Documentos de Académico
Documentos de Profesional
Documentos de Cultura
acorletti@hotmail.com
Temario
PRIMERA PARTE
Temario:
Introduccin e historia de la norma.
Su verdadero significado internacional.
El SGSI (Sistema de Gestin de la Seguridad de la Informacin).
La definicin del mbito a implementar la norma.
El anlisis de riesgo.
Los cursos de accin posibles.
La declaracin de intenciones de la Direccin.
Temario
SEGUNDA PARTE
Temario:
Cmo se lleva a la prctica el ciclo PDCA (Plan-Do-Check-Act).
El plan de accin.
Inicio del rodaje.
Definicin de los controles a aplicar.
Avance grupo a grupo.
Relacin documental.
Auditora interna.
Soluciones y mejoras.
Reintegracin/reingeniera inicial del SGSI.
Solicitud y preparacin de la Auditora y/o preauditora.
Solucin de Observaciones y no conformidades.
Introduccin e Historia de la Norma
Tiene sus orgenes desde los 90`en el BS7799.
Se transforma en ISO17799.
En el 2004 AENOR UNE 71502 Especificaciones para los SGSI.
Octubre 2005 ISO27001:2005.
Septiembre 2007 AENOR ISO/UNE27001.
Situacin Actual (Familia 27000):
Publicadas:
2005 ISO27001 (Certificable).
2007 ISO 27006 (regula los organismos de certificacin, alineada con 17021).
2007 ISO27002 (gua de controles, Ex 17799).
2008 - 27005 (Anlisis de Riesgos).
Sin Publicar An:
27003 (Ayuda para la implantacin SGSI).
27004 (Mtricas).
27007 (requisitos de auditora de un SGSI).
27011 (Sector TICs).
27031 (Plan de Continuidad de Negocio).
27032 (Ciberseguridad).
27033 (seguridad en redes, sobre la base de 18028).
27034 (Seguridad en las aplicaciones).
Introduccin e Historia (a nivel AAPP)
Resolucin de 26 de mayo de 2003, de la Secretara de Estado para la AAPP
Expresa textualmente Se insta a los Estados miembros de la UE a fomentar el uso de mejores
prcticas basadas en instrumentos existentes, tales como la norma UNE ISO/IEC 17799.
Reglamento (CE) No 885/2006 de la Comisin (junio de 2006) - FEAGA (Fondo
Europeo Agrcola de Garanta) y del FEADER (Fondo Europeo Agrcola de Desarrollo Rural):
La seguridad de los sistemas de informacin estar basada en los criterios fijados en una
versin aplicable en el ejercicio financiero considerado de una de las siguientes normas
aceptadas internacionalmente: i) ISO/IEC 17799).
En realidad esto viene desde 1997, con la Directriz VI/661/97 rev. 2 CE sobre la Seg. Infor. SSII de los
Organismos Pagadores que exige garantizar la seguridad de la informacin.
la Consejera de Agricultura y Agua de la CA de Murcia, conociendo estas regulaciones,
apost por la ISO27001 y acaba de ser la primera Entidad Pblica Espaoola en certificarse
Ley 11 (junio de 2007) Acceso electrnico de los ciudadanos a los Servicios Pblicos,
Seguridad: se menciona cuarenta y dos veces.
El punto 2. Las AAPP....... asegurando la disponibilidad, el acceso, la integridad, la
autenticidad, la confidencialidad y la conservacin de los datos......... ACIDA ??
MAP (Julio de 2007) Normalizacin en seguridad de las TIC
Criterios SNC (seguridad, normalizacin y conservacin): UNE ISO/IEC 17799:2002, Tecnologas
de la informacin Cdigo de buenas prcticas para la gestin de la seguridad de la informacin
Introduccin e Historia (Proyectos Oficiales)
Existen otras iniciativas para fomentar la seguridad en Espaa a travs de la
norma ISO27001, como el proyecto PYMETICA en Andaluca, el CAMERSEC
en Mlaga, la reciente Subvencin del Ministerio de Industria del Plan AVANZA
PyME (19.000 para certificacin ISO27001) y el prximo proyecto de INTECO
que abarcar varias Comunidades Espaolas.
RENFE, en un pliego de licitacin de septiembre de 2007, haca mencin al
estndar ISO27001 (Esto corrobora el hecho del Lobby que pueden hacer las
empresas certificadas, tal cual mencionamos en artculos anteriores).
La Consejera de Agricultura y Pesca (Andaluca) ha obtuvo la certificacin ISO
27001 del denominado Sistema de Localizacin y Seguimiento de Embarcaciones
Pesqueras Andaluzas.
Consejera de Economa y AP del Principado de Asturias (N exp: 58/06).
Descripcin del objeto: Certificacin ISO27001 del SGSI, para el CPD de la
Administracin del Principado de Asturias (ao 2007).
Junta de Castilla La Mancha: Certificado ISO27001 para sus servicios de
Internet.
Exportar Comercio Exterior Calidad
Congreso ICEX: La constante fue: Gestin
Introduccin e Historia (Certificaciones)
En el discurso Internacional, el mensaje es sumamente sencillo:
Informe ISO (Dic 2007)
ISO 9001 Lugar de Espaa: 4 mundial con 57552 certificados.
ISO 14001 Lugar de Espaa: 3 mundial con 11125 certificados.
ISO 27001 Total mundial: 5797 certificados.
Lugar de Espaa: No aparece en el Top 10 (23 certificados).
Se divide en 3 procesos:
P1: Planificacin.
P2: Anlisis de Riesgos.
P3: Gestin de Riesgos.
MAGERIT: P1 Planificacin
Actividad A1.1: Estudio de Oportunidad:
Tarea T1.1.1: Determinar la oportunidad.
Actividad A1.2: Determinacin del Alcance del Proyecto:
Tarea T1.2.1: Objetivos y restricciones generales.
Tarea T1.2.2: Determinacin del dominio y lmites.
Tarea T1.2.3: Identificacin del entorno.
Tarea T1.2.4: Estimacin de dimensiones y coste.
Actividad A1.3: Planificacin del Proyecto:
Tarea T1.3.1: Evaluar cargas y planificar entrevistas.
Tarea T1.3.2: Organizar a los participantes.
Tarea T1.3.3: Planificar el trabajo.
Actividad A1.4: Lanzamiento del Proyecto:
Tarea T1.4.1: Adaptar los cuestionarios.
Tarea T1.4.2: Criterios de evaluacin.
Tarea T1.4.3: Recursos Necesarios.
Tarea T1.4.4: Sensibilizacin.
MAGERIT: P2 Anlisis de Riesgos
Actividad A2.1: Caracterizacin de los Activos:
Tarea T2.1.1: Identificacin de los activos.
Tarea T2.1.2: Dependencias entre los activos.
Tarea T2.1.3: Valoracin de los activos.
MAGERIT: P2 Anlisis de Riesgos
Actividad A2.2: Caracterizacin de las Amenazas:
Tarea T2.2.1: Identificacin de las amenazas.
Tarea T2.2.2: Valoracin de las amenazas.
MAGERIT: P2 Anlisis de Riesgos
Actividad A2.3: Caracterizacin de las Salvaguardas:
Tarea T2.3.1: Identificacin de las salvaguardas existentes.
Tarea T2.3.2: Valoracin de las salvaguardas existentes.
MAGERIT: P2 Anlisis de Riesgos
Actividad A2.4: Estimacin del Estado de Riesgo:
Tarea T2.4.1: Estimacin del impacto.
Tarea T2.4.2: Estimacin del riesgo.
Tarea T2.4.3: Interpretacin de los resultados.
MAGERIT: P2 Anlisis de Riesgos
Actividad A2.4: Estimacin del Estado de Riesgo:
Tarea T2.4.1: Estimacin del impacto.
Tarea T2.4.2: Estimacin del riesgo.
Tarea T2.4.3: Interpretacin de los resultados.
MAGERIT: P3 Gestin de Riesgos
Actividad A3.1: Toma de Decisiones:
Tarea T3.1.1: Calificacin de los riesgos.
Actividad A3.2: Plan de Seguridad:
Tarea T3.2.1: Programas de seguridad.
Tarea T3.2.2: Plan de ejecucin.
Actividad A3.3: Ejecucin del Plan:
Tarea T3.3.1: Ejecucin de cada programa de seguridad.
Cursos de Accin Posibles
Se proponen ente 3 y 5 Cursos de Accin de entre los cuales, la Direccin
escoge el que le parezca oportuno.
Declaracin de Intenciones de la Direccin
En relacin al Anlisis de Riesgos realizado en MES de AO donde se
propusieron una serie de cursos de accin propuestos con el fin de
implantar un nivel de seguridad aceptable, con todo ello la Direccin
se compromete a llevar a cabo uno de los Cursos de Accin
propuestos en un periodo no superior a X aos.
Declaracin de Intenciones de la Direccin
En relacin al Anlisis de Riesgos realizado en MES de AO donde se
propusieron una serie de cursos de accin propuestos con el fin de
implantar un nivel de seguridad aceptable, con todo ello la Direccin
se compromete a llevar a cabo uno de los cursos de accin
propuestos en un periodo no superior a X aos.
Cumple con 8
puntos del CURSO
DE ACCIN 3.
Cumple con 12
puntos del CURSO
DE ACCIN 3.
Cumple con 22
puntos del CURSO
DE ACCIN 3.
Ciclo PDCA
En la implementacin de esta norma es donde se presenta el
conjunto de pasos a seguir para implantar un SGSI, el cual es un
ciclo permanente definido como PDCA, y cada uno de estas
actividades quedar regulada, normalizada y auditada mediante los
correspondientes Controles.
Plan (Establecer el SGSI): Poltica SGSI, objetivos, procesos,
procedimientos para la Administracin de Riesgos y mejoras en la
Seguridad Informtica y resultados acordes a las polticas y objetivos de
la organizacin.
Do (Implementar y Operar el SGSI): Forma en que se opera e
implementa la poltica, controles, procesos y procedimientos.
Check (Monitorizar y Revisar el SGSI): Analizar y medir los
procesos relacionados al SGSI, evaluar objetivos, experiencias e
informar los resultados a la administracin para su revisin.
Act (Mantener y Mejorar el SGSI): Acciones preventivas y
correctivas, basadas en auditoras internas y revisiones del SGSI.
Plan de Accin
Acciones a desarrollar para alcanzar
la certificacin:
Inicio del Rodaje
Definicin de los Controles
Los controles que sean excluidos debern ser justificados.
JUSTIFICACIN DE LA
ISO OBJETIVO CONTROL SI/NO
EXCLUSIN
8 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
8.1.1 Funciones y Responsabilidades. SI
8.1 Previo a la Contratacin. 8.1.2 Investigacin de Antecedentes. SI
8.1.3 Trminos y Condiciones de Contratacin. SI
8.2.1 Gestin de Responsabilidades. SI
8.2 Durante la Contratacin. 8.2.2 Concienciacin, Educacin y Formacin en Seguridad de la Informacin. SI
8.2.3 Proceso Disciplinario. SI
8.3.1 Finalizacin de Responsabilidades. SI
Finalizacin o Cambio de
8.3 8.3.2 Retorno de Activos. SI
Puesto de Trabajo.
8.3.3 Retirada de los Derechos de Acceso. SI
Temario:
Cmo se lleva a la prctica el ciclo PDCA (Plan-Do-Check-Act).
El plan de accin.
Inicio del rodaje.
Definicin de los controles a aplicar.
Avance grupo a grupo.
Relacin documental.
Auditora interna.
Soluciones y mejoras.
Reintegracin/reingeniera inicial del SGSI.
Solicitud y preparacin de la Auditora y/o preauditora.
Solucin de Observaciones y no conformidades.
Avance Grupo a Grupo
5. Poltica de Seguridad
Pto. Objetivo Control Documento
5.1.1 Documento de Poltica de
Documento de Seguridad de NCS.
Poltica de Seguridad de la Informacin.
5.1 Seguridad de Documento de Seguridad de NCS.
5.1.2 Revisin de la Poltica de
la Informacin
Seguridad de la Informacin. Documento de Control y Gestin de Cambios.
Avance Grupo a Grupo
Proceso de Contratacin:
Avance Grupo a Grupo
8. Seguridad Ligada a los Recursos Humanos
Pto. Objetivo Control Documento
Procedimiento de Organizacin de la
8.2.1 Gestin de Responsabilidades.
Seguridad de la informacin.
10.10.2 Supervisin del Uso del Procedimiento de Auditora de los Sistemas de Informacin.
Sistema. Procedimiento de Control de los Registros.
Activacin
Escenario B Solucin DPR
DPR?
El CPD ha quedado completamente Habilitar lo antes posible una sala
destruido, aunque las oficinas de nuestra dentro de las oficinas para la
SI.
organizacin estn completamente recuperacin de la conexiones y de
operativas. los servicios Crticos.
Activacin
Escenario C Solucin DPR
DPR?
El edificio en donde se encuentra nuestra
organizacin o la oficina se declara no
operativo a todos los efectos. No existe SI. Centros de Recuperacin.
red interna y es imposible el trabajo en la
oficina o en todo el edificio.
Avance Grupo a Grupo
15. Cumplimiento
Pto. Objetivo Control Documento
15.1.1 Identificacin de la Legislacin
Procedimiento de Requisitos Legales.
Aplicable.
15.1.2 Derechos de la Propiedad Procedimiento de Obligaciones del
Intelectual (DPI). Personal.
Procedimiento de Control de
15.1.3 Proteccin de los Documentos de Registros.
la Organizacin.
Procedimiento de Requisitos Legales.
Cumplimiento de Procedimiento de Clasificacin y
15.1 los Requisitos 15.1.4 Proteccin de Datos y Privacidad Tratamiento de la Informacin.
Legales de la Informacin Personal.
Procedimiento de Requisitos Legales.
15.1.5 Prevencin del Uso Indebido de los
Procedimiento de Obligaciones del
Recursos de Tratamiento de la
Personal.
Informacin.
Procedimiento de Controles
15.1.6 Regulacin de los Controles Criptogrficos.
Criptogrficos.
Procedimiento de Requisitos Legales.
Avance Grupo a Grupo
15. Cumplimiento
Pto. Objetivo Control Documento
Procedimiento de Control de los
Cumplimiento de 15.2.1 Cumplimiento de las Polticas y Registros.
Normas de Seguridad.
las Polticas y Plantilla de Plan de Revisin.
Normas de
15.2 Procedimiento de Auditora de los
Seguridad y Sistemas de Informacin.
Cumplimiento 15.2.2 Comprobacin del Cumplimiento
Tcnico. Procedimiento de Requisitos Legales.
Tcnico
Plantilla de Plan de Revisin.
Procedimiento de Auditora de los
15.3.1 Controles de Auditora de los Sistemas de Informacin.
Consideraciones Sistemas de Informacin.
de las Auditoras Procedimiento de Requisitos Legales.
15.3
de los Sistemas Procedimiento de Auditora de los
de Informacin 15.3.2 Proteccin de las Herramientas de Sistemas de Informacin.
Auditora de los Sistemas de Informacin.
Procedimiento de Requisitos Legales.
Conformidades Legales ISO 27001
2 1 Visita:
Presentar la informacin desarrollada.
4 2 Visita:
Auditora e Informe de Auditora.
Auditora de Certificacin
Y si todo es correcto