Embed Size (px)
Citation preview
ISO 27000SISTEMA DE GESTIÓN DE
INFORMACIÓN
Jaquelyn Graciela Alarcón RamírezRolando Roberto Aguilar MarroquínÁngel Marcelo Reyes CanalesNora Alicia Rodríguez GuardadoGabriel Enrique Ramírez Menjívar
La ISO 27000 es realmente una serie de estándares desarrollados, por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) e indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001.
Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044.
Serie 27000
Este estándar a sido preparado para proporcionar y promover un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar in Sistema de Gestión de Seguridad de Información.
Serie 27000
Serie 27000BS ISO/IEC 27000 – Fundamentos y Vocabulario
Noviembre de 2008
BS ISO/IEC 27001 – Sistema de Gestión de Seguridad de la Información – Requisitos
Publicado en Octubre 2005
BS ISO/IEC 27002 – Código de práctica para la Gestión de la Seguridad de la información
Anteriormente ISO/IEC 17799:2005Cambio a 27002 en el 2007 (solo se fue un cambio de número)
BS ISO/IEC 27003 – Guía de Implementación
Mayo de 2009
BS ISO/IEC 27004 – Métricas y Medidas Noviembre de 2008
BS ISO/IEC 27005 – Gestión de Riesgos en Seguridad de la Información
2008/2009. Actualmente BS 7799-3, Publicada Marzo 2006
BS ISO/IEC 27006 – Acreditación de Estándares de Auditoria
13 de Febrero de 2007
27007…...27011 Reservados para futuros desarrollos (productos manejados por BSI y potencialmente ISO TC)
BS ISO/IEC 27031 – Guía de Continuidad de Negocio de TI
En desarrollo
BS ISO/IEC 27032 – Guía relativa a la Ciberseguridad
En desarrollo
BS ISO/IEC 27033 – consta de 7 partes: Gestión de Seguridad de Redes, Arquitectura de Seguridad, escenarios de redes de referencia, Aseguramiento de las comunicaciones entre redes mediante gateways, Acceso remoto, Aseguramiento de Comunicaciones mediante VPNs y diseño e implementación de seguridad de redes.
2010/ 2011
BS ISO/IEC 27034 – Guía de Seguridad de Aplicaciones
Febrero de 2009
BS ISO/IEC 27099 – Gestión de seguridad de la información en el sector sanitario
12 de junio de 2008
¿Qué es ISO 27001? Es enfoque de procesos para
la gestión de la seguridad de la información.
ISO 27001
Facilita a los administradores tener una visión y control sobre:
entender los requerimientos de seguridad de la información de una organización y la necesidad de establecer una política y objetivos para la seguridad de la información.
implementar y operar controles para manejar los riesgos de la seguridad de la información.
monitorear y revisar el desempeño y la efectividad del SGSI; y
mejoramiento continúo en base a la medición del objetivo.
ISO 27001
Beneficios: Abarca a todos los tipos de organizaciones (comerciales,
gubernamentales, organizaciones sin fines de lucro, etc.).
Adopta el modelo del proceso Planear-Hacer-Chequear-Actuar (PDCA), el cual se puede aplicar a todos los proceso SGSI.
Da lineamientos acerca la importancia del mejoramiento del SGSI atreves de el mejoramiento continuo, Acción correctiva, Acción Preventiva.
Proporciona una guía importante de los objetivos de control y controles, enfocados a política de seguridad de información.
ISO 27001
Arranque del Proyecto
Planificación
Implementación
Seguimiento
Mejora Continua
Enfoque del Proceso
ISO 27002
CODIGO PARA LA PRÁCTICA DE LA
GESTION DE SEGURIDAD DE LA
INFORMACION
Fuentes para establecer los requerimientos de seguridad:
evaluar los riesgos para la organización, tomando en cuenta la estrategia general y los objetivos de la organización
Requerimientos legales, reguladores, estatutarios y contractuales
Conjunto particular de principios, objetivos y requerimientos comerciales para el procesamiento de la información
ISO 27002
Estructura del Estándar
a) Política de Seguridad
b) Organización de la Seguridad de la Información;
c) Gestión de Activos;
d) Seguridad de Recursos Humanos;
e) Seguridad Física y Ambiental;
f) Gestión de Comunicaciones y Operaciones;
g) Control de Acceso;
h) Adquisición, Desarrollo y Mantenimiento de Sistemas de Información;
i) Gestión de Incidentes de Seguridad de la Información;
j) Gestión de la Continuidad Comercial;
k) Conformidad.
ISO 27002
¿Por qué?
Reconocer los Riesgos y su Impacto en los Negocios
ISO 27002
INTERNET
Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundo
Apenas 150 “spammers” norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico.
11:22 | EL GUSANO Un nuevo virus se esconde en tarjetas navideñas
Un virus informático, que se esconde en una tarjeta electrónica de felicitación, comenzó a circular por la red, informó Panda Software. La compañía advirtió a los usuarios que extremen las medidas de seguridad durante estas fiestas.
ESTAFAS EN INTERNET El “phishing” ya pesca en todo AméricaDetectaron casos que afectaron a numerosas empresas y a los clientes de bancos estadounidenses y del resto de América.
ISO 27002
12:50 | A TRAVES DE MAILUtilizan las siglas del FBI para propagar un virus
La famosa policía federal estadounidense advirtió sobre la difusión de falsos correos electrónicos que llevan su nombre.
La pregunta secreta del caso "Paris Hilton" ------------------------------Hace apenas unos días saltó la noticia de que los contenidos del teléfono móvil de Paris Hilton habían sido publicados en Internet. Enun principio se barajó la posibilidad de que hubieran accedido a la tarjeta SIM, o de que se tratara de una intrusión a los servidoresde T-Mobile aprovechando inyecciones SQL. Al final parece ser que el método empleado fue mucho más sencillo, bastaba con contestar a lapregunta "¿cuál es el nombre de su mascota favorita?".
ISO 27002
ISO 27002
Principales riesgos y su impacto en los negocios
Captura de PC desde el exterior
Violación de e-mails
Violación de contraseñas
Interrupción de los servicios
Intercepción y modificación de e-mails
Virus
Fraudes informáticos
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones
Destrucción de equipamiento
Programas “bomba”
Acceso indebido a documentos impresos
Software ilegal
Agujeros de seguridad de redes conectadas
Falsificación de información para terceros
Indisponibilidad de información clave
Spamming
Violación de la privacidad de los empleados
Ingeniería social
Propiedad de la Información
Mails “anónimos” con información crítica o con
agresiones
Políticas de seguridad
La gerencia deberá establecer claramente la dirección de la política en línea con los objetivos comerciales y demostrar su apoyo, y su compromiso con, la seguridad de la información, a través de la emisión y mantenimiento de una política de seguridad de la información en toda la organización.
ISO 27002
GarantizarVerificación
de la compatibilidad técnica
Cumplimiento de la política de seguridad
sistemas de información,proveedores de sistemas,propietarios de información y de recursos de información,usuarios,gerentes.
revisión de los sistemas operacionales,puede comprender pruebas de penetración,realizadas por personas competentes y autorizadas.
Objetivo de la política
Seguridad Física
Control Las áreas seguras debieran
protegerse mediante controles de ingreso apropiados para asegurar que sólo se le permita el acceso al personal autorizado.
ISO 27002
Control del acceso
Se debiera controlar el acceso a la información, medios de procesamiento de la información y procesos comerciales sobre la base de los requerimientos comerciales y de seguridad.
Las reglas de control del acceso debieran tomar en cuenta las políticas para la divulgación y autorización de la información.
ISO 27002
Política de control del acceso
Se deberá tomar en cuenta lo siguiente:
a) los requerimientos de seguridad de las aplicaciones comerciales individuales;
b) identificación de toda la información relacionada con las aplicaciones comerciales y los riesgos que enfrenta la información;
c) las políticas para la divulgación y autorización de la información;
d) los perfiles de acceso de usuario estándar para puestos de trabajo comunes en la organización;
e) segregación de roles del control del acceso;
ISO 27002
Caso practico:
La empresa “ABC, S. A. de C. V.” Se dedica a la venta electrodomésticos en general, operando en toda la región Centroamericana, actualmente posee un sistema de información, dados ciertos eventos, en los que se involucran:
1. Pérdida de información
2. Filtro de información
3. Accesos no autorizados a la información
4. Modificación no autorizada de la información, entre otros
ISO 27001
Procedimientos a desarrollar:
A. ESTABLECIMIENTO DEL SGSI
1. Alcance
2. Políticas del SGSI
3. Identificación de Riesgos
4. Enfoque de Evaluación de Riesgos
5. Identificación y Evaluación de opciones para el tratamiento de los Riesgos
ISO 27001
B. IMPLEMENTAR Y OPERAR EL SGSI IDENTIFICACION DE RIESGOS:
Captura de PC desde el exterior Violación de e-mails Robo de información Violación de contraseñas Destrucción de equipamiento Virus Programas “bomba” Interrupción de los servicios Acceso clandestino a redes Acceso indebido a documentos impresos Intercepción de comunicaciones Falsificación de información para terceros
ISO 27001
C. USO DE TECNICAS DE CUANTIFICACION DE RIESGOS:
ISO 27001
D. MONITOREAR Y REVISAR EL SGSI Detección de errores en los resultados de procesamiento Verificar que las actividades planeadas y toda la normativa
emitida se están aplicando correctamente Aplicar indicadores para evaluar el desempeño del SGSI
E. MANTENER Y MEJORAR EL SGSI
Dado que los resultados del monitoreo determinan que el SGSI continúa siendo útil, deciden mantenerlo y darle seguimiento, bajo la condición de una constante actualización en relación a los cambios experimentados en la normativa y sobre todo en las condiciones de la organización.
ISO 27001
GRACIAS POR SU ATENCION
![[Ewd]class05 0405](https://img.pdfslide.net/doc/110x75/555e0c2ed8b42a9e188b4beb/ewdclass05-0405.jpg)
