Documentos de Académico
Documentos de Profesional
Documentos de Cultura
la Información (SGSI)
ISO/IEC 27001:2013
NTP ISO/IEC 27001:2014
William Marchand N.
Sistemas de Gestión
Un sistema de gestión es una estructura probada para la
gestión y mejora continua de las políticas, los procedimientos y
procesos de la organización.
Un sistema de gestión ayuda a lograr los objetivos de la
organización mediante una serie de estrategias, que incluyen la
optimización de procesos, el enfoque centrado en la gestión y
el pensamiento disciplinado.
Fuente: Maurice Frayssinet Delgado
William Marchand N.
Sistemas de Gestión
Un SGSI (Sistema de Gestión de Seguridad de la Información)
proporciona un modelo para establecer, implementar, operar,
monitorear, revisar, mantener y mejorar la protección de los
activos de información para lograr objetivos de negocio.
El análisis de los requisitos para la protección de los activos de
información y la aplicación de controles adecuados para garantizar la
protección de estos activos de información, contribuye a la exitosa
implementación de un SGSI.
William Marchand N.
ISO/IEC 27001
William Marchand N.
Algunas normas relacionadas
ISO 27001: Sistema de Gestión de Seguridad de Información (http://www.iso.org/).
William Marchand N.
Norma Técnica Peruana 27001:2014
William Marchand N.
Estructura de la Norma
William Marchand N.
Fuente: ONGEI- PCM
Estructura de la Norma
William Marchand N.
Fuente: ONGEI- PCM
Modelo PDCA para implementación de la
ISO/IEC 27001
Partes Partes
Interesadas Interesadas
Planificación
del SGSI
Implementación y Mantenimiento y
Operación del SGSI Mejora del SGSI
Monitoreo y
Revisión de SGSI
Requerimientos y Seguridad de la
expectativas de Información
Seguridad de la Gestionada
Información
William Marchand N.
Modelo PDCA para implementación de la
ISO/IEC 27001
Implementación Verificación de un
Planificación del SGSI Mejora de un SGSI
de un SGSI SGSI
Definición de Políticas de
Análisis de Riesgo 1er Nivel
Auditoria Interna del SGSI
Gestión de
Indicadores de Seguridad
William Marchand N.
Dominios y controles
A.5 Política de Seguridad de la Información.
A.6 Organización de la Seguridad de la Información.
A.7 Seguridad de los Recursos Humanos.
A.8 Gestión de Activos.
A.9 Control de Acceso.
A.10 Criptografía.
A.11 Seguridad Física y Ambiental.
A.12 Seguridad de las Operaciones.
A.13 Seguridad de las Comunicaciones.
A.14 Adquisición, desarrollo y mantenimiento de sistemas.
A.15 Relaciones con los proveedores.
A.16 Gestión de incidentes de seguridad de la información.
A.17 Gestión de continuidad del negocio.
A.18 Cumplimiento. William Marchand N.
Dominios y controles
La Norma vigente ISO/IEC 27001:2013, cubre 14 dominios, 35
objetivos de control y 114 controles.
La norma predecesora consideraba 139 controles en 11
dominios.
William Marchand N.
Algunos documentos exigidos
Los enunciados de la política de seguridad, los procedimientos y los objetivos de
control.
El alcance del SGSI, los procedimientos y los controles que sostienen el SGSI.
Plan de tratamiento de riesgo.
Los procedimientos documentados necesarios para la organización, a fin de asegurar
la planeación, la operación y el control efectivos de sus procesos de seguridad de la
información.
Declaración de aplicabilidad.
Además, el SGSI de la organización debe incluir: (ver 7.5.1 NTP ISO 27001:2014)
◼ Información requerida por la Norma.
◼ Información documentada determinada por la organización, necesaria para mantener la efectividad
del SGSI.
William Marchand N.
Tratamiento de la información documentada
Identificación y descripción adecuada.
Formato y medios apropiados.
Revisión y aprobación.
Disponibilidad.
Protección adecuada.
Definición de distribución, acceso, recuperación y uso.
Almacenamiento y preservación.
Control de cambios.
William Marchand N.
Auditorias Internas al SGSI
La organización debe realizar auditorias internas del SGSI
a intervalos planeados para determinar si los objetivos,
controles y procesos y procedimientos de su SGSI:
◼ Cumplen con los requerimientos de este estándar y la legislación
o regulaciones relevantes.
◼ Cumplen con los requerimientos de seguridad de información
identificados.
◼ Están implementados y mantenidos de manera efectiva.
◼ Se desempeñan como se esperaba.
William Marchand N.
Equilibrio Gestión-Técnico
William Marchand N.
IMPLEMENTACIÓN DE LA NORMA
William Marchand N.
Enfoque por Procesos
La aplicación del enfoque de proceso variará de una
organización a otra en función de su tamaño, complejidad y
actividades.
A menudo las organizaciones identifican demasiados
procesos que pueden resultar contraproducentes para el
objetivo.
Los procesos se pueden definir como un grupo lógico de
tareas relacionadas entre sí, para alcanzar un objetivo
definido.
William Marchand N.
Información documentada
William Marchand N.
ISO para la gestión
documental
Información y documentación. Sistemas
de gestión para documentos. Requisitos
La organización puede ser certificada en
esta norma
William Marchand N.
Seguridad → Estrategia
El programa de seguridad debe responder a las necesidades de la
organización, no solo ser una implementación de controles.
Todas las objetivos de seguridad debe estar alineados a los
objetivos de negocio.
La estrategia de seguridad debe ser parte del ciclo de vida de los
procesos de negocio.
La implantación de un SGSI es una decisión estratégica que debe
involucrar a toda la organización y que debe ser apoyada y dirigida
desde la dirección.
William Marchand N.
Flujo de un proceso de implementación
Identificación de
Identificación de Análisis
Proceso de Negocio
(Procesos Primarios y Activos de GAP /
Procesos de Soporte) Información ISO 27002
Determinación de
Análisis de los Requisitos de
Evaluación de Impacto al
Riesgos Seguridad
Negocio (Salvaguardas)
Elaboración del
Selección de Elaboración de Programa de
Controles Declaración de Seguridad de
Aplicabilidad Información
•
•
Compromiso de la Dirección
Planificación
Plan Do
• Fechas Inicio Py.
• Responsables
Act Check
• Implantar mejoras • Revisar el SGSI
• Acciones correctivas • Medir la eficacia de los controles Fase 4:
• Acciones preventivas • Revisar riesgos residuales
• Comprobar eficacia de las acciones • Realizar auditorias internas del SGSI Revisión
• Registrar acciones y eventos
Fase 5: Consolidación
William Marchand N.
Iniciando un SGSI
Definición del enfoque para la aplicación del SGSI
◼ Velocidad de Implementación
◼ Nivel de madurez del proceso y controles
◼ Expectativas y ámbito
Selección de un marco metodológico
◼ Metodología para gestionar el proyecto (PMBOK)
William Marchand N.
Nivel de Madurez
Es importante determinar en que nivel se encuentra la
organización, para ello CMM(Modelo de Madurez de
Capacidades) muestra la madurez de una organización
basándose en la capacidad de sus procesos
William Marchand N.
Nivel de Madurez
William Marchand N.
Análisis de
Brechas - Matrices
William Marchand N.
William Marchand N.
Análisis de Brechas (GAP)
William Marchand N.
FASE 1: ORGANIZACIÓN
William Marchand N.
Actividades de organización
Obtener el apoyo institucional
Determinar el alcance del Sistema de Gestión de Seguridad de la
Información
Determinar la declaración de Política de Seguridad de la Información y
objetivos
Determinar criterios para la evaluación y aceptación de riesgos
William Marchand N.
Actividades de organización
Sustento para el apoyo institucional (alta dirección)
◼ Cumplimiento.
◼ Protección de Procesos de Negocio.
◼ Disminución de incidentes / mitigación de riesgos.
◼ Ordenamiento del negocio.
William Marchand N.
Propuesta de organización
William Marchand N.
Adaptado por W. Marchand N., 2015
de ONGEI
Comité de Gestión
El Comité de Gestión de Seguridad de la Información es el máximo órgano
consultivo de carácter no técnico.
Se sugiere reuniones periódicas con fines de evaluación y formulación de
propuestas de mejora.
Algunas de las funciones del Comité de Gestión:
◼ Informar la situación Institucional.
◼ Proponer la designación del Oficial de Seguridad de la Información (CISO).
◼ Designar a los miembros del Comité Técnico de Seguridad de la Información.
◼ Patrocinar y participar en la implementación, operación, monitoreo, revisión,
mantenimiento y mejora continua del Sistema de Gestión Seguridad de la Información
(SGSI).
William Marchand N.
Comité Técnico
El Comité Técnico de Seguridad de la Información es un órgano
consultivo de carácter técnico y está integrado por los Jefes, Directores
o Especialistas de los procesos.
Las funciones del Comité Técnico son las siguientes:
◼ Proponer mejoras o iniciativas al Comité de Gestión o al CISO (gestión de riesgos,
activos de información, procesamiento de la información, mejoras al SGSI, etc.)
◼ Reunirse periódicamente para analizar y evaluar la seguridad de la información y
emitir informes.
◼ Participar de las reuniones convocadas por el Comité de Gestión.
◼ Establecer un puente de comunicación y entendimiento entre el nivel técnico y el
nivel de gestión (estratégico).
William Marchand N.
En organizaciones pequeñas, en lugar de formar
comités (grupos de personas), es posible que el
rol del comité de gestión sea asumido por una sola
persona (gerente general o dueño), y el rol de
comité técnico sea asumido por un especialista
que conoce el proceso del negocio.
William Marchand N.
Definir Alcance
El Alcance del SGSI debe estar adecuado a las necesidades,
naturaleza y características de cada organización (tecnología, activos,
organización, ubicación, tamaño, etc.)
No es necesario que el SGSI cubra toda la organización, es posible y
recomendable que se implemente en ciertos procesos críticos o
alcances limitados.
La implementación de la norma puede extenderse gradualmente hacia
toda la organización.
El alcance definido inicialmente puede sufrir actualizaciones o cambios
que deberán ser revisados, aprobados y documentados previamente.
William Marchand N.
Definir Alcance -
Ejemplo
William Marchand N.
FASE 2: PLANIFICACIÓN
William Marchand N.
Actividades generales de Planificación
Evaluación de Riesgos.
Análisis de Impacto al Negocio
Selección de Controles (Tratamiento)
Elaboración de Declaración de Aplicabilidad (SOA).
William Marchand N.
Identificación e inventario de Activos
Elaborar lista de activos de información incluyendo, código,
ubicación, dependencias, tipo, responsable y otra información
que determine la organización.
Se puede utilizar listados predefinidos como el publicado en el
libro 2 – Catálogo de elementos de MAGERIT v3
(https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit
.html#.W8nw6PZReUk)
William Marchand N.
Análisis de Riesgos
ISO 27005
Magerit (España)
Octave (EE.UU.)
Cramm (Reino Unido)
Microsoft (EE.UU.)
TRA (Canada)
NIST 800-30 (EE.UU.)
Mehari (Francia)
…
William Marchand N.
Análisis de Vulnerabilidades
Identificar las vulnerabilidades a nivel:
◼ Técnico.
◼ Recurso humano.
◼ Gestión.
William Marchand N.
Vulnerabilidades – Recurso Humano
Identificar
las vulnerabilidades a nivel de usuarios
mediante análisis de la cultura organizacional y pruebas
basadas en técnicas de Ingeniería Social.
Una alternativa para el análisis es el Kit de
Concienciación de INCIBE. No solo para el diagnóstico,
también para la fase de despliegue.
William Marchand N.
Kit de concienciación - INCIBE
https://www.incibe.es/protege-tu-empresa/kit-
concienciacion William Marchand N.
Análisis de Impacto
Determinación y estimación de la magnitud de daño de los
activos de información ante la materialización de amenazas.
Para estimar el impacto, se puede utilizar una escala tipo Likert
(muy bajo, bajo, mediano, alto, muy alto), juicio de experto,
entre otros.
Asimismo se debe establecer el impacto a nivel de los factores
de la seguridad (confidencialidad, integridad y disponibilidad)
William Marchand N.
Selección de controles
Cada organización puede y debe seleccionar los controles
necesarios para su caso.
Se debe realizar un “mapeo” de los dominios y controles que se
adoptarán para el SGSI, sustentando la elección alineada al
análisis de riesgos.
William Marchand N.
Selección de controles
William Marchand N.
Selección de controles
William Marchand N.
Declaración de Aplicabilidad
Seleccionado los controles, elaborar la Declaración de
Aplicabilidad.
William Marchand N.
Declaración de Aplicabilidad
William Marchand N.
FASE 3: DESPLIEGUE
William Marchand N.
Actividades generales
Elaborar el plan de trabajo priorizado.
Plan de Capacitación.
Desarrollar documentos y registros necesarios
Implementar los controles seleccionados
William Marchand N.
Plan de Trabajo
Un plan de trabajo es un instrumento de planificación.
Estructura actividades, responsables, tiempos, recursos,
generalmente se expresa por medio de un diagrama de
gantt.
William Marchand N.
Plan de Capacitación - Concienciación
Definir las necesidades de capacitación y concienciación
Diseño y planificación de la capacitación y concienciación
Provisión de la capacitación y concienciación
Evaluación de los resultados de la capacitación y
concienciación.
Sugerencia: Aplicación del Kit de concienciación de INCIBE
William Marchand N.
Plan de Capacitación - Concienciación
La gran diferencia entre la formación y la concienciación es
que la capacitación tiene por objeto proporcionar los
conocimientos para permitir que la persona ejerza sus
funciones mientras que el objetivo de concienciar es
centrar la atención en un interés individual o una serie de
asuntos sobre la seguridad.
William Marchand N.
Comunicación
Determinar qué queremos conseguir, cuáles son nuestros objetivos de
comunicación.
Decidir a quién vamos a dirigir nuestra comunicación.
Pensar cuál es la idea que queremos transmitir.
Fijar el presupuesto con el que contamos (cuánto).
Seleccionar los medios apropiados y su frecuencia de utilización.
Ejecutar el plan de medios y medir su impacto.
William Marchand N.
FASE 4: REVISIÓN
William Marchand N.
Monitoreo y Revisión
Monitorear el desempeño del SGSI
Fortalecer la gestión de incidentes
Desarrollar documentos y registros necesarios
Desarrollar las actividades para evidenciar la mejora continua
William Marchand N.
Objetivos de medición
La norma no indica lo que debe ser objeto de supervisión o
medición
Corresponde a la empresa determinar qué es lo que necesita ser
controlado y medido
Es una mejor práctica centrarse en la vigilancia y medición de las
actividades que están vinculadas a los procesos críticos.
Demasiadas medidas pueden distorsionar el enfoque de una
organización y desenfocar lo que es verdaderamente importante.
William Marchand N.
Objetivos de medición
Los objetivos de la medición en el marco de un sistema
de gestión incluyen:
◼ Evaluación de la eficacia de los procesos y procedimientos
implementados;
◼ Verificación de la medida en que los requisitos identificados de
la norma se han cumplido.
◼ Facilitar la mejora del rendimiento;
◼ Aportar para la revisión de la gestión para facilitar la toma de
decisiones y justificar las mejoras que necesita el sistema de
gestión implementado.
William Marchand N.
¿Cómo monitorear?
Se puede utilizar un Tablero de Mando (BSC)
William Marchand N.
Gestión de incidentes
Asegurarse de que los eventos de seguridad son detectados e
identificados.
Educar a los usuarios acerca de los factores de riesgo que podrían
causar incidentes de seguridad.
Tratar los incidentes de seguridad en la forma más adecuada y
eficaz.
Reducir el posible impacto de los incidentes sobre las operaciones
de la organización.
Prevenir futuros incidentes de seguridad y reducir su probabilidad
de ocurrencia.
Mejorar la seguridad de los controles de la organización.
William Marchand N.
Gestión de incidentes
Sugerencia: Utilizar como marco
referencial la Guía de Manejo de
Incidentes de Seguridad
Informática del NIST (800-61r2)
William Marchand N.
FASE 5: CONSOLIDACIÓN
William Marchand N.
Auditorias Internas
Auditar internamente el SGSI
Implementar las acciones correctivas
Implementar las acciones preventivas pertinentes
Desarrollar, corregir y mejorar documentación nueva o
existente
William Marchand N.
Auditorias Internas - Procedimiento
1. Crear el programa de auditoría interna.
2. Designar al responsable.
3. Establecer la independencia, objetividad e imparcialidad.
4. Planificación de las actividades.
5. Asignar y administrar los recursos del programa de auditoría.
6. Crear procedimientos de auditoría.
7. Realizar actividades de auditoría.
8. Seguimiento de no conformidades.
William Marchand N.
El Sistema de Gestión de la Seguridad de la
Información (SGSI) en las empresas ayuda a
establecer políticas, procedimientos y controles
en relación a los objetivos de negocio de la
organización
William Marchand N.
Referencias
1. ONGEI, Maurice Frayssinet Delgado (2015)
2. NIST 800-61r2
3. ISO/IEC 27001:2013
4. NTP ISO/IEC 27001:2014
5. INCIBE, https://www.incibe.es
William Marchand N.
Actividad 3
Definir el alcance del SGSI de la organización que está
trabajando como caso de estudio.
Formular la Declaración de Aplicabilidad (SoA)
Realizar un análisis de brechas de los controles de la NTP
ISO/IEC 27001
William Marchand N.
Sistema de Gestión de Seguridad de
la Información (SGSI)
ISO/IEC 27001:2013
NTP ISO/IEC 27001:2014
GRACIAS!
William Marchand N.