SESION 10: Auditoria al

Sistema de Gestión de la
Seguridad de la Información
Pautas del Proyecto
de Implementación
de un SGSI haciendo
uso de la ISO 27001
 Fases del Proyecto
■ Fase 1 (A) Definición del Alcance
■ Fase 1 (B) Identificación de Activos
■ Fase 2 (C) Def. y valorización de Activos
■ Fase 2 (D) Análisis GAP
■ Fase 2 (E) Def. de Política de Seguridad
■ Fase 3 (F) Análisis de Riesgos
■ Fase 3 (G) Selección de Controles
■ Fase 3 (H) Doc. de aplicabilidad de
controles
 Fase 1, (A) Definición de Alcances
■ El objetivo de esta actividad es definir:
– Qué información especifica a las operaciones
de la organización se considerará
– Procesos donde la información es creada,
procesada, transmitida y almacenada
– Si se considerará la información compartida
con proveedores, socios, etc.
■ Ejercicio Práctico # 1
– Identificar una empresa, un proceso y definir
el alcance del proyecto de seguridad
 Fase 1 (B) Identificación de
Activos
■ Es necesario entender el esquema de
trabajo o funciones que se realizan en la
organización
■ Los activos que se identifican son:
– Activos Documento
– Activos software
– Activos Físicos
– Activos RRHH (personal)
– Activos Servicio
– Activos Información
 Fase 1 (B) Identificación de Activos
■ Ejercicio Práctico # 2: Identificar 6 activos
de información, según los procesos o
funciones definidos en el Alcance:
– Activo Documento
– Activo Software
– Activos Físicos
– Activos RRHH (personal)
– Activos Servicio
– Activos Información
 Registros de Activos
N° Nombre Activo Proceso Tipo Valor Justificación
que lo (DSFRSI)
requiere C I D Total
                 
                 
                 
                 
                 
                 
                 
                 
                 
                 
                 
                 
                 
                 
                 
                 
                 
                 
 Fase 2 (C) Def. de Valorización
■ El objetivo de esta actividad es definir:
– Los esquemas de valorización a utilizar
• Alto, Medio y Bajo
• Muy Alto, Alto, Medio y Bajo
• 1,2, y 3 etc
– En el marco de los parámetros de:
• Confidencialidad
• Integridad
• Disponibilidad
– Ejercicio Práctico # 3: De los activos
identificados identificar su valoración en
términos de CID.
 Registros de Activos
N° Nombre Activo Proceso Tipo Valor Justificación
que lo (DSFRSI)
requiere C I D Total
                 
                 
                 
                 
                 
                 
                 
                 
                 
                 
                 
                 
                 
                 
                 
                 
                 
                 
 Fase 2 (C) Def. de Valorización

■ Consideración:
– Realizar una valoración con los encargados
directos de los activos
– Realizar una valorización con los ejecutivos
o la plana gerencial
– Validar la información a nivel de comité de
seguridad
 Fase 2, ( D ) Análisis GAP
■ El objetivo es identificar falencias y
mejoras posibles a sus prácticas de
seguridad
■ Evaluar la realidad actual de la
organización en comparación con
la norma ISO 17799
■ De los resultados obtenidos se
obtendrá una priorización de
mayor a menor importancia por
dominios
 Fase 2, ( D ) Análisis GAP
■ Consideraciones a tener en cuenta:
– Selección del personal a entrevistar por
dominios de la ISO 17799
– Entrevistas por dominio de especialidad
ISO
– Participación de la gerencia y el comité de
seguridad
Fase 2 (E) Def. de Política de Seguridad
■ El objetivo es dirigir y dar soporte a la
gestión de la seguridad de la
información
– La gerencia deberá establecer de forma
clara las líneas de la política de actuación y
manifestar su apoyo y compromiso a la
seguridad de la información, publicando y
manteniendo una política de seguridad en
toda la organización
Fase 2 (E) Def. de Política de Seguridad

■ Principales Elementos
– Para que esté alineada con las necesidades
de la organización, la política de seguridad
debe:
• Ser fácil de entender
• Ser aplicable
• Se realizable
• Ser proactiva
• Estar alineada con los objetivos del negocio
 Fase 2 (E) Def. de Política de Seguridad
■ La política debe ser clara, evitar
confusiones y no debe generar nuevos
problemas. Cuando se escriba se debe
tener cuenta:
– ¿Qué es lo que se protegerá? Intención
– ¿Quién es responsable? Responsabilidades
– ¿Qué áreas serán afectadas? Alcance
– ¿Cómo será monitoreado el cumplimiento?
– ¿Cuándo la política será aplicable?
– ¿Por qué fue desarrollada?
Fase 2 (E) Def. de Política de Seguridad
■ Ejercicio Práctico # 4:
– Definir cinco políticas de seguridad en el marco de
la organización seleccionada. Deberá cumplir
como mínimo los siguientes puntos:
– Aspectos a considerar:
• Alcance
• Objetivo de la Política
• Enunciado de la política
• Responsabilidades
– Grupos de Políticas Ejemplo:
• Políticas Generales
• Políticas sobre Información Electrónica
• Políticas sobre Recursos Informáticos
• Políticas sobre Seguridad Física
• Políticas sobre Seguridad Lógica
• Políticas sobre Administración de Recursos
 Fase 3 (F) Análisis de Riesgos
■ Las etapas sugeridas por la ISO 27001
son las siguientes:
– Identificar el riesgo
1. Identificar los activos dentro del alcance del
ISMS y los propietarios de estos activos
2. Identificar las amenazas a esos activos
3. Identificar las vulnerabilidades que podrían
explotarse mediante estas amenazas
4. Identificar los impactos de pérdidas de
confidencialidad, integridad y disponibilidad
sobre los activos
 Fase 3 (F) Análisis de Riesgos
■ Evaluar el riesgo
1. Evaluar los daños comerciales que podrían
resultar de una falla de seguridad,
considerando las consecuencias potenciales
de una pérdida de Confidencialidad,
Integridad o disponibilidad de los activos.
2. Evaluar las posibilidades de falla de
seguridad, teniendo en cuenta las amenazas,
vulnerabilidades e impactos asociados con
estos activos y los controles implementados
actualmente
3. Estimar los niveles de riesgo y determinar si
el riesgo es aceptable o requiere tratamiento
 Fase 3 (F) Análisis de Riesgos
■ Identificar y evaluar opciones para el
tratamiento del riesgo: Las posibles
acciones incluyen:
1. Aplicar los controles adecuados
2. Aceptar riesgos conciente y objetivamente,
siempre y cuando satisfagan claramente la
política de la organización y el criterio para
la aceptación del riesgo
3. Evitar riesgos
4. Transferir los riesgos de negocio a otras
partes: Seguros
 Fase 3 (F) Análisis de Riesgos
■ Seleccionar objetivos de control y controles
para el tratamiento del riesgo:
– Se seleccionará los objetivos de control y controles
adecuados de la norma ISO 17799 y la selección se
justificará en base a las conclusiones de la
evaluación y proceso de tratamiento de riesgos
■ Preparar un documento de implementación y
operación
■ Obtener la aprobación de la gerencia de los
registros residuales propuestos y la
autorización para implementar y operar el
ISMS.
 Valor del Bien
Valor Definición
Activos indispensables para la continuidad del servicio.
El recurso no puede faltar por un periodo
prolongado porque significaría la paralización de las
Crítico
operaciones
La disponibilidad de la información es necesaria para la
continuidad del negocio, pero existen canales
alternativos para contrarrestar una pérdida de
disponibilidad en un tiempo razonable. El recurso
principal y alternativo pueden quedar fuera del
Alto servicio
Es información o activo de apoyo o secundario para el
negocio. La información se encuentra duplicada en
varias fuentes. Si no está disponible no compromete
Medio procesos de negocios importantes
Activos de información secundarios, que pueden ser
reemplazados en cualquier momento. El activo no
Bajo compromete ningún proceso del negocio
 Amenazas
■ Las amenazas son eventos o circunstancias con
potencial de causar daño a los recursos de
información en términos de su confidencialidad,
integridad y disponibilidad. De origen
accidental o intencionado, por acción humana o
divina.
– Ejemplo:
• Error humano
• Ataque o daño malicioso
• Fraude
• Robo
• Falla de Software
 Vulnerabilidades
■ Vulnerabilidad es una debilidad característica
del recurso de información que pueden ser
aprovechada por una amenaza para causar
daño. Su existencia no genera daños
directamente, pero brinda las condiciones para
que una amenaza afecte un activo. Su existencia
afectará la confidencialidad, integridad y/o
disponibilidad del activo.
– Ejemplos
• Desconocimiento o inexistencia de procesamiento,
políticas, normas
• Tecnología no probada
 Impacto
■ Impacto es la consecuencia o resultado
de la materialización de una amenaza, y
generará una pérdida de
confidencialidad, integridad o
disponibilidad
– Valorización del Impacto
• GRAVE
• MODERADO
• LEVE
 Probabilidad
■ La probabilidad del riesgo es la frecuencia
con que se podría producir el riesgo en un
plazo determinado de tiempo
■ La probabilidad puede clasificarse en
distintos niveles
– BAJA
– MEDIA
– ALTA
■ Para determinar la probabilidad debe tenerse
en cuenta el historial de ocurrencias y los
controles existentes.
 RIESGO
■ El riesgo es la probabilidad de que una
amenaza en particular se materialice a través
de una vulnerabilidad, causando un impacto
negativo sobre disponibilidad,
confidencialidad o integridad de los recursos.
■ El riesgo es directamente proporcional al
valor del bien comprometido y la
probabilidad de ocurrencia de las amenazas
asociadas
■ ECUACION DEL RIESGO
– Riesgo = Impacto x Probabilidad de
ocurrencia
 Matriz de Evaluación de Riesgos
Probabilidad e Impacto del Riesgo (C) Riesgo Remanente (R)

CALIFICACION DEL RIESGO

P
R 3 Alto 3 C D 9
O R E
B I L
A 2 Medio 2 T 6
B I R
C I
I
L 1 Bajo 1 I
D
E
S
3
I A G
D 1 2 3 D O
1 2 3
A IMPACTO EN LA SITUACION ACTUAL-
D ORGANIZACION CONTROL INTERNO

PROBABILIDAD DE IMPACTO EN LA SITUACION ACTUAL (SA)

OCURRENCIA (P.O) ORGANIZACIÓN (I) DEL CONTROL INTERNO

1 Es poco probable que 1 Sería de bajo 1 Cubre en gran parte el

ocurra impacto riesgo
2 Es medianamente 2 Sería de mediano 2 Cubre medianamente el
probable que ocurra impacto riesgo
3 Es altamente probable 3 Sería de alto 3 No existe ningún tipo de
que ocurra impacto medida
 Fase 3 (F) Análisis de Riesgos
■ Ejercicio Práctico # 5:
– Realizar un análisis de
riesgo para cada uno de
los activos identificados
anteriormente
 Análisis de Riesgo
Valoración del
Bien Impacto Probabilidad
Amen Vulnera
Id Bien C A M B aza bilidad G M L A M B
                           

                           

                           

                           

                           

                           

                           

                           

                           

                           

                           
 Fase 3 (G) Selección de Controles
■ Se deben seleccionar objetivos de control y
controles, orientados a gestionar los riesgos
identificados.
■ Los controles deben ser todos los aplicados en el
contexto de la organización:
– Controles de la ISO 17799
– Controles regulatorios o legislativos
– Requerimientos de clientes
– Requerimientos de la organización
– Cualquier otro control existente
 Fase 3 (G) Selección de Controles
■ ¿Por qué un control no se aplica?
– El riesgo no justifica la aplicación de
un control.
– El presupuesto no lo permite Costo
Beneficio
– El entorno no es el adecuado para su
aplicación
– No es posible técnicamente
– Socialmente no es aplicable
– No puede ser implementado en corto
tiempo
– Simplemente, no es aplicable a la
realidad de la organización
 Fase 3 (G) Selección de
Controles
■ Ejercicio Práctico # 6:
– Seleccionar los controles que permitan
reducir los riesgos identificados
anteriormente.
 Metodología de Selección de Controles
■ Definir las funciones que cumple el bien o
activo que se analizará
■ Analizar la amenaza que lo afecta
■ Seleccionar las opciones de control para el
bien (lista de posibles controles)
■ Analizar como afecta cada control a las
funciones del bien
■ Estimar la reducción del nivel de riesgo que
cada control proporciona ( utilizando por
ejemplo una valoración de 1 a 5)
BIEN: SERVIDOR
WEB Selección de Controles
Amenaza     Elección de Controles

Acceso de hacker a Impacto de la Probabilidad de CONTRO 1: CONTROL 2: CONTROL 3:

información amenaza ocurrencia Efectivid Efectivida Efectividad
confidencial ad de un d de un de
Firewall IDS Honeypots
Grupo de Administración de Riesgos    
 
Jefe de Sistemas 4 2 4 3 3

Administrador de 4 4 4 3 4
BD
Programador 2 3 4 3 2

Operador 3 4 4 3 2

Jefe de Proyecto 5 4 3 4 4

Lider Usuario 1 4 4 4 4

Resultado 19 21 23 20 19
 Fase 3 (H) Doc. De Aplicabilidad
■ Un documento de aplicabilidad es un resumen del
Sistema de Gestión de la Seguridad de la Información
■ Es uno de los documentos principales que el auditor
revisa en el proceso de certificación
■ En dicho documento se indican
1. Los objetivos de control
2. Los controles seleccionados
3. Si son aplicables o no
4. Documentos de referencia
5. Estado actual respecto a la conformidad o no
conformidad de la aplicación
6. El plazo de implementación en relación al corto,
mediano y largo plazo
7. Justificación de la no aplicación de los controles,
donde corresponda
 Metodología Sugerida
Definición del
Alcance

Conformación del
Equipo de Trabajo

Análisis de Riesgo

Identificación de Valoración de Definición del Elección de

recursos Recursos Riesgo Controles

Análisis GAP

Documento de
Aplicabilidad

Resultado GAP
 Gestión de Seguridad de la Información
Sistema de Gestión

Sistema de gestión basado en el enfoque de riesgo en los negocios

para establecer, implementar, operar, monitorear, revisar, mantener
y mejorar la seguridad de la información.
Expectativas y reqisitos de seguridad de información.

PLANEAR
PARTES INTERESADAS

Seguridad de Información Administrada

PARTES INTERESADAS
Establecer el SGSI

• Definición del alcance del sistema.

• Evaluación de riesgos.
• Plan de Tratamiento de riesgos.
• Definición de Política de Seguridad.

ACTUAR HACER
Mantener y mejorar el SGSI Implementar y operar el SGSI

•Tratamiento de no •Implementación de política,

conformidades. controles, procedimientos.
•Acciones correctivas y •Asignación de recursos (gente,
preventivas. tiempo y dinero).
VERIFICAR •Programa de concientización.
•Tratamiento de riesgo.
Monitorear y revisar el SGSI

•Medición de resultados.
•Análisis de tendencias.
•Auditoria interna.
•Revisión de la gerencia.
Gestión de Seguridad de la Información
Metodología del Servicio

Inicio
Entendimiento del
Negocio y Definición
de Alcance
Análisis y
Preparación
Tratamiento de
para Auditoria
Diagnóstico y Riesgos
Declaración de Identificación de
Aplicabilidad activos, amenazas y
vulnerabilidades

Implantación
del SGSI Evaluación de
Documentación,
Sensibilización,
Cumplimiento
Diagnóstico en base
Seguimiento a
a ISO17799
implementación de Plan de Acción
controles. Definición de
políticas y selección
de controles
(procesos, personas
y productos)
No Olvidar la Gestión del Proyecto

Conocimientos

Habilidades

Aplicación de Cumplir
Compromisos
Herramientas
(requerimientos)

Técnicas
 Gestión del Proyecto – PMBOK - PMI
GESTIÓN DE
PROYECTO

GESTIÓN DE
INTEGRACIÓN

GESTIÓN DE
AMBITO

GESTIÓN DE
TIEMPO CONOCIMIENTOS

GESTIÓN DE
COSTO
HABILIDADES

GESTIÓN DE COMPROMISOS
CALIDAD
HERRAMIENTAS
GESTIÓN DE
RECURSO HUMANO
TÉCNICAS
GESTIÓN DE
COMUNICACIONES

GESTIÓN DE
RIESGO

GESTIÓN DE
PROCURAMIENTO

“Un proyecto se gestiona “Requiere el uso de “Se supedita a objetivos”

desde distintas perspectivas” competencias”
 Gestión del Proyecto – PMBOK - PMI
GESTIÓN DE
PROYECTO

GESTIÓN DE
INTEGRACIÓN

GESTIÓN DE
AMBITO

GESTIÓN DE
TIEMPO CONOCIMIENTOS

GESTIÓN DE
COSTO
HABILIDADES

GESTIÓN DE COMPROMISOS
CALIDAD
HERRAMIENTAS
GESTIÓN DE
RECURSO HUMANO
TÉCNICAS
GESTIÓN DE
COMUNICACIONES

GESTIÓN DE
RIESGO

GESTIÓN DE
PROCURAMIENTO

“Un proyecto se gestiona “Los riesgos ponen a prueba las “Los riesgos atentan contra
para reducir riesgos competencias” el cumplimiento de objetivos”
 Gestión del Proyecto – PMBOK - PMI
EJECUCIÓN DE
PROYECTO

EJECUCIÓN DE
INTEGRACIÓN

EJECUCIÓN DE
AMBITO

EJECUCIÓN DE
TIEMPO CONOCIMIENTOS

EJECUCIÓN DE
COSTO
HABILIDADES
CUMPLIMIENTO
EJECUCIÓN DE
COMPROMISOS
CALIDAD
HERRAMIENTAS
EJECUCIÓN DE
RECURSO HUMANO
TÉCNICAS
EJECUCIÓN DE
COMUNICACIONES

OCURRENCIA DE
RIESGO

EJECUCIÓN DE
PROCURAMIENTO

“Los riesgos aparecen “Los riesgos ponen a prueba las “Los riesgos AMENAZAN
en cualquier contexto Competencias PRÁCTICAS” el cumplimiento de objetivos”