SISTEMA DE GESTION DE LA

SEGURIDAD DE LA INFORMACION
(ISO/IEC 27001)

Temario del Curso

Conceptos fundamentales.
Seguridad de la informacin.
Normas aplicables.
Las Normas ISO/IEC 17799 -- ISO/IEC 27001
Conceptos fundamentales de las etapas del ciclo del SGSI
Plan/Do/Check/Act
Factores de xito.
Anexos
Trminos.
Caso

Conceptos Fundamentales
De que informacin estamos hablando?
Qu tan expuestos estamos?

Informacin a Proteger
Cual es la informacin ms valiosa que manejamos?

La informacin asociado a nuestros clientes.

La informacin asociado a nuestras ventas.
La informacin asociada a nuestro personal.
La informacin asociada a nuestros productos.
La informacin asociada a nuestras operaciones.

Riesgos?
Pero si nunca paso nada!!.
Esto no real.
Lo que sucede es que hoy sabemos muy poco.

La empresa necesita contar con informacin sobre la cual tomar

decisiones a los efectos de establecer controles necesarios y
eficaces.

Amenazas

Password cracking

Escalamiento de privilegios

Fraudes informticos Puertos vulnerables abiertos

Man in the middle

Exploits

Violacin de la privacidad de los empleados

Servicios de log inexistentes o que no son chequeados

Denegacin de servicio
ltimos parches no instalados

Desactualizacin
6

Backups inexistentes
Destruccin de equipamiento

Instalaciones default

Keylogging

Port scanning

Hacking de Centrales Telefnicas

Ms Amenazas!!
Spamming
Violacin de contraseas

Virus

Intercepcin y modificacin y violacin de e-mails

Captura de PC desde el exterior

Incumplimiento de leyes y regulaciones

Mails annimos con agresiones

Interrupcin de los servicios

Ingeniera social

Programas bomba, troyanos

Destruccin de soportes documentales

Acceso clandestino a redes

Robo o extravo de notebooks, palms

Propiedad de la informacin
Robo de informacin
Indisponibilidad de informacin clave
Intercepcin de comunicaciones voz y
wireless
Falsificacin de informacin
Agujeros de seguridad de redes conectadas
para terceros
Acceso indebido a documentos impresos

empleados deshonestos

Vulnerabilidades Comunes

Inadecuado compromiso de la direccin.

Personal inadecuadamente capacitado y concientizado.
Inadecuada asignacin de responsabilidades.
Ausencia de polticas/ procedimientos.
Ausencia de controles
(fsicos/lgicos)
(disuasivos/preventivos/detectivos/correctivos)

Ausencia de reportes de incidentes y vulnerabilidades.

Inadecuado seguimiento y monitoreo de los controles.

Seguridad de la Informacin

Seguridad de la Informacin ?
La informacin es un activo que como otros activos importantes
tiene valor y requiere en consecuencia una proteccin adecuada.

La informacin puede estar:

Impresa o escrita en papel.
Almacenada electrnicamente.
Trasmitida por correo o medios electrnicos
Mostrada en filmes.
Hablada en conversacin.

Debe protegerse adecuadamente cualquiera que sea la forma que

tome o los medios por los que se comparte o almacene.

10

Seguridad de la Informacin ?
La seguridad de la informacin se caracteriza aqu como la
preservacin de:
su confidencialidad, asegurando que slo quienes estn autorizados
pueden acceder a la informacin;
su integridad, asegurando que la informacin y sus mtodos de
proceso son exactos y completos.
su disponibilidad, asegurando que los usuarios autorizados tienen
acceso a la informacin y a sus activos asociados cuando lo requieran.

11

Normas Internacionalmente reconocidas

Reconocimiento internacional

12

Normas aplicables
Entre los distintos organismos relacionados comercial y/o
institucionalmente con los temas de Seguridad de la Informacin,
podemos encontrar los siguientes:
ISACA: COBIT
British Standards Institute: BSI
International Standards Organization: Normas ISO

13

Departamento de Defensa de USA: Orange Book / Common Criteria

ITSEC Information Technology Security Evaluation Criteria:
White Book
Sarbanes Oxley Act, HIPAA

Cmo establecer los requisitos?

Es esencial que la Organizacin identifique sus requisitos de seguridad.
Existen tres fuentes principales.
La primer fuente procede de la valoracin de los riesgos de la
Organizacin. Con ella:
- Se identifican las amenazas a los activos,
- Se evala la vulnerabilidad y la probabilidad de su ocurrencia.
- Se estima su posible impacto.

14

Cmo establecer los requisitos?

La segunda fuente es el conjunto de requisitos legales,
estatutarios, regulatorios y contractuales que debe satisfacer:
-

la Organizacin,
sus socios comerciales,
los contratistas
los proveedores de servicios.

La tercera fuente est formada por los principios, objetivos y

requisitos que la Organizacin ha desarrollado para apoyar sus
operaciones.

15

Las normas ISO/IEC 17799, ISO/IEC 27001?

Quien es quien?

16

Origen de la normativa
Grupo de trabajo enero 1993
Emisin de cdigo Septiembre 1993
Publicacin de BS 7799-1 Febrero 1995
Publicacin de BS 7799-2 Febrero 1998
Publicacin BS7799: 1999 1 y 2 Abril 1999
ISO 17799 (BS 7799-1) Diciembre 2000
BS 7799-2 - Publicado en Septiembre 2002.
ISO 17799 - Publicado Julio 2005
ISO 27001 Publicado Noviembre 2005.

17

ISO/IEC 27001 ISO/IEC 17799?

British Standard 7799 Parte 1 Es un cdigo de mejores prcticas
que se sugieren: ....deberan...
ISO/IEC 17799-2000 Basado en la BS 7799 Parte 1.
No hay una certificacin.
10 reas de Control
36 Objetivos de Control
127 Controles
18

ISO/IEC 27001 ISO/IEC 17799?

British Standard 7799 Parte 2 Aporta conceptos de implantacin
obligatorios para certificar: ...deben...

Requisitos para Sistemas de Gestin de Seguridad de la informacin.

Vinculada con la BS 7799-1 (ISO/IEC 17799)
Proceso de Evaluacin para Certificacin.
Obsoleta.

ISO/IEC 27001.
Basada en la BS 7799:2
Versiones actuales:
ISO/IEC 17799:2005 / ISO/IEC 27001: 2005

19

ISO/IEC 17799:2000
10 reas de Control

20

Poltica de Seguridad
Aspectos organizativos para la seguridad
Clasificacin y control de los activos
Seguridad ligada al personal
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Gestin de continuidad del negocio
Conformidad

ISO/IEC 17799:2005
11 reas de Control

21

Poltica de Seguridad
Organizacin de la Seguridad de la Informacin
Gestin de Activos
Seguridad en los Recursos Humanos
Seguridad fsica y del entorno
Gestin de comunicaciones y operaciones
Control de accesos
Adquisicin, desarrollo y mantenimiento de sistemas de informacin
Gestin de incidentes de seguridad
Gestin de continuidad del negocio
Conformidad

Certificados BS 7799-2 / ISO/IEC 27001

2800 Empresas Certificadas a nivel mundial.

1800 en Japn.
415 Reino Unido
11en Brasil.
3 en Argentina.
Uruguay?

Certificacin ISO/IEC 27001.

Implica la misma certificacin, por parte de organismos locales a nivel
mundial.
Es razonable considerar un crecimiento equiparable al de normas ISO ya
existentes.

22

Relacin entre Normas

BSI

BS 7799 - 1

BS 7799 - 2

23

ISO/IEC

ISO/IEC 17799

UNIT (Ej. Uruguay)

UNIT/ISO/IEC 17799

UNIT 17799:2
(2005)

Nuevas Versiones ISO/IEC

ISO/IEC

ISO/IEC 17799
(2000)

ISO/IEC

ISO/IEC 17799
(2005)

BSI

BS 7799 - 2

24

ISO/IEC 27001
(2005)

SGSI - Modelo P-H-V-A

Metodologa de la ISO/IEC 27001

25

SGSI
El sistema de gestin de la seguridad de la informacin (SGSI) es
la parte del sistema de gestin de la empresa, basado en un
enfoque de riesgos del negocio, para:

establecer,
implementar,
operar,
monitorear,
mantener y mejorar la seguridad de la informacin.

Incluye.
Estructura,
polticas,
actividades,
procedimientos, procesos y recueros.

26

responsabilidades,

prcticas,

(Planificar /Hacer /Verificar /Actuar)

Modelo utilizado para establecer, implementar, monitorear y mejorar el

SGSI.

PlanificarEstablecer
el SGSI

Actuar

Mantener y
Mejorar el SGSI

Partes
Interesadas

Requisitos y
expectativas

27

Partes
Interesadas
Implementar y
operar el SGSI

Hacer

Monitorear
el SGSI

Verificar

Seguridad
Gestionada

(Planificar /Hacer /Verificar /Actuar)

El SGSI adopta el siguiente modelo:
Definir la poltica de seguridad

Implantar el plan de gestin de riesgos

Establecer el alcance del SGSI

Realizar los anlisis de riesgos

Implantar el SGSI

Planificar

Hacer

Seleccionar los controles

PHVA
Adoptar acciones correctivas

Actuar

Adoptar acciones preventivas

28

Verificar

Implantar los controles.

Implantar indicadores.
Revisiones del SGSI por parte de
la Direccin.

Realizar auditoras internas del SGSI

Establecer el SGSI (Plan)

Establecer la poltica de seguridad, objetivos, metas, procesos y procedimientos
relevantes para manejar riesgos y mejorar la seguridad de la informacin para
generar resultados de acuerdo con una poltica y objetivos marco de la
organizacin.
Definir el alcance del SGSI a la luz de la organizacin.
Definir la Poltica de Seguridad.
Aplicar un enfoque sistmico para evaluar el riesgo.
No se establece una metodologa a seguir.

29

Establecer el SGSI (Plan)

Identificar y evaluar opciones para tratar el riesgo
Mitigar, eliminar, transferir, aceptar
Seleccionar objetivos de Control y controles a implementar (Mitigar).
A partir de los controles definidos por la ISO/IEC 17799
Establecer enunciado de aplicabilidad

30

Implementar y operar (Do)

Implementar y operar la poltica de seguridad, controles, procesos y
procedimientos.
Implementar plan de tratamiento de riesgos.
Transferir, eliminar, aceptar
Implementar los controles seleccionados.
Mitigar
Aceptar riesgo residual.
Firma de la alta direccin para riesgos que superan el nivel definido.

31

Implementar y operar (Do)

Implementar medidas para evaluar la eficacia de los controles
Gestionar operaciones y recursos.
Implementar programas de Capacitacin y concientizacin.
Implementar procedimientos y controles de deteccin y respuesta a incidentes.

32

Monitoreo y Revisin (Check)

Evaluar y medir la performance de los procesos contra la poltica de seguridad,
los objetivos y experiencia practica y reportar los resultados a la direccin para
su revisin.
Revisar el nivel de riesgo residual aceptable, considerando:
Cambios en la organizacin.
Cambios en la tecnologas.
Cambios en los objetivos del negocio.
Cambios en las amenazas.
Cambios en las condiciones externas (ej. Regulaciones, leyes).
Realizar auditorias internas.
Realizar revisiones por parte de la direccin del SGSI.

33

Monitoreo y Revisin (Check)

Se debe establecer y ejecutar procedimientos de monitoreo para:
Detectar errores.
Identificar ataques a la seguridad fallidos y exitosos.
Brindar a la gerencia indicadores para determinar la adecuacin de los
controles y el logro de los objetivos de seguridad.
Determinar las acciones realizadas para resolver brechas a la seguridad.
Mantener registros de las acciones y eventos que pueden impactar al SGSI.
Realizar revisiones regulares a la eficiencia del SGSI.

34

Mantenimiento y mejora del SGSI (Act)

Tomar acciones correctivas y preventivas, basadas en los resultados de la
revisin de la direccin, para lograr la mejora continua del SGSI.
Medir el desempeo del SGSI.
Identificar mejoras en el SGSI a fin de implementarlas.
Tomar las apropiadas acciones a implementar en el ciclo en cuestin
(preventivas y correctivas).
Comunicar los resultados y las acciones a emprender, y consultar con todas
las partes involucradas.
Revisar el SGSI donde sea necesario implementando las acciones
seleccionadas.

35

Documentacin del SGSI

Contenido de los documentos

Describe el sistema de gestin de la seguridad
MANUAL DE
SEGURIDAD

PROCEDIMIENTOS
DOCUMENTADOS
EXIGIDOS POR LA
NORMA
OTROS DOCUMENTOS DEL SGSI
(INSTRUCCIONES DE TRABAJO,
FORMULARIOS, ESPECIFICACIONES Y
OTROS)

36

REGISTROS

Describe los procesos y las actividades

Describe tareas y requisitos

Son evidencias objetivas de la ejecucin
de procesos, actividades o tareas

Requisitos de Certificacin del SGSI

La norma establece requisitos
Documentar un SGSI.

37

para

Establecer,

Definir el alcance del SGSI (fronteras)

Definir una poltica de seguridad
Identificar activos
Realizar el anlisis de riesgos de activos.
Identificar las reas dbiles de los activo
Tomar decisiones para manejar el riesgo
Seleccionar los controles apropiados
Implementar y manejar los controles seleccionados
Elaborar la declaracin de aplicabilidad

Implementar

Objetivos de auditoria

Para obtener la certificacin.

Revisar conformidad con la norma (ISO/IEC 27001)
Revisar grado de puesta en prctica del sistema
Revisar la eficacia y adecuacin en el cumplimiento de:
Poltica de seguridad
Objetivos de seguridad

Identificar las fallas y debilidades en la seguridad

Proporcionar una oportunidad para mejorar el SGSI
Cumplir requisitos contractuales.
Cumplir requisitos regulatorios.

38

Certificacin del SGSI

La certificacin no implica que la organizacin a obtenido determinado
niveles de seguridad de la informacin para sus productos y/o servicios.
Las organizaciones certificadas pueden tener mayor confianza es su
capacidad para gestionar la seguridad de la informacin, y por ende
ayudara a asegurar a sus socios, clientes, y accionistas con quien hacen
negocios.
Procesos anlogos a los de las normas ISO 9001 e ISO 14000.
Certificado con duracin de 3 aos.

39

Certificacin del SGSI

En cada Pas
Actualmente en proceso de homologacin por las instituciones locales.
Opciones:
(Ej. Uruguay) UNIT/ISO/IEC 27001:2006
(Ej. Espaa) AENOR UNE 71502
ISO/IEC 27001.
Internacionalmente
El ms amplio reconocimiento.
Ampliamente reconocida a nivel profesional.
Estndar de la industria.
Requerida por importantes empresas a sus Proveedores.

40

Finalizando

41

Comencemos el proceso
Reporte cualquier Incidente, evento, debilidad, etc. que a su entender
afecte a la seguridad (disponibilidad, integridad, confidencialidad)
No divulgue informacin sensible.
Destruya adecuadamente la informacin sensible.
Siga los lineamientos, polticas y procedimientos que se le distribuirn.
Haga preguntas.

42

Comencemos el camino.
Mantenga su contrasea confidencial.
Sea conciente de los riesgos que estn asociados a una accin o recurso.
Las medidas implementadas tienen un motivo.
Lo no prohibido NO esta expresamente permitido.

Nuestra seguridad depende de usted.

La obtencin de la certificacin tambin.

43

Comentario Finales
Preguntas?
Consultas
reynaldo@datasec-soft.com

44