BS ISO/IEC 27001:2005 SGSI SISTEMAS DE GESTION DE LA SEGURIDAD DE LA INFORMACION

Junio de 2008

Falta de Seguridad de la Informacin

Compartir passwords Acceso a sitios no autorizados Uso indebido de equipo de cmputo Equipos desatendidos Documentos perdidos Robo Bases de datos destrudas Mantenimiento no controlado Backups /Restores inservibles Redes de comunicacin cadas Aplicaciones mal diseadas Cambios no planeados/autorizados Destruccin/disposicin inadecuadas USBs sin control Separacin de funciones Infraestructura del centro de cmputo Expuestos a amenazas Personal no controlado Terceros / outsourcing sin control Viabilidad del negocio Incumplimiento de requerimientos legales/contractuales
2

Tipos de informacin

Ciclo de la informacin
Genera-Captura Procesamiento Transferencia Almacenamiento Disposicin

Importancia de la informacin
Activo vital en una organizacin. Me da una ventaja competitiva Permite mantener la operatividad de la empresa Asociada al flujo de efectivo y rentabilidad de la empresa Permite cumplir requerimientos legales y contractuales Me permite proyectar una imagen pblica y comercial

Ventajas de la gestin de la seguridad de la informacin

Organizacional Legal Operativa Comercial Financiera Recursos Humanos

Seguridad de la Informacin
Es la preservacin de la:
Confidencialidad
Acceden quienes estn autorizados

Integridad
Es precisa, confiable y completa

Disponibilidad
Est disponible cuando se necesita
7

Gestin del Riesgo

Planear Dimensionar y Evaluar los Riesgos

Hacer Seleccionar, implementar y operar los controles para tratar los riesgos

Gestin del Riesgo

Actuar Mantener y mejorar los controles de los riesgos

Checar Monitoreo y revisin de los riesgos

Evaluacin del Riesgo

Amenazas:
Terrorismo Manifestaciones Terremoto Fuego Inundacin Falla de HW/SW Robo Acceso no autorizado Errores Fraude Huracn Uso ilegal del SW Falla de energa Fuga de informacin Errores Humanos Cambios fallidos Responsabilidad legal o contractual Falla de la red

Activos
Informacin Procesos Servicios Software Hardware Infraestructura Personal Imagen, etc.

Evaluacin del Riesgo

Vulnerabilidades
Falta de entrenamiento Personal molesto Falta de proteccin fsica Falta de mantenimiento Ubicacin inadecuada de instalaciones Aplicaciones complicadas Falta de control de cambios Inadecuada separacin de funciones Puertos de servicio no controlados Pruebas inadecuadas a las aplicaciones Falta de control de los datos de prueba Falta de monitoreo Falta de polticas Falta de procedimientos Falta de un plan de continuidad Falta de supervisin de proveedores

10

Evaluacin del Riesgo

Cambios fallidos
Falta de Control de Cambios:
Personal de soporte realiza cambio de configuracin en ambiente SAN en hora pico y tira la red, afectando todos los servicios

Impacto al Negocio:
Financiero Legal Contractual Pblico Cliente Personal

Acceso no autorizado

Personal Molesto:
Empleado temporal enva email al DG de la compaa desde la cuenta de su gerente

Activos

Ubicacin del CC:

Ventanas abiertas hacia la calle, se pone bomba en macetn frente a la ventana

Terrorismo

RIESGO
11

Ejercicio
Explotan
en g e ot Pr tra n co
en ta
Au m
Impacto Potencial al Negocio

Au m

en

ta n

Ex

po ne n

Activos Controles Valor

Reducen
Sa t po isfe r ch os

Expuestos a

ca n Indi

Aum

ent a

en n e Ti

Requerimientos de Seguridad
Vulnerabilidades

fin De

Riesgos Amenazas
12

Ventajas de utilizar ISO27001

Provee mejores prcticas Permite implementar en una forma eficaz, completa y ordenada Genera confianza entre organizaciones Establece la mejora continua Es certificable Aplicable a cualquier tipo de organizacin, sin importar: tipo, tamao, y riesgos asociados Aplicable a cualquier tipo de informacin Compatible con otros estndares Establece requisitos mnimos
13

ISO27001: Historia
1990 El Departamento de comercio e industria del Reino Unido apoy su desarrollo 1995 Por primera vez se adopta como norma inglesa (BSI) 1998 Se lanzan los requisitos para su certificacin 1999 Se emite una segunda edicin de la norma 2000 Fu aprobada como la parte 1 de ISO17799 2002 BS7799-2 se public el 5 de septiembre: en esta revisin se adopt el modelo de proceso con el fin de alinearla con ISO9001 e ISO14001 2004 A finales del 2004, cerca de 950 compaas se haban certificado en BS 7799-2 2005 Se publica ISO/IEC17799:2005 en Junio y la ISO27001:2005 en Octubre. 2007 Se publica ISO27002:2005 (se renombra ISO/IEC17799:2005) 2007 Se publica ISO27006:2007, requisitos para org. certificadores
14

ISO27001: Futuro
ISO27000 Trminos y Definiciones ISO27001 Requisitos (Certificable) (BS7799-2) ISO27002 Cdigo de Prctica (ISO/IEC 17799:2005 BS7799-1:2005) ISO27003 Gua de Implementacin ISO27004 Mtricas y Mediciones ISO27005 Gua para la Gestin de Riesgos de Seguridad de la Informacin (BS7799-3:2006)Gua de Implementacin ISO27006 Requisitos para los organismos que certifican y registran un SGSI (ISO27001). ISO27007 Gua de Auditora para un SGSI (ISO19011) ISO27008 Gua para la Gestin de la Continuidad del Negocio (BS25999-1:2006 Business Continuity Guide) ISO27009 Telecomunicaciones ISO27010 Industria Automotriz
15

Ciclo de Mejora Continua

Planear Planear
Partes interesadas
Establecer Establecerel el SGSI SGSI

Partes interesadas

Hacer Hacer
Requisitos de seguridad de la informacin y expectativas
Implementar Implementar yyoperar operarel el SGSI SGSI

Actuar Actuar
Mantener Manteneryy mejorar mejorarel el SGSI SGSI

Checar Checar
Monitorear Monitorearyy controlar controlarel el SGSI SGSI

Seguridad de la informacin gestionada

16

Planear
Establecer el SGSI:
1. 2. 3. 4. 5. 6. 7. Definir el alcance del SGSI Definir una poltica para el SGSI Definir la metodologa de evaluacin de riesgos Criterio de aceptacin de riesgos Identificar los riesgos Analizar y evaluar los riesgos Identificar y evaluar opciones para el tratamiento de los riesgos 8. Seleccionar objetivos de control y controles 9. Obtener aprobacin gerencial de los riesgos residuales 10.Obtener aprobacin gerencial del SGSI 11.Preparar el Documento de Aplicabilidad (SOA vs Anexo A)
17

Hacer
Implementar y operar el SGSI.
1. 2. 3. 4. 5. 6. 7. 8. Formular el Plan de Tratamiento de Riesgos Implementar el Plan de Tratamiento de Riesgos Implementar los controles seleccionados Definir como medir la eficacia de los controles Implementar un plan de entrenamiento y sensibilizacin Gestionar las operaciones del SGSI Gestionar los recursos SGSI Implementar procedimientos para detectar/responder a eventos e incidentes de seguridad

18

Checar
Monitorear y Revisar el SGSI
1. 2. 3. 4. 5. 6. 7. 8. Ejecutar procedimientos de monitoreo y revisin Efectuar revisiones regulares de la eficacia del SGSI Medir la eficacia de los controles Revisar, de acuerdo a un plan, la evaluacin de riesgos, el nivel de riesgos residuales y aceptables, considerando los cambios en el ambiente. Conducir auditoras internas del SGSI de acuerdo a un plan Revisin peridica por la direccin Actualizar planes de seguridad en funcin de las actividades de monitoreo y revisin Registrar acciones y eventos que afecten la eficacia del SGSI.
19

Actuar
Mantener y Mejorar el SGSI.
1. Implementar las mejoras identificadas 2. Tomar acciones preventivas/correctivas. Aplicar lecciones aprendidas 3. Comunicar los resultados a las partes interesadas 4. Asegurar que las mejoras logran los objetivos esperados.

20

ISO27001:2005 Estructura
0. Introduccin 1. Alcance 2. Normas de referencia 3. Trminos y definiciones 4. Sistema de Gestin de Seguridad de la Informacin 5. Responsabilidad de la Direccin 6. Auditoras Internas del SGSI 7. Revisin Gerencial del SGSI 8. Mejora del SGSI Anexo A. Objetivos de Control y Controles 11 Clusulas, 39 objetivos de control y 133 controles Anexo B. Principios de la OCDE y este estndar internacional Anexo C. Correspondencia entre ISO9001:2000, ISO14001:2004 y este estndar internacional
21

Documentacin SGSI
1.Poltica y objetivos del SGSI 2.Alcance del SGSI 3.Procedimientos y controles en soporte al SGSI 4.Descripcin de la metodologa de Evaluacin de Riesgos 5.Reporte de la Evaluacin de Riesgos 6.Plan de Tratamiento de Riesgos 7.Procedimientos documentados de la organizacin para la efectiva planeacin, operacin y control de los procesos de seguridad de la informacin y de la forma de medir la eficacia de los controles. 8.Registros requeridos por el estndar 9.Documento de aplicabilidad (SOA)
22

Documentacin SGSI
Procedimientos documentados requeridos: 1.Control de Documentos 2.Control de Registros (recomendado) 3.Auditoras Internas 4.Acciones Correctivas 5.Acciones Preventivas

23

BS ISO/IEC 27001: 2005 Anexo A: Objetivos de Control y Controles

Junio de 2008

Objetivos de Control y Controles

Poltica de Seguridad

Organizacin

Gestin de Activos Cumplimiento Seguridad de los Recursos Humanos

Adquisicin, Desarrollo y Mantenimiento de Sistemas

Control de Acceso

Seguridad Fsica y Ambiental

Gestin de la Continuidad del Negocio

Gestin de Comunicaciones y Operaciones

Gestin de Incidentes de Seguridad de la Informacin

25