Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ImplementacionISO27001 TASSI2009AlejandroCorletti PDF
ImplementacionISO27001 TASSI2009AlejandroCorletti PDF
acorletti@hotmail.com
Temario
PRIMERA PARTE
Temario:
Introducción e historia de la norma.
Su verdadero significado internacional.
El SGSI (Sistema de Gestión de la Seguridad de la Información).
La definición del ámbito a implementar la norma.
El análisis de riesgo.
Los cursos de acción posibles.
La declaración de intenciones de la Dirección.
Temario
SEGUNDA PARTE
Temario:
Cómo se lleva a la práctica el ciclo PDCA (Plan-Do-Check-Act).
El plan de acción.
Inicio del rodaje.
Definición de los controles a aplicar.
Avance grupo a grupo.
Relación documental.
Auditoría interna.
Soluciones y mejoras.
Reintegración/reingeniería inicial del SGSI.
Solicitud y preparación de la Auditoría y/o preauditoría.
Solución de Observaciones y no conformidades.
Introducción e Historia de la Norma
Tiene sus orígenes desde los 90`en el BS–7799.
Se transforma en ISO–17799.
En el 2004 AENOR UNE 71502 Especificaciones para los SGSI.
Octubre 2005 ISO–27001:2005.
Septiembre 2007 AENOR ISO/UNE–27001.
Situación Actual (Familia 27000):
Publicadas:
2005 – ISO–27001 (Certificable).
2007 – ISO 27006 (regula los organismos de certificación, alineada con 17021).
2007 – ISO–27002 (guía de controles, Ex 17799).
2008 - 27005 (Análisis de Riesgos).
Sin Publicar Aún:
27003 (Ayuda para la implantación SGSI).
27004 (Métricas).
27007 (requisitos de auditoría de un SGSI).
27011 (Sector TIC’s).
27031 (Plan de Continuidad de Negocio).
27032 (Ciberseguridad).
27033 (seguridad en redes, sobre la base de 18028).
27034 (Seguridad en las aplicaciones).
Introducción e Historia (a nivel AAPP)
Resolución de 26 de mayo de 2003, de la Secretaría de Estado para la AAPP
Expresa textualmente “Se insta a los Estados miembros de la UE a fomentar el uso de mejores
prácticas basadas en instrumentos existentes, tales como la norma UNE ISO/IEC 17799”.
Reglamento (CE) No 885/2006 de la Comisión (junio de 2006) - FEAGA (Fondo
Europeo Agrícola de Garantía) y del FEADER (Fondo Europeo Agrícola de Desarrollo Rural):
“La seguridad de los sistemas de información estará basada en los criterios fijados en una
versión aplicable en el ejercicio financiero considerado de una de las siguientes normas
aceptadas internacionalmente: i) ISO/IEC 17799)”.
En realidad esto viene desde 1997, con la Directriz VI/661/97 rev. 2 CE sobre la Seg. Infor. SSII de los
Organismos Pagadores que exige garantizar la seguridad de la información.
la Consejería de Agricultura y Agua de la CA de Murcia, conociendo estas regulaciones,
apostó por la ISO–27001 y acaba de ser la primera Entidad Pública Espaoñola en certificarse
Ley 11 (junio de 2007) “Acceso electrónico de los ciudadanos a los Servicios Públicos”,
Seguridad: se menciona cuarenta y dos veces.
El punto 2. “Las AAPP....... asegurando la disponibilidad, el acceso, la integridad, la
autenticidad, la confidencialidad y la conservación de los datos......... ¿¿ ACIDA ??
MAP (Julio de 2007) “Normalización en seguridad de las TIC”
Criterios SNC (seguridad, normalización y conservación): UNE ISO/IEC 17799:2002, “Tecnologías
de la información – Código de buenas prácticas para la gestión de la seguridad de la información”
Introducción e Historia (Proyectos Oficiales)
Existen otras iniciativas para fomentar la seguridad en España a través de la
norma ISO–27001, como el proyecto PYMETICA en Andalucía, el CAMERSEC
en Málaga, la reciente Subvención del Ministerio de Industria del Plan AVANZA
PyME (19.000 € para certificación ISO–27001) y el próximo proyecto de INTECO
que abarcará varias Comunidades Españolas.
RENFE, en un pliego de licitación de septiembre de 2007, hacía mención al
estándar ISO–27001 (Esto corrobora el hecho del “Lobby” que pueden hacer las
empresas certificadas, tal cual mencionamos en artículos anteriores).
La Consejería de Agricultura y Pesca (Andalucía) ha obtuvo la certificación ISO–
27001 del denominado “Sistema de Localización y Seguimiento de Embarcaciones
Pesqueras Andaluzas”.
Consejería de Economía y AP del Principado de Asturias (Nº exp: 58/06).
Descripción del objeto: “Certificación ISO–27001 del SGSI, para el CPD de la
Administración del Principado de Asturias (año 2007)”.
Junta de Castilla – La Mancha: “Certificado ISO–27001” para sus servicios de
Internet.
Exportar Comercio Exterior Calidad
Congreso ICEX: La constante fue: Gestión
Introducción e Historia (Certificaciones)
En el discurso Internacional, el mensaje es sumamente sencillo:
Informe ISO (Dic 2007)
ISO 9001 Lugar de España: 4º mundial con 57552 certificados.
ISO 14001 Lugar de España: 3º mundial con 11125 certificados.
ISO 27001 Total mundial: 5797 certificados.
Lugar de España: No aparece en el Top 10 (23 certificados).
Se divide en 3 procesos:
P1: Planificación.
P2: Análisis de Riesgos.
P3: Gestión de Riesgos.
MAGERIT: P1 Planificación
Actividad A1.1: Estudio de Oportunidad:
Tarea T1.1.1: Determinar la oportunidad.
Actividad A1.2: Determinación del Alcance del Proyecto:
Tarea T1.2.1: Objetivos y restricciones generales.
Tarea T1.2.2: Determinación del dominio y límites.
Tarea T1.2.3: Identificación del entorno.
Tarea T1.2.4: Estimación de dimensiones y coste.
Actividad A1.3: Planificación del Proyecto:
Tarea T1.3.1: Evaluar cargas y planificar entrevistas.
Tarea T1.3.2: Organizar a los participantes.
Tarea T1.3.3: Planificar el trabajo.
Actividad A1.4: Lanzamiento del Proyecto:
Tarea T1.4.1: Adaptar los cuestionarios.
Tarea T1.4.2: Criterios de evaluación.
Tarea T1.4.3: Recursos Necesarios.
Tarea T1.4.4: Sensibilización.
MAGERIT: P2 Análisis de Riesgos
Actividad A2.1: Caracterización de los Activos:
Tarea T2.1.1: Identificación de los activos.
Tarea T2.1.2: Dependencias entre los activos.
Tarea T2.1.3: Valoración de los activos.
MAGERIT: P2 Análisis de Riesgos
Actividad A2.2: Caracterización de las Amenazas:
Tarea T2.2.1: Identificación de las amenazas.
Tarea T2.2.2: Valoración de las amenazas.
MAGERIT: P2 Análisis de Riesgos
Actividad A2.3: Caracterización de las Salvaguardas:
Tarea T2.3.1: Identificación de las salvaguardas existentes.
Tarea T2.3.2: Valoración de las salvaguardas existentes.
MAGERIT: P2 Análisis de Riesgos
Actividad A2.4: Estimación del Estado de Riesgo:
Tarea T2.4.1: Estimación del impacto.
Tarea T2.4.2: Estimación del riesgo.
Tarea T2.4.3: Interpretación de los resultados.
MAGERIT: P2 Análisis de Riesgos
Actividad A2.4: Estimación del Estado de Riesgo:
Tarea T2.4.1: Estimación del impacto.
Tarea T2.4.2: Estimación del riesgo.
Tarea T2.4.3: Interpretación de los resultados.
MAGERIT: P3 Gestión de Riesgos
Actividad A3.1: Toma de Decisiones:
Tarea T3.1.1: Calificación de los riesgos.
Actividad A3.2: Plan de Seguridad:
Tarea T3.2.1: Programas de seguridad.
Tarea T3.2.2: Plan de ejecución.
Actividad A3.3: Ejecución del Plan:
Tarea T3.3.1: Ejecución de cada programa de seguridad.
Cursos de Acción Posibles
Se proponen ente 3 y 5 Cursos de Acción de entre los cuales, la Dirección
escoge el que le parezca oportuno.
Declaración de Intenciones de la Dirección
En relación al Análisis de Riesgos realizado en MES de AÑO donde se
propusieron una serie de cursos de acción propuestos con el fin de
implantar un nivel de seguridad aceptable, con todo ello la Dirección
se compromete a llevar a cabo uno de los Cursos de Acción
propuestos en un periodo no superior a X años.
Declaración de Intenciones de la Dirección
En relación al Análisis de Riesgos realizado en MES de AÑO donde se
propusieron una serie de cursos de acción propuestos con el fin de
implantar un nivel de seguridad aceptable, con todo ello la Dirección
se compromete a llevar a cabo uno de los cursos de acción
propuestos en un periodo no superior a X años.
Cumple con 8
puntos del CURSO
DE ACCIÓN 3.
Cumple con 12
puntos del CURSO
DE ACCIÓN 3.
Cumple con 22
puntos del CURSO
DE ACCIÓN 3.
Ciclo PDCA
En la implementación de esta norma es donde se presenta el
conjunto de pasos a seguir para implantar un SGSI, el cual es un
ciclo permanente definido como PDCA, y cada uno de estas
actividades quedará regulada, normalizada y auditada mediante los
correspondientes “Controles”.
Plan (Establecer el SGSI): Política SGSI, objetivos, procesos,
procedimientos para la Administración de Riesgos y mejoras en la
Seguridad Informática y resultados acordes a las políticas y objetivos de
la organización.
Do (Implementar y Operar el SGSI): Forma en que se opera e
implementa la política, controles, procesos y procedimientos.
Check (Monitorizar y Revisar el SGSI): Analizar y medir los
procesos relacionados al SGSI, evaluar objetivos, experiencias e
informar los resultados a la administración para su revisión.
Act (Mantener y Mejorar el SGSI): Acciones preventivas y
correctivas, basadas en auditorías internas y revisiones del SGSI.
Plan de Acción
Acciones a desarrollar para alcanzar
la certificación:
Inicio del Rodaje
Definición de los Controles
Los controles que sean excluidos deberán ser justificados.
JUSTIFICACIÓN DE LA
ISO OBJETIVO CONTROL SI/NO
EXCLUSIÓN
8 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS
8.1.1 Funciones y Responsabilidades. SI
8.1 Previo a la Contratación. 8.1.2 Investigación de Antecedentes. SI
8.1.3 Términos y Condiciones de Contratación. SI
8.2.1 Gestión de Responsabilidades. SI
8.2 Durante la Contratación. 8.2.2 Concienciación, Educación y Formación en Seguridad de la Información. SI
8.2.3 Proceso Disciplinario. SI
8.3.1 Finalización de Responsabilidades. SI
Finalización o Cambio de
8.3 8.3.2 Retorno de Activos. SI
Puesto de Trabajo.
8.3.3 Retirada de los Derechos de Acceso. SI
Temario:
Cómo se lleva a la práctica el ciclo PDCA (Plan-Do-Check-Act).
El plan de acción.
Inicio del rodaje.
Definición de los controles a aplicar.
Avance grupo a grupo.
Relación documental.
Auditoría interna.
Soluciones y mejoras.
Reintegración/reingeniería inicial del SGSI.
Solicitud y preparación de la Auditoría y/o preauditoría.
Solución de Observaciones y no conformidades.
Avance Grupo a Grupo
Proceso de Contratación:
Avance Grupo a Grupo
8.– Seguridad Ligada a los Recursos Humanos
Pto. Objetivo Control Documento
Procedimiento de Organización de la
8.2.1 Gestión de Responsabilidades.
Seguridad de la información.
10.10.2 Supervisión del Uso del Procedimiento de Auditoría de los Sistemas de Información.
Sistema. Procedimiento de Control de los Registros.
¿Activación
Escenario B Solución DPR
DPR?
El CPD ha quedado completamente Habilitar lo antes posible una sala
destruido, aunque las oficinas de nuestra dentro de las oficinas para la
SI.
organización están completamente recuperación de la conexiones y de
operativas. los servicios Críticos.
¿Activación
Escenario C Solución DPR
DPR?
El edificio en donde se encuentra nuestra
organización o la oficina se declara no
operativo a todos los efectos. No existe SI. Centros de Recuperación.
red interna y es imposible el trabajo en la
oficina o en todo el edificio.
Avance Grupo a Grupo
15.– Cumplimiento
Pto. Objetivo Control Documento
15.1.1 Identificación de la Legislación
Procedimiento de Requisitos Legales.
Aplicable.
15.1.2 Derechos de la Propiedad Procedimiento de Obligaciones del
Intelectual (DPI). Personal.
Procedimiento de Control de
15.1.3 Protección de los Documentos de Registros.
la Organización.
Procedimiento de Requisitos Legales.
Cumplimiento de Procedimiento de Clasificación y
15.1 los Requisitos 15.1.4 Protección de Datos y Privacidad Tratamiento de la Información.
Legales de la Información Personal.
Procedimiento de Requisitos Legales.
15.1.5 Prevención del Uso Indebido de los
Procedimiento de Obligaciones del
Recursos de Tratamiento de la
Personal.
Información.
Procedimiento de Controles
15.1.6 Regulación de los Controles Criptográficos.
Criptográficos.
Procedimiento de Requisitos Legales.
Avance Grupo a Grupo
15.– Cumplimiento
Pto. Objetivo Control Documento
Procedimiento de Control de los
Cumplimiento de 15.2.1 Cumplimiento de las Políticas y Registros.
Normas de Seguridad.
las Políticas y Plantilla de Plan de Revisión.
Normas de
15.2 Procedimiento de Auditoría de los
Seguridad y Sistemas de Información.
Cumplimiento 15.2.2 Comprobación del Cumplimiento
Técnico. Procedimiento de Requisitos Legales.
Técnico
Plantilla de Plan de Revisión.
Procedimiento de Auditoría de los
15.3.1 Controles de Auditoría de los Sistemas de Información.
Consideraciones Sistemas de Información.
de las Auditorías Procedimiento de Requisitos Legales.
15.3
de los Sistemas Procedimiento de Auditoría de los
de Información 15.3.2 Protección de las Herramientas de Sistemas de Información.
Auditoría de los Sistemas de Información.
Procedimiento de Requisitos Legales.
Conformidades Legales ISO 27001
2º 1ª Visita:
Presentar la información desarrollada.
4º 2ª Visita:
Auditoría e Informe de Auditoría.
Auditoría de Certificación
Y si todo es correcto