Este documento presenta información sobre la interpretación y auditoría de la norma ISO/IEC 27001:2005 de sistemas de gestión de seguridad de la información. Incluye definiciones clave, el proceso de auditoría, y detalles sobre la estructura y requisitos de la norma ISO 27001.
3. Reglas del juego
Buenas prácticas para el taller
Evitemos hacer uso de equipos
portátiles
Evitemos hacer uso de teléfonos,
configurémoslos en vibrador.
Seamos respetuosos y ordenados al
hacer aportaciones
Tomemos notas acerca de temas
valiosos
5. Su presentador
Guillermo Cruz Aguayo
• Lic. Sistemas de Cómputo Administrativo
• 12+ años de experiencia en Sistemas
de Gestión:
• Ha lidereado más de 80 auditorías de
certificación de SGC con diferentes
organismos certificadores.
• Cursos Auditor Líder con (EQA, DNV,
FS)
• Instructor en Seguridad de Información
para Triara con el respaldo de Dicta
Consulting y Pink Elephant.
•
•
•
•
• Ha asesorado más de 60 empresas en
procesos de certificación de Sistemas de
Gestión ISO
ISO 9001
BS 7799
ISO 27001
ISO 14001
• Experto Técnico en Tecnologías de
Información ante la EMA para :
• Factual Services
• CIM Certificación
• En Armstrong Laboratorios de México:
• Jefe de Seguridad de Información,
Funcional SAP & Basis.
8. Concepto de competencia
Calidad
Conocimientos
y habilidades
específicos de
calidad.
Educación
Conocimientos
y habilidades
genéricos
Experiencia en
auditorías
Seguridad de
Información
Conocimientos
y habilidades
específicos de
Seguridad de
Información.
Formación
como auditor
Cualidades personales
Experiencia
laboral
11. Seguridad de la Información
Definiciones
•
La Seguridad de la información se define como la preservación de las
siguientes características:
o Confidencialidad: se garantiza que la información sea accesible sólo a
aquellas personas autorizadas a tener acceso a ella.
o Integridad: se salvaguarda la exactitud y totalidad de la información y
los métodos de procesamiento.
o Disponibilidad: se garantiza que los usuarios autorizados tengan
acceso a la información y a los recursos relacionados con ella toda vez
que se requiera.
Confidencialidad
Integridad
Disponibilidad
12. Seguridad de la Información
Definiciones
•
•
•
•
•
Seguridad de la Información (SI).- Preservación de la confidencialidad,
integridad y disponibilidad de la información; adicionalmente autenticidad,
responsabilidad, no repudio y confiabilidad.
SGSI.- es la parte del sistema de gestión de la empresa, basado en un
enfoque de riesgos del negocio, para: establecer, implementar, operar,
monitorear, mantener y mejorar la seguridad de la información.
Activo.- Algo que tiene valor para la organización (ISO/IEC 13335-1:2004)
Amenaza.- Evento que puede provocar un incidente en la organización
produciendo daños o pérdidas materiales y/o inmateriales
Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente
incidencias externas.
13. Seguridad de la Información
Definiciones
•
•
•
•
El SGSI: Sistema de Gestión de Seguridad de la Información.
La Gestión de la Seguridad de la Información ,debe realizarse mediante
un proceso sistemático, documentado y conocido por toda la organización.
Garantizar un nivel de protección total es imposible incluso en el caso
de disponer de un presupuesto ilimitado.
El propósito de un sistema de gestión de la seguridad de la
información es, por tanto, garantizar que los riesgos de la seguridad de la
información son conocidos, asumidos, gestionados y minimizados por la
organización de una forma documentada, sistemática, estructurada,
repetible, eficiente y adaptada a los cambios que se produzcan en los
riesgos, el entorno y las tecnologías.
14. Algunas Definiciones Previas..
¿Por Qué Gestión De Riesgos De La
Información?
•
•
•
Necesidad de Proteger la Información
Sin embargo, esto puede generar:
o Crecimiento de cantidad y complejidad de los controles
o Pérdida del foco de actividades (Seguridad vs Negocio)
Por otra parte, requiere:
o Mediciones del impacto producido por los controles en seguridad
o Aplicar un criterio de negocios
25. Seguridad de la Información
Propósito fundamental
Alto
Impacto al negocio
Transferir
Bajo Aceptar
Evitar
Nivel de riesgo inaceptable
El propósito fundamental de la
seguridad es:
“Administrar el riesgo al cual
la organización se encuentra
expuesta con respecto a la
información”
Nivel de riesgo aceptable
Reducir Alto
Probabilidad de que se
aprovechen
las brechas de seguridad
26. Seguridad de la Información
Niveles óptimos de seguridad
Costo de
Implementar
Una Solución
de Seguridad
Costo
Total
$
Costo de una
pérdida de
Información
100%
Nivel de seguridad
27. Seguridad de la Información
Realidad actual
EL PAPEL
DE LA
SEGURIDAD
Riesgos y
cumplimiento
Presupuesto
limitado
Habilitador de
negocio
28. Riesgo
La contraparte de la seguridad
• Amenaza: un evento o situación que
podría generar peligro, heridas o pérdidas.
• Probabilidad: la posibilidad de que una
amenaza se materialice.
• Vulnerabilidad: es el grado de debilidad
Amenazas
de un elemento frente a una amenaza.
• Impacto: el daño ocasionado por una
amenaza tras su materialización.
El riesgo para una amenaza está en función de la
probabilidad, la vulnerabilidad y el impacto
R(A) = f(P, V, I)
Vulnerabilidades
29. Control
Contraposición a la vulnerabilidad
Políticas
Prácticas
Control
Procedimientos
Estructuras
Organizacionales
32. Antecedentes
Formalización de la norma
Aprobada y publicada en 2005.
Revisión
por
parte
del
International
Organization for Standarization y la comisión
International Electrotechnical Comission.
Refleja los principios de la Organization for
Economic Cooperation and Development.
Norma Internacional
33. Antecedentes
La familia ISO 27000
ISO/IEC
Descripción
27000
Vocabulario y definiciones
27001
Especificación de la estructura metodológica (basada en
el BS7799-2:2002) – Norma Certificable
27002
Código de prácticas (basada en ISO17799:2005).
27003
Guía de implementación.
27004
Métricas y medidas.
27005
La Administración del Riesgo (basado BS 7799-3)
35. Introducción ISO/IEC 27001:2005
Generalidades
• El estándar ISO/IEC 27001:2005 específica
un enfoque en los siguientes temas:
1.
2.
3.
4.
5.
6.
7.
Principios y Gestión de Seguridad
Responsabilidades de la Gestión de Seguridad
Enfoque de “arriba hacia abajo”
Gestión de Riesgo
Toma de Conciencia de Seguridad
Continuidad del Negocio y Gestión de Desastres
Cumplimiento Legal
36. Introducción ISO/IEC 27001:2005
Ciclo PDCA – Mejora Continua
Partes
interesadas:
Clientes
Proveedores
Usuarios
Accionistas
Otros
Requerimientos
y Expectativas
de Seguridad de
Información
Partes
interesadas:
Establecimiento
del SGSI
PLAN
Implementación
del SGSI
Mejora del SGSI
ACT
DO
Monitoreo y
revisión del
SGSI
CHECK
Clientes
Proveedores
Usuarios
Accionistas
Otros
Requerimientos y
Expectativas de
Seguridad de
Información
37. Introducción ISO/IEC 27001:2005
Modelo de Madurez de Seguridad de Información
Nivel 5
Sistema
Optimizado
Procesos
inconsistentes
Nivel 4
Sistema
Administrado
Procesos
desorganizados
Procesos
inexistentes
Nivel 2
Sistema
Intuitivo
Nivel 1
Sistema
Intermitente
Nivel 0
Sistema
Inexistente
Nivel 3
Sistema
Definido
Mejores
prácticas
Procesos
medidos y
monitoreados
Procesos
documentados y
comunicados
39. Estructura ISO/IEC 27001:2005
•
•
•
•
•
•
•
•
•
•
0. Introducción
1. Alcance
2. Referencias Normativas
3. Definiciones y Terminología
4. Sistema de Gestión para la
Seguridad de la Información
5. Responsabilidad de la gerencia.
6. Auditorias Internas para el SGSI
7. Revisión Gerencial del SGSI
8. Mejora del SGSI
Anexo A: Objetivos y controles
Dominio
A.5 Política de Seguridad
A.6 Organización de la SI
A.7 Gestión de activos
A.8 Seguridad de los recursos humanos
A.9 Seguridad física y ambiental
A.10 Gestión de comunicaciones y operaciones
A.11 Control de accesos
A.12 Adquisición, desarrollo y mantenimiento de
sistemas de información
A.13 Gestión de incidentes de SI
A.14 Gestión de la continuidad
A.15 Cumplimiento
40. Estructura de ISO/IEC 27001:2005
Prólogo normativo
•
•
El
estándar
ISO/IEC
27001:2005 tiene un total de
46 requerimientos explícitos
que deben ser atendidos de
forma cabal.
Los requerimientos deberán
ser revisados y medidos a
intervalos planeados para
garantizar la efectividad y
eficiencia de los controles que
proponen.
Clausula 4
Clausula 6
Clausula 8
Clausula 5
Clausula 7
17%
44%
13%
17%
9%
41. Estructura de ISO/IEC 27001:2005
Prólogo normativo
0. Introducción
1. Alcance
2. Referencias
Normativas
3. Términos y
Definiciones
• 0.1 General
• 0.2 Enfoque a procesos
• 0.3 Compatibilidad con otros Sistemas de
Gestión
• 1.1 General
• 1.2 Aplicación
42. Estructura de ISO/IEC 27001:2005
Prólogo normativo
4. Sistema de Gestión
de Seguridad de
Información (Enfoque
a Riesgos)
5. Responsabilidad de la
Dirección
• 4.1 Requerimientos Generales
• 4.2 Estableciendo y Administrando el SGSI
• 4.2.1 Estableciendo el SGSI
• 4.2.2 Implementando y Operando el SGSI
• 4.2.3 Monitoreando y Revisando el SGSI
• 4.2.4 Manteniendo y Mejorando el SGSI
• 4.3 Requerimientos de Documentación
• 4.3.1 General
• 4.3.2 Control de documentos
• 4.3.3 Control de Registros
• 5.1 Compromiso de la Dirección
• 5.2 Gestión de Recursos
• 5.2.1 Provisión de Recursos
• 5.2.2 Capacitación, difusión y competencia
43. Estructura de ISO/IEC 27001:2005
Prólogo normativo
6. Auditorías Internas
7. Revisión Gerencial del
SGSI
8. Mejora del SGSI
Anexo A
• 7.1 General
• 7.2 Entradas para la Revisión
• 7.3 Salidas de la Revisión
• 8.1 Mejora Continua
• 8.2 Acciones Correctivas
• 8.3 Acciones Preventivas
44. Estructura de ISO/IEC 27001:2005
Prólogo normativo
• La documentación obligatoria de un SGSI de
acuerdo a la norma es:
o
o
o
o
o
o
o
o
o
Política y objetivos de seguridad
Alcance
Procedimientos de gestión
Metodología de análisis de riesgos
Reporte de análisis de riesgos
Plan de tratamiento de riesgos
Declaración de aplicabilidad
Métricas de efectividad
Registros de capacitación, compromiso
gerencial, auditorías, etc.
45. Estructura de ISO/IEC 27001:2005
Dinámica
• Equipos: Hasta tres personas
• Tiempo: 45 minutos de análisis, 15 minutos
•
por exposición.
Actividad:
o Analizar un apartado del prólogo normativo, realizar
una presentación básica del tema.
o Identificar: documentos requeridos, registros
requeridos por apartado, actividades a realizar.
46. Estructura de ISO/IEC 27001:2005
Anexo A
•
•
El estándar ISO/IEC
27001:2005 tiene un
total de 133 controles
ordenados
en
11
dominios de control.
Es necesario declarar la
aplicabilidad de cada
uno de ellos, de acuerdo
al alcance del SGSI.
A.5
A.9
A.13
4%
4%
A.6
A.10
A.14
A.7
A.11
A.15
1%
7%
8%
12%
19%
A.8
A.12
4%
7%
10%
24%
47. Estructura de ISO/IEC 27001:2005
Anexo A.5 Política de la Seguridad de Información
1 Objetivos de Control
2 Controles
Objetivo: Proveer la dirección y
soporte ejecutivo a la seguridad de
información de acuerdo a los
requerimientos de negocio, a las
regulaciones relevantes y a los
requerimientos impuestos.
48. Estructura de ISO/IEC 27001:2005
Anexo A.6 Organización para la Seguridad
Rol 2
2 Objetivos de Control
------------
11 Controles
Empleado 1
Objetivo: Definir el conjunto de
responsables en la administración
de la seguridad de información, así
como las interacciones entre estos
responsables, la organización, sus
empleados y grupos externos.
Rol 1
------------
Rol 3
-------
-----Empleado 2
49. Estructura de ISO/IEC 27001:2005
Anexo A.7 Gestión de Activos
2 Objetivos de Control
5 Controles
Objetivo: Identificar, resguardar y
proteger de manera adecuada los
activos de la organización.
Activo
Clasificación
Servidor 1
Confidencial
Documento 1
Restringido
Computadora 1
Confidencial
50. Estructura de ISO/IEC 27001:2005
Anexo A.8 Seguridad en Recursos Humanos
3 Objetivos de Control
9 Controles
Recursos Humanos
Externos
Objetivo:
Asegurar
el
cumplimiento de la normativa de
Seguridad de Información durante
la selección, contratación y termino
de empleo o contrato de los
aspirantes, colaboradores internos
o externos, contratistas o terceras
partes que tengan o vayan a tener
acceso
a
los
activos
organizacionales.
Procesos
Disciplinarios
Responsabilidades
Política de Seguridad de
Información
51. Estructura de ISO/IEC 27001:2005
Anexo A.9 Seguridad Física y ambiental
2 Objetivos de Control
13 Controles
Objetivo: Estructurar el conjunto
de controles de restricción física
para salvaguardar la integridad de
los
activos
de
información
organizacional, sea cual sea su
naturaleza.
52. Estructura de ISO/IEC 27001:2005
Anexo A.10 Gestión de Operaciones
10 Objetivos de Control
32 Controles
Objetivo: Generar un conjunto de
controles que garanticen la
seguridad de información a través
de cualquier tipo de flujo que sea
parte de la operación diaria de la
empresa.
53. Estructura de ISO/IEC 27001:2005
Anexo A.11 Control de Accesos
7 Objetivos de Control
25 Controles
Objetivo: Salvaguardar todos los
recursos tecnológicos de la
organización
de
eventos
intencionados como el robo o
manipulación de la información.
54. Estructura de ISO/IEC 27001:2005
Anexo A.12 Adquisición y Desarrollo de Aplicaciones
¿Cómo se accede?
6 Objetivos de Control
¿Dónde se
ubicarán?
16 Controles
Objetivo: Asegurar que las
actividades derivadas de la
adquisición,
desarrollo
y
mantenimiento de los Sistemas de
Información cumple con los
requerimientos de Seguridad de
Información establecidos por la
misma.
¿Qué entidades
harán uso de los
sistemas?
¿Qué requerimientos
Técnicos necesita para la
Seguridad?
55. Estructura de ISO/IEC 27001:2005
Anexo A.13 Gestión de Incidentes
Detección de Incidente
2 Objetivos de Control
Advertencia
Indica la posible
ocurrencia de un
incidente
Indicador
Indica que un incidente
ocurrió o está
ocurriendo
5 Controles
Objetivo: Restaurar los servicios y
nivel de seguridad requeridos lo
más rápido posible, con la finalidad
de minimizar el impacto en la
organización.
EAI
Usuarios
Herramientas
56. Estructura de ISO/IEC 27001:2005
Anexo A.14 Gestión de la Continuidad
1 Objetivos de Control
5 Controles
Objetivo: Proteger y asegurar la
oportuna reanudación de los
procesos críticos del negocio en
caso de un desastre o falla
tecnológica.
57. Estructura de ISO/IEC 27001:2005
Anexo A.15 Cumplimiento
Requerimientos
Identificados
3 Objetivos de Control
10 Controles
Objetivo: Asegurar el establecimiento
de las medidas de
control, efectividad, revisión y
corrección que permitan garantizar el
cumplimiento de las
Regulaciones, Leyes, Estándares,
Acuerdos Contractuales y
Requerimientos de cumplimiento
internos de la Organización con
respecto a la Seguridad de Información.
Ejemplos:
• Política de Seguridad
de Información
• Proceso de Control de
Registros
• Política de Uso de
Información
• Controles
Criptográficos
• Proceso de Auditoría
• Controles de Sistemas
de Información
• Penalizaciones
Políticas y
Estándares
Procesos
Controles
58. Estructura de ISO/IEC 27001:2005
Dinámica
• Equipos: Hasta tres personas
• Tiempo: 45 minutos de análisis, 10 minutos
•
de explicación por dominio (considerar A.5
como obligatorio)
Actividad:
o Revisar caso de riesgo identificado en Patito S.A. de
C.V.
o Identificar aplicabilidad de controles por anexo
asignado.
60. Conclusiones
•
•
•
•
•
•
•
La Seguridad de la Información es un proceso.
La Seguridad de la Información se basa en personas.
La Seguridad de la Información debe orientarse al riesgo.
Un buen SGSI es un sistema rentable para la organización.
No existe la seguridad absoluta. El SGSI ayuda a la
administración general de una empresa.
Hay que definir estrategias de negocio y huir de actuaciones
puntuales sin criterios de interconexión.
Un proyecto SGSI requiere un equipo de trabajo multidisciplinario.