Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Iso27001v011 141121151105 Conversion Gate01
Iso27001v011 141121151105 Conversion Gate01
Agenda
Seccin 1: Principios fundamentales de la Seguridad
de la Informacin
Seccin 2: Estndar y Marco Normativo
Seccin
Principios fundamentales de la
Seguridad de la Informacin
Qu es Seguridad?
El trmino seguridad proviene
de la palabra securitas del latn.
Cotidianamente se puede referir
a la seguridad como la
reduccin del riesgo o tambin
a la confianza en algo o alguien.
Sin embargo, el trmino puede
tomar diversos sentidos segn
el rea o campo a la que haga
referencia.
4
Informacin y Activo
Informacin: Datos significativos
Activo: Cualquier bien que tiene valor para la
organizacin
Activo de Informacin
Las organizaciones poseen informacin que deben
proteger frente a riesgos y amenazas para asegurar el
correcto funcionamiento de su negocio.
Este tipo de informacin imprescindible para las
empresas es lo que se denomina activo de
informacin.
Tipos de Activos de
Informacin
Servicios: Procesos de negocio de la organizacin
Datos/Informacin: Que son manipulados dentro de la
organizacin, suelen ser el ncleo del sistema, los dems
activos les dan soporte.
Aplicaciones (Software)
Equipo Informtico (Hardware)
Personal
Redes de Comunicacin
Soporte de Informacin
Equipamiento Auxiliar
Instalaciones
Intangibles
7
Documento - Registro
Documento: Informacin y su medio de soporte
Registro: Documento que indique los resultados
obtenidos o proporcione evidencia de las actividades
desempeadas
Seguridad de la Informacin
La seguridad de la informacin es el conjunto de
medidas
preventivas
y
reactivas
de
las organizaciones que permiten resguardar y proteger
la informacin buscando mantener las dimensiones
(confidencialidad, disponibilidad e integridad) de la
misma.
Nota: Por otra parte, tambin pueden participar otras propiedades, como la
autenticidad, la responsabilidad, el no-repudio, trazabilidad y la fiabilidad
Seguridad de la Informacin
Abarca todo tipo de informacin
Impresa o escrita a mano
Grabada con asistencia tcnica
Transmitida por correo electrnico o electrnicamente
Incluida en un sitio web
Mostrada en videos corporativos
Confidencialidad
La confidencialidad es la propiedad que impide la
divulgacin de informacin a personas o sistemas no
autorizados.
A grandes rasgos, asegura el acceso a la informacin
nicamente a aquellas personas que cuenten con la
debida autorizacin.
11
Integridad
Es la propiedad que busca mantener los datos libres
de modificaciones no autorizadas.
La integridad es mantener con exactitud la
informacin tal cual fue generada, sin ser
manipulada o alterada por personas o procesos no
autorizados.
12
Disponibilidad
La disponibilidad es la caracterstica, cualidad o
condicin de la informacin de encontrarse a
disposicin de quienes deben acceder a ella, ya sean
personas, procesos o aplicaciones.
13
Anlisis de Riesgos
Vulnerabilidad
La debilidad de un activo o de un control que puede
ser explotada por una o ms amenazas.
Las vulnerabilidades pueden ser intrnsecas o
extrnsecas.
14
Anlisis de Riesgos
Amenazas
Una Amenaza es la posibilidad de ocurrencia de
cualquier tipo de evento o accin que puede
producir un dao (material o inmaterial) sobre
los Elementos de Informacin.
15
Anlisis de Riesgos
Relacin: Vulnerabilidad y Amenaza
16
Impacto
17
Probabilidad
de
Ocurrencia
Consecuencia
(Impacto)
Riesgo
18
Tipos de Controles
Control preventivo
Tipos de Controles
Control de investigacin
22
Tipos de Controles
Control correctivo
Evitar la repeticin de anomalas
Ejemplos:
Implementar planes de emergencia con la formacin,
concienciacin, pruebas, procedimientos y actividades de
mantenimiento necesarios.
Procedimientos de emergencia, tales como copias de
seguridad peridicas, el almacenamiento en un lugar
seguro y la recuperacin de las transacciones.
Procedimientos re-ejecutados.
23
24
Seccin
25
Qu es ISO?
ISO es una red de organismos nacionales de
estandarizacin de mas de 160 pases.
Los resultados finales de los trabajos realizados por
ISO son publicados como normas internacionales
Se han publicado mas de 19,000 normas desde 1947
26
Principios
Bsicos de las Normas ISO
1. Representacin igualitaria: 1 voto por pas
2. Adhesin voluntaria: ISO no tiene la autoridad
para forzar la adopcin de sus normas
Principios
Bsicos de las
Normas ISO
CALIDAD
ISO 9001
SISTEMA
DE
GESTION
AMBIENTALISO
ISO 14001
SALUD Y
SEGURIDAD
TRABAJO
OHSAS 18001
SEGURIDAD DE
LA
INFORMACION
ISO 27001
29
Qu es un SGSI?
Un SGSI (Sistema de Gestin de Seguridad de la
Informacin) proporciona un modelo para establecer,
implementar, operar, monitorear, revisar, mantener y
mejorar la proteccin de los activos de informacin para
lograr objetivos de negocio.
El anlisis de los requisitos para la proteccin de los
activos de informacin y la aplicacin de controles
adecuados para garantizar la proteccin de estos activos
de informacin, contribuye a la exitosa implementacin
de un SGSI.
Qu es un SGSI?
El Sistema de Gestin de la Seguridad de la Informacin
(SGSI) en las empresas ayuda a establecer
estas polticas, procedimientos y controles en relacin
a los objetivos de negocio de la organizacin.
31
Enfoque a Procesos
32
Ciclo de Deming
El circulo de DEMING se constituye como una de las
principales herramientas para lograr la mejora
continua en las organizaciones o empresas que
desean aplicar a la excelencia en sistemas de gestion.
El conocido Ciclo Deming o tambin se le denomina el
ciclo PHVA que quiere decir segn las iniciales
(planear, hacer, verificar y actuar) o ingles PDCA (Plan,
Do, Check, Act)
33
Ciclo de Deming
34
Vocabulario
Generalidades
ISO 27001
Requisitos del
SGSI
ISO 27002
Cdigo buenas
practicas
Industria
ISO 27000
Vocabulario
Requisitos
Familia
ISO 27000
ISO 27011
Telecomunicaciones
ISO 27003
Gua de
Implementacin
ISO 27799
Salud
ISO 27004
Mtricas
ISO 27009
Requisitos organizacin
certificadora
ISO 27005
Gestin de
Riesgos
ISO 27007-27008
Guas de Auditoria
ISO 270XX
Vocabulario
35
ISO 27001
Especifica los requisitos de gestin
de un SGSI (Clusula 4 a 10)
Los requisitos (clusulas) son
escritos utilizando el verbo
"debern" en imperativo
Anexo A: 14 clusulas que
contienen 35 objetivos de control y
114 controles
La organizacin puede ser
certificada en esta norma
36
ISO 27002
Gua para el cdigo de prcticas para los
controles de la seguridad de la
informacin (Documento de referencia)
Clusulas escritas utilizando el verbo
"debera"
Compuesto de 14 clusulas, 35 objetivos
de control y 114 controles
ISO 27003
Gua para el cdigo de prcticas para
la implementacin de un SGSI
Documento de referencia para ser
utilizado con las normas ISO 27001 e
ISO 27002
Consta de 9 clusulas que definen 28
etapas para implementar un SGSI
38
Historia de la Norma
ISO 27001
39
Estructura de la Norma
ISO 27001
Clausula 4
Contexto de la
organizacin
Clausula 5
Planificacin
Clausula 10
Mejora
Clausula 7
Soporte
Clausula 8
Funcionamiento
Clausula 9
Evaluacin del
desempeo
Clausula 5
Liderazgo
40
Seccin
41
Enfoque a Procesos
La aplicacin del enfoque de proceso variar de una
organizacin a otra en funcin de su tamao,
complejidad y actividades
A menudo las organizaciones identifican demasiados
procesos
Los procesos se pueden definir como un grupo lgico
de tareas relacionadas entre s, para alcanzar un
objetivo definido.
ENTRADA
PROCESO
SALIDA
42
Informacin Documentada
Ciclo de Vida de los Documentos
1. Creacin
2. Identificacin
3. Clasificacin y seguridad
4. Modificacin
5. Aprobacin
6. Distribucin
7. Uso adecuado
8. Archivado
9. Disposicin
43
ISO 30301
Informacin y
documentacin. Sistemas
de gestin para
documentos. Requisitos
44
La implantacin de un Sistema de
Gestin de Seguridad de la Informacin es
una decisin estratgica
que debe involucrar a toda la organizacin y
que debe ser apoyada y
dirigida desde la direccin
45
Etapas
Ciclo de Deming
Compromiso de la direccin
Planificacin
Fechas
Responsables
Implantar mejoras
Acciones correctivas
Acciones Preventivas
Comprobar eficacia de las
acciones
Revisar el SGSI
Medir eficacia de los controles
Revisar riesgos residuales
Realizar auditorias internas del
SGSI
Registrar acciones y eventos
46
Iniciando el SGSI
Definicin del enfoque para la aplicacin del SGSI
Velocidad de Implementacin
Nivel de madurez del proceso y controles
Expectativas y mbito
Seleccin de un marco metodolgico
Metodologa para gestionar el proyecto (PMBOK)
Alineacin con las mejores practicas
ISO 27001
ISO 27002
ISO 27003
ISO 27004
47
Nivel de Madurez
Es importante determinar
en que nivel se encuentra la
organizacin, para ello
CMM muestra la madurez
de una organizacin
basndose en la capacidad
de sus procesos
48
FASE I Organizacin
49
Fase I Organizacin
Desarrollar las actividades principales para la direccin e
inicio de la implantacin del SGSI.
Obtener el Apoyo
Institucional
Existen 4 ejes de apoyo para sustentar el
apoyo institucional, estos son:
1. Cumplimiento
51
Organizacin de la Seguridad
CGSI
COSI
COMIT DE GESTION DE
SEGURIDAD DE LA
INFORMACION
COMIT TCNICO DE
SEGURIDAD DE LA
INFORMACION
AREAS FUNCIONALES
OSI
OFICIAL DE SEGURIDAD DE LA
INFORMACION
ROLES
SI
RESPONSABLE SEGURIDAD
INFORMATICA
SF
RESPONSABLE SEGURIDAD
FISICA
52
Comit Gestin
El Comit de Gestin de Seguridad de la Informacin es el
mximo rgano consultivo de carcter no tcnico sobre la
seguridad de la informacin.
Se reunir por lo menos una vez al mes para evaluar la
situacin institucional en materia de seguridad de la
informacin y el plan de accin para mejorarla
continuamente.
Las funciones del Comit de Gestin de Seguridad de la
Informacin son las siguientes:
Comit Tcnico
El Comit Tcnico de Seguridad de la Informacin es un rgano
consultivo de carcter tcnico y est integrado por los Jefes de
los procesos involucrados en el alcance quienes debern tener
un amplio conocimiento de los procesos que se realizan en la
institucin.
Las funciones del Comit Consultivo de Seguridad de la
Informacin son las siguientes:
Determinar el Alcance
del SGSI
Se debe definir en funcin de caractersticas del
negocio, organizacin, localizacin, activos y
tecnologa, definir el alcance y los lmites del SGSI
(el SGSI no tiene por qu abarcar toda la
organizacin; de hecho, es recomendable empezar
por un alcance limitado)
55
Determinar el Alcance
del SGSI
Definir los limites de la organizacin.
Definir los limites de los sistemas de informacin.
Definir el mbito y limites fsicos.
Definir el alcance del SGSI.
Cambios en el alcance.
Determinar el Alcance
del SGSI
57
Tipos de Poltica
Poltica de
Seguridad
POLITICA GENERALES
DE ALTO NIVEL
POLITICA
DETALLADAS
Poltica de
Seguridad de
la Informacin
Poltica sobre
control de
acceso
Poltica del
SGSI
Poltica sobre
criptografa
Poltica de
gestin de
incidentes
59
Resumen
Introduccin
mbito de aplicacin
Objetivos
Principios
Responsabilidades
Resultados importantes
Polticas relacionadas
Definiciones
Sanciones
60
Octave (EE.UU.)
Cramm (Reino Unido)
Microsoft (EE.UU.)
Tra (Canada)
Nist 800-30 (EE.UU.)
Ebios (Francia)
Mehari (Francia)
62
Factores en la Seleccin
de la Metodologa
1. Compatibilidad con los criterios de la ISO 27001
FASE II Planificacin
64
66
ESCALA
1
2
3
4
5
VALORACION
Muy Alto (MA)
Alto (A)
Medio (M)
Bajo (B)
Muy Bajo (MB)
67
68
69
Plan de
Tratamiento de Riesgos
70
71
Redaccin de la Declaracin de
Aplicabilidad
72
73
74
75
Plan de Capacitacin
1. Definir las necesidades de capacitacin
2. Diseo y planificacin de la capacitacin
3. Provisin de la capacitacin
4. Evaluacin de los resultados de la capacitacin
76
Plan de Capacitacin
77
Plan de Capacitacin
78
Plan de Comunicacin
1. Determinar qu queremos conseguir, cules son nuestros
objetivos.
2. Decidir a quin vamos a dirigir nuestra comunicacin.
3. Pensar cul es la idea que queremos transmitir.
4. Fijar el presupuesto con el que contamos (cunto).
5. Seleccionar los medios apropiados y su frecuencia de
utilizacin.
6. Ejecutar el plan de medios y medir su impacto.
79
Plan de Comunicacin
Partes Interesadas
Clientes
Proveedores
Empleados
Comunidades
Medios de Comunicacin
Inversores
El compromiso con las partes interesadas constituye una oportunidad para que una
organizacin pueda conocer sus problemas e inquietudes; puede llevar a que el
conocimiento sea adquirido por ambos lados y pueden influir en las opiniones y
percepciones.
80
Seguridad
Organizativa
Seguridad
Lgica
Seguridad
Fsica
Seguridad
Legal
81
FASE IV Revisin
82
Monitoreo
Determinar los Objetivos de la Medicin
La norma no indica lo que debe ser objeto
de supervisin o medicin
Corresponde a la empresa determinar qu
es lo que necesita ser controlado y medido
Es una mejor prctica centrarse en la
vigilancia y medicin de las actividades
que estn vinculadas a los procesos
crticos que permiten a la organizacin
alcanzar sus metas y objetivos de
seguridad de la informacin
Demasiadas medidas pueden distorsionar
el enfoque de una organizacin y
desenfocar lo que es verdaderamente
importante
84
Monitoreo
Objetivos de la Medicin
Los objetivos de la medicin en el marco de un sistema de
gestin incluyen:
Evaluacin de la eficacia de los procesos y procedimientos
implementados;
Monitoreo
Tableros de Mando
86
Gestin de Incidentes
1. Asegurarse de que los eventos de seguridad son detectados
e identificados.
2. Educar a los usuarios acerca de los factores de riesgo que
podran causar incidentes de seguridad.
FASE V Consolidacin
88
Auditoria Interna
1. Crear el programa de auditora interna
2. Designar al responsable
3. Establecer la independencia, objetividad e imparcialidad
4. Planificacin de las actividades
90
Tratamiento de Problemas y
no Conformidades
Definir un proceso para resolver problemas y no
conformidades.
Definir un procedimiento de accin correctiva.
91
FASE VI Certificacin
92
Definiciones de la Certificacin
Organismo de Certificacin: Terceros que realizan la
evaluacin de la conformidad de los sistemas de
gestin.
Certificacin: Procedimiento en el cual un tercero
garantiza por escrito que un producto, proceso o
servicio es conforme a las condiciones indicadas
93
Proceso de Certificacin
1. Seleccin de la entidad certificadora.
2. Auditoria de Pre-evaluacin.
3. Etapa 1 de la auditoria, se fija en el diseo del SGSI
6. Confirmacin de la inscripcin.
94
Preguntas
95
Contactos
Soporte SGSI:
Correo Electrnico:
Telfonos:
Contacto:
Correo Electrnico:
Telfonos:
Call Center
ongei@pcm.gob.pe
6346000 anexo 109/106
2197000 anexo 5109/5106
96
ONGEI
Oficina Nacional de Gobierno Electrnico e Informtica
www.ongei.gob.pe