Professional Documents
Culture Documents
Gestión de la seguridad:
ISO/IEC 27001
Índice
2
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Gestión de la seguridad: ISO/IEC 27001
ISO/IEC 27001:2005
“Especificaciones para los Sistemas de Gestión de la Seguridad de la Información” . Es una lista completa de los controles a
aplicar. Se certifica en esta ISO. Emula la BS 7799 parte 2, pero con 2 nuevos conceptos:
a) Indicadores: Es una medida que provee una estimación o evaluación de un “atributo” (que es a su vez una
propiedad o característica de un objeto, tangible o intangible) especificado, con respecto a las necesidades de
información definidas.
Ej: No tener más de 10 infecciones por virus sobre el total de PC’s
BSi: Historia
PLAN Planificación
Documentar /
Actuar ACT DO Hacer
Comprobar /
CHECK
Analizar
ISO: Organización
Servicios:
Seguridad de la Información
Declaración de principios:
SEGURIDAD DE LA INFORMACIÓN
Dos partes:
ISO/IEC 27001
Es certificable
ISO/IEC 27002
No es certificable
ISO/IEC 27002:2005
PLANIFICAR
Ciclo de HACER
resolución
Ciclo de
Incidentes
mejora
ACTUAR VERIFICAR
Ciclo de
Todo mantenimiento
correcto
ACTUAR
Ideas/
mejoras
ACTUAR
3. Dominios de la norma
ISO/IEC 27002:2005
2.- Política
10.- Incidentes
ESTRUCTURAL
Análisis de Riesgos Tipos de dominios
Política de
Seguridad Aspecto organizativo
Aspecto técnico
Resultado de Estructura
Auditoria en Organizativa de Aspecto físico
EMPRESA X la Seguridad
Cumplimento Bajo
Clasificación y
Control de Acceso
Cumplimiento Medio Control de Activos
Cumplimiento Alto
Conformidad
Política de Seguridad
Aspectos destacados:
Organización de la seguridad
Aspectos destacados:
Gestión de activos
Aspectos destacados:
Inventario de activos
Propietario de los activos
Clasificación de los activos
Manejo de los activos
Aspectos destacados:
Seguridad física
Aspectos destacados:
Comunicaciones y operaciones
Aspectos destacados:
Procedimientos operacionales
Segregación de entornos
Cambios en los sistemas (planificación de capacidades)
Protección contra software malicioso
Copias de seguridad
Gestión de la red
Dispositivos móviles
Intercambio de información (correo electrónico, comercio electrónico, correo
ordinario, etc.)
Monitorización (gestión de logs)
Control de acceso
Aspectos destacados:
Aspectos destacados:
Gestión de incidentes
Aspectos destacados:
Comunicación de incidentes
Resolución de incidentes
Aprender de los incidentes
Recogida de evidencias
Mejoras
Aspectos destacados:
Cumplimiento legal
Aspectos destacados:
Propiedad intelectual
Protección de evidencias
Protección de datos
Auditorias de sistema
Auditorias del sistema de gestión de la seguridad de la información
• Reporte de incidentes.
• Planes de contingencia
Factores de éxito
Implementar un SGSI
Etapas a seguir
Situación
1.- Análisis
Actual Evaluaciones
Diferencial
2.- Definir
SGSI
Auditar
4.- Revisiones 3.-Implementar
Plan Do Check
SGSI
Auditar
Certificación SGSI
Etapas a seguir
Aplicabilidad Declaración
Política de seguridad
Es un documento
Aprobado por la dirección, publicado y comunicado
Revisado periódicamente
Como mínimo:
Definición de la seguridad de la información
Declaración del soporte de la dirección
Explicaciones breves sobre políticas, principios, prácticas y cumplimiento de
seguridad
Definición de responsabilidades
Referencias a otros documentos
Riesgo de seguridad
Selección de controles
Declaración de aplicabilidad
Debe incluir:
Referencias:
ISO/IEC 27001:2013.
• La ISO/IEC 27001:2013 tendrá 114 controles en 14 dominios (la versión actual posee 133 controles en 11
dominios).
• 11 nuevos controles:
• A.6.1.5 Information security in project management
• A.12.6.2 Restrictions on software installation
• A.14.2.1 Secure development policy
• A.14.2.5 Secure system engineering principles
• A.14.2.6 Secure development environment
• A.14.2.8 System security testing
• A.15.1.1 Information security policy for supplier relationships
• A.15.1.3 Information and communication technology supply chain
• A.16.1.4 Assessment of and decision on information security events
• A.16.1.5 Response to information security incidents
• A.17.2.1 Availability of information processing facilities
Referencias
BSI:
1. Web oficial de la BSI Group: http://www.bsigroup.com/
ISO:
1. Web oficial de la ISO: http://www.iso.org/
2. ISO/IEC 27001:2005: http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=42103
3. ISO/IEC 27002:2005: http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=50297
4. Wikipedia (Español) (ISO/IEC 27001:2005): http://es.wikipedia.org/wiki/ISO/IEC_27001
5. Wikipedia (Inglés) (ISO/IEC 27001:2005): http://en.wikipedia.org/wiki/ISO/IEC_27001:2005
¿Dudas? ¿preguntas?
¡¡ Muchas gracias !!