Presentacion Basica Iso

Gestión de la seguridad: ISO/IEC 27001
Gestión de la seguridad:
ISO/IEC 27001
Ramiro Cid | @ramirocid
ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Índice
1. Historia de la norma y antecedentes Pág. 3

2. Marco de referencia y bases de la norma Pág. 9
3. Dominios de la norma Pág. 18
4. Criterios para el éxito Pág. 32
5. Novedades de la ISO/IEC 27001:2013 Pág. 46
2
1. Historia de la norma y antecedentes

Breves Referencias sobre las normativas ISO/IEC 27001 e ISO/IEC 27002
British Standard BS 7799-2 (origen de las ISO actuales)

Publicada por primera vez en 1998
Normativa británica
Se divide en 1: Buenas prácticas y 2: Especificaciones
Casi no se utiliza, ha sido reemplazada por la ISO/IEC 27001 y 27002
ISO/IEC 27001:2005
“Especificaciones para los Sistemas de Gestión de la Seguridad de la Información” . Es una lista completa de los controles a
aplicar. Se certifica en esta ISO. Emula la BS 7799 parte 2, pero con 2 nuevos conceptos:
a) Indicadores: Es una medida que provee una estimación o evaluación de un “atributo” (que es a su vez una
propiedad o característica de un objeto, tangible o intangible) especificado, con respecto a las necesidades de
información definidas.
Ej: No tener más de 10 infecciones por virus sobre el total de PC’s
b) Métricas: En la ISO/IEC 27001 en el apartado 4.2.2 d) se comenta la necesidad de disponer de métricas de la

efectividad, pero no especifica cuales utilizar => En el borrador de la ISO/IEC 27004 se encuentran más pautas.
Ej: Se ha tenido en un año 11 infecciones por virus sobre el total de PC’s.
ISO/IEC 27002 (actualización año 2007 de la 17799:2005)

“Código o guía de buenas prácticas para la gestión de la seguridad de la información” . No se certifica en esta ISO

BSi: Historia
1901-. Nacimiento del BSi.

1910-. Creación del primer estándar.
1926-. Inicio del proceso de certificación de productos.
1946.- Creación de la ISO por parte de miembros del Bsi
1979-. Primer estándar para sistemas de gerencia (BS 5750)
1992-. Primer estándar sobre el medio ambiente.
1999-. Elaboración del estándar sobre seguridad de la información

(BS 7799).

BSi: Historia (II)
Desarrollo del Estándar BS 7799:

1993
Reuniones de un grupo multi-sectorial.
Primer borrador de “Código de Prácticas”.
1995
Publicación Oficial BS 7799:1 Código de buenas prácticas.
1998
Publicación Oficial BS 7799:2 Especificaciones SGSI.
1999
Publicación Oficial BS 7799:1999 Parte 1 y 2
2002
Publicación de nueva versión BS 7799:2

ISO/IEC 27002: Historia
Desarrollo del Estándar ISO/IEC 27002:

2000
ISO/IEC 17799:2000 Código de buenas prácticas
2002
UNE ISO/IEC 17799 Código de buenas prácticas
2004
UNE 71502 Especificaciones SGSI
2005
ISO 17799: 2005. Código de buenas prácticas
2005
ISO/IEC 27001 Especificaciones SGSI
2007
ISO/IEC 17799 ISO/IEC 27002
2013
ISO/IEC 27001:2013. Borrador final en 07/2013. Norma a fines de 2013. Esta
versión tendrá 114 controles en 14 dominios (en Ia actual versión son 133
controles en 11 dominios).

Gráfico de la historia de las normas ISO

2. Marco de referencia y bases de la norma

ISO – Marco de Referencia
SGSI (Sistema de Gestión de la Seguridad de la Información)
Incorporación de la sistemática PLAN-DO-CHECK-ACT (PDCA o “Círculo de Deming”) a la seguridad de la

información.
PLAN Planificación
Documentar /
Actuar ACT DO Hacer
Comprobar /
CHECK
Analizar

ISO: Organización
Servicios:
Desarrollo e implementación de estándares.

Sistema de asesoramiento a empresas.
Pruebas de productos.
Certificación de productos.
Inspección de productos y materiales.
Formación a través de cursos y seminarios.

Seguridad de la Información
Declaración de principios:
“La información es un activo, y como cualquier otro activo importante

de un negocio, tiene un valor para una empresa, y por consiguiente
debe ser adecuadamente protegido” (Introducción ISO/IEC 27002)
SEGURIDAD DE LA INFORMACIÓN
ISO/IEC 27002:2005 = Código de Buenas

Prácticas

ISO/IEC 27001:2005 & ISO/IEC 27002:2005
Dos partes:
ISO/IEC 27002.- Code of practice for information
ISO/IEC 27001.- Specification for information security management

systems

ISO/IEC 27001
Basada en la parte 2 del estándar BS 7799
Especifica los requerimientos para establecer, implementar y documentar

los sistemas de gestión de la seguridad de la información
Indica los controles de seguridad a implementar por las organizaciones

dependiendo de sus necesidades
Es certificable

ISO/IEC 27002
Basada en la parte 1 del estándar BS 7799
Intenta ser un documento de referencia
Conjunto de controles sobre las mejores prácticas para la seguridad de la

información
No es certificable

ISO/IEC 27002:2005 - SGSI
Como resultado de la implantación de esta normativa se obtiene un Sistema de

Gestión de la Seguridad de la Información (SGSI):
Una estructura organizativa donde las funciones, responsabilidades, autoridad,
etc. de las personas están definidas
Procesos y recursos necesarios para lograr los objetivos
Metodología de medida y de evaluación para valorar los resultados frente a los

objetivos, incluyendo la realimentación de resultados para planificar las mejoras
del sistema
Un proceso de revisión para asegurar que los problemas se detectan y se

corrigen, y las oportunidades de mejora se implementan cuando están
justificadas

ISO/IEC 27002:2005
Modelo PDCA (Plan, Do, Check, Act)
PLANIFICAR
Ciclo de HACER
resolución
Ciclo de
Incidentes
mejora
ACTUAR VERIFICAR
Ciclo de
Todo mantenimiento
correcto
ACTUAR
Ideas/
mejoras
ACTUAR

3. Dominios de la norma

ISO/IEC 27002:2005
1.- Análisis de Riesgos
2.- Política
3.- Organización 4.- Activos 5.- RR.HH.
6.- Seguridad 7.- Comunicaciones

física y operaciones
8.- Control de acceso 9.- Desarrollo y
mantenimiento
10.- Incidentes
11.- Continuidad 12.- Conformidad

Visión Global de una Auditoría
ESTRUCTURAL
Análisis de Riesgos Tipos de dominios
Política de
Seguridad Aspecto organizativo
Aspecto técnico
Resultado de Estructura
Auditoria en Organizativa de Aspecto físico
EMPRESA X la Seguridad
Cumplimento Bajo
Clasificación y
Control de Acceso
Cumplimiento Medio Control de Activos
Cumplimiento Alto
Conformidad
11 dominios + Seguridad ligada Seguridad Física y

Análisis de Riesgos al Personal medioambiental
Desarrollo y Gestión de Gestión de la

Mantenimiento de Comunicaciones y Continuidad del
los Sistemas operaciones Negocio
Gestión de Incidentes de Seguridad

OPERACIONAL

Política de Seguridad
Objetivo: Aportar las directrices y el soporte para la seguridad de la

información de acuerdo con los requerimientos de la organización,
y con la legislación vigente
Aspectos destacados:
Personalizada para cada organización

Capaz de soportar pequeños cambios en la organización
Apoyo explícito de la dirección
Distribuida
Actualizada

Organización de la seguridad
Objetivo: Definir la estructura de la seguridad de la información dentro de la

organización, así como asegurar el nivel de seguridad de la información para
las situaciones en las que terceras organizaciones accedan a la información
Estructura referente a la seguridad

(comités de seguridad)
Seguridad con terceras organizaciones

Gestión de activos
Objetivo: Mantener el nivel apropiado de seguridad en los activos de la

organización
Inventario de activos
Propietario de los activos
Clasificación de los activos
Manejo de los activos

Seguridad del personal
Objetivo: Tratar de asegurar que durante todo el ciclo de vida de los

trabajadores de la organización, se trata de minimizar los riesgos que puedan
provocar éstos
Antes de entrar a trabajar (términos de empleo)

Durante la realización del trabajo (formación, proceso disciplinario)
Finalización de la actividad laboral (retorno de los activos, derechos de
acceso)

Seguridad física
Objetivo: Prevenir accesos no autorizados, daños o interferencias en la

organización o en los servicios de la misma
Áreas seguras (controles de entrada)

Protección contra incidentes ambientales
Protección de los equipos
Seguridad del cableado
Eliminación de equipos

Comunicaciones y operaciones
Objetivo: Asegurar la correcta realización de las operaciones de la

organización así como las comunicaciones que se realicen
Procedimientos operacionales
Segregación de entornos
Cambios en los sistemas (planificación de capacidades)
Protección contra software malicioso
Copias de seguridad
Gestión de la red
Dispositivos móviles
Intercambio de información (correo electrónico, comercio electrónico, correo
ordinario, etc.)
Monitorización (gestión de logs)

Control de acceso
Objetivo: Controla el acceso a la información de la organización así como los

permisos de los usuarios
Política de control de acceso

Gestión de usuarios (identificadores, privilegios, gestión de contraseñas)
Control de acceso a los servicios de red (enrutado, protección de puertos,
segregación de redes, etc.)
Controles de acceso a diferentes niveles (sistema operativo, aplicación,
información)
Teletrabajo

Adquisición, desarrollo y mantenimiento
Objetivo: asegurar la seguridad de las aplicaciones, prevenir errores,

pérdidas, modificaciones de las mismas así como de las informaciones que
contienen
Análisis de requerimientos de seguridad

Control del procesado de la información
Controles criptográficos
Control en el cambio de aplicaciones
Análisis de vulnerabilidades

Gestión de incidentes
Objetivo: Tratar de asegurar la seguridad y tratar de minimizar el tiempo de

respuesta ante los incidentes de seguridad.
Comunicación de incidentes
Resolución de incidentes
Aprender de los incidentes
Recogida de evidencias
Mejoras

Gestión de continuidad de negocio
Objetivos: Tratar de evitar interrupciones en los servicios de la organización

o minimizar el tiempo de recuperación

Cumplimiento legal
Objetivo: Evitar incumplimientos legales, contractuales y con las normativas
Propiedad intelectual
Protección de evidencias
Protección de datos
Auditorias de sistema
Auditorias del sistema de gestión de la seguridad de la información

4. Criterios para el éxito

¿Por dónde empezar?
Implementar controles básicos

• Legales • Comunes
• LOPD • Política de seguridad.
• Propiedad intelectual • Responsabilidades de

seguridad de la información.
• Proteger la información
empresarial exigible y crítica • Comunicación y formación.
• Reporte de incidentes.
• Planes de contingencia

Factores de éxito
Una “seguridad” (política, objetivos, actividades) orientada al negocio.
Implementar la seguridad en consonancia con la cultura de la empresa.
Soporte visible y compromiso de la dirección.
Buen entendimiento de los requerimientos y buena gestión

de los riesgos.
Comunicación eficaz a todos los niveles de la organización.
Proveer educación y formación
Tener un sistema de medición para evaluar el rendimiento de

la gestión de la seguridad, así como obtener sugerencias de mejora

Enfoque para una seguridad Pro-Activa
Implementar un SGSI
Especificaciones del ISO/IEC 27001

12 dominios, 39 objetivos, 133 controles
Razones para un SGSI:

Externas:
Mejorar la confianza con Clientes, Proveedores y Partners (imagen
corporativa)
Asegurar la conformidad con la legislación y contratos
Internas:
Reducir impacto de los incidentes
Facilitar la mejora continua
Consistencia

Etapas a seguir
Situación
1.- Análisis
Actual Evaluaciones
Diferencial
2.- Definir
SGSI
Auditar
4.- Revisiones 3.-Implementar
Plan Do Check
SGSI
Auditar
Certificación SGSI

Etapas a seguir
Definir Política Política
Activos Alcance ISMS Inventario
Amenazas Análisis Riesgo

Evaluación
2.- Definir Vulnerabilidades
SGSI Manejo Riesgo
Opciones
Impactos
Selección controles
Controles ISO/IEC 27001 Controles
Aplicabilidad Declaración

4. Conceptos y componentes relacionados

Política de seguridad
Es un documento
Aprobado por la dirección, publicado y comunicado
Revisado periódicamente
Como mínimo:
Definición de la seguridad de la información
Declaración del soporte de la dirección
Explicaciones breves sobre políticas, principios, prácticas y cumplimiento de
seguridad
Definición de responsabilidades
Referencias a otros documentos

Alcance del SGSI
Identificar los activos de Información del SGSI

Organización, localización, activos y tecnología
Categorización, descripción, localización y responsable de los activos
Categoría de Activos de Información:

Información:
BD, ficheros, documentación, manuales, contratos, etc...
Tipo soporte: papel, electrónica
SW:
Aplicaciones, S.O., herramientas de desarrollo, utilidades,...
Físicos:
Ordenadores, Equipos de comunicación (routers, hubs, ...),
Soportes
Servicios:
Tratamientos externos, energía, telefonía,...
Personas:
Conocimientos, experiencia
Intangibles

Análisis del riesgo
Identificar los riesgos de los Activos de Información
las amenazas a los activos

sus vulnerabilidades
el impacto en la organización
su probabilidad
el nivel de riesgo
Riesgo de seguridad
Un riesgo de seguridad es la posibilidad que una amenaza dada aproveche

una vulnerabilidad para dañar uno o un grupo de activo de información,
pudiendo extenderse a toda la organización

Plan Director de Seguridad
Análisis de Riesgo (Problemas encontrados) [A.R.]
Gestión de Riesgos (Propongo soluciones) [G.R.]
[A.R.] + [G.R.] = Plan Director de Seguridad [P.D.S.]

Administración del riesgo
Gestionar los riesgos identificados:

Decidir sobre la forma de manejar el riesgo
Identificar y aceptar el riesgo “residual”
Forma de gestionar el riesgo:
Evitar:
Suprimir las causas del riesgo: Activo, Amenaza, Vulnerabilidad
Transferir:
Cambiar un riesgo por otro: Outsourcing, seguros.
Reducir:
Reducir la amenaza, vulnerabilidad, impacto
Asumir: (statu quo)
Detectar y recuperarse

Selección de controles
Asegurar que la aplicación de los controles cumplen:
Haber identificado los requerimientos de Seguridad

Seleccionar los objetivos y los controles
Asegurar el cumplimiento de los requerimientos
Factores y restricciones de aplicabilidad:
Coste del control versus coste del impacto

Disponibilidad del control (tecnología existente y probada)
Implementación y mantenimiento
Controles existentes y planificación

Declaración de aplicabilidad
Declarar sobre la aplicabilidad de los controles de seguridad:

Documentar los resultados finales del marco del SGSI
Aplica a la Normativa ISO/IEC 27001 con:
12 dominios, 39 objetivos, 133 controles
Incluir otros controles propios o especificaciones
Debe incluir:
Para los controles seleccionados:

Los objetivos de los controles (requerimientos)
La descripción de los controles (y las medidas)
Para los controles NO seleccionados
La razón de su exclusión

5. Novedades de la ISO/IEC 27001:2013

Novedades de la ISO/IEC 27001:2013
Referencias:
ISO/IEC 27001:2013.
Borrador final: Publicado en 07/2013.
Norma definitiva: Se espera la publicación a final de 2013.

Principales cambios respecto a la norma anterior:
• La ISO/IEC 27001:2013 tendrá 114 controles en 14 dominios (la versión actual posee 133 controles en 11
dominios).
• 11 nuevos controles:
• A.6.1.5 Information security in project management
• A.12.6.2 Restrictions on software installation
• A.14.2.1 Secure development policy
• A.14.2.5 Secure system engineering principles
• A.14.2.6 Secure development environment
• A.14.2.8 System security testing
• A.15.1.1 Information security policy for supplier relationships
• A.15.1.3 Information and communication technology supply chain
• A.16.1.4 Assessment of and decision on information security events
• A.16.1.5 Response to information security incidents
• A.17.2.1 Availability of information processing facilities

Principales cambios respecto a la norma anterior:

• 14 dominios en vez de 11. Los nuevos 14 dominios de control serán:
• A.5: Information security policies

• A.6: How information security is organised
• A.7: Human resources security - controls that are applied before, during, or after employment.
• A.8: Asset management
• A.9: Access controls and managing user access
• A.10: Cryptographic technology
• A.11: Physical security of the organisation's sites and equipment
• A.12: Operational security
• A.13: Secure communications and data transfer
• A.14: Secure acquisition, development, and support of information systems
• A.15: Security for suppliers and third parties
• A.16: Incident management
• A.17: Business continuity/disaster recovery (to the extent that it affects information security)
• A.18: Compliance - with internal requirements, such as policies, and with external requirements, such as laws

Tabla comparativa de dominios entre las 2 versiones:
ISO/IEC 27001:2005 ISO/IEC 27001:2013

A.5 - Security policy A.5: Information security policies
A.6 - Organization of information security A.6: How information security is organised
A.8 - Human resources security A.7: Human resources security - controls that are applied before, during, or after employment.
A.7 - Asset management A.8: Asset management
A.11 - Access control A.9: Access controls and managing user access
A.10: Cryptographic technology
A.9 - Physical and environmental security A.11: Physical security of the organisation's sites and equipment
A.12: Operational security
A.10 - Communications and operations management A.13: Secure communications and data transfer
A.12 - Information systems acquisition, development and maintenance A.14: Secure acquisition, development, and support of information systems
A.15: Security for suppliers and third parties
A.13 - Information security incident management A.16: Incident management
A.14 - Business continuity management A.17: Business continuity/disaster recovery (to the extent that it affects information security)
A.15 - Compliance A.18: Compliance - with internal requirements, such as policies, and with external requirements, such as laws

Referencias
Documentación para ampliar conocimientos:
BSI:
1. Web oficial de la BSI Group: http://www.bsigroup.com/
ISO:
1. Web oficial de la ISO: http://www.iso.org/
2. ISO/IEC 27001:2005: http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=42103
3. ISO/IEC 27002:2005: http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=50297
4. Wikipedia (Español) (ISO/IEC 27001:2005): http://es.wikipedia.org/wiki/ISO/IEC_27001
5. Wikipedia (Inglés) (ISO/IEC 27001:2005): http://en.wikipedia.org/wiki/ISO/IEC_27001:2005

¿Dudas? ¿preguntas?
¡¡ Muchas gracias !!

Presentacion Basica Iso

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Presentacion Basica Iso

Uploaded by

Copyright:

Available Formats

Gestión de la seguridad: ISO/IEC 27001

Ramiro Cid | @ramirocid

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

1. Historia de la norma y antecedentes Pág. 3

1. Historia de la norma y antecedentes

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Breves Referencias sobre las normativas ISO/IEC 27001 e ISO/IEC 27002

British Standard BS 7799-2 (origen de las ISO actuales)

b) Métricas: En la ISO/IEC 27001 en el apartado 4.2.2 d) se comenta la necesidad de disponer de métricas de la

ISO/IEC 27002 (actualización año 2007 de la 17799:2005)

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

1901-. Nacimiento del BSi.

1979-. Primer estándar para sistemas de gerencia (BS 5750)

1992-. Primer estándar sobre el medio ambiente.

1999-. Elaboración del estándar sobre seguridad de la información

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

BSi: Historia (II)

Desarrollo del Estándar BS 7799:

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

ISO/IEC 27002: Historia

Desarrollo del Estándar ISO/IEC 27002:

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Gráfico de la historia de las normas ISO

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

2. Marco de referencia y bases de la norma

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

ISO – Marco de Referencia

SGSI (Sistema de Gestión de la Seguridad de la Información)

Incorporación de la sistemática PLAN-DO-CHECK-ACT (PDCA o “Círculo de Deming”) a la seguridad de la

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Desarrollo e implementación de estándares.

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

“La información es un activo, y como cualquier otro activo importante

ISO/IEC 27002:2005 = Código de Buenas

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

ISO/IEC 27001:2005 & ISO/IEC 27002:2005

ISO/IEC 27002.- Code of practice for information

ISO/IEC 27001.- Specification for information security management

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Basada en la parte 2 del estándar BS 7799

Especifica los requerimientos para establecer, implementar y documentar

Indica los controles de seguridad a implementar por las organizaciones

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Basada en la parte 1 del estándar BS 7799

Intenta ser un documento de referencia

Conjunto de controles sobre las mejores prácticas para la seguridad de la

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

ISO/IEC 27002:2005 - SGSI

Como resultado de la implantación de esta normativa se obtiene un Sistema de

Procesos y recursos necesarios para lograr los objetivos

Metodología de medida y de evaluación para valorar los resultados frente a los

Un proceso de revisión para asegurar que los problemas se detectan y se

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Modelo PDCA (Plan, Do, Check, Act)

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

1.- Análisis de Riesgos

3.- Organización 4.- Activos 5.- RR.HH.

6.- Seguridad 7.- Comunicaciones

11.- Continuidad 12.- Conformidad

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid

Visión Global de una Auditoría

11 dominios + Seguridad ligada Seguridad Física y

Desarrollo y Gestión de Gestión de la