Iso27000 PDF

NORMAS
ISO/IEC 27000
2015
Docente: Ing. Manuel Castillo Fernndez
1
INDICE
MODULO I: Introduccin a ISO 27000
MODULO II: Anlisis de Riesgos
MODULO III: Sistema de Gestin de Seguridad
de la Informacin.
MODULO IV: Auditora del Sistema

Marco legal y jurdico de la Seguridad de la
Informacin.
Normas nacionales e internacionales de ISO
27000.
Conceptos bsicos sobre la seguridad de la
informacin
Referencias:
ISO www.iso.org
BSI GROUP www.bsigroup.com
Marco legal y jurdico de la Seguridad de la

Informacin:
Ley de Proteccin de Datos Personales del Per (Ley

N29733)
Autoridad Nacional de Proteccin de Datos Personales

(APDP)
Resolucin Ministerial N 246-2007-PCM, aprueba la Norma

Tcnica Peruana NTP ISO/IEC 17799:2007 EDI, Tcnicas de
seguridad, Cdigo de Buenas Prcticas para la gestin de
seguridad de la informacin. 2a Edicin.
Resolucin
Ministerial
129-2012-PCM,
aprueba
el
uso
obligatorio de la norma tcnica peruana NTP-ISO/IEC

5
27001:2008 EDI Tecnologas de la Informacin. Tcnicas de

Ley de Proteccin de Datos
DERECHOS DE LA PERSONA: "Todos los peruanos tenemos

derecho a que los servicios informticos computarizados o
no, pblicos o privados no suministren informaciones que
afecten la intimidad personal y familiar". Constitucin Poltica
del Per Artculo 2, Numeral 6.
BANCOS DE DATOS PERSONALES: Cualquier conjunto de

datos de personas naturales, por ejemplo: las planillas, los
files del personal, los directorios de proveedores, de clientes,
informes mdicos, etc.
OBLIGACIONES: Las empresas pblicas y privadas estn

obligadas a cumplir la Ley # 29733 a fin de garantizar el
6
derecho fundamental de los peruanos a la proteccin de

Ley de Proteccin de Datos
AUTORIDAD
NACIONAL
DE
PROTECCION
DE
DATOS
PERSONALES: El Ministerio de Justicia a travs de la Direccin

Nacional de Justicia constituye la Autoridad Nacional de
Proteccin de Datos Personales. Esta institucin promueve el
cumplimiento
de
la ley,
recibe
las denuncias de
los
ciudadanos, audita a las instituciones y llega a sancionar en

caso de incumplimiento hasta por un mximo de 100 UITs
(Ver artculo 39 de la Ley).
TRATAMIENTO
DE
DATOS
PERSONALES:
Las
empresas
pblicas y privadas deben implementar mecanismos para:

- Obtener el consentimiento
- Transferir datos personales

Reglamento de la Ley 29733
Tiene el objetivo de garantizar el derecho fundamental a la
proteccin de los
datos personales y dispone que el Ministerio de Justicia y
Derechos Humanos
asuman
la
Autoridad
Nacional
de
Proteccin
de
Datos
personales.
Artculo 10 - Principio de Seguridad: Establece que las

Compaas deben adoptar las medidas de seguridad que
resulten necesarias a fin de evitar la prdida o alteracin por
accin humana o medio tcnico.
Captulo V Medidas de Seguridad: En el cual se plantean los

artculos para el tratamiento de informacin digital, gestin
8

Normas nacionales e internacionales de ISO
27000.
ISO/IEC 27000 es un conjunto de estndares
desarrollados y en fase de desarrollo - por ISO
(International Organization for Standardization) e
IEC (International Electrotechnical Commission),
que proporcionan un marco de gestin de la
seguridad de la informacin utilizable por
cualquier tipo de organizacin, pblica o privada,
grande o pequea.

Publicada el 1 de Mayo de 2009 y
revisada con una segunda edicin de 01
de Diciembre de 2012. Esta norma
proporciona una visin general de las
normas que componen la serie 27000,
una introduccin a los Sistemas de
Gestin de Seguridad de la Informacin.
10

La Familia ISO 27000 se especializa en el
Sistema de Gestin de Seguridad de la
Informacin (SGSI).
ISO 27001 mediante un SGSI, requiere
garantizar la continuidad de los procesos que
se protegern conforme al valor que aportan
en la empresa, por lo que es importante
identificar el mtodo de continuidad que se
requiere conforme a dichos procesos.
11

Estndares relacionados:
ISO/IEC 27000 Information security
management systems Overview and
vocabulary
management systems Requirements
ISO/IEC 27002 Code of practice for information
security management
management system implementation guidance
management Measurement
ISO/IEC 27005 Information security risk
management
12

Estndares relacionados:
ISO/IEC 27006 Requirements for bodies
providing audit and certification of information
security management systems
management guidelines for telecommunications
organizations based on ISO/IEC 27002
ISO/IEC 27031 Guidelines for information and
communications technology readiness for business
continuity
ISO/IEC 27033-1 Network security overview and
concepts
ISO/IEC 27035 Security incident management
ISO 27799 Information security management 13
in
ORIGEN
Desde 1901, y como primera entidad de
normalizacin a nivel mundial, BSI (British
Standards Institution) es responsable de la
publicacin de importantes normas como:
- BS 5750. Publicada en 1979. Origen de ISO 9001
- BS 7750. Publicada en 1992. Origen de ISO
14001
- BS 8800. Publicada en 1996. Origen de OHSAS
18001
14
La norma BS 7799 de BSI apareci por primera vez en 1995.

La primera parte de la norma (BS 7799-1) fue una gua de
buenas prcticas, para la que no se estableca un esquema
de certificacin. Es la segunda parte (BS 7799-2), publicada
por primera vez en 1998.
Las dos partes de la norma BS 7799 se revisaron en 1999 y
la primera parte se adopt por ISO, sin cambios
sustanciales, como ISO 17799 en el ao 2000.
En 2002, se revis BS 7799-2 para adecuarse a la filosofa
de normas ISO de sistemas de gestin.
En 2005, con ms de 1700 empresas certificadas en BS
7799-2, esta norma se public por ISO, con algunos
cambios, como estndar ISO 27001. Al tiempo se revis y
actualiz ISO 17799.
Esta ltima norma se renombr como ISO 27002:2005 el 1
de Julio de 2007, manteniendo el contenido as como el ao
de publicacin formal de la revisin.
15

CONTENIDO
En esta seccin se hace un breve resumen del

contenido de las principales normas de la serie
27000 ya publicadas.
16
ISO/IEC 27001:
Publicada el 15 de Octubre de 2005 . Es la
norma principal de la serie y contiene los
requisitos del sistema de gestin de
seguridad de la informacin. Tiene su
origen en la BS 7799-2:2002 (que ya qued
anulada) y es la norma con arreglo a la
cual se certifican por auditores externos los
SGSIs de las organizaciones.
17
Genera
l 27000 Visin
Tcnicas de Seguridad
27001
Requisitos
general y
Vocabulario
27005 Gestin
de Riesgos
27006 Requisitos
para Auditores
Inter-sectores e Interorganizaciones
27009 Requisitos
27002 Cdigo de
Prctica
27003 Gua de
Implementacin
27007 Lneas
guas de
Auditora
27010
ISM para comunicaciones
27013 Implementacin
27001 + 20000-1
27015 Lneas gua

de Servicio
27008 Lneas
guas de
Controles
27011 Cdigo de
Prctica
27014 Gobierno
Finanzas
27016
Economa de la Organizacin
27004
Medicin
Cloud
27017 Cdigo
de Prctica
27018
Proteccin PII
Energa
27019 Control de
Procesos
Competencias, continuidad y ciberseguridad

27031
27021
27023 ISO/IEC
Continuidad del
Requisitos
27001 vs
negocio
competencias
27002
27032 Lneas
guas
Ciberseguridad
Seguridad de
27033-1
Visin
Red
general y
conceptos
27033-4
Asegurar con
gateways
Seguridad de Aplicaciones
27034-1 Visin
general y Conceptos
27034-5 Protocolos y
estructura de datos
27033-2 Lneas
gua de diseo e
implementacin
27033-5
Asegurar con
VPN
27033-3
Amenazas,
tcnicas y control
27033-6
Asegurar
Wireless IP
27034-2
Framework
normativo
27034-3 Gestin
seguridad Apps.
27034-4
Validacin
seguridad Apps.
27034-6 Gua de
seguridad Apps.
27034-7
Garanta
seguridad Apps.
27034-5-1
Esquemas XML
Gestin de incidentes de Seguridad de la Informacin

27035 Gestin
de incidentes
27035-1
Incidentes
27035-2
Lneas gua de
respuestas
27035-3 Lneas
gua
Operaciones
CSIRT
Gestin de relaciones con

27036-1
Visin
suministradores
27036-2
general y
Requisitos
conceptos
27036-3
27036-4 Lneas
Lneas gua
gua servicios
cadena
Cloud
suministro
Evidencias e Intrusin
27037
27038
Evidencia
Redaccin
digital
digital
27041 Mtodo
Investigacin
27042 Anlisis
e
Interpretacin
Descubrimiento electrnico
27050-1 Visin
general y conceptos
27050-2
Gobierno y
Gestin
27039
Sistemas de
deteccin IDPS
27043
Principios y
procesos
27040
Seguridad de
Almacenamient
o
27044 Gestin
de Info y
eventos SIEM
27050-3 Cdigo de
Prctica
27050-4
Preparacin TIC
ISO/IEC 27002:
Desde el 1 de Julio de 2007, es el nuevo
nombre de ISO 17799:2005, manteniendo 2005
como ao de edicin. Es una gua de buenas
prcticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad
de la informacin.
ISO/IEC 27003:
Publicada el 01 de Febrero de 2010. No
certificable. Es una gua que se centra en los
aspectos crticos necesarios para el diseo e
implementacin con xito de un SGSI
23
ISO/IEC 27004:
Publicada el 15 de Diciembre de 2009. No
certificable. Es una gua para el desarrollo y
utilizacin de mtricas y tcnicas de medida
aplicables para determinar la eficacia de un SGSI y
de los controles o grupos de controles
implementados segn ISO/IEC 27001.
ISO/IEC 27005:
Publicada en segunda edicin el 1 de Junio de
2011 (primera edicin del 15 de Junio de 2008). No
certificable. Proporciona directrices para la gestin
del riesgo en la seguridad de la informacin.
24
ISO/IEC 27006:
Publicada en segunda edicin el 1 de Diciembre de
2011 (primera edicin del 1 de Marzo de 2007).
Especifica los requisitos para la acreditacin de
entidades de auditora y certificacin de sistemas de
gestin de seguridad de la informacin
ISO/IEC 27007:
Publicada el 14 de Noviembre de 2011. No certificable.
Es una gua de auditora de un SGSI, como
complemento a lo especificado en ISO 19011. Es una
gua de auditora de los controles seleccionados en el
marco de implantacin de un SGSI.
ISO/IEC 27010:
Publicada el 20 de Octubre de 2012. Consiste en una
gua para la gestin de la seguridad de la informacin
cuando se comparte entre organizaciones o sectores.
25
ISO/IEC 27011:
Publicada el 15 de Diciembre de 2008. Es una
gua de interpretacin de la implementacin y
gestin de la seguridad de la informacin en
organizaciones
del
sector
de
telecomunicaciones basada en ISO/IEC 27002.
ISO/IEC 27013:
Publicada el 15 de Octubre de 2012. Es una
gua de implementacin integrada de ISO/IEC
ISO/IEC 27014:
Publicada en el 2013. Consistir en una gua de
gobierno corporativo de la seguridad de la
informacin.
26
ISO/IEC TR 27015:
Publicada el 23 de Noviembre de 2012. Es
una gua de SGSI orientada a organizaciones
del sector financiero y de seguros y como
complemento a ISO/IEC 27002.
ISO/IEC TR 27016:
Publicada en el 2013. Consistir en una gua
de valoracin de los aspectos financieros de
la seguridad de la informacin.
ISO/IEC TS 27017:
de seguridad para Cloud Computing.
27
ISO/IEC 27018:
Publicada en el 2013. Consistir en un cdigo de
buenas prcticas en controles de proteccin de datos
para servicios de computacin en cloud computing.
ISO/IEC TR 27019:
Publicada en el 2013. Consistir en una gua con
referencia a ISO/IEC 27002 para el proceso de control
de sistemas especficos al sector de la industria de la
energa.
ISO/IEC 27031:
Publicada el 01 de Marzo de 2011. No certificable. Es
una gua de apoyo para la adecuacin de las
tecnologas de informacin y comunicacin (TIC) de una
organizacin para la continuidad del negocio. El
documento toma como referencia el estndar BS
25777.
28
ISO/IEC 27032:
Publicada el 16 de Julio de 2012. Proporciona
orientacin para la mejora del estado de seguridad
ciberntica, extrayendo los aspectos nicos de esa
actividad y de sus dependencias en otros dominios de
seguridad. Esta norma establece una descripcin
general de Seguridad Ciberntica.
ISO/IEC 27033:
Parcialmente desarrollada. Norma dedicada a la
seguridad en redes, consistente en 7 partes: 27033-1,
conceptos generales (publicada el 15 de Diciembre de
2009 aseguramiento de las comunicaciones entre
redes mediante gateways de seguridad; 27033-5,
aseguramiento de comunicaciones mediante VPNs,
27033-6, convergencia IP 27033-7, redes inalmbricas
29
ISO/IEC 27034:
Norma dedicada la seguridad en aplicaciones
informticas.
ISO/IEC 27035:
Publicada el 17 de Agosto de 2011. Proporciona una
gua sobre la gestin de incidentes de seguridad en
la informacin. En Espaa, no est traducida.
ISO/IEC 27036:
En fase de desarrollo, con publicacin prevista en
2013. Consistir en una gua en cuatro partes de
seguridad en las relaciones con proveedores:
27036-1, visin general y conceptos; 27036-2,
requisitos comunes; 27036-3, seguridad en la
cadena de suministro TIC; 27036-4, seguridad en
outsourcing (externalizacin de servicios).
30
ISO/IEC 27037:
Publicada el 15 de Octubre de 2012. Es una
gua que proporciona directrices para las
actividades relacionadas con la identificacin,
recopilacin, consolidacin y preservacin de
evidencias digitales potenciales localizadas
en telfonos mviles, tarjetas de memoria,
dispositivos electrnicos personales, sistemas
de navegacin mvil.
ISO/IEC 27038:
Publicada en el 2013. Consiste en una gua de
especificacin para seguridad en la redaccin
digital.
31
ISO/IEC 27039:
para la seleccin, despliegue y operativa de
sistemas de deteccin y prevencin de
intrusin (IDS/IPS).
ISO/IEC 27040:
para
la
seguridad
en
medios
de
almacenamiento.
ISO/IEC 27041:
para la garantizar la idoneidad y adecuacin
de los mtodos de investigacin.
32
ISO/IEC 27042:
Publicada en el 2014. Consistir en
una gua con directrices para el
anlisis e interpretacin de las
evidencias digitales.
ISO/IEC 27043:
Publicada en el 2014. Desarrollar
principios
y
procesos
de
investigacin.
33
ISO/IEC 27044:
Publicada en el 2014. Gestin de eventos
y de la seguridad de la informacin Security
Information
and
Event
Management (SIEM).
ISO 27799:
Publicada el 12 de Junio de 2008. Es una
norma que proporciona directrices para
apoyar la interpretacin y aplicacin en
el sector sanitario de ISO/IEC 27002, en
cuanto a la seguridad de la informacin
sobre los datos de salud de los pacientes.
34

Conceptos bsicos sobre la seguridad de la informacin
Para comprender qu es la seguridad de la informacin, en primer lugar,
debemos conocer que la informacin en este rea es referida a los
activos de informacin (es decir, los datos, pero tambin los equipos, las
aplicaciones, las personas, que se utilizan para crear, gestionar, trasmitir
y destruir la informacin), que tienen un valor para la organizacin.
No se debe confundir la seguridad de la informacin con la seguridad
informtica ya que la seguridad de la informacin abarca muchas ms
reas mientras que la seguridad informtica se encarga de la proteccin
de las infraestructuras TIC que soportan el negocio. Por tanto la
seguridad de la informacin abarca la seguridad informtica.
35

La seguridad de la informacin, por tanto, se puede definir como
la proteccin de la confidencialidad, integridad y disponibilidad
de los activos de informacin segn sea necesario para alcanzar
los objetivos de negocio de la organizacin.
Estos tres parmetros bsicos de la seguridad se definen como:
Confidencialidad: A la informacin solo pueden acceder las
personas autorizadas para ello.
Integridad: La informacin ha de estar completa y correcta en
todo momento.
Disponibilidad: La informacin estar lista para acceder a ella
o utilizarse cuando se necesita.
36
37

informacin
Dependiendo de los modelos utilizados, tambin
son parmetros a tener en cuenta:
Autenticidad: La informacin es lo que dice ser
o el transmisor de la informacin es quien
dice ser.
Trazabilidad: Poder asegurar en todo momento
quin hizo qu y cuando lo hizo.
38

Un fallo de seguridad es cualquier incidente que la compromete,
es decir que pone en peligro cualquiera de los parmetros con
los que se valora la seguridad: la confidencialidad, la
disponibilidad o la integridad de la informacin. Con la actual
complejidad de los sistemas de informacin, con una economa y
un comercio que se basan en intercambios y comunicaciones a
lo largo y ancho del mundo, con un nmero creciente de
usuarios que no slo se conectan desde dentro sino tambin
desde fuera de la organizacin, es fcil hacerse una idea del reto
que presenta evitar que sucedan cosas como:
Fallos en las comunicaciones.
Fallos en el suministro elctrico.
Fallos humanos de usuarios internos, usuarios externos,
administradores, programadores, etc.
Fallos en los sistemas de informacin: redes, aplicaciones,
equipos, etc.
39
Virus informticos, gusanos, troyanos, etc. que inundan la red.

informacin
Los fallos de seguridad son ocasionados muchas veces por
la errnea percepcin de que si la seguridad fsica est
razonablemente asegurada, no tiene por qu haber
problemas. O que protegiendo nicamente las aplicaciones
y las bases de datos ya est garantizada la seguridad. Con
esos supuestos se dejan desprotegidas muchas reas de la
organizacin, muchos activos de informacin que pueden
ser fcilmente daados o destruidos, ya que no se han
tenido en cuenta todos los aspectos de la seguridad de la
informacin: la seguridad fsica, la seguridad lgica y las
medidas organizativas.
40
Poltica de
Seguridad
Organizacin de
la Seguridad de
Informacin
Gestin de
Activos
Control de
Acceso
Cumplimiento
Gestin de
Seguridad de RH
Continuidad de
Desarrollo y
Negocio
Mantenimien
Gestin de
to
Comunicacion
Seguridad
de Sistemas
es y
Fsica y
Operaciones
Ambiental
Gestin de Incidentes de Seguridad
Operaci
n
Estructura de ISO 27001

(clausulas de control)
Administ
racin
41
27001 - Anexo A.14.1 Continuidad del negocio

A.14.1.1.
Incluir a la Seguridad de la Informacin en el proceso
de administracin de Continuidad del Negocio
A.14.1.2.
Continuidad del Negocio y Anlisis de Riesgos
A.14.1.3.
Desarrollo e implementacin de Planes de
Continuidad incluyendo la Seguridad de la Informacin
A.14.1.4.
Marco de trabajo de la planeacin de la Continuidad
del Negocio
A.14.1.5.
Pruebas, mantenimiento y reevaluacin de los Planes
de Continuidad del Negocio
42
43
Tcnicas de Seguridad Organizacin - Planear

PLANEAR Puntos de Control de Gestin
Contexto de
la
Organizaci
n
Liderazgo
Comprender
Organizaci
n y Contexto
Liderazgo y
Confirmaci
n
Expectativas
de los
interesados
Polticas
Alcance del
ISMS
ISMS
Roles,
responsabilida
des y
autoridades
Planificacin
Acciones
Riesgos y
Oportunidad
es
Objetivos y
Planes
Seguridad
de la
Informacin
Soporte
Recursos
Competenci
a
Concientizac
in
Comunicaci
n
Informacin
documentad
a 44
Tcnicas de Seguridad Organizacin Puntos de Control de

Gestin
VERIFICAR
HACER
ACTUAR
Operacin
Planificacin
y Control
Operacional
Evaluacin
Riesgos de
Seguridad de
la
Informacin
Tratamiento
de Riesgos
de Seguridad
de la
Informacin
Evaluacin
Rendimiento
Mejora
Monitorizaci
n, Medicin,
Anlisis y
Evaluacin
No
conformidad
es y
Acciones
correctivas
Auditora
Interna
Mejora
Continua
Revisin
Administrativa
45
NUEVA ESTRUCTURA ISO 27001

-2013
46

La ISO es una federacin mundial de organismos
nacionales de normalizacin alrededor de 160 pases,
trabajan a nivel de Comits Tcnicos y tienen al
menos 19,000 estndares publicados desde 1,947.
La ISO 27001: 2013, trabaja en funcin a 8 principios
de gestin:
1. Orientacin al Cliente
2. Liderazgo
3. Participacin del personal
4. Enfoque de procesos
5. Enfoque de Sistemas de Gestin
6. Mejora Continua
7. Enfoque de Mejora Continua
8. Relacin mutuamente beneficiosa con el proveedor
47
Dominios ISO 27001
MODULO I: Introduccin a ISO 27000 - Dominios
49

Documentos y registros necesarios
Documentos
Alcance del SGSI
Polticas y objetivos de seguridad de la
informacin
Captulo de ISO
27001:2013
4.3
5.2, 6.2
Metodologa de evaluacin y tratamiento de

riesgos
6.1.2
Declaracin de aplicabilidad
6.1.3 d)
Plan de tratamiento del riesgo
6.1.3 e), 6.2
Informe sobre evaluacin y tratamiento de

riesgos
8.2, 8.3
Definicin de funciones y responsabilidades de

seguridad
A.7.1.2,
A.13.2.4
Inventario de activos
A.8.1.1
Uso aceptable de los activos
A.8.1.3
Poltica de control de acceso
A.9.1.1
50

Documentos
Principios de ingeniera para sistema seguro
Poltica de seguridad para proveedores
Captulo de ISO
27001:2013
A.14.2.5
A.15.1.1
Procedimiento para gestin de incidentes
A.16.1.5
Procedimientos de la continuidad del negocio
A.17.1.2
Requisitos legales, normativos y contractuales
A.18.1.1
51

Registros
Captulo de ISO
27001:2013
Registros de capacitacin, habilidades,

experiencia y calificaciones
7.2
Resultados de supervisin y medicin
9.1
Programa de auditora interna
9.2
Resultados de las auditoras internas
9.2
Resultados de la revisin por parte de la direccin
9.3
Resultados de acciones correctivas
10.1
Registros sobre actividades de los usuarios,

excepciones y eventos de seguridad
A.12.4.1,
A.12.4.3
52

Documentos no obligatorios de uso frecuente
Captulo de ISO
Documentos
27001:2013
Procedimiento para control de documentos
7.5
Controles para gestin de registros
7.5
Procedimiento para auditora interna
9.2
Procedimiento para medidas correctivas
10.1
Poltica Trae tu propio dispositivo
A.6.2.1
Poltica sobre dispositivos mviles y tele-trabajo
A.6.2.1
Poltica de clasificacin de la informacin
A.8.2.1, A.8.2.2, A.8.2.3
Poltica de claves
Poltica de eliminacin y destruccin
A.9.2.1, A.9.2.2,
A.9.2.4, A.9.3.1, A.9.4.3
A.8.3.2, A.11.2.7
Procedimiento para trabajo en reas seguras
A.11.1.5
53

Documentos no obligatorios de uso frecuente
Captulo de ISO
Documentos
27001:2013
Poltica de pantalla y escritorio limpio
A.11.2.9
Poltica de gestin de cambio
A.12.1.2, A.14.2.4
Poltica de creacin de copias de seguridad
A.12.3.1
Poltica de transferencia de la informacin

Anlisis del impacto en el negocio
A.13.2.1, A.13.2.2,
A.13.2.3
A.17.1.1
Plan de prueba y verificacin
A.17.1.3
Plan de mantenimiento y revisin
A.17.1.3
54

Alcance del SGSI
Este documento es, habitualmente, bastante corto y
se redacta al inicio de la implementacin de ISO
27001. En general, se trata de un documento
independiente, aunque puede ser unificado con una
poltica de seguridad de la informacin.
55

Polticas y objetivos de seguridad de la
informacin
La poltica de seguridad de la informacin
generalmente es un documento breve y de alto nivel
que detalla el principal objetivo del SGSI. Los objetivos
para el SGSI, en general, se presentan como un
documento independiente, pero tambin pueden ser
unificados en la poltica de seguridad de la
informacin. Contrariamente a la revisin 2005 de ISO
27001, ya no se necesitan ambas polticas (Poltica del
SGSI y Poltica de seguridad de la informacin); solo
hace falta una poltica de seguridad de la informacin .
56

Metodologa e informes de evaluacin y
tratamiento de riesgos
La metodologa de evaluacin y tratamiento del riesgo
es, habitualmente, un documento de 4 a 5 pginas y
debe ser redactado antes que se realice la evaluacin
y el tratamiento de riesgos. El informe de evaluacin y
tratamiento de riesgos debe ser redactado una vez
que se realiz la evaluacin y el tratamiento de
riesgos, y all se resumen todos los resultados.
57

Declaracin de aplicabilidad
La Declaracin de aplicabilidad (o DdA) se redacta
en base a los resultados del tratamiento del riesgo;
es un documento clave dentro del SGSI porque
describe no slo qu controles del Anexo A son
aplicables, sino tambin cmo se implementarn y
su estado actual. Tambin debera considerar a la
Declaracin de aplicabilidad como un documento
que describe el perfil de seguridad de su empresa.
58

Plan de tratamiento del riesgo
Este es, bsicamente, un plan de accin sobre cmo
implementar los diversos controles definidos por la
DdA. Este documento se desarrolla en funcin de la
Declaracin de aplicabilidad y se utiliza y actualiza
activamente a lo largo de toda la implementacin
del SGSI. A veces se puede fusionar con el Plan del
proyecto.
59

Funciones y responsabilidades de seguridad
El mejor mtodo es describir estas funciones y
responsabilidades en todas las polticas y
procedimientos de la forma ms precisa posible.
Evite expresiones como "debera hacerlo"; en
cambio, utilice algo como "el Jefe de seguridad
realizar xyz todos los lunes a las zxy horas".
Algunas empresas prefieren detallar las funciones y
responsabilidades
de
seguridad
en
sus
descripciones del trabajo; sin embargo, esto puede
generar mucho papelero.
Las funciones y responsabilidades de seguridad para
terceros se definen a travs de contratos
60

Inventario de activos
Si no contaba con un inventario de este tipo antes
del proyecto ISO 27001, la mejor forma de hacerlo es
directamente a partir del resultado de la evaluacin
de riesgos ya que all, de todos modos, se tienen que
identificar todos los activos y sus propietarios;
entonces, simplemente puede copiar el resultado
desde ese instrumento.
61

Uso aceptable de los activos
Habitualmente, este documento se confecciona
bajo la forma de una poltica y puede cubrir un
amplio rango de temas porque la norma no define
muy bien este control. Probablemente, la mejor
forma de encararlo es la siguiente: (1) djelo para
el final de la implementacin de su SGSI y (2) todas
las reas y controles que no haya cubierto con
otros documentos y que involucran a todos los
empleados, inclyalos en esta poltica.
62

Poltica de control de acceso
En este documento usted puede cubrir slo la parte
comercial de la aprobacin de acceso a determinada
informacin y sistemas, o tambin puede incluir el
aspecto tcnico del control de acceso. Adems,
puede optar por definir reglas para acceso lgico
nicamente o tambin para acceso fsico. Debera
redactar este documento solamente despus de
finalizado su proceso de evaluacin y tratamiento de
riesgos.
63

Procedimientos operativos para gestin de TI
Puede crear este procedimiento como un nico
documento o como una serie de polticas y
procedimientos; si se trata de una empresa
pequea, debera tener menor cantidad de
documentos. Normalmente, aqu puede abarcar
todas las reas de las secciones A.12 y A.13: gestin
de cambios, servicios de terceros, copias de
seguridad, seguridad de red, cdigos maliciosos,
eliminacin
y
destruccin,
transferencia
de
informacin, supervisin del sistema, etc. Este
documento se debera redactar solamente una vez
que finalice su proceso de evaluacin y tratamiento
64

Principios de ingeniera para sistema seguro
Este es un nuevo control en ISO 27001:2013 y
requiere que se documenten los principios de
ingeniera de seguridad bajo la forma de un
procedimiento o norma y que se defina cmo
incorporar tcnicas de seguridad en todas las capas
de arquitectura: negocio, datos, aplicaciones y
tecnologa. Estos principios pueden incluir validacin
de datos de entrada, depuracin, tcnicas para
autenticacin, controles de sesin segura, etc.
65

Poltica de seguridad para proveedores
Este tambin es un control nuevo en ISO 27001:2013,
y una poltica de este tipo puede abarcar un amplio
rango de controles: cmo se realiza la seleccin de
potenciales contratistas, cmo se ejecuta la
evaluacin de riesgos de un proveedor, qu clusulas
incluir en el contrato, cmo supervisar el
cumplimiento
de
clusulas
contractuales
de
seguridad, cmo modificar el contrato, cmo cerrar el
acceso una vez cancelado el contrato, etc.
66

Procedimiento para gestin de incidentes
Este es un procedimiento importante que define cmo
se informan, clasifican y manejan las debilidades,
eventos e incidentes de seguridad. Este procedimiento
tambin define cmo aprender de los incidentes de
seguridad de la informacin para que se puedan evitar
en el futuro. Un procedimiento de esta clase tambin
puede invocar al plan de continuidad del negocio si un
incidente ha ocasionado una interrupcin prolongada
67

Procedimientos de la continuidad del negocio
Generalmente se trata de planes de continuidad del
negocio, planes de respuesta ante incidentes, planes
de recuperacin para el sector comercial de la
organizacin y planes de recuperacin ante desastres
(planes de recuperacin para infraestructura de TI).
Estos procedimientos se describen con mayor detalle
en la norma ISO 22301, la principal norma
internacional para continuidad del negocio
68

Requisitos legales, normativos y contractuales
Este listado debe confeccionarse en la etapa ms
temprana posible del proyecto porque muchos
documentos tendrn que ser desarrollados de acuerdo
a estos datos. Este listado debe incluir no slo las
responsabilidades
para
el
cumplimiento
de
determinados requerimientos, sino tambin los plazos.
69

Registros de capacitacin, habilidades,
experiencia y calificaciones
Es el departamento de recursos humanos el que
generalmente se encarga de llevar estos registros. Si
usted no tiene un sector de este tipo, cualquier
persona que habitualmente se encargue de los
registros de los empleados debera ser quien realice
este trabajo. Bsicamente, sera suficiente una carpeta
en la que se encuentren todos los documentos
70

Resultados de supervisin y medicin
La forma ms sencilla de describir cmo se miden los
controles es a travs de polticas y procedimientos
que definan a cada control. En general, esta
descripcin puede ser realizada al final de cada
documento, y cada descripcin tiene que definir los
tipos de ICD (indicadores clave de desempeo) que es
necesario medir para cada control o grupo de
controles.
Una vez que se estableci este mtodo de control,
usted debe realizar la medicin en funcin de dicho
mtodo. Es importante reportar los resultados de esta
medicin en forma regular a las personas que estn71 a

Programa de auditora interna
El programa de auditora interna no es ms que un
plan anual para realizar las auditoras; para las
empresas ms pequeas, puede tratarse solamente
de
una
auditora,
mientras
que
para
las
organizaciones ms grandes puede ser una serie de,
por ejemplo, 20 auditoras internas. Este programa
debe definir quin realizar las auditoras, los
mtodos que se utilizarn, los criterios que se
aplicarn, etc.
72

Resultados de las auditoras internas
Un auditor interno debe generar un informe de
auditora, que incluye los resultados de la auditora
(observaciones y medidas correctivas). Este informe
debe ser confeccionado dentro de un par de das luego
de realizada la auditora interna. En algunos casos, el
auditor interno tendr que verificar si todas las
medidas correctivas se aplicaron segn lo esperado.
73

Resultados de la revisin por parte de la
direccin
Estos registros se presentan, normalmente, bajo la
forma de actas de reunin y deben incluir todo el
material tratado durante la reunin de la direccin,
como tambin todas las decisiones que se tomaron.
Estas actas pueden ser en papel o en formato digital.
74

Resultados de acciones correctivas
Generalmente, estos son incluidos en los formularios
para medidas correctivas (FMC). Sin embargo, es
mucho mejor agregar estos registros en alguna
aplicacin que ya est en uso en la organizacin; por
ejemplo, la Mesa de ayuda, porque las medidas
correctivas no son ms que listas de actividades a
realizar con responsabilidades, tareas y plazos bien
definidos.
75

Registros sobre actividades de los usuarios,
excepciones y eventos de seguridad
Habitualmente se llevan de dos formas: (1) en
formato digital, generados en forma automtica o
semiautomtica como registros de diversas TI y de
otros sistemas, y (2) en papel, donde cada registro se
hace manualmente.
76

Procedimiento para control de documentos
En general, este es un procedimiento independiente,
de 2 o 3 pginas de extensin. Si usted ya
implement alguna otra norma como ISO 9001, ISO
14001, ISO 22301 o similar, puede utilizar el mismo
procedimiento para todos estos sistemas de gestin.
A veces es mejor redactar este procedimiento como el
primer documento de un proyecto.
77

Controles para gestin de registros
La forma ms sencilla es redactar el control de
registros en cada poltica o procedimiento (u otro
documento) que requiera la generacin de un
registro. Estos controles, normalmente son incluidos
hacia el final de cada documento y se confeccionan
bajo el formato de una tabla que detalla dnde se
archiva el registro, quin tiene acceso, cmo se
protege, por cunto tiempo se archiva, etc.
78

Procedimiento para auditora interna
Habitualmente
este
es
un
procedimiento
independiente que puede tener entre 2 y 3 pginas y
que tiene que ser redactado antes que comience la
auditora interna. En cuanto al procedimiento para
control de documentos, un procedimiento para
auditora interna puede ser utilizado para cualquier
sistema de gestin.
79

Procedimiento para medidas correctivas
Este procedimiento no debera exceder las 2 o 3
pginas y puede ser confeccionado al final del proyecto
de implementacin, aunque es mejor hacerlo antes
para que los empleados puedan familiarizarse con l.
80
PRINCIPALES CLAVES PARA

IMPLANTAR LA ISO 27001
Identificar los objetivos de negocio
Seleccionar un alcance adecuado
Determinar el nivel de madurez ISO 27001
Analizar el retorno de inversin
Dominios ISO 27002
COMO ADAPTARSE
86

Activos de seguridad de la informacin.
Anlisis y valoracin de riesgos.
87
MODULO II: Anlisis de Riesgos Proceso de Evaluacin

de Riesgos
Identificacin
y Tasacin de
Activos
Clculo de los
Riesgos de
seguridad
Identificacin
de
Requerimient
os de
Seguridad
Evaluacin de
la posibilidad
de que las
Amenazas y
Vulnerabilidad
es ocurran
Seleccin de
opciones de
Tratamiento
de Riesgo
apropiadas
Seleccin de
Controles
para reducir
el Riesgo a
Nivel
aceptable
88

Identificacin y Tasacin de Activos
Un activo es algo que tiene valor o utilidad para la organizacin,

sus operaciones y su continuidad. El ISO 17799 (Cdigo de
Prctica para la Gestin de la Seguridad de Informacin)
clasifica los activos de la siguiente manera:
1. Activos de Informacin: bases de datos y archivos de datos,
documentacin del sistema, manuales de usuario, materiales
de entrenamiento, procedimientos operativos de apoyo,
planes de continuidad.
2. Documentos impresos: documentos impresos, contratos,
lineamientos, documentos de la compaa, documentos que
contienen resultados importantes del negocio.
3. Activos de software: Software de aplicacin, software de
89
MODULO II: Anlisis de Riesgos Identificacin y

Tasacin de Activos
4. Activos fsicos: Equipos de comunicacin y computacin,
medios magnticos, otros equipos tcnicos.
5. Personas: Personal, clientes, suscriptores.
6. Imagen y reputacin de la compaa
7. Servicios: Servicios de computacin y comunicacin, otros
servicios tcnicos.
La tasacin de activos, basados en las necesidades del negocio
de una organizacin, es un factor importante en la evaluacin
del riesgo. Para poder encontrar la proteccin apropiada para
los activos, es necesario evaluar su valor en trminos de su
importancia para el negocio. Para poder tasar los valores de los
activos y poder relacionarlos apropiadamente, una escala de
valor para activos debe ser aplicada.
90
MODULO II: Anlisis de Riesgos Identificacin de

Requerimientos de Seguridad
Los requerimientos de seguridad en cualquier organizacin,
grande o pequea, son derivados de tres fuentes esenciales y
debieran de documentarse en un SGSI.
El conjunto nico de amenazas y vulnerabilidades que
pudieran ocasionar prdidas significativas en la empresa si
ocurrieran.
Los requerimientos contractuales que deben satisfacerse por
la organizacin.
El conjunto nico de principios, objetivos y requerimientos
para el procesamiento de informacin que una organizacin
ha desarrollado para apoyar las operaciones del negocio y sus
procesos.
91
MODULO II: Anlisis de Riesgos Identificacin de Amenazas y

Vulnerabilidades
Los activos estn sujetos a muchos tipos de amenazas. Una amenaza
tiene el potencial de causar un incidente no deseado, el cual puede
generar dao al sistema, la organizacin y a los activos. El dao puede
ocurrir
por
un
organizacional.
ataque
Las
directo
amenazas
indirecto
pueden
la
originarse
informacin
de
fuentes
accidentales o de manera deliberada. Una amenaza para poder causar

dao al activo, tendra que explotar la vulnerabilidad del sistema,
aplicacin o servicio.
Las vulnerabilidades son debilidades asociadas con los activos
organizacionales. Las debilidades pueden ser explotadas por la
amenaza, causando incidentes no deseados, que pudieran terminar
causando prdidas, dao o deterioro a los activos.
La vulnerabilidad como tal, no causa dao, es simplemente una
92
condicin o conjunto de condiciones que pueden permitir que una
MODULO II: Anlisis de Riesgos Clculo de los Riesgos de

Seguridad
El objetivo de la evaluacin del riesgo es la de identificar y

evaluar los riesgos. Los riesgos son calculados de una
combinacin de valores de activos y niveles de requerimientos
de seguridad.
La evaluacin de riesgos envuelve la sistemtica consideracin
de los siguientes aspectos:
Consecuencias.- El dao al negocio como resultado de un
incumplimiento de seguridad de informacin considerando las
potenciales
consecuencias
de
prdidas
fallas
de
confidencialidad, integridad y disponibilidad de informacin.

Probabilidad.- La real posibilidad de que tal incumplimiento
ocurra a la luz del reinado de amenazas, vulnerabilidades y
controles.
93
MODULO II: Anlisis de Riesgos Clculo de los Riesgos de

Seguridad
Es
importante hacer hincapi que no existe una
manera buena o mala de calcular los riesgos, en

la medida que los conceptos descritos en las fases
anteriores se combinen en una manera sensata. Es
menester de la firma identificar un mtodo para la
evaluacin del riesgo que sea adecuada a los
requerimientos de seguridad del negocio.
94
MODULO II: Anlisis de Riesgos Seleccin de Opciones

Apropiadas de Tratamiento del Riesgo
Cuando los riesgos han sido identificados y evaluados, la prxima tarea
para la organizacin es identificar y evaluar la accin ms apropiada
de cmo tratar los riesgos. La decisin debe ser tomada basada en los
activos involucrados y sus impactos en el negocio. Otro aspecto
importante ha considerar es el nivel de riesgo aceptable que ha sido
identificado siguiendo la seleccin de la metodologa apropiada de
evaluacin.
El estndar ISO 27001, requiere que la organizacin en relacin al

tratamiento del riesgo siga cuatro posibles acciones:
Aplicacin de apropiados controles para reducir los riesgos. Los

controles tienen que ser identificados en el anexo A. Si los controles
no pueden ser hallados en el anexo A, la firma puede crearlos y
documentarlos.
Aceptar objetivamente los riesgos partiendo del supuesto que
satisfacen la poltica de la organizacin y su criterio para la
aceptacin del riesgo.
Evitar los riesgos
95
Transferir el riesgo asociado a otras partes.
MODULO II: Anlisis de Riesgos Seleccin de Opciones

Apropiadas de Tratamiento del Riesgo
La organizacin por cada uno de los riesgos, debe evaluar estas opciones
para identificar la ms adecuada. Los resultados de esta actividad deben
ser documentados y luego la firma debe documentar su plan de
tratamiento del riesgo.
Hay dos opciones en la identificacin y evaluacin del riesgo que requieren
mayor explicacin. Las alternativas son: evitar el riesgo y transferencia
del riesgo. (a) Evitar el riesgo. Describe cualquier accin donde los activos
son transferidos de las reas riesgosas. Cuando se evala la posibilidad de
evitar el riesgo esto debe sopesarse entre las necesidades de la empresa
y las monetarias. (b) Transferencia del riesgo. Esta opcin puede ser vista
como la mejor si es imposible reducir los niveles del riesgo. Existen muchas
alternativas a considerar en relacin a la estrategia de transferencia del
riesgo. La transferencia del riesgo podra alcanzarse tomndose una pliza
de seguro. Otra posibilidad podra ser la utilizacin de servicios96 de
MODULO II: Anlisis de Riesgos Seleccin de Controles para

Reducir los Riesgos a un Nivel Aceptable
Para
reducir
el
riesgo
evaluado
dentro
del
alcance
del
SGSI
considerado, controles de seguridad apropiados y justificados deben

ser
identificados
seleccionados.
Estos
controles
deben
ser
seleccionados del anexo A del ISO 27001. El estndar presenta 11

clusulas, 39 objetivos de control y 133 controles especficos. Es muy
importante
estar
claros
sobre
el
rol
del
organizacin puede utilizar el ISO 17799:
ISO
17799:2005.
La
como gua para la
implementacin de los controles, pero deben ser escogidos del ISO

27001.
La seleccin de los controles debe ser sustentada por los resultados de
la evaluacin del riesgo. Las vulnerabilidades con las amenazas
asociadas indican donde la proteccin pudiera ser requerida y que
forma debe tener. Especialmente para propsitos de certificacin, las
97
relaciones con la evaluacin del riesgo deben ser documentadas para
MODULO II: Anlisis de Riesgos Seleccin de Controles para

Reducir los Riesgos a un Nivel Aceptable
Cuando se seleccionan controles para la implementacin, un nmero

de factores deben ser considerados, incluyendo:
Uso de controles
Transparencia del usuario
Ayuda otorgada a los usuarios para desempear su funcin
Relativa fuerza de los controles
Tipos de funciones desempeadas.
En trminos generales, un control podr satisfacer ms de una de

estas funciones.
98
MODULO II: Anlisis de Riesgos Reduccin del Riesgo y su

Aceptacin
Para todos aquellos riesgos donde la decisin de reduccin de riesgo

ha sido escogida, controles apropiados deben ser seleccionados para
reducir los riesgos a un nivel que la gerencia, decidir su nivel
adecuado.
99
MODULO II: Anlisis de Riesgos Riesgo Residual

Despus de identificar los controles adecuados para reducir un riesgo
especfico al nivel considerado aceptable, debe evaluarse cuanto los
controles, si se implementan reducirn el riesgo. Esta reduccin de
riesgo es el denominado riesgo residual.
El riesgo residual usualmente es difcil evaluarlo. Por lo menos una
estimacin
de
cuanto
los
controles
reducen
el
nivel
de
los
requerimientos de los valores asociados de seguridad debieran ser

identificados para asegurar que la suficiente proteccin es alcanzada.
Si el riesgo residual es inaceptable, una decisin comercial debe ser
tomada sobre como se ir a manejar la situacin. Una opcin es la de
seleccionar mas controles para finalmente reducir los riesgos a un nivel
aceptable. Es una buena prctica no tolerar riesgos inaceptables, pero
muchas veces no es posible o financieramente factible reducir todos
los riesgos al nivel aceptable.
100
MODULO II: Anlisis de Riesgos Riesgo Residual

Despus de la implementacin de los controles seleccionados, es
importante estar claros, que siempre habr riesgos existentes. Esto
sucede por que los sistemas de informacin en las organizaciones
nunca podrn estar absolutamente seguros. Esta es la razn por la cual
es necesario revisar la implementacin, y los resultados de los
controles
para
implementados
propsito
de
finalmente
estn
evaluar
operando.
las
qu
Este
revisiones
tan
es
bien
los
controles
fundamentalmente
gerenciales
el
para
poder tener un control concreto del proceso del riesgo en la firma y

poder iniciar la accin correctiva cuando sea necesario.
101
MODULO II: Anlisis de Riesgos Matriz de Riesgo

Una matriz de riesgo constituye una herramienta de control y de
gestin
normalmente
utilizada
para
identificar
las
actividades
(procesos y productos) ms importantes de una empresa, el tipo y

nivel de riesgos inherentes a estas actividades y los factores exgenos
y endgenos relacionados con estos riesgos (factores de riesgo).
Igualmente, una matriz de riesgo permite evaluar la efectividad de una
adecuada gestin y administracin de los riesgos financieros que
pudieran impactar los resultados y por ende al logro de los objetivos de
una organizacin.
Una efectiva matriz de riesgo permite hacer comparaciones objetivas
entre proyectos, reas, productos, procesos o actividades. Todo ello
constituye un soporte conceptual y funcional de un efectivo Sistema
Integral de Gestin de Riesgo
102
MODULO II: Anlisis de Riesgos Fases
A partir de los objetivos estratgicos y plan de

negocios,
la
administracin
de
riesgos
debe
desarrollar un proceso para la identificacin de las

actividades principales y los riesgos a los cuales
estn expuestas; entendindose como riesgo la
eventualidad de que una determinada entidad no
pueda cumplir con uno o ms de los objetivos.
103
MODULO II: Anlisis de Riesgos Fases
104
MODULO II: Anlisis de Riesgos Valorizacin

La valorizacin consiste en asignar a los riesgos calificaciones dentro
de un rango, que podra ser por ejemplo: de 1 a 5 ( insignificante (1),
baja (2), media (3), moderada (4) o alta (5), dependiendo de la
combinacin entre impacto y probabilidad. En el siguiente grfico se
ve un ejemplo:
105
MODULO II: Anlisis de Riesgos Riesgo residual
Finalmente se calcula el Riesgo Neto o Residual, que resulta de

la relacin entre el grado de manifestacin de los riesgos
inherentes y la gestin de mitigacin de riesgos establecida por
la administracin. En el siguiente cuadro se muestra un ejemplo
para calcular
el riesgo residual utilizando escalas numricas
de posicin de riesgo:
106
MODULO II: Anlisis de Riesgos Riesgo residual
107
MODULO II: Anlisis de Riesgos Conclusiones

La implementacin del ISO 27001 dentro de cierto alcance previamente
determinado en la empresa, tiene un requerimiento bsico, el cual es

una completa participacin de la gerencia. Este estndar es un sistema
de gestin. Esta hecho para gestionar un sistema de seguridad de
informacin. Su propsito fundamental es el de asegurar que la
informacin en la firma mantenga: confidencialidad, integridad y
disponibilidad.
La gestin del riesgo es el tema central de este nuevo estndar
internacional. Un antiguo axioma plantea que uno no puede mejorar lo
que no se puede medir. Esto es cierto para la gestin del riesgo. Uno no
puede gestionar el riesgo si no se puede medirlo.
La dinmica de este nuevo estndar es bien clara en trminos de
mitigar la informacin del riesgo en la empresa. La firma tiene la
autonoma de decidir el alcance del estndar. Luego tiene que
108
MODULO II: Anlisis de Riesgos -Sistemas de evaluacin de

seguridad
Modelos de Gestin de Riesgos
COBIT 5.0
Risk IT
M_o_R
MAGERIT
NIST SP 800-30
Microsoft Threat Modeling
STRIDE/DREAD
TRIKE
AS/NZS 4360
CVSS
OCTAVE
CRAMM
PTA
ACE Team
109

seguridad COBIT 5
COBIT 5 permite administrar a las TI de manera integral para toda la
empresa, teniendo en cuenta la totalidad del negocio, las reas funcionales
de responsabilidad de las TI y los intereses de las partes interesadas
(stakeholders), internas y externas, relacionadas con las TI.
COBIT 5 para la Seguridad de la Informacin se basa en el marco de control
COBIT 5 y proporciona una gua ms detallada para los profesionales en
seguridad de la informacin y los stakeholders a todos los niveles de la
empresa.
COBIT 5 incluye los siguientes procesos:
APO13 Administracin de la Seguridad
DSS04 Gestin de la Continuidad
DSS05 Gestin de los servicios de seguridad
110

seguridad - COBIT 5
Los principales controladores de COBIT para la Seguridad de Informacin
son:
La necesidad de describir la seguridad de informacin en un contexto
empresarial.
Una necesidad de la empresa cada vez mayor de: Mantener los riesgos
a un nivel aceptable y proteger la informacin contra la divulgacin no
autorizada, modificaciones no autorizadas o accidentales y posibles
intrusiones; la satisfaccin del usuario mediante la disponibilidad de los
servicios de TI y el cumplimiento de leyes y reglamentos.
La necesidad de conectarse, y alinearse con otros importantes marcos y
estndares en el mercado.
La necesidad de unir todas las principales investigaciones de ISACA con
un enfoque principal en el Modelo de Negocio de Informacin de
Seguridad
111

seguridad COBIT 5
Beneficios
Reduccin de la complejidad y aumento de la rentabilidad debido a una
mayor integracin de los estndares de la seguridad de la informacin.
Aumento en la satisfaccin de los usuarios.
Integracin de la seguridad de la informacin en la empresa.
Decisiones a partir de la identificacin de los riesgos y Conciencia del
riesgo.
Reduccin de los incidentes de la seguridad de la informacin.
Mayor apoyo a la innovacin y competitividad.
Mejora de la gestin de costos relacionados con la funcin de seguridad
de la informacin.
112

seguridad- Risk IT
Publicada en el 2009 por ISACA. La gestin del riesgo empresarial es un
componente esencial de la administracin responsable de cualquier
organizacin. Debido a su importancia, los riesgos TI deben ser
entendidos como riesgos clave para el negocio.
El marco TI permite a los usuarios:
Integrar la gestin de riesgos IT con el ERM.
Entender cmo gestionar el riesgo.
Principios:
Alineacin con los objetivos de negocio
Alineacin de la gestin de riesgos de TI con el ERM
Balancear los costos y beneficios de la gestin de riesgos de TI
Promover la comunicacin justa y abierta de los riesgos de TI
113

seguridad Risk IT
Existen tres dominios en el marco Risk IT:
Gobierno del Riesgo: Asegura de que las prcticas de gestin de
riesgos de TI estn integradas en la empresa, con el objetivo de
tener una ptima rentabilidad. Se basa en los siguientes
procesos:
Establecer y mantener una visin comn del riesgo.
Integrarlo con el ERM
Hacer una concientizacin del riesgo en las decisiones de la
empresa.
Evaluacin del Riesgo: Asegurar que los riesgos IT sean
identificados y
analizados. Se basa en los siguientes procesos:
Recopilacin de informacin
Anlisis del Riesgo
Mapa de Riesgos
Respuesta a los riesgos: Los riesgos deben ser clasificados de
acuerdo a
114
las prioridades del negocio:

seguridad - M_o_R
Los principales temas que abarca la Gua son:
Principios M_o_R: Los principios estn alineados con los descritos
en ISO 31000, y para ser ms consistente con los principios de
otras Guas de Gestin.
Los principios son:
Alineacin con los objetivos de la empresa.
Adaptacin con el contexto.
Compromiso de las partes interesadas. (stakeholders)
Proporcionar una orientacin clara.
Informacin de las decisiones tomadas.
Mejora Continua.
Creacin de una cultura la cual apoye los principios.
Lograr un valor medible.
115

seguridad - M_o_R
Enfoque M_o_R: En donde se encuentra toda la documentacin
de la Gestin del Riesgo.
Proceso M_o_R: Hay un gran nfasis a la necesidad de
comunicacin a lo largo de las diferentes fases del proceso.
Existen 4 fases:
Identificacin
Activos
Plan
Implementacin
Revisin M_o_R: Este captulo ha sido reescrito para mejorar la
orientacin sobre cmo integrar la gestin de riesgos.
116

seguridad - MAGERIT
Se trata de una metodologa

promovida por el CSAE (Consejo
Superior
de
administracin
electrnica)
que
persigue
una
aproximacin metdica al anlisis de
riesgos.
Se
trata
por
tanto
de
una
metodologa para auxiliar en tarea de
toma de decisiones en entornos
crticos.
117

seguridad - MAGERIT
Los objetivos de la aplicacin de este modelo son:
Concientizar a los responsables de los sistemas de informacin de la
existencia de riesgos y de la necesidad de atajarlos a tiempo
Ofrecer un mtodo sistemtico para analizar tales riesgos
Ayudar a descubrir y planificar las medidas oportunas para mantener
los riesgos bajo control
Apoyar la preparacin a la Organizacin para procesos de evaluacin,
auditora, certificacin o acreditacin, segn corresponda en cada
caso
Su aplicacin se estructura en cinco niveles:
Modelo de valor
Modelo de riesgos
Estado de los riesgos
Informe de insuficiencias
Plan de seguridad
118
Modelos
de Gestin
de
Riesgos:
Magerit
119

seguridad - NIST SP 800-30
El NIST (National Institute of Standards and Technology) ha
incluido una metodologa (Risk Management Guide for Information
Technology Systems) para el anlisis y gestin de riesgos de la
Seguridad de la Informacin, alineada y complementaria con el
resto de documentos de la serie.
Compuesta por tres procesos principales:
Valoracin del riesgo,
Mitigacin del Riesgo y
Evaluacin del Riesgo.
120

Valoracin del Riesgo: Incluye 9 pasos.
Paso 1: Caracterizacin del Sistema
Paso 2: Identificacin de la amenaza
Paso 3: Identificacin de una vulnerabilidad
Paso 4: Anlisis de Control
Paso 5: Determinacin de la probabilidad
Paso 6: Anlisis del Impacto
Paso 7: Determinacin del Riesgo
Paso 8: Recomendaciones del Control
Paso 9: Resultados de la documentacin
121

Mitigacin del Riesgo: Incluye priorizacin, evaluacin e

implementacin de los apropiados controles para reducir el
riesgo, recomendados del proceso previo.
Evaluacin del Riesgo: En esta etapa se hace hincapi en la
buena prctica y la necesidad de una evaluacin continua del
riesgo y la evaluacin y los factores que conduzcan a un
programa de gestin de riesgos exitoso.
122

seguridad - Microsoft Threat Modeling
Este modelo tiene

cinco pasos:
1.
2.
3.
4.
5.
Identificar los objetivos de

seguridad
Evaluar el sistema
Realizar la
descomposicin del
sistema
Identificar las amenazas
Identificar las
vulnerabilidades
123

Identificar los Objetivos

Los objetivos se pueden clasificar en :
Objetivos
Objetivos
Objetivos
Objetivos
Objetivos
de Identidad
Financieros
de reputacin
de integridad y confidencialidad
de disponibilidad
124

Evaluacin del sistema

Una vez que se han declarado los
objetivos se debe analizar el diseo del
sistema para identificar los
componentes, los flujos de informacin y
los lmites de confianza.
Descomponer el sistema
Implica identificar las caractersticas y
los mdulos con impacto en la seguridad
que deben ser evaluados.
125


Se parte del hecho de que es imposible
identificar amenazas que no son
conocidas. Por lo tanto, concentrndose
en los riesgos conocidos, se realiza una
identificacin basada en el empleo de
herramientas de BugTraq.
126


Adems de saber qu tipo de amenaza es el
que se puede identificar, es preciso clasificar
quin es el posible atacante. Se propone la
siguiente clasificacin:
Descubrimiento accidental
Malware automtico
Atacante curioso
Script Kiddies
Atacante Motivado
Crimen organizado
127

seguridad - STRIDE
STRIDE es una metodologa para

identificar amenazas conocidas.
Establece seis categoras:
Spoofing Identity
Tampering with Data
Repudiation
Information Disclosure
Denial of service
Elevation of privilege
128

seguridad - STRIDE
DREAD es un modelo que permite

establecer un grado de riesgo que
permite ordenar los riesgos mediante
la evaluacin de cinco categoras.
Propone una expresin que se
traduce en un ndice:
( DAMAGE REPRODUCTI BILITY EXPLOTABIL ITY
AFFECTED USER DISCOVERAB ILITY )
Risk _ Dread
5
129

seguridad - STRIDE
Damage Potential Si la amenaza se materializa, cunto dao

puede causar?
0 = Nothing
5 = Individual user data is compromised or affected.
10 = Complete system or data destruction
Reproducibility Cmo de fcil es reproducir el exploit?

0 = Very hard or impossible, even for administrators of the application.
5 = One or two steps required, may need to be an authorized user.
10 = Just a web browser and the address bar is sufficient, without
authentication.
Exploitability Qu se necesita para materializar la amenaza?

0 = Advanced programming and networking knowledge, with custom or
advanced attack tools.
5 = Malware exists on the Internet, or an exploit is easily performed, using
available attack tools.
10 = Just a web browser
130

seguridad - STRIDE
Affected Users Cuntos usuarios se ven afectados?

0 = None
5 = Some users, but not all
10 = All users
Discoverability Cmo de facil es descubrir esta

amenaza?
0 = Very hard to impossible; requires source code or
administrative access.
5 = Can figure it out by guessing or by monitoring network
traces.
9 = Details of faults like this are already in the public domain and
can be easily discovered using a search engine.
10 = The information is visible in the web browser address bar or
in a form.
131

seguridad - TRIKE
Es un modelo similar al propuesto desde

Microsoft.
Existen sin embargo diferencias. TRIKE
propone una aproximacin a la descripcin
del riesgo que no ana los ataques, las
amenazas y las vulnerabilidades.
Al contrario, permite distinguir unos de
otros construyendo un sistema experto
para toma de decisiones.
132

seguridad AS/NZS 4360
El Australian/New Zealand Standard es simple,

muy flexible e iterativo .
Proporciona una serie de conjuntos de tablas de
riesgos como ejemplos, pero permite desarrollar
y adaptar su propio modelo a las organizaciones.
El modelo se resume en cinco puntos.
Establecer el contexto
Identificar los riesgos
Analizar los riesgos
Evaluar los riesgos
Habilitar contramedidas.
133

seguridad - CVSS
El departamento de Homeland Security

(DHS) del gobierno de EEUU estableci
que
el
denominado
grupo
NIAC
Vulnerability Disclosure Working Group,
que incorporaba a Cisco Systems,
Symantec, ISS, Qualys, Microsoft, CERT/CC
y eBay.
Uno de los resultados de este grupo ha
sido el CVSS Common Vulnerability
Scoring System
134

seguridad - CVSS
CVSS no es un modelo en s, sino que permite

normalizar las notificaciones de seguridad asignndole
una mtrica nica a las amenazas descubiertas.
La definicin de la mtrica es muy compleja y su
clculo implica tener en cuenta factores software y de
entorno.
La evaluacin de estos factores obliga a utilizar una
tabla para determinar el grado de criticidad de las
amenazas conocidas.
De hecho la sobrecarga que supone calcular el ndice
CVSS
sobre una aplicacin determinada aumenta
factorialmente con cada amenaza que se estima.
135

seguridad - CVSS
CVSS no encuentra ni reduce la superficie

de ataque.
Tampoco enumera los riesgos para una
programa determinado.
Lo que proporciona es una aproximacin
tcnica, estandarizada, abierta y ordenada
de una vulnerabilidad especfica.
136

seguridad - OCTAVE
Se trata de un modelo muy complejo

originario de la Carnagie Mellon University
en colaboracin con el CERT.
Se centra en la evaluacin del riesgo
organizativo y no tcnico.
Aunque til en la gestin de grandes
organizaciones es demasiado costoso y no
proporciona medidas para mitigar los
efectos de las amenazas. Es ms bien un
declogo de buenas costumbres.
137

seguridad - CRAMM
CRAMM - (CCTA (Central Computer and

Telecommunications Agency) Risk Analysis
and Management Method)
Propuesta creada por la CCTA de Reino Unido.

Actualmente est en su quinta versin
Est estructurada en tres etapas
Cada etapa est estructurada por unos
cuestionarios que permiten identificar y
analizar los riesgos del sistema. La ltima
etapa propone contramedidas para los riesgos.
138/38

seguridad - CRAMM
Etapa 1: Establecimiento de objetivos

Definir los lmites del estudio.
Identificar y valorar los activos del sistema.
Determinar el valor de los datos del sistema a
travs de entrevistas con el personal acerca
del potencial dao empresarial que tendra la
falta de disponibilidad, su destruccin, falta
de confidencialidad o su modificacin.
Identificar y valorar los activos software del
sistema.
139/38

seguridad - CRAMM
Etapa 2: Evaluacin de riesgos

Identificar y valorar el tipo y nivel de
amenazas que podran afectar al
sistema.
Evaluar la exposicin del sistema frente
a estas amenazas.
Combinar ambos aspectos con la
valoracin
de
los
activos
para
determinar una medida del riesgo.
140/38

seguridad - CRAMM
Etapa 3: Identificacin y Seleccin de

contramedidas
Se
propone
una
librera
de
contramedidas agrupadas en 70 grupos
lgicos para facilitar su aplicacin.
141/38

seguridad - PTA
El
Practical
Threat
Analysis
propone
una
suite
para
la
elaboracin de modelos de gestin
de riesgos y permite estimar un nivel
de seguridad a partir de la
informacin
incluida
en
cada
proyecto.
142

seguridad - PTA
La realizacin del modelo conlleva, como en casos

anteriores una serie de fases:
Establecer los prerrequisitos del modelo
Establecer lista de etiquetas
Identificar los recursos del sistema
Identificar las vulnerabilidades del sistema
Identificar las contramedidas
Identificar a los atacantes potenciales
Identificar los potenciales puntos de entrada del sistema.
Construir los escenarios de amenazas y los planes de
mitigacin
Estudiar los resultados.
143

seguridad ACE Team
El ACE Team (Application Consulting

& Engineering Team) es parte de
InfoSec
en
Microsoft
y
los
encargados de desarrollar un modelo
de gestin de riesgos.
144

seguridad ACE Team
Se propone una metodologa para la extraccin de

un modelo de gestin de riesgos:
Identificar los objetivos de negocio
Definir perfiles de usuario
Definir datos
Definir los controles de acceso a datos
Generar los cases para cada usuario
Definir componentes, servicios e identidades
Detallar las llamadas de y desde el sistema.
Generar y evaluar las amenazas (Attack Library)
Identificar la relevancia de cada componente
Remarcar las contramedidas.
145

seguridad ACE Team
Attack Library
Esta diseada para:
Disponer del mnimo de informacin.
Transmitir la relacin del exploit, la causa y la
contramedida.
Ser accesible para que la especificacin de
ataques no suponga la presencia de un tcnico
avanzado en seguridad.
Entender cmo probar el exploit
Entender cmo reconocer una vulnerabilidad
Entender cmo implementar contramedidas
146

seguridad ACE Team
Ejemplos de Attack Library

Vandalism
Threat Denial of Service due to damage of the machine
Attack Damage through blunt weapon attacks
Vulnerability - Machines made of mostly plastic parts
Mitigation - Use Cast Iron parts
Vulnerability - Exposed telephone style button
Mitigation Use recessed buttons
Attack - Damage through vehicle intrusions
Vulnerability - ATM exposed in outdoor settings
Mitigation Recess ATM behind wall with only interop
panel exposed Install Secura-Posts in front of ATMs
147

seguridad ACE Team
Skimming
Threat exposure of ATM card/account data due to the
presence of skimming devices on machines
Attack-Skimming device placed over card reader slot
Vulnerability User cannot tell when a skimming

device is present
Mitigation place an LCD screen

along edge of card slot. When user inserts card, ask user
to enter code displayed on LCD. If the user cannot see
the LCD, skimming device present, notify bank personnel
148

seguridad Conclusiones
Es necesario definir un modelo de evaluacin de

riesgos
Los modelos existentes slo permiten evaluar
amenazas conocidas. Esta evaluacin se puede
hacer de forma cualitativa o cuantitativa.
Una parte clave de estos modelos es la definicin de
una mtrica que permita evaluar el nivel de
seguridad de un sistema.
En la definicin de esta mtrica es preciso evaluar
las vulnerabilidades y, en eso de nuevo, hay dos
posibilidades: una cuantitativa (ms costosa) y otra
cualitativa (menos precisa y objetiva).
149
MODULO III: Sistema de Gestin de Seguridad de la

Informacin.
150

Informacin.
Objetivos y conceptos.
Procesos y actividades.
Gestin del servicio.
Implementacin, pautas y metodologa
151

Informacin.
La Implementacin de un SGSDP se basa
estndares internacionales:
en los siguientes
BS 10012:2009 Data protection Specification for a personal

information management system
ISO/IEC 27001:2013, Information technology Security techniques
Information security management systems Requirements.
ISO/IEC 27002:2013, Information technology Security techniques
Code of practice for information security controls.
ISO/IEC 27005:2008, Information TechnologySecurity techniques
Information security risk management.
ISO/IEC 29100:2011 Information technology Security techniques
Privacy framework
ISO 31000:2009, Risk management Principles and guidelines
ISO GUIDE 72, Guidelines for the justification and development of
management systems
152

Informacin.
La Implementacin de un SGSDP se basa
estndares internacionales:
en los siguientes
ISO GUIDE 73, Risk management Vocabulary
ISO 9000:2005, Quality management systems -- Fundamentals and

vocabulary
NIST SP 800-14 Generally Accepted Principles and Practices for

Securing Information Technology Systems
OECD Guidelines for the Security of Information Systems and Networks

Towards a Culture of Security.
153

Informacin
La informacin es un activo esencial y es decisiva para la
viabilidad de una organizacin. Adopta diferentes formas,
impresa, escrita en papel, digital, transmitida por correo,
mostrada en videos o hablada en conversaciones.
Debido a que est disponible en ambientes cada vez ms
interconectados,
est
expuesta
a
amenazas
y
vulnerabilidades.
La seguridad de la informacin es la proteccin de la
informacin contra una amplia gama de amenazas; para
minimizar los daos, ampliar las oportunidades del negocio,
maximizar el retorno de las inversiones y asegurar la
continuidad del negocio.
Se va logrando mediante la implementacin de un conjunto
adecuado
de
polticas,
procesos,
procedimientos,
154
organizacin, controles, hardware y software y, lo ms

Informacin
Para ISO (International Organization for Standardization) un
sistema de gestin queda definido por un proceso de 4
etapas, creado por Walter Andrew Shewhart (1891 1967)
y popularizado por William Edwards Deming (1900
1993), Planificar (Plan), Implementar (Do), Medir (Check) y
Mejorar (Act).
Planificar
Implementar
Medir
Mejorar
155

Informacin
Conceptos generales de un SGSI
ISO 27001 es un Sistema de Gestin de la Seguridad de la

Informacin (SGSI).
La seguridad de la informacin queda definida por tres
atributos:
a) Confidencialidad;
b) Integridad;
c) Disponibilidad.
) La seguridad de la informacin (SI) es la proteccin de la
informacin contra una amplia gama de amenazas respecto
a: i) Minimizar daos; ii) Oportunidades del negocio; iii)
Retorno de la inversin; iv) Continuidad del negocio; v)
Cultura tica.
) El SGSI garantiza la SI mediante una estructura de buenas
prcticas, definidas por: a) Gestin de riesgos; b) Polticas; c)
Procesos; d) Procedimientos; e) Controles; f) Revisiones; g)
Mejoras.
156

Informacin
La Seguridad de la Informacin consiste en mantener:
Confidencialidad:
Informacin
exclusivamente a personas autorizadas.
Integridad: Mantenimiento de
informacin,
protegindola
alteraciones no autorizadas.
informacin puede parecer
incompleta.
disponible
la exactitud y validez de
de
modificaciones
Contra la integridad
manipulada, corrupta
la
o
la
o
Disponibilidad: Acceso y utilizacin de los servicios slo

y en el momento de ser solicitado por una persona
autorizada.
157
La documentacin que se genera con la implantacin

del SGSI se estructurar de la siguiente forma:

Informacin - Alcance
Por ejemplo, el alcance del SGSI queda cubierto por los
procesos de las siguientes reas:
Facility
Espacio fsico; energa elctrica; aire acondicionado;
proteccin contra incendios; accesos
Administracin
Monitoreo; accesos lgicos; bases de datos;
aplicativos
Explotacin/Respaldo
Mallas de procesos; almacenamiento de informacin
Comunicaciones
Redes de datos; seguridad lgica; monitoreo equipos de
comunicaciones; enlaces
ERP SAP
Administracin de sistemas SAP.
159

Informacin - Roadmap
160

Informacin
161
162
163

Informacin - Organizacin
Comit de seguridad de la Informacin (CSI) (A 6.1.2 A 6.1.3)
Se deben mantener los contactos apropiados con las autoridades

pertinentes.
Deben estar representadas todas las reas de la empresa.
G. General; G. Negocios; G. Logstica; G. Personas; G. Contralora;

D. Legal; G. Calidad; OSI.
Oficial de seguridad de la informacin.

rea de calidad.
Auditores internos en calidad y seguridad de la informacin.
Revisiones Gerenciales
Polticas
Procesos y procedimientos
164

Informacin Riesgo Operacional
Qu es el riesgo operacional?
El Comit de Basilea II lo define como: el riesgo de prdidas
debido a la inadecuacin o a fallas en los procesos, personal y
sistemas internos o por causa de eventos externos
Qu es la gestin de riesgo operacional?

Ms all de la definicin de riesgo operacional, lo importante es
contar con un proceso de gestin de riesgos operativos o riesgos
operacionales.
Este proceso de riesgo operacional es el que debera garantizar la

buena gestin de los riesgos segn los estndares
internacionales.
Segn el Comit de Basilea II, se entiende por gestin de riesgo

operacional
al
proceso
de
identificacin,
evaluacin,
seguimiento y control del riesgo operacional.
165
Conclusin: La gestin de riesgo" es un proceso esencial en la

Informacin - Incidentes de Seguridad de la Informacin
Definir cules sern tratados. Por ejemplo,

los incidentes mayores. (Como se trata de
un
tema
de
cambio
cultural,
la
recomendacin es ir desde lo simple a lo

complejo.)
Procedimiento de incidentes de SI.
Tratamiento.
166

Informacin Plan de continuidad del negocio
Alcance.
Gestin de riesgo.
Estrategias de continuidad.
Plan de Continuidad.
Pruebas.
Mejoras.
167

Informacin Auditoras internas
Preparacin de auditores.
Calendario.
Ejecucin del calendario.
Tratamiento de hallazgos.
Mejoras.
168

Informacin Revisiones Gerenciales
La alta direccin debe revisar el SGSI, segn la planificacin

definida, segn conveniencia, suficiencia y efectividad.
Estado de las acciones, en funcin de las RG anteriores.
Los cambios internos y externos relevantes para el SGSI.
Desempeo de:
NC y acciones correctivas.
Mediciones e indicadores.
Resultado de auditoras internas y externas.
Cumplimiento de los objetivos de la SI.
Comentarios de partes interesadas.
Resultado de la evaluacin y tratamiento de riesgo.
Oportunidades para la mejora continua.
Acta que evidencie las acciones y los acuerdos de la RG.
169

Informacin
El punto de partida de la seguridad de la informacin
Un cierto nmero de controles puede ser considerado un buen punto de
partida para implementar la seguridad de la informacin. Estos estn
basados en requisitos legales esenciales o que se consideren prctica
habitual de la seguridad de la informacin.
Proteccin de los datos y la privacidad de la informacin personal.
Proteccin de los registros de la informacin.

Derechos de la propiedad intelectual.
Documentacin de la poltica de seguridad de la informacin.
Asignacin de responsabilidades.
Concienciacin, formacin y capacitacin en seguridad de la
informacin.
Vulnerabilidad tcnica.
Gestin de incidentes de seguridad.
Gestin de continuidad del negocio.
170

Informacin Recomendaciones
Cmo implementar buenas prcticas?
Diferencia entre el qu se debe hacer y el cmo se hace
Establecer acuerdos.
El rol de las personas

Actitudes
Aptitudes
Los
mbitos
Predisponen (para bien o para mal)
Relacionan y mezclan niveles.
Que sean armnicos y no disonantes
Los procesos
Procedimientos
Las relaciones entre los procesos

La implementacin
171

Informacin Factores crticos de xito
Poltica de seguridad, objetivos y

actividades que reflejen los objetivos de la
empresa;
Una estrategia de implementacin de
seguridad que sea consecuente con la
cultura organizacional;
Apoyo y compromiso manifiestos por parte
de la gerencia;
Un claro entendimiento de los
requerimientos de seguridad, la evaluacin
de riesgos y la administracin de los
mismos;
Comunicacin eficaz a todos los gerentes y

Informacin Factores crticos de xito
Distribucin de guas sobre polticas y

estndares de seguridad de la informacin
a todos los empleados y contratistas;
Instruccin y entrenamiento adecuados;
Un sistema integral y equilibrado de
medicin que se utilice para evaluar el
desempeo de la gestin de la seguridad de
la informacin y para brindar sugerencias
tendientes a mejorarlo.

Informacin Certificacin
QU ES CERTIFICAR?
El proceso de Certificacin es la Generacin de
un INFORME Firmado por parte de un TERCERO
(ajeno a la organizacin) que define que, de
acuerdo con su CRITERIO PROFESIONAL, dicha
Organizacin CUMPLE o NO CUMPLE con los
Requerimientos establecidos en la Normativa.

PORQUE CERTIFICAR?
Para poder Mostrar al Mercado que la
Organizacin tiene un adecuado SISTEMA DE
GESTION
DE
LA
SEGURIDAD
DE
LA
INFORMACIN.
Una empresa CERTIFICADA no implica que NO
TIENE MAS RIESGOS DE SEGURIDAD DE LA
INFORMACION, sino que tienen un adecuado
Sistema de Gestin de dichos Riesgos y Proceso
de MEJORA CONTINUA.

QUE
ORGANIZACIONES
CERTIFICAR?
PUEDEN
Cualquier Organizacin, grande o pequea,

pblica o privada, de Gobierno o sin fines de
lucro, etc, est en condiciones y habilitada para
CERTIFICARSE.

QUIENES ESTAN
AUTORIZADOS
A EFECTUAR LA
Informacin
Certificacin
CERTIFICACION?
Cualquier Agente ajeno a la Organizacin
(Profesional Independiente o Compaa) puede
Firmar el Informe antes mencionado.
Pero dado que la Certificacin adems de un valor
Interno de Asegurarse de Cumplir con la Normativa,
tiene un fin principal de poder Mostrar dicha
Certificacin al Mercado Externo, generalmente se
recurre a Organizaciones que estn Tcnicamente
Aceptadas
y
adems
reconocidas
INTERNACIONALMENTE para efectuar dicho trabajo.
Por ello se recurre a Organizaciones que estn
ACREDITADAS (este es el trmino tcnico utilizado)
en el Organismo Internacional de Acreditacin.
Ejemplo de este tipo de Organizaciones son el

COMO ES EL PROCESO DE CERTIFICACION?

El requerimiento previo es que la Organizacin
cumpla con la Implementacin del SGSI definido
en la Seccin anterior.
Luego se convoca al Tercero para efectuar la
CERTIFICACION.

Los principales PASOS son:

Preparar la Documentacin Soporte a Presentar
Efectuar la PREAUDITORIA para conocer el GAP
Analysis respecto al Estndar
Identificar conjuntamente:
las NO CONFORMIDADES (incumplimientos de
acuerdo al Estndar)
las NO CONFORMIDADES que son ACEPTADAS
(slo se documentan los argumentos de
justificacin)
las NO CONFORMIDADES que NO son
ACEPTADAS (se definen las MEJORAS a
implementar)

Implementar las MEJORAS y Generar los Soportes

Documentales correspondientes
Efectuar la AUDITORIA DE CERTIFICACION y
Generacin del Informe Final de Certificacin
incluyendo las NO CONFORMIDADES (aceptadas o
NO y sus Riesgos Residuales aceptados por la
Direccin de la Organizacin)

PUEDE UNA ORGANIZACION

CERTIFICACION?
PERDER
LA
Si una Organizacin no cumple con los

requerimientos, puede ocurrir que en la Auditora
Peridica la Empresa Certificadora solicite que se
saque la Certificacin Obtenida inicialmente.

CERTIFICACION ISO 27001 EN PERU
INDECOPI
TELEFONICA DEL PERU
HERMES
PMC LATAM
182
BENEFICIOS
Establecimiento de una metodologa de gestin de la
seguridad clara y estructurada.
Reduccin del riesgo de prdida, robo o corrupcin de
informacin.
Los clientes tienen acceso a la informacin a travs
medidas de seguridad.
Los riesgos y sus controles son continuamente
revisados.
Confianza de clientes y socios estratgicos por la
garanta de calidad y confidencialidad comercial.
Las auditoras externas ayudan cclicamente a identificar
las debilidades del sistema y las reas a mejorar.
Posibilidad de integrarse con otros sistemas de gestin
(ISO 9001, ISO 14001, OHSAS 18001).
BENEFICIOS
Continuidad de las operaciones necesarias de negocio
tras incidentes de gravedad.
Conformidad con la legislacin vigente sobre
informacin personal, propiedad intelectual y otras.
Imagen de empresa a nivel internacional y elemento
diferenciador de la competencia.
Confianza y reglas claras para las personas de la
organizacin.
Reduccin de costes y mejora de los procesos y
servicio.
Aumento de la motivacin y satisfaccin del personal.
Aumento de la seguridad en base a la gestin de
procesos en vez de en la compra sistemtica de
productos y tecnologas.
MODULO IV: Auditora del Sistema.
185

Objetivos y conceptos.
Procesos y actividades.
Auditora del sistema. Conocimiento.
Mtodos, tcnicas y herramientas.
186

El arte de auditar un SGSI
Auditar el cumplimiento de la ISO 27001:2013
Reuniendo evidencias
Que obtener
Tcnicas de preguntas
Desarrollo de preguntas
El arte de auditar
Errores del auditor
Tcticas negativas en el auditado
Auditar el SGSI
Auditar los controles
187

Reuniendo evidencias
Entrevistar
Examinar Documentos
Observar actividades / condiciones
Verificar Independientemente
Tomar Notas
188

Que Observar
Escenarios
Tcnico (fsico, lgico,sectorial)
Legal
Organizacional
Equipo auditor coordinado desde el plan inicial
189

Que Observar
Identidad del Personal
Documentacin
Registros
Producto
Escenarios
Tcnico (fsico, lgico)
Legal
Organizacional
Planos / Diseos
Hallazgos Reales
190

Tcnica de Preguntas
Qu?
Por qu?
Cundo?
Cmo?
Dnde?
Quin?
191

Desarrollo de Preguntas
Mustreme .... ?
No comprendo .... ?
Que pasa si .... ?
Suponga que .... ?
Usted est diciendo que .... ?
Entiendo que .... ?
Esto significa que .... ?
Acercamiento en Silencio
192

El Arte de Auditar
Ser objetivo / corts
Buscar no-conformidades
Ser persistente
Evitar crticas o discusiones
Evitar manifestar propias conclusiones
Mantener la independencia
Decidir in situ
Ser positivo
193

Que debe evitar el auditor
Mostrarse enfadado
Hablar demasiado
Llegue tarde
Discutir
Ser negativo
Ser sarcstico
Ser demasiado amistoso
Ser reservado
Hacer de consultor
194

Tcticas negativas en el auditado
Soborno
Engao / deshonestidad
Excusas
Olvido
Interrupciones
Pobre de m...
Prdidas de tiempo, esperas
Ausencia de auditados
Splicas
Falta de colaboracin
195

Errores del Auditor
Mal nfasis
Falta de tcnica
Errores de semntica
Error de lectura
Errores de percepcin
Mala comprensin
Distraccin
Tengo razn!
196

Auditando el SGSI
Revisin documental de cada unos de los
procedimientos
de gestin del SGSI (Auditora interna 9.2)
Revisin por la Gerencia (Auditora interna 9.3)
Auditoras internas de los Controles (A.12.7.1)
Revisiones por parte de la direccin
Revisin documental de los registros del SGSI
197

Auditando controles
Procedimiento de implementacin de controles
Roles y propietarios de cada uno de ellos
Procedimientos propios de los controles
Revisin de cumplimiento
198

Como auditar los controles
Sobre todos/algunos de los controles, la
auditora debe contemplar inspecciones del
tipo:
Control organizacional
Revisin
documental,
entrevistas,
observaciones e inspeccin fsica
Control tcnico
Medir la efectividad mediantes system
testing
o
mediante
herramientas
de
audit/reporting
System testing
199
Inspeccin visual

STAGE O. PLAN DE AUDITORA
STAGE1. REUNION CON DIRECCION
STAGE 2. AUDITORIA IN-SITU
REUNION DE CIERRE
CERTIFICACIN
200

Estudio de la complejidad de la organizacin, elaboracin del plan
de
auditora, designacin del equipo auditor.
Estudio de la complejidad de la organizacin
Tiempos de auditora
Designacin del equipo auditor
Elaboracin del plan de auditora
Envo a la organizacin del plan de auditora
201

Complejidad de la organizacin
Dependiendo de la complejidad de la organizacin:
Determinaremos el equipo auditor
Determinaremos el tiempo de auditora (junto con
otros factores)
La
complejidad
la
determinan
diversas
circunstancias de la organizacin que determinarn
un nivel (riesgo potencial)
Alto
Medio
Bajo
202

Tiempos de auditora
A segn el nmero de empleados
(66-85) A=6 days
(876-1175) A=13 days
+(1 -3) days document review
+ 2 days audit control ISO 27002
+ 0.5 x # sites
+ factor (si sector riesgo alto)
Valor ejemplo -> 25 das de auditoria en una empresa de 1200
empleados con nivel alto de riesgo
203

STAGE 1. REUNION CON DIRECCION
Plan de Auditora
Equipo auditor
Revisin documental
Alcance
Poltica alto nivel
Cumplimiento legal
Procedimientos de gestin del SGSI
Evaluacin de riesgos
Proceso de implantacin de controles
Gestin de incidencias
Comit de seguridad
204
STAGE 2. AUDITORA IN-SITU
Auditora segn el plan

Auditando el sistema
Auditando los controles
Revisin tcnica
Revisin documental
Mediante entrevistas
Mediante inspeccin fsica
Mediante testing/tools
A usuarios, responsables,externos
Por muestreo , a todos los sites
205

REUNION DE CIERRE
Introduccin
Resea
Impresin General
Puntos especficos
Conclusiones
Respuesta del Auditado
Recomendaciones de mejora
Firma de no-conformidades
Agradecimientos al Auditado
Despedida
206

Auditoras de seguimiento
A intervalos planeados desde el programa de
auditora
Normalmente cada seis meses
En algunas auditoras del SGSI se audita el alcance
parcialmente para conseguir la certificacin al final
del proceso
A los tres aos se requiere una recertificacin
207
GRACIAS
Docente: Ing. Manuel Castillo Fernndez

208

Iso27000 PDF

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Iso27000 PDF

Hochgeladen von

Copyright:

Verfügbare Formate

NORMAS

MODULO I: Introduccin a ISO 27000

MODULO I: Introduccin a ISO 27000

MODULO I: Introduccin a ISO 27000

Marco legal y jurdico de la Seguridad de la

Ley de Proteccin de Datos Personales del Per (Ley

Autoridad Nacional de Proteccin de Datos Personales

Resolucin Ministerial N 246-2007-PCM, aprueba la Norma

obligatorio de la norma tcnica peruana NTP-ISO/IEC

27001:2008 EDI Tecnologas de la Informacin. Tcnicas de

MODULO I: Introduccin a ISO 27000

DERECHOS DE LA PERSONA: "Todos los peruanos tenemos

BANCOS DE DATOS PERSONALES: Cualquier conjunto de

OBLIGACIONES: Las empresas pblicas y privadas estn

derecho fundamental de los peruanos a la proteccin de

MODULO I: Introduccin a ISO 27000

PERSONALES: El Ministerio de Justicia a travs de la Direccin

ciudadanos, audita a las instituciones y llega a sancionar en

pblicas y privadas deben implementar mecanismos para:

MODULO I: Introduccin a ISO 27000

Artculo 10 - Principio de Seguridad: Establece que las

Captulo V Medidas de Seguridad: En el cual se plantean los

MODULO I: Introduccin a ISO 27000

MODULO I: Introduccin a ISO 27000

MODULO I: Introduccin a ISO 27000

MODULO I: Introduccin a ISO 27000

MODULO I: Introduccin a ISO 27000

MODULO I: Introduccin a ISO 27000

La norma BS 7799 de BSI apareci por primera vez en 1995.

MODULO I: Introduccin a ISO 27000

En esta seccin se hace un breve resumen del

27015 Lneas gua

Competencias, continuidad y ciberseguridad

Gestin de incidentes de Seguridad de la Informacin

Gestin de relaciones con

MODULO I: Introduccin a ISO 27000

MODULO I: Introduccin a ISO 27000

Conceptos bsicos sobre la seguridad de la informacin

MODULO I: Introduccin a ISO 27000

MODULO I: Introduccin a ISO 27000

MODULO I: Introduccin a ISO 27000

Conceptos bsicos sobre la seguridad de la informacin

MODULO I: Introduccin a ISO 27000

Estructura de ISO 27001

MODULO I: Introduccin a ISO 27000

MODULO I: Introduccin a ISO 27000

27001 - Anexo A.14.1 Continuidad del negocio

MODULO I: Introduccin a ISO 27000

Tcnicas de Seguridad Organizacin - Planear

Tcnicas de Seguridad Organizacin Puntos de Control de

NUEVA ESTRUCTURA ISO 27001

MODULO I: Introduccin a ISO 27000

Dominios ISO 27001

MODULO I: Introduccin a ISO 27000 - Dominios

MODULO I: Introduccin a ISO 27000

Metodologa de evaluacin y tratamiento de

Plan de tratamiento del riesgo

6.1.3 e), 6.2

Informe sobre evaluacin y tratamiento de

Definicin de funciones y responsabilidades de

Uso aceptable de los activos

Poltica de control de acceso

MODULO I: Introduccin a ISO 27000