Curso de Introducción a la ciberseguridad e ISO 27001:2013 desde el punto de vista de la implantación. Contiene enlaces a recursos y herramientas gratuitas, así como gran cantidad de notas para revisión fuera del aula. Tanto los enlaces como las notas se pueden perder en la versión de SlideShare, por lo que no dudéis en solicitarme la copia en .ppt Esta presentación esta diseñada para las clases de seguridad de la información del Master de Calidad Total de la Universidad Politécnica de Madrid/SGS

1. ISO 27001:2013
Introducción a la ciberseguridad
Recursos
La norma

2. ¿Por qué estamos aquí?
Fuente: https://www.fireeye.com/cyber-map/threat-map.html

3. Fuente: http://resources.infosecinstitute.com/2013-impact-cybercrime/
¿Por qué estamos aquí?

4. Fuente: http://www.elmundo.es/tecnologia/2014/12/24/549a5be922601dd0458b456d.html
Fuente: http://internacional.elpais.com/internacional/2014/12/19/actualidad/1419014261_319604.html
Casos recientes

5. Casos actuales
Fuente: https://www.schneier.com/blog/archives/2014/02/the_mask_espion.html

6. Recursos

7. Herramientas gratuitas

8. Certificaciones
Fuente: http://www.globalknowledge.com/training/generic.asp?pageid=3632
Certified Information Security Manager (CISM) $114,844
Certified Ethical Hacker (CEH) $103,822
Certified Information Systems Auditor (CISA) $112,040
Fuente: http://www.businessinsider.com/15-more-tech-skills-that-can-instantly-net-you-a-100000-salary-2013-4?IR=T
Six Sigma, green belt, $116,987
Etc… Etc…
Sueldo medio en EEUU

9. Complementos y alternativas a ISO 27001
Cloud Controls Matrix (CCM) : Cloud Security Alliance
Payment Card Industry Data Security Standard
Report on Controls at a Service Organization Relevant to
Security, Availability, Processing Integrity, Confidentiality
or Privacy
MPAA Facility Security Program
Malta Gaming Authority (MGA)
The Standard of Good Practice for Information Security
ISM3 v1.20: Information Security Management Maturity Model

10. ISO 27001. Origen
“Code of good
security practice
for information
security”
BS 7799
ISO 27001
DISC PD003
Principios 90 El Ministerio de Industria y Comercio del Reino
Unido da soporte a su desarrollo. Se crea ITSEC y DISC PD003
1995 Adoptado por primera vez como British Standard (BS)
1998 Se publican los requisitos para la certificación
1999 Se edita la Segunda Edición donde se incluyen comercio
electrónico, los ordenadores portátiles y contratación con terceros.
2000 Se aprueba la ISO 17799 Parte 1 en Agosto.
2002 BS 7799-2:2002 publicado el 5 de Septiembre
Énfasis en la concordancia con ISO 9001 y la ISO 14001
Se adopta el modelo PDCA
2004 Se publica la UNE 71502, elaborada por el AEN/CTN 71
2005 Se publica ISO 27001:2005
2013 Se publica ISO 27001:2013

11. La familia ISO 27000
Las normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización
Internacional para la Estandarización (ISO) y contienen mejores prácticas en Seguridad
de la información para desarrollar, implementar y mantener Especificaciones para los
Sistemas de Gestión de la Seguridad de la Información (SGSI).
• ISO/IEC 27000, Information security management systems — Overview and
vocabulary
• ISO/IEC 27001, Information security management systems — Requirements
• ISO/IEC 27002, Code of practice for information security controls
• ISO/IEC 27003, Information security management system implementation guidance
• ISO/IEC 27004, Information security management — Measurement
• ISO/IEC 27005, Information security risk management
• ISO/IEC 27006, Requirements for bodies providing audit and certification of
information security management systems
• SO/IEC 27007, Guidelines for information security management systems auditing

12. La familia ISO 27000
• ISO/IEC TR 27008, Guidelines for auditors on information security controls
• ISO/IEC 27010, Information security management for inter-sector and inter-
organizational communications
• ISO/IEC 27011, Information security management guidelines for telecommunications
organizations based on ISO/IEC 27002
• ISO/IEC 27013, Guidance on the integrated implementation of ISO/IEC 27001 and
ISO/IEC 20000-1
• ISO/IEC 27014, Governance of information security
• ISO/IEC TR 27015, Information security management guidelines for financial
services
• ISO/IEC TR 27016, Information security management — Organizational economics
• ETC.

13. ¿Para qué sirve?
…para establecer, implantar, mantener y mejorar un sistema de gestión de la
seguridad de la información (SGSI/ISMS).
Beneficios de un SGSI.
Proporcionar las mejores prácticas de seguridad de la información
Permitir a las organizaciones desarrollar, implantar y medir prácticas efectivas de
gestión de la seguridad
Proporcionar confianza en las organizaciones y su actividad (interno y externo: valor
para marketing)
Aplicable a un amplio rango de organizaciones - grandes, medianas y pequeñas
El proceso de evaluación periódica ayuda a supervisar continuamente rendimiento y
mejora
Permite de manera ordenada identificar riesgos, evaluarlos y gestionarlos

14. ¿Qué es un SG…SI?
Un Sistema de Gestión es un sistema para establecer la política y objetivos de una organización y lograrlos,
mediante:
• Una estructura organizativa donde las funciones, responsabilidades, autoridad, etc. de las personas están
definidas
• Procesos y recursos necesarios para lograr los objetivos
• Metodología de medida y de evaluación para valorar los resultados frente a los objetivos, incluyendo la
realimentación de resultados para planificar las mejoras del sistema
• Un proceso de revisión para asegurar que los problemas se corrigen y se detectan oportunidades de
mejora e implementan cuando están justificadas
Un sistema de gestión de la seguridad de la información (SGSI) (en inglés: information security
management system, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de administración de
la información
Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos
para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad,
integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de
la información.
Fuente: http://es.wikipedia.org/wiki/Sistema_de_gesti%C3%B3n_de_la_seguridad_de_la_informaci%C3%B3n

15. ¿Qué es la información?
información.
(Del lat. informatĭo, -ōnis).
1. f. Acción y efecto de informar.
2. f. Oficina donde se informa sobre algo.
3. f. Averiguación jurídica y legal de un hecho o
delito.
4. f. Pruebas que se hacen de la calidad y
circunstancias necesarias en una persona para un
empleo u honor. U. m. en pl.
5. f. Comunicación o adquisición de conocimientos
que permiten ampliar o precisar los que se poseen
sobre una materia determinada.
6. f. Conocimientos así comunicados o adquiridos.
7. f. Biol. Propiedad intrínseca de ciertos
biopolímeros, como los ácidos nucleicos, originada
por la secuencia de las unidades componentes.
8. f. ant. Educación, instrucción.
Fuente: RAE
La información es un conjunto
organizado de datos procesados, que
constituyen un mensaje que cambia el
estado de conocimiento del sujeto o sistema
que recibe dicho mensaje.
Fuente: Wikipedia
Information is an asset which,
like other important business assets,
has value to an organization and
consequently needs to be suitably
protected
Fuente: ISO/IEC 27002:2005

16. ¿Dónde está la información?
•Papel
•Medios electrónicos
 Ordenadores
 Almacenamiento físico/virtual
 USBs
 En tránsito
 Etc.
•Videos
•Conversaciones
•Web
•Personas
•En los sitios más insospechados…
Fuente: http://en.wikipedia.org/wiki/Bob_Quick_%28police_officer%29
Fuente: http://dinovida.files.wordpress.com/
La seguridad de la información no es seguridad
informática. Va más allá.

17. Seguridad de la información. Conceptos
Medidas que permiten proteger la información buscando mantener la confidencialidad,
la disponibilidad e integridad de la misma (free of danger)
¿Se puede conseguir la seguridad total? La respuesta es no, pero si que mediante
distintos enfoques y aproximaciones, se puede obtener una seguridad aceptable:
• Mediante la gestión y tratamiento de riesgos
• Formando a las personas
• Securizando procesos y tecnología
• Etc.
La seguridad de la información es algo que
no puedes comprar, tienes que construir.
It’s a process not a product
Fuente: Silvia Villanueva

18. Seguridad de la información. Conceptos
Según la ISO, la seguridad se caracteriza como la preservación de la confidencialidad,
integridad y disponibilidad de la información; adicionalmente pueden tenerse en
consideración otras propiedades como autenticación, responsabilidad, no repudio y
fiabilidad
TRAZABILIDAD
AUTENTICACION
NO REPUDIO
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
S
E
G
U
R
I
D
A
D SEGURIDAD TOTAL
SEGURIDAD
NECESIDADES
OPERATIVAS
RESPONSABILIDAD
GESTIÓN DE LA SEGURIDAD

19. ISO 27001. Cambios notables
• Pone más peso en medir y evaluar (métricas e indicadores) el sistema de
gestión
• Desaparece la sección de enfoque a procesos dando más flexibilidad de elección
de metodologías de trabajo para análisis de riesgos y mejoras.
• No enfatiza tanto el ciclo de Demming como la ISO27001:2005
• Mejora la integración con ISO9000 e ISO20000. Cambia su estructura
conforme al anexo SL.
• Incorpora la externalización de servicios en el dominio “relaciones con el
proveedor”.
• Se parte del análisis de riesgos para determinar los controles necesarios (SoA)
en lugar de identificar primero activos, amenazas y vulnerabilidades

20. ISO 27001. Cambios notables
Pasa de 102 requisitos a 130
Pasa de 11 a 14 dominios (clausulas) y de 133 a 114 controles (sub
clausulas)
La normativa ISO 27002 se ha incorporado al anexo A
• Controles nuevos:
• A.6.1.5 Information security in project management
• A.12.6.2 Restrictions on software installation
• A.14.2.1 Secure development policy
• A.14.2.5 Secure system engineering principles
• A.14.2.6 Secure development environment
• A.14.2.8 System security testing
• A.15.1.1 Information security policy for supplier relationships
• A.15.1.3 Information and communication technology supply chain
• A.16.1.4 Assessment of and decision on information security events
• A.16.1.5 Response to information security incidents
• A.17.2.1 Availability of information processing facilities
2005 2013

21. ISO 27001. Estructura

22. ISO 27001. Estructura
1.- Alcance
• -No es el alcance del SGSI
• -aplicable a cualquier organización
• -Genérica
• -Los requisitos de las clausulas 4 a la 10 no son excluibles
2.- Referencias normativas
• -La norma ISO 27000
• -La norma ISO 27002 ya no es referencia normativa.
3.- Términos y definiciones
• -La norma ISO 27000

23. ISO 27001. Contexto de la organización
4.- Contexto de la Organización
• La organización debe preocuparse, y por tanto determinar, qué cuestiones o
aspectos internos y externos están involucrados en el propósito de la misma y pueden
afectar a la capacidad de alcanzar los resultados previstos para su SGSI
• Instituye los requerimientos para definir el contexto del SGSI sin importar el tipo de
organización y su alcance.
• Introduce una nueva figura (las partes interesadas) como un elemento
primordial para la definición del alcance del SGSI.
• Establece la prioridad de identificar y definir formalmente las necesidades de las partes
interesadas con relación a la seguridad de la información y sus expectativas con
relación al SGSI, pues esto determinará las políticas de seguridad de la información y
los objetivos a seguir para el proceso de gestión de riesgos.
• La guía para realizar este estudio puede ser ISO 31000:2009 (4.3.1, 5.3.1, etc.)

24. ISO 27001. Liderazgo y Compromiso
5.- Liderazgo y Compromiso de la dirección
• Ajusta la relación y responsabilidades de la Alta Dirección respecto al SGSI, destacando
de manera puntual cómo debe demostrar su compromiso, por ejemplo:
• Garantizando que los objetivos del SGSI y “La política de seguridad de la
información”, anteriormente definida como “Política del SGSI”, estén alineados con los
objetivos del negocio.
• Garantizando la disponibilidad de los recursos para la implementación del SGSI
(económicos, tecnológicos, etcétera).
• Garantizando que los roles y responsabilidades claves para la seguridad de la
información se asignen y se comuniquen adecuadamente.

25. ISO 27001. Planificación
• Se deben determinar los riesgos y oportunidades a la hora de planificar el SGSI, así
como establecer objetivos de Seguridad de la Información y el modo de alcanzar estos
• Se presentan grandes cambios en el proceso de evaluación de riesgos: el proceso para la
evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las
amenazas.
• Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la
pérdida de la confidencialidad, integridad y disponibilidad de la información.
• El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y
las consecuencias generadas (impacto), si el riesgo se materializa.
• Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario
del riesgo”.
• Los requerimientos del SOA no sufrieron transformaciones significativas
• objetivos

26. Análisis de riesgos ¿Por qué?
• El Análisis de riesgos es un concepto requerido para el buen gobierno de TI
• La gestión de los riesgos es una piedra angular del buen gobierno.
• Es un principio fundamental que las decisiones de gobierno se
• fundamenten en el conocimiento de los riesgos que implican.
• El conocimiento de los riesgos permite calibrar la confianza en que los
• sistemas desempeñarán su función como la Dirección espera.
• En particular de los riesgos provenientes del uso de las TIC.
• Marco equilibrado de Gobierno – Gestión de Riesgos – Cumplimiento
• (GRC).
• Tratamiento de los riesgos de las TIC en relación con los demás riesgos.
• Referente: ISO 38500 (Gobierno de TI)

27. Análisis de riesgos. Ciclo de Vida

28. Análisis de riesgos. Ciclo de Vida

29. Análisis de riesgos. Ciclo de Vida

30. Análisis de riesgos. Conceptos
• Riesgo: Estimación del grado de exposición a que una amenaza se materialice sobre
uno o mas activos causando daños o perjuicios a la Organización
El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente. Es
importante saber qué características son de interés en cada activo, así como saber en qué
medida (cuantificar) estas características están en peligro, es decir, analizar el sistema:
• Análisis de Riesgos: proceso sistemático para estimar la magnitud de los riesgos a
que está expuesta una Organización
Una vez conocidos los riesgos se presentan para tomar decisiones:
• Tratamiento de los riesgos: proceso destinado a modificar el riesgo

31. Análisis de riesgos. Conceptos
• Amenaza: Causa potencial de un incidente que puede causar daños a un sistema de
información o a una organización. [UNE 71504:2008].
• Degradación: cuán perjudicado resultaría el activo. La degradación mide el daño
causado por un incidente en el supuesto de que ocurriera.
• Frecuencia: cada cuánto se materializa la amenaza
• Vulnerabilidad: toda debilidad que puede ser aprovechada por una amenaza, o, más
detalladamente, a las debilidades de los activos o de sus medidas de protección que
facilitan el éxito de una amenaza potencial.
Son vulnerabilidades todas las ausencias o ineficacias de las salvaguardas pertinentes para
salvaguardar el valor propio o acumulado sobre un activo. A veces se emplea el término
“insuficiencia” para resaltar el hecho de que la eficacia medida de la salvaguarda es
insuficiente para preservar el valor del activo expuesto a una amenaza.

32. Análisis de riesgos. Conceptos
• Un activo tiene valor para la compañía y está lo expone a un riesgo con la esperanza de
obtener un beneficio (oportunidad) .
• La materialización de la amenaza a través de la explotación de una vulnerabilidad
degrada el valor del activo y le puede afectar a su confidencialidad, integridad o
disponibilidad.
• Los riesgos se identifican y se valoran cualitativa o cuantitativamente, tomando en
cuenta la frecuencia de aparición (o probabilidad) e impacto.
• Una vez identificados los riesgos se tratan aplicando medidas (Plan de tratamiento de
riesgos).
• El riesgo residual (riesgo existente después de aplicar medidas) debe ser conocido y
formalmente aceptado por la Organización (dirección)
• El apéndice A de la ISO 27001:2013 o la ISO27002 es un catalogo de salvaguardas o
medidas a aplicar para tratar el riesgo.

33. Análisis de riesgos según MAGERIT V3
• 1. determinar los activos relevantes para la Organización, su interrelación y su valor, en
el sentido de qué perjuicio (coste) supondría su degradación
• 2. determinar a qué amenazas están expuestos aquellos activos
• 3. determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo
• 4. estimar el impacto, definido como el daño sobre el activo derivado de la
materialización de la amenaza
• 5. estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o
expectativa de materialización) de la amenaza
ISO 27001:2013
-Análisis de riesgo según contexto, no según activos
-Riesgos asociados a la perdida de Confidencialidad, Integridad y Disponibilidad de la I.
-Se substituye “propietario del activo” por “propietario del riesgo”

34. Lista de tareas de AR según MAGERIT V3

35. ISO 27001. Planificación
Resumiendo:
• Hay que definir, aplicar y documentar un proceso de evaluación de riesgos, propio o de
terceros, focalizado en los valores de la seguridad de la información
• Hay que definir los criterios de aceptación de riesgo (Riesgo aceptable)
• Identificad los riesgos principales y los propietarios de esos riesgos. Priorizarlos
• Diseñar un plan de tratamiento de riesgos, comparar los controles necesarios con el
anexo A y elaborar el Statement of applicability (SoA)
• El SoA debe revisar los controles del anexo A y justificar su inclusión o
exclusión.
• Crear el plan de seguridad y obtener la aprobación de los propietarios del riesgo
• Crear objetivos (6.2) de seguridad. Como en otras normas.

36. ISO 27001. Soporte
• Marca los requerimientos de soporte para el establecimiento, implementación y mejora del SGSI,
que incluye:
• Recursos, personal competente, concienciación y comunicación con las partes interesadas
• Se incluye una nueva definición “información documentada” que sustituye a los términos
“documentos” y “registros”; abarca el proceso de documentar, controlar, mantener y conservar la
documentación correspondiente al SGSI. Depende del tamaño de la organización.
• El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un
determinado conjunto de estos.

37. ISO 27001. Operación
• Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas
de la Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el
del estándar. Es la realización de lo determinado en 6.1 y 6.2 (planificación)
• Además, plantea que la organización debe planear y controlar las operaciones y
requerimientos de seguridad, erigiendo como el pilar de este proceso la ejecución de
evaluaciones de riesgos de seguridad de la información de manera periódica por medio
de un programa previamente elegido.
• Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos.
Solo se requiere para identificar los riesgos asociados con la confidencialidad,
integridad y disponibilidad

38. ISO 27001. Evaluación del rendimiento
• En un SGSI es fundamental medir, medir, y… medir. Para ello, se llevarán a cabo
actividades de análisis y evaluación, auditorías internas y la revisión por la dirección del
Sistema de Gestión de Seguridad de la Información
• La base para identificar y medir la efectividad y desempeño del SGSI continúan siendo
las auditorías internas y las revisiones del SGSI.
• Se debe considerar para estas revisiones el estado de los planes de acción para atender
no conformidades anteriores y se establece la necesidad de definir quién y cuándo se
deben realizar estas evaluaciones así como quién debe analizar la información
recolectada

39. ISO 27001. Mejora continua
• Una organización deberá mejorar continuamente la adecuación y eficacia del SGS, así
cómo dar solución a todas las acciones correctivas y no conformidades detectas

40. Dominios (Clausulas) y Controles (Salvaguardas)
A.5: Information security policies (2 controls)
A.6: Organization of information security (7
controls)
A.7: Human resource security - 6 controls that are
applied before, during, or after employment
A.8: Asset management (10 controls)
A.9: Access control (14 controls)
A.10: Cryptography (2 controls)
A.11: Physical and environmental security (15
controls)
A.12: Operations security (14 controls)
A.13: Communications security (7 controls)
A.14: System acquisition, development and
maintenance (13 controls)
A.15: Supplier relationships (5 controls)
A.16: Information security incident management (7
controls)
A.17: Information security aspects of business
continuity management (4 controls)
A.18: Compliance; with internal requirements, such
as policies, and with external requirements, such as
laws (8 controls)

41. Dominios (Clausulas) y Controles (Salvaguardas)
Fuente: http://http://www.iso27001standard.com
Diagrama de implantación de ISO 27001
Lista de verificación (Checklist) de implantación de ISO 27001

42. Documentación obligatoria
• Alcance del SGSI (punto 4.3)
• Objetivos y política de seguridad de la información (puntos 5.2 y 6.2)
• Metodología de evaluación y tratamiento de riesgos (punto 6.1.2)
• Declaración de aplicabilidad (SoA) (punto 6.1.3 d)
• Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)
• Informe de evaluación de riesgos (punto 8.2)
• Definición de roles y responsabilidades de seguridad (puntos A.7.1.2 y A.13.2.4)
• Inventario de activos (punto A.8.1.1)
• Uso aceptable de los activos (punto A.8.1.3)
• Política de control de acceso (punto A.9.1.1)
• Procedimientos operativos para gestión de TI (punto A.12.1.1)
• Principios de ingeniería para sistema seguro (punto A.14.2.5)
• Política de seguridad para proveedores (punto A.15.1.1)
• Procedimiento para gestión de incidentes (punto A.16.1.5)
• Procedimientos para continuidad del negocio (punto A.17.1.2)
• Requisitos legales, normativos y contractuales (punto A.18.1.1)

43. Registros obligatorios
• Registros de capacitación, habilidades, experiencia y evaluaciones (punto 7.2)
• Monitoreo y resultados de medición (punto 9.1)
• Programa de auditoría interna (punto 9.2)
• Resultados de auditorias internas (punto 9.2)
• Resultados de la revisión por parte de la dirección (punto 9.3)
• Resultados de medidas correctivas (punto 10.1)
• Registros sobre actividades de los usuarios, excepciones y eventos de seguridad
(puntos A.12.4.1 y A.12.4.3)

44. Gracias
¿Preguntas?
Mailto: Gnzldlp@gmail.com