Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1
23/11/2013
- Nombre.
- Formación académica.
- Experiencia en sistemas de información.
- Experiencia en gestión de la seguridad de la información.
- Función que desempeñan en sus trabajos.
- Expectativas al finalizar el curso.
EVALUACION CONTINUADA
2
23/11/2013
3
23/11/2013
MODULO 1
1.1. INTRODUCCION
Gestión
Actividades coordinadas
Sistema para dirigir y controlar
Liderazgo
Conjunto de elementos Dirección y control de la
mutuamente relacionados una organización. organización al alto nivel.
o que actúan entre sí.
Sistema de gestión
Estructura de políticas,
Riesgo procedimientos, guías y
Efecto de incertidumbre Eficiencia
recursos asociados para Relación entre resultados
en los objetivos
alcanzar los objetivos de logrados y recursos usados
la organización.
Control Eficacia
Medios para gestionar el Actividades planeadas
riesgo, incluye: políticas, realizadas y resultados
procedimientos, guías, planeados alcanzados
prácticas o estructuras.
4
23/11/2013
1.1. INTRODUCCION
DEFINICION
1.1. INTRODUCCION
PRINCIPIOS
Conciencia de la necesidad de Incorporar la seguridad como
la seguridad de la información un elemento esencial de redes
y sistemas de información.
Asignar responsabilidades en
seguridad de la información Prevención activa y detección
de incidentes de seguridad de
Involucrar el compromiso de la información.
la dirección y el interés de los
grupos de interés. Asegurar un enfoque integral
en gestión de seguridad de la
Evaluar el riesgo y determinar información.
los controles para alcanzar
niveles aceptables de riesgo. Evaluación continua de la
seguridad de la información y
Mejorar los valores societarios aplicación de modificaciones
5
23/11/2013
1.1. INTRODUCCION
OBJETIVO
- Proveer a las organizaciones con los elementos de un Sistema de Seguridad de la
Información efectivo que logre la mejor práctica en la seguridad de la información
mientras es viable de forma económica.
BENEFICIOS:
- Enfoque estructurado para especificar, implementar, operar y mantener un ISMS
completo, económico, que crea valor, integrado y alineado con la organización.
- Reducción en los riesgos de seguridad de la información.
- Acercamiento proactivo, sistemático y lógico frente a los problemas de seguridad
de la información.
- Evitar el enfoque reactivo a las brechas e incidentes de seguridad.
- Exige atender el creciente incremento en los riesgos relativos a la seguridad de la
información en las organizaciones.
- Favorece la gestión del cumplimiento de normas legales y técnicas
1.1. INTRODUCCION
- Defina al menos tres activos de información, que sean clave para los objetivos de
negocio de la organización.
- Porqué se determinó que son claves para los objetivos de la organización?
- Cómo contribuyen al logro de los objetivos de la organización?
6
23/11/2013
1.1. INTRODUCCION
INFORMACION
Es un activo que, al igual que otros importantes activos de negocios, es esencial para
los negocios de la organización y por tanto requiere ser protegida de forma adecuada.
Tambien puede ser transmitida por muchos medios, físicos, digitales, verbales, etc.
1.1. INTRODUCCION
7
23/11/2013
1.1. INTRODUCCION
- Que implican tales conceptos para los auditores y para una auditoría?
1.1. INTRODUCCION
8
23/11/2013
Centro de
Seguridad de Revisión por: Modelo de procesos
Informática • NCC (Centro
Comercial del Nacional de Se adicionó el
Reino Unido Computación) comercio Estándar Internacional Revisión periódica Revisión periódica
Estándar nacional
(CCSC/DTI) • Consorcio usuarios electrónico (Fast Track) (5 años) (5 años)
británico
■Código de ■ ■ ■ ■ ■ ■
PD0003 BS 7799 BS 7799-1 ISO/IEC 17799 ISO/IEC ISO/IEC
prácticas Código de :1999 :2000 27002:2005 27002:2013
para prácticas para
usuarios la gestión de
seguridad de
la información
9
23/11/2013
NORMA DESCRIPCION
ISO 27000:2012 • Introducción a la familia de normas ISO 27000
Presentación y • Glosario de términos de uso fundamental y definiciones
vocabulario utilizadas en la familia ISO 27000.
ISO 27001:2013 • Especifica de manera formal (mediante requisitos) el
Requisitos sistema de gestión necesario para llevar la seguridad de
información a un estado de control de gestión explícito.
• En su anexo A enumera los objetivos de control y los
controles que desarrolla la ISO 27002.
ISO 27002:2013 • Provee recomendaciones sobre mejores prácticas en
Código de práctica para gestión de la seguridad de la información para usarse al
la gestión de la seguridad iniciar, implementar o mantener ISMS.
de la información • Contiene 39 objetivos de control y 133 controles,
agrupados en 11 dominios.
• Desarrollado a partir de la norma ISO 17799:2013.
NORMA DESCRIPCION
ISO 27003:2010 • Provee una guía de implementación de la Iso 27001
Guía de implementación siguiendo el ciclo PHVA y haciendo énfasis en la gestión
del ISMS del riesgo del ISMS.
ISO 27004:2009 • Ayuda a las organizaciones a medir, analizar, reportar y
Medición mejorar sistemáticamente la efectividad de su ISMS.
• Aplica el ciclo PHVA a la medición (diseño de medidas,
operación de la medición, análisis de datos y reporte,
evaluación y mejora del programa de medición)
ISO 27005:2011 • Diseñado para asistir la implementación del ISMS
Gestión del riesgo en la siguiendo un enfoque basado en riesgos.
seguridad de información • No menciona un método específico de gestión de riesgo
• Se centra en el proceso riguroso de analisis de riesgos
para crear el plan de tratamiento de riesgos.
10
23/11/2013
NORMA DESCRIPCION
ISO 27006:2011 • Establece los requisitos formales para organizaciones
Requisitos para entes que que proveen auditoría y certificación de un ISMS.
proveen auditoría y • Reemplaza EA 7/03 (guías de acreditación para entes
certificación de un ISMS que realizan la certificación de un ISMS)
ISO 27007:2011 • Establece guías para auditoría interna y externa,
Guías para auditar ISMS diferente a la de certificación.
ISO 27008:2011 • Establece guías para auditar la implementación y
Guía de auditoría de los operación de controles.
controles del ISMS • No orientado a auditorías del ISMS.
ISO 27010:2012 • Amplia las guías para casos en los cuales se comparte
Gestión de la seguridad información en una organización o sector económico.
de información en • Es aplicable a todas las formas de intercambio o que
comunicaciones internas usen para compartir información.
NORMA DESCRIPCION
ISO 27011:2008 • Define guías que soporten la implementación de un
Guía de gestión de ISMS en organizaciones de telecomunicaciones.
seguridad para entes de • Está basada en la norma Iso 27002
telecomunicaciones
ISO 27013:2012 • Guía para la implementación integrada de las normas
Implementación integral ISO 27001 e ISO 20000-1
ISO 27001 e ISO 20000-1
ISO 27014:2013 • Guía sobre conceptos y principios en el gobierno de la
Gobierno de seguridad seguridad de la información.
de la información
ISO/TR 27015:2002 • Guía de seguridad de la información para servicios
Guía de seguridad para financieros.
servicios financieros
11
23/11/2013
NORMA DESCRIPCION
ISO CD 27017:2011 • Define el código de práctica para controles de seguridad
Computación en la nube. de la informacion en computación en la nube.
ISO CD 27018:2011 • Define el código de práctica en controles de protección
Computación en la nube. de datos para computación en la nube.
ISO/TR 27019:2013 • Guías de gestión de seguridad de la información (con
Guías de seguridad para base en ISO 27002) para sistemas de control de
sistemas de control en la procesos específicos para industria de energía eléctrica.
industria eléctrica.
ISO 27031:2011 • Describe los conceptos y principios de preparación de
Guías para para preparar las TIC para la continuidad del negocio.
TIC en continuidad del • Provee un marco de referencia y métodos para
negocio. identificar y mejorar la continuidad del negocio.
• Eventos e incidentes que impacten la BC (TIC)
NORMA DESCRIPCION
ISO 27032:2012 • Provees guías que permiten mejorar la ciberseguridad al
Guías para la ciber- resaltar aspectos únicos de tal actividad sobre los
seguridad dominios de seguridad de la información.
ISO 27033-1:2009 • Provee conceptos y guía en seguridad de redes.
Seguridad en redes – • Provee guías en como identificar y analizar riesgos de
Presentación y conceptos seguridad en redes y como lograr arquitecturas seguras.
• Contempla los controles de seguridad en redes.
ISO 27033-2:2012 • Establece guía para que las organizaciones planeen,
Seguridad en redes – diseñen, implementen y documenten la seguridad en
Diseño e implementación redes.
de seguridad en redes.
ISO 27033-3:2010 • Describe las amenazas, técnicas de diseño y de control
Seguridad en redes – asociadas con escenarios de referencia en redes.
Escenarios de referencia
12
23/11/2013
NORMA DESCRIPCION
ISO 27034 -1:2011 • Provee una guía para integrar seguridad en los procesos
Seguridad aplicaciones – usados para gestionar sus aplicaciones.
Presentación y conceptos • Introduce conceptos, definiciones y procesos
involucrados en seguridad en las aplicaciones.
ISO 27035:2011 • Enfoque estructurado (seguridad de información) para:
Gestión de incidentes en - Detectar, reportar y evaluar incidentes.
seguridad de información - Responder y gestionar incidentes.
- Detectar, evaluar y gestionar las vulnerabilidades.
- Mejorar continuamente la seguridad de la información
y la gestión de incidentes.
ISO 27036 • Guía para gestionar la seguridad de la información en la
Relación con proveedores relación con proveedores.
ISO 27037:2012 • Directrices de gestión de evidencias digitales.
Evidencia digital
13
23/11/2013
2 REFERENCIAS NORMATIVAS
3 TÉRMINOS Y DEFINICIONES
4 CONTEXTO DE LA ORGANIZACIÓN
4.1 Entendiendo la organización y su contexto
4.2 Entendiendo las necesidades y expectativas de las partes interesadas
4.3 Determinando el alcance del sistema de gestión de seguridad de la información
4.4 Sistema de gestión de seguridad de la información
ESTRUCTURA
5 LIDERAZGO
5.1 Liderazgo y compromiso
5.2 Política
5.3 Roles, responsabilidades y autoridades en la organización
6 PLANEACIÓN
6.1 Acciones para atender riesgos y oportunidades
6.2 Objetivos de seguridad de la información y planes para alcanzarlos
8 OPERACIÓN
8.1 Planeación y control operacional
8.2 Evaluación de riesgos en seguridad de la información
8.3 Tratamiento de riesgos en seguridad de la información
ESTRUCTURA
9 EVALUACIÓN DEL DESEMPEÑO
9.1. Supervisión, medición, análisis y evaluación
9.2 Auditoría interna
9.3 Revisión por la dirección
10 MEJORA
10.1 No conformidades y acciones correctivas
10.2 Mejora continua
14
23/11/2013
Pérdida de la mejora
A P
V H
MEJORAS
MEJORAS
A P
Rutina
Mejora Rutina V H
A P Problema
V H
Mejora
TIEMPO TIEMPO
15
23/11/2013
PLANEAR
ACTUAR
HACER
VERIFICAR
Arranque
Planear
Actuar Hacer
Verificar
16
23/11/2013
Requisitos
Obligaciones
Responsabilidades
GUBERNAMENTAL
PARTES
INTERESADAS
INSTITUCIONAL REQUISITOS
CONSUMIDOR
17
23/11/2013
Requisitos
Soporte
Objetivos
DIRECCION
Responsabilidad Revisión
Autoridad
Requisitos
Soporte
Objetivos
Responsabilidad
DIRECCION
Autoridad
18
23/11/2013
A TRAVÉS DE LA ORGANIZACIÓN
DESPLIEGUE DE LAS POLITICAS
SATISFACCION REQUISITOS
RESULTADOS
MEDICION
© Ing. Juan Carlos Angarita Castellanos, M.E. 37
La dirección aprueba
DIRECCION
La dirección asume (riesgos)
Cumplimiento de objetivos
EFICACIA Satisfacción de las partes interesadas
Cumplimiento de requisitos
19
23/11/2013
1. ANALIZAR:
1. PROPÓSITO ORGANIZACIÓN: Que hace? Cómo lo hace? En donde?
2. CONTEXTO ORGANIZACIONAL: Objetivos del negocio, requisitos
3. EL ALCANCE Y LÍMITES DEL ISMS.
4. COMPROMISOS: Requisitos, mejora continua.
2. DOCUMENTADO
3. COMUNICADO
4. DISPONIBLE
5. REVISAR DE MANERA PERIÓDICA (A partir del numeral 1)
- Períodica
- Luego de las auditorías
- Cambios en la organización, el contexto o el sistema de gestión del riesgo
20
23/11/2013
21
23/11/2013
EL PROBLEMA:
• Darse cuenta que pasa, hasta que pasa.
• Cuantificarlos económicamente, por
ejemplo: ¿cuánto le cuesta a la compañía
su base de datos?
• Vincular directamente sus efectos sobre
los resultados de la compañía
LA SOLUCIÓN:
• No es invertir gran cantidad de dinero.
• Buenas prácticas administración y control.
• Medición – auditoria – informática
22
23/11/2013
Establecer el contexto
23
23/11/2013
Actuar Planear
Mejora de la Evaluación
gestión del riesgo del riesgo
Verificar Hacer
Monitoreo y Remediación
revisión del riesgo del riesgo
Definir:
- Alcance
- Política
- Metodología
Hacer
Identificar:
- Activos Tratamiento:
- Amenazas - Decidir tratamiento
- Vulnerabilidades - Aceptar riesgo residual
Seleccionar
Seguros
SOA No hacer Evitar
Proveedores
Implantar
24
23/11/2013
EL CONCEPTO DE RIESGO
• VULNERABILIDAD: Debilidad del elemento a proteger o de la organización (OCTAVE)
que puede usarse (accidental o intencionalmente) o llevar a la materialización de un
riesgo (NIST)
• AMENAZA: Potencial de desarrollar una vulnerabilidad (NIST) que conforma la causa
de un impacto (no deseado) a una organización o sistema (ISO 13335-1)
• PELIGRO: Fuente de daño (impacto negativo) potencial para pérdida (ISO Guide 51).
25
23/11/2013
ETAPAS
Evitar
riesgo Aplicar
tratamiento
Riesgo Retener
residual riesgo
Apetito
riesgo
26
23/11/2013
1.10. PLANEACIÓN
OBJETIVOS BCMS
1. CRITERIOS
1. POLÍTICA CONSISTENCIA
2. MEDIBLES
3. REQUISITOS
2. DOCUMENTADO
3. COMUNICADA / ACTUALIZADOS
4. RESPONSABILIDADES
1. QUIEN
2. QUÉ
3. CON QUÉ
4. CUANDO
5. CÓMO (EVALUACION)
27
23/11/2013
1.10. PLANEACIÓN
COMPETENCIAS CONCIENCIA
Educación Política
Entrenamiento Contribución eficacia
Experiencia No conformidades BCMS
Determinar
Asegurar
Actuar
Retener
28
23/11/2013
- Diseñar una lista de verificación para ser usada en una auditoría del SGSI, en
materia de competencia y conciencia.
Internas
Externas
29
23/11/2013
- Diseñar una lista de verificación para ser usada en una auditoría del SGSI, en
materia de comunicaciones.
Controlada Mantenida
Soporte
Crear
Actualizar Identificación Descripción Aprobación Formato Soporte
30
23/11/2013
Información Cambios
Criterios Controles
Documentada
Efectos
no deseados
Acciones
Requisitos
- Evaluar Desempeño
Efectividad
- Detectar Tendencias
Resultados adversos
31
23/11/2013
Acciones de mejora
Mejora
continua
Acción Acción
correctiva preventiva
32
23/11/2013
AAASADASDA
SDASDASDSA
AAASADASDA
DASDASDAS
SDASDASDSA
DASDASDAS
DATOS
PROCESOS
33
23/11/2013
CONSIDERACIONES
CONTROL DE ACCESO
RESPONSABILIDAD SOBRE LOS ACTIVOS
1. INVENTARIO DE LOS ACTIVOS.
2. PROPIEDAD DE LOS ACTIVOS.
3. USO ACEPTABLE DE LOS ACTIVOS.
4. DEVOLUCIÓN DE ACTIVOS
NORMAS LEGALES Y
CLASIFICACION TÉCNICAS APLICABLES
1. CLASIFICACION
2. ETIQUETADO
3. MANEJO
CONFIDENCIALIDAD
VALORACIÓN
MEDIOS
1. MEDIOS REMOVIBLES INTEGRIDAD
2. ELIMINACIÓN DE MEDIOS
3. TRANSFERENCIA FÍSICA DISPONIBILIDAD
- Diseñar una lista de verificación para ser usada en una auditoría del SGSI, en
materia de gestión de activos, donde se pueda determinar:
34
23/11/2013
MOVILIDAD INTERNO
S.I. en proyectos
- Diseñar una lista de verificación para ser usada en una auditoría del SGSI, en
materia de los aspectos internos de seguridad de la información.
35
23/11/2013
Cese o
Antes Durante
cambio
Verificación de antecedentes
Términos y condiciones
Responsabilidad dirección
Concientización y formación
Proceso disciplinario
Responsabilidad cese/cambio
- Diseñar una lista de verificación para ser usada en una auditoría del SGSI, en
materia de seguridad ligada al personal:
36
23/11/2013
Registro/deregistro usuarios
Suministro de acceso
Gestión de privilegios
Acceso de usuario
Gestión info autenticación
Remoción/Ajuste derechos
Restricción de acceso
Uso de utilitarios
37
23/11/2013
- Diseñar una lista de verificación para ser usada en una auditoría del SGSI, en
materia de control de acceso.
Gestión de claves
Lorenz cipher
38
23/11/2013
- Diseñar una lista de verificación para ser usada en una auditoría del SGSI, en
materia de controles criptográficos.
- Diseñe un caso que contemple situaciones con los dominios ya vistos y compartalo
con otro grupo para hacer uso de las listas de verificación.
Áreas seguras
Aseguramiento espacios
39
23/11/2013
Equipos
Emplazamiento/protección
Servicios de soporte
Mantenimiento
Remoción de equipos
Equipo desatendido
- Diseñar una lista de verificación para ser usada en una auditoría del SGSI, en
materia de seguridad física y ambiental.
40
23/11/2013
Procedimientos
Malware Backup
/responsabilidades
Procedimientos operativos Controles Copia de respaldo
Gestión de la capacidad
Separación ambientes
41
23/11/2013
- Diseñar una lista de verificación para ser usada en una auditoría del SGSI, en
materia de seguridad en las operaciones.
- Cómo aplicaría esa lista al evento recientemente sucedido de infección de la
estación espacial?
1.22. COMUNICACIONES
Confidencialidad/Divulgación
42
23/11/2013
1.22. COMUNICACIONES
- Diseñar una lista de verificación para ser usada en una auditoría del SGSI, en
materia de comunicaciones.
- Cómo aplicaría esa lista de verificación a los recientes casos de interrupción de
comunicaciones críticas en autopistas?
43
23/11/2013
- Diseñar una lista de verificación para ser usada en una auditoría del SGSI, en
materia de desarrollo de software.
S.I. Proveedores
Entrada de servicios
Supervisión y revisión
Gestión cambios (servicios)
44
23/11/2013
- Diseñar una lista de verificación para ser usada en una auditoría del SGSI, en
materia de relaciones con el proveedor (si ese proveedor es por ejemplo una
empresa que realiza copias de seguridad o si es una que provee servicio de internet.
Planear
Gestión de
Actuar Hacer
incidentes
Verificar
Notificación
de eventos
45
23/11/2013
46
23/11/2013
Planear
Continuidad
Actuar Hacer
del negocio
Verificar
47
23/11/2013
48