SEGURIDAD

INFORMATICA
ISO 27001

Agenda
1: Principios fundamentales de la Seguridad
de la Informacin
2: Estndar y Marco Normativo
3: Implementacin de la Norma ISO 27001

Seccin

Principios fundamentales de la
Seguridad de la Informacin

 El trmino seguridad proviene

de la palabra securitas del latn.
Cotidianamente se puede referir
a la seguridad como la reduccin
del riesgo o tambin a la
confianza en algo o alguien.
Sin embargo, el trmino puede
tomar diversos sentidos segn
el rea o campo a la que haga
referencia.
4

 Informacin: Datos significativos

Activo: Cualquier bien que tiene valor
para la organizacin

 Las organizaciones poseen informacin que deben

proteger frente a riesgos y amenazas para asegurar el
correcto funcionamiento de su negocio.
Este tipo de informacin imprescindible para las
empresas es lo que se denomina activo de
informacin.

Tipos de Activos de Informacin

o Servicios: Procesos de negocio de la organizacin
o Datos/Informacin: Que son manipulados dentro
de la organizacin, suelen ser el ncleo del
sistema, los dems activos les dan soporte.
o Aplicaciones (Software)
o Equipo Informtico (Hardware)
o Personal
o Redes de Comunicacin
o Soporte de Informacin
o Equipamiento Auxiliar
o Instalaciones
o Intangibles
7

 Documento: Informacin y su medio de soporte

Registro: Documento que indique los resultados
obtenidos o proporcione evidencia de las actividades
desempeadas

La seguridad de la informacin es el conjunto de

medidas preventivas y reactivas de las organizaciones que
permiten resguardar y proteger la informacin,
buscando mantener las dimensiones (confidencialidad,
disponibilidad
e integridad)
de la misma .

Nota:

Tambin pueden participar otras propiedades, como la autenticidad,

la responsabilidad, el no-repudio, trazabilidad y la fiabilidad

Abarca todo tipo de informacin

Impresa o escrita a mano
Grabada con asistencia tcnica
Transmitida por correo electrnico o electrnicamente
Incluida en un sitio web
Mostrada en videos corporativos
Mencionada durante las conversaciones
Etc.
10

 La confidencialidad es la propiedad que impide la

divulgacin de informacin a personas o sistemas no
autorizados.
A grandes rasgos, asegura el acceso a la informacin
nicamente a aquellas personas que cuenten con la
debida autorizacin.

11

 Es la propiedad que busca mantener los datos libres

de modificaciones no autorizadas.
La integridad es mantener con exactitud la
informacin tal cual fue generada, sin ser
manipulada o alterada por personas o procesos no
autorizados.

12

 La disponibilidad es la caracterstica, cualidad o

condicin de la informacin de encontrarse a
disposicin de quienes deben acceder a ella, ya sean
personas, procesos o aplicaciones.
La disponibilidad es el acceso a la informacin y a los
sistemas por personas autorizadas en el momento
que as lo requieran.

13

 La debilidad de un activo o de un control que puede

ser explotada por una o ms amenazas.
Las vulnerabilidades pueden ser intrnsecas o
extrnsecas.

14

Amenazas
Una Amenaza es la posibilidad de
ocurrencia de cualquier tipo de evento o
accin que puede producir un dao
(material o inmaterial) sobre los
Elementos de Informacin.

15

Anlisis de Riesgos
Relacin: Vulnerabilidad y Amenaza

16

Cambio adverso importante en el nivel de los objetivos

de negocios logrados

17

Informacin
Potencialidad de que una amenaza explote una
vulnerabilidad en un activo o grupo de activos y
por lo tanto causar dao a la organizacin

Probabilidad
de
Ocurrencia

Consecuencia
(Impacto)

Riesgo

18

Impacto y la Probabilidad

zona 1 riesgos muy probables

y de muy alto impacto

zona 2 franja amarilla: cubre

un amplio rango desde
situaciones improbables y de
impacto medio, hasta
situaciones muy probables pero
de impacto bajo o muy bajo
zona 3 riesgos improbables y
de bajo impacto
zona 4 riesgos improbables
pero de muy alto impacto
19

Objetivo de Control
Declaracin de describir lo que se quiere lograr como
resultado de los controles de aplicacin

Control

Mtodos para gestionar a riesgo

Incluye las polticas, procedimientos, directrices y

prcticas o estructuras organizativas
Sinnimo: medida, contra medida, dispositivo de
seguridad
20

Control preventivo
Desalentar o evitar la aparicin de problemas
Ejemplos:
Publicacin de la poltica de seguridad de la informacin.
Hacer que socios y empleados firmen un acuerdo de
confidencialidad.
Establecer y mantener contactos apropiados con los
grupos de especialistas en seguridad de la informacin.
Contratar slo personal calificado.

21

Control de investigacin
Buscar e identificar anomalas
Ejemplos:
Controles en trabajos de produccin.
Control de ecos en las telecomunicaciones.
Alarmas para detectar el calor, humo, fuego o riesgos relacionados
con el agua.
Verificacin de los dobles clculos.
Cmaras de vdeo.
Sistema de deteccin de intrusiones (IDS).

22

Control correctivo
Evitar la repeticin de anomalas
Ejemplos:
Implementar planes de emergencia con la formacin,
concienciacin, pruebas, procedimientos y actividades de
mantenimiento necesarios.
Procedimientos de emergencia, tales como copias de
seguridad peridicas, el almacenamiento en un lugar
seguro y la recuperacin de las transacciones.
Procedimientos re-ejecutados.
23

Las Relaciones entre Conceptos de

Gestin de Riesgos

24

Seccin

Estndar y Marco Normativo

25

Qu es ISO?
ISO es una red de organismos nacionales de
estandarizacin de mas de 160 pases.
Los resultados finales de los trabajos realizados por
ISO son publicados como normas internacionales
Se han publicado mas de 19,000 normas desde 1947

26

Bsicos de las Normas ISO

Representacin igualitaria: 1 voto por pas

Principios
Bsicos de las
Normas ISO

Adhesin voluntaria: ISO no tiene la autoridad para

forzar la adopcin de sus normas
Orientacin al negocio: ISO slo desarrolla
normas para las que existe demanda del mercado
Enfoque de consenso: busca un amplio consenso
entre las distintas partes interesadas
Cooperacin internacional: ms de 160 pases
adems de organismos de enlace
27

 Un sistema de gestin es una estructura

probada para la gestin y mejora
continua
de
las
polticas,
los
procedimientos y procesos de la
organizacin.
Un sistema de gestin ayuda a lograr los
objetivos de la organizacin mediante una
serie de estrategias, que incluyen la
optimizacin de procesos, el enfoque
centrado en la gestin y el pensamiento
disciplinado.
28

CALIDAD
ISO 9001
SISTEMA
DE
GESTION
AMBIENTALISO
ISO 14001

SALUD Y
SEGURIDAD
TRABAJO
OHSAS 18001

SEGURIDAD DE
LA
INFORMACION
ISO 27001

29

 Un SGSI (Sistema de Gestin de Seguridad de la

Informacin) proporciona un modelo para establecer,
implementar, operar, monitorear, revisar, mantener y
mejorar la proteccin de los activos de informacin para
lograr objetivos de negocio.
El anlisis de los requisitos para la proteccin de los
activos de informacin y la aplicacin de controles
adecuados para garantizar la proteccin de estos activos
de informacin, contribuye a la exitosa implementacin
de un SGSI.

SGSI = ISMS (Information security system)

30

El Sistema de Gestin de la Seguridad de la

Informacin (SGSI) en las empresas ayuda a
establecer estas polticas, procedimientos y
controles en relacin a los objetivos de negocio
de la organizacin.

31

32

 El circulo de DEMING se constituye como una de las

principales herramientas para lograr la mejora
continua en las organizaciones o empresas que
desean aplicar a la excelencia sistemas de gestion.
El conocido Ciclo Deming o tambin se le denomina el
ciclo PHVA que quiere decir segn las iniciales
(planear, hacer, verificar y actuar) o ingles PDCA (Plan,
Do, Check, Act)

33

34

Vocabulario

ISO 27000

Industria

Generalidades

Requisitos

ISO 27000
Vocabulario

ISO 27001
Requisitos del
SGSI

ISO 27002
Cdigo buenas
practicas

ISO 27011
Telecomunicaciones

ISO 27003
Gua de
Implementacin

ISO 27799
Salud

ISO 27004
Mtricas

ISO 27009
Requisitos organizacin
certificadora

ISO 27005
Gestin de
Riesgos

ISO 27007-27008
Guas de Auditoria

ISO 270XX
Vocabulario

35

 Especifica los requisitos de gestin

de un SGSI (Clusula 4 a 10)
Los requisitos (clusulas) son
escritos utilizando el verbo
"debern" en imperativo
Anexo A: 14 clusulas que
contienen 35 objetivos de control y
114 controles
La organizacin puede ser
certificada en esta norma
36

 Gua para el cdigo de prcticas para los

controles de la seguridad de la
informacin (Documento de referencia)
Clusulas escritas utilizando el verbo
"debera"
Compuesto de 14 clusulas, 35 objetivos
de control y 114 controles
Una organizacin no puede ser certificada
en esta norma
Tambin conocida como ISO 17799
37

 Gua para el cdigo de prcticas para

la implementacin de un SGSI
Documento de referencia para ser
utilizado con las normas ISO 27001 e
ISO 27002
Consta de 9 clusulas que definen 28
etapas para implementar un SGSI
La certificacin con esta norma no es
posible

38

Historia de la Norma
ISO 27001

39

Clausula 4
Contexto de la
organizacin

ISO 27001

Clausula 5
Planificacin

Clausula 10
Mejora

Clausula 7
Soporte

Clausula 8
Funcionamiento
Clausula 9
Evaluacin del
desempeo

Clausula 5
Liderazgo
40

Seccin

Implementacin de la Norma ISO 27001

41

 La aplicacin del enfoque de proceso variar de una

organizacin a otra en funcin de su tamao,
complejidad y actividades
A menudo las organizaciones identifican demasiados
procesos
Los procesos se pueden definir como un grupo lgico
de tareas relacionadas entre s, para alcanzar un
objetivo definido.
ENTRADA

PROCESO

SALIDA
42

1. Creacin
2. Identificacin
3. Clasificacin y seguridad
4. Modificacin
5. Aprobacin
6. Distribucin
7. Uso adecuado
8. Archivado
9. Disposicin

43

 Informacin y
documentacin. Sistemas
de gestin para
documentos. Requisitos
La organizacin puede ser
certificada en esta norma

44

La implantacin de un Sistema de Gestin

de Seguridad de la Informacin es una
decisin estratgica que debe involucrar
a toda la organizacin y que debe ser
apoyada y dirigida desde la direccin

45

Compromiso de la direccin
Planificacin
Fechas
Responsables

Definir alcance del SGSI

Definir Poltica de Seguridad
Metodologa de evaluacin de
riesgos.
Inventarios de activos
Identificar amenazas y
vulnerabilidades
Identificar Impactos
Anlisis y evaluacin de riesgos
Seleccin de controles y SOA

Implantar mejoras
Acciones correctivas
Acciones Preventivas
Comprobar eficacia de las
acciones

Revisar el SGSI
Medir eficacia de los controles
Revisar riesgos residuales
Realizar auditorias internas del
SGSI
Registrar acciones y eventos

Definir plan de tratamiento de

riesgos
Implantar plan de tratamiento
de riesgos
Implementar controles
Formacin y concienciacin
Operar el SGSI

46

 Definicin del enfoque para la aplicacin del SGSI

Velocidad de Implementacin
Nivel de madurez del proceso y controles
Expectativas y mbito
Seleccin de un marco metodolgico
Metodologa para gestionar el proyecto (PMBOK)
Alineacin con las mejores practicas
ISO 27001
ISO 27002
ISO 27003
ISO 27004
47

Es importante determinar
en que nivel se encuentra la
organizacin, para ello
CMM muestra la madurez
de una organizacin
basndose en la capacidad
de sus procesos

48

FASE I Organizacin

49

Desarrollar las actividades principales para la direccin e

inicio de la implantacin del SGSI.

Obtener el apoyo institucional

Determinar el alcance del Sistema de Gestin
de Seguridad de la Informacin
Determinar la declaracin de Poltica de Seguridad
de la Informacin y objetivos
Determinar criterios para la evaluacin y
aceptacin de riesgos
50

Institucional
Existen 4 ejes de apoyo para sustentar el
apoyo institucional, estos son:
1. Cumplimiento
2. Proteccin de Procesos de Negocio
3. Disminucin de incidentes
4. Ordenamiento de su negocio

51

CGSI

COSI

COMIT DE GESTION DE
SEGURIDAD DE LA
INFORMACION

COMIT TCNICO DE
SEGURIDAD DE LA
INFORMACION
AREAS FUNCIONALES

OSI

ROLES

OFICIAL DE SEGURIDAD DE
LA INFORMACION

SI
RESPONSABLE SEGURIDAD
INFORMATICA

SF
RESPONSABLE SEGURIDAD
FISICA
52

 El Comit de Gestin de Seguridad de la Informacin es el mximo

rgano consultivo de carcter no tcnico sobre la seguridad de la
informacin.
Se reunir por lo menos una vez al mes para evaluar la situacin
institucional en materia de seguridad de la informacin y el plan
de accin para mejorarla continuamente.
Las funciones del Comit de Gestin de Seguridad de la
Informacin son las siguientes:

Informar la situacin Institucional en materia de seguridad de la informacin.

Proponer la designacin del Oficial de Seguridad de la Informacin.
Designar a los miembros del Comit Tcnico de Seguridad de la Informacin.
Patrocinar y participar en la implementacin, operacin, monitoreo, revisin,
mantenimiento y mejora continua del Sistema de Gestin Seguridad de la
Informacin (SGSI)
53

 El Comit Tcnico de Seguridad de la Informacin es un rgano

consultivo de carcter tcnico y est integrado por los Jefes de
los procesos involucrados en el alcance quienes debern tener
un amplio conocimiento de los procesos que se realizan en la
institucin.
Las funciones del Comit Consultivo de Seguridad de la
Informacin son las siguientes:

Proponer mejoras o iniciativas en materia de seguridad de la informacin al Comit de

Gestin o al Oficial de Seguridad de la Informacin en materia de gestin de riesgos, activos
de informacin, procesamiento de la informacin, mejoras al SGSI, entre otros.

Ser embajadores de seguridad de la informacin para influenciar las opiniones de una

forma positiva y, recoger las necesidades y expectativas de los trabajadores.

Reunirse peridicamente a fin de analizar y evaluar la seguridad de la informacin y emitir

informes al Comit de Gestin de Seguridad de la Informacin.

Participar de las reuniones convocadas por el Comit de Gestin de Seguridad de la

Informacin.

54

del SGSI
Se debe definir en funcin de caractersticas
del negocio, organizacin, localizacin, activos
y tecnologa, definir el alcance y los lmites del
SGSI (el SGSI no tiene por qu abarcar toda la
organizacin; de hecho, es recomendable
empezar por un alcance limitado)

55

del SGSI
Definir los limites de la organizacin.
Definir los limites de los sistemas de informacin.
Definir el mbito y limites fsicos.
Definir el alcance del SGSI.
Cambios en el alcance.
Extensin del mbito de aplicacin.
Cualquier cambio en el alcance debe ser evaluado, aprobado y documentado
56

Seguridad de la Informacin y Objetivos

Debe tener el marco general y los objetivos de seguridad de la
informacin de la organizacin
Debe explicar los requisitos de negocio, legales y contractuales
en cuanto a seguridad
Debe de estar alineada con la gestin de riesgo general,
establecer criterios de evaluacin de riesgo y ser aprobada
por la Direccin.
La poltica de seguridad es un documento muy general, una
especie de "declaracin e intenciones" de la Direccin, por
lo que no pasar de dos o tres pginas.
57

Poltica de
Seguridad

POLITICA GENERALES
DE ALTO NIVEL

POLITICA ALTO NIVEL

X TEMAS ESPECIFICOS

POLITICA
DETALLADAS

Poltica de
Seguridad de
la Informacin
Poltica sobre
control de
acceso

Poltica del
SGSI

Poltica sobre
criptografa

Poltica de
gestin de
incidentes

58

Resumen
Introduccin
mbito de aplicacin
Objetivos
Principios
Responsabilidades
Resultados importantes
Polticas relacionadas
Definiciones
Sanciones
60

Evaluacin y Aceptacin de Riesgos

Se debe definir una metodologa de evaluacin de
riesgos apropiada para el SGSI y las necesidades de la
organizacin, desarrollar criterios de aceptacin de
riesgos y determinar el nivel de riesgo aceptable.
Existen muchas metodologas de evaluacin de riesgos
aceptadas; la organizacin puede optar por una de ellas,
hacer una combinacin de varias o crear la suya propia.
ISO 27001 no impone ninguna ni da indicaciones
adicionales sobre cmo definirla.
60

 Magerit (Espaa)
Octave (EE.UU.)
Cramm (Reino Unido)
Microsoft (EE.UU.)
Tra (Canada)
Nist 800-30 (EE.UU.)
Ebios (Francia)
Mehari (Francia)
61

de la Metodologa
1. Compatibilidad con los criterios de la ISO 27001
2. Idioma del mtodo
3. Posibilidad de herramientas de software
4. Documentacin, formacin, apoyo.
5. Facilidad de uso
6. Costo de utilizacin
7. Existencia de material de comparacin (mtricas,
estudios, casos, etc.)

62

FASE II Planificacin

63

Desarrollar las actividades de planificacin requeridas por la

norma de manera metodolgica y en concordancia con la
poltica y objetivos del SGSI dentro del alcance del mismo.

Realizar evaluacin de Riesgos

Conducir un anlisis entre los riesgos identificados y
las medidas correctivas existentes
Desarrollar un plan de tratamiento de riesgos
Desarrolla la declaracin de Aplicabilidad
64

 Todos aquellos activos de informacin que tienen

algn valor para la organizacin y que quedan dentro
del alcance del SGSI
Se debe inventariar el nombre activo, tipo,
responsable y ubicacin como campos mnimos.
Se debe realizar la dependencia de activos

65

Realizar Evaluacin de Riesgos

Inventario de Activos

ESCALA
1
2
3
4
5

VALORACION
Muy Alto (MA)
Alto (A)
Medio (M)
Bajo (B)
Muy Bajo (MB)
66

Anlisis de Riesgos
Anlisis de los riesgos:
Evaluar el dao resultante de un fallo de seguridad
(es decir, que una amenaza explote una
vulnerabilidad) y la probabilidad de ocurrencia del
fallo; estimar el nivel de riesgo resultante y
determinar si el riesgo es aceptable (en funcin de
los niveles definidos previamente) o requiere
tratamiento.

67

Realizar Evaluacin de Riesgos

Anlisis de Riesgos

68

Plan de
Tratamiento de Riesgos

70

 Confeccionar una Declaracin de Aplicabilidad: la

llamada SOA (Statement of Applicability) es una lista
de todos los controles seleccionados y la razn de su
seleccin, los controles actualmente implementados
y la justificacin de cualquier control del Anexo A
excluido.
Es, en definitiva, un resumen de las decisiones
tomadas en cuanto al tratamiento del riesgo.

70

Redaccin de la Declaracin de
Aplicabilidad

71

FASE III Despliegue

72

Desplegar las actividades de implementacin del SGSI

Elaborar el plan de trabajo priorizado

Desarrollar documentos y registros necesarios
Implementar los controles seleccionados

73

 Un plan de trabajo es un instrumento de

planificacin.
Comprende: Estructura de actividades,
responsables, tiempos, recursos, generalmente se
expresa por medio de un diagrama de gantt.

74

1. Definir las necesidades de capacitacin

2. Diseo y planificacin de la capacitacin
3. Provisin de la capacitacin
4. Evaluacin de los resultados de la capacitacin

75

La gran diferencia entre la formacin y la concientizacin es que la

capacitacin tiene por objeto proporcionar los conocimientos para permitir
que la persona ejerza sus funciones; mientras que el objetivo de concientizar
es centrar la atencin en un inters individual o una serie de asuntos sobre la
seguridad.
76

1. Determinar qu queremos conseguir, cules son nuestros

objetivos.
2. Decidir a quin vamos a dirigir nuestra comunicacin.
3. Pensar cul es la idea que queremos transmitir.
4. Fijar el presupuesto con el que contamos (cunto).
5. Seleccionar los medios apropiados y su frecuencia de
utilizacin.
6. Ejecutar el plan de medios y medir su impacto.

77

Partes Interesadas
Clientes
Proveedores
Empleados
Comunidades
Medios de Comunicacin
Inversores
El compromiso con las partes interesadas constituye una oportunidad para que una
organizacin pueda conocer sus problemas e inquietudes; puede llevar a que el
conocimiento sea adquirido por ambos lados y pueden influir en las opiniones y
percepciones.
80

ahora 27002
rea 1: Poltica de seguridad.
rea 2: Organizacin de la seguridad de la informacin.
rea 3: Gestin de activos.
rea 4: Seguridad relacionada con los recursos humanos.
rea 10: Gestin de la continuidad del negocio .

Seguridad
Organizativa

rea 6: Gestin de comunicaciones y operaciones.

rea 7: Control de accesos.
rea 8: Adquisicin, desarrollo y mantenimiento de sistemas.
rea 9: Gestin de incidentes.

Seguridad
Lgica

rea 5: Seguridad fsica y del entorno

Seguridad
Fsica

rea 11: Conformidad

Seguridad
Legal
79

FASE IV Revisin

80

Realizar actividades de revisin del SGSI evidenciando

el cumplimiento de los requisitos de la norma
Monitorear el desempeo del SGSI
Fortalecer la gestin de incidentes
Desarrollar documentos y registros necesarios
Desarrollar las actividades para evidenciar la mejora
continua

81

Determinar los Objetivos de la Medicin

La norma no indica lo que debe ser objeto
de supervisin o medicin
Corresponde a la empresa determinar qu es
lo que necesita ser controlado y medido
Es una mejor prctica centrarse en la
vigilancia y medicin de las actividades
que estn vinculadas a los procesos
crticos que permiten a la organizacin
alcanzar sus metas y objetivos de
seguridad de la informacin
Demasiadas medidas pueden distorsionar el
enfoque de una organizacin y desenfocar lo
que es verdaderamente importante
82

Los objetivos de la medicin en el marco de un sistema de

gestin incluyen:
Evaluacin de la eficacia de los procesos y procedimientos
implementados;
Verificacin de la medida en que los requisitos identificados
de la norma se han cumplido.
Facilitar la mejora del rendimiento;
Aportar para la revisin de la gestin para facilitar la toma de
decisiones y justificar las mejoras que necesita el sistema de
gestin implementado.
83

Monitoreo
Tableros de Mando

84

1. Asegurarse de que los eventos de seguridad son detectados

e identificados.
2. Educar a los usuarios acerca de los factores de riesgo que
podran causar incidentes de seguridad.
3. Tratar los incidentes de seguridad en la forma ms adecuada
y eficaz.
4. Reducir el posible impacto de los incidentes sobre las
operaciones de la organizacin.
5. Prevenir futuros incidentes de seguridad y reducir su
probabilidad de ocurrencia.
6. Mejorar la seguridad de los controles de la organizacin.
85

FASE V Consolidacin

86

Auditar e implementar las mejoras y correcciones del

SGSI a fin de cumplir con los requisitos de la norma
Auditar internamente el SGSI
Implementar las acciones correctivas
Implementar las acciones preventivas pertinentes
Desarrollar, corregir y mejorar documentacin nueva
o existente

87

1. Crear el programa de auditora interna

2. Designar al responsable
3. Establecer la independencia, objetividad e imparcialidad
4. Planificacin de las actividades
5. Asignar y administrar los recursos del programa de auditora
6. Crear procedimientos de auditora
7. Realizar actividades de auditora
8. Seguimiento de no conformidades

90

no Conformidades
Definir un proceso para resolver problemas y no
conformidades.
Definir un procedimiento de accin correctiva.
Definir un procedimiento de accin preventiva.
Elaborar Planes de Accin.

89

FASE VI Certificacin

90

 Organismo de Certificacin:
Terceros que realizan la evaluacin
conformidad de los sistemas de gestin.

de

la

Certificacin:
Procedimiento en el cual un tercero garantiza por
escrito que un producto, proceso o servicio es
conforme a las condiciones indicadas

91

1. Seleccin de la entidad certificadora.

2. Auditoria de Pre-evaluacin.
3. Etapa 1 de la auditoria, se fija en el diseo del SGSI
4. Etapa 2 de la auditoria, se lleva a cabo en la empresa.
5. Auditoria de seguimiento, si tuviera no conformidades
6. Confirmacin de la inscripcin.

92

ONGEI
Oficina Nacional de Gobierno Electrnico e Informtica

www.ongei.gob.pe