Professional Documents
Culture Documents
SEGURIDAD DE LA
INFORMACIN, ISO 27001
Qu
Q es un Si
Sistema
t
de
d Gestin?
G ti ?
Un Sistema de Gestin implementa los procesos que permiten que una
Organizacin realice un servicio o producto de manera confiable y en conformidad
con unas especificaciones internacionales.
Qu
Q aporta
t la
l ISO 27001 a la
l seguridad
id d de
d la
l Informacin?
I f
i ?
Aplica una arquitectura de gestin de la seguridad que identifica y evala los riesgos que
afectan al negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para
su apropiado control y mejora continua.
Ayuda a la entidad a gestionar, de una forma eficaz, la seguridad de la informacin, evitando
las inversiones innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar
amenazas sin una evaluacin previa, por desestimar riesgos, por la falta de contramedidas, por
implantar controles desproporcionados y de un coste ms elevado del necesario, por el retraso
en las medidas de seguridad en relacin a la dinmica de cambio interno de la propia
organizacin y del entorno, por la falta de claridad en la asignacin de funciones y
responsabilidades sobre los activos de informacin, por la ausencia de procedimientos que
garanticen la respuesta puntual y adecuada ante incidencias o la propia continuidad del
negocio, etc.
Estas medidas no son ms que unos pocos controles tcnicos que, por s mismos, NO SIGNIFICAN
QUE SE EST GESTIONANDO LA SEGURIDAD.
Q
Un SGSI implica que la organizacin ha estudiado los riesgos a los que est sometida toda su
informacin, ha evaluado qu nivel de riesgo asume, ha implantado controles (no slo tecnolgicos,
sino tambin organizativos y legales) para aquellos riesgos que superan dicho nivel, ha documentado
las polticas y procedimientos relacionados y ha entrado en un proceso continuo de revisin y mejora
de todo el sistema.
z
Normas y estndares de
Implantacin de un SGSI
Para la implantacin de un SGSI se consideran:
La norma ISO/IEC 27001:2005: Especificaciones para los Sistemas de
Gestin de la Seguridad de la Informacin, requeridas para obtener la
certificacin del SGSI implantado.
Qu incluye un SGSI?
Un Sistema de Gestin de la Seguridad
g
de la Informacin basado en ISO 27001
est formado por una serie de documentos que pueden clasificarse en una
pirmide de cuatro niveles.
Documentos de Nivel 1
Alcance del SGSI
Poltica y objetivos de seguridad
Metodologa de evaluacin de riesgos
Informe de evaluacin de riesgos
Plan
a de ttratamiento
ata e to de
del riesgo
esgo
Declaracin de aplicabilidad
Procedimientos relativos al nivel 1
ANLISIS DE RIESGOS
Proceso de identificar los riesgos de la seguridad, determinando su
magnitud e identificando las reas que requieren medidas de salvaguarda.
salvaguarda
10
La Gestin de Incidencias
Gestin Documental
Gestin de Registros
Control de Auditoras Internas
Gestin de Recursos Informticos
Realizar Copias de Seguridad
Planes de Recuperacin y Continuidad
11
POLTICA DE SEGURIDAD
z
Objetivos de Seguridad
Garantizar el cumplimiento
p
de los acuerdos de nivel de servicio en relacin a
la seguridad de la informacin establecidos con terceros en la prestacin de
los servicios externos necesarios para la gestin de la Cmara.
POLTICAS DE SEGURIDAD
-
CONTROL DE ACCESOS
POLTICAS DE SEGURIDAD:
USO ACEPTABLE DE LOS ACTIVOS
La informacin debe estar clasificada segn su valor, los requisitos legales, su
sensibilidad y criticidad para la organizacin.
Se considera informacin a todo dato relacionado con las actividades y servicios de
una organizacin, que tenga valor para sta segn estime su propietario,
atendiendo a las escalas de valoracin utilizadas, los requisitos legales, su
sensibilidad y criticidad p
para la organizacin,
g
cualquiera
q
sea su forma y medio de
comunicacin y/o conservacin (informacin de los sistemas, documentos
impresos,).
Toda informacin definida como activo debe ser clasificada para garantizar un nivel
adecuado de proteccin.
Los soportes
p
((CD, p
papel,
p Discos Duros,)) q
que contengan
g informacin de distintos
niveles de clasificacin sern clasificados con el nivel ms alto de los activos de
informacin que contengan.
POLTICAS DE SEGURIDAD:
USO ACEPTABLE DE LOS ACTIVOS
z
CLASIFICACIN DE LA INFORMACIN
TRATAMIENTO DE LA INFORMACIN DE USO INTERNO:
Destruccin
-Soporte papel: Debe depositarse en papeleras dispuestas a tal efecto para posteriormente ser
destruidos bajo control.
-Soporte electrnico: Antes de ser desechados o reutilizados, deben ser procesados para su borrado
lgico o hacer ilegible la informacin contenida
contenida.
Etiquetado
Toda informacin que disponga de la imagen corporativa de la entidad o sus formatos ser
automticamente clasificada como de uso interno.
- Soporte papel: cualquier documento en formato corporativo se entender asignado al nivel de
clasificacin USO INTERNO.
- Soporte electrnico: Para los soportes propios o generados en la entidad
entidad, no ser necesario el
etiquetado del mismo salvo en los siguientes casos:
Contengan datos de carcter personal de la entidad. En estos casos, deben aplicarse las
medidas de seguridad definidas para el nivel medio en el R.D. 1720/2007 de desarrollo de la
LOPD.
POLTICAS DE SEGURIDAD:
USO CONTRA SOFTWARE MALICIOSO
z
No utilizar CD
CDs
s, disquetes,
disquetes memorias usb de fuera de las instalaciones en los
equipos del sistema de informacin de la organizacin a menos que haya sido
previamente verificado que estn libres de virus u otros agentes dainos.
POLTICAS DE SEGURIDAD:
CONTROL DE ACCESOS A LA INFORMACIN
z
Verificar que se activa el protector de pantalla de manera automtica y que la reanudacin del
trabajo implica la desactivacin de la pantalla protectora con la introduccin de la contrasea de
usuario correspondiente.
POLTICAS DE SEGURIDAD:
CONTROL DE ACCESOS A LA INFORMACIN
z
El identificador de usuario tendr unos privilegios asociados, en funcin del cargo y las
funciones que desempee. Los privilegios asociados a cada usuario le permitirn, en
funcin de cada caso, acceder a un determinado tipo de informacin.
POLTICAS DE SEGURIDAD:
SEGURIDAD FSICA Y DEL ENTORNO
Papeles y soportes informticos.
- Guardarlos en cajones con llave y/o en archivadores.
- Destructora de Papel
POLTICAS DE SEGURIDAD:
POLTICA DE CONTROL DE ACCESO
COMPROMISO DE CONFIDENCIALIDAD PARA EL PERSONAL
Todos los COMPROMISOS anteriores DEBEN MANTENERSE, incluso despus
de extinguida la relacin laboral con organizacin.
21
POLTICAS DE SEGURIDAD:
POLTICA DE USO DE CORREO ELECTRNICO
z
Los usuarios que utilicen el correo electrnico dentro de la organizacin sern responsables de
evitar prcticas que puedan comprometer la seguridad de la informacin
informacin.
POLTICAS DE SEGURIDAD:
POLTICA DE USO DE CONTRASEAS
z
CORRECTO
- Pepitogarcia
- ab3421
- 967 213423
- pgm4122
- xcp0x123
OK
POLTICAS DE SEGURIDAD:
POLTICA DE USO DE CONTRASEAS
z
POLTICAS DE SEGURIDAD:
POLTICA DE USO ADECUADO DE PORTTILES
z
z
z
z
Dejarse a la vista o abandonarse en lugares donde puedan ser sustrados con facilidad.
Cuando se vaya a dejar desatendido un porttil durante un periodo largo de tiempo, por ejemplo,
por una reunin o ir a desayunar, el usuario debe:
Cerrar la puerta de su despacho o rea con llave si esta opcin es posible
posible.
En situaciones vulnerables como lugares pblicos, salas de espera de aeropuertos, hoteles o
salas de conferencia, el porttil no debe dejarse nunca desatendido.
No deben guardarse equipos porttiles en bolsas o maletas que puedan revelar que contienen
elementos de valor en su interior para no atraer a ladrones.
Cuando las medidas anteriores no puedan aplicarse por ser inviables o inapropiadas, el
propietario del equipo es responsable de adoptar todas las medidas y precauciones que
considere
co
s de e razonables
a o ab es con
co el
e objetivo
obje o de minimizar
a los
os riesgos
esgos de da
dao
o o robo
obo de
del equ
equipo.
po
Un usuario deber notificar al Responsable de rea, de forma inmediata la prdida o robo del
equipo entregado a su custodia. Cuando un equipo porttil sea sustrado o extraviado, deber
denunciar el hecho inmediatamente a la Polica y notificar la incidencia Responsable de rea.
POLTICAS DE SEGURIDAD:
POLTICA DE USO ADECUADO DE PORTTILES
Acciones NO autorizadas:
z
La desconfiguracin
g
del equipo
q p o la modificacin del software p
preinstalado.
El uso del correo electrnico o Internet para finalidades distintas a las estrictamente profesionales
relacionadas con el desempeo habitual de las funciones como empleado de la organizacin.
GESTIN DE INCIDENCIAS
Comunicacin
Registro
Clasificacin
Diagnstico
Resolucin
27
Cierre
Incidente
GESTIN DE INCIDENCIAS
Posibles incidentes o eventos, que sern inexcusablemente registrados (esta lista no debe
entenderse como Limitativa, sino que podr ser ampliada con cualquier otro tipo de incidencias que
hubiera quedado omitida) pueden ser los siguientes:
z
z
z
z
z
z
z
z
z
z
z
z
prdida
did d
de servicio,
i i equipos
i
o iinstalaciones
t l i
fallos o sobrecargas del sistema
errores humanos
incumplimiento de polticas o directrices
incumplimientos de los acuerdos de seguridad fsica
cambios del sistema no controlados
fallos del software o del hardware
violaciones de acceso
eventos que afecten a la identificacin y autenticacin de los usuarios
eventos que afecten a los derechos de acceso a los datos
incidencias que afecten a la gestin de soportes
eventos que afecten a los procedimientos de copias de seguridad y recuperacin.
GESTIN DE INCIDENCIAS
Prioridad segn Impacto y Urgencia
GESTIN DE INCIDENCIAS
z
Crtica: Una emergencia es un incidente cuya resolucin no admite demora. Los incidentes de este tipo
se procesarn en paralelo de haber varios, y en su resolucin se emplearn todos los recursos
disponibles
disponibles.
z Ejemplo: todos los que supongan peligro para vidas humanas, para la infraestructura de Internet.
Hasta ahora tambin se han considerado todos aquellos incidentes que requeran accin
inmediata debido a su rapidez y mbito de difusin.
Alta: Un incidente de alta prioridad es aqul cuyas caractersticas requieren que sea atendido antes que
otros, aunque sea detectado posteriormente. Para esto se mantiene una cola independiente de
incidentes de alta prioridad, y no se procesarn los de prioridad inferior mientras queden de stos. Los
incidentes de alta prioridad se procesan en serie.
z
Media: Por defecto, los incidentes se atienden en serie por orden de llegada, mientras no requiera
atencin uno de prioridad superior. Un incidente de prioridad normal puede adquirir la categora de alta
prioridad si no recibe atencin por un tiempo prolongado.
z
Ejemplo: se consideran incidentes de alta prioridad todos aquellos en que exista infiltracin de
una cuenta privilegiada o denegacin de servicio.
Baja: Los incidentes de baja prioridad se atienden en serie por orden de llegada
llegada, mientras no requiera
atencin uno de prioridad superior. Un incidente de baja prioridad ser cerrado automticamente si no
recibe atencin por un tiempo prolongado.
GLOSARIO DE TRMINOS
GLOSARIO DE TRMINOS
z
Riesgo. Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una prdida o dao en un activo de informacin.
Riesgo
esgo Residual.
es dua El riesgo
esgo que permanece
pe a ece tras
as e
el tratamiento
a a e o de
del riesgo.
esgo
GLOSARIO DE TRMINOS
z
Poltica de seguridad.
g
Documento q
que establece el compromiso
p
de la Direccin y el
enfoque de la organizacin en la gestin de la seguridad de la informacin.
Vulnerabilidad.
V
l
bilid d Debilidad
D bilid d d
de un activo
ti o conjunto
j t d
de activos
ti
que puede
d ser
explotado por una amenaza.
Valoracin de riesgos.
riesgos Proceso completo de anlisis y evaluacin de riesgos
riesgos.
GLOSARIO DE TRMINOS
z
No conformidad g
grave. Ausencia o fallo de uno o varios requerimientos
q
de la ISO
27001 que, basada en evidencias objetivas, permita dudar seriamente de la
adecuacin de las medidas para preservar la confidencialidad, integridad o
disponibilidad de informacin sensible, o representa un riesgo inaceptable.
GLOSARIO DE TRMINOS
z
IImpacto.
t El coste
t para lla empresa d
de un iincidente
id t -de
d lla escala
l que sea-, que
puede o no ser medido en trminos estrictamente financieros - prdida de
reputacin, implicaciones legales, etc.
GLOSARIO DE TRMINOS
z
GLOSARIO DE TRMINOS
z
Control correctivo. Control que corrige un riesgo, error, omisin o acto deliberado
antes
t de
d que produzca
d
prdidas.
did
S
Supone que lla amenaza ya se h
ha materializado
t i li d
pero que se corrige.
Control preventivo
preventivo. Control que evita que se produzca un riesgo
riesgo, error
error, omisin o
acto deliberado. Impide que una amenaza llegue siquiera a materializarse.
Control disuasorio
disuasorio. Control que reduce la posibilidad de materializacin de una
amenaza.
Control detectivo
detectivo. Control que detecta la aparicin de un riesgo
riesgo, error
error, omisin o
acto deliberado. Supone que la amenaza ya se ha materializado, pero por s mismo
no la corrige.
!! Gracias !!