Introducción a Estándares de

Ciberseguridad
Sesión N°2 – ISO 27.001

Profesor
Carlos Lobos de Medina
 Agenda
Introducción a
Estándares de
Ciberseguridad
• ¿Por que gestionar la Seguridad de la Información?
• Introducción al SGSI
• Análisis de Clausulas
• Proceso de Certificación
• Consultas

2
Introducción a
Estándares de
Ciberseguridad

¿Por que gestionar la Seguridad de la Información?

3
 Por que las tecnologías han evolucionado
Introducción a
Estándares de
Ciberseguridad

Una visión orientada en la intensidad de su uso principalmente en el país.

4
 Por que la Información Personal es cada vez más relevante
Introducción a
Estándares de
Ciberseguridad

Fuente: The International Association of Privacy Professionals (IAPP)

5
 Por que el contexto nos exige
Introducción a
Estándares de
Ciberseguridad

Teletrabajo

Continuidad

Clases Online Transformación

Digital

6 Servicios
 Por que cada vez tenemos más regulaciones
Introducción a
Estándares de
Ciberseguridad

Datos Personales

Teletrabajo
Contratación
Informática

Criminalidad Firma
Informática electrónica

Inteligencia
Artificial
Disputas
Laborales
Propiedad Intelectual
7
 Por que cada vez son más los riesgos
Introducción a
Estándares de
Ciberseguridad

FUENTE: Estudio de Kasperky - IT security economics 2020: executive summary

8
 Por que cada vez se requieren más herramientas
Introducción a
Estándares de
Ciberseguridad

FUENTE: Estudio de Kasperky - IT security economics 2020: executive summary

9
 Por que en Chile han pasado cosas
Introducción a
Estándares de
Ciberseguridad

10
 Por que en Chile han pasado cosas
Introducción a
Estándares de
Ciberseguridad

11
 Conclusiones Generales
Introducción a
Estándares de Las TI son parte esencial del negocio
Ciberseguridad
Prácticamente todo esta soportado en tecnología
Implica también una alta dependencia
Requiere el aseguramiento de su buen funcionamiento

No hay sector, rubro o actividad que evolucione más que las TI

Hardware
Infraestructura
Software
Servicios
Conectividad

No hay sector, rubro o actividad que este más expuesto

Muchos desafíos!!!!
Uno importante es el gestionar la seguridad de la información

12
Introducción a
Estándares de
Ciberseguridad

Introducción al SGSI

13
 Si su organización es débil en la Seguridad de la Inf.?
Introducción a
Estándares de
Ciberseguridad

¿A que se expone si alguno de estos elementos falla?

¿Cuáles son los impactos o consecuencias?
¿Podrían afectar en la continuidad de la organización?
14
 Definición de Seguridad de la Información
Introducción a
Estándares de
Ciberseguridad “La preservación de la confidencialidad, integridad y disponibilidad de la
información”. (ISO 27000:2019)

“Garantiza que sólo los usuarios autorizados (confidencialidad) puedan tener acceso a
la información precisa (integridad) cuando sea necesario (disponibilidad)”[CISM,
2018]

Confidencialidad

INFORMACIÓN

Disponibilidad Integridad

TRIADA DE LA SEGURIDAD DE LA
INFORMACIÓN
15
 Acerca de la Confidencialidad
Introducción a
Estándares de
Ciberseguridad
“Propiedad de la información por la que mantiene inaccesible y no se
revela a individuos, entidades o procesos no autorizados.”[ISO
27.000:2019]

Los requerimientos de confidencialidad nacen de diversas fuentes:

Requerimientos regulatorios
Requerimientos terceros
Necesidades de negocio
Buenas prácticas y estándares

Aspectos que aportan en la confidencialidad:

Clausulas de confidencialidad
El control de acceso
Gestión roles y perfiles
El cifrado de la información
El bloqueo de pantallas
Escritorio limpio

16
 Acerca de la Integridad
Introducción a
Estándares de
Ciberseguridad
“Salvaguardia de la exactitud y totalidad de la información y de los
medios de procesamiento.”[ISO 27002]

En general se habla en dos contextos:

En la información, donde se busca asegurar que la información no haya sido
alterada de manera no autorizada durante el almacenamiento,
procesamiento o comunicación.
En los sistema, donde se busca garantizar que los sistemas provean de los
mecanismos que garanticen la integridad de la información.

Aspectos que aportan en la integridad:

Firmas electrónicas
Funciones de Hash
HTTPS
Controles de ingreso
Claves foráneas
Validaciones de procesos
17
 Acerca de la Disponibilidad
Introducción a
Estándares de
Ciberseguridad “Propiedad de ser accesible y estar listo para su uso a demanda de una
entidad autorizada.”[ISO 27000:2013]

Debe existir un claro alineamiento entre la disponibilidad de los

sistemas y las infraestructuras que lo soportan con los objetivos de
negocio.

Aspectos que aportan en la disponibilidad

Redundancia
Servicios en la nube
Backup
Planes de continuidad
Planes de recuperación de desastres
Gestión de incidentes
Tolerancia a fallos
Calidad de software
Gestión de capacidades
18
 Acerca del No repudio
Introducción a
Estándares de
Ciberseguridad “Capacidad para corroborar que es cierta la reivindicación de que ocurrió un cierto
suceso o se realizo una cierta acción por parte de las entidades que lo originaron.”
[ISO 27.000:2019]

“Se refiere al concepto de garantizar que un mensaje u otra información es genuina.

Cuando se envía información, es importante verificar que proviene de la fuente de la
que se dice que proviene. “ [ISACA CSX:2018]

Las definiciones jurídicas son claves para su funcionamiento, existiendo entidades

que validan a la persona que le entregan su certificado digital y estableciendo la
responsabilidad sobre su uso.

El no repudio provee un medio para que la persona que envía o recibe información no
pueda negar que envió o recibió dicha información.

Tecnología clave: Firma Electrónica

19
 ¿Como se logra la Seguridad de la Información?
Introducción a
Estándares de
Ciberseguridad “La seguridad de la información se logra implementando un conjunto de
controles adecuado, que incluye políticas, procesos, procedimientos,
estructuras organizacionales y funciones de software y hardware.” [ISO
27.002:2013]

La preservación del CID puede parecer un objetivo simplista de la seguridad

de la información, pero para ello se requiere

Políticas
Procesos
Procedimientos
Gestión de Riesgos
Estructuras organizacionales
Controles
Software
Hardware
Tecnologías en general

20
 Sistema de Gestión de Seguridad de la Información (SGSI)
Introducción a
Estándares de
Ciberseguridad
“Es un sistema que determina que requiere protegerse, y por qué, de que debe ser
protegido y como protegerlo.” (Albert, 2003)

 Los procesos de negocio

¿Que requiere protegerse?
 La información y TIC habilitantes

 El valor que tienen para el negocio

¿por qué protegerlos?
 Para preservar la CID requerida

 Amenazas
¿De que protegerlos?
 Vulnerabilidades

 Con prácticas de gestión de riesgo

¿Cómo protegerlos?
 Implementando controles

21
Introducción a
Estándares de
Ciberseguridad

Análisis de Clausulas

22
 Estructura de la Norma
Introducción a 2. Referencias 3. Términos y
1.- Alcance y Ámbito de
Estándares de Normativas Definiciones
Aplicación
Ciberseguridad

ACTUAR PLANIFICAR

5. Liderazgo

10. Mejora
Riesgos
Gestionados
4. Contexto de
la Organización 6. Planificación

Requerimientos

9. Evaluación
de Desempeño 7. Apoyo

8. Operación
VERIFICAR HACER
23
 En la práctica
Introducción a
Estándares de
Ciberseguridad

• Fuente: ISO/IEC 27001 y ENS, binomio perfecto para la ciberseguridad – Delgado & Fernandez. 2019.
24
 Controles de Seguridad – Anexo A
Introducción a
Estándares de
Ciberseguridad ISO 27002:2013 DOMINIOS # Controles
A5 Política de Seguridad de la Información 2
A6 Organización de la seguridad de la información 7
A7 Seguridad de los RRHH 6
A8 Gestión de activos 10
A9 Control de accesos 14
A10 Criptografía 2
A11 Seguridad física y ambiental 15
A12 Seguridad en las operaciones 14
A13 Seguridad en las comunicaciones 7
A14 Adquisición, desarrollo y mantenimiento de los sistemas de inf. 13
A15 Relaciones con proveedores 5
A16 Gestión de incidentes de seguridad de la información 7
A17 Aspectos de seguridad de la inf. en continuidad de negocio 4
A18 Cumplimiento 8
TOTAL 114
25
 1. Alcance y Aplicación
Introducción a
Estándares de
Ciberseguridad “Esta norma define los requerimientos para establecer, implementar, mantener
y mejorar de manera continua un sistema de gestión de la seguridad de la
información, dentro del contexto de la organización.”

“Los requisitos definidos en esta norma son genéricos y tienen por objetivo ser
aplicables a todas las organizaciones, sin importar el tipo, tamaño o naturaleza.”

“A excepción de los requisitos especificados en cláusulas 4 a la 10, no es

aceptable cuando una organización reclama la conformidad de esta norma.”

26
 2. Normativa de Referencia
Introducción a
Estándares de
Ciberseguridad Hace referencia a la ISO 27000, la cual define el vocabulario
empleado en la serie de normas ISO 27000.

27
 3. Términos y Definiciones
Introducción a
Estándares de
Ciberseguridad

28
 4. Contexto de la Organización
Introducción a
Estándares de
Ciberseguridad
4.1 Comprender la organización y su contexto
La organización debe determinar los elementos externos e internos que son
importantes para alcanzar sus objetivos.

4.2 Comprender las necesidades y expectativas de las partes

interesadas
Comprender requisitos de seguridad de la información desde las partes
interesadas (accionistas, dueños, dirección, operación, clientes, reguladores, etc.)

4.3 Determinar el alcance del SGSI

4.4 Definir el SGSI

“La organización debe establecer, implementar, mantener y mejorar de manera
continua un sistema de gestión de la seguridad de la información, según los
requerimientos de esta norma”.
29
 Herramientas de Análisis del Contexto
Introducción a
Estándares de
Ciberseguridad “Determinar estos asuntos se refiere a establecer el contexto externo e interno
de la organización, considerado en ISO 31000:2009, 5.3.”

Se emplean para ello principalmente el análisis FODA y el análisis PESTEL.

Fortaleza Debilidades Políticos Económicos

FODA Sociales PESTEL Tecnológicos

Oportunidades Amenazas Ambientales Legales

30
 4.3 El alcance del SGSI
Introducción a
Estándares de
Ciberseguridad
Establece los limites del SGSI, que será lo que formará parte del sistema de
gestión y que no.

La organización debe determinar los límites y la aplicabilidad del SGSI para

establecer su alcance.

El alcance de un sistema de gestión puede ser:

Una organización
Un proceso o más
Un sistema o más
Un área de negocio o más

Debe ser documentado.

31
 5.1 Liderazgo y Compromiso
Introducción a
Estándares de
Ciberseguridad La alta dirección debe demostrar liderazgo y compromiso con respecto
al SGSI:
a) Estableciendo objetivos alcanzable
b) Asegurando la integración de los requisitos del SGSI a los procesos de la
organización
c) Proveyendo los recursos necesarios
d) Comunicando efectivamente
e) Asegurando que el SGSI alcance los resultados
f) Contribuyendo en la eficacia del SGSI
g) En la mejora continua
h) Apoyando a otros roles en el liderazgo

32
 5.2 Política de Seguridad de la Información
Introducción a
Estándares de La alta dirección debe establecer una política de seguridad de
Ciberseguridad
la información que:
a) Es pertinente al objetivo de la organización;
b) Incluya los objetivos de seguridad de la información o que
proporcione el marco de trabajo para establecer los objetivos de
seguridad de la información;
c) incluye un compromiso para satisfacer los requisitos aplicables,
relacionados a la seguridad de la información
d) Incluya un compromiso para la mejora continua del SGSI

La política de seguridad de la información debe:

e) Estar disponible como información documentada;
f) Ser comunicada dentro de la organización; y
g) Estar disponible para las partes interesadas, según corresponda.
33
 5.3 Roles organizacionales
Introducción a
Estándares de La alta dirección debe asegurar que las responsabilidades y las
Ciberseguridad
autoridades para los roles pertinentes a la seguridad de la
información son asignados y comunicados.

La alta dirección debe asignar la responsabilidad y la

autoridad para:
a) Asegurar que el sistema de gestión de la seguridad de la información
cumple con los requisitos de esta norma; y
b) Informar a la alta dirección sobre el desempeño del SGSI

34
 3 Líneas de Defensa
Introducción a
Estándares de
Ciberseguridad

Auditoría

Riesgos ¿Cuáles son los roles y

responsabilidades en los diversos
niveles?

Operación

35
 6. Planificación
Introducción a
Estándares de 6.1 Acciones para abordar los riesgos y las oportunidades
Ciberseguridad Otorga los lineamientos para la Gestión de Riesgos

6.1.2 Evaluación de riesgo de la seguridad de la información

Establece el proceso y los criterios que permita la evaluación de riesgos.
“asegure que las evaluaciones de riesgo de la seguridad de la información,
producen resultados consistentes, válidos y comparables, una y otra vez”.

6.1.3 Tratamiento de riesgo de la seguridad de la información

Debe seleccionar opciones para el tratamiento de riesgos.
Determinar los controles requeridos
Verificar si hay controles requeridos en el Anexo A que hayan sido omitidos
Realizar la Declaración de aplicabilidad de controles.
Formular el Plan de tratamiento de riesgos

36
 Proceso de Gestión de Riesgos – ISO 31.000
Introducción a
Estándares de
Ciberseguridad

Actividad Severidad

Actividad 11 Catastrófico

Actividad 2 Catastrófico

Actividad 4 Alto
Actividad 7 Moderado

Riesgo = Probabilidad x Impacto

En Seguridad de la Información
Probabilidad: Se estima en base a amenazas y vulnerabilidades
37 Impacto: Se estima en base a la perdida del CID
 Definiciones Importantes (ISO 73:2009)
Introducción a
Estándares de Riesgo
Ciberseguridad
• Efecto de la incertidumbre en la consecución de los objetivos.
CID Negocio

Riesgo TI = Probabilidad x Impacto - Controles

Amenazas Vulnerabilidades

Gestión de Riesgo
• Actividades coordinadas para dirigir y controlar una organización en lo relativo al
riesgo.

Proceso de Gestión de Riesgo

• Aplicación sistemática de políticas, procedimientos y prácticas de gestión a las
actividades de comunicación, consulta, establecimiento del contexto, e identificación,
38 análisis, evaluación, tratamiento, seguimiento y revisión del riesgo.
 En términos Simples
Introducción a
Estándares de 1. La organización establece su apetito de riesgo.
Ciberseguridad Impacto
2. Realiza el proceso de apreciación de riesgos. El
cual en base a la identificación del activo y su R1
criticidad, el análisis de amenazas y
vulnerabilidades, obtiene la evaluación del riesgo
inherente.
R3

3.-Los riesgos que están por sobre el apetito o la R2

tolerancia establecida deben ser tratados, los
otros se aceptan.

4.- Analiza los controles existentes y los que

implementará y en base a la evaluación de estos Probabilidad
obtiene el riesgo residual.

39
 Gestión de Activos
Introducción a
Estándares de
Ciberseguridad La Gestión del Activo

El análisis del CID

40
 Determinación de Criterios de Evaluación
Introducción a
Estándares de Se debe establecer criterios de evaluación mínimos de probabilidad,
Ciberseguridad
impacto y nivel de severidad.

41 Fuente: Documento técnico 70 - CAIGG

 En relación a los riesgos
Introducción a
Estándares de No establece que sea empleado un enfoque de procesos o activos,
Ciberseguridad siendo lo común en el ámbito de las TI el empleo de activos.

No define la adopción o empleo de una norma, puede ser usada la ISO

31000 o ISO 27005 de manera indistinta.

Generalmente se emplean criterios cualitativos para la evaluación de

riesgos, los que permiten estimar los riesgos inherentes (propio de la
actividad) y los riesgos residuales (lo que queda una vez aplicado los
controles).

En el tratamiento de riesgos se deben emplear controles del Anexo A,

pudiendo implementar controles ajenos a la norma en caso de ser
requerido por el negocio.
42
 Declaración de Aplicabilidad de Controles
Introducción a
Estándares de También conocida como el SoA (Statement of Aplicability)
Ciberseguridad

Contiene todos los controles necesarios para el tratamiento de riesgos y

además la justificación de inclusiones, sean estas implementadas o no y
la justificación para exclusiones.

Se debe justificar el uso del control, ya sea, por que permite el

tratamiento de un riesgo, como buena práctica o bajo un requisito legal.

Se debe justificar la exclusión, ya sea, por que esta fuera del alcance, los
controles no aplican a la naturaleza del activo u otros. La justificación de
la exclusión económica es viable en la medida que se consideren planes
de acción alternativos o controles compensatorios.

43
 Ejemplo de SOA
Introducción a
Estándares de
Ciberseguridad

Corresponde a un extracto del SoA.

Debe hacer a los 114 controles de la norma.

44
 7. Apoyo
Introducción a
Estándares de
Ciberseguridad
Un SGSI se apoya en recursos, competencia, concienciación y
comunicación:

Se deben realizar acciones de concienciación y capacitación en

seguridad de la información al personal de la organización

Se deben determinar y desarrollar competencias a los diferentes roles

(CISO, Auditores, funcionarios)

Llevar acabo comunicaciones adecuadas – Quién, cómo, cuando, …. (por

ejemplo frente ante incidentes de seguridad).

45
 7.5 Información documentada
Introducción a
Estándares de
Ciberseguridad

La documentación exigida en un SGSI, deben estar protegidos y controlados:

Aprobación y distribución.
Control de versiones, cambios y obsoletos.
Clasificación de la documentación.
Documentos y registros legibles e identificables.
Documentación externa identificada.
46
 8. Operación
Introducción a
Estándares de De forma general, un SGSI establece en la operación:
Ciberseguridad

Implementar los controles seleccionados desde el plan tratamiento

del riesgo
Implementar procedimientos de operación
Realizar programas de formación y concienciación
Definir eficacia de los controles
Establecer mecanismos de control y monitoreo

Los mecanismos de control u monitoreo se realizan

generalmente sobre:
Los objetivos de seguridad
El plan de tratamiento de riesgos
Los controles implementados
47
8

Medición de Seguridad de la Información - ISO 27.004

Introducción a
A continuación, se muestra una figura que muestra cómo se relacionan los requerimientos de la
Estándares de
Ciberseguridad
norma ISO 27.001 – cláusula 9.1 con los contenidos de la norma ISO 27.004

48 Fuente: ISO 27.004:2016

9

Ejemplos desde la ISO 27.004:2016

Introducción a
La norma en el anexo B ofreces 37 ejemplos de indicadores definidos, a continuación se
Estándares de
Ciberseguridad
presentan algunos de ellos.

49
 9. Evaluación del Desempeño
Introducción a
Estándares de La organización debe evaluar el desempeño de la seguridad de la
Ciberseguridad
información y la efectividad del sistema de gestión de la seguridad de la
información (9.1).

La organización debe llevar a cabo auditorías internas en intervalos

planificados (9.2).

La alta dirección debe revisar el sistema de gestión de la seguridad de la

información en los plazos planificados para asegurar su conveniencia,
suficiencia y efectividad continua (9.3).

50
 Sobre la Auditoría
Introducción a
Estándares de
Ciberseguridad
Debe verificar el cumplimiento con los procesos
organizacionales y con la norma

Deben estar debidamente planificadas.

Se deben definir los criterios de auditoría y el alcance para

cada auditoría.

El auditor debe ser independiente e imparcial.

Asegurar que los resultados de las auditorías son informados a

la dirección pertinente
51
 10. Mejora Continua
Introducción a
Estándares de La organización debe mejorar de manera continua la
Ciberseguridad
idoneidad, la adecuación y la eficacia del SGSI

Gestionar las acciones preventiva y correctivas identificadas.

Realizando el análisis de la causa a las no conformidades

identificadas.

Toda la organización es responsable de la mejora continua y

deben establecerse los mecanismos que posibiliten el
adecuado levantamiento de acciones preventiva y
correctivas.
52
 Fases de Implementación – Productos por Etapa
Introducción a
Estándares de • Evaluación Inicial Análisis GAP
Ciberseguridad 0 Evaluación de Madurez
FODA - PESTEL
• Análisis del Contexto Definición del Alcance
1
Objetivos y Política del SGSI
• Objetivos del SGSI Estructura Organizacional
2
Matriz de Riesgos
• Gestión de Riesgos Plan de Tratamiento & SoA
3
Políticas, Procedimientos….
• Documentación del SGSI Gestión Documental
4
Procedimientos y controles
• Implementación del SGSI
5 Formación y Concienciación
Auditoría Interna
• Revisión del Sistema Revisión de la Dirección
6
Auditoría Externas
• Auditoría de Certificación Auditoría Certificación
7

53
Introducción a
Estándares de
Ciberseguridad

Proceso de Certificación

54
 La certificación del SGSI
Introducción a
Estándares de Es un proceso en la cual las organizaciones buscan validar sus
Ciberseguridad
capacidades en la implementación del SGSI mediante un
tercero.

Los organismos certificadores de ISO 27.001 en general

corresponden a organismos internacionales acreditados con
organismos de acreditación de alcance global.

Algunos organismos de acreditación:

BSI – British Standards Institution
TuV
Bureau Veritas
Aenor
55
 ¿Por que certificarse?
Introducción a
Estándares de En términos prácticos la certificación en general tiene como propósito:
Ciberseguridad Avanzar hacia una mejora continua en la organización
Diferenciarse en el mercado
Dar mayor confianza a partes interesadas
Acceder a nuevas oportunidades y negocios

El valor de la certificación guarda relación con varias cosas:

Con quien se certifica
El alcance del SGSI
El propósito mismo
La finalidad

En un sentido positivista las organizaciones deberían certificarse para

fortalecer la implementación de su SGSI, contando con evaluaciones
independientes periódicas que le posibilitaran mayores y mejores
56
herramientas para su mejora continua.
 Ejemplo: AENOR
Introducción a
Estándares de
Ciberseguridad

Fuente: ISO/IEC 27001 y ENS, binomio perfecto para la ciberseguridad – Delgado & Fernandez. 2019.
57
 Consideraciones
Introducción a
Estándares de
No hay un estándar para determinar la duración de una Auditoría de Certificación,
Ciberseguridad depende de varios factores y el como se calcula es establecido por el Organismo
Certificador.

De igual el criterio de cuando una organización esta apta para la certificación, algunos
Organismos Certificadores establecen un mínimo de un año y otros que existe un
proceso completo de auditoría.

El enfoque de la auditoría se centra en los riesgos críticos del negocio, más aspectos de
la base de la norma, el desafío es buscar el equilibrio.

No son exhaustivas, no es su propósito, sino otorgar una seguridad razonable de los

cumplimiento de los requisitos de la norma.

58
 Introducción a Estándares de
Ciberseguridad
Sesión N°2 – ISO 27.001

Profesor
Carlos Lobos de Medina