Gestión de la Seguridad con la ISO/IEC 27001

ramirocid.com ramiro@ramirocid.com Twitter: @ramirocid
Gestión de la seguridad: ISO/IEC 27001
Gestión de la seguridad:
ISO/IEC 27001
Ramiro Cid | @ramirocid
1

2
Índice
1. Historia de la norma y antecedentes Pág. 3
2. Marco de referencia y bases de la norma Pág. 9
3. Dominios de la norma Pág. 18
4. Criterios para el éxito Pág. 32
5. Novedades de la ISO/IEC 27001:2013 Pág. 46

1. Historia de la norma y antecedentes

Breves Referencias sobre las normativas ISO/IEC 27001 e ISO/IEC 27002
British Standard BS 7799-2 (origen de las ISO actuales)
Publicada por primera vez en 1998
Normativa británica
Se divide en 1: Buenas prácticas y 2: Especificaciones
Casi no se utiliza, ha sido reemplazada por la ISO/IEC 27001 y 27002
ISO/IEC 27001:2005
“Especificaciones para los Sistemas de Gestión de la Seguridad de la Información” . Es una lista completa de los controles a
aplicar. Se certifica en esta ISO. Emula la BS 7799 parte 2, pero con 2 nuevos conceptos:
a) Indicadores: Es una medida que provee una estimación o evaluación de un “atributo” (que es a su vez una
propiedad o característica de un objeto, tangible o intangible) especificado, con respecto a las necesidades de
información definidas.
Ej: No tener más de 10 infecciones por virus sobre el total de PC’s
b) Métricas: En la ISO/IEC 27001 en el apartado 4.2.2 d) se comenta la necesidad de disponer de métricas de la
efectividad, pero no especifica cuales utilizar => En el borrador de la ISO/IEC 27004 se encuentran más pautas.
Ej: Se ha tenido en un año 11 infecciones por virus sobre el total de PC’s.
ISO/IEC 27002 (actualización año 2007 de la 17799:2005)
“Código o guía de buenas prácticas para la gestión de la seguridad de la información” . No se certifica en esta ISO

BSi: Historia
1901-. Nacimiento del BSi.
1910-. Creación del primer estándar.
1926-. Inicio del proceso de certificación de productos.
1946.- Creación de la ISO por parte de miembros del Bsi
1979-. Primer estándar para sistemas de gerencia (BS 5750)
1992-. Primer estándar sobre el medio ambiente.
1999-. Elaboración del estándar sobre seguridad de la información
(BS 7799).

BSi: Historia (II)
Desarrollo del Estándar BS 7799:
1993
Reuniones de un grupo multi-sectorial.
Primer borrador de “Código de Prácticas”.
1995
Publicación Oficial BS 7799:1 Código de buenas prácticas.
1998
Publicación Oficial BS 7799:2 Especificaciones SGSI.
1999
Publicación Oficial BS 7799:1999 Parte 1 y 2
2002
Publicación de nueva versión BS 7799:2

Desarrollo del Estándar ISO/IEC 27002:
2000
ISO/IEC 17799:2000 Código de buenas prácticas
2002
UNE ISO/IEC 17799 Código de buenas prácticas
2004
UNE 71502 Especificaciones SGSI
2005
ISO 17799: 2005. Código de buenas prácticas
2005
ISO/IEC 27001 Especificaciones SGSI
2007
ISO/IEC 17799 ISO/IEC 27002
2013
ISO/IEC 27001:2013. Borrador final en 07/2013. Norma a fines de 2013. Esta
versión tendrá 114 controles en 14 dominios (en Ia actual versión son 133
controles en 11 dominios).
ISO/IEC 27002: Historia

Gráfico de la historia de las normas ISO

2. Marco de referencia y bases de la norma

ISO – Marco de Referencia
SGSI (Sistema de Gestión de la Seguridad de la Información)
Incorporación de la sistemática PLAN-DO-CHECK-ACT (PDCA o “Círculo de Deming”) a la seguridad de la
información.
PLAN
ACT
CHECK
DO
Planificación
Documentar /
Hacer
Comprobar /
Analizar
Actuar

ISO: Organización
Servicios:
Desarrollo e implementación de estándares.
Sistema de asesoramiento a empresas.
Pruebas de productos.
Certificación de productos.
Inspección de productos y materiales.
Formación a través de cursos y seminarios.

Seguridad de la Información
Declaración de principios:
“La información es un activo, y como cualquier otro activo importante
de un negocio, tiene un valor para una empresa, y por consiguiente
debe ser adecuadamente protegido” (Introducción ISO/IEC 27002)
SEGURIDAD DE LA INFORMACIÓN
ISO/IEC 27002:2005 = Código de Buenas
Prácticas

ISO/IEC 27001:2005 & ISO/IEC 27002:2005
Dos partes:
ISO/IEC 27002.- Code of practice for information
ISO/IEC 27001.- Specification for information security management
systems

ISO/IEC 27001
Basada en la parte 2 del estándar BS 7799
Especifica los requerimientos para establecer, implementar y documentar
los sistemas de gestión de la seguridad de la información
Indica los controles de seguridad a implementar por las organizaciones
dependiendo de sus necesidades
Es certificable

ISO/IEC 27002
Basada en la parte 1 del estándar BS 7799
Intenta ser un documento de referencia
Conjunto de controles sobre las mejores prácticas para la seguridad de la
información
No es certificable

ISO/IEC 27002:2005 - SGSI
Como resultado de la implantación de esta normativa se obtiene un Sistema de
Gestión de la Seguridad de la Información (SGSI):
Una estructura organizativa donde las funciones, responsabilidades, autoridad,
etc. de las personas están definidas
Procesos y recursos necesarios para lograr los objetivos
Metodología de medida y de evaluación para valorar los resultados frente a los
objetivos, incluyendo la realimentación de resultados para planificar las mejoras
del sistema
Un proceso de revisión para asegurar que los problemas se detectan y se
corrigen, y las oportunidades de mejora se implementan cuando están
justificadas

ISO/IEC 27002:2005
Modelo PDCA (Plan, Do, Check, Act)
PLANIFICAR
HACER
VERIFICARACTUAR
ACTUAR
ACTUAR
Ciclo de
resolución
Ciclo de
mantenimiento
Ciclo de
mejora
Todo
correcto
Incidentes
Ideas/
mejoras

3. Dominios de la norma

ISO/IEC 27002:2005
11.- Continuidad 12.- Conformidad
2.- Política
3.- Organización 4.- Activos 5.- RR.HH.
6.- Seguridad 7.- Comunicaciones
física y operaciones
8.- Control de acceso 9.- Desarrollo y
mantenimiento
1.- Análisis de Riesgos
10.- Incidentes

Visión Global de una Auditoría
ESTRUCTURAL
OPERACIONAL
Política de
Seguridad
Estructura
Organizativa de
la Seguridad
Conformidad
Seguridad Física y
medioambiental
Gestión de la
Continuidad del
Negocio
Control de Acceso
Desarrollo y
Mantenimiento de
los Sistemas
Gestión de
Comunicaciones y
operaciones
Gestión de Incidentes de Seguridad
Seguridad ligada
al Personal
Aspecto organizativo
Aspecto técnico
Aspecto físico
Tipos de dominios
Cumplimento Bajo
Cumplimiento Medio
Resultado de
Auditoria en
EMPRESA X
Clasificación y
Control de Activos
Cumplimiento Alto
Análisis de Riesgos
11 dominios +
Análisis de Riesgos

Política de Seguridad
Objetivo: Aportar las directrices y el soporte para la seguridad de la
información de acuerdo con los requerimientos de la organización,
y con la legislación vigente
Aspectos destacados:
Personalizada para cada organización
Capaz de soportar pequeños cambios en la organización
Apoyo explícito de la dirección
Distribuida
Actualizada

Organización de la seguridad
Objetivo: Definir la estructura de la seguridad de la información dentro de la
organización, así como asegurar el nivel de seguridad de la información para
las situaciones en las que terceras organizaciones accedan a la información
Estructura referente a la seguridad
(comités de seguridad)
Seguridad con terceras organizaciones

Gestión de activos
Objetivo: Mantener el nivel apropiado de seguridad en los activos de la
organización
Inventario de activos
Propietario de los activos
Clasificación de los activos
Manejo de los activos

Objetivo: Tratar de asegurar que durante todo el ciclo de vida de los
trabajadores de la organización, se trata de minimizar los riesgos que puedan
provocar éstos
Antes de entrar a trabajar (términos de empleo)
Durante la realización del trabajo (formación, proceso disciplinario)
Finalización de la actividad laboral (retorno de los activos, derechos de
acceso)
Seguridad del personal

Objetivo: Prevenir accesos no autorizados, daños o interferencias en la
organización o en los servicios de la misma
Áreas seguras (controles de entrada)
Protección contra incidentes ambientales
Protección de los equipos
Seguridad del cableado
Eliminación de equipos
Seguridad física

Objetivo: Asegurar la correcta realización de las operaciones de la
organización así como las comunicaciones que se realicen
Procedimientos operacionales
Segregación de entornos
Cambios en los sistemas (planificación de capacidades)
Protección contra software malicioso
Copias de seguridad
Gestión de la red
Dispositivos móviles
Intercambio de información (correo electrónico, comercio electrónico, correo
ordinario, etc.)
Monitorización (gestión de logs)
Comunicaciones y operaciones

Objetivo: Controla el acceso a la información de la organización así como los
permisos de los usuarios
Política de control de acceso
Gestión de usuarios (identificadores, privilegios, gestión de contraseñas)
Control de acceso a los servicios de red (enrutado, protección de puertos,
segregación de redes, etc.)
Controles de acceso a diferentes niveles (sistema operativo, aplicación,
información)
Teletrabajo
Control de acceso

Objetivo: asegurar la seguridad de las aplicaciones, prevenir errores,
pérdidas, modificaciones de las mismas así como de las informaciones que
contienen
Análisis de requerimientos de seguridad
Control del procesado de la información
Controles criptográficos
Control en el cambio de aplicaciones
Análisis de vulnerabilidades
Adquisición, desarrollo y mantenimiento

Objetivo: Tratar de asegurar la seguridad y tratar de minimizar el tiempo de
respuesta ante los incidentes de seguridad.
Comunicación de incidentes
Resolución de incidentes
Aprender de los incidentes
Recogida de evidencias
Mejoras
Gestión de incidentes

Objetivos: Tratar de evitar interrupciones en los servicios de la organización
o minimizar el tiempo de recuperación
Gestión de continuidad de negocio

Objetivo: Evitar incumplimientos legales, contractuales y con las normativas
Propiedad intelectual
Protección de evidencias
Protección de datos
Auditorias de sistema
Auditorias del sistema de gestión de la seguridad de la información
Cumplimiento legal

4. Criterios para el éxito

¿Por dónde empezar?
Implementar controles básicos
• Legales
• LOPD
• Propiedad intelectual
• Proteger la información
empresarial exigible y crítica
• Comunes
• Política de seguridad.
• Responsabilidades de
seguridad de la información.
• Comunicación y formación.
• Reporte de incidentes.
• Planes de contingencia

Factores de éxito
Una “seguridad” (política, objetivos, actividades) orientada al negocio.
Implementar la seguridad en consonancia con la cultura de la empresa.
Soporte visible y compromiso de la dirección.
Buen entendimiento de los requerimientos y buena gestión
de los riesgos.
Comunicación eficaz a todos los niveles de la organización.
Proveer educación y formación
Tener un sistema de medición para evaluar el rendimiento de
la gestión de la seguridad, así como obtener sugerencias de mejora

Enfoque para una seguridad Pro-Activa
Implementar un SGSI
Especificaciones del ISO/IEC 27001
12 dominios, 39 objetivos, 133 controles
Razones para un SGSI:
Externas:
Mejorar la confianza con Clientes, Proveedores y Partners (imagen
corporativa)
Asegurar la conformidad con la legislación y contratos
Internas:
Reducir impacto de los incidentes
Facilitar la mejora continua
Consistencia

Etapas a seguir
Situación
Actual
1.- Análisis
Diferencial
2.- Definir
SGSI
3.-Implementar
SGSI
Evaluaciones
Auditar
Auditar
SGSICertificación
4.- Revisiones
Plan Do Check

Activos
Amenazas
Vulnerabilidades
Impactos
Controles ISO/IEC 27001
Etapas a seguir
2.- Definir
SGSI
Definir Política
Alcance ISMS
Análisis Riesgo
Manejo Riesgo
Selección controles
Aplicabilidad
Política
Inventario
Evaluación
Opciones
Controles
Declaración

4. Conceptos y componentes relacionados

Política de seguridad
Es un documento
Aprobado por la dirección, publicado y comunicado
Revisado periódicamente
Como mínimo:
Definición de la seguridad de la información
Declaración del soporte de la dirección
Explicaciones breves sobre políticas, principios, prácticas y cumplimiento de
seguridad
Definición de responsabilidades
Referencias a otros documentos

Alcance del SGSI
Identificar los activos de Información del SGSI
Organización, localización, activos y tecnología
Categorización, descripción, localización y responsable de los activos
Categoría de Activos de Información:
Información:
BD, ficheros, documentación, manuales, contratos, etc...
Tipo soporte: papel, electrónica
SW:
Aplicaciones, S.O., herramientas de desarrollo, utilidades,...
Físicos:
Ordenadores, Equipos de comunicación (routers, hubs, ...),
Soportes
Servicios:
Tratamientos externos, energía, telefonía,...
Personas:
Conocimientos, experiencia
Intangibles

Análisis del riesgo
Identificar los riesgos de los Activos de Información
las amenazas a los activos
sus vulnerabilidades
el impacto en la organización
su probabilidad
el nivel de riesgo
Riesgo de seguridad
Un riesgo de seguridad es la posibilidad que una amenaza dada aproveche
una vulnerabilidad para dañar uno o un grupo de activo de información,
pudiendo extenderse a toda la organización

Plan Director de Seguridad
Análisis de Riesgo (Problemas encontrados) [A.R.]
Gestión de Riesgos (Propongo soluciones) [G.R.]
[A.R.] + [G.R.] = Plan Director de Seguridad [P.D.S.]

Administración del riesgo
Gestionar los riesgos identificados:
Decidir sobre la forma de manejar el riesgo
Identificar y aceptar el riesgo “residual”
Forma de gestionar el riesgo:
Evitar:
Suprimir las causas del riesgo: Activo, Amenaza, Vulnerabilidad
Transferir:
Cambiar un riesgo por otro: Outsourcing, seguros.
Reducir:
Reducir la amenaza, vulnerabilidad, impacto
Asumir: (statu quo)
Detectar y recuperarse

Selección de controles
Asegurar que la aplicación de los controles cumplen:
Haber identificado los requerimientos de Seguridad
Seleccionar los objetivos y los controles
Asegurar el cumplimiento de los requerimientos
Factores y restricciones de aplicabilidad:
Coste del control versus coste del impacto
Disponibilidad del control (tecnología existente y probada)
Implementación y mantenimiento
Controles existentes y planificación

Declaración de aplicabilidad
Declarar sobre la aplicabilidad de los controles de seguridad:
Documentar los resultados finales del marco del SGSI
Aplica a la Normativa ISO/IEC 27001 con:
12 dominios, 39 objetivos, 133 controles
Incluir otros controles propios o especificaciones
Debe incluir:
Para los controles seleccionados:
Los objetivos de los controles (requerimientos)
La descripción de los controles (y las medidas)
Para los controles NO seleccionados
La razón de su exclusión

5. Novedades de la ISO/IEC 27001:2013

Novedades de la ISO/IEC 27001:2013
Referencias:
ISO/IEC 27001:2013.
Borrador final: Publicado en 07/2013.
Norma definitiva: Se espera la publicación a final de 2013.

Principales cambios respecto a la norma anterior:
• La ISO/IEC 27001:2013 tendrá 114 controles en 14 dominios (la versión actual posee 133 controles en 11
dominios).
• 11 nuevos controles:
• A.6.1.5 Information security in project management
• A.12.6.2 Restrictions on software installation
• A.14.2.1 Secure development policy
• A.14.2.5 Secure system engineering principles
• A.14.2.6 Secure development environment
• A.14.2.8 System security testing
• A.15.1.1 Information security policy for supplier relationships
• A.15.1.3 Information and communication technology supply chain
• A.16.1.4 Assessment of and decision on information security events
• A.16.1.5 Response to information security incidents
• A.17.2.1 Availability of information processing facilities

Principales cambios respecto a la norma anterior:
• 14 dominios en vez de 11. Los nuevos 14 dominios de control serán:
• A.5: Information security policies
• A.6: How information security is organised
• A.7: Human resources security - controls that are applied before, during, or after employment.
• A.8: Asset management
• A.9: Access controls and managing user access
• A.10: Cryptographic technology
• A.11: Physical security of the organisation's sites and equipment
• A.12: Operational security
• A.13: Secure communications and data transfer
• A.14: Secure acquisition, development, and support of information systems
• A.15: Security for suppliers and third parties
• A.16: Incident management
• A.17: Business continuity/disaster recovery (to the extent that it affects information security)
• A.18: Compliance - with internal requirements, such as policies, and with external requirements, such as laws

Tabla comparativa de dominios entre las 2 versiones:
ISO/IEC 27001:2005 ISO/IEC 27001:2013
A.5 -Security policy A.5: Information security policies
A.6 -Organization ofinformation security A.6: How information security is organised
A.8 -Human resources security A.7: Human resources security -controls that are applied before, during, or after employment.
A.7 -Asset management A.8: Asset management
A.11 - Access control A.9: Access controls and managing user access
A.10: Cryptographic technology
A.9 -Physical and environmental security A.11: Physical security ofthe organisation's sites and equipment
A.12: Operational security
A.10 -Communications and operations management A.13: Secure communications and data transfer
A.12 -Information systems acquisition, development and maintenance A.14: Secure acquisition, development, and support ofinformation systems
A.15: Security for suppliers and third parties
A.13 -Information security incident management A.16: Incident management
A.14 -Business continuity management A.17: Business continuity/disaster recovery (to the extent that it affects information security)
A.15 -Compliance A.18: Compliance -with internal requirements, such as policies, and with external requirements, such as laws

Referencias
Documentación para ampliar conocimientos:
BSI:
1. Web oficial de la BSI Group: http://www.bsigroup.com/
ISO:
1. Web oficial de la ISO: http://www.iso.org/
2. ISO/IEC 27001:2005: http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=42103
3. ISO/IEC 27002:2005: http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=50297
4. Wikipedia (Español) (ISO/IEC 27001:2005): http://es.wikipedia.org/wiki/ISO/IEC_27001
5. Wikipedia (Inglés) (ISO/IEC 27001:2005): http://en.wikipedia.org/wiki/ISO/IEC_27001:2005

¿Dudas? ¿preguntas?
¡¡ Muchas Gracias !!
ramiro@ramirocid.com
@ramirocid
http://www.linkedin.com/in/ramirocid
http://ramirocid.com http://es.slideshare.net/ramirocid
http://www.youtube.com/user/cidramiro
Ramiro Cid
CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL

Gestión de la Seguridad con la ISO/IEC 27001

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à Gestión de la Seguridad con la ISO/IEC 27001

Similaire à Gestión de la Seguridad con la ISO/IEC 27001 (20)

Plus de Ramiro Cid

Plus de Ramiro Cid (20)

Dernier

Dernier (20)

Gestión de la Seguridad con la ISO/IEC 27001