Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO 27001 v011 PDF
ISO 27001 v011 PDF
2
Sección 1
Principios fundamentales de la
Seguridad de la Información
3
¿Qué es Seguridad?
4
Información y Activo
5
Activo de Información
6
Tipos de Activos de
Información
• Servicios: Procesos de negocio de la organización
• Datos/Información: Que son manipulados dentro de la
organización, suelen ser el núcleo del sistema, los demás
activos les dan soporte.
• Aplicaciones (Software)
• Equipo Informático (Hardware)
• Personal
• Redes de Comunicación
• Soporte de Información
• Equipamiento Auxiliar
• Instalaciones
• Intangibles
7
Documento - Registro
8
Seguridad de la Información
Nota: Por otra parte, también pueden participar otras propiedades, como la
autenticidad, la responsabilidad, el no-repudio, trazabilidad y la fiabilidad
9
Seguridad de la Información
10
Confidencialidad
11
Integridad
12
Disponibilidad
13
Análisis de Riesgos
Vulnerabilidad
14
Análisis de Riesgos
Amenazas
15
Análisis de Riesgos
Relación: Vulnerabilidad y Amenaza
16
Impacto
17
Riesgo para la Seguridad de la
Información
Probabilidad Consecuencia
de (Impacto) Riesgo
Ocurrencia
18
El Riesgo en función del
Impacto y la Probabilidad
• zona 1 – riesgos muy probables
y de muy alto impacto
• zona 2 – franja amarilla: cubre
un amplio rango desde
situaciones improbables y de
impacto medio, hasta
situaciones muy probables pero
de impacto bajo o muy bajo
• zona 3 – riesgos improbables y
de bajo impacto
• zona 4 – riesgos improbables
pero de muy alto impacto
19
Objetivo de Control y Control
Objetivo de Control
• Declaración de describir lo que se quiere lograr como
resultado de los controles de aplicación
Control
• Métodos para gestionar a riesgo
• Incluye las políticas, procedimientos, directrices y
prácticas o estructuras organizativas
• Sinónimo: medida, contra medida, dispositivo de
seguridad
20
Tipos de Controles
Control preventivo
Desalentar o evitar la aparición de problemas
Ejemplos:
• Publicación de la política de seguridad de la información.
• Hacer que socios y empleados firmen un acuerdo de
confidencialidad.
• Establecer y mantener contactos apropiados con los
grupos de especialistas en seguridad de la información.
• Contratar sólo personal calificado.
21
Tipos de Controles
Control de investigación
Buscar e identificar anomalías
Ejemplos:
• Controles en trabajos de producción.
• Control de ecos en las telecomunicaciones.
• Alarmas para detectar el calor, humo, fuego o riesgos relacionados
con el agua.
• Verificación de los dobles cálculos.
• Cámaras de vídeo.
• Sistema de detección de intrusiones (IDS).
22
Tipos de Controles
Control correctivo
Evitar la repetición de anomalías
Ejemplos:
• Implementar planes de emergencia con la formación,
concienciación, pruebas, procedimientos y actividades de
mantenimiento necesarios.
• Procedimientos de emergencia, tales como copias de
seguridad periódicas, el almacenamiento en un lugar
seguro y la recuperación de las transacciones.
• Procedimientos re-ejecutados.
23
Las Relaciones entre Conceptos de
Gestión de Riesgos
24
Sección 2
25
¿Qué es ISO?
26
Principios
Básicos de las Normas ISO
Principios
3. Orientación al negocio: ISO sólo desarrolla
Básicos de las normas para las que existe demanda del mercado
Normas ISO
4. Enfoque de consenso: busca un amplio consenso
entre las distintas partes interesadas
28
Los Sistemas de Gestión se Integran
SALUD Y
CALIDAD SEGURIDAD
ISO 9001 TRABAJO
OHSAS 18001
SISTEMA
DE
GESTION
SEGURIDAD DE
AMBIENTALISO LA
ISO 14001 INFORMACION
ISO 27001
29
¿Qué es un SGSI?
31
Enfoque a Procesos
32
Ciclo de Deming
33
Ciclo de Deming
34
Familia
ISO 27000
Vocabulario
ISO 27000
Vocabulario
Requisitos
35
ISO 27001
36
ISO 27002
38
Historia de la Norma
ISO 27001
39
Estructura de la Norma
ISO 27001
Clausula 4
Contexto de la
organización
Clausula 5
Planificación
Clausula 10 Clausula 8
Mejora Funcionamiento
Clausula 9
Evaluación del
Clausula 7 desempeño Clausula 5
Soporte Liderazgo
40
Sección 3
41
Enfoque a Procesos
2. Identificación
3. Clasificación y seguridad
4. Modificación
5. Aprobación
6. Distribución
7. Uso adecuado
8. Archivado
9. Disposición
43
ISO 30301
• Información y
documentación. Sistemas
de gestión para
documentos. Requisitos
44
La implantación de un Sistema de
Gestión de Seguridad de la Información es
una decisión estratégica
que debe involucrar a toda la organización y
que debe ser apoyada y
dirigida desde la dirección
45
Etapas
Ciclo de Deming
• Definir alcance del SGSI
• Definir Política de Seguridad
• Compromiso de la dirección • Metodología de evaluación de
• Planificación riesgos.
• Fechas • Inventarios de activos
• Responsables • Identificar amenazas y
vulnerabilidades
• Identificar Impactos
• Análisis y evaluación de riesgos
• Selección de controles y SOA
• Revisar el SGSI
• Medir eficacia de los controles
• Revisar riesgos residuales
• Realizar auditorias internas del
SGSI
• Registrar acciones y eventos 46
Iniciando el SGSI
Es importante determinar
en que nivel se encuentra la
organización, para ello
CMM muestra la madurez
de una organización
basándose en la capacidad
de sus procesos
48
FASE I Organización
49
Fase I Organización
3. Disminución de incidentes
4. Ordenamiento de su negocio
51
Organización de la Seguridad
CGSI COSI
COMITÉ DE GESTION DE COMITÉ TÉCNICO DE
SEGURIDAD DE LA SEGURIDAD DE LA
INFORMACION INFORMACION
AREAS FUNCIONALES
OSI
OFICIAL DE SEGURIDAD DE LA
INFORMACION
ROLES
SI SF
RESPONSABLE SEGURIDAD RESPONSABLE SEGURIDAD
INFORMATICA FISICA
52
Comité Gestión
55
Determinar el Alcance
del SGSI
• Cambios en el alcance.
56
Determinar el Alcance
del SGSI
57
Determinar la Declaración de Política de
Seguridad de la Información y Objetivos
• Debe tener el marco general y los objetivos de seguridad de la
información de la organización
58
Tipos de Política
POLITICA
Política sobre Política de
Política sobre
DETALLADAS control de gestión de
criptografía
acceso incidentes
59
Estructura de una Política
• Resumen
• Introducción
• Ámbito de aplicación
• Objetivos
• Principios
• Responsabilidades
• Resultados importantes
• Políticas relacionadas
• Definiciones
• Sanciones
60
Determinar Criterios para la
Evaluación y Aceptación de Riesgos
• Se debe definir una metodología de evaluación de
riesgos apropiada para el SGSI y las necesidades de la
organización, desarrollar criterios de aceptación de
riesgos y determinar el nivel de riesgo aceptable.
• Magerit (España)
• Octave (EE.UU.)
• Cramm (Reino Unido)
• Microsoft (EE.UU.)
• Tra (Canada)
• Nist 800-30 (EE.UU.)
• Ebios (Francia)
• Mehari (Francia)
62
Factores en la Selección
de la Metodología
1. Compatibilidad con los criterios de la ISO 27001
2. Idioma del método
3. Posibilidad de herramientas de software
4. Documentación, formación, apoyo.
5. Facilidad de uso
6. Costo de utilización
7. Existencia de material de comparación (métricas,
estudios, casos, etc.)
63
FASE II Planificación
64
Desarrollar las actividades de planificación requeridas por la
norma de manera metodológica y en concordancia con la
política y objetivos del SGSI dentro del alcance del mismo.
65
Realizar Evaluación de Riesgos
Inventario de Activos
66
Realizar Evaluación de Riesgos
Inventario de Activos
ESCALA VALORACION
1 Muy Alto (MA)
2 Alto (A)
3 Medio (M)
4 Bajo (B)
5 Muy Bajo (MB) 67
Realizar Evaluación de Riesgos
Análisis de Riesgos
68
Realizar Evaluación de Riesgos
Análisis de Riesgos
69
Plan de
Tratamiento de Riesgos
70
Selección de Controles y SOA
71
Redacción de la Declaración de
Aplicabilidad
72
FASE III Despliegue
73
Desplegar las actividades de implementación del SGSI
74
Plan de Trabajo del SGSI
75
Plan de Capacitación
3. Provisión de la capacitación
76
Plan de Capacitación
77
Plan de Capacitación
78
Plan de Comunicación
79
Plan de Comunicación
Partes Interesadas
• Clientes
• Proveedores
• Empleados
• Comunidades
• Medios de Comunicación
• Inversores
El compromiso con las partes interesadas constituye una oportunidad para que una
organización pueda conocer sus problemas e inquietudes; puede llevar a que el
conocimiento sea adquirido por ambos lados y pueden influir en las opiniones y
percepciones.
80
Controles de la ISO 17799
ahora 27002
Área 1: Política de seguridad.
Área 2: Organización de la seguridad de la información.
Área 3: Gestión de activos. Seguridad
Área 4: Seguridad relacionada con los recursos humanos. Organizativa
Área 10: Gestión de la continuidad del negocio .
81
FASE IV Revisión
82
Realizar actividades de revisión del SGSI evidenciando
el cumplimiento de los requisitos de la norma
83
Monitoreo
Determinar los Objetivos de la Medición
• La norma no indica lo que debe ser objeto
de supervisión o medición
• Corresponde a la empresa determinar qué
es lo que necesita ser controlado y medido
• Es una mejor práctica centrarse en la
vigilancia y medición de las actividades
que están vinculadas a los procesos
críticos que permiten a la organización
alcanzar sus metas y objetivos de
seguridad de la información
• Demasiadas medidas pueden distorsionar
el enfoque de una organización y
desenfocar lo que es verdaderamente
importante
84
Monitoreo
Objetivos de la Medición
86
Gestión de Incidentes
88
Auditar e implementar las mejoras y correcciones del
SGSI a fin de cumplir con los requisitos de la norma
89
Auditoria Interna
90
Tratamiento de Problemas y
no Conformidades
91
FASE VI Certificación
92
Definiciones de la Certificación
93
Proceso de Certificación
2. Auditoria de Pre-evaluación.
6. Confirmación de la inscripción.
94
Preguntas
95
Contactos
96
ONGEI
Oficina Nacional de Gobierno Electrónico e Informática
www.ongei.gob.pe