de mayor probabilidad
www.isec-global.com
59
Dominio 14: Gestin DE CONTINUIDAD DEL NEGOCIO Gesti

Evaluacin de impacto en el negocio Definir los perjuicios claves en la evaluacin del impacto en el negocio. Identificar los usuarios claves de cada sector. Relevar las funciones crticas del negocio. Definir un tiempo mximo para disponer de la informacin sin que impacte en el negocio. Efectuar estimaciones econmicas del perjuicio para la compaa. Definir las funciones crticas que se identifican para la recuperacin.
www.isec-global.com

Seleccin de una estrategia de recupero Analizar impacto de desastres seleccionados y funciones crticas identificadas en los equipos de procesamiento. Definir alternativas de recupero del procesamiento. Analizar los costos actuales y futuros de las soluciones Elegir la/las soluciones a implementar
www.isec-global.com
60

Implementacin de la estrategia Desarrollar las medidas a implementar en cada una de las etapas: Identificacin del desastre. Declaracin del desastre. Actividades a desarrollar durante el desastre. Recuperacin del procesamiento para volver a la situacin normal. Suscribir los contratos comerciales necesarios para la ejecucin de los procedimientos seleccionados. Suscribir los contratos de seguros en caso de ser definido.
www.isec-global.com

Implementar los mecanismos tecnolgicos necesarios. Asignar las responsabilidades a cada una de las personas / sectores de la Compaa involucradas en el Plan. Capacitar al personal involucrado. Definir acciones complementarias: Comunicacin a clientes y proveedores. Distribucin fsica de lugares de trabajo del personal. Estrategias de trabajo en cada casa. Otros recursos (telfonos, fax, etc). Aspecto humano del plan.
www.isec-global.com
61

Documentacin del plan de recupero Desarrollar los procedimientos tcnicos y funcionales. Desarrollar los inventarios de personal, hardware, software, etc.
www.isec-global.com
Testeo y mantenimiento del plan Testeo o Desarrollar pruebas o Realizar pruebas lo ms cercano a la realidad. Mantenimiento o Definir mecanismo para su actualizacin. o Efectuar pruebas peridicas del correcto funcionamiento
www.isec-global.com
62
CUMPLIMIENTO
Legislacin aplicable Derechos Propiedad Intelectual Proteccin Registros Orga Requisitos Legales Proteccin Datos Personales Protecc Uso Indebid Inst
Objetivo control: Impedir infracciones y violaciones de las leyes de derecho civil y penal y de requisitos de SI, Garantizar compatibilidad sistemas con polticas de seguridad [iso27001]
Regulacin Criptografia Cumplimiento Polticas Comprobacin Cump Tcnico
Polticas, Normas
Controles Auditor SI Auditorias SI Proteccin Herram Auditor
www.isec-global.com
Dominio 15: Cumplimiento

15.1 Cumplimiento de requisitos legales Objetivo: Impedir infracciones y violaciones de las leyes del derecho civil y penal; de las obligaciones establecidas por leyes, estatutos, normas, reglamentos o contratos; y de los requisitos de seguridad.
www.isec-global.com
63

El diseo, operacin, uso y administracin de los sistemas de informacin pueden estar sujetos a requisitos de seguridad legal, normativa y contractual. Se debe procurar asesoramiento sobre requisitos legales especficos por parte de los asesores jurdicos de la organizacin, o de abogados convenientemente calificados. Los requisitos legales varan segn el pas y en relacin con la informacin que se genera en un pas y se transmite a otro.
www.isec-global.com
Identificacin de la legislacin aplicable Se deben definir y documentar claramente todos los requisitos legales, normativos y contractuales pertinentes para cada sistema de informacin.
www.isec-global.com
64

15.2 Revisiones de la poltica de seguridad y la compatibilidad tcnica Objetivo: Garantizar la compatibilidad de los sistemas con las polticas y estndares (normas) de seguridad de la organizacin.
www.isec-global.com

La seguridad de los sistemas de informacin debe revisarse peridicamente. Dichas revisiones deben llevarse a cabo con referencia a las polticas de seguridad pertinentes y las plataformas tcnicas y sistemas de informacin deben ser auditados para verificar su compatibilidad con los estndares (normas) de implementacin de seguridad.
www.isec-global.com
65

15.3 Consideraciones de auditoria de sistemas Objetivo: Optimizar la eficacia del proceso de auditoria de sistemas y minimizar los problemas que pudiera ocasionar el mismo, o los obstculos que pudieran afectarlo. Deben existir controles que protejan los sistemas de operaciones y las herramientas de auditoria en el transcurso de las auditorias de sistemas. Asimismo, se requiere una proteccin adecuada para salvaguardar la integridad y evitar el uso inadecuado de las herramientas de auditoria.
www.isec-global.com
Polticas de Seguridad de Informacin

Ejemplos contenidos en un Programa InfoSec
Poltica de privacidad Poltica de uso adecuado de activos de informacin Poltica de control de acceso Poltica de Seguridad de Informacin en Recursos Humanos Poltica de trabajo en reas seguras Poltica de Seguridad con la instalacin de equipamientos Poltica de respaldos Poltica de uso de Anti Vrus Poltica de Continuidad de Negocios Poltica de uso de equipamientos mviles Poltica de Seguridad da informacin durante viajes Poltica de intercambio de informaciones entre entes internos y externos
www.isec-global.com
66
Norma ISO 27001:2005 Seguridad de la Informacin Informaci

El estndar para la seguridad de la informacin ISO/IEC 27001 (Information technology - Security techniques Information security management systems - Requirements).
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn el conocido Ciclo de Deming: PDCA - acrnimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar).
www.isec-global.com
SGSI
www.isec-global.com
67

4.2.2 Implemente y Opere el SGSI (DO)
Las declaraciones deben definidas en la clusula 4.2.2 de las ISO 27001:2005, para la etapa Hacer son diseadas para asegurar los procesos de implementar y usar el SGSI establecidos en la fase Plan. Este plan deben dar una idea de las acciones gerenciales necesarias, las responsabilidades de los involucrados en el proceso de administrar los riesgos para la seguridad de la informacin.
www.isec-global.com

4.2.2 Implemente y Opere el SGSI (DO)
La organizacin debe tener definido un conjunto de procesos para la implantacin del tratamiento de riesgos y el sistema de controles seleccionados, tomar en cuenta los recursos para el SGSI, la asignacin de responsabilidades, procedimientos para administrar incidentes de seguridad. La eficacia es el principal factor cuando se implementan los controles seleccionados
www.isec-global.com
68

4.2.3 Monitorear y evaluar el SGSI (CHECK)
Para la fase de Verificacin, la organizacin debe tener un conjunto apropiado de procesos implantados para monitorear y analizar el SGSI implantado en la fase de Hacer, es importante monitorear y estar al tanto de cualquier cambio que puede afectar al SGSI. El SGSI puede ser cambiado debido a las nuevas amenazas, vulnerabilidades por cambios en el ambiente de negocios, proveedores, condiciones de negocios, regulaciones etc. Verificar si el BCP es apropiado
www.isec-global.com

4.2.4 Mantener y mejorar el SGSI (ACT)
La clusula 4.2.4 de las ISO 27001, para la fase Actuar son diseadas para asegurar que la organizacin tiene un conjunto apropiado de procesos implantados para mantener actualizado y mejorado el SGSI. El riesgo debe ser monitoreado con evaluaciones regulares de las amenazas, del sistema de controles implantados, su eficacia y auditoras.
www.isec-global.com
69
4.3 Requisitos de Documentacin del SGSI

4.3.1 Requisitos Generales
Alcance del SGSI de acuerdo con 4.2.1 b) Procedimientos y controles de apoyo del SGSI, metodologa de evaluacin de riesgos 4.2.1 c) al 4.2.1 j) Plan de tratamiento de riesgos de acuerdo a 4.2.2.
www.isec-global.com
4.3 Requisitos de Documentacin del SGSI

4.3.1 Requisitos Generales
Procedimientos necesarios para asegurar la planificacin eficaz, de operaciones y control de los procesos de seguridad de informacin de acuerdo con los requisitos del ISO 27001 Registros para proveer evidencias de la conformidad con requisitos y la operacin eficaz del SGSI Declaracin de aplicabilidad de acuerdo con 4.2.1 j)
www.isec-global.com
70
5. Responsabilidad de la Direccin
Es importante que la direccin proporcione evidencias de su compromiso con los procesos y actividades para el establecimiento, implantacin, operacin, monitoreo, evaluacin, mantenimiento y la mejora del SGSI de acuerdo con la clusula 5 de la ISO 27001. La organizacin debe asegurar que provee recursos suficientes para implementar los requisitos y procesos identificados en la norma ISO 27001 de la clusula 4 a la 8.
www.isec-global.com
6. Auditorias Internas al SGSI.

La organizacin debe conducir auditorias internas planificadas a intervalos regulares, para determinar si los objetivos de control, controles, procesos, procedimientos del SGSI, estan de acuerdo a los requerimientos del ISO 27001. Se debe definir un procedimiento para llevar a cabo esta auditora y especificar quien es el responsable de mantener estos registros/evidencias de la auditora interna.
www.isec-global.com
71
7. Anlisis crtico por la direccin del SGSI.

Es importante que la direccin analice crticamente el SGSI de acuerdo con un plan establecido y analice el programa de conformidad con la clusula 7. Esto permite que la compaa determine si son necesarias mejoras y cambios al SGSI. Auditorias de primera parte (auditora interna), auditoras de segunda parte ( requisito de un cliente o convenio contractual y auditora de tercera parte (una certificacin iso 27001)
www.isec-global.com
8. Mejora del SGSI.

Las organizaciones deben planear y administrar los procesos necesarios para la mejora continuada del SGSI, utilizando los objetivos, resultados de la auditora interna, anlisis de los datos, la accin correctiva y preventiva y el anlisis crtico realizado por la direccin. Se requiere de procedimientos implantados para eliminar la causa de no conformidades y evitar su repeticin.
www.isec-global.com
72
COMO IMPLEMENTAR EL SGSI
www.isec-global.com
IMPLEMENTAR SGSI
L n e a
5.1 Aprobacin de la Gerencia Iniciacin del Proyecto SGSI
5. Obtener Aprobacin de la Gerencia para Iniciar el Proyecto del SGSI
6 Definicin del Alcance, Poltica y Lmites
6.1 El SGSI Alcance y Lmites 6.2 Poltica SGSI

7.1 Requerimientos de Seguridad 7.2 Activos de Informacin 7.3 Generar un anlisis de Riesgo 8.1 Aprobacin de la Gerencia para Implementar el SGSI 8.2 Plan de Tratamiento de Riesgos 8.3 Declaracin de Aplicabilidad (Controles seleccionados)
D e T i e m p o
7Anlisis de los Requerimientos de Seguridad de Informacin
8 Realizar una anlisis de Riesgos y Planificacin de tratamiento de Riesgos
8 Realizar una anlisis de Riesgos y Planificacin de tratamiento de 9 Diseo del SGSI Riesgos
9.1 Plan de Implementacin del SGSI 6.2 Poltica SGSI
www.isec-global.com
73
ISO 27001 Entradas-Proceso-Salidas
www.isec-global.com
RESUMEN
La seguridad de la informacin protege la informacin de una amplia gama de amenazas con el fin de asegurar la continuidad del negocio, minimizar el impacto al negocio y maximizar el retorno de inversin, as como las oportunidades de negocio Cada organizacin tendr un conjunto diferente de requerimientos en trminos de controles y nivel de confidencialidad, integridad y disponibilidad
www.isec-global.com
74
Muchas Gracias ! Sixto Flores R.

Sixto.flores@isec-ecuador.com
www.isec-global.com
75

Isec Sgsi 2011 V1.0

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Isec Sgsi 2011 V1.0

Uploaded by

Copyright:

Available Formats

Seminario Taller

Solicitamos aceptar las siguientes Sugerencias

Evitar el sonido de celulares o de buscapersonas

Contar con su participacin activa durante Todo el Evento

Objetivo del curso

CONTROL ADMINISTRACIN ADMINISTRACI DE IDENTIDAD ACCESO ADMINISTRACION VIDEO DIGITAL

ADMINISTRACIN ADMINISTRACI DE ACTIVOS DETECCIN DE INTRUSIN DETECCI INTRUSI

SISTEMAS DE INTERCOMUNICACIN INTERCOMUNICACI www.isec-global.com

SISTEMAS DE ALARMA CONTRA INCENDIO

Mails annimos con informacin crtica o con agresiones

Captura de PC desde el exterior

Seg.Fsica Violacin de e-mails Antivirus

Ingeniera INFORMACIN Fraudes informticos D.R.P.

Intercepcin y modificacin de emails Violacin de la privacidad de los empleados

Programas Propiedad de la Informacin social bomba Destruccin de soportes documentales Seg.Lgica

Acceso clandestino a redes Capacitacin

Robo o extravo de notebooks

Y LA GESTIN DEL RIESGO?

Las normas de la familia 2700k

27001 Requisitos SGSI

27002 Cdigo de Prcticas

27003 Gua para Implantacin

27006 Requisitos de Acreditacin

Norma ISO 27001:2005 Seguridad de la Informacin Informaci

Objetivo de la Seguridad de la Informacin es Proteger: Informaci Proteger:

Se garantiza que la informacin es accesible slo a aquellas personas autorizadas.

Se salvaguarda la exactitud y totalidad de la informacin y los mtodos de procesamiento y transmisin.

Por qu Implementar un SGSI

METODOLOGA DEL ISO/IEC 27001

Cumpliendo los requisitos de la ISO 27001:2005

Cumpliendo los requisitos de la ISO 27001:2005

4.2 Establecer y Administrar el SGSI

4.2 Establecer y Administrar el SGSI

4.2.1 c) Defina un enfoque sistemtico para la evaluacin de riesgos

4.2 Establecer y Administrar el SGSI

4.2 Establecer y Administrar el SGSI

4.2 Establecer y Administrar el SGSI

4.2 Establecer y Administrar el SGSI

4.2 Establecer y Administrar el SGSI

GESTION DE RIESGO EN SEGURIDAD DE LA INFORMACIN NORMA ISO 27005:2008

Gestin de riesgos en ISO 27001

Riesgo Definicin de RIESGO segn ISO

GESTIN DEL RIESGO

Desarrollando Criterios 4.2.1 c)

Extensin del tratamiento

Garanta con Prdidas

Cambiar, suspender o terminacin

Opciones para las actividades basado en niveles aceptables de operacin

Programa de Gestin de Riesgos

Habilidades y Conocimiento de la fuerza de trabajo

Proceso para establecer el SGSI

Probabilidadde ocurrencia Controles existentes Impactode vulnerabilidades

Tratamiento del riesgo

Seleccin de controles www.isec-global.com

CADENA DE VALOR EMPRESA ABC

Finanzas Sistemas Legal Administrativo

Aplicar los Riesgos al Mapa de Procesos

Gerenica de Gerenica de Recursos Recursos Humanos Humanos

Recursos de Recursos de Informacin y Informacin y Tecnologa Tecnologa

Servicios Servicios de Soporte de Soporte

Gerencia de servicios administrativos Administracin de comunicacin corporativa Comunicacin interna

Administracin y desarrollo de negocios Mejora el desempeo del negocio

Administracin de la Informacin y sistemas operativos