Seguridad10 2

Poltica de seguridad mediante ISO
27001 Gabriel Daz Orueta

1
Gabriel Daz Orueta
La poltica de seguridad
conforme a la norma
ISO/IEC 27001
Poltica de seguridad mediante ISO 27001
Gabriel Daz Orueta
2
La poltica de seguridad conforme a
la norma ISO/IEC 27001
1- Introduccin
2- La familia de normas 2700x
3- El estndar ISO 27001
4- Implantacin y certificacin
Gabriel Daz Orueta
3
Hay ya una gran cantidad de estndares y normas tcnicas
sobre diversos asuntos relacionados con la seguridad
informtica:
- Firma digital
- Cifrado (algoritmos,
modos de operacin,
gestin de claves)
- Autenticacin de entidades
- Funciones hash
- Deteccin de intrusiones
- Actividades de forensia TI
- Message authentication codes
ISO 27000: la punta del
iceberg
- Seguridad de redes
- No repudio
- Nmeros primos
- Evaluacin de seguridad de
los productos
- Gestin de incidentes de
seguridad
- Time-stamping
1 11 1- -- -
I II I
N NN N
T TT T
R RR R
O OO O
D DD D
U UU U
C CC C
C CC C
I II I

N NN N
Gabriel Daz Orueta
4
1992: El Department of Trade and Industry (DTI), parte del gobierno del
Reino Unido, publica su 'Code of Practice for Information Security
Management'.
1995: Este documento es reformado y republicado por el British Standards
Institute (BSI) en 1995 como BS- 7799.
1996: Empiezan a surgir herramientas y soporte, como COBRA.
1999: Se publica la primera gran revisin del BS-7799. Se ponen en marcha
esquemas de certificacin y de acreditacin, como los del propio BSI.
Algo de Historia
Gabriel Daz Orueta
5
2000: En Diciembre, se republica BS7799 como un estndar ISO fast
tracked. Se convierte en ISO 17799 (ms formalmente ISO/IEC 17799).
2001: Se pone en marcha el 'ISO 17799 Toolkit'.
2002: Se publica una segunda parte del estndar: BS7799-2. Esta vez se
trata de una especificacin de Gestin de la Seguridad, ms que un cdigo
de buenas prcticas. Se pone en marcha el proceso de alineamiento con
otras normas de gestin, como ISO 9000.
2005: Se publica una nueva versin de ISO 17799, que incluye dos nuevas
secciones y un alineamiento mayor con los procesos de BS7799-2
2005: Se publica ISO 27001 como reemplazo de BS7799-2, que es retirado.
Se trata de una especificacin para un ISMS (information security
management system), alineado con ISO 17799 y compatible con ISO 9001
e ISO 14001.
Un poco de historia
Gabriel Daz Orueta
6
1995 1996 1999 2000 2002 2005
BS7799:1995
ISO 14980:1996
BS7799-1:1999
ISO/IEC 17799:2000
UNE/ISO 17799:2002
ISO 27001:2005
ISO 27002:2005
2007-11-28
UNE-ISO/IEC 27001:2007
Gabriel Daz Orueta
7
INTECO se convierte en la primera sociedad annima estatal en obtener la
certificacin ISO 27001.
El Instituto Nacional de Tecnologas de la Comunicacin (INTECO) ha confiado en
GMV y Applus+ para la implantacin y certificacin de su Sistema de Gestin de
Seguridad de la Informacin (SGSI) segn la norma ISO 27001.
Con la obtencin de esta certificacin, INTECO se convierte en la primera Sociedad
Annima Estatal que implanta y certifica su Sistema de Gestin de Seguridad
de la Informacin, afianzndose como centro de excelencia y modelo de gestin.
Bajo los auspicios del Ministerio de Industria, Turismo y Comercio, este instituto
ubicado en Len promueve el desarrollo de la Sociedad del Conocimiento a travs
de proyectos de innovacin y tecnologa.
La Historia ms cercana
17/02/09 - ISO 27001: Hacia un
cumplimiento obligatorio?
Gabriel Daz Orueta
8
Number of Certificates Per
Country:
www.iso27001certificates.com/
Versin de Marzo de 2010
Japan 3378
India 484
UK 407
Taiwan 386
China 251
Germany 135
Korea 106
USA 95
Czech Republic 85
Hungary 66
Italy 58
Poland 40
Spain 39
Austria 32
Hong Kong 31
Australia 29
Ireland 29
Malaysia 27
Mexico 26
Thailand 26
Greece 25
Romania 25
Brazil 23
Turkey 20
Gabriel Daz Orueta
9
Estndares publicados
ISO/IEC 27001 El estndar de certificacin contra el que
se pueden certificar los SGSI (Sistemas de Gestin de
Seguridad de la Informacin)
ISO/IEC 27002 El nuevo nombre del estndar ISO 17799
(revisado en 2005 y renumerado como ISO/IEC 27002:2005
en Julio de 2007)
ISO/IEC 27004 - Un nuevo estndar sobre mtricas de
gestin de seguridad de la informacin (Diciembre de 2009)
ISO/IEC 27005 - El estndar propuesto para gestin de
riesgos (aprobado en Junio de 2008)
ISO/IEC 27006 Una gua para el proceso de registro y
certificacin (publicado en 2007)
2 22 2- -- -
N NN N
O OO O
R RR R
M MM M
A AA A
S SS S
I II I
S SS S
O OO O
2 22 2
7 77 7
0 00 0
0 00 0
0 00 0
Gabriel Daz Orueta
10
ISO/IEC 27000 un vocabulario estndar para las normas de un SGSI,
recien publicada y gratis
ISO/IEC 27003 una gua nueva de implementacin de un SGSI. Tiene
su origen en el anexo B de la norma BS7799-2
ISO/IEC 27007 un guideline sobre auditoras de SGSI
ISO/IEC 27011 un guideline para telecomunicaciones en SGSI
ISO/IEC 27799 una gua de implementacin del ISO/IEC 27002 en la
industra sanitaria
Otras normas ISO 2700x
Gabriel Daz Orueta
11
Plan
Do
Check
Act
Mantener y
mejorar el SGSI
Mantener y
mejorar el SGSI
Establecer el
SGSI
Establecer el
SGSI
Mantener y operar
el SGSI
Mantener y operar
el SGSI
Monitorizar y
revisar el SGSI
Monitorizar y
revisar el SGSI
La idea principal
Ciclo PDCA de DEMMING
Gabriel Daz Orueta
12
Los detalles que conforman el cuerpo de esta norma
se pueden agrupar en tres grandes lneas:
1- El punto de partida sera un buen Anlisis de Riesgos
2- El motor de la norma sera el SGSI- Sistema de
Gestin de Seguridad de la Inforamcin
3- La base de conocimiento seran los Controles
Conceptos bsicos
Gabriel Daz Orueta
13
Qu es un Sistema de Gestin de Seguridad de la Informacin?
Es un conjunto de polticas, procedimientos y controles que
persigue mantener el riesgos de los sistemas de informacin
dentro de unos niveles asumibles por la direccin y mejorar
la seguridad de la informacin para apoyar los procesos de
negocio a travs del ciclo de mejora continua.
El ncleo sobre el que se
fundamenta un SGSI es la
GESTION DEL RIESGO
3 33 3- -- -
L LL L
A AA A
N NN N
O OO O
R RR R
M MM M
A AA A
2 22 2
7 77 7
0 00 0
0 00 0
1 11 1
Gabriel Daz Orueta
14
CONTENIDOS DE LA
NORMA
0- Introduccin: generalidades e introduccin al mtodo PDCA.
1- Objeto y campo de aplicacin: se especifica el objetivo, la aplicacin y
el tratamiento de exclusiones.
2- Normas para consulta: otras normas que sirven de referencia.
3- Trminos y definiciones: breve descripcin de los trminos ms usados
en la norma.
4- Sistema de gestin de la seguridad de la informacin: cmo crear,
implementar, operar, supervisar, revisar, mantener y mejorar el SGSI;
requisitos de documentacin y control de la misma.
Gabriel Daz Orueta
15
CONTENIDOS DE LA
NORMA
5- Responsabilidad de la direccin: en cuanto a compromiso con el SGSI,
gestin y provisin de recursos y concienciacin, formacin y capacitacin del
personal.
6- Auditoras internas del SGSI: cmo realizar las auditoras internas de
control y cumplimiento.
7- Revisin del SGSI por la direccin: cmo gestionar el proceso peridico
de revisin del SGSI por parte de la direccin.
8- Mejora del SGSI: mejora continua, acciones correctivas y acciones
preventivas.
Gabriel Daz Orueta
16
CONTENIDOS DE LA
NORMA
Anexo A: Objetivos de control y controles: anexo normativo que enumera los
objetivos de control y controles que se encuentran detallados en la norma ISO
27002:2005
Anexo B: Relacin con los Principios de la OCDE: anexo informativo con la
correspondencia entre los apartados de la ISO 27001 y los principios de buen
gobierno de la OCDE.
Anexo C: Correspondencia con otras normas: anexo informativo con una
tabla de correspondencia de clusulas con ISO 9001 e ISO 14001.
Anexo D: Bibliografa: normas y publicaciones de referencia.
Gabriel Daz Orueta
17
DETALLES
Los detalles que conforman el cuerpo de
esta norma, se podran agrupar en tres
grandes lneas:
Valoracin de riesgos (Risk Assesment)
SGSI
Controles
Gabriel Daz Orueta
18
Riesgo
Riesgo
Amenazas Amenazas Vulnerabilidades Vulnerabilidades
Activos Activos
Valor de activos Valor de activos
Requisitos de Requisitos de
seguridad seguridad
Salvaguardas Salvaguardas
Explota
Afecta a
Tiene Indica Satisfecho
por
Protegen
contra
Aumenta
Aumenta
Aumenta
Disminuye
Anlisis de Riesgos.
Relaciones
Gabriel Daz Orueta
19
Riesgo Riesgo
Hackers, Sabotajes, Hackers, Sabotajes,
Virus, Phising, Virus, Phising,
Spam, Aver Spam, Aver as, etc. as, etc.
Dir. Transversal, Dir. Transversal,
Equipos obsoletos, Equipos obsoletos,
Buff. Overflow, Buff. Overflow,
Buff. Overrun, Buff. Overrun,
Unauthorized mail access, Unauthorized mail access,
Priv. Escalation, DoS, Priv. Escalation, DoS,
Falta formaci Falta formaci n, n,
Open Relay, etc. Open Relay, etc.
eMail eMail
Valor del eMail Valor del eMail
Requisitos de Requisitos de
seguridad seguridad
Cluster, Antivirus, Cluster, Antivirus,
Antispam, Backup Antispam, Backup
Respaldo, Respaldo,
Formaci Formaci n, etc. n, etc.
Explota
Afecta a
Tiene Indica Satisfecho
por
Protegen
contra
Aumenta
Aumenta
Aumenta
Disminuye
Anlisis de Riesgos.
Relaciones
Gabriel Daz Orueta
20
ISO/IEC 27005
NIST SP800-30(NIST-USA).
MAGERIT
IT Baseline Protection Manual (BSI - Alemania).
CRAMM (Siemens Insight Consulting - UK)
OCTAVE (SEI Carnegie Mellon University - US).
EBIOS (DCSSI-Francia).
MHARI (Mthode Harmonise dAnalyse de
Risques Informatiques). 565 , herramienta
RISICARE (9200+565 formacin extranjero)
Otras: COBRA, SCORE, CALIO, ISAAM, RA2,
MOSLER, Gretener, etc.
Anlisis de Riesgos. Metodologas
Gabriel Daz Orueta
21
RESPONSABILIDADES DE
LA DIRECCIN
Compromiso
Recursos
Formacin
preparacin
competencia
Gabriel Daz Orueta
22
Implantar y Implantar y
Operar el SGSI Operar el SGSI
Hacer
Monitorizar y Monitorizar y
Revisar el SGSI Revisar el SGSI
Comprobar
Mantener y Mantener y
Mejorar el SGSI Mejorar el SGSI
Actuar
Establecer Establecer
el SGSI el SGSI
Planificar
Definir el alcance del SGSI Definir el alcance del SGSI
Definir la pol Definir la pol tica del SGSI tica del SGSI
Identificar los riesgos Identificar los riesgos
Gestionar los riesgos Gestionar los riesgos
Seleccionar los controles ISO 17799:2005 Seleccionar los controles ISO 17799:2005
Definir e implantar Definir e implantar
plan de gesti plan de gesti n de n de
riesgos riesgos
Implantar Implantar
controles controles
seleccionados y sus seleccionados y sus
indicadores indicadores
Implantar el Implantar el
Sistema de Gesti Sistema de Gesti n n
Desarrollar procedimientos de Desarrollar procedimientos de
monitorizaci monitorizaci n n
Revisar regularmente el SGSI Revisar regularmente el SGSI
Revisar los niveles de riesgo Revisar los niveles de riesgo
Auditar internamente el SGSI Auditar internamente el SGSI
Implantar las Implantar las
mejoras mejoras
Adoptar acciones Adoptar acciones
preventivas y preventivas y
correctivas correctivas
Comunicar acciones Comunicar acciones
y resultados y resultados
Verificar que las Verificar que las
mejoras cumplen su mejoras cumplen su
objetivo objetivo
Gestin de la Seguridad . ISO 27001
Gabriel Daz Orueta
23
En el punto cuatro de la norma, se establecen
los conceptos rectores del SGSI.
Punto 4.1. Requerimientos generales:
La organizacin, establecer, implementar, operar,
monitorizar, revisar, mantendr y mejorar un
SGSI documentado en su contexto
para las actividades globales de su negocio y de
cara a los riesgos. Para este propsito, el proceso
est basado en el modelo PDCA.
SGSI Sistema de Gestin
de Seguridad de la Informacin
Gabriel Daz Orueta
24
Punto 4.3.2. Control de documentos:
Todos los documentos requeridos por el SGSI sern protegidos y controlados.
Un procedimiento documentado deber establecer las acciones de
administracin necesarias para:
Aprobar documentos y prioridades o clasificacin de empleo
Revisiones, actualizaciones y reaprobaciones de documentos
Asegurar que los cambios y las revisiones sean identificadas
Asegurar que las ltimas versiones estn disponibles
Asegurar que los documentos permanezcan legibles e identificables
Asegurar que los documentos estn disponibles para quien los
necesite y sean transferidos, guardados y finalmente clasificados
Asegurar que los documentos de origen externo sean identificados
Asegurar el control de la distribucin de documentos
Prevenir el empleo no deseado de documentos obsoletos
SGSI
Gabriel Daz Orueta
25
LOS CONTROLES
Son mecanismos que chequean estado de las TI en trminos de cmo
proporcionan valor y de cmo se gestiona el riesgo.
La perspectiva con la que tanto TI como la direccin deben verlos:
No son un mal obligatorio por ley o una obligacin que viene del dpto.
de Seguridad de la Informacin
No son slo necesarios, generan resultados positivos cuando se
ejecutan correctamente
Gabriel Daz Orueta
26
Gabriel Daz Orueta
27
A.9 Physical and environmental security
A.9.1 Secure areas
Objective: To prevent unauthorized physical access, damage and interference to the
organization premises and information
A.9.1.1 Physical Security perimeter CONTROL: Security perimeters (barriers such
as walls, card controlled and entry gates or
manned reception desks) shall be used to
protect areasthat contain information and
information processing facilities
A.9.1.2 Physical entry controls CONTROL: Secure areas shall be protected by
appropiate entry controls to ensure that only
authorized personnel are allowed access
A.9.1.3 Securing offices, rooms CONTROL: Physical security for offices, rooms
and facilities and facilities shall be designed and applied
ALGUNOS EJEMPLOS
Gabriel Daz Orueta
28
ISO 27002
ISO 27002
Cdigo de buenas prcticas
para la gestin de la
seguridad de los sistemas
de informacin
Gabriel Daz Orueta
29
Gabriel Daz Orueta
30
C
o
n
s
u
l
t
o
r
a
PROYECTO DE
IMPLANTACION Y
CERTIFICACION
DE SGSI
Auditora / evaluacin inicial
Anlisis de riesgos
Seleccin de controles
Desarrollo e implantacin del SGSI
Auditora interna
Correccin de no conformidades
Auditora de certificacin Certificadora
4 44 4- -- - IMPLANTACI IMPLANTACI IMPLANTACI IMPLANTACI N N N N
Y CERTIFICACI Y CERTIFICACI Y CERTIFICACI Y CERTIFICACI N NN N
Gabriel Daz Orueta
31
Proceso a seguir
Gabriel Daz Orueta
32
DETERMINACIN DE RIESGOS
Gabriel Daz Orueta
33
Conformidades legales ISO 27001
Gabriel Daz Orueta
34
Conformidades legales ISO 27001
Gabriel Daz Orueta
35
Gabriel Daz Orueta
36
CERTIFICACIONES INDIVIDUALES
ISO 27000
Information Security Foundation (ISFS.EN)
Information Security Management Advanced (ISMAS.EN)
Gabriel Daz Orueta
37
ISO 27000
Information Security Foundation (ISFS.EN)
Dirigido a: cualquier persona de la organizacin. Se
comprueban conocimientos bsicos, buen inicio para
nuevos profesionales de seguridad de la informacin.
Basado en ISO/IEC 27002
Detalles del examen
1. Informacin y seguridad 10%
2. Amenazas y riesgos 30%
3. Aproximaciones y organizacin 10%
4. Medidas y mtricas 40%
5. Legislacin y regulaciones 10%
Duracin: 60 minutos
Preguntas: 40
Aprobado: 26 (65%)
Gabriel Daz Orueta
38
ISO 27000
Information Security Management Advanced
(ISMAS.EN)
Dirigido a: cualquier persona que, por su posicin, est
involucrada en la puesta en marcha, evaluacin y anlisis de
la Seguridad de la Informacin, por ejemplo el Gerente de la Seguridad
de la Informacin o especialistas de seguridad o de Gestin de Proyectos.
Basado en ISO/IEC 27002
Detalles del examen
1. Polticas de seguridad de
la informacin 20%
2. Organizacin de la seguridad
de la informacin 30%
3. Anlisis de riesgos 15%
4. Estndares 10%
5. Compliance 15%
6. Evaluacin 10%
Duracin: 90 minutos
Preguntas: 40
Aprobado: 26 (65%)
Gabriel Daz Orueta
39
Alguna pregunta?
Gabriel Daz Orueta,
Dpto. Ingeniera Elctrica Electrnica y de Control
http://www.ieec.uned.es
Gabriel Daz Orueta
40
http://www.iso.org/iso/home.htm
http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html
http://www.standardsglossary.com/
http://en.wikipedia.org/wiki/ISO_27000
http://www.27000-toolkit.com/
http://www.iso27001security.com/
http://www.iso27000.es
http://www.praxiom.com/27001.htm
http://www.information-security-policies-and standards.com/standard/index.htm
http://www.informationshield.com/iso17799.html
http://www.isaca.com/cobit
http:// www.itil.co.uk
Enlaces interesantes

Seguridad10 2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad10 2

Cargado por

Copyright:

Formatos disponibles

Poltica de seguridad mediante ISO

27001 Gabriel Daz Orueta

También podría gustarte