Facultad de Ingeniería

Industrial y de Sistemas

SEGURIDAD DE LA
INFORMACION

Norma ISO 27001

Ysabel Rojas Solís
 Agenda

 Introduccion
 Sistema de Gestion de Seguridad
de la Informacion
 Introduction to ISO 27001-2:2005
 Tareas a Realizar
 Experiencia Europea de Exito
 Conclusiones

2
 Porqué hablar de la Seguridad de
la Información?

• Porque el negocio se sustenta a partir

de la información que maneja.....
 La información puede estar :

• Impreso o escrito en papel.

• Almacenado electrónicamente.
• Enviado por correo ordinario o por e-mail.
• Videos corporativos.
• Verbal - en conversaciones

“……cualquier tipo de información,

o significado que se encuentre
medido o almacenado, deberá
encontrarse siempre protegido.”
– (ISO/IEC 27001: 2005)
La informacion puede ser :

Creada
Guardada

Destruida
Procesada

Transmitida
Usada – (Para propositos correctos &
impropios)
Corrompida

Perdida
Robada
5
 Dominios de la Información
La información debe cumplir 3 principios

• Haga clic para modificar el estilo de texto del

– Segundo nivel
– Tercer nivel
• Cuarto nivel
– Quinto nivel
 Porqué hablar de la Seguridad de
la Información?
• Porque no sólo es un tema Tecnológico.

• Porque se requiere de Políticas de

Seguridad de la Información formalmente
aceptadas y conocidas por todos.
 Porqué hablar de la Seguridad de
la Información?
• Porque la seguridad tiene un costo, …pero la
INSEGURIDAD es mucho
mas costosa

“Ninguna medicina es útil a menos que el

paciente la tome”

¿ Entonces, por donde empezar?........

Problema / Necesidad
Problema / Necesidad
Problema / Necesidad
Problema / Necesidad
Problema / Necesidad
COMO SUPERAR
ESTOS
PROBLEMAS?

14
Solución
 Que es la Seguridad de la
Información
• Haga clic para modificar el estilo de texto del p
– Segundo nivel
– Tercer nivel
• Cuarto nivel
– Quinto nivel
Seguridad de la Información
Seguridad de la Información
 Seguridad de la Informaciòn

 La seguridad no es algo que se compra es

algo que se hace….
 Seguridad de informacion

 La arquitectura donde se integran y combinan

aplicaciones, sistemas y soluciones, software,
alarmas, y las exploraciones de vulnerabilidad a
fin de trabajar juntos y monitoreo 24 x 7

 Exige tener gente, Procesos, Tecnologia,

politicas, procedimientos,

 La seguridad es integral (PPT) y no solo para

dispositivos y equipos

20
5/02/13
 ed
us ion
gy t
lo isa 21
no an
ch rg
Te O
by
ss
ne es
si ss
Bu oce
f Pr
af
St
on
ti
za
TECHNOLOGY
PROCESSES

i
an
PEOPLE

rg
O

5/02/13
 Activo de Informacion

• Haga clic para modificar el estilo de texto del

– Segundo nivel
– Tercer nivel
• Cuarto nivel
– Quinto nivel
 Que es una Amenaza

• Haga clic para modificar el estilo de texto del

– Segundo nivel
– Tercer nivel
• Cuarto nivel
– Quinto nivel
Que es una Amenaza
 Que es una Vulnerabilidad

• Haga clic para modificar el estilo de texto del

– Segundo nivel
– Tercer nivel
• Cuarto nivel
– Quinto nivel
 Reconocer las Vulnerabilidades

• Vulnerabilidad: “ una debilidad que

facilita la materialización de una
amenaza”
• Ejemplos:
– Inexistencia de procedimientos de
trabajo
– Concentración de funciones en una
sola persona
– Infraestructura insuficiente
 Clasificación de Vulnerabilidades
Haga clic para modificar el estilo de texto del patró
– Segundo nivel
– Tercer nivel
• Cuarto nivel
– Quinto nivel
 Que es un Impacto

• Haga clic para modificar el estilo de texto del

– Segundo nivel
– Tercer nivel
• Cuarto nivel
– Quinto nivel
 Que es Riesgo
• Haga clic para modificar el estilo de texto del
– Segundo nivel
– Tercer nivel
• Cuarto nivel
– Quinto nivel
 Matriz de Riesgo

• Haga clic para modificar el estilo de texto del

– Segundo nivel
– Tercer nivel
• Cuarto nivel
– Quinto nivel
La Gestion del Riesgo
La Gestión del Riesgo
Sistema de Gestión de Seguridad de
Informacion SGSI
Sistema de Gestión de Seguridad de
Informacion SGSI
Sistema de Gestión de Seguridad de
Informacion SGSI
Objetivos Generales del SGI
SGSI Requerimientos Generales
Requerimientos de documentacion
General
Implantación SGSI
 Sistema de gestión de seguridad
de la información

• Haga clic para modificar el estilo de texto del p

– Segundo nivel
– Tercer nivel
• Cuarto nivel
– Quinto nivel
Alcance del SGI
Haga clic para modificar el estilo de texto del patró
– Segundo nivel
– Tercer nivel
• Cuarto nivel
– Quinto nivel
 ¿Por qué Implementar un SGSI?

Los procesos y servicios de la Institución

que soporta los

Confidencialidad Integridad Disponibilidad

Seguridad vela por

de la Información
 Implementación del SGSI

Haga clic para modificar el estilo de texto del patró

– Segundo nivel
– Tercer nivel
• Cuarto nivel
– Quinto nivel
 Etapas del SGSI
Haga clic para modificar el estilo de texto del patró
– Segundo nivel
– Tercer nivel
• Cuarto nivel
– Quinto nivel
 Beneficios del SGI

1. A nivel organizativo – Compromiso

2. En el plano jurídico – Cumplimiento
3. A nivel operativo - Gestión del riesgo
4. En el plano comercial - Credibilidad y
confianza
5. A nivel financiero - Reducción de costes
6. A nivel humano - Mejora de la
concienciación de los empleados

47
 Por el contrario las brechas de
seguridad llevan a :
• Reputación pérdida
• Perdida financieros
• Pérdida de propiedad intelectual
• Las infracciones legislativas que conduzcan a
​
acciones legales (Cyber Law)
• La pérdida de la confianza de los clientes
• Costos de interrupción de negocios

Perdida de Buena Voluntad

48
5/02/13
 Historia de la Norma ISO 27001

Haga clic para modificar el estilo de texto del patró

– Segundo nivel
– Tercer nivel
• Cuarto nivel
– Quinto nivel
 Objetivos de ISO 27001
• Políticas de Seguridad
• Organización de Seguridad
• Gestión de Activos
Integridad

• Seguridad de los Recursos

Humanos
• Cumplimiento de Políticas y
Normatividad Legal
Información

confidencialidad Disponibilidad
La ISO 27001
Contenido de la ISO 27001
ISO 27001 : Estructura
ISO 27001 : Estructura
Ciclo PHVA o PDCA
 Beneficios de la Norma
ISO 27001
1. Establecimiento de una metodología de gestión de la seguridad de la
información clara y bien estructurada.

2. Reducción de riesgos de pérdida, robo o corrupción de la información.

Los usuarios tienen acceso a la información de manera segura, lo que se
traduce en confianza.

3. Los riesgos y sus respectivos controles son revisados constantemente.

4. Las auditorias externas e internas permiten identificar posibles debilidades del

sistema.

5. Continuidad en las operaciones del negocio tras incidentes de gravedad.

6. Garantizar el cumplimiento de las leyes y regulaciones establecidas en

materia de gestión de información.

7. Incrementa el nivel de concientización del personal con respecto a los tópicos

de seguridad informática.

8. Proporciona confianza y reglas claras al personal de la empresa.

ISO 27002
ISO 27002: Estructura
ISO 27002 : Estructura
Tareas a realizar
Tareas a realizar
Tareas a realizar
 Etapa: • Sistemas Informáticos
• Infraestructura
Certificar • Servidores
en • Comunicaciones
ISO/IEC • Aplicaciones
• Bases de Datos
27001
 Las Herramientas y los servicios
Experiencia Europea
• Les guides
– La méthode et ses bases de connaissances (5 sections), ses meilleures
pratiques expliquant comment utiliser EBIOS selon le contexte
– Des plaquettes et un mémento synthétiques
• Le logiciel libre
– Gratuit, disponible sur demande ou en téléchargement
– Plus de 2000 cédéroms envoyés dans 50 pays
• Les traductions
– L’ensemble du référentiel est disponible gratuitement en français, en
anglais, en allemand et en espagnol
• Les compétences
– Les formations au CFSSI pour les agents de l’administration (formation de 2
jours, formation de formateurs de 5 jours, formations ad-hoc)
– La formation en ligne sur la gestion des risques (en cours)
– La labellisation de personnes (en cours d’élaboration)
• Le Club EBIOS
– 75 experts du secteur public et du secteur privé, français et étrangers
Compatibilidad con otros
Sistemas de Gestion
 Conclusiones

• La Información es uno de los activos mas

valiosos de la organización
• Las Políticas de seguridad permiten disminuir
los riesgos
• Las políticas de seguridad no abordan sólo
aspectos tecnológicos
• El compromiso e involucramiento de todos es
la premisa básica para que sea real.
• La seguridad es una inversión y no un gasto.
• No existe nada 100% seguro
• Exige evaluación permanente.
 Conclusiones

Seguridad de la Información es "problema de

organización« en lugar de "problema"

Más del 70% de las amenazas son internas

Más de 60% son culpables los estafadores por Primera

Vez

El mayor riesgo: personas

Principal activo: las personas

Ingeniería Social es una gran amenaza

Más de 2/3 expresa su incapacidad para determinar "si

mis sistemas están actualmente en peligro?"
69
5/02/13
 CREANDO CONCIENCIA

• La información de las compañías deben mantener la

confiabilidad, integridad y disponibilidad de la misma,
que son factores importantes para asegurar el éxito
del negocio y asegurar que las necesidades de sus
clientes y socios sean cumplidas a satisfacción.
•
• Tanto la implementación como el cumplimiento de las
normas es el trabajo de cada empleado de la
empresa y serán efectivas, si todas las personas
involucradas se encuentran instruidas en temas
relacionados con Seguridad de la Información y
utilizan este conocimiento para actuar con seguridad
y siendo responsables y consistentes con sus
acciones.
 Usuarios con Robo, Ataque de virus
conocimento Sabotage,
especializado IT mal uso
Systems

Sistemas & Falta de Lapso en Calamidades

Redes con Documentacion seguridad Naturales&
falla Fisica Fuego

71
• La clave es encontrar el justo equilibrio de
acuerdo al giro de cada negocio que permita
mantener controlado el RIESGO.
 PDCA Process SGSI

SGSI PROCESS
Interested Interested
Parties Parties
Management Responsibility

PLAN
Establish
SGSI

DO ACT
Implement &
Maintain &
Operate the
Improve
SGSI

Information
Security Managed
Requirements CHECK Information
Monitor &
& Security
Review SGSI
Expectations

Mohan Kamat
73
5/02/13
 Quien es el centro ¿?

SEC RITY
U
U-R
Mohan Kamat
74
5/02/13
 CULTURA de la seguridad ,
responsabilidad de TODOS

ACTITUD proactiva,
Investigación permanente
 Esfuerzos integrados del personal es siempre mejor que un
Firewall

. . . Debemos construir un Muro humano junto con el firewall

76
Muchas Gracias!!