IMPLANTACIN DEL ISO 27001:2005

SISTEMA DE GESTIN DE
SEGURIDAD DE INFORMACIN
Alberto G. Alexander, Ph.D, CBCP
Auditor Sistemas de Gestin de Seguridad de Informacin
Certificado IRCA (International Registered of Certified Auditors)

E-mail: aalexan@pucp.edu.pe
www.centrum.pucp.edu.pe/excelncia
Su base de datos est protegida
de manos criminales?

Los activos de su empresa

han sido inventariados y
tasados?

2
 Un reciente reporte del House Banking Committee de
Estados Unidos, muestra que el sector financiero perdi 2.4
INFORMACIN billones de dlares por ataques computarizados en 1998
EN LA
EMPRESA
ms del triple que en 1996. No es sorprendente,
considerando que por da se transfieren electrnicamente 2
trillones de dlares, mucho de lo cual pasa a travs de
lneas que segn el FBI no son muy seguras. (Fortune 500,
2003).
Casi el 80% de los valores intelectuales de las
corporaciones son electrnicos, de acuerdo a la Cmara de
Comercio estadounidense, y un competidor puede subir
hasta las nubes si roba secretos comerciales y listas de
clientes. (Sloan Review, 2003).
Los hackers son expertos en ingeniera social consiguiendo
personas de dentro de las compaas para sacarles
contraseas y claves de invitados. Si te levantas a la
secretaria ganaste, dice Dill Dog. (Famoso hacker).

3
 El fraude celular no escapa a ninguna compaa telefnica
en el mundo. Telcel y Movilnet en el caso de Venezuela
INFORMACIN afirman que en el ao 1997 las prdidas por concepto de
EN LA
EMPRESA
clonacin se ubicaaron en 1,800 millones de dlares, lo que
los ha impulsado a mejorar su sistema de gestin de
seguridad de informacin.

La clonacin ocurre cuando los clonadores capturan la

transmisin de los nmeros de identificacin (ESN: nmero
asignado), bien sea rastreando los datos o sobornando a un
empleado de la operadora y la copian en otros equipos no
autorizados.

(Cielorojo/computacin 19/01/04).

4
 La informacin en la empresa es uno de los ms
importantes activos que se poseen.
INFORMACIN
EN LA Las organizaciones tienen que desarrollar mecanismos que
EMPRESA les permitan asegurar la disponibilidad, integridad y
confidencialidad en el manejo de la informacin.
La informacin est sujeta a muchas amenazas, tanto de
ndole interna como externa.

5
 El nuevo estndar internacional, el ISO 27001:2005, est
ISO 27001:2005
orientado a establecer un sistema gerencial que permita
SISTEMA DE
GESTIN DE minimizar el riesgo y proteger la informacin en las
SEGURIDAD DE empresas, de amenazas externas o internas.
INFORMACIN

Grupo de trabajo de la industria se establece

en 1993
HISTORIA
DEL Cdigo de prctica - 1993
ESTNDAR British standard - 1995
BS 7799 BS 7799 parte 2 - 1998
E BS 7799 parte 1 - 1998
ISO 17799 BS 7799 parte 1 y parte 2 revisada en 1999
BS / ISO / IEC 17799 - 2000

6
ISO 27001:2005-
SISTEMA DE ISO / IEC 17799 : 2005
GESTIN DE Cdigo de prctica de seguridad en la gestin de la
SEGURIDAD DE informacin Basado en BS 7799 1 : 2000.
INFORMACIN
.Recomendaciones para buenas prcticas
No puede ser utilizado para certificacin

ISO 27001:2005
Especificacin para la gestin del sistema de seguridad
de informacin
.Es utilizado para la certificacin

7
INFORMACIN
La informacin es un activo, que tal
como otros importantes activos del
negocio, tiene valor para una
empresa y consecuentemente
requiere ser protegida
adecuadamente.

ISO 17799:2005

8
 Seguridad de informacin es mucho ms que establecer
firewalls, aplicar parches para corregir nuevas
vulnerabilidades en el sistema de software, o guardar en la
QU ES bveda los backups.
SEGURIDAD DE
INFORMACIN? Seguridad de informacin es determinar qu requiere ser
protegido y por qu, de qu debe ser protegido y cmo
protegerlo.

La seguridad de informacin se caracteriza por la preservacin

de:

a) CONFIDENCIALIDAD : La informacin est protegida

de personas no autorizadas.

b) INTEGRIDAD : La informacin est como se pretende,

sin modificaciones inapropiadas.

c) DISPONIBILIDAD : Los usuarios tienen acceso a la

informacin y a los activos asociados cuando lo requieran.

9
NATURALEZA Y DINMICA DEL
ISO 27001:2005

SISTEMA DE GESTIN DE
SEGURIDAD DE INFORMACIN

10
 PLAN
ESTABLECER
PARTES
EL SGSI 4.2 PARTES
INTERESADAS
INTERESADAS
MODELO PDCA
APLICADO A REQUERI- IMPLEMENTAR Desarrollar, MANTENER Y
SEGURIDAD
LOS PROCESOS MIENTOS Y Y OPERAR EL mantener MEJORAR
DE
EXPECTATI- EL SGSI 4.2.2 y mejorar EL SGSI 4.2.4
DEL SISTEMA VAS DE LA
INFORMA-
DO el ciclo ACT CIN
DE GESTIN DE SEGURIDAD
SEGURIDAD DE MONITOREAR MANEJADA
DE INFOR-
INFORMACIN MACIN Y REVISAR
EL SGSI 4.2.3
SGSI
CHECK

4.3 Requerimientos de documentacin

4.3.2 Control de documentos
4.3.3 Control de registros
5.0 Responsabilidad de la gerencia
5.1 Compromiso de la gerencia
5.2 Gestin de recursos
5.2.1 Provisin de recursos
5.2.2 Capacitacin, conocimiento y capacidad
6.0 Revisin gerencial
6.4 Auditorias internas
7.0 Mejoramiento del SGSI
7.1 Mejoramiento continuo
7.2 Accin correctiva
7.3 Accin preventiva

11
HOJA DE RUTA
PARA CUMPLIR
CON EL ACTIVIDADES
CLUSULAS
ISO 27001:2005 ORGANIZACIONALES
Establecer el SGSI a) Definir el alcance del SGSI
(Seccin 4.2.1) b) Definir un sistemtico enfoque para evaluacin
del riesgo
c) Identificar el riesgo
d) Evaluar el riesgo
e) Definir poltica SGSI
f) Identificar y evaluar opciones para el tratamien-
to del riesgo
g) Seleccionar objetivos de control y controles
h) Preparar un enunciado de aplicabilidad
i) Obtener aprobacin de la gerencia

12
HOJA DE RUTA
PARA CUMPLIR
CON EL ACTIVIDADES
CLUSULAS
BS 7799-2:2002 ORGANIZACIONALES
Implementar y operar a) Formular un plan para tratamiento del riesgo
el SGSI b) Implementar el plan de tratamiento del riesgo
(Seccin 4.2.2) c) Implementar todos los objetivos de control y
controles seleccionados
d) Implementar programa de entrenamiento y toma
de conciencia
e) Gestionar operaciones
f) Gestionar recursos

13
 ACTIVIDADES
CLUSULAS
HOJA DE RUTA
ORGANIZACIONALES
PARA CUMPLIR
Monitorear y revisar el a) Ejecutar procedimientos de monitoreo
CON EL SGSI b) Efectuar revisiones regulares de la eficacia del
ISO 27001:2005
(Seccin 4.2.3) SGSI
c) Revisar el nivel del riesgo residual y del riesgo
aceptable
d) Conducir las auditorias internas del SGSI
e) Registrar todos los eventos que tienen un efecto
en el desempeo del SGSI

Mantener y mejorar el a) Implementar las mejoras identificadas

SGSI b) Tomar apropiadas acciones correctivas y
(Seccin 4.2.4) preventivas
c) Comunicar los resultados a todas las partes
interesadas
d) Asegurar que las mejoras alcancen los objetivos
deseados

14
 Entendimiento de los
requerimientos del modelo
(1)

CICLO Obtencin de la certificacin Determinacin de

METODOL- internacional la brecha
GICO PARA LA (8) (2)
IMPLANTACIN
DEL MODELO
ISO 27001:2000
Ejecucin de auditorias Anlisis y evaluacin
internas del riesgo
(7) (3)

Redaccin del Manual de Elaboracin plan de gestin

Seguridad de Informacin de continuidad comercial
(6) (4)

Desarrollo de competencias
organizacionales
(5)

15
 Taller estratgico con la Definir alcance
METODOLOGA PASO I
gerencia para analizar del modelo
DETALLADA
Entendimiento requerimientos del
PARA
IMPLANTAR EL de los modelo ISO 27001:2005
SISTEMA DE requerimientos
GESTIN DE del modelo
SEGURIDAD DE
INFORMACIN
ISO 27001:2005
PASO II Informe a la
gerencia
Efectuar Gap Analysis
Determinacin
de la brecha
Determinar la brecha y
estimar presupuesto y
cronograma

16
 Evaluacin
PASO III del riesgo
Efectuar un anlisis y
Anlisis y evaluacin del riesgo
METODOLOGA
DETALLADA evaluacin del
Poltica
PARA riesgo
documentada
-Amenazas, Poltica de
IMPLANTAR EL
SISTEMA DE -Vulnerabilidades seguridad
-Impactos
GESTIN DE
SEGURIDAD DE
INFORMACIN PASO IV Plan de
ISO 27001:2005 continuidad
Elaboracin Plan de continuidad comercial
Plan de gestin comercial del negocio documentado
de continuidad
comercial Plan de trata-
Enfoque de la miento del riesgo
gerencia para Gerencia del riesgo
tratar el riesgo
Tabla de
Seleccionar controles y controles
Utilizacin de
objetivos de control a
Anexo A de la
norma implantar

17
 Enunciado de
aplicabilidad
Enunciado Elaborar un enunciado documentado
METODOLOGA de aplicabilidad de aplicabilidad
DETALLADA
PARA
IMPLANTAR EL
SISTEMA DE
GESTIN DE PASO V Entrenamiento en
SEGURIDAD DE documentacin de
INFORMACIN Desarrollo de procedimientos, instruc-
ISO 27001:2005 competencias ciones de trabajo Procedimiento
organizacionales para manejo de
Taller estratgico para la accin
manejo de la accin correctiva
correctiva y preventiva
Procedimiento de
Taller estratgico para auditoria interna
el manejo de la auditoria documentado
interna

18
 Manual de
METODOLOGA Seguridad de
PASO VI Elaboracin del manual Informacin
DETALLADA
PARA de seguridad de Documentado
Redaccin informacin
IMPLANTAR EL
del manual de
SISTEMA DE
GESTIN DE Seguridad de
SEGURIDAD DE Informacin
INFORMACIN Informe de la
ISO 27001:2005 PASO VII Efectuar auditoria auditoria
interna interna
Ejecucin de
Auditorias Internas

Entrega de
PASO VIII Auditoria de empresa
informe
certificadora
Obtencin de la
certificacin
internacional

19
 ENFOQUE DE DEFINIR UNA POLTICA
DEFINIR EL ALCANCE
LAS SEIS DE SEGURIDAD DE
DEL MODELO
FASES INFORMACIN
ESENCIALES
DEL PROCESO
DE
IMPLANTACIN
ISO 27001:2005 EFECTUAR UN ANLISIS DEFINIR OPCIONES DE
Y EVALUACIN DEL TRATAMIENTO DEL
RIESGO RIESGO

SELECCIONAR PREPARAR UN
CONTROLES A ENUNCIADO DE
IMPLANTAR APLICABILIDAD

20
CASO PRCTICO DE IMPLANTACIN
DEL ISO 27001:2005 EN UNA
ORGANIZACIN FINANCIERA

REA: AHORROS-CAPTACIONES

21
DEFINICIN DEL
ALCANCE DEL
MODELO EN EL
BANCO
En la seccin 4.2 (a) del estndar, se exige como
punto de partida para establecer el SGSI que la
empresa: defina el alcance del SGSI en trminos
de las caractersticas del negocio, la
organizacin, su ubicacin, activos y tecnologa.

22
 Una vez determinado el alcance del modelo en la
IDENTIFICA- empresa, se debe proceder a identificar los
CIN DE distintos activos de informacin, los cuales se
ACTIVOS DE convierten en el eje principal del modelo.
INFORMACIN
Es importante mencionar que, en el caso del
banco, se conform un grupo multidisciplinario,
compuesto por los dueos de los subprocesos
que conformaban el proceso escogido en el
alcance. Tambin en el grupo se incluy a los
clientes vitales y proveedores internos de
ahorros/captaciones. Posteriormente, una vez
identificados los activos de informacin, se
incluyeron en el grupo a los dueos de los
activos de informacin. Al grupo
multidisciplinario, se le denomin comit gestor.

23
 ANLISIS Y
A los activos de informacin se les debe efectuar
EVALUACIN un anlisis y evaluacin del riesgo, e identificar los
DEL RIESGO controles del anexo A del estndar que tendrn
que implementarse para mitigar el riesgo.

Es importante en este punto, clarificar qu es un

activo de informacin en el contexto del ISO
27001:2005. Segn el ISO 17799:2005 (Cdigo de
Prctica para la Gestin de Seguridad de
Informacin) un activo de informacin es: algo a
lo que una organizacin directamente le asigna un
valor y, por lo tanto, la organizacin debe
proteger.

24
 Los activos de informacin son clasificados por el
ANLISIS Y
EVALUACIN
ISO 17799:2005 en las siguientes categoras:
DEL RIESGO
-Activos de informacin (datos, manuales,
usuarios, etc.)
-Documentos de papel (contratos)
-Activos de software (aplicacin, software de
sistemas, etc.)
-Activos fsicos (computadoras, medios
magnticos, etc.)
-Personal (clientes, personal)
-Imagen de la compaa y reputacin
-Servicios (comunicaciones, etc.)

25
 Al establecer el alcance, en la organizacin
ALCANCE
DEL SGSI
financiera se determin que fuera el rea de
ahorros y captaciones.

Para dicho efecto, se utiliz el mtodo de las

elipses para determinar los activos de informacin.

26
 AHORROS CAPTACIONES

SBS Ministerio
BCR Pblico PER
IPLO
P Ahorros
ST s Tesor
Agencia e ra
Se
d. r
de Cre Clie vicio
.
Adm n te
Au
d.
I nt
.
Apertura
Aceptacin

Con
Nuevos Operaciones Pagos Emisiones
Clientes
Clientes

tab
.
-Atenc. Y Cons. -Definicin Pro. -Depsitos -Recepcin Doc. -Consultas
-Inscripcin -Requisitos -Retiros -Autrizacin -Reclamos
-Actualizacin -Condiciones -Transferencias -Entrega Efectivo -Emisin de Ext.
-Recepcin S/ $ -OT -Registro -Emisin de Cartas
-Genera Cta. -Bloq. Y Desbloq. -FSD (ctas. > 10 aos) -Lavado de Activos
-OP (Entrega y recep) -Anexos SBS
-Renovaciones
-Serv. Cobranzas
-Externos
-Habilitaciones

Cli Sistem AAS

en as
te .
s . Leg
Logstica ridad Ases
Crditos Segu
s
nte
REN
IE Clie
C
Corresponsales AFPs
 TASACIN DE ACTIVOS DE INFORMACIN

ACTIVOS DE INFORMACIN CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD TOTAL

- Base de datos ahorros 4 4 4 4

- Base de datos clientes 5 5 4 5

- Equipo de cmputo 2 2 4 2

- Lnea dedicada 2 2 5 3

- Internet 2 1 3 2

- Servidor de archivos 5 5 4 5

- Servidor 5 4 4 4

- Copias de backup 5 5 3 4

- Switchers 1 1 5 2
- Routers 1 1 5 2

- Modem 1 1 5 2

- Lneas telefnicas 4 2 3 3

- Central telefnica 4 2 3 3

- Disco duro 5 5 3 4

- Cmaras de video 1 1 5 2

- Telfonos 4 1 3 3
 DISTRIBUCIN DE ACTIVOS Y SUS PROPIETARIOS

ACTIVOS DE INFORMACIN PROPIETARIOS

1. BASE DE DATOS CLIENTES SERVICIO AL CLIENTE

2. SERVIDOR SISTEMAS

3. JEFE DE AHORROS AHORROS

4. BASE DE DATOS AHORROS SISTEMAS

5. CLAVES AHORROS

6. SERVIDOR DE ARCHIVOS SISTEMAS

7. COPIAS DE BACKUP SISTEMAS

8. DISCO DURO Y GRAB. (Videos) SISTEMAS

9. REGISTROS DE CLIENTES AHORROS

10. FORMATOS AHORROS

11. VOUCHERS ADM. DE CRDITOS

12. FORMATO LAVADO ACTIVOS AHORROS

 ANLISIS Y EVALUACIN DEL RIESGO

POSIBILI- POSIBI-
VALOR CRITERIO
ACTIVOS POSIBI- DAD QUE LIDAD
DE PARA OBJETIVOS NIVELES DE
DE LIDAD VULNERA- AMENAZA DE OCU- CRITI- CONTRO-
AMENAZAS ACTIVOS TOTAL ACEPTAR DE ACEPTACION
INFORMA- OCU- BILIDADES PENETRE RRENCIA CIDAD LES
DE EL CONTROL DEL RIESGO
CIN RRENCIA VULNERA- DE AME-
RIESGOS RIESGO
BILIDAD NAZA

1. BASE DE - Hckers 2 - Falta de 2 - Verificacin A.5.1 Promocionar direccin A.5.1.1

semanal de ac- gerencial y apoyo a la S.I. A.5.1.2
DATOS - Deterioro 4 antivirus tualizaciones A.6.1 Seguridad del equipo: A.7.2.4
AHORROS fisico - Libre acce- 5 - El sistema evitar la prdida, dao o
so permite control compromiso de los activos
automtico y la interrupcin de las ac-
de incidentes tividades comerciales.
A.6.2 Proteger la integridad A.6.2.1
4 4 16 C del software y la informa-
cin del dao de software
malicioso.
A.7.1Mantener la integridad A.7.1.1
y disponibilidad de los ser- A.7.1.2
vicios de procesamiento de
informacin y comunica-
ciones.

2. SERVI- - Virus 2 - Software 3 - Parches de A.9.2. Proteger la integridad A.9.2.1

software del software y la informa-
DOR - Rayos desactuali- - Verificacin cin del dao de software
zado 4 semanal de malicioso.
4 - Falta para actualizacio-
nes.
rayos
4 4 16 C

3. BASE DE - Errores en 4 - Mala progra 2 - Verificacin A.9.2 Minimizar el riesgo de A.9.2.1

diaria de ac- fallas en los sistemas. A.9.2.2
DATOS digitacin macin tualizaciones A.10.1 Asegurar que se in- A.10.1.1
CLIENTES - Mala valida- 5 - El sistema corpore seguridad en los
cin y prue- permite regis- sistemas de informacin.
tro e impresin A.10.2 Evitar la prdida, mo- A.10.2.1
bas de incidentes dificacin o mal uso de la A.10.2.2
- Parches de data del usuario en los sis- A.10.2.3
5 4 20 C software temas de informacin.
A.10.3 Asegurar que los pro A.10.3.1
yectos T.I. y las actividades A.10.3.3
de apoyo se reducen de
manera segura.
 PLAN
ESTABLECER
PARTES
EL SGSI 4.2 PARTES
INTERESADAS
INTERESADAS
MODELO PDCA
APLICADO A REQUERI- IMPLEMENTAR Desarrollar, MANTENER Y
SEGURIDAD
LOS PROCESOS MIENTOS Y Y OPERAR EL mantener MEJORAR
DE
EXPECTATI- EL SGSI 4.2.2 y mejorar EL SGSI 4.2.4
DEL SISTEMA VAS DE LA
INFORMA-
DO el ciclo ACT CIN
DE GESTIN DE SEGURIDAD
SEGURIDAD DE MONITOREAR MANEJADA
DE INFOR-
INFORMACIN MACIN Y REVISAR
EL SGSI 4.2.3
SGSI
CHECK

4.3 Requerimientos de documentacin

4.3.2 Control de documentos
4.3.3 Control de registros
5.0 Responsabilidad de la gerencia
5.1 Compromiso de la gerencia
5.2 Gestin de recursos
5.2.1 Provisin de recursos
5.2.2 Capacitacin, conocimiento y capacidad
6.0 Revisin gerencial
6.4 Auditorias internas
7.0 Mejoramiento del SGSI
7.1 Mejoramiento continuo
7.2 Accin correctiva
7.3 Accin preventiva

31
 Entendimiento de los
requerimientos del modelo
(1)

CICLO Obtencin de la certificacin Determinacin de

METODOL- internacional la brecha
GICO PARA LA (8) (2)
IMPLANTACIN
DEL MODELO
ISO 27001:2005
Ejecucin de auditorias Anlisis y evaluacin
internas del riesgo
(7) (3)

Redaccin del Manual de Elaboracin plan de gestin

Seguridad de Informacin de continuidad comercial
(6) (4)

Desarrollo de competencias
organizacionales
(5)

32
 -Los ataques de virus continan como la principal
RESULTADOS
DEL COMPUTER
fuente de grandes prdidas financieras.
CRIME AND -El uso no autorizado de sistemas de computacin
SECURITY ha incrementado.
SURVEY/ FBI
2005 -Los incidentes en los web sites han aumentado
dramticamente.
-El outsourcing de actividades de seguridad de
informacin no ha crecido.
-87% de los encuestados conducen auditorias de
seguridad.
-La mayora de empresas ven el entrenamiento al
usuario como algo muy importante.

33
 Los 15 requerimientos son una lista de chequeo
VISA ACCOUNT para lograr conformidad con el estndar.
INFORMATION
SECURITY 1. Establecer poltica para la contratacin de
STANDARDS
personal.
2. Restringir acceso a datos.
3. Asignar al personal un sistema de
identificacin nico para ser validado al
acceder a datos.
4. Controlar el acceso a datos.
5. Instalar y mantener un firewall network si los
datos son accedidos desde la internet.
6. Encriptar datos mantenidos en bases de datos.
7. Encriptar datos enviados a travs de redes.
8. Proteger sistemas y datos de virus.

34
 9. Mantener al da los parches a software
VISA ACCOUNT
INFORMATION
10. No utilizar passwords para sistemas y otros
SECURITY parmetros de seguridad proporcionado por
STANDARDS terceros.
11. No dejar desatendidos computadoras, diskettes
con datos.
12. De manera segura, destruir datos cuando ya no
son necesarios.
13. De manera regular verificar el desempeo de
sistemas y procedimientos.
14. Inmediatamente investigar y reportar a VISA
cualquier perdida de cuentas o informacin de
las transacciones.
15. Utilizar slo proveedores de servicios que
cumplan estos requisitos

35
 IMPLANTACIN DEL ISO 27001:2005
SISTEMA DE GESTIN DE
SEGURIDAD DE INFORMACIN
Alberto G. Alexander, Ph.D, CBCP
Auditor Sistemas de Gestin de Seguridad de Informacin
Certificado IRCA (International Registered of Certified Auditors)

E-mail: alexand@terra.com.pe