View
40
Download
1
Category
Preview:
DESCRIPTION
Iso 03
Citation preview
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Fundamentos de la Norma ISO
27001 para la Gestión de la
Seguridad de la Información
Módulo 3 – Visión General del SGSI y la
Norma ISO 27001
Expositor: Víctor Reyna Vargas
Ingeniero de Sistemas
vreynav@gmail.com
1
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Agenda
Introducción de Mike al SGSI e ISO 27001.
El SGSI y la ISO 27001.
Estructura de la ISO 27001.
Visión general de una implementación ISO 27001.
2
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Mike y los primeros pasos…(1)
3
Bueno, empezaré a
trabajar en la hoja de
ruta.
Desearía hablar con
alguien que haya
hecho esto antes.
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Mike y los primeros pasos…(2)
4
Hola Mike. Oh, oh!!!
Hay alguna fiesta de
disfraces hoy en la
oficina?
Ocupado con el
problema de
seguridad de la
información?
Como lo sabes…y
quién eres? Soy SECUREMAN y
ayudo a las personas
con la gestión de la
seguridad de la
información. Estás bromeando? Y
que tipo de mal sueño
es este?
Te voy a llevar, paso
por paso, a través de
la implementación
completa de un
SGSI.
Tómalo como quieras
Mike pero sé que
tienes un duro reto
con el despliegue de
la seguridad de la
información…y quiero
ayudarte. Estás listo?
Ok, creo que asumiré
el riesgo…quien sea
que fueres.
Creo que sí.
Definitivamente puedo
utilizar alguna ayuda.
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
SECUREMAN y lo suyo…(1)
5
Mike, la respuesta a
tu problema es la
creación de un SGSI. Por favor, me puedes
explicar qué es un
SGSI?
Claro!!! Escuchar
cuidadosamente.
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
SECUREMAN y lo suyo…(2)
6
Un Sistema de Gestión de la
Seguridad de la Información es un
marco de trabajo para evaluar
continuamente los riesgos de
seguridad de la información y tomar
acciones razonables para protegerla.
Los expertos en Seguridad muchas
veces se refieren a un Sistema de
Gestión de la Seguridad de la
Información como SGSI.
Tal como otros buenos sistemas de
gestión, un SGSI es un proceso
continuo de por eso debe repetirse
regularmente.
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Detallando más…
7
Gracias. Por favor me
podrías decir en qué
consiste un SGSI?
Wow! Suena
exactamente a lo que
necesito.
Buena pregunta. Un SGSI consiste de
una serie de procesos los que te
permiten:
1. Identificar la información a ser
protegida.
2. Determinar el valor de la
información a ser protegida.
3. Identificar los riesgos de seguridad
de la información.
4. Determinar las soluciones para
reducir el riesgo.
5. Priorizar las soluciones a ser
implementadas basándose en
tiempo, dinero y recursos que se
posea.
6. Y lo más importante, poder repetir
este proceso.
Ya pues Mike! Tu sabes muy bien que
todos los días aparecen nuevas
amenazas para la seguridad. Por eso
debes evaluar continuamente los
riesgos de tu información.
Así es. Necesitas un SGSI para
solucionar el problema de la gestión de
la seguridad de tu información.
Cierto. Qué tonto que
soy. Debería saberlo.
Pero por qué dices
que un SGSI es un
proceso continuo?
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Y aún más…
8
Entonces, existe un libro
o documento que pueda
comprar para entender
los diferentes procesos
en un SGSI e
implementarlo?
Bueno…hay algo
mucho mejor Mike.
Existes estándares
internacionalmente
aceptados para un
SGSI.
Como cuáles..? Bueno, el más popular
y ampliamente utilizado
es la norma ISO
270001.
La ISO 27001? Sí. De hecho, te
enseñaré a diseñar e
implementar un SGSI
utilizando la ISO
27001.
Wow. Hay mucha
información acerca de
un SGSI. Así es y ahora
empecemos a
enfocarnos en la ISO
27001.
Pero, para expandir y
ampliar tu
conocimiento, también
puedes ver el ISM3
(Information Security
Management Maturity
Model) o COBIT.
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Agenda
Introducción de Mike al SGSI e ISO 27001.
El SGSI y la ISO 27001.
Estructura de la ISO 27001.
Visión general de una implementación ISO 27001.
9
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Definición de un SGSI
10
Un SGSI es un marco de
trabajo de gestión para
identificar información
importante, evaluar
continuamente los riesgos de
seguridad a dicha información
importante y tomar acciones
razonables para protegerla.
SGSI
P
V
H A
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
El SGSI como un proceso continuo…
…y que permanece durante toda la vida del negocio.
Un buen sistema de gestión siempre se mejora así mismo.
“El espacio más grande en el mundo es el espacio para mejorar”.
La mejora es un proceso sin término.
Un SGSI siempre trata de mejorar mediante la reducción de riesgos
en la información importante del negocio.
11
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Recuerda…no existe la Seguridad al 100%
Es imposible lograr una seguridad de 100%.
Lo que se debe hacer es reducir continuamente la brecha entre el
100% de perfección (o el 100% de seguridad) y el nivel actual de
seguridad proporcionado por el SGSI.
Por ejemplo, supongamos que tu SGSI es 99% perfecto…te
esforzarás por estar a 99.9%...y luego en 99.99%...y luego en
99.999%...y así será hasta que reduzcas la brecha entre la
“perfección absoluta” y el nivel actual en el que estás.
Con el fin de lograr la perfección, se mejorará y repetirá el ciclo del
SGSI.
12
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Pasos de un SGSI…El modelo PHVA
P – Planificar.
Identificar la información a proteger.
Analizar los riesgos de la información.
Definir un plan de tratamiento de riesgos.
H – Hacer.
Implementar el plan de tratamiento de riesgos.
V – Verificar.
Revisar y evaluar el rendimiento del SGSI mediante la revisión de la efectividad
del plan de tratamiento de riesgos.
A – Actuar.
Hacer las correcciones necesarias.
Continuar con el proceso.
13
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Más del modelo PHVA
14
El modelo PHVA es un modelo
internacionalmente aceptado y
utilizado por muchos
estándares y sistemas de
gestión conocidos.
El modelo PHVA también es
llamado el Ciclo de Deming.
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Qué hay de la ISO 27001?
La ISO 27001 es un estándar internacional que proporciona un
modelo para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar un SGSI.
Es decir, utilizarás la ISO 27001 para crear y gestionar tu SGSI.
Es una referencia o una herramienta o una guía para tu SGSI.
El nombre completo del estándar es ISO / IEC 27001 : 2005.
La ISO 27001 se adhiere al modelo PHVA y es probablemente el
estándar más utilizado para la implementación de un SGSI a nivel
mundial.
15
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Por qué es popular la ISO 27001?
Es un estándar certificable.
Una organización puede
implementar un SGSI conforme
con la ISO 27001 y certificarse a
través de un “Cuerpo de
Certificación Acreditado”.
La certificación ISO 27001
mejorar el perfil y la imagen de
una organización.
La certificación ISO 27001
proporciona confianza a los
clientes ya que se protege la
información valiosa del negocio.
16
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Historia y evaluación de la ISO 27001
1992 – El Departamento de Comercio e Industria del Reino Unido
publica el “Código de Práctica para la Gestión de la Seguridad de la
Información”.
1995 – Modificado y re-publicado por el Instituto de Estándares
Británicos como la BS7799.
1999 – 1ra revisión importante de la BS7799.
2000 – La BS7799 se transforma en la ISO 17799, la cual es un código
de práctica.
2002 – Se publica la BS7799-2. Era una “Especificación para el Sistema
de Gestión de Seguridad de la Información” y se podía certificar.
2005 – Se publica una nueva versión de la ISO 17799.
2005 – La BS7799-2 se transforma en la ISO 27001.
17
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
La familia de estándares de la ISO 27000
18
Estándar Descripción
ISO/IEC 27000 Proporciona una visión global e introductoria a los
estándares de la ISO27K.
ISO/IEC 27001:2005
Proporciona los requerimientos (especificación) de
un Sistema de Gestión de Seguridad de la
Información.
ISO/IEC 27002:2005
Proporciona el código de práctica para la Gestión de
la Seguridad de la Información, antes conocida como
ISO 17799.
ISO/IEC 27003 Proporciona una guía para la implementación de la
ISO/IEC 27001.
ISO/IEC 27004 Proporciona un estándar para medir la Gestión de la
Seguridad de la Información.
ISO/IEC 27005:2008 Proporciona un estándar para la Gestión de Riesgos
de Seguridad de la Información.
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
ISO 27001 – SGSI - PHVA
19
El proceso de Implementación
de la ISO 27001 se adhiere a
los pasos para la
implementación de un SGSI tal
como lo discutimos antes.
Existen guías bien definidas
para cada fase PHVA.
SGSI
P
V
H A
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
La fase Planificar – Establecer el SGSI
1. Definir el Alcance del SGSI.
2. Definir la Política del SGSI.
3. Definir el Enfoque de Evaluación de Riesgos de la organización.
4. Identificar los riesgos.
5. Analizar las opciones para tratar los riesgos.
6. Seleccionar los controles y los objetivos de control para el
tratamiento de los riesgos.
7. Obtener de la Alta Gerencia la aprobación y la autorización para el
tratamiento de riesgos y riesgos residuales.
8. Preparar la “Declaración de Aplicabilidad”.
20
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
La fase Hacer – Implementar y operar el SGSI
1. Definir e implementar un Plan de Tratamiento de Riesgos.
2. Seleccionar los controles apropiados.
3. Definir cómo medir la efectividad de los controles.
4. Implementar los programas de concientización y entrenamiento.
5. Gestionar la operación del SGSI.
6. Gestionar los recursos para la operación del SGSI.
7. Implementar la detección de incidentes de seguridad y los
procedimientos de respuesta.
21
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
La fase Verificar – Monitorear y revisar el SGSI
1. Ejecutar el monitoreo y revisar los procedimientos.
2. Medir la efectividad de los controles.
3. Revisar las evaluaciones de riesgos y revisar los riesgos residuales.
4. Conducir auditorias internas al SGSI.
5. Comprometer a la Alta Gerencia a la revisión del SGSI.
6. Actualizar los planes de seguridad basándose en las revisiones y
hallazgos.
7. Registrar las acciones y eventos que podrían tener un impacto en el
rendimiento del SGSI.
22
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
La fase Actuar – Mantener y mejorar el SGSI
1. Implementar las mejoras identificadas del SGSI.
2. Tomar las acciones correctivas y preventivas apropiadas.
3. Comunicar las acciones y la mejoras a todas las partes relevantes.
4. Asegurar que las mejoras logren los objetivos previstos.
23
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Agenda
Introducción de Mike al SGSI e ISO 27001.
El SGSI y la ISO 27001.
Estructura de la ISO 27001.
Visión general de una implementación ISO 27001.
24
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Divide y vencerás…
Para propósitos de aprendizajes, dividamos la ISO 27001 en dos
secciones – Sección 1 y Sección 2.
La Sección 1 consiste de un conjunto de requerimientos obligatorios
que explican cómo construir el SGSI con el Modelo PHVA. En el
estándar ISO 27001 estas son las Partes 4, 5, 6, 7 y 8.
La Sección 2 consiste de los Objetivos de Control y los Controles. En
el estándar ISO 27001 este es el Anexo A.
Control. Es esencialmente una “salvaguarda de seguridad de la información”. Por
ejemplo: un antivirus, un programa de entrenamiento en Seguridad de la
Información o un proceso de Gestión de Cambios.
Objetivo de Control. Especifica el fin del uso de un control o conjunto de controles.
La ISO 27001 proporciona un conjunto de 133 controles que puedes utilizar para
construir tu SGSI.
25
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Importante!!!
Existe una relación muy simple entre la Sección 1 y la Sección 2.
La Sección 1 nos dice cómo construir el SGSI basándonos en el
modelo PHVA.
La Sección 2 nos proporciona un conjunto de controles que podemos
utilizar para construir el SGSI.
26
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Sección 1 – Requerimientos Obligatorios
27
Planificar
Sección 4
Hacer
Sección 5
Verificar
Sección 6 y 7
Actuar
Sección 8
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Sección 2 – Objetivos de Control y Controles
28
La Sección 2 proporciona una
lista de Controles y Objetivos
de Control que pueden ser
utilizados para construir un
SGSI, según lo especificado en
la Sección 1.
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Ejemplo 1 – Relación entre la Sección 1 y Sección 2
29
Sección 1: Parte 4.2 del
estándar
Sección 2: “Anexo A –
A.5.1” del estándar se implementa
con
Definir una política de
SGSI en términos de
las características del
negocio, …
Documento de política
de Seguridad de la
Información.
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Ejemplo 2 – Relación entre la Sección 1 y Sección 2
30
Sección 1: Parte 5.1 del
estándar
Sección 2: “Anexo A –
A.6.1.1” del estándar se implementa
con
Compromiso de la Alta
Gerencia
Compromiso de la Alta
Gerencia a la
Seguridad de la
Información
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Importante
31
La Sección 1 es
obligatoria para
obtener la
Certificación ISO
27001
La Sección 2,
algunos de los
controles son
obligatorios, otros no
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
No todos los controles aplicarán en tu organización…
32
Criterios
para evitar
ciertos
controles
La Alta Gerencia de
la organización ha
decido aceptar el
riesgo
Hay disponibilidad
de arreglos
alternativos
No hay
disponibilidad de
tiempo, dinero y
recursos
Factores geográficos
y otras razones
válidas o
justiticables
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
En resumen…
Existen 133 Controles en la ISO 27001.
Están divididos en 11 dominios.
Veremos más en los capítulos de Análisis de Riesgos y Tratamiento
de Riesgos.
33
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Agenda
Introducción de Mike al SGSI e ISO 27001.
El SGSI y la ISO 27001.
Estructura de la ISO 27001.
Visión general de una implementación ISO 27001.
34
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Implementación de un SGSI PHVA en 8 pasos
1. Análisis de Brechas (opcional).
2. Foro de Gestión de la
Seguridad de la Información.
3. Alcance del SGSI.
4. Activos identificados y
clasificados.
5. Análisis de Riesgos.
6. Gestión de Riesgos.
7. Auditoria Internas.
8. Auditoria para la Certificación.
35
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Gráficamente…
36
Analizar las
brechas
Definir el
alcance del
SGSI
Identificar y
clasificar los
activos
Analizar los
riesgos
Gestionar los
riesgos
Realizar auditoria
internas
Realizar auditoria
para Certificación
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Paso 1 – Analizar las brechas
Un Análisis de Brechas es una examinación de las prácticas actuales
de Gestión de la Seguridad de la Información de tu organización y
una comparación contra los controles de la ISO 27001.
Beneficios:
Aclara la idea del nivel de seguridad de la información actual de la organización y lo
que se necesita para ser conformes con la ISO 27001.
Muestra los controles de seguridad de la información pobres o la falta de ellos.
El posible impacto de estos controles de seguridad pobres o la falta de ellos.
Cuánto costará (en términos de dinero, tiempo y personas) implementar un SGSI
con los controles necesarios.
Plan de Acción:
Priorizar las debilidades de seguridad de la información para ser corregidas en
primer lugar.
Utilizar la “lista de priorización” como una entrada para el resto de la
implementación del SGSI.
37
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Paso 2 – Foro de Gestión de la Seguridad de la Información
Definición: Un equipo de gestión de alto nivel que protege la
implementación, el mantenimiento y la mejora del SGSI.
Otros nombres:
“Comité de Revisión de la Seguridad de la Información”.
“Equipo de Gestión de la Seguridad de la Información”.
El FGSI es responsable de la revisión y la aprobación de diversas
actividades del SGSI.
38
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Organización del Foro
39
Presidente del FGSI
Representante de la Función del
Negocio 1
Representante de la Función del
Negocio 2
Representante de la Función del
Negocio n
Oficial Jefe de Seguridad de
Información (CISO)
Representante del equipo de Auditoria
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Paso 3 – Alcance del SGSI
La definición del alcance es el paso en el que se especificará
“exactamente lo que será protegido por el SGSI”.
Esto usualmente incluye las funciones del negocio, los activos de
información en las funciones del negocio y la ubicación geográfica
bajo la jurisdicción del programa del SGSI.
Se tiene la libertad de definir el alcance que mejor le convenga a tu
organización.
Puedes incluir a una función del negocio si es muy importante.
Puedes excluir a una función del negocio si no es importante o si tiene una razón
válida (falta de recursos, etc).
40
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Ejemplo – Enunciado del Alcance
41
El Sistema de Gestión de la Seguridad de la Información se
despliega para proteger la información del negocio utilizada
por las funciones de negocios Finanzas, Recursos
Humanos, Investigación y Desarrollo, Ventas y Marketing;
las cuales pertenecen a ACME Inc., #1, North Block, Race
Course Drive, New Delhi, India.
Nota: Un alcance siempre está ligado a una localización
geográfica.
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Paso 4 – Activos identificados y clasificados
Identificar todos los activos de información que están bajo el alcance
de, listarlos y clasificarlos basándose en su valor.
Activo de Información: Información que tiene valor para una
organización.
Ejemplos:
Información (por sí misma): código fuente.
Componentes que ingresan información: teclados, escáner.
Componentes que almacenan información: disco duro, cinta de seguridad.
Componentes que procesan información: computadoras, aplicaciones de software,
firewalls.
Componentes que transmiten información: cables de red, wireless, bluetooth.
Componentes que entregan/generan información: monitores, teclados.
42
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Tipos de activos de Información
43
Papel Personas
Electrónico
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Principales sub pasos
44
Identificación de Activos:
Listar todos los activos de
información importantes en
la organización de acuerdo
al alcance.
Clasificación de Activos:
Clasificar los activos en
términos de:
• Confidencialidad
• Integridad
• Disponibilidad
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Ejemplo – Clasificación de Activos
Confidencialidad – Cuán
sensible/secreta es la información en
esta laptop? Cuántas personas están
autorizadas a VER esta información?
Integridad – Cuántas personas están
autorizadas a CAMBIAR esta
información.
Disponibilidad – Cuánta es la
duración de TIEMPO que la laptop
debe estar disponible para ser
accedida por las personas
autorizadas?
45
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Paso 5 – Análisis de Riesgos
El Análisis de Riesgos de Seguridad de la Información es el proceso
que determina la probabilidad de que un activo de información esté
comprometido (robado, destruido, corrupto, etc).
Es uno de los pasos más significativos en la implementación de un
SGSI.
Terminología en Análisis de Riesgos:
Activo de Información. Un componente de información de valor. Por ejemplo: una
computadora utilizada para almacenar la información del negocio.
Amenaza. Algo que puede comprometer el activo de información. Por ejemplo:
virus.
Vulnerabilidad. Una debilidad que puede ser explotada por la Amenaza. Por
ejemplo: ausencia de una actualización apropiada de un Anti-Virus.
Probabilidad. Posibilidad de que la Amenaza explote la Vulnerabilidad. Por ejemplo:
una vez cada dos años.
El Riesgo se mide mediante la asignación de un valor numérico
cualitativo a estos 4 componentes.
46
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Paso 6 – Gestión de Riesgos
La Gestión de Riesgos de Seguridad de la Información es el proceso
que despliega contramedidas (controles) apropiados para reducir los
riesgos de seguridad de la información y proteger los activos de
información.
Las contramedidas (controles) incluyen:
Técnicas. Firewalls, encriptación, contraseñas, etc.
Físicas. Cerraduras y llaves, salidas de emergencia, etc.
Procedimentales/Legales. Leyes, reglas, políticas, guías, etc.
Conocimiento. Entrenamiento.
La ISO 27001 nos da un lista comprensible de 133 “controles” para
mitigar los Riesgos de Seguridad de la Información. Estos controles
cubren las contramedidas técnicas, físicas, procedimentales/legales
así como las de conocimiento.
47
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Paso 7 – Auditoria Interna
La Auditoria Interna es una inspección pre-certificación del SGSI
realizada por la misma organización.
Esencialmente es una serie de auditorias realizadas por la
organización antes de la auditoria de Certificación.
El propósito de una Auditoria Interna es revisar la implementación
total del SGSI y la efectividad de la misma.
La Auditoria Interna debería realizarse de la misma forma que la
Auditoria de Certificación.
Se debe tener listo lo siguiente:
Análisis de Brechas. Informes del análisis de brechas.
Alcance. Enunciado del alcance.
Activos identificados y clasificados. Lista de activos con la clasificación.
Análisis de Riesgos. Informes del análisis de riesgos.
Gestión de Riesgos. Pruebas – lista de controles, políticas, evidencia y controles
físicos, prueba de revisiones como “actas de reuniones”.
48
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Beneficios de la Auditoria Interna
Conocer si la organización está preparada para la certificación o no.
Conocer cuánto ha mejorado el SGSI.
Conocer los cambios de último minuto a realizar.
Estar más confiados.
49
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Paso 8 – Auditoria para la Certificación
La Auditoria para la Certificación es el proceso por el cual un Cuerpo
de Certificación externo e independiente revisa el SGSI para evaluar
la compatibilidad con la ISO 27001.
Si se encuentra que el SGSI es compatible, el Cuerpo de Certificación
recomienda al Cuerpo de Acreditación que firme el certificado ISO
27001 para la organización.
Términos y terminologías:
Cuerpo de Certificación: La organización que ejecuta la auditoria para la
certificación.
Cuerpo de Acreditación: La organización que firma el certificado ISO 27001 basado
en las recomendaciones del Cuerpo de Certificación.
50
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Pasos de la Auditoria para la Certificación
Etapa 1. Revisión de todos los informes, políticas, alcance, etc y una
auditoria inicial del SGSI. Se envía una lista inicial de hallazgos y
correcciones recomendadas.
Etapa 2. Verificación de las correcciones de los hallazgos en la Etapa
1, una segunda ronda de auditorias del SGSI y, si es válido, se
recomienda a la organización para la certificación.
La brecha entre ambas etapas es de uno a dos meses.
Los documentos que deben estar listos son similares a los de la
Auditoria Interna:
Análisis de Brechas. Informes del análisis de brechas.
Alcance. Enunciado del alcance.
Activos identificados y clasificados. Lista de activos con la clasificación.
Análisis de Riesgos. Informes del análisis de riesgos.
Gestión de Riesgos. Pruebas – lista de controles, políticas, evidencia y controles
físicos, prueba de revisiones como “actas de reuniones”.
Enunciado de Aplicabilidad.
51
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Enunciado de Aplicabilidad
Lista de todos los 133 Controles de la ISO 27001.
Indicación de sí se ha utilizado un control.
En caso afirmativo, por qué? En caso negativo, por qué no?
Evidencia de su uso.
52
Control Estado Justificación Evidencia
A.5.1.1 – Documento
de Política de
Seguridad de la
Información
Si Para establecer la hoja
de ruta del SGSI de la
organización.
Documento de política
de seguridad de la
información publicada en
la organización.
A.10.9.1 – Comercio
Electrónico
No La organización no tiene
ninguna transacción vía
comercio electrónico.
No aplica.
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
La Certificación
53
Cuando se concluye exitosamente la Auditoria de Certificación y
luego de la aprobación del Cuerpo de Acreditación, la organización
recibe un Certificado ISO 27001.
La Certificación ISO 27001 es un
proceso continuo y la organización
debe someterse a 2 auditorias
adicionales en los siguientes 3 años.
Luego de 3 años, la organización
debe someterse a un proceso de “re-
certificación”.
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Taller 02: Visión General de la
Implementación de un SGSI
54
© 2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Fin de la Presentación
55
Recommended