Professional Documents
Culture Documents
A ISO
MANUAL ISO 27000 27000
SISTEMAS DE
GESTION DE
SEGURIDAD
INFORMATICA
Diplomado en Competencias
en Gestin
Publica
Curso : AUDITORIA DE SISTEMAS SGCI
ISO27000
Patrocina:
OBJETIVOS
GENERAL
Conocer la aplicabilidad de los controles establecidos y regulados bajo la ley, tanto en las empresas como
organismos del estado que hoy trabajan bajo la ISO 27000.
X
X
RESUMEN EJECUTIVO.
La Serie ISO 27000 de normas se ha reservado expresamente por la norma ISO en materia de seguridad de
la informacin. Esto, por supuesto, se alinea con una serie de otros temas, incluyendo la norma ISO 9000
(gestin de la calidad) e ISO 14000 (gestin medioambiental).
Al igual que con los temas arriba mencionados, la serie 27000 se rellenar con una serie de
normas individuales y a travs de los documentos.
Entre las principales normas referentes a la seguridad de la informacin tenemos:
ISO 27001. El objetivo de la propia norma es "proporcionar un modelo para establecer,
implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de Gestin de Seguridad
de la Informacin". En cuanto a su adopcin, esto debe ser una decisin estratgica. Adems,
"El diseo y la implementacin de un SGSI organizacin est influida por sus necesidades y
objetivos, requisitos de seguridad, el proceso empleado y el tamao y la estructura de la
organizacin".
Responsabilidad de la Direccin
Auditoras internas
La norma "establece las directrices y principios generales para iniciar, implementar, mantener y
mejorar la gestin de seguridad de la informacin dentro de una organizacin". Los controles
reales que figuran en la norma estn destinados a atender las necesidades especficas
identificadas a travs de una evaluacin de riesgo formal. La norma tiene tambin por objeto
proporcionar una gua para el desarrollo de "normas de seguridad de la organizacin y prcticas
de gestin eficaz de seguridad y para ayudar a construir la confianza en las actividades entre la
organizacin".
La base de la norma fue originalmente un documento publicado por el gobierno del Reino Unido,
que se convirti en un estndar "adecuado" en 1995, cuando fue re-publicado por la BSI como BS
7799. En 2000 se volvi a re-publicar, esta vez por la ISO, como ISO 17799. Una nueva versin
de este apareci en 2005, junto con una nueva publicacin, la norma ISO 27001. Estos dos
documentos estn destinados a ser utilizados en conjunto.
Planes de futuro de la ISO para esta norma se centran en gran medida en torno al desarrollo y
publicacin de versiones especficas de la industria (por ejemplo: sector de la salud, la
fabricacin, y as sucesivamente).
Poltica de Seguridad
Gestin de Activos
Seguridad Fsica
Control de Acceso
Conformidad X
MARCO TEORICO
ISO 27000
Uno de los activos ms valiosos que hoy en da posee las diferentes empresas, es la informacin y parece
ser que con la globalizacin, sta peligra ya que cada vez sufre grandes amenazas en cuanto a su
confiabilidad y su resguardo, de igual forma la informacin es vital para el xito y sobrevivencia de las
empresas en cualquier mercado. Con todo esto todo parece indicar que uno de los principales objetivos de
toda organizacin es el aseguramiento de dicha informacin, as como tambin de los sistemas que la
procesan.
Para exista una adecuada gestin de la seguridad de la informacin dentro de las organizaciones, es
necesario implantar un sistema que aborde esta tarea de una forma metdica y lgica, documentada y
basada en unos objetivos claros de seguridad y una evaluacin de los riesgos a los que est sometida la
informacin de la organizacin.
Para lograr estos objetivos, existen organizaciones o entes especializados en redactar estndares necesarios
y especiales para el resguardo y seguridad de la informacin, estos estndares son llamado o reconocidos
como ISO.
Hacer
Chequear
Actuar
X
Arranque del proyecto
Compromiso de la Direccin: una de las bases fundamentales sobre las que iniciar un proyecto
de este tipo es el apoyo claro y decidido de la Direccin de la organizacin. No slo por ser un
punto contemplado de forma especial por la norma sino porque el cambio de cultura y
concienciacin que lleva consigo el proceso hacen necesario el impulso constante de la Direccin.
Planificacin, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el
esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.
PLANIFICACION
Definir alcance del SGSI: en funcin de caractersticas del negocio, organizacin, localizacin, X
activos y tecnologa, definir el alcance y los lmites del SGSI (el SGSI no tiene por qu abarcar
toda la organizacin; de hecho, es recomendable empezar por un alcance limitado.
Definir poltica de seguridad: que incluya el marco general y los objetivos de seguridad de la
informacin de la organizacin, tenga en cuenta los requisitos de negocio, legales y contractuales
en cuanto a seguridad, est alineada con la gestin de riesgo general, establezca criterios de
evaluacin de riesgo y sea aprobada por la Direccin. La poltica de seguridad es un documento
muy general, una especie de "declaracin de intenciones" de la Direccin, por lo que no pasar de
dos o tres pginas.
Definir el enfoque de evaluacin de riesgos: definir una metodologa de evaluacin de riesgos
apropiada para el SGSI y las necesidades de la organizacin, desarrollar criterios de aceptacin
de riesgos y determinar el nivel de riesgo aceptable. Existen muchas metodologas de evaluacin
de riesgos aceptadas internacionalmente; la organizacin puede optar por una de ellas, hacer una
combinacin de varias o crear la suya propia. ISO 27001 no impone ninguna ni da indicaciones
adicionales sobre cmo definirla (en el futuro, ISO 27005 proporcionar ayuda en este sentido). El
riesgo nunca es totalmente eliminable -ni sera rentable hacerlo-, por lo que es necesario definir
una estrategia de aceptacin de riesgo.
Inventario de activos: todos aquellos activos de informacin que tienen algn valor para la
organizacin y que quedan dentro del alcance del SGSI.
Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario.
Identificar los impactos: los que podra suponer una prdida de la confidencialidad, la
integridad o la disponibilidad de cada uno de los activos.
Anlisis y evaluacin de los riesgos: evaluar el dao resultante de un fallo de seguridad (es
decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo;
estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en funcin de los
niveles definidos previamente) o requiere tratamiento.
Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido (mitigado
mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma consciente) o
transferido (p. ej., con un seguro o un contrato de outsourcing).
Seleccin de controles: seleccionar controles para el tratamiento el riesgo en funcin de la
evaluacin anterior. Utilizar para ello los controles del Anexo A de ISO 27001 (teniendo en cuenta
que las exclusiones habrn de ser justificadas) y otros controles adicionales si se consideran
necesarios.
Aprobacin por parte de la Direccin del riesgo residual y autorizacin de implantar el SGSI:
hay que recordar que los riesgos de seguridad de la informacin son riesgos de negocio y slo la
Direccin puede tomar decisiones sobre su aceptacin o tratamiento. El riesgo residual es el que
X
queda, an despus de haber aplicado controles (el "riesgo cero" no existe prcticamente en
ningn caso).
Confeccionar una Declaracin de Aplicabilidad: la llamada SOA (Statement of Applicability) es
una lista de todos los controles seleccionados y la razn de su seleccin, los controles
actualmente implementados y la justificacin de cualquier control del Anexo A excluido. Es, en
definitiva, un resumen de las decisiones tomadas en cuanto al tratamiento del riesgo.
IMPLEMENTACION (HACER)
SEGUIMIENTO (CHEQUEAR)
Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase
anterior.
Acciones correctivas: para solucionar no conformidades detectadas.
Acciones preventivas: para prevenir potenciales no conformidades.
Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle.
Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier
accin, medida o cambio debe comprobarse siempre.
INTRODUCION AL ESTANDAR
Qu es seguridad de la informacin?
La informacin es un activo vital que, como otros activos comerciales importantes, es esencial para el
negocio de una organizacin y en consecuencia necesita ser protegido adecuadamente. En el curso de los
aos la globalizacin ha originado que la informacin fluya mas rpido de tal manera que para ello debe
haber interconectividad entre las organizaciones a grandes distancias.
Alcance
Este Estndar establece los lineamientos y principios generales para iniciar, implementar, mantener y mejorar
la gestin de la seguridad de la informacin en una organizacin. Proporcionan un lineamiento general sobre
los objetivos de gestin de seguridad de la informacin generalmente aceptados.
Estructura del Estndar
Este estndar contiene 11 clusulas de control de seguridad conteniendo colectivamente un total de 39
categoras de seguridad principales y una clusula introductoria que presenta la evaluacin y tratamiento del
riesgo.
Clusulas
Cada clusula contiene un nmero de categoras de seguridad principales. Las once clusulas
(acompaadas por el nmero de categoras de seguridad principales incluidas dentro de cada clusula) son:
a) Poltica de Seguridad
b) Organizacin de la Seguridad de la Informacin;
c) Gestin de Activos;
d) Seguridad de Recursos Humanos;
e) Seguridad Fsica y Ambiental;
f) Gestin de Comunicaciones y Operaciones;
g) Control de Acceso;
h) Adquisicin, Desarrollo y Mantenimiento de Sistemas de Informacin;
i) Gestin de Incidentes de Seguridad de la Informacin;
j) Gestin de la Continuidad Comercial;
k) Conformidad.
Las evaluaciones del riesgo debieran identificar, cuantificar y priorizar los riesgos en comparacin con el
criterio para la aceptacin del riesgo y los objetivos relevantes para la organizacin. Los resultados deberan
X
guiar y determinar la accin de gestin apropiada y las prioridades para manejar los riesgos de la seguridad
de la informacin y para implementar los controles seleccionados para protegerse contra estos riesgos. Es
posible que el proceso de evaluacin de riesgos y la seleccin de controles se deba realizar un nmero de
veces para abarcar las diferentes partes de la organizacin o sistemas de informacin individuales.
La evaluacin del riesgo debiera incluir el enfoque sistemtico de calcular la magnitud de los riesgos (anlisis
del riesgo) y el proceso de comparar los riesgos estimados con un criterio de riesgo para determinar la
importancia de los riesgos (evaluacin del riesgo).
Las evaluaciones del riesgo tambin se debieran realizar peridicamente para tratar los cambios en sus
requerimientos de seguridad y en la situacin del riesgo; por ejemplo, en los activos, amenazas,
vulnerabilidades, impactos, evaluacin del riesgo, y cuando ocurren cambios significativos. Estas
evaluaciones del riesgo se debieran realizar de una manera metdica capaz de producir resultados
comparables y reproducibles.
La evaluacin del riesgo de seguridad de la informacin debiera tener un alcance claramente definido para
ser efectiva y debiera incluir las relaciones con las evaluaciones del riesgo en otras reas, si fuese apropiado.
Los propietarios debieran identificar todos los activos y se debiera asignar la responsabilidad por el
mantenimiento de los controles apropiados. La implementacin de controles especficos puede ser delegada
por el propietario conforme sea apropiado, pero el propietario sigue siendo responsable por la proteccin
apropiada de los activos.
Esta clausula establece que se debe asegurar que los empleados, contratistas y terceros entiendan sus
responsabilidades, y sean idneos para los roles para los cuales son considerados; y reducir el riesgo de
robo, fraude y mal uso de los medios.
Los empleados, contratistas y terceros usuarios de los medios de procesamiento de la informacin debieran
firmar un acuerdo sobre sus roles y responsabilidades con relacin a la seguridad.
X
Roles y responsabilidades
Control
Se debieran definir y documentar los roles y responsabilidades de la seguridad de los empleados,
contratistas y terceros en concordancia con la poltica de seguridad de la informacin de la organizacin.
Lineamiento de implementacin
Los roles y responsabilidades debieran incluir requerimientos para:
a) implementar y actuar en concordancia con las polticas de seguridad de la informacin de la organizacin
(ver 5.1);
b) proteger los activos contra el acceso, divulgacin, modificacin, destruccin o interferencia no autorizada;
c) ejecutar procesos o actividades de seguridad particulares;
d) asegurar que se asigne a la persona la responsabilidad por las acciones tomadas;
e) reportar eventos de seguridad o eventos potenciales u otros riesgos de seguridad para la organizacin.
Responsabilidades de la gerencia
Control
La gerencia debiera requerir a los usuarios empleados, contratistas y terceras personas que apliquen la
seguridad en concordancia con polticas y procedimientos bien establecidos por la organizacin.
Conocimiento, educacin y capacitacin en seguridad de la informacin
Control
Todos los empleados de la organizacin y, cuando sea relevante, los contratistas y terceras personas
debieran recibir una adecuada capacitacin en seguridad y actualizaciones regulares sobre las polticas y
procedimientos organizacionales conforme sea relevante para su funcin laboral.
Lineamiento de implementacin
La capacitacin y el conocimiento debieran comenzar con un proceso de induccin formal diseado para
introducir las polticas y expectativas de seguridad de la organizacin antes de otorgar acceso a la
informacin o servicios.
La capacitacin constante debiera incluir los requerimientos de seguridad, responsabilidades legales y
controles comerciales, as como la capacitacin en el uso correcto de los medios de procesamiento de
informacin; por ejemplo, procedimiento de registro, uso de paquetes de software e informacin sobre los
procesos disciplinarios.
Control
Las reas seguras debieran protegerse mediante controles de ingreso apropiados para asegurar que slo se
le permita el acceso al personal autorizado.
Lineamiento de implementacin
Se debieran considerar los siguientes lineamientos:
a) se debiera registrar la fecha y la hora de entrada y salida de los visitantes, y todos los visitantes debieran
ser supervisados a no ser que su acceso haya sido previamente aprobado; slo se les debiera permitir
acceso por propsitos especficos y autorizados y se debieran emitir las instrucciones sobre los
requerimientos de seguridad del rea y sobre los procedimientos de emergencia;
b) el acceso a reas donde se procesa o almacena informacin sensible se debiera controlar y restringir slo
a personas autorizadas; se debieran utilizar controles de autenticacin; por ejemplo, tarjeta de control de
acceso ms PIN; para autorizar y validar todo los accesos; se debiera mantener un rastro de auditora de
todos los accesos;
c) se debiera requerir que todos los usuarios empleados, contratistas y terceras personas y todos los
visitantes usen alguna forma de identificacin visible y se debiera notificar inmediatamente al personal de
seguridad si se encuentra a un visitante no acompaado y cualquiera que no use una identificacin visible;
d) al personal de servicio de apoyo de terceros se le debiera otorgar acceso restringido a las reas seguras o
los medios de procesamiento de informacin confidencial, solo cuando sea necesario; este acceso debiera
ser autorizado y monitoreado;
e) los derechos de acceso a reas seguras debieran ser revisados y actualizados regularmente, y revocados
cuando sea necesario.
C-11 Cumplimiento
Cumplimiento de los requerimientos legales
Objetivo: Evitar las violaciones a cualquier ley; regulacin estatutaria, reguladora o contractual; y cualquier
requerimiento de seguridad.
El diseo, operacin, uso y gestin de los sistemas de informacin pueden estar sujetos a requerimientos de
seguridad estatutarios, reguladores y contractuales.
Se debiera buscar la asesora sobre los requerimientos legales especficos de los asesores legales de la
organizacin o profesionales legales calificados adecuados. Los requerimientos legislativos varan de un pas
a otro y pueden variar para la informacin creada en un pas que es transmitida a otro pas (es decir, flujo de
data inter-fronteras).
Identificacin de la legislacin aplicable
Control
Se debiera definir explcitamente, documentar y actualizar todos los requerimientos estatutarios, reguladores
y contractuales relevantes, y el enfoque de la organizacin para satisfacer esos requerimientos, para cada
sistema de informacin y la organizacin.
Lineamiento de implementacin
Similarmente, se debieran definir y documentar los controles y responsabilidades individuales especficos
para satisfacer estos requerimientos.
MARCO ANALITICO
ISO 27001 Un enfoque de procesos para la gestin de la seguridad de la informacin presentado en este
Estndar Internacional facilita a los administradores tener una visin y control sobre:
entender los requerimientos de seguridad de la informacin de una organizacin y
la necesidad de establecer una poltica y objetivos para la seguridad de la informacin.
implementar y operar controles para manejar los riesgos de la seguridad de la
informacin.
monitorear y revisar el desempeo y la efectividad del SGSI; y
mejoramiento contino en base a la medicin del objetivo.
Entre otros beneficios de la ISO 27001 tenemos:
La ISO 27001 es importante por que abarca a todos los tipos de organizaciones
(comerciales, gubernamentales, organizaciones sin fines de lucro, etc.). X
Este estndar internacional adopta el modelo del proceso Planear-Hacer-
Chequear-Actuar (PDCA), el cual se puede aplicar a todos los proceso SGSI.
Nos da lineamientos acerca la importancia del mejoramiento del SGSI atreves de
el mejoramiento continuo, Accin correctiva, Accin Preventiva.
tambin proporciona una gua importante de los objetivos de control y controles,
enfocados a poltica de seguridad de informacin, organizacin interna, entidades
externas, gestin de activos entre otras; as tambin nos dan los fundamentos en los
cuales tiene como base este estndar los cuales se encuentran en los principios y como
estos debern ser de interpretados.
ISO 27002
Esta norma permite disear controles y evaluaciones de los riesgos a los que las entidades estn expuestas
desde diferentes puntos de vista como:
Entre las principales utilidades de esta norma tenemos:
Legislativo.
a) proteccin de data y privacidad de la informacin personal
b) proteccin de los registros organizacionales
c) derechos de propiedad intelectual
Los controles considerados prctica comn para la seguridad de la informacin incluyen:
a) documento de la poltica de seguridad de la informacin
b) asignacin de responsabilidades de la seguridad de la informacin
c) conocimiento, educacin y capacitacin en seguridad de la informacin
d) procesamiento correcto en las aplicaciones
e) gestin de la vulnerabilidad tcnica
f) gestin de la continuidad comercial
g) gestin de los incidentes y mejoras de la seguridad de la informacin
3. IDENTIFICACIN DE RIESGOS
Dentro del marco de trabajo del SGSI, peridicamente (Cada seis meses, por ejemplo) se debern
identificar los riesgos que puedan afectar la seguridad del sistema, dentro de los que se incluyen:
identificar amenazas, aspectos de vulnerabilidad, impacto de los riesgos.
4. ENFOQUE DE EVALUACIN DE RIESGOS
Para efectos de darle cumplimiento al SGSI, los riesgos se valorarn en relacin a la probabilidad de
ocurrencia y el impacto que puedan causar a la empresa.
5. IDENTIFICACIN Y EVALUACIN DE OPCIONES PARA EL TRATAMIENTO DE
RIESGOS
El SGSI de esta empresa establece que la administracin deber buscar alternativas para el tratamiento
X
de riesgos, las cuales pueden ser:
Aplicacin de controles adecuados
Aceptar los riesgos
Evitar los riesgos
Transferir los riesgos
II. IMPLEMENTAR Y OPERAR EL SGSI
La empresa procede a la implementacin del SGSI, no sin antes capacitar a todo el personal involucrado en
la aplicacin de dicho sistema, tras la aplicacin del SGSI se identifican una serie de riesgos:
Captura de PC desde el exterior
Violacin de e-mails
Robo de informacin
Violacin de contraseas
Destruccin de equipamiento
Virus
Programas bomba
Interrupcin de los servicios
Acceso clandestino a redes
Acceso indebido a documentos impresos
Intercepcin de comunicaciones
Falsificacin de informacin para terceros
X
Dadas las circunstancias la administracin decide Aplicar una serie de controles que minimicen los riesgos
identificados, y en el caso especial de aquellos riesgos que se relacionan con el dao de equipos, decide
transferir el riesgo, por lo que contrata una pliza de seguros.
GUIA DE EVALUACION
4. Qu es seguridad de la informacin?