Lecture 04 SGSI

SEGURIDAD DE LA INFORMACION
SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION

(ISMS Information Security Management System)
Ms. Ing. Edwin Valencia Castillo

evalencia@unc.edu.pe
Seguridad de la Informacin| SGSI
ndice
Introduccin a los SGSI y la norma ISO 27001

Desarrollo de normativas
Aspectos claves en la implantacin de un SGSI: Anlisis de Riesgos

Anlisis y Gestin de Riesgos Qu es un Sistema de Gestin? Especificaciones SGSI: ISO 27001
Buenas prcticas: ISO 27002 Procesos de Certificacin

2
Tuesday, October 1, 2013
Seguridad de la Informacin
2011 Edwin Valencia Castillo.
Qu es un Sistema de Gestin de Seguridad de la Informacin?
Es la herramienta de la organizacin para dotarse en cada momento de las medidas de seguridad oportunas, que proporcionen los niveles de proteccin de la informacin que en cada momento sean necesarias, de la forma mas eficiente, en un entorno de mejora continua.
Qu es un Sistema de Gestin de Seguridad de la Informacin?
Es un proceso sistemtico, documentado y conocido por toda la organizacin, desde un enfoque de riesgo empresarial. Ayuda a establecer polticas y procedimientos en relacin a los objetivos del negocio de la organizacin, con el objeto de mantener un nivel de exposicin siempre menor al nivel de riesgo que la propia organizacin ha decidido asumir.
4
Tuesday, October 1, 2013 Seguridad de la Informacin 2011 Edwin Valencia Castillo.
Qu es un Sistema de Gestin de Seguridad de la Informacin? Es un conjunto de polticas, procedimientos y controles que persigue mantener el riesgos de los sistemas de informacin dentro de unos niveles asumibles por la direccin y mejorar la seguridad de la informacin para apoyar los procesos de negocio a travs del ciclo de mejora continua.
Planificar Establecer el SGSI Actuar Hacer Mantener y Implantar y Mejorar el SGSI Operar el SGSI Comprobar Monitorizar y Revisar el SGSI
El ncleo sobre el que se fundamenta un SGSI es la GESTION DEL RIESGO
Cmo trata el riesgo un SGSI?
Primero analizar el riesgo
Activos CLASIFICACION Amenazas Vulnerabilidades DEL RIESGO Impacto

NIVEL ACEPTABLE DEL RIESGO
Segundo decidir sobre 1.- Aceptarlo 2.- Transferirlo el riesgo
3.- Gestionarlo
Cuarto corregir y mejorar
Tercero 1.- Polticas medir cmo 2.- Procedimientos van las cosas 3.- Implantacin
4.- Eficacia
6
Tuesday, October 1, 2013 Seguridad de la Informacin
CONTROL DEL RIESGO
Normativa sobre SGSI
Normas de referencia
ISO 27002: Cdigo de buenas prcticas para

la gestin de la seguridad de la informacin
Da recomendacin sobre como gestionar la seguridad de la informacin, a travs de 12 secciones, cada una de las cuales tiene una serie de objetivos, que se alcanzan implantando una serie de controles
ISO 27001: Especificaciones para los Sistemas de Gestin

de la Seguridad de la Informacin (SGSI)
Establece las especificaciones que debe cumplir el sistema de gestin que implante la organizacin para que pueda ser auditado y certificado
Seguridad de la Informacin 2011 Edwin Valencia Castillo.
Familia de estndares ISO 27000

ISO/IEC 27000 es un conjunto de estndares desarrollados -o en fase de desarrollo por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestin de la seguridad de la informacin utilizable por cualquier tipo de organizacin, pblica o privada, grande o pequea.
Evolucin Histrica del marco ISO 27000

1995 1996 1999 2000 2002 2005
BS7799:1995 ISO 14980:1996 BS7799-1:1999 ISO/IEC 17799:2000
UNE/ISO 17799:2002
ISO 27001:2005 ISO 27002:2005
Evolucin Histrica del marco ISO 27000
UNE-ISO/IEC 27001
ISO/IEC 27002
2007
10
Historia del ISO 27001
11
La familia de normas ISO 27000

ISO 27000 Vocabulario y Definiciones: Publicada el 1 de Mayo de 2009 y revisada con una segunda edicin de 01 de Diciembre de 2012. Esta norma proporciona una visin general de las normas que componen la serie 27000, una introduccin a los Sistemas de Gestin de Seguridad de la Informacin, una breve descripcin del ciclo Plan-Do-Check-Act y trminos y definiciones que se emplean en toda la serie 27000 ISO 27001 Especificaciones de un SGSI: Publicada el 15 de Octubre de 2005. Es la norma principal de la serie y contiene los requisitos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 (que ya qued anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones. ISO 27002 Cdigo de Buenas Prcticas (anterior ISO/IEC 17799:2005): Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005. Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios. agrupados en 12 dominios. Desde 2007 se ha traducido en el Per (como ISO 17799).
12

ISO 27003 Gua de implantacin de un SGSI: Publicada el 01 de Febrero de 2010. No certificable. Es una gua que se centra en los aspectos crticos necesarios para el diseo e implementacin con xito de un SGSI de acuerdo ISO/IEC 27001:2005. Describe el proceso de especificacin y diseo desde la concepcin hasta la puesta en marcha de planes de implementacin, as como el proceso de obtencin de aprobacin por la direccin para implementar un SGSI. ISO 27004 Mtricas e Indicadores: Publicada el 15 de Diciembre de 2009. No certificable. Es una gua para el desarrollo y utilizacin de mtricas y tcnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados segn ISO/IEC 27001. ISO 27005 Gua de gestin de Riesgos: Publicada en segunda edicin el 1 de Junio de 2011 (primera edicin del 15 de Junio de 2008). No certificable. Proporciona directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos.
13

ISO 27006 Requisitos acreditacin entidades de certificacin: Publicada en segunda edicin el 1 de Diciembre de 2011 (primera edicin del 1 de Marzo de 2007). Especifica los requisitos para la acreditacin de entidades de auditora y certificacin de sistemas de gestin de seguridad de la informacin. ISO 27007 Publicada el 14 de Noviembre de 2011. No certificable. Es una gua de auditora de un SGSI, como complemento a lo especificado en ISO 19011. ISO 27008 Publicada el 15 de Octubre de 2011. No certificable. Es una gua de auditora de los controles seleccionados en el marco de implantacin de un SGSI. ISO 27010 Publicada el 20 de Octubre de 2012. Consiste en una gua para la gestin de la seguridad de la informacin cuando se comparte entre organizaciones o sectores. ISO 27011 Publicada el 15 de Diciembre de 2008. Es una gua de interpretacin de la implementacin y gestin de la seguridad de la informacin en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. ISO 27013 Publicada el 15 de Octubre de 2012. Es una gua de implementacin integrada de ISO/IEC 27001 (gestin de seguridad de la informacin) y de ISO/IEC 20000-1 (gestin de servicios TI).
14

ISO 27014 En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de gobierno corporativo de la seguridad de la informacin. ISO 27015 Publicada el 23 de Noviembre de 2012. Es una gua de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002. ISO/IEC 27016 En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de valoracin de los aspectos financieros de la seguridad de la informacin. ISO/IEC 27017 En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de seguridad para Cloud Computing. ISO/IEC 27018 En fase de desarrollo, con publicacin prevista en 2013. Consistir en un cdigo de buenas prcticas en controles de proteccin de datos para servicios de computacin en cloud computing. ISO/IEC 27019 En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua con referencia a ISO/IEC 27002 para el proceso de control de sistemas especficos al sector de la industria de la energa.
15

ISO/IEC 27031 Publicada el 01 de Marzo de 2011. No certificable. Es una gua de apoyo para la adecuacin de las tecnologas de informacin y comunicacin (TIC) de una organizacin para la continuidad del negocio. ISO/IEC 27032 Publicada el 16 de Julio de 2012. Proporciona orientacin para la mejora del estado de seguridad ciberntica, extrayendo los aspectos nicos de esa actividad y de sus dependencias en otros dominios de seguridad, concretamente: Informacin de seguridad, seguridad de las redes, seguridad en Internet e informacin de proteccin de infraestructuras crticas (CIIP). ISO/IEC 27033 Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el 15 de Diciembre de 2009); 27033-2, directrices de diseo e implementacin de seguridad en redes (publicada el 27 de Julio de 2012); 27033-3, escenarios de referencia de redes (publicada el 3 de Diciembre de 2010); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista para 2013); 27033-6, convergencia IP (prevista para 2013); 27033-7, redes inalmbricas (prevista para 2013).
16

ISO/IEC 27034 Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informticas, consistente en 5 partes: 27034-1, conceptos generales (publicada el 21 de Noviembre de 2011); 27034-2, marco normativo de la organizacin (sin previsin de publicacin); 27034-3, proceso de gestin de seguridad en aplicaciones (sin previsin de publicacin); 27034-4, validacin de la seguridad en aplicaciones (sin previsin de publicacin); 27034-5, estructura de datos de protocolos y controles de seguridad de aplicaciones (sin previsin de publicacin). ISO/IEC 27035 Publicada el 17 de Agosto de 2011. Proporciona una gua sobre la gestin de incidentes de seguridad en la informacin. ISO/IEC 27036 En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visin general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC; 27036-4, seguridad en outsourcing (externalizacin de servicios).
17

ISO/IEC 27037 Publicada el 15 de Octubre de 2012. Es una gua que proporciona directrices para las actividades relacionadas con la identificacin, recopilacin, consolidacin y preservacin de evidencias digitales potenciales localizadas en telfonos mviles, tarjetas de memoria, dispositivos electrnicos personales, sistemas de navegacin mvil, cmaras digitales y de video, redes TCP/IP, entre otros dispositivos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones. ISO/IEC 27038 En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua de especificacin para seguridad en la redaccin digital. ISO/IEC 27039 En fase de desarrollo, con publicacin prevista en 2013. Consistir en una gua para la seleccin, despliegue y operativa de sistemas de deteccin y prevencin de intrusin (IDS/IPS). ISO/IEC 27040 En fase de desarrollo, con publicacin prevista no antes de 2014. Consistir en una gua para la seguridad en medios de almacenamiento. ISO/IEC 27041 En fase de desarrollo, con publicacin prevista no antes de 2014. Consistir en una gua para la garantizar la idoneidad y adecuacin de los mtodos de investigacin.
18

ISO/IEC 27042 En fase de desarrollo, con publicacin prevista no antes de 2014. Consistir en una gua con directrices para el anlisis e interpretacin de las evidencias digitales. ISO/IEC 27043 En fase de desarrollo, con publicacin prevista no antes de 2014. Desarrollar principios y procesos de investigacin. ISO/IEC 27044 En fase de desarrollo, con publicacin prevista no antes de 2014. Gestin de eventos y de la seguridad de la informacin - Security Information and Event Management (SIEM). ISO 27799 Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretacin y aplicacin en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la informacin sobre los datos de salud de los pacientes.
19
Relacin entre las normas ISO 27000
20
Relacin con otros estndares
21
Seguridad, de qu estamos hablando? La seguridad de la informacin se caracteriza como la preservacin de la su Confidencialidad, Integridad y Disponibilidad NECESIDADES SEGURIDAD DE NUESTRO CONFIDENCIALIDAD NEGOCIO S
INTEGRIDAD
DISPONIBILIDAD
E G U R I D A D
AUTENTICACION
NO REPUDIO
TRAZABILIDAD
RESPONSABILIDAD GESTIN DE LA SEGURIDAD SEGURIDAD TOTAL
22
ndice



23
Anlisis de Riesgos
Elemento fundamental de un Sistema de Gestin de la Seguridad de la Informacin Es el proceso de identificar los riesgos de la seguridad, determinando su magnitud e identificando las reas que requieren medidas de salvaguarda
24
Anlisis de Riesgos
El anlisis de riesgos intenta que los criterios en los que se apoya la seguridad sean mas objetivos
Introduce un grado importante de objetividad Permite a la organizacin gestionar sus riesgos por s mismos Apoyar la toma de decisiones basndose en los riesgos propios Centrarse en proteger los activos importantes Formar y comunicar los aspectos de la seguridad necesarios
Control de los riesgos Riesgo conocido y asumido por la compaa

25
Tuesday, October 1, 2013 Seguridad de la Informacin
Disminucin del riesgo Vigilancia del nivel de riesgo.
Anlisis de Riesgos. Definiciones
26
Anlisis de Riesgos. Relaciones Amenazas

Protegen contra Explota
Vulnerabilidades
Afecta a Aumenta
Aumenta
Salvaguardas
Disminuye
Riesgo
Aumenta Indica
Activos
Satisfecho por
Tiene
Requisitos de seguridad
Valor de activos
27
Anlisis de Riesgos. Relaciones

Dir. Transversal, Equipos obsoletos, Buff. Overflow, Buff. Overrun, Unauthorized mail access, Priv. Escalation, DoS, Falta formacin, Open Relay, etc.
Hackers, Sabotajes, Explota Virus, Phising, Spam, Averas, etc.

Protegen contra Aumenta
Afecta a
Cluster, Antivirus, Disminuye Antispam, Backup Respaldo, Formacin, etc.
Aumenta
Riesgo
Aumenta
eMail
Satisfecho por
Indica
Tiene
Requisitos de seguridad
Valor del eMail
28
Anlisis de Riesgos. Objetivo Tiene por objetivo la toma de una decisin.
Que es la accin de neutralizar un riesgo considerado no aceptable. La accin se plasma en la implantacin de salvaguardas. Salvaguardas escogidas entre alternativas + o excluyentes. El estado final de seguridad alcanzado puede no coincidir con el estado final de seguridad deseado. Pueden entran en juego restricciones: legales, econmicas, tcnicas, temporales, sociales, culturales, etc.
29
Anlisis de Riesgos. Metodologas de Anlisis de Riesgos NIST SP800-30(NIST-USA). MAGERIT AS/NZ (Estandar Australiano) IT Baseline Protection Manual (BSI - Alemania). CRAMM (Siemens Insight Consulting - UK) OCTAVE (SEI Carnegie Mellon University - US). EBIOS (DCSSI-Francia). MHARI (Mthode Harmonise dAnalyse de Risques Informatiques). 565 , herramienta RISICARE (9200+565 formacin extranjero) Otras: COBRA, SCORE, CALIO, ISAAM, RA2, MOSLER, Gretener, etc.
30
Gestin de Riesgos
Anlisis de los Riesgos: proceso sistemtico para identificar y estimar la magnitud del riesgo sobre un sistema de informacin.
Activos Amenazas Vulnerabilidades Anlisis de Riesgos Riesgos Gestin de Riesgos Salvaguardas
Gestin de los Riesgos: seleccin e implantacin de salvaguardas para conocer, prevenir, impedir, reducir, controlar o transferir los riesgos identificados. 31
Gestin de Riesgos.
Fuentes de las necesidades de seguridad Legislacin, estatutos, contratos Necesidades del negocio Anlisis de riesgos
SEGURIDAD PRINCIPIOS OBJETIVOS ANLISIS DE RIESGO LEGAL CONTRACTUAL
La seguridad slo se consigue combinando medidas tecnolgicas y de gestin

32
Gestin de Riesgos.
Gestionar los riesgos identificados:

Determinar si el riesgo es aceptable
SI: Identificar y aceptar el riesgo residual No: Decidir sobre la forma de gestionar el riesgo
Forma de gestionar el riesgo:

Vulnerabilidad seguros.
Evitarlo: Suprimir las causas del riesgo: Activo, Amenaza, Transferirlo: Cambiar un riesgo por otro: Outsourcing, Reducirlo: Reducir la amenaza, vulnerabilidad, impacto Asumirlo: Detectar y recuperarse
33
Gestin de Riesgos.
Identificar requisito de seguridad
Se acepta el riesgo
No
Hacemos algo?
Si
Eliminar el origen del riesgo, o transferirlo
No
Reducimos riesgo?
Si
Proceso de reduccin de nivel de riesgo Seleccin de controles
34
Qu es un Sistema de Gestin? Es un mtodo para establecer la poltica y Objetivos de una organizacin y lograrlos, Mediante: Una estructura organizativa donde las funciones, responsabilidades, autoridad, etc. de las personas estn definidas Procesos y recursos necesarios para lograr los objetivos Metodologa de medida y de evaluacin para valorar los resultados frente a los objetivos, incluyendo la realimentacin de resultados para planificar las mejoras del sistema Un proceso de revisin para asegurar que los problemas se detectan y se corrigen, y las oportunidades de mejora se implementan cuando estn justificadas
35
Para que sirve un SGSI

El Sistema de Gestin de la Seguridad de la Informacin (SGSI) ayuda a establecer estas polticas y procedimientos en relacin a los objetivos de negocio de la organizacin, con objeto de mantener un nivel de exposicin siempre menor al nivel de riesgo que la propia organizacin ha decidido asumir.
Con un SGSI, la organizacin conoce los riesgos a los que est sometida su informacin y los asume, minimiza, transfiere o controla mediante una sistemtica definida, documentada y conocida por todos, que se revisa y mejora constantemente. 36
Que incluye un SGSI
37
Manual de seguridad
DOCUMENTOS DE NIVEL 1 Manual de seguridad: por analoga con el manual de calidad, aunque el trmino se usa tambin en otros mbitos. Sera el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, polticas y directrices principales, etc., del SGSI.
38
Procedimientos
DOCUMENTOS DE NIVEL 2 Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificacin, operacin y control de los procesos de seguridad de la informacin.
39
Instrucciones, checklist y formularios

DOCUMENTOS DE NIVEL 3 Instrucciones, checklists y formularios: documentos que describen cmo se realizan las tareas y las actividades especficas relacionadas con la seguridad de la informacin.
40
Registros
DOCUMENTOS DE NIVEL 4 Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; estn asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos.
41
Documentos de un SGSI segn el ISO 27001

ESTA DOCUMENTACION PUEDE ESTAR EN CUALQUIER FORMATO O TIPO DE MEDIO Alcance del SGSI: mbito de la organizacin que queda sometido al SGSI, incluyendo una identificacin clara de las dependencias, relaciones y lmites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el mbito de influencia del SGSI considere un subconjunto de la organizacin como delegaciones, divisiones, reas, procesos, sistemas o tareas concretas). Poltica y objetivos de seguridad: documento de contenido genrico que establece el compromiso de la direccin y el enfoque de la organizacin en la gestin de la seguridad de la informacin. Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el propio funcionamiento del SGSI. Enfoque de evaluacin de riesgos: descripcin de la metodologa a emplear (cmo se realizar la evaluacin de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relacin a los activos de informacin contenidos dentro del alcance seleccionado), desarrollo de criterios de aceptacin de riesgo y fijacin de niveles de riesgo aceptables.
42
Documentos de un SGSI segn el ISO 27001

Informe de evaluacin de riesgos: estudio resultante de aplicar la metodologa de evaluacin anteriormente mencionada a los activos de informacin de la organizacin. Plan de tratamiento de riesgos: documento que identifica las acciones de la direccin, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la informacin, en funcin de las conclusiones obtenidas de la evaluacin de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc. Procedimientos documentados: todos los necesarios para asegurar la planificacin, operacin y control de los procesos de seguridad de la informacin, as como para la medida de la eficacia de los controles implantados. Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI. Declaracin de aplicabilidad (SOA Statement of Applicability): documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluacin y tratamiento de riesgos, justificando inclusiones y exclusiones.
43
Cmo se implementa un SGSI?

Para establecer y gestionar un Sistema de Gestin de la Seguridad de la Informacin en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestin de la calidad.
Plan (planificar): establecer el SGSI.
Act (actuar): mantener y mejorar el SGSI.
Do (hacer): implementar y utilizar el SGSI. Check (verificar): monitorizar y revisar el SGSI.
44
Gestin de la Seguridad . ISO 27001

Definir el alcance del SGSI Definir la poltica del SGSI Identificar los riesgos Gestionar los riesgos Seleccionar los controles ISO 17799:2005
Planificar
Implantar las mejoras Adoptar acciones preventivas y correctivas Comunicar acciones y resultados Verificar que las mejoras cumplen su objetivo
Establecer el SGSI Actuar Hacer Mantener y Implantar y Mejorar el SGSI Operar el SGSI Comprobar Monitorizar y Revisar el SGSI
Definir e implantar plan de gestin de riesgos Implantar controles seleccionados y sus indicadores Implantar el Sistema de Gestin
Desarrollar procedimientos de monitorizacin Revisar regularmente el SGSI Revisar los niveles de riesgo Auditar internamente el SGSI
45
Establecer el SGSI
46
Plan: Establecer el SGSI

Definir el alcance del SGSI en trminos del negocio, la organizacin, su localizacin, activos y tecnologas, incluyendo detalles y justificacin de cualquier exclusin. Definir una poltica de seguridad que:
Incluya el marco general y los objetivos de seguridad de la informacin de la organizacin; Considere requerimientos legales o contractuales relativos a la seguridad de la informacin; Est alineada con el contexto estratgico de gestin de riesgos de la organizacin en el que se establecer y mantendr el SGSI; establezca los criterios con los que se va a evaluar el riesgo; Est aprobada por la direccin.
47
Plan: Establecer el SGSI cont.

Definir una metodologa de evaluacin del riesgo apropiada para el SGSI y los requerimientos del negocio, adems de establecer los criterios de aceptacin del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodologa es que los resultados obtenidos sean comparables y repetibles (existen numerosas metodologas estandarizadas para la evaluacin de riesgos, aunque es perfectamente aceptable definir una propia). Identificar los riesgos:
Identificar los activos que estn dentro del alcance del SGSI y a sus responsables directos, denominados propietarios; Identificar las amenazas en relacin a los activos; Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas; Identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos.
48

Analizar y evaluar los riesgos:
Evaluar el impacto en el negocio de un fallo de seguridad que suponga la prdida de confidencialidad, integridad o disponibilidad de un activo de informacin; Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relacin a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estn implementados; Estimar los niveles de riesgo; Determinar, segn los criterios de aceptacin de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado.
Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:

Aplicar controles adecuados; Aceptar el riesgo, siempre y cuando se siga cumpliendo con las polticas y criterios establecidos para la aceptacin de los riesgos; Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan; Transferir el riesgo a terceros, p. ej., compaas aseguradoras o proveedores de outsourcing.
49
50

Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluacin del riesgo. Aprobar por parte de la direccin tanto los riesgos residuales como la implantacin y uso del SGSI. Definir una declaracin de aplicabilidad que incluya:
Los objetivos de control y controles seleccionados y los motivos para su eleccin; Los objetivos de control y controles que actualmente ya estn implantados; Los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusin; este es un mecanismo que permite, adems, detectar posibles omisiones involuntarias.
51
Do: Implementar y utilizar el SGSI

Definir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin. Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignacin de recursos, responsabilidades y prioridades. Implementar los controles anteriormente seleccionados que lleven a los objetivos de control. Definir un sistema de mtricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles. Procurar programas de formacin y concienciacin en relacin a la seguridad de la informacin a todo el personal. Gestionar las operaciones del SGSI. Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la informacin. Implantar procedimientos y controles que permitan una rpida deteccin y respuesta a los incidentes de seguridad.
52
Check: Monitorizar y revisar el SGSI

La organizacin deber: Ejecutar procedimientos de monitorizacin y revisin para:
Detectar a tiempo los errores en los resultados generados por el procesamiento de la informacin; Identificar brechas e incidentes de seguridad; Ayudar a la direccin a determinar si las actividades desarrolladas por las personas y dispositivos tecnolgicos para garantizar la seguridad de la informacin se desarrollan en relacin a lo previsto; Detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores; Determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas.
Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la poltica y objetivos del SGSI, los resultados de auditoras de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas. Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI.
53
Check: Monitorizar y revisar el SGSI

Medir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad. Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organizacin, la tecnologa, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos legales, obligaciones contractuales, etc.-. Realizar peridicamente auditoras internas del SGSI en intervalos planificados. Revisar el SGSI por parte de la direccin peridicamente para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes. Actualizar los planes de seguridad en funcin de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorizacin y revisin.
54
Act: Mantener y mejorar el SGSI

La organizacin deber regularmente: Implantar en el SGSI las mejoras identificadas. Realizar las acciones preventivas y correctivas adecuadas en relacin a la clasula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones. Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder. Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.
55
56
Gestin de la Seguridad . ISO 27001 ISO 27001:2005
57
Gestin de la Seguridad . Criterios de xito para la implantacin de un SGSI

Las recomendaciones de la norma
1. 2. 3. 4. 5. 6. 7. 8. 9.
Poltica de seguridad coherente con los objetivos de negocio Un sistema consistente con la cultura de la organizacin Un buen anlisis de los requerimientos de seguridad Buena comunicacin de la seguridad a todo el personal Mtricas e indicadores que permitan saber cmo funciona el SGSI Distribucin de guas de seguridad Soporte de la direccin Recursos Formacin y concienciacin de incidentes
10. Gestin
58
ndice



59
ISO 27002
Qu es ISO 27002 (ISO 17799)?
Cdigo de buenas prcticas para la gestin de la seguridad de los sistemas de informacin

Una cadena es tan fuerte como el ms dbil de sus eslabones
60
ISO 27002 Da recomendaciones para gestionar la seguridad Es una base comn para desarrollar ...
normas de seguridad organizativas, prcticas efectivas de gestin de la seguridad y la confianza organizaciones en las relaciones entre
Debe usarse conforme a la legislacin y reglamentos aplicables
61
ISO 27002
Con origen en la norma britnica BS7799-1, constituye un cdigo de buenas prcticas para la Gestin de la Seguridad de la Informacin. Establece la base comn para desarrollar normas de seguridad dentro de las organizaciones. Define doce dominios de control que cubren por completo la Gestin de la Seguridad de la Informacin. 41 objetivos de control y 133 controles.
62
ISO 27002: Tipos de controles

Prevencin Deteccin Contencin Correccin Evaluacin Riesgo Incidente Daos Recuperacin
63
ISO 27002: 12 secciones, 41 objetivos, 133 controles

Conformidad legal
(3 Objetivo, 10 Controles)
Gestin de incidentes de seguridad
Compras, Desarrollo y Mantenimiento de sistemas
Control de acceso
Plan de Continuidad de Negocio
Anlisis de Riesgos
Comunicaciones y operaciones
(2 Objetivos)
Recursos humanos de seguridad
Seguridad fsica
Organizacin de la seguridad
Gestin de activos
Poltica de Seguridad
64
ISO 27002
65
ISO 27002
66
ISO 27002
67
ISO 27002
68
ISO 27002
69
ISO 27002
70
ISO 27002
71
ISO 27002
72
ISO 27002
73
ISO 27002
74
ISO 27002
75
ISO 27002
76
ISO 27002
77
Gestin de la Seguridad . Factores de xito Orientacin al negocio Liderazgo de la direccin Participacin del personal Seguridad basada en riesgo Enfoque basado en procesos, no en productos Enfoque de sistema de gestin Medicin y mejora continua Toma de decisin basada en hechos Gestin planificada de incidentes
78
ndice



79
Proceso de Certificacin Cmo
Auditora / evaluacin inicial Anlisis de riesgos Seleccin de controles
Consultora
PROYECTO DE IMPLANTACION Y CERTIFICACION DE SGSI
Desarrollo e implantacin del SGSI Auditora interna Correccin de no conformidades Auditora de certificacin
Certificadora
80
Proceso de Certificacin
SOLICITUD + MANUAL+ PROCEDIMIENTOS REVISIN DE DOCUMENTACIN
DOC. COMPLETA Y ADECUADA SI
NO
C i c l o c o m p l e t o
SI
AUDITORA INICIAL
ACCIONES CORRECTORAS VALIDAS SI
PETICIN DE NUEVAS ACCIONES CORRECTORAS Y/O VISITA EXTRAORDINARIA
NO
CONCESIN DEL CERTIFICADO AUDITORA DE SEGUIMIENTO (ANUAL)

ACCIONES CORRECTORAS VALIDAS
PETICIN DE NUEVAS ACCIONES CORRECTORAS Y/O VISITA EXTRAORDINARIA
NO
VALIDACIN DEL CERTIFICADO
AUDITORA DE RENOVACIN (TRIANUAL)
81
Proceso de Certificacin Cmo
Ejemplo simplificado del diagrama de flujos de una Auditora de Applus+ de certificacin SGSI
CLIENTE
Inicio de la auditora
AUDITORA DOCUMENTAL
AUDITORIA IN SITU
DOCUM ENTACIN
. Descripci n de l a organi zaci n . Descripci n de l os m edi os tcni cos de SGSI . Descripci n breve del SGSI . Al cance . Pol i ti cas y norm as . Decl aracion de apl i cabi l i i dad . anal i si s de ri esgos . Pl an de gesti n de ri esgos . Procedim i entos criti cos
Envo documentacin del SGSI Anlisis de la documentacin enviada
Elaboracin y envo del inf orme de auditora documental
Informe Auditora Documental
No
Certi fi cable?
Si Si
Hay No Conformi dades?
Acciones correctivas
No Elaboracin Plan auditora

Revision acciones correctivas
Plan de Auditora
Acciones correctivas
. . . . .
Implicacin de direccin Auditora controles Revisin registros Revisin indicadores Pruebas sustantivas
Informe Auditora
Si
Certif icable?
No
Si
Corregible?
No
Denegacin del certificado
82
Conclusiones
Los procesos de negocio dan dinero, los Sistemas de Informacin apoyan estos procesos Cada da hay nuevos problemas potenciales: problemas tcnicos, personal inexperto, accidentes, etc. La seguridad orientada a productos no es suficiente Hay que conocer el riesgo y priorizar recursos para controlarlo El proceso de anlisis y control tiene que ser continuo travs de un proceso de medicin del desempeo Este es el espritu de las normas sobre SGSI ISO 27001 e ISO 27002
83
SEGURIDAD DE LA INFORMACION
Preguntas y Respuestas

Lecture 04 SGSI

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Lecture 04 SGSI

Hochgeladen von

Copyright:

Verfügbare Formate

SEGURIDAD DE LA INFORMACION

SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION

Ms. Ing. Edwin Valencia Castillo

Seguridad de la Informacin| SGSI

Introduccin a los SGSI y la norma ISO 27001

Aspectos claves en la implantacin de un SGSI: Anlisis de Riesgos

Buenas prcticas: ISO 27002 Procesos de Certificacin

Tuesday, October 1, 2013

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Qu es un Sistema de Gestin de Seguridad de la Informacin?

Tuesday, October 1, 2013

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Qu es un Sistema de Gestin de Seguridad de la Informacin?

Seguridad de la Informacin| SGSI

El ncleo sobre el que se fundamenta un SGSI es la GESTION DEL RIESGO

Tuesday, October 1, 2013

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Cmo trata el riesgo un SGSI?

Primero analizar el riesgo

Activos CLASIFICACION Amenazas Vulnerabilidades DEL RIESGO Impacto

Segundo decidir sobre 1.- Aceptarlo 2.- Transferirlo el riesgo

Cuarto corregir y mejorar

CONTROL DEL RIESGO

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Normativa sobre SGSI

ISO 27002: Cdigo de buenas prcticas para

ISO 27001: Especificaciones para los Sistemas de Gestin

Tuesday, October 1, 2013

Seguridad de la Informacin| SGSI

Familia de estndares ISO 27000

Tuesday, October 1, 2013

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Evolucin Histrica del marco ISO 27000

BS7799:1995 ISO 14980:1996 BS7799-1:1999 ISO/IEC 17799:2000

Tuesday, October 1, 2013

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Evolucin Histrica del marco ISO 27000

Tuesday, October 1, 2013

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

Historia del ISO 27001

Tuesday, October 1, 2013

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

La familia de normas ISO 27000

Tuesday, October 1, 2013

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

La familia de normas ISO 27000

Tuesday, October 1, 2013

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

La familia de normas ISO 27000

Tuesday, October 1, 2013

2011 Edwin Valencia Castillo.

Seguridad de la Informacin| SGSI

La familia de normas ISO 27000

Tuesday, October 1, 2013