SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION

Normas Tcnicas:
BS 7799-2:2002 (Certificable). ISO 17799:2005 (No Certificable). ISO 27001:2005 (Certificable).

ANTECEDENTES
Qu es una Norma ?
Una norma es una especificacin tcnica
Elaborada con participacin de todos los sectores involucrados Aprobada por consenso Su objetivo es el beneficio a la comunidad Est a disposicin de todos los interesados Es elaborada y publicada por un organismo de normalizacin reconocido

ANTECEDENTES
Department of Trade & Industry Ministerio de Comercio y de la industria del Reino Unido.
www.dti.gov.uk

Es el administrador del comercio, negocios, empleados, consumidores, ciencia, energa en el Reino Unido y est trabajando para crear las condiciones de xito en los negocios del Reino Unido en el desafo de la globalizacin.

ANTECEDENTES
British Standard Institution
www.bsi-global.com

Fundada en 1901 como el comit de estndares de la ingeniera. Los estndares britnicos del bsi son el cuerpo nacional de los estndares del reino unido, con una reputacin global reconocida para la independencia, la integridad y la innovacin en la produccin de los estndares que promueven la mejor prctica. Desarrolla y vende estndares y soluciones de la estandardizacin para resolver las necesidades del negocio y de la sociedad.
Certifica sistemas y productos de gerencia Proporciona servicios de la comprobacin del producto Desarrolla estndares privados, nacionales e internacionales Proporciona el entrenamiento en estndares Proporciona soluciones de software

ANTECEDENTES
Organizacin Internacional para la Estandarizacin
Organizacin internacional no gubernamental, compuesta por representantes de los organismos de normalizacin (ONs) nacionales, que produce normas internacionales industriales y comerciales (normas ISO ). Su finalidad es la coordinacin de las normas nacionales, en consonancia con el Acta Final de la Organizacin Mundial del Comercio, con el propsito de facilitar el comercio, el intercambio de informacin y contribuir con unos estndares comunes para el desarrollo y transferencia de tecnologas.

QU ES ISO 27000?
Es una familia de estndares internacionales para Sistemas de Gestin de la Seguridad de la Informacin (SGSI).

Requisitos para la especificacin de sistemas de gestin de la seguridad de la informacin Proceso del anlisis y gestin del riesgo

Mtricas y medidas de proteccin

Guas de implantacin

Vocabulario claramente definido para evitar distintas interpretaciones de conceptos tcnicos y de gestin y mejora continua.

LA FAMILIA NORMA ISO 27000 (1)

ISO 27000
En fase de desarrollo. Contendr trminos y definiciones que se emplean en toda la serie 27000. La aplicacin de cualquier estndar necesita de un vocabulario claramente definido, que evite distintas interpretaciones de conceptos tcnicos y de gestin.

ISO 27001
Es la norma principal de requerimientos del sistema de gestin de seguridad de la informacin. Tiene su origen en la BS 7799-2:2002 y es la norma con arreglo a la cual sern certificados por auditores externos los SGSI de las organizaciones. Fue publicada el 15 de Octubre de 2005 y sustituye a la BS 7799-2, habindose establecido unas condiciones de transicin para aquellas empresas certificadas en esta ltima.

ISO 27002 (ISO 17799)

Es una gua de buenas prcticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la informacin. No es certificable. Ser la sustituta de la ISO17799:2005.

LA FAMILIA ISO 27000

(2)

ISO 27003 Contendr una gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS7799-2. ISO 27004 Especificar las mtricas y las tcnicas de medida aplicables para determinar la eficiencia y efectividad de la implantacin de un SGSI y de los controles relacionados. Estas mtricas se usan fundamentalmente para la medicin de los componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA. ISO 27005 Consistir en una gua para la gestin del riesgo de la seguridad de la informacin y servir, por tanto, de apoyo a la ISO27001 y a la implantacin de un SGSI. Se basar en la BS7799-3 (publicada en Marzo de 2006) y, probablemente, en ISO 13335.

ISO 27006 Especificar el proceso de acreditacin de entidades de certificacin y el registro de SGSIs.

Evolucin de la Norma ISO/IEC 27001

Video

Norma ISO/IEC 27001

SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN

S G S I
Es la norma que define los requisitos para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) documentado dentro del contexto de los riesgos del negocio.

Norma ISO/IEC 27001

Esta norma la pueden usar para: Evaluar la capacidad de una organizacin (requisitos). Aplicacin de un sistema de procesos dentro de la organizacin. Comprender los requisitos de la seguridad de la informacin. Implementar y operar controles en la gestin del riesgo. Administracin del SGSI.

Mejora continua basada en la medicin de objetivos.

Esta norma puede ser aplicada a todas las organizaciones, independientemente de su tipo, tamao y naturaleza.

Norma ISO/IEC 27001

Qu es un SGSI?
ISMS - Information Security Management System.
Un sistema de gestin de la seguridad de la informacin (SGSI) es una forma sistemtica de abordar la gestin de la informacin empresarial para protegerla. Atae a las personas, los procesos y los sistemas informticos. Es un proceso documentado y conocido por toda la organizacin para garantizar que la seguridad de la informacin es gestionada correctamente. (ISO 9001). La seguridad de la informacin consiste en preservar: Confidencialidad: acceso nicamente por autorizados. Integridad: exactitud y completitud. Disponibilidad: acceso de los usuarios autorizados cuando lo requieran. Los sistemas implicados en el tratamiento de la informacin. Informacin: escrita, diagramas, electrnica, imgenes o incluso oral.

Para qu sirve un SGSI?

Conoce los riesgos a los que est sometida su informacin y los asume, minimiza, transfiere o controla mediante un sistema definido, documentado y conocido por todos, que se revisa y actualiza constantemente.

Para qu sirve un SGSI?

Principales riesgos
Spamming
Captura de PC desde el exterior
Mails annimos con informacin crtica o con agresiones

Robo de informacin
Destruccin de equipamiento

Violacin de e-mails
Incumplimiento de leyes y regulaciones

Violacin de contraseas

Intercepcin y modificacin de e-mails

Violacin de la privacidad de los empleados
empleados deshonestos

Virus

Fraudes informticos

Ingeniera social

Programas bomba Propiedad de la Informacin Destruccin de soportes documentales

Robo o extravo de notebooks

Interrupcin de los servicios

Acceso clandestino a redes

Acceso indebido a documentos impresos
Indisponibilidad de informacin clave

Software ilegal

Intercepcin de comunicaciones Falsificacin de informacin para terceros Agujeros de seguridad de redes conectadas

Norma ISO/IEC 27001

CONTENIDO DE LA NORMA
1. 2. 3. 4. 5. 6. 7.

Objeto Referencias Normativas Trminos y Definiciones Sistema de Gestin de la Seguridad de la Informacin Responsabilidad de la Direccin Revisin del SGSI por la Direccin

Mejora del SGSI.

Anexo A Objetivos de Control y Controles. Anexo B Gua para el uso de la Norma. Anexo C Correspondencia entre ISO9001 - ISO14001 BS7799-2.

4. SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN

EL MODELO PDCA PHVA aplicado al SGSI
Requisitos de Seguridad de la Informacin

Resultados de la Seguridad de la Informacin 1. Plan (planificar): establecer el SGSI. 2. Do (hacer): implementar y utilizar el SGSI. 3. Check (verificar): monitorizar y revisar el SGSI. 4. Act (actuar): mantener y mejorar el SGSI. RC Resumen de Controles - DA Declaracin de Aplicabilidad

4.1. REQUISITOS GENERALES

La organizacin debe: Desarrollar, implementar, mantener y mejorar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) documentado dentro del contexto de los riesgos del negocio.

FLUJOGRAMA PARA EL ESTABLECIMIENTO DE UN SGSI

4.2.1. ESTABLECIMIENTO Y GESTIN DEL SGSI

4.2.1. ESTABLECIMIENTO Y GESTIN DEL SGSI (1)

4.2.1. ESTABLECIMIENTO Y GESTIN DEL SGSI (2)

4.2.1. ESTABLECIMIENTO Y GESTIN DEL SGSI (3)

4.2.1. ESTABLECIMIENTO Y GESTIN DEL SGSI (4)

EJEMPLO DE POLITICA DE SEGURIDAD (1)

A.3 POLTICA DE SEGURIDAD
Numeral de la
NTC-ISO/IEC 17799 A.3.1 Poltica de seguridad de la informacin Objetivo de control: brindar orientacin y apoyo de la direccin para la seguridad de la informacin. .Contro/es A.3.1.1 Documento de la poltica de seguridad de la informacin. La Direccin debe aprobar, publicar y 3.1.1 comunicar a todos los empleados, en la forma adecuada, un documento de poltica de sequridad de la informacin. A.3.1.2 Revisin y evaluacin. Se debe revisar regularmente la poltica, y en caso de cambios que tengan influencia, se debe asegurar que sta sigue siendo apropiada. 3.1.2 , 3.1

4.2.2 IMPLEMENTACIN Y OPERACIN DEL SGSI

Anexo A

4.2.2 IMPLEMENTACIN Y OPERACIN DEL SGSI (1)

4.2.2 IMPLEMENTACIN Y OPERACIN DEL SGSI (2)

4.2.3. SEGUIMIENTO Y REVISIN DEL SGSI

4.2.3. SEGUIMIENTO Y REVISIN DEL SGSI (1)

4.2.3. SEGUIMIENTO Y REVISIN DEL SGSI (2)

4.2.4. MANTENER Y MEJORAR EL SGSI

4.2.4. MANTENER Y MEJORAR EL SGSI (1)

REQUISITOS DE DOCUMENTACION (1)

REQUISITOS DE DOCUMENTACION (2)

REQUISITOS DE DOCUMENTACION (3)

RESPONSABILIDAD DE LA DIRECCION (1)

RESPONSABILIDAD DE LA DIRECCION (2)

AUDITORIA INTERNA DEL SGSI (1)

MONITOREO DEL SGSI POR LA DIRECCION (1)

MONITOREO DEL SGSI POR LA DIRECCION (2)

MEJORA DEL SGSI (1)

OBJETIVOS DE CONTROL Y CONTROLES

Anexo N 1

OBJETIVOS DE CONTROL

OBJETIVOS DE CONTROL Y CONTROLES

CONTROLES DE CADA OBJETIVO DE CONTROL (1)

CONTROLES DE CADA OBJETIVO DE CONTROL (2)

CONTROLES DE CADA OBJETIVO DE CONTROL (3)

CONTROLES DE CADA OBJETIVO DE CONTROL (4)

CONTROLES DE CADA OBJETIVO DE CONTROL (5)

CONTROLES DE CADA OBJETIVO DE CONTROL (6)

CONTROLES DE CADA OBJETIVO DE CONTROL (7)

CONTROLES DE CADA OBJETIVO DE CONTROL (8)

CONTROLES DE CADA OBJETIVO DE CONTROL (9)

BENEFICIOS DE UN SGSI

CONCLUSIONES FUNDAMENTALES