Curso de Auditor Interno para

la norma ISO 27001

Ing. Julio Iglesias Prez
El siguiente curso fue recopilado y compilado por mi persona y bas
100% en el material recopilado en el curso Auditor Interno para la
norma ISO 27001 que realic en TV Argentina en octubre de 2012
el cual recomiendo que lo realicen, ya que lo ms importante de el
curso son las prcticas que se realizan y la brillante experticia de sus
capacitores.
Este material es informativo y sirve para repasar los puntos
importantes de la norma ISO 27001.
Espero les sirva.
Atte.
Ing. Julio Iglesias Prez
julioiglesiasperez@Hotmail.com
Presentacin
Introduccin a los Sistemas de Gestin de
Seguridad de a Informacin
Mdulo 1
Ing. Julio Iglesias Prez
Descripcin de un SGSI
Importancia de un SGSI
Motivos para la Implementacin de un SGSI
Contenido
Comprensin del fundamento de la
informacin.
Definicin de los conceptos de un Sistema
de Gestin de la Seguridad de la
Informacin (SGSI).
Conocimiento de la relacin entre la ISO
27001 y la ISO 27002.
Objetivos
Tratamiento de la informacin como parte de los
activos de una organizacin.
Es aplicable a todo tipo de organizacin
(organizaciones estatales, no gubernamentales,
sociedades, etc.)
Consideracin de todos tipos de informacin:
Impresa, escrita a mano, almacenada
electrnicamente, etc.
Estructura de la Norma
Informacin como activo
La informacin es un recurso que, como el resto
de los importantes activos comerciales, tiene
valor para una organizacin y por consiguiente
debe ser debidamente protegida.
Informacin de los clientes.
Datos personales.
Informacin de la compaa.
Definicin Informacin
La informacin hoy en da es uno de los activos
ms importantes para las empresas y
organizaciones.
Los dems activos dependen o se relacionan de
alguna manera con la informacin.
La informacin debe ser asegurada y
protegida en forma apropiada
Importancia de la informacin
Confidencialidad. Previene el acceso no
autorizado a la informacin, de forma
intencionada o no.
Integridad. Evita modificaciones de la
informacin por parte de personal no
autorizado.
Disponibilidad. Proporciona acceso
seguro a la informacin en el momento
que se precisa.
Las tres propiedades de la
informacin
Comprender los requisitos de seguridad de la
informacin de una organizacin.
Comprender la necesidad de establecer la
poltica y objetivos en relacin con la
seguridad de la informacin.
Implementar y operar controles para
gestionar los riesgos de seguridad de una
organizacin.
En el contexto de los riesgos de negocio
globales de la organizacin.
Qu es un Sistema de Gestin de
Seguridad de la Informacin?
Seguridad de la informacin. Preservacin de la
confidencialidad, integridad y disponibilidad de la informacin;
adems de otras propiedades, que tambin pueden estar
involucradas como la autenticacin, registro de
responsabilidad (accountability), el no repudio y la
confiabilidad.
Sistema de gestin de seguridad de la informacin. La
parte del sistema global de gestin, basada en un enfoque de
riesgos empresariales, para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar la seguridad de la
informacin.
Nota. El Sistema de Gestin incluye la estructura organizacional, polticas,
actividades de planificacin, responsabilidades, prcticas, procedimiento, procesos
y recursos. ISO 27001: 2005, clusula 3.7
Trminos y definiciones
Ciclo PDCA de la mejora continua.
Establecer un SG (Alcance, poltica y objetivos).
Control de los documentos y registros.
La responsabilidad de la Direccin.
La concientizacin de la organizacin.
Establecer un programa de auditoras internas.
Mejora continua (Acciones preventivas y
correctivas.
Conceptos asociados de la ISO 9001
Establecer el SGSI
4,2,1 y 4,3
Proceso de mejora continua
Mantener y
Mejorar el SGSI
4.2.4 y 8
Monitorear y
Revisar el SGSI
4.2.3, 6 y 7
Implementar y Operar
el SGSI
4.2.2 y 5
Mejora
Continua
La efectiva implantacin del SGSI es posible slo en el
marco de la mejora continua: es necesario garantizar la
revisin peridica y continua actualizacin y mejora
del mismo.
Deben realizarse revisiones peridicas para detectar
posibles aspectos susceptibles de mejora ya sea
porque el SGSI no estaba suficientemente
desarrollado o porque han cambiado las amenazas.
Esto da lugar a medidas preventivas y correctivas,
que modificarn las polticas, normas y procedimientos.
Mejora continua
Especificacin de los vnculos que deben ser
controlados.
Establece los controles a realizar.
Anexo A: obligatorio y seccionable.
Captulos de control (11) / Objetivos de control (39) /
Controles (133).
Descripcin global y completo de todos los objetivos de
seguridad.
Los procesos de la organizacin deben ser visualizables
para la seleccin de controles relevantes.
Importancia del Anexo A
ISO/IEC 27001:2005 (Tecnologa de Informacin
Tcnicas de Seguridad Sistemas de Gestin de la
Seguridad de la Informacin Requisitos) describe los
requisitos para la implementacin y la implementacin
de un SGSI. Es la base para la certificacin de un SGSI.
ISO/IEC 27002:2005 (Tecnologa de Informacin
Tcnicas de Seguridad Sistemas de Gestin de la
Seguridad de la Informacin Requisitos) es el
documento de referencia para las mejores prcticas en
un SGSI. Incluye instrucciones para la implementacin.
El contenido es equivalente a la ISO 17799:2005.
ISO 27001:2005 e ISO 27002:2005
Descripcin de un SGSI
Importancia de un SGSI
Motivos para la Implementacin de un SGSI
Contenido
Introduccin a las amenazas comunes de
la informacin
Objetivos
Cada de Bases de Datos que no responden a las
peticiones de los clientes.
Sitios Web que dejan de funcionar.
Servidores de correo que no pueden repartir mails
porque estn bloqueados.
Enlaces entre sucursales que dejan de funcionar.
Etc.
El sistema que hace funcionar a la empresa es
vulnerable
Amenazas
Disponibilidad / Denegacin de servicio
La imagen de la empresa puede verse afectada
Amenazas
Usos inadecuados del Sistema
La empresa puede verse implicada en un proceso
legal.
Amenazas
Complicaciones legales
Informacin crucial para la empresa puede ser
transmitida a terceros
Amenazas
Sustraccin de informaciones confidenciales
Los impactos sobre los que leemos en la prensa
son slo una pequea parte.
Los ataques que ocurren realmente, son
muchsimos ms.
Ninguna organizacin quiere aparecer como
vulnerable delante de clientes, accionistas,
competencia, pblico en general.
La empresa puede aparecer como poco fiable
Efectos y epercusiones
Tipos de atacantes
Crackers, profesionales
Adolescentes (freaks)
Clientes, gente normal
Motivos
Diversin
Sabotaje
Inters comercial
Venganza
Ignorancia
Quin est atacando a quin y por
qu?
Por correo electrnico, o atacando los
servicios de los servidores con presencia
en Internet.
Tipos de ataques
Externo por medios electrnicos
ECHELON es la mayor red de espionaje y anlisis para
interceptar comunicaciones electrnicas de la historia.
Controlada por la comunidad UKUSA (EEUU, Canad, Gran
Bretaa, Australia y Nueva Zelanda), ECHELON puede
capturar comunicaciones por radio y satlite, llamadas de
telfono, faxes y correos electrnicos en casi todo el mundo e
incluye anlisis automtico y clasificacin de las
interceptaciones.
Se estima que intercepta mas de tres mil millones de
comunicaciones al da.
Las comunicaciones son menos seguras de lo que
parecen
Tipos de ataques
Externo e indetectable
Empleados descontentos o que han sido sobornados
por terceros pueden tener acceso directo a la
informacin, o bien aprovechar su situacin en la
empresa para averiguar contraseas o informacin de
los empleados autorizados.
El peligro no slo est en el exterior
Tipos de ataques
Interno y premeditado
Conversaciones en lugares inadecuados pueden
ser odas por personal no autorizado, que puede
comentarlo ms tarde con ms personas como una
simple ancdota o chisme.
Fusiones, adquisiciones y otras informaciones
estratgicas que, siendo confidenciales, salen a la
luz, pueden costar mucho dinero a la empresa.
Los ataques no son siempre malintencionados.
Tipos de ataques
Interno casual
La falta de calificacin de los empleados o
simplemente la falta de formacin adecuada
pueden provocar daos de diversa
consideracin.
Tipos de ataque
Interno accidental
Algunos desastres, naturales o no, pueden
tambin hacer peligrar la informacin.
La informacin est expuesta a imprevistos
Tipos de ataques
Desastres
Descripcin de un SGSI
Importancia de un SGSI
Motivos para la Implementacin de un SGSI
Contenido
La confianza en la proteccin de la informacin.
Objetivos
Mediante la implantacin de un Sistema de
Gestin de Seguridad de la Informacin, se
logra:
Evitar prdidas de informacin.
Evitar la divulgacin de informacin confidencial.
Asegurar que los procesos de negocio de la empresa
no sean interrumpidos.
Mantener la credibilidad ante la opinin pblica.
Poder reaccionar efectivamente ante desastres.
EL SGSI ES EL MEJOR SEGURO PARA LA EMPRESA
SGSI?
Muchas gracias