AI-ISO27001-2013 (Impresion)

23/11/2013
AUDITOR INTERNO EN SISTEMAS

DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN CONFORME A LA
NORMA ISO 27001
© Ing. Juan Carlos Angarita Castellanos, M.E. 1
PRESENTACION DEL INSTRUCTOR

Ing. Juan Carlos Angarita Castellanos, M.E.
Maestría Ingeniería de sistemas e Informática (UIS)
Especialización Sistemas Información Geográfico y Sensores Remotos (UIS)
Especialización Auditoría de Sistemas (USTA)
Especialización Desarrollo de Aplicaciones para dispositivos móviles (SENA)
Diplomados Gestión Conocimiento (U-Sabana); Propiedad Intelectual
(WIPO); Gestión de la Calidad (SENA); Alta Gerencia (SENA)
Auditor líder en ISO 27001 – Seguridad de la información
Auditor líder en ISO 22301 – Continuidad del negocio
Auditor líder en ISO 29001 – Calidad Oil & Gas
Auditor líder en ISO 17024 – Calificación de personas
Auditor líder en ISO 9001 – Calidad
Auditor líder en OHSAS 18001 – Seguridad y salud laboral
Auditor en ISO 50001 – Gestión energética
Experiencia sector público, energético, industrial y servicios tecnológicos
1
23/11/2013
INSTRUCCIONES PARA LOS ASISTENTES
Los asistentes deberán presentarse, incluyendo información sobre:
- Nombre.
- Formación académica.
- Experiencia en sistemas de información.
- Experiencia en gestión de la seguridad de la información.
- Función que desempeñan en sus trabajos.
- Expectativas al finalizar el curso.
EVALUACION CONTINUADA
Durante el curso, los asistentes deberán observar lo siguiente:
- La actividad de los participantes será evaluada según su participación en

las conferencias, actividades y talleres.
- Los participantes deberán demostrar un rendimiento aceptable
conforme a los objetivos de aprendizaje del curso.
- El cumplimiento y puntualidad en el horario hace parte de la valoración
contiua de los asistentes y una muestra de respeto.
- En los descansos no se incrementará el tiempo establecido para que los
participantes atiendan las necesidades de la empresa.
- La utilización de teléfonos móviles, dispositivos de grabación,
dispositivos de localización tipo beeper, y juegos electrónicos, no están
permitidos durante el curso.
- Se recomienda usar vestimenta cómoda y adecuada para la jornada.
- Ante cualquier duda, siempre primará la norma técnica base del curso.
2
23/11/2013
CONTENIDO DEL MODULO 1

1. Gestión de la seguridad de la información.
2. Introducción a la familia de normas ISO 27000
3. Presentación de la norma ISO 27001:2013
4. El ciclo de mejora continua.
5. El enfoque basado en procesos.
6. La gestión del riesgo.
7. El contexto de la organización.
8. Liderazgo y planeación en seguridad de la información.
9. Recursos, operación y organización en seguridad de la información.
10. Gestión de activos.
11. Control de acceso.
12. Seguridad física y ambiental.
13. Seguridad en las comunicaciones.
14. Adquisición, desarrollo y mantenimiento de sistemas.
15. Gestión de incidentes de seguridad de la información.
16. Continuidad del negocio.
17. Gestión del cumplimiento.
CONTENIDO DEL MODULO 2
1. Introducción a la auditoría de sistemas de gestión

2. Presentación de la norma ISO 19011:2011
3. El ciclo de mejora continua
4. Las fases del proceso auditor
5. Marco legal y técnico – conformidad
6. Preparación de la auditoría
7. Técnicas de auditoría aplicadas a la ISO 27001
8. El informe de auditoría
EXAMEN DEL CURSO
3
23/11/2013
MODULO 1
GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
1.1. INTRODUCCION
Gestión
Actividades coordinadas
Sistema para dirigir y controlar
Liderazgo
Conjunto de elementos Dirección y control de la
mutuamente relacionados una organización. organización al alto nivel.
o que actúan entre sí.
Sistema de gestión
Estructura de políticas,
Riesgo procedimientos, guías y
Efecto de incertidumbre Eficiencia
recursos asociados para Relación entre resultados
en los objetivos
alcanzar los objetivos de logrados y recursos usados
la organización.
Control Eficacia
Medios para gestionar el Actividades planeadas
riesgo, incluye: políticas, realizadas y resultados
procedimientos, guías, planeados alcanzados
prácticas o estructuras.
4
23/11/2013
1.1. INTRODUCCION
DEFINICION
Un Sistema de Gestión de Seguridad de la Información (ISMS/SGSI) provee un

modelo con enfoque sistemático para establecer, implementar, operar,
supervisar, revisar, mantener y mejorar de forma continua la protección de
los activos de información de la organización, en su contexto, con el fin de
alcanzar los ojetivos de negocio, teniendo como base la evaluación del riesgo
para efectivamente tratar y gestionar el riesgo.
El análisis de requisitos para la protección de los activos y la aplicación de los

controles apropiados para la protección de esos activos de información, tal
como se requiere, contribuye a la implementación exitosa del ISMS.
1.1. INTRODUCCION
PRINCIPIOS
Conciencia de la necesidad de Incorporar la seguridad como
la seguridad de la información un elemento esencial de redes
y sistemas de información.
Asignar responsabilidades en
seguridad de la información Prevención activa y detección
de incidentes de seguridad de
Involucrar el compromiso de la información.
la dirección y el interés de los
grupos de interés. Asegurar un enfoque integral
en gestión de seguridad de la
Evaluar el riesgo y determinar información.
los controles para alcanzar
niveles aceptables de riesgo. Evaluación continua de la
seguridad de la información y
Mejorar los valores societarios aplicación de modificaciones
5
23/11/2013
1.1. INTRODUCCION
OBJETIVO
- Proveer a las organizaciones con los elementos de un Sistema de Seguridad de la
Información efectivo que logre la mejor práctica en la seguridad de la información
mientras es viable de forma económica.
BENEFICIOS:
- Enfoque estructurado para especificar, implementar, operar y mantener un ISMS
completo, económico, que crea valor, integrado y alineado con la organización.
- Reducción en los riesgos de seguridad de la información.
- Acercamiento proactivo, sistemático y lógico frente a los problemas de seguridad
de la información.
- Evitar el enfoque reactivo a las brechas e incidentes de seguridad.
- Exige atender el creciente incremento en los riesgos relativos a la seguridad de la
información en las organizaciones.
- Favorece la gestión del cumplimiento de normas legales y técnicas
1.1. INTRODUCCION
TALLER 1 (Grupos 3 personas – 20 minutos)
Objetivo: Analizar la aplicación y coherencia de los conceptos de sistema de gestión de

seguridad de la información en los participantes.
- Defina al menos tres activos de información, que sean clave para los objetivos de
negocio de la organización.
- Porqué se determinó que son claves para los objetivos de la organización?
- Cómo contribuyen al logro de los objetivos de la organización?
6
23/11/2013
1.1. INTRODUCCION
INFORMACION
Es un activo que, al igual que otros importantes activos de negocios, es esencial para
los negocios de la organización y por tanto requiere ser protegida de forma adecuada.
La información puede ser almacenada en muchas formas, incluyendo mecanismos

digitales, mecanismos materiales, así como información no representada como el
caso del conocimiento de los empleados de una organización.
Tambien puede ser transmitida por muchos medios, físicos, digitales, verbales, etc.
La información de una organización depende de su tecnología de información y de

telecomunicaciones, al ser un elemento esencial que asiste en la creación, proceso,
almacenamiento, transmisión, protección o destrucción de la información.
La información está expuesta a diversas amenazas y posee vulnerabilidades.
1.1. INTRODUCCION
7
23/11/2013
1.1. INTRODUCCION
Objetivo: Analizar el impacto de conceptos de seguridad de la información en sus

dimensiones básicos y el impacto en la auditoría.
- Analizar y definir, los conceptos de Confidencialidad, Integridad y Disponibilidad.
- Que implican tales conceptos para los auditores y para una auditoría?
1.1. INTRODUCCION
Confidencialidad: Propiedad mediante la cual la información no se hace

disponible o revelada a individuos, entidades o procesos no autorizados.
Disponibilidad: Propiedad mediante la cual la información es accesible y

utilizable por solicitud de una entidad autorizada.
Integridad: Propiedad de protección de la exactitud y completitud de la

información.
8
23/11/2013
1.2. LA FAMILIA DE NORMAS ISO 27000

HISTORIA 1998 1999 2002 2005 2013
Revisión y
Nuevo acercamiento a:
Revisión
estándar • ISO 9001 Estándar Estándar
conjunta de las
nacional • ISO 14001 Internacional Internacional
partes 1 y 2
■ Certificable certificable • OCDE
■ ■ ■ ■ ■
■ No certificable BS 7799-2 BS 7799-2 BS 7799-2 ISO/IEC 27001 ISO/IEC 27001
:1999 :2002 :2005 :2013
Centro de
Seguridad de Revisión por: Modelo de procesos
Informática • NCC (Centro
Comercial del Nacional de Se adicionó el
Reino Unido Computación) comercio Estándar Internacional Revisión periódica Revisión periódica
Estándar nacional
(CCSC/DTI) • Consorcio usuarios electrónico (Fast Track) (5 años) (5 años)
británico
■Código de ■ ■ ■ ■ ■ ■
PD0003 BS 7799 BS 7799-1 ISO/IEC 17799 ISO/IEC ISO/IEC
prácticas Código de :1999 :2000 27002:2005 27002:2013
para prácticas para
usuarios la gestión de
seguridad de
la información
1989 1993 1995 1999 2000 2005 2013

www.iso27000.es
9
23/11/2013
NORMA DESCRIPCION
ISO 27000:2012 • Introducción a la familia de normas ISO 27000
Presentación y • Glosario de términos de uso fundamental y definiciones
vocabulario utilizadas en la familia ISO 27000.
ISO 27001:2013 • Especifica de manera formal (mediante requisitos) el
Requisitos sistema de gestión necesario para llevar la seguridad de
información a un estado de control de gestión explícito.
• En su anexo A enumera los objetivos de control y los
controles que desarrolla la ISO 27002.
ISO 27002:2013 • Provee recomendaciones sobre mejores prácticas en
Código de práctica para gestión de la seguridad de la información para usarse al
la gestión de la seguridad iniciar, implementar o mantener ISMS.
de la información • Contiene 39 objetivos de control y 133 controles,
agrupados en 11 dominios.
• Desarrollado a partir de la norma ISO 17799:2013.
NORMA DESCRIPCION
ISO 27003:2010 • Provee una guía de implementación de la Iso 27001
Guía de implementación siguiendo el ciclo PHVA y haciendo énfasis en la gestión
del ISMS del riesgo del ISMS.
ISO 27004:2009 • Ayuda a las organizaciones a medir, analizar, reportar y
Medición mejorar sistemáticamente la efectividad de su ISMS.
• Aplica el ciclo PHVA a la medición (diseño de medidas,
operación de la medición, análisis de datos y reporte,
evaluación y mejora del programa de medición)
ISO 27005:2011 • Diseñado para asistir la implementación del ISMS
Gestión del riesgo en la siguiendo un enfoque basado en riesgos.
seguridad de información • No menciona un método específico de gestión de riesgo
• Se centra en el proceso riguroso de analisis de riesgos
para crear el plan de tratamiento de riesgos.
10
23/11/2013
NORMA DESCRIPCION
ISO 27006:2011 • Establece los requisitos formales para organizaciones
Requisitos para entes que que proveen auditoría y certificación de un ISMS.
proveen auditoría y • Reemplaza EA 7/03 (guías de acreditación para entes
certificación de un ISMS que realizan la certificación de un ISMS)
ISO 27007:2011 • Establece guías para auditoría interna y externa,
Guías para auditar ISMS diferente a la de certificación.
ISO 27008:2011 • Establece guías para auditar la implementación y
Guía de auditoría de los operación de controles.
controles del ISMS • No orientado a auditorías del ISMS.
ISO 27010:2012 • Amplia las guías para casos en los cuales se comparte
Gestión de la seguridad información en una organización o sector económico.
de información en • Es aplicable a todas las formas de intercambio o que
comunicaciones internas usen para compartir información.
NORMA DESCRIPCION
ISO 27011:2008 • Define guías que soporten la implementación de un
Guía de gestión de ISMS en organizaciones de telecomunicaciones.
seguridad para entes de • Está basada en la norma Iso 27002
telecomunicaciones
ISO 27013:2012 • Guía para la implementación integrada de las normas
Implementación integral ISO 27001 e ISO 20000-1
ISO 27001 e ISO 20000-1
ISO 27014:2013 • Guía sobre conceptos y principios en el gobierno de la
Gobierno de seguridad seguridad de la información.
de la información
ISO/TR 27015:2002 • Guía de seguridad de la información para servicios
Guía de seguridad para financieros.
servicios financieros
11
23/11/2013
NORMA DESCRIPCION
ISO CD 27017:2011 • Define el código de práctica para controles de seguridad
Computación en la nube. de la informacion en computación en la nube.
ISO CD 27018:2011 • Define el código de práctica en controles de protección
Computación en la nube. de datos para computación en la nube.
ISO/TR 27019:2013 • Guías de gestión de seguridad de la información (con
Guías de seguridad para base en ISO 27002) para sistemas de control de
sistemas de control en la procesos específicos para industria de energía eléctrica.
industria eléctrica.
ISO 27031:2011 • Describe los conceptos y principios de preparación de
Guías para para preparar las TIC para la continuidad del negocio.
TIC en continuidad del • Provee un marco de referencia y métodos para
negocio. identificar y mejorar la continuidad del negocio.
• Eventos e incidentes que impacten la BC (TIC)
NORMA DESCRIPCION
ISO 27032:2012 • Provees guías que permiten mejorar la ciberseguridad al
Guías para la ciber- resaltar aspectos únicos de tal actividad sobre los
seguridad dominios de seguridad de la información.
ISO 27033-1:2009 • Provee conceptos y guía en seguridad de redes.
Seguridad en redes – • Provee guías en como identificar y analizar riesgos de
Presentación y conceptos seguridad en redes y como lograr arquitecturas seguras.
• Contempla los controles de seguridad en redes.
ISO 27033-2:2012 • Establece guía para que las organizaciones planeen,
Seguridad en redes – diseñen, implementen y documenten la seguridad en
Diseño e implementación redes.
de seguridad en redes.
ISO 27033-3:2010 • Describe las amenazas, técnicas de diseño y de control
Seguridad en redes – asociadas con escenarios de referencia en redes.
Escenarios de referencia
12
23/11/2013
NORMA DESCRIPCION
ISO 27034 -1:2011 • Provee una guía para integrar seguridad en los procesos
Seguridad aplicaciones – usados para gestionar sus aplicaciones.
Presentación y conceptos • Introduce conceptos, definiciones y procesos
involucrados en seguridad en las aplicaciones.
ISO 27035:2011 • Enfoque estructurado (seguridad de información) para:
Gestión de incidentes en - Detectar, reportar y evaluar incidentes.
seguridad de información - Responder y gestionar incidentes.
- Detectar, evaluar y gestionar las vulnerabilidades.
- Mejorar continuamente la seguridad de la información
y la gestión de incidentes.
ISO 27036 • Guía para gestionar la seguridad de la información en la
Relación con proveedores relación con proveedores.
ISO 27037:2012 • Directrices de gestión de evidencias digitales.
Evidencia digital

NORMAS RELACIONADAS
NORMA DESCRIPCION
ISO/IEC 15408 Criterios de evaluación de técnicas de seguridad
ISO/IEC 12207 Proceso del ciclo de vida del software
ISO/IEC 18045 Metodología para la evaluación de seguridad de las TI
ISOIEC 13569 Directivas de seguridad de la información
Servicios de banca y otros servicios financieros
ISO/IEC TR 13335 Directivas para la gestión de la seguridad de las TI
ISO/IEC TR 15504 Valoración del proceso del software
BS ISO/IEC 90003 Directivas para la aplicación de la ISO 9001 al software
TickIt 5 Utilizacion de la ISO 9001 para la construcción de sistemas de
gestión de calidad del software, certificación y mejora continua
ISO 20000 Servicios de gestión de TI
ISO 25999 > 22301 Continuidad del negocio
13
23/11/2013
1.3. LA NORMA ISO 27001:2013

1 ALCANCE
2 REFERENCIAS NORMATIVAS
3 TÉRMINOS Y DEFINICIONES
4 CONTEXTO DE LA ORGANIZACIÓN
4.1 Entendiendo la organización y su contexto
4.2 Entendiendo las necesidades y expectativas de las partes interesadas
4.3 Determinando el alcance del sistema de gestión de seguridad de la información
4.4 Sistema de gestión de seguridad de la información
ESTRUCTURA
5 LIDERAZGO
5.1 Liderazgo y compromiso
5.2 Política
5.3 Roles, responsabilidades y autoridades en la organización
6 PLANEACIÓN
6.1 Acciones para atender riesgos y oportunidades
6.2 Objetivos de seguridad de la información y planes para alcanzarlos
1.3. LA NORMA ISO 27001:2013

7 SOPORTE
7.1 Recursos
7.2 Competencia
7.3 Conciencia
7.4 Comunicación
7.5 Información documentada
8 OPERACIÓN
8.1 Planeación y control operacional
8.2 Evaluación de riesgos en seguridad de la información
8.3 Tratamiento de riesgos en seguridad de la información
ESTRUCTURA
9 EVALUACIÓN DEL DESEMPEÑO
9.1. Supervisión, medición, análisis y evaluación
9.2 Auditoría interna
9.3 Revisión por la dirección
10 MEJORA
10.1 No conformidades y acciones correctivas
10.2 Mejora continua
14
23/11/2013
1.4. EL CICLO DE MEJORA CONTINUA
EMPRESA “TIPO SERRUCHO” EMPRESA “TIPO ESCALERA”
Pérdida de la mejora
A P
V H
MEJORAS
MEJORAS
A P
Rutina
Mejora Rutina V H
A P Problema
V H
Mejora
Problema Análisis del Proceso y nuevo

Mejora estándar propuesto
TIEMPO TIEMPO
15
23/11/2013

Objetivo: Analizar el enfoque hacia la mejora continua de la norma ISO 27001.
- Identificar en la norma, entre los numerales 1 al 10, donde se hace referencia
explícita al ciclo de mejora continua (PHVA) y de que manera (citar numerales).
PLANEAR
ACTUAR
HACER
VERIFICAR

Objetivo: Analizar el ciclo PHVA aplicado al establecimiento y operación del ISMS
- Identificar en el siguiente ciclo, que numeral(es) de la norma determinan el
arranque de un SGSI:
Arranque
Planear
Actuar Hacer
Verificar
16
23/11/2013
1.5. EL CONTEXTO - REQUISITOS
Requisitos
Obligaciones
Responsabilidades
GUBERNAMENTAL
PARTES
INTERESADAS
INSTITUCIONAL REQUISITOS
CONSUMIDOR
1.5. EL CONTEXTO - REQUISITOS

Objetivo: Analizar el marco de requisitos en la norma.
- Identificar en la norma, entre los numerales 01 al

10, y el dominio A18, las referencias explícitas a
requisitos de las partes interesadas (diferente a los
debe de la norma)
- Qué tipos de requisitos se piden en la norma?
- Ubicarlos en la pirámide de requisitos:
17
23/11/2013
1.6. LA ALTA DIRECCIÓN

Recursos Comunicación Resultados
Requisitos
Soporte
Objetivos
Política Compromiso Mejora continua
DIRECCION
Responsabilidad Revisión
Autoridad
1.6. LA ALTA DIRECCIÓN

Recursos Comunicación Resultados
Requisitos
Soporte
Objetivos
Política Compromiso Mejora continua
Responsabilidad
DIRECCION
Autoridad
TALLER 6 (Grupos 3 personas – 30 minutos) Revisión

Objetivo: Participación de la dirección
- En cada cuadro ubicar el(los) numerales de la norma donde hay referencia.
18
23/11/2013
1.7. EL ENFOQUE A PROCESOS
EL ENFOQUE BASADO EN PROCESOS
A TRAVÉS DE LA ORGANIZACIÓN
DESPLIEGUE DE LAS POLITICAS
SATISFACCION REQUISITOS
RESULTADOS
MEDICION

EL ENFOQUE BASADO EN PROCESOS
DEMANDA Procesos que apunten al logro de objetivos
Los procesos requieren recursos

RECURSOS
Los recursos afectan a los procesos
La dirección aprueba
DIRECCION
La dirección asume (riesgos)
EFICIENCIA Aprovechamiento de los recursos
Cumplimiento de objetivos
EFICACIA Satisfacción de las partes interesadas
Cumplimiento de requisitos
EFECTIVIDAD Logro de objetivos de forma eficiente
19
23/11/2013
Objetivo: Analizar el enfoque basado en procesos de la norma ISO 27001
- Identificar en la norma cuales son los procedimientos documentados obligatorios.
- En los controles existen procedimientos documentados obligatorios?
- Qué numerales de la norma requieren aprobación por parte de la alta dirección?
1.8. LA POLÍTICA DE SEGURIDAD.

LA FORMULACION DE LA POLITICA
1. ANALIZAR:
1. PROPÓSITO ORGANIZACIÓN: Que hace? Cómo lo hace? En donde?
2. CONTEXTO ORGANIZACIONAL: Objetivos del negocio, requisitos
3. EL ALCANCE Y LÍMITES DEL ISMS.
4. COMPROMISOS: Requisitos, mejora continua.
2. DOCUMENTADO
3. COMUNICADO
4. DISPONIBLE
5. REVISAR DE MANERA PERIÓDICA (A partir del numeral 1)
- Períodica
- Luego de las auditorías
- Cambios en la organización, el contexto o el sistema de gestión del riesgo
20
23/11/2013
Objetivo: Analizar el despliegue de la política de

seguridad a la norma ISO 27001
1. Ubicar en la norma y sus dominios las

diversas políticas en seguridad de la
información y desplegarles en los diversos
niveles de la organización.
2. Considerando la organización donde laboran

los integrantes o la política de estudio
21
23/11/2013
1.9. LA GESTIÓN DEL RIESGO
EL PROBLEMA:
• Darse cuenta que pasa, hasta que pasa.
• Cuantificarlos económicamente, por
ejemplo: ¿cuánto le cuesta a la compañía
su base de datos?
• Vincular directamente sus efectos sobre
los resultados de la compañía
LA SOLUCIÓN:
• No es invertir gran cantidad de dinero.
• Buenas prácticas administración y control.
• Medición – auditoria – informática

TERMINOS CLAVE
RIESGO: Posibilidad (probabilidad) que suceda algún evento
que impacte (consecuencia) sobre los objetivos de
negocio (AS/NZS 4360) y que se expresa como la
combinación de probabilidad e impacto (ISO 31000)
Efecto de la incertidumbre en los objetivos
GRUPOS DE INTERÉS: Personas y organizaciones que pueden afectar, ser
afectados o creer estar afectados por un riesgo
(ISO Guide 73)
IMPACTO: Resultado de un evento de riesgo (ISO Guide 73)
PROBABILIDAD: Oportunidad de ocurrencia de un evento de riesgo
(AS/NZS 4360)
CONTROL: Proceso, política, dispositivo, práctica y acciones que
optimizan el riesgo (AS/NZS 4360)
22
23/11/2013
Establecer el contexto
Identificar los riesgos

Comunicación Seguimiento
y consulta y revisión
Analizar los riesgos
Evaluar los riesgos
Tratar los riesgos
Aceptar los riesgos
23
23/11/2013
Actuar Planear
Mejora de la Evaluación
gestión del riesgo del riesgo
Verificar Hacer
Monitoreo y Remediación
revisión del riesgo del riesgo

Planificar
Definir:
- Alcance
- Política
- Metodología
Hacer
Identificar:
- Activos Tratamiento:
- Amenazas - Decidir tratamiento
- Vulnerabilidades - Aceptar riesgo residual
Mitigar Transferir Aceptar Evitar

Controles A terceros No rentable Cese
Seleccionar
Seguros
SOA No hacer Evitar
Proveedores
Implantar
24
23/11/2013
Objetivo: Analizar la gestión del riesgo en la norma ISO 27001
- Mediante qué numerales de la norma y con qué componentes se articula la gestión

del riesgo frente a un ciclo PHVA?
EL CONCEPTO DE RIESGO
• VULNERABILIDAD: Debilidad del elemento a proteger o de la organización (OCTAVE)
que puede usarse (accidental o intencionalmente) o llevar a la materialización de un
riesgo (NIST)
• AMENAZA: Potencial de desarrollar una vulnerabilidad (NIST) que conforma la causa
de un impacto (no deseado) a una organización o sistema (ISO 13335-1)
• PELIGRO: Fuente de daño (impacto negativo) potencial para pérdida (ISO Guide 51).
25
23/11/2013
ETAPAS
Evitar
riesgo Aplicar
tratamiento
Evaluar Aceptar Tratar Monitorear

riesgo riesgo riesgo Medir
Riesgo Retener
residual riesgo
Apetito
riesgo
26
23/11/2013

Objetivo: Aplicar técnicas de gestión del riesgo a la norma ISO 27001
- Considerando la organización en la cual laboran los integrantes:
- Determinar tres activos de información.

- Identificar los propietarios del riesgo.
- Establezca tres amenazas por activo (asociados con la pérdida de confidencialidad,
integridad y disponibilidad de la información)
- Establezca tres vulnerabilidades por cada activo (una por amenaza).
- Califique (1 a 10, o usando la escala que usan en su organización) el nivel de
probabilidad y del potencial impacto, consecuencia o severidad.
- Estime el nivel de riesgo (probabilidad + impacto)
- Proponga controles para cada amenaza y/o vulnerabilidad
- Identifique los controles implantados y discuta su funcionamiento para calificar, de
nuevo, el nivel de probabilidad y de impacto, consecuencia o severidad.
- Que auditaría sobre esos elementos de riesgo?
1.10. PLANEACIÓN
OBJETIVOS BCMS
1. CRITERIOS
1. POLÍTICA  CONSISTENCIA
2. MEDIBLES
3. REQUISITOS
2. DOCUMENTADO
3. COMUNICADA / ACTUALIZADOS
4. RESPONSABILIDADES
1. QUIEN
2. QUÉ
3. CON QUÉ
4. CUANDO
5. CÓMO (EVALUACION)
27
23/11/2013
1.10. PLANEACIÓN
Objetivo: Analizar casos de objetivos del SGSI.
- Examinar - en el(los) casos de estudio - el(los) objetivo(s) de seguridad de la

información frente a los requisitos de la norma y determinar su conformidad.
1.11. SOPORTES - COMPETENCIAS
COMPETENCIAS CONCIENCIA
Educación Política
Entrenamiento Contribución eficacia
Experiencia No conformidades BCMS
Determinar
Asegurar
Actuar
Retener
28
23/11/2013
1.11. SOPORTES - COMPETENCIAS
Objetivo: Analizar los requisitos de competencia y conciencia
- Diseñar una lista de verificación para ser usada en una auditoría del SGSI, en
materia de competencia y conciencia.
1.12. SOPORTES - COMUNICACIONES

Con quien
Que Comunicación Cuando
Internas
Externas
29
23/11/2013
1.12. SOPORTES - COMUNICACIONES
Objetivo: Analizar los requisitos de comunicaciones en la norma ISO 22301
materia de comunicaciones.
1.13. SOPORTES - INFORMACIÓN

INFORMACIÓN DOCUMENTADA Tamaño
Actividades
ISO 27001 SGSI Complejidad
Competencia
Controlada Mantenida
Soporte
Crear
Actualizar Identificación Descripción Aprobación Formato Soporte
30
23/11/2013
1.13. OPERACIÓN – PLANEACION Y CONTROL

Resultados
Oportunidades
Información Cambios
Criterios Controles
Documentada
Efectos
no deseados
Acciones
Requisitos
1.14. MEJORA CONTINUA

- Qué monitorear y medir
- Métodos  Resultados válidos
- Cuando  Monitorear y medir

 Analizar y evaluar
- Evaluar  Desempeño
 Efectividad
- Detectar  Tendencias
 Resultados adversos
- Monitoreo  Política, objetivos, metas

 Desempeño protección
 Histórico de deficiencias
- Puede incluir  No conformidades

Monitoreo, medición, análisis y evaluación  Evento cercano
 Falsas alarmas
 Incidentes actuales
31
23/11/2013
Acciones de mejora
Evaluación del desempeño

Auditorías
Revisión por la dirección
ESTRUCTURA CLÁSICA DE ACCIONES EN LA MEJORA CONTINUA
Mejora
continua
Acción Acción
correctiva preventiva
32
23/11/2013

Objetivo: Analizar el enfoque hacia la mejora continua de la norma ISO 22301.
- En la norma no se hace referencia a las acciones preventivas, ¿porqué? ¿cómo se

suplen entonces este tipo de acciones?
1.15. GESTIÓN DE ACTIVOS.
DIVERSOS TIPOS DE ACTIVOS
AAASADASDA
SDASDASDSA
AAASADASDA
DASDASDAS
SDASDASDSA
DASDASDAS
DATOS
PROCESOS
APLICACIONES HARDWARE INFRASTRUCTURA REDES HUMANO
33
23/11/2013
CONSIDERACIONES
CONTROL DE ACCESO
RESPONSABILIDAD SOBRE LOS ACTIVOS
1. INVENTARIO DE LOS ACTIVOS.
2. PROPIEDAD DE LOS ACTIVOS.
3. USO ACEPTABLE DE LOS ACTIVOS.
4. DEVOLUCIÓN DE ACTIVOS
NORMAS LEGALES Y
CLASIFICACION TÉCNICAS APLICABLES
1. CLASIFICACION
2. ETIQUETADO
3. MANEJO
CONFIDENCIALIDAD
VALORACIÓN
MEDIOS
1. MEDIOS REMOVIBLES INTEGRIDAD
2. ELIMINACIÓN DE MEDIOS
3. TRANSFERENCIA FÍSICA DISPONIBILIDAD
Objetivo: Analizar la gestión de activos de información.
materia de gestión de activos, donde se pueda determinar:
- Que estructura de clasificación tiene la organización respecto a la información

- Cómo está organizado el inventario de activos?
- Se maneja la retención y destrucción de documentos?
- Cómo se controla cuando la información está en manos de una persona que es
diferente a su titular?
- Uso aceptable de los activos?
- Manbejo de medios removibles
- Eliminación de medios
- Transferencia física de medios
- Cual es el activo de mas difícil restitución ante su pérdida?
34
23/11/2013
1.16. ASPECTOS ORGANIZACIONALES
MOVILIDAD INTERNO
Dispositivos móviles Roles & responsabilidades
Teletrabajo Segregación de tareas
Contacto con autoridades
Contacto grupos especiales
S.I. en proyectos
1.16. ASPECTOS ORGANIZACIONALES
Objetivo: Analizar los aspectos organizacionales de la información.
materia de los aspectos internos de seguridad de la información.
35
23/11/2013
1.17. SEGURIDAD LIGADA AL PERSONAL
Cese o
Antes Durante
cambio
Verificación de antecedentes
Términos y condiciones
Responsabilidad dirección
Concientización y formación
Proceso disciplinario
Responsabilidad cese/cambio
1.17. SEGURIDAD LIGADA AL PERSONAL
Objetivo: Analizar la seguridad ligada a los recursos humanos
materia de seguridad ligada al personal:
- Qué auditaría en su organización sobre la contratación de personal?

- Qué auditaría en su organización un proceso disciplinario?
36
23/11/2013
1.18. CONTROL DE ACCESO.
Registro/deregistro usuarios
Suministro de acceso
Gestión de privilegios
Acceso de usuario
Gestión info autenticación
Revisión derechos de acceso
Remoción/Ajuste derechos
Política de control de acceso Acceso autorizado
Responsabilidad de usuario Uso de contraseña
Restricción de acceso
Inicio seguro de sesión
Control de acceso Gestión de contraseñas
Uso de utilitarios
Acceso a código fuente
Política de control de acceso Acceso autorizado
37
23/11/2013
Objetivo: Analizar el control de acceso
materia de control de acceso.
1.19. CONTROLES CRIPTOGRÁFICOS.
Gestión de claves
Política controles critográficos
Lorenz cipher
38
23/11/2013
1.19. CONTROLES CRIPTOGRÁFICOS.
Objetivo: Analizar la aplicación de controles criptográficos
materia de controles criptográficos.
- Diseñe un caso que contemple situaciones con los dominios ya vistos y compartalo
con otro grupo para hacer uso de las listas de verificación.
1.20. SEGURIDAD FÍSICA Y AMBIENTAL.
Áreas seguras
Perímetro seguridad física
Controles físicos de entrada
Aseguramiento espacios
Protección contra amenazas
Trabajo áreas seguras
Áreas de entrega y carga
Swiss Fort Knox
39
23/11/2013
Equipos
Emplazamiento/protección
Servicios de soporte
Seguridad del cableado
Mantenimiento
Remoción de equipos
Equipos fuera de sitio
Eliminación & reuso
Equipo desatendido
Dell tactical Data Center Escritorio/pantalla limpios
Objetivo: Analizar los aspectos de seguridad física y ambiental
materia de seguridad física y ambiental.
40
23/11/2013
1.21. SEGURIDAD EN LAS OPERACIONES
Google Data Center
Procedimientos
Malware Backup
/responsabilidades
Procedimientos operativos Controles Copia de respaldo
Gestión del cambio
Gestión de la capacidad
Separación ambientes
Registro & supervisión Software producción Vulnerabilidad técnica
Registro de eventos Instalación software Copia de respaldo
Protección registro eventos Restricciones instalación
Registros admin / operador Backup
Sincronización relojes Control auditoría Sis/Info Hackers flag
41
23/11/2013
Objetivo: Analizar la seguridad en las operaciones
materia de seguridad en las operaciones.
- Cómo aplicaría esa lista al evento recientemente sucedido de infección de la
estación espacial?
1.22. COMUNICACIONES
Redes Transferencia (info)
Controles de red Políticas y procedimientos
Servicios de red Acuerdos
Segregación en redes Mensajería electrónica
Confidencialidad/Divulgación
42
23/11/2013
1.22. COMUNICACIONES
Objetivo: Analizar la seguridad en las comunicaciones
materia de comunicaciones.
- Cómo aplicaría esa lista de verificación a los recientes casos de interrupción de
comunicaciones críticas en autopistas?
1.23. DESARROLLO DE SISTEMAS.
Desarrollo y soporte Seguridad como requisito Datos de prueba
Política desarrollo seguro Controles de red

Control cambio en sistemas Servicios de red
Revisión aplicaciones Segregación en redes
Restricción cambios
Ing. Software segura
Ambiente desarrollo seguro
Desarrollo tercerizado
Pruebas de seguridad
Pruebas de aceptación
43
23/11/2013
1.23. DESARROLLO DE SISTEMAS.
Objetivo: Adquisición, desarrollo y mantenimiento de sistemas
materia de desarrollo de software.
1.24. RELACIONES CON EL PROVEEDOR
S.I. Proveedores
Política S.I. proveedores

S.I. en acuerdos
Cadena de suministro
Entrada de servicios
Supervisión y revisión
Gestión cambios (servicios)
44
23/11/2013
1.24. RELACIONES CON EL PROVEEDOR
Objetivo: Entender como los proveedores pueden afectar la seguridad
materia de relaciones con el proveedor (si ese proveedor es por ejemplo una
empresa que realiza copias de seguridad o si es una que provee servicio de internet.
1.25. INCIDENTES DE SEGURIDAD
Planear
Gestión de
Actuar Hacer
incidentes
Verificar
Notificación
de eventos
45
23/11/2013
1.25. INCIDENTES DE SEGURIDAD
Objetivo: Analizar la gestión de incidentes
- Determinar el ciclo PHVA de la gestión de incidentes
1.26. CONTINUIDAD DEL NEGOCIO.
46
23/11/2013
Planear
Continuidad
Actuar Hacer
del negocio
Verificar
Objetivo: Analizar la gestión de continuidad del negocio
- Determinar el ciclo PHVA de la continuidad del negocio.
47
23/11/2013
1.27. INTEGRACIÓN DE CONTROLES

Objetivo: Analizar la interacción de los controles en el funcionamiento de un ISMS.

- Clasificar cada DOMINIO en uno de los siguientes tipos:
O Seguridad organizacional L Seguridad Lógica
F Seguridad Física J Seguridad Jurídica
[ ] 5. Política de S.I. [ ] 6. Organización S.I. [ ] 7. Seguridad ligada a los

recursos humanos
[ ] 8. Gestión de activos [ ] 9. Controlde acceso [ ] 10. Criptografía
[ ] 11. Seguridad física y [ ] 12. Seguridad en las [ ] 13. Seguridad en

ambiental operaciones comunicaciones
[ ] 14. Adquisición, desarrollo y [ ] 15. Relaciones con [ ] 16. Gestión de incidentes de
mantenimiento (sistemas) proveedores seguridad de la información
[ ] 17. S.I. en continuidad del [ ] 18. Cumplimiento
negocio
1.27. INTEGRACIÓN DE CONTROLES

TALLER 28 Ubicar cada dominio en la
pirámide considerando si es
más estratégico u operativo en
cada caso. Varios controles
pueden compartir un nivel.
48

AI-ISO27001-2013 (Impresion)

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

AI-ISO27001-2013 (Impresion)

Cargado por

Copyright:

Formatos disponibles

23/11/2013

AUDITOR INTERNO EN SISTEMAS

© Ing. Juan Carlos Angarita Castellanos, M.E. 1

PRESENTACION DEL INSTRUCTOR

© Ing. Juan Carlos Angarita Castellanos, M.E. 2

INSTRUCCIONES PARA LOS ASISTENTES

Los asistentes deberán presentarse, incluyendo información sobre:

© Ing. Juan Carlos Angarita Castellanos, M.E. 3

Durante el curso, los asistentes deberán observar lo siguiente:

- La actividad de los participantes será evaluada según su participación en

© Ing. Juan Carlos Angarita Castellanos, M.E. 4

CONTENIDO DEL MODULO 1

© Ing. Juan Carlos Angarita Castellanos, M.E. 5

CONTENIDO DEL MODULO 2

1. Introducción a la auditoría de sistemas de gestión

EXAMEN DEL CURSO

© Ing. Juan Carlos Angarita Castellanos, M.E. 6

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

© Ing. Juan Carlos Angarita Castellanos, M.E. 7

© Ing. Juan Carlos Angarita Castellanos, M.E. 8

Un Sistema de Gestión de Seguridad de la Información (ISMS/SGSI) provee un

El análisis de requisitos para la protección de los activos y la aplicación de los

© Ing. Juan Carlos Angarita Castellanos, M.E. 9

© Ing. Juan Carlos Angarita Castellanos, M.E. 10

© Ing. Juan Carlos Angarita Castellanos, M.E. 11

TALLER 1 (Grupos 3 personas – 20 minutos)

Objetivo: Analizar la aplicación y coherencia de los conceptos de sistema de gestión de

© Ing. Juan Carlos Angarita Castellanos, M.E. 12

La información puede ser almacenada en muchas formas, incluyendo mecanismos

La información de una organización depende de su tecnología de información y de

La información está expuesta a diversas amenazas y posee vulnerabilidades.

© Ing. Juan Carlos Angarita Castellanos, M.E. 13

© Ing. Juan Carlos Angarita Castellanos, M.E. 14

TALLER 2 (Grupos 3 personas – 20 minutos)

Objetivo: Analizar el impacto de conceptos de seguridad de la información en sus

- Analizar y definir, los conceptos de Confidencialidad, Integridad y Disponibilidad.

© Ing. Juan Carlos Angarita Castellanos, M.E. 15

Confidencialidad: Propiedad mediante la cual la información no se hace

Disponibilidad: Propiedad mediante la cual la información es accesible y

Integridad: Propiedad de protección de la exactitud y completitud de la

© Ing. Juan Carlos Angarita Castellanos, M.E. 16

1.2. LA FAMILIA DE NORMAS ISO 27000

1989 1993 1995 1999 2000 2005 2013

© Ing. Juan Carlos Angarita Castellanos, M.E. 17

1.2. LA FAMILIA DE NORMAS ISO 27000

© Ing. Juan Carlos Angarita Castellanos, M.E. 18

1.2. LA FAMILIA DE NORMAS ISO 27000

© Ing. Juan Carlos Angarita Castellanos, M.E. 19

1.2. LA FAMILIA DE NORMAS ISO 27000

© Ing. Juan Carlos Angarita Castellanos, M.E. 20

1.2. LA FAMILIA DE NORMAS ISO 27000

© Ing. Juan Carlos Angarita Castellanos, M.E. 21

1.2. LA FAMILIA DE NORMAS ISO 27000

© Ing. Juan Carlos Angarita Castellanos, M.E. 22

1.2. LA FAMILIA DE NORMAS ISO 27000

© Ing. Juan Carlos Angarita Castellanos, M.E. 23

1.2. LA FAMILIA DE NORMAS ISO 27000

© Ing. Juan Carlos Angarita Castellanos, M.E. 24

1.2. LA FAMILIA DE NORMAS ISO 27000

© Ing. Juan Carlos Angarita Castellanos, M.E. 25

1.2. LA FAMILIA DE NORMAS ISO 27000

© Ing. Juan Carlos Angarita Castellanos, M.E. 26

1.3. LA NORMA ISO 27001:2013

© Ing. Juan Carlos Angarita Castellanos, M.E. 27