Lecture 04 SGSI

SEGURIDAD DE LA INFORMACION

SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION

(ISMS –Information Security Management System)

Ms. Ing. Edwin Valencia [email protected]

2 Seguridad de la Información © 2011 Edwin Valencia Castillo.Tuesday, October 1, 2013

Seguridad de la Información| SGSI

Introducción a los SGSI y la norma ISO 27001

Desarrollo de normativasAspectos claves en la implantación de un SGSI: Análisis de Riesgos

Análisis y Gestión de Riesgos¿Qué es un Sistema de Gestión?Especificaciones SGSI: ISO 27001

Buenas prácticas: ISO 27002Procesos de Certificación

Índice



Es la herramienta de la organización para dotarse en cada momento de las medidas de seguridad oportunas, que proporcionen los niveles de protección de la información que en cada momento sean necesarias, de la forma mas eficiente, en un entorno de mejora continua.

¿Qué es un Sistema de Gestión de Seguridad de la Información?



Es un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial.Ayuda a establecer políticas y procedimientos en relación a los objetivos del negocio de la organización, con el objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.




Es un conjunto de políticas, procedimientos y controles que persigue mantener el riesgos de los sistemas de información dentro de unos niveles asumibles por la dirección y mejorar la seguridad de la información para apoyar los procesos de negocio a través del ciclo de mejora continua.


El núcleo sobre el que se fundamenta un SGSI

es la GESTION DEL RIESGO

Implantar y Operar el SGSI

Hacer

Monitorizar y Revisar el SGSI

Comprobar

Mantener yMejorar el SGSI

Actuar

Establecer el SGSI

Planificar



Primero… analizar el riesgo

¿Cómo trata el riesgo un SGSI?

Segundo… decidir sobre el riesgo

ActivosAmenazasVulnerabilidadesImpacto

CLASIFICACION DEL RIESGO

1.- Aceptarlo2.- Transferirlo3.- Gestionarlo

NIVEL ACEPTABLE DEL

RIESGO

Tercero… medir cómo van las cosas

1.- Políticas2.- Procedimientos3.- Implantación4.- Eficacia

CONTROL DEL RIESGO

Cuarto… corregir y mejorar



ISO 27002: Código de buenas prácticas para la gestión de la seguridad de la información Da recomendación sobre como gestionar la

seguridad de la información, a través de 12 secciones, cada una de las cuales tiene una serie de objetivos, que se alcanzan implantando una serie de controles

ISO 27001: Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI) Establece las especificaciones que debe cumplir el sistema de

gestión que implante la organización para que pueda ser auditado y certificado

Normas de referenciaNormativa sobre SGSI



Familia de estándares ISO 27000ISO/IEC 27000 es un conjunto de estándaresdesarrollados -o en fase de desarrollo por ISO(International Organization for Standardization) e IEC(International Electrotechnical Commission), queproporcionan un marco de gestión de la seguridad de lainformación utilizable por cualquier tipo de organización,pública o privada, grande o pequeña.



1995 1996 1999 2000 2002 2005

BS7799:1995

ISO 14980:1996

BS7799-1:1999

ISO/IEC 17799:2000

UNE/ISO 17799:2002

ISO 27001:2005ISO 27002:2005

Evolución Histórica del marco ISO 27000



Evolución Histórica del marco ISO 27000

UNE-ISO/IEC 27001

2007

ISO/IEC 27002



Historia del ISO 27001



ISO 27000 Vocabulario y Definiciones: Publicada el 1 de Mayo de 2009 yrevisada con una segunda edición de 01 de Diciembre de 2012. Esta normaproporciona una visión general de las normas que componen la serie 27000,una introducción a los Sistemas de Gestión de Seguridad de la Información, unabreve descripción del ciclo Plan-Do-Check-Act y términos y definiciones que seemplean en toda la serie 27000ISO 27001 Especificaciones de un SGSI: Publicada el 15 de Octubre de 2005.Es la norma principal de la serie y contiene los requisitos del sistema de gestiónde seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que yaquedó anulada) y es la norma con arreglo a la cual se certifican por auditoresexternos los SGSIs de las organizaciones.ISO 27002 Código de Buenas Prácticas (anterior ISO/IEC 17799:2005):Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005. Es unaguía de buenas prácticas que describe los objetivos de control y controlesrecomendables en cuanto a seguridad de la información. No es certificable.Contiene 39 objetivos de control y 133 controles, agrupados en 11 dominios.agrupados en 12 dominios.Desde 2007 se ha traducido en el Perú (como ISO 17799).

La familia de normas ISO 27000



ISO 27003 Guía de implantación de un SGSI: Publicada el 01 de Febrero de2010. No certificable. Es una guía que se centra en los aspectos críticosnecesarios para el diseño e implementación con éxito de un SGSI de acuerdoISO/IEC 27001:2005. Describe el proceso de especificación y diseño desde laconcepción hasta la puesta en marcha de planes de implementación, así comoel proceso de obtención de aprobación por la dirección para implementar unSGSI.ISO 27004 Métricas e Indicadores: Publicada el 15 de Diciembre de 2009. Nocertificable. Es una guía para el desarrollo y utilización de métricas y técnicasde medida aplicables para determinar la eficacia de un SGSI y de los controleso grupos de controles implementados según ISO/IEC 27001.ISO 27005 Guía de gestión de Riesgos: Publicada en segunda edición el 1 deJunio de 2011 (primera edición del 15 de Junio de 2008). No certificable.Proporciona directrices para la gestión del riesgo en la seguridad de lainformación. Apoya los conceptos generales especificados en la norma ISO/IEC27001 y está diseñada para ayudar a la aplicación satisfactoria de la seguridadde la información basada en un enfoque de gestión de riesgos.




ISO 27006 Requisitos acreditación entidades de certificación: Publicada ensegunda edición el 1 de Diciembre de 2011 (primera edición del 1 de Marzo de2007). Especifica los requisitos para la acreditación de entidades de auditoría ycertificación de sistemas de gestión de seguridad de la información.ISO 27007 Publicada el 14 de Noviembre de 2011. No certificable. Es una guíade auditoría de un SGSI, como complemento a lo especificado en ISO 19011.ISO 27008 Publicada el 15 de Octubre de 2011. No certificable. Es una guía deauditoría de los controles seleccionados en el marco de implantación de unSGSI.ISO 27010 Publicada el 20 de Octubre de 2012. Consiste en una guía para lagestión de la seguridad de la información cuando se comparte entreorganizaciones o sectores.ISO 27011 Publicada el 15 de Diciembre de 2008. Es una guía deinterpretación de la implementación y gestión de la seguridad de la informaciónen organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002.ISO 27013 Publicada el 15 de Octubre de 2012. Es una guía deimplementación integrada de ISO/IEC 27001 (gestión de seguridad de lainformación) y de ISO/IEC 20000-1 (gestión de servicios TI).




ISO 27014 En fase de desarrollo, con publicación prevista en 2013. Consistiráen una guía de gobierno corporativo de la seguridad de la información.ISO 27015 Publicada el 23 de Noviembre de 2012. Es una guía de SGSIorientada a organizaciones del sector financiero y de seguros y comocomplemento a ISO/IEC 27002.ISO/IEC 27016 En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de valoración de los aspectos financieros de la seguridad de la información.ISO/IEC 27017 En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de seguridad para Cloud Computing.ISO/IEC 27018 En fase de desarrollo, con publicación prevista en 2013. Consistirá en un código de buenas prácticas en controles de protección de datos para servicios de computación en cloud computing.ISO/IEC 27019 En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía con referencia a ISO/IEC 27002 para el proceso de control de sistemas específicos al sector de la industria de la energía.




ISO/IEC 27031 Publicada el 01 de Marzo de 2011. No certificable. Es una guía de apoyo para la adecuación de las tecnologías de información y comunicación (TIC) de una organización para la continuidad del negocio. ISO/IEC 27032 Publicada el 16 de Julio de 2012. Proporciona orientación para la mejora del estado de seguridad cibernética, extrayendo los aspectos únicos de esa actividad y de sus dependencias en otros dominios de seguridad, concretamente: Información de seguridad, seguridad de las redes, seguridad en Internet e información de protección de infraestructuras críticas (CIIP). ISO/IEC 27033 Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el 15 de Diciembre de 2009); 27033-2, directrices de diseño e implementación de seguridad en redes (publicada el 27 de Julio de 2012); 27033-3, escenarios de referencia de redes (publicada el 3 de Diciembre de 2010); 27033-4, aseguramiento de las comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de comunicaciones mediante VPNs(prevista para 2013); 27033-6, convergencia IP (prevista para 2013); 27033-7, redes inalámbricas (prevista para 2013).




ISO/IEC 27034 Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informáticas, consistente en 5 partes: 27034-1, conceptos generales (publicada el 21 de Noviembre de 2011); 27034-2, marco normativo de la organización (sin previsión de publicación); 27034-3, proceso de gestión de seguridad en aplicaciones (sin previsión de publicación); 27034-4, validación de la seguridad en aplicaciones (sin previsión de publicación); 27034-5, estructura de datos de protocolos y controles de seguridad de aplicaciones (sin previsión de publicación).ISO/IEC 27035 Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la gestión de incidentes de seguridad en la información. ISO/IEC 27036 En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visión general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC; 27036-4, seguridad en outsourcing (externalización de servicios).




ISO/IEC 27037 Publicada el 15 de Octubre de 2012. Es una guía que proporciona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil, cámaras digitales y de video, redes TCP/IP, entre otros dispositivos y para que puedan ser utilizadas con valor probatorio y en el intercambio entre las diferentes jurisdicciones.ISO/IEC 27038 En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de especificación para seguridad en la redacción digital.ISO/IEC 27039 En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía para la selección, despliegue y operativa de sistemas de detección y prevención de intrusión (IDS/IPS).ISO/IEC 27040 En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía para la seguridad en medios de almacenamiento.ISO/IEC 27041 En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía para la garantizar la idoneidad y adecuación de los métodos de investigación.




ISO/IEC 27042 En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía con directrices para el análisis e interpretación de las evidencias digitales.ISO/IEC 27043 En fase de desarrollo, con publicación prevista no antes de 2014. Desarrollará principios y procesos de investigación.ISO/IEC 27044 En fase de desarrollo, con publicación prevista no antes de 2014. Gestión de eventos y de la seguridad de la información - Security Information and Event Management (SIEM).ISO 27799 Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes.




Relación entre las normas ISO 27000



Relación con otros estándares



La seguridad de la información se caracteriza como la preservación de la su Confidencialidad, Integridad y

Disponibilidad

TRAZABILIDAD

AUTENTICACION

NO REPUDIO

CONFIDENCIALIDAD

INTEGRIDAD

DISPONIBILIDAD

SEGURIDAD

SEGURIDAD TOTAL

SEGURIDAD NECESIDADESDE NUESTRO

NEGOCIO

Seguridad, ¿de qué estamos hablando?

RESPONSABILIDAD

GESTIÓN DE LA SEGURIDAD







Índice



Es el proceso de identificar los riesgos de la seguridad, determinando su magnitud e identificando las áreas que requieren medidas de salvaguarda

Elemento fundamental de un Sistema de Gestiónde la Seguridad de la Información

Análisis de Riesgos



El análisis de riesgos intenta que los criterios en los que se apoya la seguridad sean mas objetivos

Introduce un grado importante de objetividadPermite a la organización gestionar sus riesgos por sí mismosApoyar la toma de decisiones basándose en los riesgos propiosCentrarse en proteger los activos importantesFormar y comunicar los aspectos de la seguridad necesarios

Control de los riesgos

Riesgo conocido y asumido por la compañía

Disminución del riesgo

Vigilancia del nivel de riesgo.

Análisis de Riesgos



Análisis de Riesgos. Definiciones



Riesgo

Amenazas Vulnerabilidades

Activos

Valor de activosRequisitos deseguridad

Salvaguardas

Explota

Afecta a

TieneIndicaSatisfechopor

Protegencontra

Aumenta

Aumenta

Aumenta

Disminuye

Análisis de Riesgos. Relaciones



Riesgo

Hackers, Sabotajes, Virus, Phising,

Spam, Averías, etc.

Dir. Transversal, Equipos obsoletos,

Buff. Overflow, Buff. Overrun,

Unauthorized mail access, Priv. Escalation, DoS,

Falta formación, Open Relay, etc.

eMail

Valor del eMailRequisitos deseguridad

Cluster, Antivirus, Antispam, Backup

Respaldo, Formación, etc.

Explota

Afecta a

TieneIndicaSatisfechopor

Protegencontra

Aumenta

Aumenta

Aumenta

Disminuye

Análisis de Riesgos. Relaciones



Tiene por objetivo la toma de una decisión.

Que es la acción de neutralizar un riesgo considerado no aceptable.

La acción se plasma en la implantación de salvaguardas. Salvaguardas escogidas entre alternativas + o -

excluyentes. El estado final de seguridad alcanzado puede no coincidir

con el estado final de seguridad deseado. Pueden entran en juego restricciones: legales, económicas,

técnicas, temporales, sociales, culturales, etc.

Análisis de Riesgos. Objetivo



NIST SP800-30(NIST-USA).MAGERITAS/NZ (Estandar Australiano)IT Baseline Protection Manual (BSI - Alemania).CRAMM (Siemens Insight Consulting - UK)OCTAVE (SEI Carnegie Mellon University - US).EBIOS (DCSSI-Francia).MÉHARI (Méthode Harmonisée d’Analyse de Risques Informatiques). 565 €, herramienta RISICARE (9200€+565€ formación extranjero)Otras: COBRA, SCORE, CALIO, ISAAM, RA2, MOSLER, Gretener, etc.

Análisis de Riesgos. Metodologías de Análisis de Riesgos



Análisis de los Riesgos: proceso sistemático para identificar y estimar la magnitud del riesgo sobre un sistema de información.

Gestión de los Riesgos: selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir, controlar o transferir los riesgos identificados.

Riesgos

Salvaguardas

Gestiónde Riesgos

Análisisde Riesgos

Activos Amenazas Vulnerabilidades

Gestión de Riesgos



Fuentes de las necesidades de seguridad

Legislación, estatutos, contratos

Necesidades del negocio

Análisis de riesgos

La seguridad sólo se consigue combinando medidas tecnológicas y de gestión

LEGAL CONTRACTUAL

SEGURIDAD

PRINCIPIOS OBJETIVOS

ANÁLISIS DE RIESGO

Gestión de Riesgos.



Gestionar los riesgos identificados:Determinar si el riesgo es aceptable

• SI: Identificar y aceptar el riesgo residual• No: Decidir sobre la forma de gestionar el riesgo

Forma de gestionar el riesgo:Evitarlo: Suprimir las causas del riesgo: Activo, Amenaza,

VulnerabilidadTransferirlo: Cambiar un riesgo por otro: Outsourcing,

seguros.Reducirlo: Reducir la amenaza, vulnerabilidad, impacto

Asumirlo: Detectar y recuperarse




Identificar requisito de seguridad

¿Hacemos algo?

¿Reducimos riesgo?

Proceso de reducción de nivel de riesgo

Se acepta el riesgo

Eliminar el origen del riesgo,

o transferirlo

No

No

Si

Si

Selección de controles




Es un método para establecer la política yObjetivos de una organización y lograrlos,Mediante:

Una estructura organizativa donde las funciones, responsabilidades, autoridad, etc. de las personas están definidasProcesos y recursos necesarios para lograr los objetivosMetodología de medida y de evaluación para valorar los resultados frente a los objetivos, incluyendo la realimentación de resultados para planificar las mejoras del sistemaUn proceso de revisión para asegurar que los problemas se detectan y se corrigen, y las oportunidades de mejora se implementan cuando están justificadas

¿Qué es un Sistema de Gestión?



Para que sirve un SGSI

Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.

El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.



Que incluye un SGSI



Manual de seguridadDOCUMENTOS DE NIVEL 1

Manual de seguridad: por analogía con el manual de calidad, aunque el término se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.



ProcedimientosDOCUMENTOS DE NIVEL 2

Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información.



DOCUMENTOS DE NIVEL 3Instrucciones, checklists y formularios: documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.

Instrucciones, checklist y formularios



RegistrosDOCUMENTOS DE NIVEL 4

Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos.



Documentos de un SGSI según el ISO 27001

ESTA DOCUMENTACION PUEDE ESTAR EN CUALQUIER FORMATO O TIPO DE MEDIOAlcance del SGSI: ámbito de la organización que queda sometido al SGSI, incluyendo una identificación clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas partes que no hayan sido consideradas (en aquellos casos en los que el ámbito de influencia del SGSI considere un subconjunto de la organización como delegaciones, divisiones, áreas, procesos, sistemas o tareas concretas).Política y objetivos de seguridad: documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información.Procedimientos y mecanismos de control que soportan al SGSI: aquellos procedimientos que regulan el propio funcionamiento del SGSI.Enfoque de evaluación de riesgos: descripción de la metodología a emplear (cómo se realizará la evaluación de las amenazas, vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de información contenidos dentro del alcance seleccionado), desarrollo de criterios de aceptación de riesgo y fijación de niveles de riesgo aceptables.



Documentos de un SGSI según el ISO 27001Informe de evaluación de riesgos: estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a los activos de información de la organización.Plan de tratamiento de riesgos: documento que identifica las acciones de la dirección, los recursos, las responsabilidades y las prioridades para gestionar los riesgos de seguridad de la información, en función de las conclusiones obtenidas de la evaluación de riesgos, de los objetivos de control identificados, de los recursos disponibles, etc.Procedimientos documentados: todos los necesarios para asegurar la planificación, operación y control de los procesos de seguridad de la información, así como para la medida de la eficacia de los controles implantados.Registros: documentos que proporcionan evidencias de la conformidad con los requisitos y del funcionamiento eficaz del SGSI.Declaración de aplicabilidad (SOA – Statement of Applicability):documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones.



¿Cómo se implementa un SGSI?Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.

Plan (planificar): establecer el SGSI.

Do (hacer): implementar y utilizar el SGSI.

Act (actuar): mantener y mejorar el SGSI.

Check (verificar):monitorizar y revisar el SGSI.



Implantar y Operar el SGSI

Hacer

Monitorizar y Revisar el SGSI

Comprobar

Mantener yMejorar el SGSI

Actuar

Establecer el SGSI

Planificar

Definir el alcance del SGSI Definir la política del SGSI Identificar los riesgos Gestionar los riesgos Seleccionar los controles ISO 17799:2005

Definir e implantar plan de gestión de riesgos Implantar controles seleccionados y sus indicadores Implantar el Sistema de Gestión

Desarrollar procedimientos de monitorización Revisar regularmente el SGSI Revisar los niveles de riesgo Auditar internamente el SGSI

Implantar las mejoras Adoptar acciones preventivas y correctivas Comunicar acciones y resultados Verificar que las mejoras cumplen su objetivo

Gestión de la Seguridad . ISO 27001



Establecer el SGSI



Plan: Establecer el SGSIDefinir el alcance del SGSI en términos del negocio, la organización, su localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión.Definir una política de seguridad que:

Incluya el marco general y los objetivos de seguridad de la información de la organización;Considere requerimientos legales o contractuales relativos a la seguridad de la información;Esté alineada con el contexto estratégico de gestión de riesgos de la organización en el que se establecerá y mantendrá el SGSI;establezca los criterios con los que se va a evaluar el riesgo;Esté aprobada por la dirección.



Plan: Establecer el SGSI –cont.Definir una metodología de evaluación del riesgo apropiada para el SGSI y los requerimientos del negocio, además de establecer los criterios de aceptación del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta metodología es que los resultados obtenidos sean comparables y repetibles (existen numerosas metodologías estandarizadas para la evaluación de riesgos, aunque es perfectamente aceptable definir una propia).Identificar los riesgos:

Identificar los activos que están dentro del alcance del SGSI y a sus responsables directos, denominados propietarios;Identificar las amenazas en relación a los activos;Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas;Identificar los impactos en la confidencialidad, integridad y disponibilidad de los activos.



Plan: Establecer el SGSI –cont.Analizar y evaluar los riesgos:

Evaluar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información;Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estén implementados;Estimar los niveles de riesgo;Determinar, según los criterios de aceptación de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado.

Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:

Aplicar controles adecuados;Aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y criterios establecidos para la aceptación de los riesgos;Evitar el riesgo, p. ej., mediante el cese de las actividades que lo originan;Transferir el riesgo a terceros, p. ej., compañías aseguradoras o proveedores de outsourcing.



Plan: Establecer el SGSI –cont.



Plan: Establecer el SGSI –cont.Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001 para el tratamiento del riesgo que cumplan con los requerimientos identificados en el proceso de evaluación del riesgo.Aprobar por parte de la dirección tanto los riesgos residuales como la implantación y uso del SGSI.Definir una declaración de aplicabilidad que incluya:

Los objetivos de control y controles seleccionados y los motivos para su elección;Los objetivos de control y controles que actualmente ya están implantados;Los objetivos de control y controles del Anexo A excluidos y los motivos para su exclusión; este es un mecanismo que permite, además, detectar posibles omisiones involuntarias.



Do: Implementar y utilizar el SGSIDefinir un plan de tratamiento de riesgos que identifique las acciones, recursos, responsabilidades y prioridades en la gestión de los riesgos de seguridad de la información.Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los objetivos de control identificados, incluyendo la asignación de recursos, responsabilidades y prioridades.Implementar los controles anteriormente seleccionados que lleven a los objetivos de control.Definir un sistema de métricas que permita obtener resultados reproducibles y comparables para medir la eficacia de los controles o grupos de controles.Procurar programas de formación y concienciación en relación a la seguridad de la información a todo el personal.Gestionar las operaciones del SGSI.Gestionar los recursos necesarios asignados al SGSI para el mantenimiento de la seguridad de la información.Implantar procedimientos y controles que permitan una rápida detección y respuesta a los incidentes de seguridad.



Check: Monitorizar y revisar el SGSILa organización deberá:

Ejecutar procedimientos de monitorización y revisión para:Detectar a tiempo los errores en los resultados generados por el procesamiento de la información;Identificar brechas e incidentes de seguridad;Ayudar a la dirección a determinar si las actividades desarrolladas por las personas y dispositivos tecnológicos para garantizar la seguridad de la información se desarrollan en relación a lo previsto;Detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores;Determinar si las acciones realizadas para resolver brechas de seguridad fueron efectivas.

Revisar regularmente la efectividad del SGSI, atendiendo al cumplimiento de la política y objetivos del SGSI, los resultados de auditorías de seguridad, incidentes, resultados de las mediciones de eficacia, sugerencias y observaciones de todas las partes implicadas.Registrar acciones y eventos que puedan haber impactado sobre la efectividad o el rendimiento del SGSI.



Check: Monitorizar y revisar el SGSIMedir la efectividad de los controles para verificar que se cumple con los requisitos de seguridad.Revisar regularmente en intervalos planificados las evaluaciones de riesgo, los riesgos residuales y sus niveles aceptables, teniendo en cuenta los posibles cambios que hayan podido producirse en la organización, la tecnología, los objetivos y procesos de negocio, las amenazas identificadas, la efectividad de los controles implementados y el entorno exterior -requerimientos legales, obligaciones contractuales, etc.-.Realizar periódicamente auditorías internas del SGSI en intervalos planificados.Revisar el SGSI por parte de la dirección periódicamente para garantizar que el alcance definido sigue siendo el adecuado y que las mejoras en el proceso del SGSI son evidentes.Actualizar los planes de seguridad en función de las conclusiones y nuevos hallazgos encontrados durante las actividades de monitorización y revisión.



Act: Mantener y mejorar el SGSILa organización deberá regularmente:

Implantar en el SGSI las mejoras identificadas.Realizar las acciones preventivas y correctivas adecuadas en relación a la claúsula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias propias y de otras organizaciones.Comunicar las acciones y mejoras a todas las partes interesadas con el nivel de detalle adecuado y acordar, si es pertinente, la forma de proceder.Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.



ISO 27001:2005

Gestión de la Seguridad . ISO 27001



Las recomendaciones de la norma

1. Política de seguridad coherente con los objetivos de negocio

2. Un sistema consistente con la cultura de la organización

3. Un buen análisis de los requerimientos de seguridad

4. Buena comunicación de la seguridad a todo el personal

5. Métricas e indicadores que permitan saber cómo funciona el SGSI

6. Distribución de guías de seguridad

7. Soporte de la dirección

8. Recursos

9. Formación y concienciación

10. Gestión de incidentes

Gestión de la Seguridad . Criterios de éxito para la implantación de un SGSI







Índice



Código de buenas prácticas para la gestión de la seguridad de los sistemas de información

“Una cadena es tan fuerte como el más débil de sus eslabones”

¿Qué es ISO 27002 (ISO 17799)?

ISO 27002



Da recomendaciones para gestionar la seguridadEs una base común para desarrollar ...

normas de seguridad organizativas,prácticas efectivas de gestión de la seguridad yla confianza en las relaciones entreorganizaciones

Debe usarse conforme a la legislación y reglamentos aplicables

ISO 27002



ISO 27002Con origen en la norma británica BS7799-1, constituye un código de buenas prácticas para la Gestión de la Seguridad de la Información.Establece la base común para desarrollar normas de seguridad dentro de las organizaciones.Define doce dominios de control que cubren por completo la Gestión de la Seguridad de la Información.41 objetivos de control y 133 controles.



Prevención

DetecciónContención

Corrección

Evaluación

Riesgo

Incidente

Daños

Recuperación

ISO 27002: Tipos de controles



Anál

isis

de

Ries

gos

(2 O

bjet

ivos)

Organización de la seguridad(2 Objetivo, 11 Controles)

Gestión de activos(2 Objetivo, 5 Controles)

Recursos humanos de seguridad(3 Objetivo, 9 Controles)

Seguridad física(2 Objetivo, 13 Controles)

Conformidad legal(3 Objetivo, 10 Controles)

Com

unic

acio

nes

y op

erac

ione

s(1

0 Ob

jetiv

o, 3

2 Co

ntro

les)

Cont

rol d

e ac

ceso

(7 O

bjet

ivo, 2

5 Co

ntro

les)

Com

pras

, Des

arro

lloy

Man

teni

mie

nto

de s

iste

mas

(6 O

bjet

ivo, 1

6 Co

ntro

les)

Política de Seguridad(1 Objetivo, 2 Controles)

Gestión de incidentes de seguridad

(2 Objetivo, 5 Controles)

Plan de Continuidad de Negocio

(1 Objetivo, 5 Controles)

ISO 27002: 12 secciones, 41 objetivos, 133 controles



ISO 27002



Orientación al negocioLiderazgo de la direcciónParticipación del personalSeguridad basada en riesgoEnfoque basado en procesos, no en productosEnfoque de sistema de gestiónMedición y mejora continuaToma de decisión basada en hechosGestión planificada de incidentes

Gestión de la Seguridad . Factores de éxito







Índice



Cómo

PROYECTO DE IMPLANTACION Y

CERTIFICACION DE SGSI

Auditoría / evaluación inicial

Análisis de riesgos

Selección de controles

Desarrollo e implantación del SGSI

Auditoría interna

Corrección de no conformidades

Auditoría de certificación

Consultora

Certificadora

Proceso de Certificación



DOC. COMPLETA

Y ADECUADA

ACCIONES CORRECTORAS

VALIDAS

SOLICITUD + MANUAL+PROCEDIMIENTOS

REVISIÓN DE DOCUMENTACIÓN

AUDITORÍA INICIAL

PETICIÓN DE NUEVASACCIONES CORRECTORAS

Y/O VISITA EXTRAORDINARIA

AUDITORÍA DE SEGUIMIENTO(ANUAL)

VALIDACIÓN DEL CERTIFICADO

AUDITORÍA DE RENOVACIÓN(TRIANUAL)

PETICIÓN DE NUEVASACCIONES CORRECTORAS

Y/O VISITA EXTRAORDINARIA

ACCIONES CORRECTORAS

VALIDAS

NO

SI

NO

SI

NO

SI

CONCESIÓN DEL CERTIFICADO

Ciclo

completo




Cómo

DOCUMENTACIÓNAUDITORIA IN SITUAUDITORÍA DOCUMENTAL

Inicio de la auditoría

Análisis de ladocumentación

enviada

¿Certificable?

Ejemplo simplificado del diagrama de flujos de una Auditoría de Applus+ de certificación SGSI

CLIENTE

Informe AuditoríaDocumental

Si

ElaboraciónPlan auditoría

Plan deAuditoría

Revision accionescorrectivas

. Implicación de dirección

. Auditoría controles

. Revisión registros

. Revisión indicadores

. Pruebas sustantivas

¿Certif icable?

InformeAuditoría

Si

No

Accionescorrectivas

. Descripción de la organización

. Descripción de los mediostécnicos de SGSI. Descripción breve del SGSI. Alcance. Politicas y normas. Declaracion de aplicabil i idad. analisis de riesgos. Plan de gestión de riesgos. Procedimientos criticos

Envío documentacióndel SGSI

Elaboración yenvío del informe

de auditoríadocumental

¿Hay NoConformidades?

Si

Accionescorrectivas

¿Corregible?Si Denegación

del certificadoNo

No

No




Los procesos de negocio dan dinero, los Sistemas de Información apoyan estos procesosCada día hay nuevos problemas potenciales: problemas técnicos, personal inexperto, accidentes, etc.La seguridad orientada a productos no es suficienteHay que conocer el riesgo y priorizar recursos para controlarloEl proceso de análisis y control tiene que ser continuo través de un proceso de medición del desempeñoEste es el espíritu de las normas sobre SGSI ISO 27001 e ISO 27002

Conclusiones

SEGURIDAD DE LA INFORMACION

Preguntas y Respuestas

Lecture 04 SGSI

Documents

Transcript of Lecture 04 SGSI