Auditoría de la Seguridad.

Certificaciones en Seguridad
02 Situación actual de la seguridad

Actualmente las empresas y hasta la propia sociedad

depende de los sistemas de información
La Sociedad de la
Información se está
convirtiendo en una
realidad, pero
introduce algunas
complicaciones
La principal es que si
los sistemas se ven
comprometidos...
02 Situación actual de la seguridad

Qué amenaza al sistema

Ataques
Externos
Ataques
Internos

Interrupción de
suministros

Errores
Una cadena es tan fuerte como
el más débil de sus eslabones Accidentes
02 Situación actual de la seguridad

Amenazas

En cualquier caso, la principal amenaza es el no hacer

Para vencerla es necesario aportar argumentos sólidos de las

ventajas que supone abordar un proyecto de medidas de
seguridad
02 Situación actual de la seguridad

El modelo tecnológico no está funcionando

Problemas más importantes de la seguridad

(Information Security Magazine)
Código malicioso Usuarios autorizados
Vulnerabilidades del equipamiento Usuarios no autorizados
Gestión de la compañía Otros

11%
9% 31%

11%

15% 23%
02 Situación actual de la seguridad

El modelo tecnológico no está funcionando

Cada día surgen entre 2 y 5

nuevas vulnerabilidades
Cada año se doblan los incidentes
de seguridad con respecto al año
anterior

La seguridad se rompe frecuentemente y cuando se rompe ...

Se rompe por completo
Lo hace de forma impredecible
Se pasa del aburrimiento al pánico en minutos
04 Certificación en Seguridad. ISO 27001

ISO 27001
Qué es un Sistema de Gestión (ISO Guide 72)

Es un sistema para establecer la política y objetivos de una organización y

lograrlos, mediante

Una estructura organizativa donde las funciones, responsabilidades,

autoridad, etc. de las personas están definidas
Procesos y recursos necesarios para lograr los objetivos
Metodología de medida y de evaluación para valorar los resultados frente a
los objetivos, incluyendo la realimentación de resultados para planificar las
mejoras del sistema
Un proceso de revisión para asegurar que los problemas se detectan y se
corrigen, y las oportunidades de mejora se implementan cuando están
justificadas
04 Certificación en Seguridad. ISO 27001

Es un conjunto de políticas, procedimientos y controles que

persigue mantener el riesgos de los sistemas de información
dentro de unos niveles asumibles por la dirección y mejorar
la seguridad de la información para apoyar los procesos de
negocio a través del ciclo de mejora continua.
Planificar
Establecer
el SGSI
Actuar Hacer
Mantener y Implantar y
Mejorar el SGSI Operar el SGSI
Comprobar
Monitorizar y
Revisar el SGSI

El núcleo sobre el que se fundamenta un SGSI es la

GESTION DEL RIESGO
04 Certificación en Seguridad. ISO 27001

Normas de referencia. Familia ISO 27000

ISO 27002: Código de buenas prácticas para la

gestión de la seguridad de la información
Da recomendación sobre como gestionar la
seguridad de la información, a través de 12
secciones, cada una de las cuales tiene una
serie de objetivos, que se alcanzan
implantando una serie de controles

ISO 27001, UNE 71502: Especificaciones para los Sistemas de Gestión

de la Seguridad de la Información (SGSI)
Establece las especificaciones que debe cumplir el sistema de gestión
que implante la organización para que pueda ser auditado y
certificado
04 Certificación en Seguridad. ISO 27001

Definir el alcance del SGSI

ISO 27001 Definir la política del SGSI
Identificar los riesgos
Gestionar los riesgos
Seleccionar los controles ISO 27002

Planificar
Implantar las mejoras
Establecer
Adoptar acciones el SGSI Definir e implantar
preventivas y Actuar Hacer plan de gestión de
correctivas riesgos
Comunicar acciones Mantener y Implantar y Implantar controles
y resultados Mejorar el SGSI Operar el SGSI seleccionados y sus
Verificar que las indicadores
Comprobar Implantar el Sistema
mejoras cumplen su
objetivo de Gestión
Monitorizar y
Revisar el SGSI

Desarrollar procedimientos de monitorización

Revisar regularmente el SGSI
Revisar los niveles de riesgo
Auditar internamente el SGSI
04 Certificación en Seguridad. ISO 27001

Análisis de Riesgos
Elemento fundamental de un Sistema de Gestión
de la Seguridad de la Información

Es el proceso de identificar los riesgos de la seguridad,

determinando su magnitud e identificando las áreas que
requieren medidas de salvaguarda
04 Certificación en Seguridad. ISO 27001

Análisis de Riesgos
04 Certificación en Seguridad. ISO 27001

Gestión de Riesgos

Primero… Activos
Amenazas CLASIFICACION
analizar el DEL RIESGO
Vulnerabilidades
riesgo Impacto

Segundo…
decidir sobre el 1.- Aceptarlo NIVEL Cuarto…
2.- Transferirlo
riesgo 3.- Gestionarlo ACEPTABLE DEL corregir y
RIESGO mejorar

Tercero…
medir cómo 1.- Políticas
2.- Procedimientos CONTROL DEL
van las cosas
3.- Implantación RIESGO
4.- Eficacia
04 Certificación en Seguridad. ISO 27001

ISO 27001:2005 Requisitos de un SGSI

04 Certificación en Seguridad. ISO 27001

ISO 27002 Buenas prácticas para la gestión de la seguridad

ISO 27002
04 Certificación en Seguridad. ISO 27001

Evolución histórica del marco ISO 27000

1995 1996 1999 2000 2002 2005

BS7799: 1995

ISO 14980: 1996

BS7799-1: 1999

ISO/IEC 17799: 2000

UNE/ISO 17799: 2002

ISO 27001: 2005

ISO 27002: 2005
04 Certificación en Seguridad. ISO 27001

La familia de normas ISO 27000

ISO/IEC 27000 Vocabulario y Definiciones 2008/2009

ISO/IEC 27001 Especificaciones de un SGSI Octubre 2005

ISO/IEC 27002 Código de Buenas Prácticas

Abril 2007
(anterior ISO/IEC 17799:2005)
(Junio 2005)

ISO/IEC 27003 Guía de implantación de un SGSI 2009

ISO/IEC 27004 Métricas e Indicadores Nov 2008

ISO/IEC 27005 Guía de gestión de Riesgos 2009

ISO/IEC 27006 Requisitos acreditación entidades de certificación Marzo 2007

04 Certificación en Seguridad. ISO 27001

Proyecto SGSI

Auditoría inicial Formación

Análisis de procesos y flujos Alcance Interfaces

Plan gestión de
Análisis y gestión de Riesgos
riesgos

Desarrollo SGSI

Puesta en
Marco del Políticas y
Procedimientos Indicadores producción y
SGSI normas
auditorías
04 Certificación en Seguridad. ISO 27001

SOLICITUD + MANUAL+
Auditoría PROCEDIMIENTOS C
i
Certificación REVISIÓN DE
DOCUMENTACIÓN
c
l
SGSI DOC. o
NO
COMPLETA
Y ADECUADA
c
SI
o
AUDITORÍA INICIAL
m
ACCIONES SI p
CORRECTORAS l
VALIDAS
PETICIÓN DE NUEVAS
e
ACCIONES CORRECTORAS NO CONCESIÓN DEL CERTIFICADO t
Y/O VISITA EXTRAORDINARIA o
AUDITORÍA DE SEGUIMIENTO
(ANUAL)

ACCIONES SI
CORRECTORAS
VALIDAS
PETICIÓN DE NUEVAS
NO VALIDACIÓN DEL
ACCIONES CORRECTORAS CERTIFICADO
Y/O VISITA EXTRAORDINARIA

AUDITORÍA DE RENOVACIÓN 35
(TRIANUAL)
04 Certificación en Seguridad. ISO 27001

Ejemplo simplificado del diagrama de flujos de una Auditoría de Applus+ de certificación SGSI

Auditoría CLIENTE AUDITORIA IN SITU

AUDITORÍA DOCUMENTAL DOCUM ENTACIÓN
Inicio de la auditoría . Descri pci ón de l a organi zaci ón
Certificación SGSI Envío documentación
. Descri pci ón de l os m edi os
técnicos de SGSI
. Descri pci ón breve del SGSI
del SGSI . Al cance
. Pol i ticas y norm as
Análisis de la . Decl araci on de apl i cabi l i i dad
documentación . anal i si s de ri esgos
enviada . Pl an de gesti ón de ri esgos
. Procedi m i entos cri ti cos

Elaboración y
envío del inf orme
de auditoría
documental Informe Auditoría
Documental
No ¿Certi fi cabl e?

Si

Si ¿Hay No
Conform i dades?

Acciones No
correctivas Elaboración Plan de
Plan auditoría Auditoría
Revision acciones
correctivas

Acciones . Implicación de dirección Informe

correctivas . Auditoría controles Auditoría
. Revisión registros
. Revisión indicadores
. Pruebas sustantivas

¿Certif icable? Si

No

Si No Denegación
¿Corregible? del certificado
04 Certificación en Seguridad. ISO 27001

ISO 27001
Factores de éxito
Orientación al negocio
Liderazgo de la dirección
Participación del personal
Seguridad basada en riesgo
Enfoque basado en procesos, no
en productos
Enfoque de sistema de gestión
Medición y mejora continua
Toma de decisión basada en
hechos
Gestión planificada de incidentes