Facultad de Ingeniera

Industrial y de Sistemas

SEGURIDAD DE LA
INFORMACION

Norma ISO 27001

Ysabel Rojas Sols
 Agenda

Introduccion
Sistema de Gestion de Seguridad
de la Informacion
Introduction to ISO 27001-2:2005
Tareas a Realizar
Experiencia Europea de Exito
Conclusiones

2
 Porqu hablar de la Seguridad de
la Informacin?

Porque el negocio se sustenta a partir

de la informacin que maneja.....
 La informacin puede estar :

Impreso o escrito en papel.

Almacenado electrnicamente.
Enviado por correo ordinario o por e-mail.
Videos corporativos.
Verbal - en conversaciones

cualquier tipo de informacin,

o significado que se encuentre
medido o almacenado, deber
encontrarse siempre protegido.
(ISO/IEC 27001: 2005)
La informacion puede ser :

Creada
Guardada

Destruida
Procesada

Transmitida
Usada (Para propositos correctos &
impropios)
Corrompida

Perdida
Robada
5
 Dominios de la Informacin
La informacin debe cumplir 3 principios

Haga clic para modificar el estilo de texto del

Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
 Porqu hablar de la Seguridad de
la Informacin?
Porque no slo es un tema Tecnolgico.

Porque se requiere de Polticas de

Seguridad de la Informacin formalmente
aceptadas y conocidas por todos.
 Porqu hablar de la Seguridad de
la Informacin?
Porque la seguridad tiene un costo, pero la
INSEGURIDAD es mucho
mas costosa

Ninguna medicina es til a menos que el

paciente la tome

Entonces, por donde empezar?........

Problema / Necesidad
Problema / Necesidad
Problema / Necesidad
Problema / Necesidad
Problema / Necesidad
COMO SUPERAR
ESTOS
PROBLEMAS?

14
Solucin
 Que es la Seguridad de la
Informacin
Haga clic para modificar el estilo de texto del p
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Seguridad de la Informacin
Seguridad de la Informacin
 Seguridad de la Informacin

La seguridad no es algo que se compra es

algo que se hace.
 Seguridad de informacion

La arquitectura donde se integran y combinan

aplicaciones, sistemas y soluciones, software,
alarmas, y las exploraciones de vulnerabilidad a
fin de trabajar juntos y monitoreo 24 x 7

Exige tener gente, Procesos, Tecnologia,

politicas, procedimientos,

La seguridad es integral (PPT) y no solo para

dispositivos y equipos

20
5/02/13
 ed
us ion
gy t
lo isa 21
no an
ch rg
Te O
by
ss
ne es
si ss
Bu oce
f Pr
af
St
on
ti
za
TECHNOLOGY
PROCESSES

i
an
PEOPLE

rg
O

5/02/13
 Activo de Informacion

Haga clic para modificar el estilo de texto del

Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
 Que es una Amenaza

Haga clic para modificar el estilo de texto del

Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Que es una Amenaza
 Que es una Vulnerabilidad

Haga clic para modificar el estilo de texto del

Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
 Reconocer las Vulnerabilidades

Vulnerabilidad: una debilidad que

facilita la materializacin de una
amenaza
Ejemplos:
Inexistencia de procedimientos de
trabajo
Concentracin de funciones en una
sola persona
Infraestructura insuficiente
 Clasificacin de Vulnerabilidades
Haga clic para modificar el estilo de texto del patr
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
 Que es un Impacto

Haga clic para modificar el estilo de texto del

Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
 Que es Riesgo
Haga clic para modificar el estilo de texto del
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
 Matriz de Riesgo

Haga clic para modificar el estilo de texto del

Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
La Gestion del Riesgo
La Gestin del Riesgo
Sistema de Gestin de Seguridad de
Informacion SGSI
Sistema de Gestin de Seguridad de
Informacion SGSI
Sistema de Gestin de Seguridad de
Informacion SGSI
Objetivos Generales del SGI
SGSI Requerimientos Generales
Requerimientos de documentacion
General
Implantacin SGSI
 Sistema de gestin de seguridad
de la informacin

Haga clic para modificar el estilo de texto del p

Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
Alcance del SGI
Haga clic para modificar el estilo de texto del patr
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
 PorquImplementarunSGSI?

Los procesos y servicios de la Institucin

que soporta los

Confidencialidad Integridad Disponibilidad

Seguridad vela por

de la Informacin
 Implementacin del SGSI

Haga clic para modificar el estilo de texto del patr

Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
 Etapas del SGSI
Haga clic para modificar el estilo de texto del patr
Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
 Beneficios del SGI

1. A nivel organizativo Compromiso

2. En el plano jurdico Cumplimiento
3. A nivel operativo - Gestin del riesgo
4. En el plano comercial - Credibilidad y
confianza
5. A nivel financiero - Reduccin de costes
6. A nivel humano - Mejora de la
concienciacin de los empleados

47
 Por el contrario las brechas de
seguridad llevan a :
Reputacin prdida
Perdida financieros
Prdida de propiedad intelectual
Las infracciones legislativas que conduzcan a

acciones legales (Cyber Law)
La prdida de la confianza de los clientes
Costos de interrupcin de negocios

Perdida de Buena Voluntad

48
5/02/13
 Historia de la Norma ISO 27001

Haga clic para modificar el estilo de texto del patr

Segundo nivel
Tercer nivel
Cuarto nivel
Quinto nivel
 Objetivos de ISO 27001
Polticas de Seguridad
Organizacin de Seguridad
Gestin de Activos
Integridad

Seguridad de los Recursos

Humanos
Cumplimiento de Polticas y
Normatividad Legal
Informacin

confidencialidad Disponibilidad
La ISO 27001
Contenido de la ISO 27001
ISO 27001 : Estructura
ISO 27001 : Estructura
Ciclo PHVA o PDCA
 Beneficios de la Norma
ISO 27001
1. Establecimiento de una metodologa de gestin de la seguridad de la
informacin clara y bien estructurada.

2. Reduccin de riesgos de prdida, robo o corrupcin de la informacin.

Los usuarios tienen acceso a la informacin de manera segura, lo que se
traduce en confianza.

3. Los riesgos y sus respectivos controles son revisados constantemente.

4. Las auditorias externas e internas permiten identificar posibles debilidades del

sistema.

5. Continuidad en las operaciones del negocio tras incidentes de gravedad.

6. Garantizar el cumplimiento de las leyes y regulaciones establecidas en

materia de gestin de informacin.

7. Incrementa el nivel de concientizacin del personal con respecto a los tpicos

de seguridad informtica.

8. Proporciona confianza y reglas claras al personal de la empresa.

ISO 27002
ISO 27002: Estructura
ISO 27002 : Estructura
Tareas a realizar
Tareas a realizar
Tareas a realizar
 Etapa: Sistemas Informticos
Infraestructura
Certificar Servidores
en Comunicaciones
ISO/IEC Aplicaciones
Bases de Datos
27001
 Las Herramientas y los servicios
Experiencia Europea
Les guides
La mthode et ses bases de connaissances (5 sections), ses meilleures
pratiques expliquant comment utiliser EBIOS selon le contexte
Des plaquettes et un mmento synthtiques
Le logiciel libre
Gratuit, disponible sur demande ou en tlchargement
Plus de 2000 cdroms envoys dans 50 pays
Les traductions
Lensemble du rfrentiel est disponible gratuitement en franais, en
anglais, en allemand et en espagnol
Les comptences
Les formations au CFSSI pour les agents de ladministration (formation de 2
jours, formation de formateurs de 5 jours, formations ad-hoc)
La formation en ligne sur la gestion des risques (en cours)
La labellisation de personnes (en cours dlaboration)
Le Club EBIOS
75 experts du secteur public et du secteur priv, franais et trangers
Compatibilidad con otros
Sistemas de Gestion
 Conclusiones

La Informacin es uno de los activos mas

valiosos de la organizacin
Las Polticas de seguridad permiten disminuir
los riesgos
Las polticas de seguridad no abordan slo
aspectos tecnolgicos
El compromiso e involucramiento de todos es
la premisa bsica para que sea real.
La seguridad es una inversin y no un gasto.
No existe nada 100% seguro
Exige evaluacin permanente.
 Conclusiones

Seguridad de la Informacin es "problema de

organizacin en lugar de "problema"

Ms del 70% de las amenazas son internas

Ms de 60% son culpables los estafadores por Primera

Vez

El mayor riesgo: personas

Principal activo: las personas

Ingeniera Social es una gran amenaza

Ms de 2/3 expresa su incapacidad para determinar "si

mis sistemas estn actualmente en peligro?"
69
5/02/13
 CREANDO CONCIENCIA

La informacin de las compaas deben mantener la

confiabilidad, integridad y disponibilidad de la misma,
que son factores importantes para asegurar el xito
del negocio y asegurar que las necesidades de sus
clientes y socios sean cumplidas a satisfaccin.

Tanto la implementacin como el cumplimiento de las

normas es el trabajo de cada empleado de la
empresa y sern efectivas, si todas las personas
involucradas se encuentran instruidas en temas
relacionados con Seguridad de la Informacin y
utilizan este conocimiento para actuar con seguridad
y siendo responsables y consistentes con sus
acciones.
 Usuarios con Robo, Ataque de virus
conocimento Sabotage,
especializado IT mal uso
Systems

Sistemas & Falta de Lapso en Calamidades

Redes con Documentacion seguridad Naturales&
falla Fisica Fuego

71
 La clave es encontrar el justo equilibrio de
acuerdo al giro de cada negocio que permita
mantener controlado el RIESGO.
 PDCA Process SGSI

SGSI PROCESS
Interested Interested
Parties Parties
Management Responsibility

PLAN
Establish
SGSI

DO ACT
Implement &
Maintain &
Operate the
Improve
SGSI

Information
Security Managed
Requirements CHECK Information
Monitor &
& Security
Review SGSI
Expectations

Mohan Kamat
73
5/02/13
 Quien es el centro ?

SEC RITY
U
U-R
Mohan Kamat
74
5/02/13
 CULTURA de la seguridad ,
responsabilidad de TODOS

ACTITUD proactiva,
Investigacin permanente
 Esfuerzos integrados del personal es siempre mejor que un
Firewall

. . . Debemos construir un Muro humano junto con el firewall

76
Muchas Gracias!!