Norma NTC-ISO/IEC 27001 Sistema de Gestin de Seguridad de Informacin

AGENDA
SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN CONCEPTOS BSICOS QU ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC 27001:2005? CONTENIDO NORMA ISO/IEC 27001:2005 METODOLOGA Y CICLO DE IMPLEMENTACIN DOMINIOS DE SEGURIDAD

SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN

Es un sistema de gestin que comprende la poltica, estructura organizativa, procedimientos, procesos y recursos necesarios para implantar la gestin de la seguridad de la informacin. Un SGSI se implanta de acuerdo a estndares de seguridad como el ISO 27001 basado en el cdigo de buenas practicas y objetivos de control ISO 17799, el cual se centra en la preservacin de las caractersticas de CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD.

CONCEPTOS BSICOS
Activo Se refiere a cualquier informacin o sistema relacionado con el tratamiento de la misma que tenga valor para la organizacin. Confidencialidad Acceso a la informacin por parte nicamente de quienes mmmm mmm estn autorizados. Disponibilidad Acceso a la informacin y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. Integridad Mantenimiento de la exactitud y completitud de la mmmmmmmm informacin y sus mtodos de proceso.

QU ES LA NORMA ISO/IEC 27001?

La norma ISO/IEC 27001:2005- Information Technology Security techniques, es la evolucin certificable del cdigo de buenas prcticas ISO 17799.

QU APORTA LA CERTIFICACIN ISO/IEC 27001?

Avala la adecuada implantacin, gestin y operacin de todo lo relacionado con la implantacin de un SGSI, siendo la norma ms completa que existe en la implantacin de controles, mtricas e indicadores que permiten establecer un marco adecuado de gestin de la seguridad de la informacin para las organizaciones.

BENEFICIOS PARA LA CRA Establecimiento de una metodologa de gestin de la seguridad de la informacin clara y bien estructurada. Reduccin de riesgos de prdida, robo o corrupcin de la informacin. Los usuarios tienen acceso a la informacin de manera segura, lo que se traduce en confianza. Los riesgos y sus respectivos controles son revisados constantemente. Las auditorias externas e internas permiten identificar posibles debilidades del sistema. Continuidad en las operaciones del negocio tras incidentes de gravedad. Garantizar el cumplimiento de las leyes y regulaciones establecidas en materia de gestin de informacin. Incrementa el nivel de concientizacin del personal con respecto a los tpicos de seguridad informtica. Proporciona confianza y reglas claras al personal de la empresa.

ORIGEN NORMA ISO/IEC 27001?

CONTENIDO NORMA ISO/IEC 27001:2005

0. Introduccin 1. Objeto 2. Referencias normativas 3. Trminos y definiciones 4. Sistema de gestin de la seguridad de la informacin 5. Responsabilidades de la Direccin 6. Auditorias internas del SGSI 7. Revisin del SGSI por la direccin 8. Mejora de SGSI Anexo A. Resumen de controles Anexo B. Relacin con los Principios de la OCDE Anexo C. Correspondencia con otras normas Bibliografa

 Definicin de Poltica y objetivos

Determinacin del Alcance Valoracin de Activos Anlisis de riesgos Gestionar de riesgos Seleccionar los controles ISO 17799:2005

Implantar las mejoras Adoptar acciones preventivas y correctivas Comunicar acciones y resultados Verificar que las mejoras cumplen su objetivo

P A V H

Definir e implantar plan de gestin

de riesgos Implantar controles seleccionados y sus indicadores Implantar el Sistema de Gestin

Revisin Gerencial Desarrollar procesos de monitorizacin Revisar regularmente el SGSI Revisar los niveles de riesgo Auditar internamente el SGSI

POLTICA DE SEGURIDAD ORGANIZACIN DE SEGURIDAD

Integridad

GESTIN DE ACTIVOS SEGURIDAD DE LOS RECURSOS HUMANOS SEGURIDAD FSICA Y DEL ENTORNO

Disponibilidad

INFORMACIN

GESTIN DE COMUNICACIONES Y OPERACIONES CONTROL DE ACCESO ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN

Confidencialidad

GESTIN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIN GESTIN DE LA CONTINUIDAD DEL NEGOCIO CUMPLIMIENTO DE POLTICAS Y NORMATIVIDAD LEGAL

POLTICA DE SEGURIDAD

Objetivo:
Poltica de seguridad de la informacin: brindar apoyo y orientacin a la
direccin con respecto a la seguridad de la informacin, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.

ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

Objetivo:
Organizacin Interna: gestionar la seguridad de la informacin dentro de la
organizacin.

Partes Externas: mantener la seguridad de la informacin de los servicios de

procesamiento de informacin de la organizacin a los cuales tiene acceso partes externas o que son procesados, comunicados o dirigidos por stas.

GESTIN DE ACTIVOS

Objetivo:
Responsabilidad por los activos: lograr y mantener la proteccin adecuada
de los activos organizacionales.

Clasificacin de la informacin: asegurar que la informacin recibe el nivel

de proteccin adecuado.

SEGURIDAD DE LOS RECURSOS HUMANOS

Objetivo:
Antes de la contratacin laboral: asegurar que los empleados, contratistas,
y usuarios por tercera parte entienden sus responsabilidades y son adecuados para los roles para los que se los considera, y reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones.

Durante la vigencia de la contratacin laboral: asegurar que todos los

empleados, contratistas y usuarios de terceras partes estn consientes de las amenazas y preocupaciones respecto a la seguridad de la informacin, sus responsabilidades y sus deberes y que estn equipados para apoyar la poltica de seguridad de la organizacin en transcurso de su trabajo normal, al igual que reducir el riesgo de error humano.

Terminacin o cambio de contratacin laboral: asegurar que los

empleados, los contratistas y los usuarios de terceras partes salen de la organizacin o cambian su contrato laboral de forma ordenada.

SEGURIDAD FSICA Y DEL ENTORNO

Objetivo:
reas seguras: evitar el acceso fsico no autorizado, el dao e interferencia a las
instalaciones y a la informacin de la organizacin.

Seguridad de los equipos: evitar prdida, dao, robo o puesta en peligro de los
activos y la interrupcin de las actividades de la organizacin.

GESTIN DE COMUNICACIONES Y OPERACIONES

Objetivo:
asegurar operacin correcta y segura de los servicios de procesamiento de informacin.

Procedimientos

operacionales

responsabilidades:

la

Gestin de la prestacin del servicio por terceras partes: implementar

y mantener un grado adecuado de seguridad de la informacin y de la prestacin del servicio, de conformidad con los acuerdos de prestacin del servicio por terceras partes.

Planificacin y aceptacin del Sistema: minimizar el riesgo de fallas de

los sistemas.

GESTIN DE COMUNICACIONES Y OPERACIONES

Objetivo:
Proteccin contra cdigos maliciosos y mviles: proteger la integridad
del software y de la informacin.

Respaldo: mantener la disponibilidad de la informacin y de los servicios de

procesamiento de informacin.

Gestin de la seguridad de las redes: asegurar la proteccin de la

informacin en las redes y la proteccin de la infraestructura de soporte.

Manejo de los medios: evitar la divulgacin, modificacin, retiro o

destruccin de activos no autorizada, y la interrupcin en las actividades del negocio.

GESTIN DE COMUNICACIONES Y OPERACIONES

Objetivo:
Intercambio de la Informacin: mantener la seguridad de la informacin y
del software que se intercambian dentro de la organizacin y con cualquier entidad externa.

Servicios de comercio electrnico: garantizar la seguridad de los servicios

de comercio electrnico, y su utilizacin segura.

Monitoreo: detectar actividades de procesamiento de la informacin no

autorizadas.

CONTROL DE ACCESO

Objetivo:
Requisito del negocio para el control de acceso: controlar el acceso a la
informacin.

Gestin del acceso de usuarios: asegurar el acceso de usuarios autorizados

y evitar el acceso de usuarios no autorizados a los sistemas de informacin.

Responsabilidades de los usuarios: evitar el acceso de usuarios no

autorizados, el robo o la puesta en peligro de la informacin y de los servicios de procesamiento de informacin.

Control de acceso a las redes: evitar el acceso no autorizado a servicios en

red.

CONTROL DE ACCESO

Objetivo:
Control de acceso al sistema operativo: evitar el acceso no autorizado a
los sistemas operativos.

Control de acceso a las aplicaciones y a la informacin: evitar el acceso

no autorizado a la informacin contenida en los sistemas de informacin.

Computacin mvil y trabajo remoto: garantizar la seguridad de la

informacin cuando se utilizan dispositivos de computacin mviles y de trabajo remoto.

ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN

Objetivo:
Requisitos de seguridad de los sistemas de informacin: garantizar que
la seguridad es parte integral de los sistemas de informacin.

Procesamiento correcto en las aplicaciones: evitar errores, prdidas,

modificaciones no autorizadas o uso inadecuado de la informacin en las aplicaciones.

Controles criptogrficos: proteger la confidencialidad, autenticidad o

integridad de la informacin, por medios criptogrficos.

ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN

Objetivo:
Seguridad de los archivos del sistema: garantizar la seguridad de los
archivos del Sistema.

Seguridad en los procesos de desarrollo y soporte: mantener la

seguridad del software y de la informacin del sistema de aplicaciones.

Gestin de la vulnerabilidad tcnica: reducir los riesgos resultantes de la

explotacin de las vulnerabilidades tcnicas publicadas.

GESTIN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIN

Objetivo:
Reporte sobre los eventos y las debilidades de la seguridad de la informacin: asegurar que los eventos y las debilidades de la seguridad de la
informacin asociados con los sistemas de informacin se comunican de forma tal que permiten tomar las acciones correctivas oportunamente.

Gestin de los incidentes y las mejoras en la seguridad de la informacin: asegurar que se aplica un enfoque consistente y eficaz para la
gestin de los incidentes de seguridad de la informacin.

GESTIN DE LA CONTINUIDAD DEL NEGOCIO

Objetivo:
Aspectos de seguridad de la informacin, de la gestin de la continuidad del negocio: contrarrestar las interrupciones en las actividades
del negocio y proteger sus procesos crticos contra los efectos de fallas importantes en los sistemas de informacin o contra desastres, y asegurar su recuperacin oportuna.

CUMPLIMIENTO

Objetivo:
Cumplimiento de los requisitos legales: evitar el incumplimiento de
cualquier ley de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad.

Cumplimiento de las polticas y las normas de seguridad y cumplimiento tcnico: asegurar que los sistemas cumplen con las normas y
polticas de seguridad de la organizacin.

Consideraciones de la auditoria de los sistemas de informacin:

maximizar la eficacia de los procesos de auditoria de los sistemas de informacin y minimizar su interferencia.

PROPUESTA POLTICA DE SEGURIDAD

La Comisin de Regulacin de Agua Potable y Saneamiento Bsico CRA, en su condicin de entidad adscrita al Ministerio de Ambiente, Vivienda y Desarrollo Territorial, tiene como base para el cumplimiento de sus funciones regulatorias, el flujo y generacin de informacin hacia las partes interesadas, por esta razn la Direccin Ejecutiva ha resuelto cumplir los requerimientos de la norma ISO 27001:2005, los cuales le proporcionan a la misma, en su calidad de entidad pblica, la preservacin de la confidencialidad, integridad y disponibilidad de la informacin que gestiona y almacena, mediante la aplicacin del Sistema de Administracin de Riesgos conocido por toda la Entidad, donde el compromiso y la participacin de sus integrantes es trascendental, a fin de garantizar la mejora continua en el Sistema Integrado de Gestin y Control.
OBJETIVOS

Identificar, clasificar y valorar los activos de Informacin dentro de la Entidad. Analizar y determinar el nivel de riesgo existente en los procesos y objetivos de la Entidad. Implementar controles para fortalecer las estrategias de seguridad de la Informacin. Lograr que todos los servidores de la CRA se concienticen de la importancia de la implementacin del SGI.