Organización Internacional de Normalización

www.iso.org
PR/mo/item ID Date

ISO 27001

1

ISO/IEC 27001 – Sistema de Gestión de la Seguridad de la Información
Por Dra. Angelika Plate

Bogota, Colombia, 9-11 de diciembre

PR/mo/item ID Date

ISO 27001

2

La Familia de las Normas 27000 & ISO/IEC 27001

PR/mo/item ID Date

ISO 27001

3

ISO/IEC JTC1 SC 27
WG1 Normas del SGSI Presidente Prof. Ted Humphreys Vicepresidente Angelika Plate WG4 Servicios de SGSI Presidente Meng-Chow Kang

ISO/IEC JTC1 SC27 Presidente Dr. Walter Fumy Vicepresidente Dr. Marijike de Soete Secretaria Krystyna Passia (DIN)

WG5 Privacidad, Gestión de ID y Biométrica Presidente -por definirse-

WG2 Técnicas de Seguridad Presidente Prof. Kenji Namura

WG3 Evaluación de la Seguridad Presidente Mats Ohlin

PR/mo/item ID Date

ISO 27001

4

PR/mo/item ID Date

Panorama general & Panorama general & terminología del SGSI terminología del SGSI [27000] [27000] Controles de la seguridad de Controles de la seguridad de la información (ex17799) la información (ex17799) [27002] [27002] Guía de implementación del Guía de implementación del SGSI [27003] SGSI [27003] Mediciones de la gestión de Mediciones de la gestión de la seguridad de la la seguridad de la información [27004] información [27004] Gestión del riesgo de SGSI Gestión del riesgo de SGSI [27005] [27005]

Sistema de Gestión de la Seguridad Sistema de Gestión de la Seguridad de la Información (SGSI) [27001] de la Información (SGSI) [27001]

Material de orientación y apoyo a 27001 Acreditación y certificación
ISO 27001 5

Requisitos de acreditación Requisitos de acreditación para el SGSI [27006] para el SGSI [27006]

Directrices de auditoría del Directrices de auditoría del SGSI [27007] PROYECTO SGSI [27007] PROYECTO NUEVO NUEVO

Normas 27000
Norma 27000 27001 27002 27003 27004 27005 27006 27007 Título Panorama General y Vocabulario Requisitos para el SGSI Código de Práctica para la Gestión de la Seguridad de la Información Guía de Implementación del SGSI Mediciones de la GSI Gestión del Riesgo del SGSI Requisitos de Acreditación para organismos de certificación Directrices de Auditoría del SGSI Estado FDIS Publicada – actualizada ahora Publicada – actualizada ahora FCD 2do. FCD Publicada Publicada WD

PR/mo/item ID Date

ISO 27001

6

Modelo DCA SGSI Model Modelo PHVA

PLANIFICAR

ACTUAR

Implementa ción & operación del SGSI

Diseño del SGSI

HACER

VERIFICAR

Seguimiento & revisión del SGSI

Mantenimiento & mejora del SGSI

Ciclo de Vida del SGSI
PR/mo/item ID Date

ISO 27001

7

Information Security Management System (SGSI) Process Model
Actualización & Mejora del SGSI (mejorar o implementar nuevos controles, políticas, procedimientos…) Actuar
Planificar

Diseño del SGSI (evaluación del riesgo, tratamiento del riesgo, selección de los controles …)

PHVA PHVA
Verificar

Hacer
Implementación y Utilización del SGSI (implementar y ensayar los controles, políticas, procedimientos, procesos…)

Seguimiento & Revisión del SGSI (incidente, cambios, reevaluación de los riesgos, hojas de evaluación, auditorías…)

Implementación de procesos de gestión del riesgo para alcanzar un SGSI eficaz mediante un proceso de mejora continua PR/mo/item ID
Date

ISO 27001

8

Requisitos del SGSI
Puntos sobresalientes y características Enfoque de gestión del riesgo evaluación del riesgo, tratamiento del riesgo, toma de decisiones por parte de la Dirección Modelo de mejora continua Medidas de eficacia Especificación de auditoría (Auditoría interna y externa del SGSI) Está ahora en revisión
PR/mo/item ID Date

ISO 27001

9

Norma ISO/IEC 27002 Código de Práctica para la gestión de la Seguridad de la Información Un catálogo de Prácticas Eficaces Sugiere un grupo de controles holísticos No es una norma de certificación o de auditoría
Política de seguridad Organización de la seguridad de la información Gestión de activos Seguridad de los recursos humanos Seguridad física & del entorno Gestión de operaciones & comunicaciones Control del acceso Adquisición, desarrollo y mantenimiento de los sistemas de información Gestión de los incidentes de seguridad de la información Gestión de la continuidad del negocio
PR/mo/item ID Date

Cumplimiento
ISO 27001 10

Código de Práctica para la gestión de la seguridad de la información Desde la primavera de 2007 a la norma ISO/IEC 17799 se le dio nueva numeración como 27002 La norma está ahora en revisión

PR/mo/item ID Date

ISO 27001

11

¿Qué hay en la norma ISO/IEC 27003?
Una guía para avanzar en la implementación de los requisitos definidos en la norma 27001 El alcance incluye orientación sobre implementación en:
Asesoramiento detallado y ayuda en lo concerniente a los procesos PHVA Alcance y política del SGSI Identificación de activos Implementación de controles seleccionados Seguimiento y revisión y mejora continua
PR/mo/item ID Date

ISO 27001

12

¿Qué hay en la norma ISO/IEC 27004?
Orientación sobre las mediciones de la gestión de la seguridad de la información para apoyar los requisitos de medición y eficacia definidos en la norma 27001 ¿Qué, cómo y cuándo medir? Desempeño, benchmarking, seguimiento y revisión de la eficacia del SGSI para ayudar en la toma de decisiones empresariales y mejoras al SGSI
PR/mo/item ID Date

ISO 27001

13

¿Qué hay en la norma ISO/IEC 27005?
Orientación en la gestión del riesgo del SGSI para apoyar la evaluación, tratamiento y gestión del riesgo, y la selección de los requisitos de los controles definidos en la norma 27001 Orientación detallada para los implementadores del SGSI, encargados de la gestión del riesgo, oficiales de seguridad … Publicada

PR/mo/item ID Date

ISO 27001

14

¿Qué hay en la norma ISO/IEC 27006?
Requisitos de Acreditación del SGSI Requisitos específicos del SGSI para complementar los requisitos genéricos en la norma ISO 17021-1 Sustituye a EA 7/03 Publicada en enero de 2007

PR/mo/item ID Date

15 ISO 27001

15

NORMA ISO/IEC 27007
Directrices de Auditoría del SGSI Orientación específica del SGSI para complementar la norma ISO 19011 Manejar la orientación a los auditores en temas como: Establecimiento de los rastros de auditoría del SGSI Auditoría de evidencia forense Alcances del SGSI
PR/mo/item ID Date

Mediciones

16 ISO 27001

16

Evolución

BS 7799-1:1995 BS 7799-1:1999 ISO/IEC 17799:2000 ISO/IEC 17799:2005
15 junio/05
Código de práctica para la gestión de la seguridad de la información

BS 7799-2:1998 BS 7799-2:1999 BS 7799-2:2002 ISO/IEC 27001:2005
15 Oct/05
Requisitos del SGSI

PR/mo/item ID Date

ISO 27001

17

Panorama general & Panorama general & terminología del SGSI terminología del SGSI [27000] [27000] Controles de la seguridad de Controles de la seguridad de la información (ex17799) la información (ex17799) [27002] [27002] Guía de implementación del Guía de implementación del SGSI [27003] SGSI [27003] Mediciones de la gestión de Mediciones de la gestión de la seguridad de la la seguridad de la información [27004] información [27004] Gestión del riesgo del SGSI Gestión del riesgo del SGSI [27005] [27005] Sistema de Gestión de la Seguridad Sistema de Gestión de la Seguridad de la Información (SGSI) [27001] de la Información (SGSI) [27001]

Recuperación de desastres, seguridad de las Recuperación de desastres, seguridad de las redes de TI, servicios TTP, IDS, manejo del redes de TI, servicios TTP, IDS, manejo del incidente, aplicaciones de red, gestión de la incidente, aplicaciones de red, gestión de la identificación, ciber .. identificación, ciber ..

Técnicas criptográficas, protocolos de Técnicas criptográficas, protocolos de autenticación, técnicas biométricas, tecnologías autenticación, técnicas biométricas, tecnologías de privacidad … de privacidad … Requisitos para las telecomunicaciones [27011] Requisitos para las telecomunicaciones [27011] Requisitos para los automotores [2701x] Requisitos para los automotores [2701x] Requisitos para el transporte [2701x] Requisitos para el transporte [2701x] Requisitos para el cuidado de la salud [270xx/27799] Requisitos para el cuidado de la salud [270xx/27799] Requisitos para WLA (Asociación de Lotería Mundial) [2701x] Requisitos para WLA (Asociación de Lotería Mundial) [2701x] Requisitos para los sistemas financieros [2701x] Requisitos para los sistemas financieros [2701x]

PR/mo/item ID Date

Requisitos de Requisitos de Acreditación para el Acreditación para el SGSI [27006] SGSI [27006]

Producto sistema Producto sistema evaluación & aseguramiento de la 18 evaluación & aseguramiento de la seguridad seguridad ISO 27001
18

Requisitos de Requisitos de Acreditación [17021] Acreditación [17021] Directrices de auditoría Directrices de auditoría [19011 & 27007] [19011 & 27007]

NORMA ISO/IEC 18044
Gestión de manejo de los incidentes de seguridad de la información
Apoya los controles de manejo de los incidentes en ISO/IEC 27002 Proporciona patrones y asesoramiento más técnico sobre cómo implementar esquemas para el manejo del incidente Publicada en 2005

ISO/IEC 18044
PR/mo/item ID Date

ISO 27001

19

NORMA ISO/IEC 24762
Servicios de Recuperación de desastres El borrador de trabajo es la Norma de Singapur SS 507 para los proveedores de servicios para la recuperación de desastres. En desarrollo en la nueva WG 4 Publicada
PR/mo/item ID Date

ISO 27001

20

SGSI 27001

PR/mo/item ID Date

21 ISO 27001

21

PDCA SGSI Model SGSI PHVA

PLANIFICAR

ACTUAR

Implementación & operación del SGSI

Diseño del SGSI

HACER

VERIFICAR

Seguimiento & revisión del SGSI

Mantenimiento & mejora del SGSI

Ciclo de Vida del SGSI
PR/mo/item ID Date

ISO 27001

22

Alcance del SGSI
Alcance del SGSI (4.2.1 (a))
Diseño del SGSI

1. Definir el alcance y límites del SGSI 2. Corresponde completamente a la organización definir el alcance del SGSI 3. Se deben identificar las interfaces y dependencias Alcance del SGSI – Toda la Organización
Límite

Alcance del SGSI – Parte de la Organización

Límite

PR/mo/item ID Date

ISO 27001

23

Alcance del SGSI
Alcance del SGSI (4.2.1 (a))
Diseño del SGSI

1. Definir el alcance y límites del SGSI 2. Corresponde completamente a la organización definir el alcance del SGSI 3. Se deben identificar las interfaces y

dependencias Proveedor de Servicios Externo

Alcance del SGSI

Cliente
Dpto. de Servicio de TI
ISO 27001 24

PR/mo/item ID Date

Alcance del SGSI
Ejemplos del Alcance del SGSI
Diseño del SGSI

1. Departamento de ventas y compras 2. Outsourcing – servicios de gestión de datos 3. Servicios de reembolsos al cliente • Reclamaciones al seguro • Reclamaciones de cobertura médica • Reclamaciones de restitución de mercancías dañadas 4. Banca en línea 5. Servicios organizacionales de TI internos

PR/mo/item ID Date

ISO 27001

25

Política del SGSI
Política del SGSI (4.2.1 (b))
Diseño del SGSI

1. Definir la política del SGSI que define un marco para establecer los objetivos y la dirección para la seguridad de la información:
• • • • Tiene en cuenta todos los requisitos aplicables, legales, contractuales y empresariales Se alinea con el contexto global de gestión del riesgo de la organización Establece los criterios para la evaluación del riesgo Ha sido aprobada por la dirección

Declaración de Política de Seguridad de la Información
Objetivos ……………………………………. ………………………………………………… Definición de seguridad de la información ……......... ................................................................... Requisitos y reglas de la política ……………………………….. ………………………………………………… …………………………………………………

Firmado y aprobado por …………. Fecha ………………..

PR/mo/item ID Date

ISO 27001

26

Evaluación del Riesgo del SGSI
Evaluación del Riesgo (4.2.1 (c)-(e))
Diseño del SGSI

1. Definir el enfoque 2. Identificar y evaluar los riesgos
• Activos y sus valores • Amenazas y vulnerabilidades • Riesgos e impactos Ejemplo A: Activo – registros del cliente – la sensibilidad y el valor comercial son altos en términos financieros Amenazas – acceso, fuga y modificación no autorizados Vulnerabilidades – Control del acceso carente o inapropiado, falta de control de autenticación, falta de control sobre el procesamiento de la información Riesgo – alto Impacto - alto
ISO 27001 27

activo

amenazas

aprovechan

vulnerabilidades

devaluaciones, daños a, etc.

riesgos
PR/mo/item ID Date

impactos

Tratamiento del riesgo del SGSI
Tratamiento del riesgo (4.2.1 (f))
Diseño del SGSI

1. Opciones • •

Reducir el riesgo – implementar
controles

Aceptar el riesgo – el impacto con

el cual la compañía puede vivir financieramente • Transferir el riesgo – seguros o mediante contratos • Evitar el riesgo – no comprometerse en un proyecto que pueda originar el riesgo 2. Toma de decisiones de la dirección • Criterios de aceptación del riesgo y riesgos residuales • Requisitos empresariales • Costo y recursos
PR/mo/item ID Date

ISO 27001

28

Selección de los controles del SGSI
Selección de los controles (4.2.1 (g))
Diseño del SGSI

1. Los controles se seleccionan primordialmente del Anexo A con base en los resultados de la evaluación del riesgo (los controles de otras listas/normas pueden complementar lo que no se encuentre en el Anexo A) y la decisión tomada durante la fase de tratamiento del riesgo 2. Para la selección se necesitarán los criterios de la compañía para aceptar el riesgo 3. Al realizar la selección se debe tomar en cuenta otros requisitos, como los legales Continuación del Ejemplo A: • • Implementar mejores mecanismos de autenticación y acceso en los sistemas de TI que contienen los registros del cliente ¿Cuáles controles del Anexo A pueden ser aplicables?
ISO 27001 29

PR/mo/item ID Date

Aprobación de la dirección
Aprobación de la dirección
Diseño del SGSI

(4.2.1 (h)-(i)) Aprobación de los riesgos residuales Aprobación y autorización para implementar los controles del SGSI

PR/mo/item ID Date

ISO 27001

30

Declaración de Aplicabilidad
Declaración de Aplicabilidad
(4.2.1 (j))
Diseño del SGSI

Lista de los controles seleccionados para implementacion, más aquellos controles actualmente implementados y los controles no implementados (exclusiones) con justificación/razones del por qué los controles han o no han sido implementados Flujo de desarrollo del SGSI

Riesgos identificados y evaluados
PR/mo/item ID Date

Decisión de tratamiento del riesgo

Implementación de controles

Revisión y verificación de auditoría del SGSI

ISO 27001

31

Tratamiento del Riesgo del SGSI
Tratamiento del Riesgo (4.2.2 (a)-(c))
1. Formular plan para el tratamiento del riesgo
• •
Implementación & operación del SGSI

El objetivo es manejar los riesgos a través de la acciones identificadas en la fase de PLANIFICACIÓN Identificar acciones, prioridades, recursos, responsabilidades de la Dirección

2. Implementar el plan de tratamiento del riesgo 3. Implementar los controles seleccionados
• • • • •
PR/mo/item ID Date

Políticas Procedimientos Control de los recursos humanos Controles de los proveedores de servicios, contratos, SLA (Acuerdos de nivel de servicios) Controles técnicos
ISO 27001 32

Medición de la Eficacia
Eficacia (4.2.2 (d))
1. Definir un grupo de mediciones y adoptar un conjunto de métodos para la medición de la eficacia de los controles implementados – luego de la implementación y en períodos regulares de ahí en adelante
• • • Especificar cómo medir la eficacia de los controles o de los grupos de controles seleccionados Especificar cómo estas mediciones se utilizarán para evaluar la eficacia de los controles Asegurar resultados comparables y reproducibles

Implementación & operación del SGSI

PR/mo/item ID Date

ISO 27001

33

Acciones de la Dirección del SGSI
Acciones de la Dirección (4.2.2 (f)(h)) 1. 2. Gestionar los recursos y operaciones para la operación efectiva de los controles del SGSI Asegurar un grupo efectivo de procedimientos y recursos que estén disponibles para el manejo de incidentes

Implementación & operación del SGSI

PR/mo/item ID Date

ISO 27001

34

Seguimiento y Revisión del SGSI
Seguimiento & Revisiones (4.2.3)
1. Medir el desempeño, realizar benchmarking, etc., para verificar la eficacia de los controles 2. Ejecutar procedimientos de seguimiento y revisión para determinar que todo funciona como se espera, que incluyen:
• • • • • • Intentos de acceso Uso de los procedimientos Detección de errores Detección de intentos de violación e incidentes Eficacia Resultados de la evaluación del riesgo

Seguimiento & revisión del SGSI

PR/mo/item ID Date

ISO 27001

35

Seguimiento y Revisión del SGSI
Seguimiento & Revisiones (4.2.3)
3. Rastrear los cambios
• • • Seguimiento & revisión del SGSI • • Riesgos, amenazas Maneras de hacer negocios, nuevas empresas del mercado, nuevos proyectos Cambios en la mano de obra, base de clientes, sociedades de negocios Tecnología Leyes y reglamentaciones

4. Emprender revisiones regulares (revisiones de la dirección) y auditorías (internas y externas) del SGSI, teniendo en cuenta:
• • • • •
PR/mo/item ID Date

Informes de gestión de incidentes Mediciones de la eficacia Sugerencias y retroalimentación Informes de auditoría Acciones de la Dirección y su conclusión
ISO 27001 36

Seguimiento y Revisión del SGSI
Seguimiento & Revisiones (4.2.3)
5. Actualizar toda la documentación pertinente
• • • • • Políticas Procedimientos Planes Programación de ensayos Revisión y auditoría de manuales

Seguimiento & revisión del SGSI

PR/mo/item ID Date

ISO 27001

37

Mejoras del SGSI
Actualización & mejora (4.2.4 y 8.1Mejoras del SGSI

8.3) 1. Implementar las mejoras identificadas en la fase de VERIFICACIÓN 2. Emprender acciones correctivas y preventivas (consultar más en el artículo 8 del SGSI Mejora) 3. Comunicar las acciones y mejoras a todas las partes interesadas 4. Asegurarse de que las mejoras funcionen como se espera 5. Capacitar de nuevo al personal

PR/mo/item ID Date

ISO 27001

38

Documentación del SGSI

Diseño del SGSI

Documentación
Mejora del SGSI

Ciclo de Vida del SGSI
Implementación & Operación del SGSI Seguimiento & Revisión del SGSI

Alcance y Declaración de Política del SGSI Informe de Evaluación del Riesgo Plan de Tratamiento del Riesgo Declaración de Aplicabilidad Procedimientos del SGSI Manuales del SGSI Manuales de Auditoría

PR/mo/item ID Date

ISO 27001

39

Documentación del SGSI
Controles (4.3.2) Controlar y proteger los documentos, utilizando procedimientos para: Aprobación, revisión, actualización y reaprobación Control de versiones y cambios
Diseño del SGSI Mejora del SGSI

Asegurar que los documentos sean válidos y accesibles Asegurar la disponibilidad para todo el que tenga derecho al acceso Identificar el origen y la distribución Impedir el uso no previsto Aplicar la identificación y etiquetado adecuados

Ciclo de Vida del SGSI
Implementación & Operación del SGSI Seguimiento & Revisión del SGSI

PR/mo/item ID Date

ISO 27001

40

Registros del SGSI

Diseño del SGSI

Registros
Mejora del SGSI

Ciclo de Vida del SGSI
Implementación & Operación del SGSI Seguimiento & Revisión del SGSI

Registro del manejo de incidentes Registros del personal Registros de capacitaciones Registros de contratos, ventas y entregas a los clientes Registros de ventas Registros financieros Registros de ensayos Registros de Benchmarking

PR/mo/item ID Date

ISO 27001

41

Registros del SGSI
Controles (4.3.3) Se deben establecer registros para suministrar evidencia de la conformidad con la norma
Diseño del SGSI Mejora del SGSI

Para fines de certificación, el SGSI debe haber estado en operación por al menos 4-6 meses para tener la evidencia suficiente
Los registros deben protegerse de la misma manera que toda la documentación Los requisitos para la documentación y los registros son los mismos que para otros sistemas de gestión

Implementación & Operación del SGSI

Seguimiento & Revisión del SGSI

PR/mo/item ID Date

ISO 27001

42

Compromiso de la Dirección
La Dirección debe estipular su compromiso al: Establecer la política, objetivos y planes del SGSI Establecer roles y responsabilidades para la seguridad de la información Comunicar la importancia de la seguridad de la información Proporcionar los recursos suficientes para el SGSI Decidir los criterios para la aceptación del riesgo Asegurar las auditorías internas del SGSI Realizar revisiones por parte de la Dirección
PR/mo/item ID Date

ISO 27001

43

Provisión de Recursos
La organización debe determinar y suministrar los recursos necesarios para: Establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI Garantizar que la seguridad de la información brinda apoyo a los requisitos del negocio Identificar y atender los requisitos legales y reglamentarios y las obligaciones de seguridad contractuales Mantener la seguridad adecuada mediante la aplicación correcta de todos los controles implementados
PR/mo/item ID Date

Llevar a cabo revisiones y mejorar la eficacia del SGSI donde se requiera. ISO 27001

44

Formación, Toma de Conciencia & Competencia
La organización debe asegurar personal competente mediante: La determinación de las competencias necesarias para el personal en el SGSI El suministro de formación o la realización de otras acciones (por ej. la contratación de personal competente) para satisfacer estas necesidades La evaluación de la eficacia de las acciones emprendidas El mantenimiento de registros de la educación, formación, habilidades, experiencia y calificaciones Asegurar la toma de conciencia del personal en el SGSI
PR/mo/item ID Date

ISO 27001

45

Auditorías Internas del SGSI
La organización debe llevar a cabo auditorías internas del SGSI a intervalos planificados para asegurar que el SGSI: Cumple los requisitos de la norma ISO/IEC 27001 y de la legislación y reglamentaciones pertinentes; Cumple los requisitos identificados de seguridad de la información; Los procesos y controles del SGSI son implementados y mantenidos eficazmente y su desempeño es acorde con lo esperado

PR/mo/item ID Date

ISO 27001

46

Auditorías Internas del SGSI
Se debe planificar el programa de auditorías Se deben definir los criterios, el alcance, la frecuencia y los métodos de la auditoría Se debe asegurar la imparcialidad e independencia de los auditores Se deben definir las responsabilidades para la planificación y realización de la auditoría y para el reporte La Dirección es responsable del seguimiento de las acciones apropiadas para reaccionar a cualquier noconformidad que se identifique
PR/mo/item ID Date

ISO 27001

47

Revisión del SGSI por la Dirección
Revisión del SGSI por la Dirección (7.1-7.3)
Diseño del SGSI Mejora del SGSI

Implementación & operación del SGSI Seguimiento & revisión del SGSI

Revisión por la Dirección
1. Por lo menos una vez al año 2. Verificación para asegurar la conveniencia, suficiencia y eficacia continuas del SGSI 3. Oportunidades de mejoras 4. Actualización de las políticas, procedimientos, planes, objetivos … 5. La revisión da como resultado documentos y acciones de reuniones que deben registrarse
PR/mo/item ID Date

ISO 27001

48

Revisión del SGSI por la Dirección
Revisión del SGSI por la Dirección (7.1-7.3)
Diseño del SGSI Mejora del SGSI

Implementación & operación del SGSI Seguimiento & revisión del SGSI

Entradas para la revisión
1. Resultados de revisiones, auditorías, mediciones de la eficacia, reportes de incidentes, registros operacionales 2. Retroalimentación desde el personal, clientes, socios de negocios, proveedores 3. Perfiles de amenaza, vulnerabilidad y riesgo 4. Controles, tecnología, procedimientos para mejora del SGSI nuevos o adicionales 5. Acciones de seguimiento – que incluyen el estado de las acciones correctivas y preventivas
PR/mo/item ID Date

ISO 27001

49

Revisión del SGSI por la Dirección
Revisión del SGSI por la Dirección (7.1-7.3)
Diseño del SGSI Mejora del SGSI

Implementación & operación del SGSI

Seguimiento & revisión del SGSI

Salidas de la Revisión
1. 2. 3. 4. 5. Definición de las mejoras del SGSI Objetivos de eficacia y mejoras a los métodos y medidas Actualizaciones de la evaluación del riesgo y los planes de tratamiento Actualizaciones de políticas, procedimientos, planes Reformulación de las necesidades de recursos, re-operación y definición de roles y responsabilidades
ISO 27001 50

PR/mo/item ID Date

Mejoras del SGSI
La organización debe mejorar continuamente la eficacia del SGSI Acciones correctivas Identificar las no-conformidades y sus causas Determinar e implementar las acciones correctivas Acciones Preventivas Identificar las no-conformidades potenciales Determinar e implementar las acciones preventivas Todas las acciones deben registrarse y revisarse
PR/mo/item ID Date

ISO 27001

51

Conformidad & Certificación

PR/mo/item ID Date

52 ISO 27001

52

Certificación
Partes interesadas Organismos de acreditación, Organismos de Certificación y Usuarios Finales Documentos y normas de certificación Proceso de Acreditación Proceso de Certificación Auditores Todos los certificados registrados en la actualidad pueden consultarse en www.iso27001certificates.com
PR/mo/item ID Date

ISO 27001

53

Acreditación Certificación

Organismo de Acreditación (OA)
Asesores

Auditorías atestiguadas

Evaluación de los sistemas/procesos de alta calidad del organismo de certificación para llevar a cabo y administrar las certificaciones

Organismo de Certificación (OC)
Auditores

Auditorías de certificación del SGSI • Auditoría inicial • Auditorías de seguimiento (cada 6-12 meses) • Auditorías de re-certificación (cada 3 años)

SGSI

Organización

PR/mo/item ID Date

ISO 27001

54

Documentos y Normas de Certificación
Norma de Certificación ISO/IEC 27001:2005 (antes BS 7799 Parte:2002) Directrices para Acreditación ISO/IEC 17021 (antes Guía ISO 62/EN 45012) ISO/IEC 27006 (antes EA 7/03), ISO 19011 Documentos de apoyo ISO/IEC 27002

PR/mo/item ID Date

ISO 27001

55

Acreditación Certificación

Organismo de Acreditación (OA)
Asesores

Documentos empleados: (a) ISO/IEC 17021 (b) ISO 19011 (c) ISO/IEC 27006

Evaluación de los sistemas/procesos de alta calidad del organismo de certificación para Auditorías atestiguadas llevar a cabo y administrar las certificaciones

Organismo de Certificación (OC)
Auditores

Documentos empleados: (d) ISO/IEC 27001:2005 (c) ISO/IEC 27006

Auditorías de certificación del SGSI • Auditoría inicial • Auditorías de seguimiento (cada 6-12 meses) • Auditorías de re-certificación (cada 3 años)

SGSI

Organización

PR/mo/item ID Date

ISO 27001

56

Proceso de Auditoría del SGSI

La realización de la auditoría inicial de dos etapas – tiene como intención el otorgamiento del certificado

Auditoría Inicial de Certificación
Acciones correctivas para manejar las noconformidades desaprueba desaprueba El cliente decide no Aprueba/desaprueba seguir Aprueba – otorgamiento del certificado

Auditorías de seguimiento
Típicamente cada 6-9 meses durante los tres años de período de validación de la certificación no

Acciones correctivas para manejar las noconformidades El cliente decide no seguir Tres años después del otorgamiento del certificado
ISO 27001 57

El cliente solicita la re-certificación

Auditoría de Re-certificación

PR/mo/item ID Date

Proceso de Auditoría del SGSI
Típicamente el proceso inicial de auditoría involucra dos etapas: Etapa 1 de la Auditoría
Revisión de los documentos del SGSI …

Etapa 2 de la Auditoría
Visita en el sitio Reuniones con el equipo de la Dirección y entrevistas con el personal Observación y evaluación del SGSI en funcionamiento Revisión y discusión de los hallazgos, documentos, registros, informes … Recopilación de la evidencia objetiva
PR/mo/item ID Date

ISO 27001

58

Auditorías del SGSI – Etapa 1
Etapa 1 de la Auditoría
En esta etapa de la auditoría, el organismo de certificación debe obtener la documentación sobre el diseño del SGSI abarcando la documentación requerida en el Artículo 4.3.1 de la norma ISO/IEC 27001. El objetivo de la etapa 1 de la auditoría es suministrar un enfoque para la planificación de la etapa 2 de la auditoría, al obtener una comprensión del SGSI en el contexto de las políticas y objetivos del SGSI de la organización del cliente, y, en particular, del estado de preparación para la auditoría por parte de la organización del cliente. La etapa 1 de la auditoría incluye la revisión de documentación, pero no debe restringirse sólo a ella. El organismo de certificación debe acordar con la organización del cliente cuándo y dónde debe realizarse la revisión de la documentación. En todo caso, la revisión debe completarse antes del inicio de la etapa 2 de la auditoría. Los resultados de la etapa 1 de la auditoría deben documentarse en un informe escrito. El organismo de certificación debe revisar el informe de la etapa 1 de la auditoría antes de proseguir con la etapa 2 y para seleccionar el equipo de miembros para la etapa 2 de la auditoría con la competencia necesaria. El organismo de certificación debe hacer que la organización del cliente se entere de los tipos de información y registros adicionales que pueden requerirse para una revisión detallada durante la etapa 2 de la auditoría.
PR/mo/item ID Date

ISO 27001

59

Auditorías del SGSI – Etapa 2
Etapa 2 de la Auditoría

Los objetivos de esta auditoría son:
Confirmar que la organización del cliente se ajusta a sus propias políticas, objetivos y procedimientos; Confirmar que el SGSI cumple con todos los requisitos de la norma ISO/IEC 27001 y que satisface los objetivos de la organización.

Esta auditoría siempre se lleva a cabo en las instalaciones de la organización. El organismo de certificación elabora un borrador de plan de auditoría para esta etapa 2 de la auditoría con base en los hallazgos de la etapa 1.
ISO 27001 60

PR/mo/item ID Date

Auditorías del SGSI – Etapa 2
La auditoría debería enfocarse hacia los siguientes aspectos de la organización
Evaluación de la seguridad de la información y riesgos relacionados y que dicha evaluación produzca resultados comparables y reproducibles Selección de objetivos de control y controles con base en la evaluación del riesgo y los procesos de tratamiento del riesgo Revisiones de la efectividad del SGSI y mediciones de la eficacia de los controles de seguridad de la información, realizando el reporte y la revisión contra los objetivos del SGSI Correspondencia entre los controles seleccionados e implementados, la Declaración de Aplicabilidad y los resultados de la evaluación del riesgo y el proceso de tratamiento del riesgo, y la política y los objetivos del SGSI Programas, procesos, procedimientos, registros, auditorías internas y revisiones de la eficacia del SGSI para garantizar que sean trazables a las decisiones de la Dirección y la política y objetivos del SGSI

PR/mo/item ID Date

ISO 27001

61

Proceso de Auditoría del SGSI
Política del SGSI, objetivos, requisitos empresariales y objetos

Rastro de auditoría

Riesgos identificados y evaluados

resultados de evaluacónes del riesgo de la seguridad de la información

Decisión sobre el tratamiento del riesgo para reducir los riesgos identificados Controles selecionados con base en la decisión sobre el tratamiento del riesgo Controles para implementación

Decisiones de tratamiento del riesgo

Declaración de Aplicabilidad

PR/mo/item ID Date

ISO 27001

62

Acreditación Certificación

Organismo de acreditación (OA)
Evaluadores

Equipo de Dirección del OC Reporte de los equipos de auditoría

Organismo de Certificación (OC)

Equipo auditor

Hallazgos de auditoría verificados y aprobados

Si: certificado otorgado SGSI

Organización

No: acción de seguimiento emprendida

PR/mo/item ID Date

ISO 27001

63

Calificaciones del auditor de SGSI
ISO/IEC 19011 (Directrices de la auditoría) (www.iso.org)
Educación Experiencia industrial Formación Experiencia en auditoría

Auditores certificados IRCA (www.irca.org)
Auditor provisional Auditor Auditor líder

Se están desarrollando más aspectos de la certificación personal para SGSI
PR/mo/item ID Date

ISO 27001

64

2000 - 2006
EA7/03 de EA

2006
FDIS de ISO/IEC 27006

Enero/Feb 2007

Publicación planeada de ISO/IEC 27006
ISO 27001 65

PR/mo/item ID Date

ISO/IEC 27006
ISO/IEC 27006 es la norma de “Requisitos para la acreditación de organismos que ofrecen certificación deSGSI” Iniciativa conjunta de ISO, IAF yCASCO Con base en ISO/IEC 17021 ISO/IEC 27001

PR/mo/item ID Date

ISO 27001

66

Uso of „Debe“ y„Debería“
ISO/IEC 27006 contiene requisitos No existen requisitos para auditotías generales adicionales a ISO/IEC 17021 “Debe” se emplea para indicar requisitos obligatorios de ISO/IEC 17021, ISO/IEC 27001, o los resultantes de combinar las dos “Debería” tiene que ver con orientación, aunque presenta un método reconocido para el cumplimiento de los requisitos

PR/mo/item ID Date

ISO 27001

67

Estructura de ISO/IEC 27006
ISO/IEC 27006 sigue la estructura de ISO/IEC 17021 Declaración de alto nivel del contenido de los numerales de ISO/IEC 17021 Orientación SGSI – si existe orientación adicional necesaria para el SGSI, ésta se incluye aquí.

PR/mo/item ID Date

ISO 27001

68

Structure of ISO/IEC 27006 - Example

PR/mo/item ID Date

ISO 27001

69

¿Qué incluye ISO/IEC 27006?
Sección 5 “Requisitos generales” Orientación especifica del SGSI en relación con la imparcialidad Listado del trabajo que pudiera estar en conflicto Inclusión de una lista de todas las actividades que se pueden realizar out Sección 6 “Estructura organizacional” No hay orientación especifica de SGSI, ISO/IEC 17021 se aplica
PR/mo/item ID Date

ISO 27001

70

¿Qué incluye ISO/IEC 27006?
Sección 7 “Requisitos de los recursos” 7.1 Orientación específica de SGSI en relación con la competencia de la Dirección 7.2 Orientación específica de SGSI en relación con la competencia del personal del OC Capacitación, niveles de educación, experiencia laboral pre-requeridos, etc. 7.3 Orientación específica de SGSI en relación con la subcontratación

PR/mo/item ID Date

ISO 27001

71

¿Qué incluye ISO/IEC 27006?
Sección 8 “Requisitos de información” 8.1 Orientación específica de SGSI para otorgar mantener,… suspender certificados 8.2 Orientación específica de SGSI para documentos de certificación El certificado debe hacer referencia a la versión de la Declaración de Aplicabilidad Cierta orientación más específica de SGSI en relación con 8.4 Uso de sellos 8. 5 Confidencialidad
PR/mo/item ID Date

ISO 27001

72

¿Qué incluye ISO/IEC 27006?
Sección 9 “Requisitos del proceso” 9.1.1 Orientación específica de SGSI sobre requisitos generales de auditoría de SGSI para:
Criterios de auditoría de certificación Políticas y procedimientos Equipo auditor

9.1.2 Orientación específica de SGSI en relación con el alcance
El OC debe garantizar que el alcance se defina según se requiera en la norma ISO/IEC 27001 El OC debe garantizar que la evaluación del riesgo refleje el alcance
PR/mo/item ID Date

Énfasis especial en las interfaces y la necesidad de manejarlas.
ISO 27001 73

¿Qué incluye ISO/IEC 27006?
Sección 9 “Requisitos del proceso” 9.1.3 Orientación específica de SGSI sobre el tiempo de la auditoría Sin especificar un marco temporal en particular Listado de factores que pueden influir en el tiempo requerido para la auditoría Complejidad del SGSI, dimensión del alcance, tipo y diversidad de empresa, número de sitios,… Referencia al Anexo A.3
PR/mo/item ID Date

ISO 27001

74

¿Qué incluye ISO/IEC 27006?
Sección 9 “Requisitos del proceso” 9.1.4 Sitios múltiples La orientación específica de SGSI contiene la información habitual
Muestreo representativo, en parte aleatorio y en parte basado en el riesgo Se audita cada sitio con riesgos significativos antes de la certificación El programa de seguimiento debería cubrir eventualmente todos los sitios
PR/mo/item ID Date

ISO 27001

75

¿Qué incluye ISO/IEC 27006?
Sección 9 “Requisitos del proceso” El resto de la Sección 9 comprende el proceso típico de auditoría La competencia del equipo auditor se ha actualizado con las normas ISO/IEC 17021 e ISO/IEC 27001 Énfasis especial en evaluación del riesgo, selección del control, efectividad, documentación, auditorías y revisiones Requisitos específicos de SGSI: Conformidad reguladora Integración con otros sistemas de gestión
PR/mo/item ID Date

ISO 27001

76

¿Qué incluye ISO/IEC 27006?
Tres anexos nuevos – todos informales Anexo A.1 Análisis de Complejidad Valoración de la complejidad de un SGSI Anexo A.2 Ejemplo de Áreas de Competencia del Auditor Competencia requerida para las diferentes áreas de control y el SGSI Anexo A.3 Tiempo de la auditoría Descripción del proceso para determinar el tiempo de la auditoría Ejemplo de cálculos con base en IAFGD 2, más días adicionales para SGSI/controles Anexo A.4 Orientación sobre la revisión de los controles del Anexo A

PR/mo/item ID Date

ISO 27001

77

ISO/IEC 27001 Evaluación del Riesgo & Gestión del Riesgo
PR/mo/item ID Date

78 ISO 27001

78

Enfoques de Gestión del Riesgo
ISO/IEC 27001 no especifica el enfoque de evaluación/gestión del riesgo que se debe usar Depende de la organización especificar qué usar (de acuerdo con el numeral 4.2.1 c)) ISO/IEC 27001 presenta el marco e ISO/IEC 27005, cierta información de mayor utilidad

PR/mo/item ID Date

ISO 27001

79

ISO/IEC 27005
ISO/IEC 27005 – Gestión del riesgo de seguridad de la información Ofrece orientación para la gestión del riesgo de seguridad de la información como se plantea en la norma ISO/IEC 27001 Es aplicable para todas las organizaciones (tamaño, tipo de empresa, etc.) que requieran administrar los riesgos de seguridad de la información

PR/mo/item ID Date

ISO 27001

80

ModelISO/IEC 27005
Proceso de gestión del riesgo en ISO/IEC 27005

ESTABLECER CONTEXTO

EVALUACIÓN DEL RIESGO SEGUIMIENTO Y REVISIÓN DEL RIESGO ANÁLISIS DEL RIESGO COMUNICACIÓN DEL RIESGO IDENTIFICACIÓN DEL RIESGO

VALORACIÓN DEL RIESGO

EVALUACIÓN DEL RIESGO

DECISIÓN SOBRE EL RIESGO PUNTO 1 Evaluación satisfactoria

Si

TRATAMIENTO DEL RIESGO

DECISIÓN SOBRE EL RIESGO PUNTO 2 Aceptar riesgos Si

ACEPTACIÓN DEL RIESGO FIN DE LAS ITERACIONES PRIMERAS O SUBSIGUIENTES

PR/mo/item ID Date

ISO 27001

81

ISO/IEC 27005 - Contenido
La norma ISO/IEC 27005 no especifica un enfoque “correcto” de evaluación/gestión del riesgo Considera análisis cualitativos y cuantitativos En la actualidad se concentra en la evaluación del riesgo y su tratamiento Aún se requieren adiciones sobre seguimiento y revisión del riesgo

PR/mo/item ID Date

ISO 27001

82

ISO/IEC 27005 - Anexos
ISO/IEC 27005 contiene numerosos anexos útiles Valoración del activo Evaluación del impacto Ejemplo de listas de amenazas Ejemplo de listas de vulnerabilidades, relacionadas con áreas específicas de seguridad de la información Análisis de varios enfoques de evaluación del riesgo Mucha información acerca de la selección de controles (con base en la antigua ISO/IEC 13335-4)
PR/mo/item ID Date

ISO 27001

83

Dominios de riesgo

Aplicaciones Información

Servicios Entorno físico

Procesos empresariales TCI Personas Conexiones en red

PR/mo/item ID Date

ISO 27001

84

Activos en el SGSI
Se deberían identificar todos los activos dentro de los límites del SGSI A fin de comprender los activos y su función en el SGSI, resulta útil identificarlos como parte de las subdivisiones del SGSI Esto debería incluir Activos relacionados con el SGSI vía interfaces Dependencias a fin de garantizar la protección constante

PR/mo/item ID Date

ISO 27001

85

Activos del SGSI
SGSI
activos Imagen corporativa Personas Personas Información /sistemas de información Procesos Información Productos/servicios Aplicaciones TCI Procesos Entorno físico empresariales Servicios Aplicaciones TCI directorio de activos

Entorno físico

PR/mo/item ID Date

ISO 27001

86

Importancia de la medición del activo
¿Cuál es el activo más importante su organización? Factores que influyen en la importancia: ¿Qué sucede si se daña el activo? ¿El activo es útil para la organización, qué tan difícil resulta realizar negocios sin éste? ¿El activo se relaciona con aplicaciones, recursos críticos, etc.?

PR/mo/item ID Date

ISO 27001

87

¿Cómo medir?
‘Valores’ diferentes de un activo Dinero (por ej. costos de reposición) Valor que expresa la calidad de crítico Valores que expresan el impacto potencial y el daño a la empresa por una perdida de
Confidencialidad Integridad Disponibilidad Valores asociados con otras clasificaciones (por ej. Violación de las leyes)
PR/mo/item ID Date

ISO 27001

88

Escala de valoración del activo
¿Cuántos niveles 3, 4 ó 5 .... ó ¿cuántos? La diferencia entre los niveles debe ser fácil de explicar El significado de estos niveles diferentes debería expresarse en palabras en cuanto a Confidencialidad Integridad Disponibilidad Otros criterios potenciales
PR/mo/item ID Date

ISO 27001

89

Identificación de requisitos
Identificación de requisitos para los activos Obligaciones legales y contractuales que el activo (o su ambiente) debe cumplir Requisitos empresariales que se relacionan con el activo Información de entrada necesaria para la valoración Ejemplo: información con el requisito de cumplir la Ley de Protección de Datos, Data Protection Act Alta valoración de la confidencialidad e integridad
PR/mo/item ID Date

ISO 27001

90

Requisitos legales/contractuales
Identificar toda la legislación y regulación aplicable para el SGSI y sus activos Véase también la norma ISO/IEC 27002, Sección 12.1 Identificar las obligaciones contractuales Considerar todos los contratos existentes e identificar las obligaciones allí contempladas.
Acuerdos en el nivel de servicios Conformidad con las políticas y procedimientos de seguridad Derechos para auditar en contratos de terceros Requisitos IPR (Derechos de Propiedad Intelectual) …
PR/mo/item ID Date

ISO 27001

91

Requisitos empresariales
Identificar todos los requisitos empresariales aplicables para el SGSI y sus activos, resultantes de Aplicaciones específicas tales como la Internet, Comercio electrónico, etc. Asuntos empresariales tales como joint ventures, requisitos para el correcto procesamiento empresarial, requisitos para entrega oportuna, etc. Requisitos de disponibilidad para la información y los servicios, por ej. los resultantes de los requisitos del cliente
PR/mo/item ID Date

ISO 27001

92

Escala de valoración del activo
Requisitos de confidencialidad (C)

Valor del activo 1 - BAJO

Clase Disponible al público Para uso interno exclusivamente o uso restringido solamente

Descripción La información no sensible y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles para el público. La información no sensible está restringida para uso interno exclusivamente, es decir, no está disponible para el público o la información restringida y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles dentro de la organización con restricciones variadas con base en las necesidades de la empresa. La información sensible y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles sólo sobre la base de la necesidad del conocimiento, o La información sensible y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles sólo sobre la base de la necesidad estricta del conocimiento

2 - MEDIANO

3 - ALTO

Confidencial o Estrictamente confidencial

PR/mo/item ID Date

ISO 27001

93

Escala de valoración del activo
Requisitos de integridad (I)

Valor del activo 1 - BAJO

Clase Baja integridad

Descripción El daño o modificación no autorizada no es crítico para las aplicaciones empresariales y el impacto en la empresa es insignificante o menor. El daño o modificación no autorizada no es crítico pero si es notorio para las aplicaciones empresariales y el impacto en la empresa es significativo. El daño o modificación no autorizada es crítica para las aplicaciones empresariales y el impacto en la empresa es importante y podría conllevar a falla grave o total de la aplicación empresarial

2 - MEDIANO

Integridad mediana Integridad alta o muy alta

3 - ALTO

PR/mo/item ID Date

ISO 27001

94

Escala de valoración de activos
Requisitos de disponibilidad (A)
Valor del activo Clase Descripción

1 - BAJO

Se puede tolerar que el activo (información, sistema de procesamiento de la información, recursos del sistema/ servicios de red, personas, etc.) no esté disponible por más de un día 2 - MEDIANO Disponibilidad Se puede tolerar que el activo (información, sistema de mediana procesamiento de la información, recursos del sistema/ servicios de red, personas, etc.) no esté disponible por máximo de medio día a un día. 3 - ALTO Alta No se puede tolerar que el activo (información, sistema disponibilidad de procesamiento de la información, recursos del sistema/ servicios de red, personas, etc.) no esté disponible por más de unas cuantas horas, o incluso menos.

Baja disponibilidad

PR/mo/item ID Date

ISO 27001

95

Activos - Resumen
La protección de los activos es el objetivo de la seguridad de la información y la gestión del riesgo Cada activo debería Identificarse y valorarse para permitir la adecuada protección Se debe identificar un propietario/custodio Y se debería producir una lista/inventario, que incluya Clasificación, almacenamiento y fecha de entrada/actualización Propietario, ubicación, tipo de activo, donde se emplea…
PR/mo/item ID Date

ISO 27001

96

Controles existentes
Se deben identificar todos los controles ya implementados o planificados Esto es necesario para Identificar amenazas y vulnerabilidades en un contexto realista Verificar si estos controles son realmente necesarios o, de lo contrario, retirarlos Identificar durante el proceso de evaluación de riesgos dónde funcionan correctamente o deben mejorarse estos controles Seleccionar controles nuevos que se ajusten a los ya existentes
PR/mo/item ID Date

ISO 27001

97

Identificación de controles
Los controles existentes se pueden identificar fácilmente empleando un análisis de brechas, que sirve para: Colocar los controles existentes en relación con los de ISO/IEC 27002 Se puede ajustar en detalle, como se requiera Se puede realizar mediante Tablas de verificación/P&R Entrevistas Recorrido Análisis de mesa redonda
PR/mo/item ID Date

ISO 27001

98

Grados de conformidad
Grados … Si – implementada por completo como se describe en ISO/IEC 27002 NO Parcial

Si Parcial – desde casi completa hasta cuando existen muchas brechas entre la implementación real y la norma ISO/IEC 27002 NO – sin implementarse en absoluto NO SE APLICA– no es adecuada para la organización, por ej., técnicamente no es factible implementarla.

PR/mo/item ID Date

ISO 27001

99

Tabla de análisis de brechas de alto nivel
Control Pregunta S/P/ N/NA Comentarios

Política de Seguridad de la Información 5.1.1

¿Se ha publicado el documento de la política?, ¿ha sido aprobado por la Dirección y se encuentra disponible para todos los usuarios responsables de la seguridad de la información? ¿La política publicada se revisa de manera regular y es apropiada?

Parcial

Ha sido producido y aprobado por la Dirección, pero aún no se ha publicado – véase CISP/001/v1.0. Pero se hará después de que se haya publicado

5.1.2

No

Organización interna
6.1.1

¿La Dirección está comprometida con la seguridad de la información y ofrece instrucción clara y apoyo para las iniciativas de seguridad? ¿Las iniciativas y las medidas de seguridad están coordinadas por medio de un foro funcional transversal? ¿Están bien definidas las responsabilidades para la protección de activos individuales y la realización de procesos específicos?

Si

La Dirección apoya por completo las iniciativas ISO/IEC 27001. Esta es una pequeña empresa y esto de puede manejar en un nivel de trabajo diario. Aún se requiere asignar responsabilidades adicionales en línea con la política de seguridad.

6.1.2

No se aplica

6.1.3

Parcial

PR/mo/item ID Date

ISO 27001

100

Tabla detallada de análisis de brechas
Pregunta Control 5.1.1 – Documento de política de seguridad de la información S/P/ N/NA Comentarios

¿Se ha implementado la política de seguridad?

Si

Ha sido publicada y se emprenderán acciones adicionales para la comunicación en el mes. siguiente Si, ha sido aprobada por la Dirección. Ha sido publicada para todos los empleados, pero aún no externamente No todavía, pero se brindará capacitación especial para lograrlo el mes siguiente. Se ha desarrollado la política por completo en línea con la norma 27002. Existe una política de control de acceso y directrices de manejo de incidentes, pero en la actualidad no hay política de la Internet.
ISO 27001 101

¿La política está aprobada por la Dirección? ¿Se ha publicado y comunicado la política a todos los empleados y partes externas pertinentes? ¿Todos entienden la política de seguridad, su propósito e implicaciones? ¿La política contiene todos los asuntos pertinentes mencionados en Control 5.1.1? ¿La política de seguridad está poyada por políticas más detalladas (por ej, software o la Internet)?

Si Parcial No

Si Parcial

PR/mo/item ID Date

Threats & vulnerabilidades
Las vulnerabilidades son debilidades, por ej. debilidades de seguridad en el sistema Las amenazas son cualquier cosa que pudiera causar daño, perjurio o pérdida a los activos de una organización por medio de la explotación de las vulnerabilidades de estos activos Se necesita la conjunción de vulnerabilidades y amenazas para originar un riesgo

PR/mo/item ID Date

ISO 27001

102

Las amenazas pueden originarse de …
Ataques del exterior, por ej. Intento de intrusión en las redes o predios de una organización Hackers, spam Ataques desde el interior usando el conocimiento y las oportunidades brindadas por el empleado Ejemplo: un banco en Alemania donde desparecieron 8 millones de € Accidentalmente debido a fallas del sistema o factores geográficos Inundaciones, huracanes, terremotos Sobrecarga del sistema
PR/mo/item ID Date

ISO 27001

103

Ejemplos de amenazas
Acceso no autorizado Código malicioso Hurto, por empleados o no empleados Mal uso de los sistemas de procesamiento de la información Fraude Falla del sistema Negación del servicio Errores del usuario Desastres ……
PR/mo/item ID Date

ISO 27001

104

Identificación de amenazas
¿Qué podría amenazar este activo? Empleados o no empleados Fallas del sistema o desastres Identificación de las amenazas ¿Quién o qué causa la amenaza? ¿Quién podría beneficiarse de iniciar la amenaza? ¿Qué ha ocurrido en el pasado? ¿Qué probabilidad hay de que esto ocurra (de nuevo)?

PR/mo/item ID Date

ISO 27001

105

Las vulnerabilidades están allí …
Debido a inadecuados controles de personal, de dirección y administrativos En relación con políticas, procedimientos y directrices En relación con la conformidad En software de computador o equipo de comunicaciones, en redes, sistemas/aplicaciones En el ambiente físico

PR/mo/item ID Date

ISO 27001

106

Ejemplos de vulnerabilidad
Falta de concientización Falta de responsabilidades claras Clasificación errónea de la información Incapacidad de proporcionar evidencia Falta de control de cambio o versión Falta de mantenimiento Identificación y autenticación inapropiada Falta de seguridad de los medios Falta de protección física ……
PR/mo/item ID Date

ISO 27001

107

Identificación de vulnerabilidades
Identificación de vulnerabilidades del activo
¿Cuáles son los problemas de seguridad de este activo ? ¿Faltan controles para este activo? ¿Hay defectos en los mecanismos de protección actuales?

Identificación de vulnerabilidades en el ambiente?
¿Cuál es la apariencia del ambiente técnico? ¿Qué pasa con las conexiones, redes, etc.? ¿Qué tan seguro es el ambiente físico? ¿Está bien capacitado el personal? ¿es consciente de la seguridad y cumple con los controles?
PR/mo/item ID Date

ISO 27001

108

Incidentes
Las amenazas y vulnerabilidades sólo causan riesgos si se reúnen y causan incidentes La evaluación en conjunto sirve para Facilitar el proceso de evaluación del riesgo Hacer la evaluación menos teórica y más realista No se deben combinar todas las amenazas y vulnerabilidades identificadas sin analizar Se deben tener en cuenta los controles existentes

PR/mo/item ID Date

ISO 27001

109

Fuentes de información
Recursos internos de la empresa Informes de incidentes de seguridad Resultados de auditorías del sistema & revisiones de seguridad Observación de procesos empresariales & condiciones de trabajo/operacionales, Charla con los propietarios & usuarios de los activos/el sistema Internet CERT SANS …
PR/mo/item ID Date

ISO 27001

110

Escala de valoración
Cuántos niveles 3, 4 .... ó cuantos? La diferencia entre los niveles debe ser fácil de explicar El significado de estos niveles diferentes debería expresarse en palabras, explicando las diferencias en la probabilidad de ocurrencia de los incidentes

PR/mo/item ID Date

ISO 27001

111

Valoración
¿Qué probabilidad hay que ocurra una combinación de amenaza/vulnerabilidad? ¿Qué tanto podría sentirse atraído un atacador posible? ¿Con qué frecuencia ha ocurrido esto en el pasado? ¿Qué tan fácil es explotar las vulnerabilidades? ¿Qué tan buenos son los controles implementados?

PR/mo/item ID Date

ISO 27001

112

Valoración A/V
Amenazas
1 – baja probabilidad 2 – probabilidad media 3 – es probable que ocurra

Vulnerabilidad
1 - Dificultad de explotación, buena protección 2 – Posibilidad de explotación 3 – Facilidad de explotación, poca protección
PR/mo/item ID Date

ISO 27001

113

Riesgo de exposición
Imagen corporativa Personal Información/sistemas de información Procesos Productos/servicios Applicaciones TIC Físicos

Activos

Vulnerabilidades

Amenazas Bajas Altas Bajas

1 2

2
RE 3

3 4 5

Altas

3

4

Riesgo de Exposición (RdE) 1 Exposición baja 2 Exposición media 3 Exposición significativa 4 Exposición alta 5 Exposición intolerable

PR/mo/item ID Date

ISO 27001

114

Matriz de riesgo

RIESGO DE EXPOSICIÓN IMPACTO Bajo Medio Alto Muy alto BAJO MEDIO ALTO

1 2 3 4

3 4 5 6

5 6 7 8

1 (bajo)

2

3

4

5

6

7

8 (muy alto)

Incremento en la severidad del riesgo

PR/mo/item ID Date

ISO 27001

115

Matriz de riesgo

RIESGO DE EXPOSICIÓN IMPACTO Bajo Medio Alto Muy alto BAJO MEDIO ALTO

1 2 3 4

3 4 5 6

5 6 7 8

PR/mo/item ID Date

ISO 27001

116

Nivel de riesgo
RE
1 2 3 Nivel de riesgo 1 Tolerable/insignifi. 2 } Menor 3 4 Significativo 5 } Mayor 6 7 Intolerable

Impacto

2

Nivel
3

de riesgo
5 6 7

5 6

IMPACTO EN EL NEGOCIO Bajo (insignificante, sin consecuencias, trivial, insignificante) Bajo-Medio (notable, considerable pero no importante) Medio (significante, importante) Medio-Alto (daño serio, potencialmente desastroso) Alto (daño devastador, daño total, cierre completo)
PR/mo/item ID Date

ISO 27001

117

Números relacionados con el riesgo
La escala de riesgo tiene que estar relacionada con su negocio, ya que éste es el que enfrenta los riesgos. Los números 1 a 8 del ejemplo (y usados en la matriz de riesgo) pueden tener muchos sentidos e interpretaciones. Antes de poder decidir cómo reducir y manejar el riesgo, su negocio debe especificar qué significa cada número en el contexto de su negocio, por ejemplo, 6 se podría interpretar como una pérdida de £100,000 para un negocio, y de £700,000 para otro.
RIESGO DE EXPOSICIÓN MEDIO 3 4 5 6 IMPACTO Bajo Medio Alto muy Alto BAJO 1 2 3 4 ALTO 5 6 7 8

PR/mo/item ID Date

ISO 27001

118

Tratamiento del riesgo
Diferentes tratamientos del riesgo Activo
Riesgo de exposición (RE) Retención del riesgo - Se aceptan los riesgos con conocimiento y objetivamente Reducción del riesgo - Reducción mediante aplicación de una selección apropiada de controles - Reducción del riesgo de exposición - Minimizar el impacto

Límite de aceptación del riesgo

Impacto en el negocio Nivel de riesgo

Transferencia del riesgo
- Transferencia mediante contrato - Transferencia mediante un seguro

Evitar el riesgo
- No comprometiéndose en actividades que generan riesgo - Abandonar la actividad - Cambiar de ubicación - Cambiar/modificar el proceso
ISO 27001 119

PR/mo/item ID Date

Límite de riesgo

Activo riesgo Nivel de riesgo
Riesgo de exposición (RE)

riesgo REGISTRO DE REGISTRO DE RIESGOS RIESGOS {riesgos {riesgos identificados} identificados} riesgo

riesgo

riesgo riesgo

Impacto en el negocio Nivel de riesgo

Límite de aceptación del riesgo

PR/mo/item ID Date

ISO 27001

120

Reducción del riesgo

Activo
Riesgo de exposición (RE)

Nivel de riesgo

Riesgos identificados

riesgo riesgo Límite de aceptación del riesgo riesgo riesgo

Impacto en el negocio Nivel de riesgo

Controles para reducción del riesgo

riesgo riesgo

PR/mo/item ID Date

ISO 27001

121

Reducción del riesgo mediante controles
Los riesgos identificados se deberían reducir a un nivel aceptable Reducción de riesgos por medio de: reducción de la vulnerabilidad. Por ejemplo, mejorar la identificación y procedimientos de autenticación de los usuarios reducción de la amenaza. Por ejemplo, barreras contra fuego bien configurada y manejada para protección contra los ataques del exterior Protección contra los efectos del riesgo. Por ejemplo, usando encriptación para proteger contra cualquier ataque que pudiera ocurrir
PR/mo/item ID Date

ISO 27001

122

Reducción del riesgo
Nivel de riesgo reducido Nivel de riesgo calculado

Niveles de riesgo

3 (Bajo)

4 4

5

6

7

8 8

9 (muy Alto)

Implementación de un conjunto de controles

Por ejemplo, esta reducción puede haber sido posible por medio de la combinación de mejoras en los procedimientos operativos, formación para su uso, y mejores mecanismos técnicos de control de acceso
PR/mo/item ID Date

ISO 27001

123

Reducción del riesgo – ¿Cómo funciona?
La reducción del riesgo siempre es difícil de evaluar Los controles ayudan a reducir el riesgo ¿En qué grado un control particular reduce la probabilidad de que ocurra la combinación amenaza/vulnerabilidad? La ISO/IEC 27001 exige que se considere la reducción del riesgo La mejor forma de hacerlo es identificar en el tiempo si los controles manejan adecuadamente los riesgos

PR/mo/item ID Date

ISO 27001

124

Selección de controles
Es necesario seleccionar los objetivos y controles apropiados Del Anexo A de la ISO/IEC 27001 De cualquier otra fuente, cuando sea necesario La selección de los objetivos de control y de los controles se debería justificar con base en: Los resultados del proceso de valoración del riesgo Las conclusiones del proceso de tratamiento del riesgo Es necesario que los controles existentes y los seleccionados formen un sistema de controles y que trabajen conjuntamente
PR/mo/item ID Date

ISO 27001

125

Declaración de aplicabilidad
La declaración de aplicabilidad debería contener: Los objetivos de control y los controles seleccionados, y las razones para su selección Todos los controles implementados actualmente (véanse los resultados del análisis de brecha) Cualquier exclusión de los objetivos de control o controles de la ISO/IEC 27001 Anexo A, y la razón para su exclusión

PR/mo/item ID Date

ISO 27001

126

Declaración de aplicabilidad – Ejemplo
Objetivo de control y control Política de Seguridad de la Información A.5.1 Brindar a la dirección orientación y apoyo en lo relativo a seguridad de la información … Documento de la Política de Seguridad de la Información Sí Necesita implementarse para todo el SGSI (ver IVR página 4). Es necesario que la política esté completa de manera que comprenda todos los elementos, como se indica en la ISO/IEC 27002, 5.1.1. La política será revisada de acuerdo con el procediento de revisión de la PSI. S/T/ N/NS Comentarios y razones

A.5.1.1

A.5.1.2

Revisión de la información de la Política de Seguridad de la Información

Organización interna A.6.1 A.6.1.1 Manejar la seguridad de la información dentro de la organización … Sí … Necesita implementarse para todo el SGSI (véase RAR página 6). …

IVR = Informe de valoración del riesgo
PR/mo/item ID Date

ISO 27001

127

Control de riesgos
personas
100 80

físicos Ene-02 Jun-02 Ene-03 TIC

60 40 20 0

sistemas de informació

procesos

aplicaciones

productos/servicios

PR/mo/item ID Date

ISO 27001

128

Herramientas de valoración del riesgo
Hay muchas herramientas disponibles para valoración y gestión del riesgo Para seleccionar una herramienta se debería considerar lo siguiente La herramienta necesita abarcar el proceso de valoración del riesgo/gestión del riesgo, como se indica en la ISO/IEC 27001 La herramienta debería ser adecuada para la organización La herramienta debería abarcar todas las áreas de control de la ISO/IEC 27002

PR/mo/item ID Date

ISO 27001

129

RA2 arte del riesgo
RA2 arte del riesgo ha sido diseñado especialmente para la ISO/IEC 27001 y la ISO/IEC 27002 Pasa por el todo el proceso de valoración del riesgo, desde la identificación del alcance del SGSI a la declaración de la aplicabilidad Incluye todos los controles de ISO/IEC 27002:2000 y ISO/IEC 27002:2005

PR/mo/item ID Date

ISO 27001

130

ISO/IEC 27002 Código de Práctica Para Gestión de Seguridad de la Información
PR/mo/item ID Date

131 ISO 27001 131

ISO/IEC 27002 – Desarrollo en el tiempo

1995-1998
BS 7799 Parte 1 Código de Práctica BS 7799 Parte 2 especificación SGSI
PR/mo/item ID Date

1999
Publicación de las actualización de las partes 1y2

2000
BS 7799 Parte 1 publicada como ISO/IEC 17799

Junio 15 de 2005
Primera actualización de la ISO/IEC 17799
ISO 27001 132

Anterior - Nueva
Edición 2000
Política de seguridad Organización de la seguridad Control y clasificación de activos Seguridad del personal Seguridad física y ambiental Gestión de comunicaciones y operaciones Control de acceso Desarrollo y mantenimiento de sistemas

Edición de 2005
Política de seguridad Organización de Seguridad de la Inform. Gestión de activos Seguridad de los recursos humanos Seguridad física y ambiental Gestión de comunicaciones y operaciones Control de acceso Adquisición, desarrollo y mantenimiento de sistemas de información Gestión de incidentes de seguridad de la información

Gestión de continuidad del negocio cumplimiento
PR/mo/item ID Date

Gestión de continuidad del negocio Cumplimiento
ISO 27001 133

Numeral 4 Valoración y tratamiento del riesgo
Introducción a la valoración y tratamiento de riesgos de seguridad de la Información Alineación con la ISO/IEC 27001 y la ISO/IEC 27005 (versión actualizada de la ISO/IEC 13335) Inclusión de la valoración del riesgo en el alcance Énfasis en la importancia de la valoración del riesgo

PR/mo/item ID Date

ISO 27001

134

5.1 Política de seguridad de la Información
5.1 1 Documento de la política de seguridad de la información
La dirección debería aprobar un documento de la política de seguridad de la información, y lo debería publicar y comunicar a todos los empleados y partes externas interesadas.

5.1.2 Revisión de la política de seguridad de la información
La Política de Seguridad de la Información se debería revisar a intervalos planificados o si ocurren cambios significativos, para asegurar su conveniencia, suficiencia y eficacia continuas.

PR/mo/item ID Date

ISO 27001

135

Lista de verificación de la política (1)
Marco para establecer objetivos, dirección y principios de seguridad de la información Establece el compromiso de la dirección Considera los requisitos comerciales y legales y las obligaciones de seguridad contractuales Se alinea con el contexto de gestión estratégica de riesgo de la organización Establece criterios contra los cuales se evaluará el riesgo

PR/mo/item ID Date

ISO 27001

136

Lista de chequeo de la política (2)
Establece una definición de seguridad de la información Explicación acerca de las políticas y principios importantes de seguridad de la información Formación y toma de conciencia Consecuencias de violaciones a la seguridad Referencias a otras políticas más detalladas Definición de las responsabilidades de seguridad de la información Aprobada por la Dirección, publicada y comunicada a todos los empleados
PR/mo/item ID Date

ISO 27001

137

6.1 Organización interna
6.1.1 Compromiso de la dirección con la seguridad de la Información
La dirección debería apoyar activamente la seguridad dentro de la organización por medio de un rumbo claro, el compromiso demostrado, una asignación explícita y el conocimiento de las responsabilidades de la seguridad de la información.

6.1.2 Coordinación de la seguridad de la Información
Las actividades de seguridad de la información deberían ser coordinadas por representantes de la organización con roles y funciones pertinentes.

6.1.3 Asignación de responsabilidades para la seguridad de la información
Se deberían definir claramente todas las responsabilidades en cuanto a seguridad de la información.
PR/mo/item ID Date

ISO 27001

138

6.1 Organización interna
6.1.4 Proceso de autorización para los servicios de procesamiento de la información 6.1.5 Acuerdos sobre confidencialidad 6.1.6 Contacto con las autoridades 6.1.7 Contacto con grupos de interés especiales 6.1.8 Revisión independiente de la seguridad de la información
PR/mo/item ID Date

ISO 27001

139

6.2 Partes externas
6.2.1 Identificación de los riesgos relacionados con las partes externas 6.2.2 Abordar la seguridad cuando se trata con clientes 6.2.3 Abordar la seguridad en acuerdos con terceras partes

PR/mo/item ID Date

ISO 27001

140

7 Gestión de activos
Responsabilidad por los activos 7.1.1 Inventario de activos 7.1.2 Propiedad de los activos 7.1.3 Uso aceptable de los activos Clasificación de la información 7.2.1 Directrices de clasificación 7.2.2 Etiquetado y manejo de la información
PR/mo/item ID Date

ISO 27001

141

Ejemplo de inventario de activos
Valor Identif. activo XS1 XS2 XS3 … XH1 XH2 … XIS1 XIS2 … XC1 … XP1

Tipo de activo Sistema operativo A Sistema operativo B Aplicación S/W y utilidades … Servidor Computadores … Sistema de información A Sistema de información B … Equipo de comunicaciones. … CCTV

Propietario y ubicación

C

I

A

… Administrador del sistema … Jefe de recursos humanos Jefe del grupo de finanzas … Gerente de comunicaciones … Jefe de gestión de propiedad y oficina

PR/mo/item ID Date

ISO 27001

142

8 Seguridad de los recursos humanos antes, durante y al terminar el contrato laboral
8.1 Antes de la contratación laboral 8.1.1 Roles y responsabilidades 8.1.2 Selección 8.1.3 Términos y condiciones laborales 8.2 Durante la vigencia del contrato laboral 8.2.1 Responsabilidades de la dirección 8.2.2 Educación, formación y concientización sobre seguridad de la información 8.2.3 Proceso disciplinario 8.3 Terminación o cambio del contrato laboral 8.3.1 Responsabilidades en la terminación 8.3.2 Devolución de activos 8.3.3 Retiro de los derechos de acceso

PR/mo/item ID Date

ISO 27001

143

9 Seguridad física
Áreas seguras 9.1.1 Perímetro de seguridad física 9.1.2 Controles de acceso físico 9.1.3 Seguridad de oficinas, recintos e instalaciones 9.1.4 Protección contra amenazas externas y ambientales 9.1.5 Trabajo en áreas seguras 9.1.6 Áreas de carga, despacho y acceso público

PR/mo/item ID Date

ISO 27001

144

9 Seguridad física
Seguridad de los equipos 9.2.1 Ubicación y protección de los equipos 9.2.2 Servicios de soporte 9.2.3 Seguridad del cableado 9.2.4 Mantenimiento de los equipos 9.2.5 Seguridad de los equipos fuera de las instalaciones 9.2.6 Seguridad en la reutilización o eliminación de los equipos 9.2.7 Retiro de activos
PR/mo/item ID Date

ISO 27001

145

10.2 Gestión de la prestación del servicio por terceras partes
10.2.1 Prestación del servicio 10.2.2 Monitoreo y revisión de los servicios por terceros 10.2.3 Gestión de los cambios en los servicios por terceras partes Basado en BS 15000/ISOIEC 20000

PR/mo/item ID Date

ISO 27001

146

10.3 Planificación y aceptación del sistema y 10.4 Códigos maliciosos
Planificación y aceptación del sistema
10.3.1 Gestión de la capacidad 10.3.2 Aceptación del sistema

Protección contra códigos maliciosos y móviles
10.4.1 Controles contra códigos maliciosos 10.4.2 Controles contra códigos móviles

PR/mo/item ID Date

ISO 27001

147

Respaldo, gestión de redes y manejo de la información
10.5 Respaldo 10.5.1 Respaldo de la información 10.6 Gestión de redes 10.6.1 Controles de redes 10.6.2 Seguridad de los servicios de redes 10.7 Manejo de la información 10.7.1 Gestión de medios removibles 10.7.2 Eliminación de los medios 10.7.3 Procedimientos para el manejo de la información 10.7.4 Seguridad de la documentación del sistema

PR/mo/item ID Date

ISO 27001

148

10.8 Intercambio de la información
10.8.1 Políticas y procedimientos para el intercambio de información 10.8.2 Acuerdos para el intercambio 10.8.3 Medios físicos en tránsito 10.8.4 Mensajería electrónica 10.8.5 Sistemas de información del negocio

PR/mo/item ID Date

ISO 27001

149

10.9 Servicios de comercio electrónico

10.9.1 Comercio electrónico 10.9.2 Transacciones en línea 10.9.3 Sistemas disponibles públicamente

PR/mo/item ID Date

ISO 27001

150

10.10 Monitoreo
10.10.1 Registro de auditorías 10.10.2 Monitoreo del uso del sistema 10.10.3 Protección de la información del registro 10.10.4 Registros del administrador y el operador 10.10.5 Registro de fallas 10.10.6 Sincronización de relojes

PR/mo/item ID Date

ISO 27001

151

11.1 Requisitos del negocio para control del acceso
11.1.1 Política de control de acceso
Se debería establecer, documentar y revisar la política de control de acceso con base en los requisitos del negocio y de la seguridad para el acceso
Política de control de acceso

Derechos y privilegios Cuentas de usuario Registro de usuarios Responsabilidades de usuarios

Sistemas operativos

Información y aplicaciones

Redes y servicios

PR/mo/item ID Date

ISO 27001

152

11.2 Gestión del acceso de usuarios
11.2.1 Registro de usuarios 11.2.2 Gestión de privilegios 11.2.3 Gestión de contraseñas para usuarios 11.2.4 Revisión de los derechos de acceso de los usuarios

PR/mo/item ID Date

ISO 27001

153

11.3 Responsabilidades de los usuarios
11.3.1 Uso de contraseñas 11.3.2 Equipo no atendido por usuarios 11.3.3 Política de escritorio y pantalla despejados

PR/mo/item ID Date

ISO 27001

154

11.4 Control de acceso a las redes
11.4.1 Política sobre uso de servicios en red 11.4.2 Autenticación de usuarios para conexiones externas 11.4.3 Identificación de los equipos en las redes 11.4.4 Protección de los puertos de configuración y diagnóstico remoto 11.4.5 Separación en las redes 11.4.6 Control de conexión a las redes 11.4.7 Control del enrutamiento en la red
PR/mo/item ID Date

ISO 27001

155

11.5 Control de acceso al sistema operativo
11.5.1 Procedimientos de registro de inicio seguro 11.5.2 Identificación y autenticación de usuarios 11.5.3 Sistema de gestión de contraseñas 11.5.4 Uso de las utilidades del sistema 11.5.5 tiempo de la inactividad de la sesión 11.5.6 Limitación del tiempo de conexión

PR/mo/item ID Date

ISO 27001

156

11.6 Control de acceso a las aplicaciones y a la información

11.6.1 Restricción del acceso a la información 11.6.2 Aislamiento de sistemas sensibles

PR/mo/item ID Date

ISO 27001

157

11.7 Computación móvil y trabajo remoto
11.7.1 Computación y comunicaciones móviles 11.7.2 Trabajo remoto

network

PR/mo/item ID Date

ISO 27001

158

12.1 Requisitos de seguridad de los sistemas de información

12.1.1 Análisis y especificación de los requisitos de seguridad

PR/mo/item ID Date

ISO 27001

159

12.2 Procesamiento correcto en las aplicaciones
12.2.1 Validación de los datos de entrada 12.2.2 Control de procesamiento interno 12.2.3 Integridad del mensaje 12.2.4 Validación de datos de salida

PR/mo/item ID Date

ISO 27001

160

12.3 Controles criptográficos
12.3.1 Política sobre el uso de controles criptográficos Encriptación Firmas digitales Servicios de no repudio 12.3.2 Gestión de claves

PR/mo/item ID Date

ISO 27001

161

12.4 Seguridad de los archivos del sistema
12.4.1 Control del software operativo 12.4.2 Protección de los datos de prueba del sistema 12.4.3 Control de acceso al código fuente de los programas

PR/mo/item ID Date

ISO 27001

162

12.5 Seguridad en los procesos de desarrollo y soporte
12.5.1 Procedimientos de control de cambios 12.5.2 Revisión técnica de las aplicaciones después de los cambios en el sistema operativo 12.5.3 Restricciones en los cambios a los paquetes de software 12.5.4 Fuga de información 12.5.5 Desarrollo de software contratado externamente
PR/mo/item ID Date

ISO 27001

163

12.6 Gestión de la vulnerabilidad técnica
12.6.1 Control de las vulnerabilidades técnicas
Identificar las vulnerabilidades Definir cómo reaccionar a esas vulnerabilidades Ensayar cuidadosamente antes de instalar parches Hacer seguimiento y auditar lo que se ha hecho

PR/mo/item ID Date

ISO 27001

164

12.6 Gestión de la vulnerabilidad técnica
Reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas ¿Está actualizado para enfrentar la siguiente invasión de ataques? Explotaciones el día cero

Gestión de la vulnerabilidad
Días hasta la explotación Slammer

Nachi Blaster 2002 2003 Sasser 2004

PR/mo/item ID Date

ISO 27001

165

Enlaces a la ISO/IEC 18044
Al alinear con las definiciones de la ISO/IEC 18044, se establece la diferencia entre identifica la ocurrencia de cualquier situación pertinente de seguridad de la información

Evento de seguridad de la Información – se Incidente de seguridad de la información –

sólo se aplica a aquellos eventos que tienen una probabilidad significativa de causar un problema de seguridad

PR/mo/item ID Date

ISO 27001

166

13.1 Reporte sobre los eventos y debilidades de
la seguridad de la información
13.1.1 Reporte sobre los eventos de seguridad de la información 13.1.2 Reporte sobre las debilidades en la seguridad

PR/mo/item ID Date

ISO 27001

167

13.2 Gestión de los incidentes y las mejoras en la seguridad de la información
13.2.1 Responsabilidades y procedimientos 13.2.2 Aprendizaje debido a los incidentes de seguridad de la información 13.2.3 Recolección de evidencias

PR/mo/item ID Date

ISO 27001

168

14 Gestión de la continuidad del negocio
14.1.1 Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio 14.1.2 Continuidad del negocio y evaluación del impacto 14.1.3 Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información 14.1.4 Estructura para la planificación de la continuidad del negocio 14.1.5 Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio

PR/mo/item ID Date

ISO 27001

169

Continuidad del negocio y Seguridad de la Información

Continuidad General Del negocio

Proceso Estructura para continuidad del negociode gestión de la Procesos de gestión del riesgo seguridad Desarrollo de planes, directrices y políticas de la Implementación de estos planes Información Pruebas y revisión de los planes

PR/mo/item ID Date

ISO 27001

170

15 Cumplimiento
15.1 Cumplimiento de los requisitos legales
15.1.1 Identificación de la legislación aplicable 15.1.2 Derechos de propiedad intelectual (DPI) 15.1.3 Protección de los registros de la organización 15.1.4 Protección de los datos y privacidad de la información personal 15.1.5 Prevención del uso inadecuado de los servicios de procesamiento de información 15.1.6 Reglamentación de los controles criptográficos
PR/mo/item ID Date

ISO 27001

171

15 Cumplimiento
15.2 Cumplimiento de las políticas y las normas de seguridad y cumplimiento técnico
15.2.1 Cumplimiento de las políticas y normas de seguridad 15.2.2 Verificación del cumplimiento técnico

15.3 Consideraciones de la auditoría de los sistemas de información
15.3.1 Controles de auditoría de los sistemas de información 15.3.2 Protección de las herramientas de auditoría de los sistemas de información
PR/mo/item ID Date

ISO 27001

172

Más acerca de la Familia de Normas 27000
173 ISO 27001 173

PR/mo/item ID Date

ISO/IEC 27003 – Visión general
Decisión reciente: concentrarse sólo en el tema de la “implementación” , sin discusión sobre la fase de VERIFICAR y ACTUAR del SGSI Acuerdos de diseño: No se especifica el contenido mínimo ni se definen requisitos para la implementación No hay formas particulares de implementar un SGSI Ejemplos, estudios de casos

PR/mo/item ID Date

ISO 27001

174

Factores de éxito críticos
Compromiso de la dirección Buen gobierno dentro de la organización Consideraciones financieras Consideraciones específicas de un sector/industria Consideración de la situación de riesgo global Cooperación con otras organizaciones Reconocimiento de la necesidad de cambios y actualizaciones
PR/mo/item ID Date

ISO 27001

175

Aspectos relacionados
Integración con otros sistemas de gestión Identificación de los elementos comunes, por ejemplo, en la parte de “sistema de gestión” Responsabilidad por los otros sistemas de gestión Identificación clara de toda la documentación del SGSI (exigida en la ISO/IEC 27006) Cumplimiento de leyes y reglamentos Importante para identificar todas las leyes y reglamentos aplicables Inclusión en los requisitos en la etapa “planificar”
PR/mo/item ID Date

ISO 27001

176

Estructura de los capítulos
Todos los capítulos que abordan la implementación del flujo de trabajo tienen la misma estructura Visión general Objetivos Precondiciones Organización del trabajo ¿A quién involucrar? ¿Cómo se hace? Resultados
PR/mo/item ID Date

ISO 27001

177

Fase Planificar
La fase Planificar tiene varios pasos que se deberían seguir para la implementación de este proceso. Cada paso brinda entradas al paso siguiente, en un flujo lógico. Este procedimiento paso a paso se ejemplifica en esta sección mediante diagramas de flujo. Cada paso se describe de manera que una organización que no esté familiarizada con seguridad de la información y/o normas de gestión de la ISO pueda entender lo que se pretende.

Área de navegación

Hacer análisis del negocio Requisitos para proteger los activos de las organizaciones

Hacer análisis de brecha 7.3

Hacer valoración del riesgo

Redactar la política de seguridad de inform.

Establecer la declaración de aplicabilidad

Controles apropiados

Declaración de aplicabilidad

Figura 7.1 Proceso para la fase de planificación
PR/mo/item ID Date

ISO 27001

178

Análisis del negocio
Recolectar información para establecer el SGSI Definir el alcance y los límites del SGSI Interfaces y dependencias Definir la política del SGSI Planificación de las estructuras organizacionales Compromiso de la dirección Identificación del enfoque global a la seguridad de la información

PR/mo/item ID Date

ISO 27001

179

Estructura organizacional

Dirección • Elaborar una carta de designación • Respaldar Comité de seguridad de la información • Ajustar • Respaldar

Miembros con roles exclusivos, Consultores permanentes
Asesorar

Equipo de planificación de seguridad de la información

Depto. de sistemas

Depto. de Recursos Humanos

Depto. Administrativo

Depto. Contabilidad PR/mo/item ID Date

Depto. auditoría

Depto. gestión edificio e instalaciones

ISO 27001

180

Análisis de brecha
Identificación del nivel de actividades y controles de seguridad existentes Basado en ISO/IEC 27001 para procesos del sistema de gestión ISO/IEC 27002 para controles de Seguridad de la Información Determinación de los grados de implementación Entrevistas, discusiones, cuestionarios, recorridos Hablar a diferentes niveles de personal en la organización
PR/mo/item ID Date

ISO 27001

181

Valoración del riesgo
Son pre-condiciones necesarias el establecimiento del contexto del negocio y la realización de un análisis de brecha La ISO/IEC 27005 explica más acerca de cómo hacer una valoración del riesgo ¿A quién involucrar? Alta dirección Gerencias Dueños del proceso y Usuarios “normales”
PR/mo/item ID Date

ISO 27001

182

Política de Seguridad de la Información
Desarrollo de una Política de Seguridad de la Información Con base en los resultados previos El contenido como se describe en la ISO/IEC 27002 El alcance de la Política de Seguridad de la Información podría ser el mismo que para el SGSI, o más grande Tamaño recomendado: 2-4 páginas Se debería hacer referencia a documentación más detallada Ona forma: hipervínculos
PR/mo/item ID Date

ISO 27001

183

Declaración de aplicabilidad
La declaración de aplicabilidad incluye Todos los controles seleccionados (con referencia al Anexo A de la ISO/IEC 27001) y las razones para su selección Todos los controles existentes (se recomienda también relacionarlos con los riesgos identificados) Todos los controles del Anexo A de la ISO/IEC 27001 que no han sido seleccionados y una justificación para no seleccionarlos Se pueden incluir controles de otras fuentes (se recomienda también relacionarlos con los riesgos identificados)
PR/mo/item ID Date

ISO 27001

184

Fase HACER
La fase Hacer tiene varios pasos que se deberían seguir para la implementación de este proceso. Cada paso brinda entradas al paso siguiente, en un flujo lógico. Este procedimiento paso a paso se ejemplifica en esta sección mediante diagramas de flujo. Cada paso se describe de manera que una organización que no esté familiarizada con seguridad de la información y/o normas de gestión de la ISO pueda entender lo que se pretende.

Área de navegación

Política de SGSI

Normas y proced. de seguridad de la información 8.2

Implementac. Controles de SGSI

Declaración de aplicabilidad

Implementac. de programas de formación y concientización

Gestión de recursos para el SGSI 8.5

8.4

SGSI en operación

Controles apropiados

PR/mo/item ID Date

ISO 27001

185

ISO/IEC 27004
Alcance Brindar orientación sobre el desarrollo y uso de medidas para evaluar la eficacia de sus procesos, objetivos de control y controles de SGSI, como se especifica en la ISO/IEC 27001 Introducción en la que se explican las partes principales del programa de medición Visión general de la gestión para facilitar su comprensión, especialmente para las pymes

PR/mo/item ID Date

ISO 27001

186

Programa de medición
Autoridad para el programa de SGSI

Establecimiento del programa de GSI Objetivos y modelo de medición (numeral 5) Responsabilidades de gestión (numeral 6) Recursos, formación, toma de conciencia y competencia Medidas y desarrollo de mediciones (numeral 7)

Planificar

[4.2.2.e]

Hacer

Implementar modificaciones (numeral 10.4)

Implementación del programa de GSI Programación de mediciones evaluación y selección del personal de medición dirección de las actividades de medición mantenimiento de registros [4.2.3]

Actividades de medición Operación de medición (numeral 8) análisis y reporte de mediciones (numeral 9)

Actuar

Basado en las decisiones y acciones de los resultados de la revisión por la dirección (7.3)

Monitoreo y revisión del programa de GSI (numeral 10) Monitoreo y revisión Identificar necesidades de acciones correctivas y preventivas Identificar oportunidades de mejora

Verificar

PR/mo/item ID Date

ISO 27001

187

Modelo de medición
Medidas básicas Resultan de aplicar métodos de medición a atributos de objetos de medición Medidas derivadas Se definen mediante la aplicación de la función de medición a una o más medidas de bases Indicadores Se obtienen mediante la aplicación de un modelo analítico a las medidas derivadas Resultados de las mediciones Se evalúan mediante la interpretación de indicadores aplicables con base en criterios de definición definidos
PR/mo/item ID Date

ISO 27001

188

Medidas básicas
Objeto de la medición: bases de datos de empleados Atributo: registros de los empleados Método de medición: Búsqueda en la base de datos, para extraer el número de empleados de la base de datos de seguimiento a la concientización y formación en seguridad Medida básica: Número de empleados que recibieron concientización y formación en seguridad

PR/mo/item ID Date

ISO 27001

189

Medida derivada
Medida básica: Número de empleados que recibieron concientización y formación en seguridad, y que firmaron acuerdos de usuario Función de medición: Se divide el número de empleados que recibieron formación y concientización en seguridad y que firmaron acuerdos de usuario, por el número de empleados que firmaron acuerdos de usuario, y se multiplica por el 100% Medida derivada: Porcentaje de empleados que recibieron concientización y formación en seguridad y que firmaron acuerdos de usuario

PR/mo/item ID Date

ISO 27001

190

Indicadores
Medida derivada: Porcentaje de empleados que recibieron concientización y formación en seguridad y que firmaron acuerdos de usuario. Modelo analítico: se definen los niveles porcentuales a los cuales el indicador toma un color ROJO, AMARILLO, VERDE Ejemplo: 95% o más - VERDE 90% o más – AMARILLO Menos de 90 % - ROJO
PR/mo/item ID Date

ISO 27001

191

Resultados de la medición
Indicadores: Verde, Amarillo o Rojo, dependiendo de los resultados de la medida derivada Criterios de decisión: Describe el límite para emprender acciones – dependiendo de la medida usada, esto puede variar Resultado de la medición: La situación no requiere cambios La situación se debería considerar para revisión La situación debería mejorar

PR/mo/item ID Date

ISO 27001

192

Desarrollo de medidas
Identificar una necesidad de información Identificación del objeto de medición Desarrollo de la medición Método y función de la medición Selección y validación de atributos Modelo analítico Indicadores y formatos de reporte Criterios de decisión Validación de la medición Recolección, análisis y reporte de datos Documentación
PR/mo/item ID Date

ISO 27001

193

Ejemplo: Calidad de las contraseñas (1)
Control 11.3.1 “Se espera que los usuarios seleccionen contraseñas adecuadas” Propósito: Evaluar la calidad de las contraseñas seleccionadas por los usuarios Objeto y atributo de la medición: Cuentas de los empleados y contraseñas individuales

PR/mo/item ID Date

ISO 27001

194

Ejemplo: Calidad de of Passwords as (1) Example: Quality las contraseñ (1)
Medidas básicas: Número de contraseñas descifrables Número total de registros de cuentas de empleados Tiempo que toma “romper” la contraseña Métodos de medición: Correr herramientas de desciframiento de contraseñas Hacer la búsqueda en los registros de cuentas de los empleados Medir el tiempo que toma descifrar la contraseña
PR/mo/item ID Date

ISO 27001

195

Ejemplo: Calidad de contraseñas (4) – Indicadores
Descripción y muestra de indicadores (como en la 27004): Línea de tendencias que describe la descifrabilidad de las contraseñas para todos los registros ensayados, con líneas superpuestas producidas durante ensayos anteriores Mi sugerencia: 1% o menos – VERDE 10% o menos – AMARILLO Más del 10% - ROJO

PR/mo/item ID Date

ISO 27001

196

Ejemplo: Calidad de las contraseñas (4) – Criterios de decisión y acciones
Acciones por tomar si se descifra alguna contraseña; esta medición necesita hacerse de nuevo en 30 días VERDE: contactar a los individuos e incrementar la concientización AMARILLO: Instalar un juego de computador que despierte la conciencia y enfatice la importancia, y asegurar que lo jueguen ROJO: Iniciar la formación de concientización para todos los empleados

PR/mo/item ID Date

ISO 27001

197

Ejemplo Hoja de medición (1)
Métrica: Alcance de la métrica: Totalidad y corrección del inventario de activos Esta métrica brinda una medida de lo correcto, completo y actualizado que está el registro de activos. La métrica se aplica en toda la organización. El objetivo de esta métrica es asegurar la gestión correcta de un inventario de activos. La medición funciona acumulando un punto menos para cada uno de los activos que se han encontrado y que no están en el registro de activos, o activos que siguen estando en el registro aunque ya hayan salido de la organización. El valor ideal es 100, y para cada activo que no está o que está incorrectamente en el inventario, se resta 1 del valor ideal. La misma medición se aplica para la corrección de la entrada, y se resta 1 punto del valor ideal, por cualquier entrada incorrecta encontrada.

Propósito y objetivos: Método de medición:

PR/mo/item ID Date

ISO 27001

198

Ejemplo Hoja de medición (2)
Frecuencia de la medición: Procedimientos para las fuentes de datos y recolección de datos: Esta medición se realiza una vez cada tres meses – una frecuencia menor sería muy dispendiosa, y está a tiempo para el informe trimestral que se presenta a la organización principal. Completos y actualizados hasta la fecha: El inventario de activos corrientes se examina, se examinan de nuevo todos los otros inventarios, es decir, los de hardware y de software. Verificaciones puntuales; se selecciona una división en cada verificación y se examina cuidadosamente si hay activos en esa división que no están en el inventario. Se verifican los protocolos desde el punto de entrega, para asegurar que los activos que entran al sitio han sido incluidos en el registro de activos. Los protocolos de los activos que salen del sitio se cotejan contra el registro de activos. Los protocolos de disposición de activos se cotejan contra el registro de activos.

PR/mo/item ID Date

ISO 27001

199

Ejemplo Hoja de medición (3)
Procedimientos para las fuentes de datos y recolección de datos: Fuente de datos para determinar que las entradas son correctas: Se verifica que los activos bajo revisión tengan un dueño asignado a ellos, y que sea el dueño correcto de ese activo. Se verifica que la ubicación y descripción del activo estén incluidos correctamente en el inventario de activos. Los valores de los activos en el inventario de activos (expresando el daño a un negocio por una pérdida de confidencialidad, integridad y/o disponibilidad) se discuten con el dueño del activo para verificar que son correctos. Se pregunta a los dueños de los activos acerca del procedimiento para actualizar las entradas de sus activos en el inventario de activos, y se verifican los registros de las últimas actualizaciones.

PR/mo/item ID Date

ISO 27001

200

Ejemplo Hoja de medición (4)
Indicadores: Indicador de metas: los resultados de las mediciones indican los siguientes grados de cumplimiento de la meta de lograr un registro de activos completo, correcto y actualizado: 100 – 98: bueno – significa que el registro de activos es correcto, con 2 desviaciones máximo. 97 – 93: aceptable – significa que se deberían hacer algunas mejoras en el futuro; la acción de seguimiento exacta depende de las causas de los errores. Menos de 93: no es aceptable – es necesario corregir el registro de activos y se deberían tomar acciones preventivas para evitar que este mal resultado ocurra nuevamente. Indicador de impacto: Se deberían examinar los activos cuya entrada no se encuentre en el inventario de activos o sea incorrecta; si al menos uno de los valores de los activos (incorrectos) es “alto”, esto indica que se debería examinar más a fondo. En todos los otros casos son suficientes las metas de desempeño normales y no se necesitan otros indicadores de impacto.

PR/mo/item ID Date

ISO 27001

201

Guía ISO 27001

PR/mo/item ID Date

ISO 27001

202

Normas específicas para sectores
203 ISO 27001 203

PR/mo/item ID Date

Telecomunicaciones
El grupo de normas UIT-T, Cuestión 7/17, desarrolló la norma X.1051 “Information security management guidelines for telecommunications based on ISO/IEC 27002” El objetivo es apoyar la implementación de la ISO/IEC 27002 en el sector de las telecomunicaciones

PR/mo/item ID Date

ISO 27001

204

Telecomunicaciones
La norma contiene: Una visión general que presenta la estructura dentro de la que opera Versiones ampliadas de los controles de la ISO/IEC 27002 para el tema de las telecomunicaciones Esta norma ha sido adoptada por el SC 27 como ISO/IEC 27011 (en proceso de publicación)
PR/mo/item ID Date

ISO 27001

205

Salud
El comité TC 215 de normas sobre salud está desarrollando una norma que está basada en la ISO/IEC 27001 y la ISO/IEC 27002 (en etapa DIS) “Health informatics -- Security management in health using ISO/IEC 27002” Contiene una mezcla de requisitos y directrices de ambas normas del SGSI

PR/mo/item ID Date

ISO 27001

206

Desarrollos en el SC 27
SC 27/WG 1 (el que desarrolla la serie 27000) ha trabajado normas de SGSI para sectores específicos, para Gobierno de TI Infraestructuras críticas Sector financiero ….

PR/mo/item ID Date

ISO 27001

207

¿Por qué manejar los incidentes?
No importa qué tan bueno sea el SGSI – se presentan errores… No importa lo perfectos que sean los controles – nuevas amenazas o tecnologías podrían llegar antes de usted pueda reaccionar No hay 100% de seguridad

¡Siempre ocurrirán incidentes!

PR/mo/item ID Date

ISO 27001

208

¿Por qué manejar los incidentes?
Por tanto, una organización necesita contar con un proceso implementado para: Detección y reporte de incidentes Valorar el incidente y reaccionar de acuerdo con esto Identificar qué salió mal y por qué ocurrió el incidente Limitar el daño Implementar controles para mejorar o prevenir

PR/mo/item ID Date

ISO 27001

209

Ejemplo de incidente – Negación de servicio
Ataque distribuido de negación de servicio Gusano similar al Código Rojo Alrededor de 40.000 servidores en Asia fueron desconectados Se utilizó la vulnerabilidad al “MS SQL server” Se conocía la vulnerabilidad y había un parche disponible No se instalaron los parches Las descargas e instalaciones anti-pánico causaron incluso más problemas en la red
PR/mo/item ID Date

ISO 27001

210

Concientización
Información técnica acerca de incidentes CERT FIRST Microsoft Varias organizaciones de software de seguridad Información orientada a los técnicos y a la dirección NIST SANS Encuestas DTI sobre Violaciones a la Seguridad de la Información PR/mo/item ID ISO 27001
Date

211

ISO/IEC 18044
Manejo de incidentes de seguridad de la Información Apoya los controles para manejo de incidentes, de la ISO/IEC 17799 ISO/IEC 18048 Incluye plantillas y más asesoría técnica sobre cómo implementar programas de manejo de incidentes Publicada desde el año 2005

PR/mo/item ID Date

ISO 27001

212

Proceso de gestión de incidentes

Existe un proceso para la gestión de incidentes de seguridad de la información Se ajusta bien al modelo PHVA descrito en la ISO/IEC 27001

Planificar y Preparar

Mejorar el proceso

Usar la gestión de incidentes

revisar los incidentes

PR/mo/item ID Date

ISO 27001

213

Planificar y preparar (1)
Obtener el compromiso de la alta dirección y cualquier otra parte interesada importante Desarrollar una política de gestión de incidentes Desarrollar un programa de gestión de incidentes para apoyar la política, que incluya: Herramientas de detección y formatos de reporte Procedimientos para evaluar incidentes y tomar decisiones Procedimientos para responder a incidentes Detalles de una escala de severidad de los incidentes
PR/mo/item ID Date

ISO 27001

214

Planificar y preparar (2)
Actualizar todos los otros documentos (políticas, procedimientos) que deberían hacer referencia a la política de gestión de incidentes Establecer una estructura organizacional para apoyar la gestión de incidentes, por ejemplo: Equipo de Respuesta a Incidentes de Seguridad de la Información (ERISI) Todos los roles y responsabilidades necesarios Puntos de contacto en caso de un incidente Implementar para todos formación en concientización Poner a prueba el programa de gestión de incidentes
PR/mo/item ID Date

ISO 27001

215

Usar la gestión de incidentes (1)
Detectar y reportar cualquier ocurrencia de eventos de seguridad de la información Recolectar toda la información pertinente acerca de eventos de seguridad de la información Evaluar si el evento es realmente un incidente Responder a todos los incidentes lo más rápido posible y limitar el daño, si es posible, por ejemplo, Reiniciar sistemas Iniciar reparaciones o actualizaciones Instalar respaldos Comenzar procedimientos de recuperación de desastres

PR/mo/item ID Date

ISO 27001

216

Utilizar la gestión de incidentes (2)
Si no es posible responder exitosamente a un incidente, iniciar actividades de crisis (tales como un plan de continuidad del negocio) Comunicar el incidente y cualquier detalle necesario a las personas y organizaciones pertinentes Incluir a las autoridades externas, si es necesario Recolectar toda la información importante para realizar los análisis Generar registros de todas las actividades Cerrar el incidente
PR/mo/item ID Date

ISO 27001

217

Revisar los incidentes
Realizar análisis forenses si se necesita más información Identificar las lecciones aprendidas de los incidentes Identificar acciones de mejora Identificar cualquier mejora necesaria para el programa de gestión de incidentes, por ejemplo, para: Procedimientos o procesos Formas de respuesta a eventos o incidentes Estructuras organizacionales
PR/mo/item ID Date

ISO 27001

218

Mejorar el proceso
Revisar la política y el programa de gestión de incidentes con base en Re-valoraciones de los riesgos Revisiones por la dirección o auditorías internas Cualquier otra revisión que muestre necesidad de mejoras Hacer todas las mejoras identificadas Asegurar que las mejoras logran sus objetivos Importante: ¡los procesos de gestión de incidentes son iterativos!
PR/mo/item ID Date

ISO 27001

219

Implementación del ERISI (1)
El tamaño y la estructura dependen de la organización Equipo virtual o real Con o sin participación directa de la alta dirección Un conjunto típico de miembros son Operaciones comerciales TI/Telecomunicaciones Seguridad de la Información Recursos humanos Auditoría
PR/mo/item ID Date

ISO 27001

220

Implementación del ERISI (2)
Asegurar que los puntos de contacto y los miembros del equipo estén disponibles cuando sea necesario El ERISI debería tener: La autoridad para tomar decisiones sobre cómo hacer frente a los incidentes Línea de reporte directa con la dirección El conjunto de habilidades y conocimientos requeridos Procedimientos implementados para asignar tareas a los miembros más competentes del equipo
PR/mo/item ID Date

ISO 27001

221

Beneficios de la gestión de seguridad de la información
Mejoras a la Seguridad de la Información Reducción de daño por incidentes Reducción de recurrencia de los incidentes Recolección de evidencia Contribución a toma de decisiones posteriores, por ejemplo, sobre prioridades o presupuestos Mejoras a los resultados de la valoración del riesgo Obtención de material realista para formacion en concientización
PR/mo/item ID Date

ISO 27001

222

Aspectos claves de éxito (1)
El compromiso de la dirección con la gestión de incidentes (como parte del compromiso general de la organización con el SGSI) Concientización de todos en la organización Cómo reportar eventos A quién contactar en caso de eventos Por qué es importante reportar Beneficios de reportar los eventos

PR/mo/item ID Date

ISO 27001

223

Aspectos claves de éxito (2)
Cumplimiento de todos los requisitos legales, reglamentarios y contractuales Identificación de toda la legislación pertinente Protección de datos y aspectos sobre privacidad Monitoreo legalmente correcto Cumplimiento de requisitos contractuales Contacto con los organismos que velan por el cumplimiento de la ley Abordar adecuadamente los temas de responsabilidad Mantenimiento de registros organizacionales Hacer acuerdos de confidencialidad ejecutables
PR/mo/item ID Date

ISO 27001

224

Aspectos claves de éxito (3)
El anonimato, por ejemplo, en relación con la información que se aporta para el proceso de gestión de incidentes Confidencialidad de cualquier información delicada involucrada en el proceso de gestión de incidentes Respuesta oportuna que mantiene informadas a las personas Operación creíble y fidedigna

PR/mo/item ID Date

ISO 27001

225

¡Gracias por su atención !

http://www.iso.org
PR/mo/item ID Date

ISO 27001

226

Sign up to vote on this title
UsefulNot useful