Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Clase N°2 - Introducción Al SGSI
Clase N°2 - Introducción Al SGSI
Ciberseguridad
Sesión N°2 – ISO 27.001
Profesor
Carlos Lobos de Medina
Agenda
Introducción a
Estándares de
Ciberseguridad
• ¿Por que gestionar la Seguridad de la Información?
• Introducción al SGSI
• Análisis de Clausulas
• Proceso de Certificación
• Consultas
2
Introducción a
Estándares de
Ciberseguridad
3
Por que las tecnologías han evolucionado
Introducción a
Estándares de
Ciberseguridad
5
Por que el contexto nos exige
Introducción a
Estándares de
Ciberseguridad
Teletrabajo
Continuidad
6 Servicios
Por que cada vez tenemos más regulaciones
Introducción a
Estándares de
Ciberseguridad
Datos Personales
Teletrabajo
Contratación
Informática
Criminalidad Firma
Informática electrónica
Inteligencia
Artificial
Disputas
Laborales
Propiedad Intelectual
7
Por que cada vez son más los riesgos
Introducción a
Estándares de
Ciberseguridad
10
Por que en Chile han pasado cosas
Introducción a
Estándares de
Ciberseguridad
11
Conclusiones Generales
Introducción a
Estándares de Las TI son parte esencial del negocio
Ciberseguridad
Prácticamente todo esta soportado en tecnología
Implica también una alta dependencia
Requiere el aseguramiento de su buen funcionamiento
12
Introducción a
Estándares de
Ciberseguridad
Introducción al SGSI
13
Si su organización es débil en la Seguridad de la Inf.?
Introducción a
Estándares de
Ciberseguridad
“Garantiza que sólo los usuarios autorizados (confidencialidad) puedan tener acceso a
la información precisa (integridad) cuando sea necesario (disponibilidad)”[CISM,
2018]
Confidencialidad
INFORMACIÓN
Disponibilidad Integridad
TRIADA DE LA SEGURIDAD DE LA
INFORMACIÓN
15
Acerca de la Confidencialidad
Introducción a
Estándares de
Ciberseguridad
“Propiedad de la información por la que mantiene inaccesible y no se
revela a individuos, entidades o procesos no autorizados.”[ISO
27.000:2019]
16
Acerca de la Integridad
Introducción a
Estándares de
Ciberseguridad
“Salvaguardia de la exactitud y totalidad de la información y de los
medios de procesamiento.”[ISO 27002]
El no repudio provee un medio para que la persona que envía o recibe información no
pueda negar que envió o recibió dicha información.
19
¿Como se logra la Seguridad de la Información?
Introducción a
Estándares de
Ciberseguridad “La seguridad de la información se logra implementando un conjunto de
controles adecuado, que incluye políticas, procesos, procedimientos,
estructuras organizacionales y funciones de software y hardware.” [ISO
27.002:2013]
Políticas
Procesos
Procedimientos
Gestión de Riesgos
Estructuras organizacionales
Controles
Software
Hardware
Tecnologías en general
20
Sistema de Gestión de Seguridad de la Información (SGSI)
Introducción a
Estándares de
Ciberseguridad
“Es un sistema que determina que requiere protegerse, y por qué, de que debe ser
protegido y como protegerlo.” (Albert, 2003)
Amenazas
¿De que protegerlos?
Vulnerabilidades
21
Introducción a
Estándares de
Ciberseguridad
Análisis de Clausulas
22
Estructura de la Norma
Introducción a 2. Referencias 3. Términos y
1.- Alcance y Ámbito de
Estándares de Normativas Definiciones
Aplicación
Ciberseguridad
ACTUAR PLANIFICAR
5. Liderazgo
10. Mejora
Riesgos
Gestionados
4. Contexto de
la Organización 6. Planificación
Requerimientos
9. Evaluación
de Desempeño 7. Apoyo
8. Operación
VERIFICAR HACER
23
En la práctica
Introducción a
Estándares de
Ciberseguridad
• Fuente: ISO/IEC 27001 y ENS, binomio perfecto para la ciberseguridad – Delgado & Fernandez. 2019.
24
Controles de Seguridad – Anexo A
Introducción a
Estándares de
Ciberseguridad ISO 27002:2013 DOMINIOS # Controles
A5 Política de Seguridad de la Información 2
A6 Organización de la seguridad de la información 7
A7 Seguridad de los RRHH 6
A8 Gestión de activos 10
A9 Control de accesos 14
A10 Criptografía 2
A11 Seguridad física y ambiental 15
A12 Seguridad en las operaciones 14
A13 Seguridad en las comunicaciones 7
A14 Adquisición, desarrollo y mantenimiento de los sistemas de inf. 13
A15 Relaciones con proveedores 5
A16 Gestión de incidentes de seguridad de la información 7
A17 Aspectos de seguridad de la inf. en continuidad de negocio 4
A18 Cumplimiento 8
TOTAL 114
25
1. Alcance y Aplicación
Introducción a
Estándares de
Ciberseguridad “Esta norma define los requerimientos para establecer, implementar, mantener
y mejorar de manera continua un sistema de gestión de la seguridad de la
información, dentro del contexto de la organización.”
“Los requisitos definidos en esta norma son genéricos y tienen por objetivo ser
aplicables a todas las organizaciones, sin importar el tipo, tamaño o naturaleza.”
26
2. Normativa de Referencia
Introducción a
Estándares de
Ciberseguridad Hace referencia a la ISO 27000, la cual define el vocabulario
empleado en la serie de normas ISO 27000.
27
3. Términos y Definiciones
Introducción a
Estándares de
Ciberseguridad
28
4. Contexto de la Organización
Introducción a
Estándares de
Ciberseguridad
4.1 Comprender la organización y su contexto
La organización debe determinar los elementos externos e internos que son
importantes para alcanzar sus objetivos.
30
4.3 El alcance del SGSI
Introducción a
Estándares de
Ciberseguridad
Establece los limites del SGSI, que será lo que formará parte del sistema de
gestión y que no.
31
5.1 Liderazgo y Compromiso
Introducción a
Estándares de
Ciberseguridad La alta dirección debe demostrar liderazgo y compromiso con respecto
al SGSI:
a) Estableciendo objetivos alcanzable
b) Asegurando la integración de los requisitos del SGSI a los procesos de la
organización
c) Proveyendo los recursos necesarios
d) Comunicando efectivamente
e) Asegurando que el SGSI alcance los resultados
f) Contribuyendo en la eficacia del SGSI
g) En la mejora continua
h) Apoyando a otros roles en el liderazgo
32
5.2 Política de Seguridad de la Información
Introducción a
Estándares de La alta dirección debe establecer una política de seguridad de
Ciberseguridad
la información que:
a) Es pertinente al objetivo de la organización;
b) Incluya los objetivos de seguridad de la información o que
proporcione el marco de trabajo para establecer los objetivos de
seguridad de la información;
c) incluye un compromiso para satisfacer los requisitos aplicables,
relacionados a la seguridad de la información
d) Incluya un compromiso para la mejora continua del SGSI
34
3 Líneas de Defensa
Introducción a
Estándares de
Ciberseguridad
Auditoría
Operación
35
6. Planificación
Introducción a
Estándares de 6.1 Acciones para abordar los riesgos y las oportunidades
Ciberseguridad Otorga los lineamientos para la Gestión de Riesgos
36
Proceso de Gestión de Riesgos – ISO 31.000
Introducción a
Estándares de
Ciberseguridad
Actividad Severidad
Actividad 11 Catastrófico
Actividad 2 Catastrófico
Actividad 4 Alto
Actividad 7 Moderado
En Seguridad de la Información
Probabilidad: Se estima en base a amenazas y vulnerabilidades
37 Impacto: Se estima en base a la perdida del CID
Definiciones Importantes (ISO 73:2009)
Introducción a
Estándares de Riesgo
Ciberseguridad
• Efecto de la incertidumbre en la consecución de los objetivos.
CID Negocio
Amenazas Vulnerabilidades
Gestión de Riesgo
• Actividades coordinadas para dirigir y controlar una organización en lo relativo al
riesgo.
39
Gestión de Activos
Introducción a
Estándares de
Ciberseguridad La Gestión del Activo
40
Determinación de Criterios de Evaluación
Introducción a
Estándares de Se debe establecer criterios de evaluación mínimos de probabilidad,
Ciberseguridad
impacto y nivel de severidad.
Se debe justificar la exclusión, ya sea, por que esta fuera del alcance, los
controles no aplican a la naturaleza del activo u otros. La justificación de
la exclusión económica es viable en la medida que se consideren planes
de acción alternativos o controles compensatorios.
43
Ejemplo de SOA
Introducción a
Estándares de
Ciberseguridad
45
7.5 Información documentada
Introducción a
Estándares de
Ciberseguridad
49
9. Evaluación del Desempeño
Introducción a
Estándares de La organización debe evaluar el desempeño de la seguridad de la
Ciberseguridad
información y la efectividad del sistema de gestión de la seguridad de la
información (9.1).
50
Sobre la Auditoría
Introducción a
Estándares de
Ciberseguridad
Debe verificar el cumplimiento con los procesos
organizacionales y con la norma
53
Introducción a
Estándares de
Ciberseguridad
Proceso de Certificación
54
La certificación del SGSI
Introducción a
Estándares de Es un proceso en la cual las organizaciones buscan validar sus
Ciberseguridad
capacidades en la implementación del SGSI mediante un
tercero.
Fuente: ISO/IEC 27001 y ENS, binomio perfecto para la ciberseguridad – Delgado & Fernandez. 2019.
57
Consideraciones
Introducción a
Estándares de
No hay un estándar para determinar la duración de una Auditoría de Certificación,
Ciberseguridad depende de varios factores y el como se calcula es establecido por el Organismo
Certificador.
De igual el criterio de cuando una organización esta apta para la certificación, algunos
Organismos Certificadores establecen un mínimo de un año y otros que existe un
proceso completo de auditoría.
El enfoque de la auditoría se centra en los riesgos críticos del negocio, más aspectos de
la base de la norma, el desafío es buscar el equilibrio.
58
Introducción a Estándares de
Ciberseguridad
Sesión N°2 – ISO 27.001
Profesor
Carlos Lobos de Medina