Documentos de Académico
Documentos de Profesional
Documentos de Cultura
y AUDITORIA
PROFESSIONAL CERTIFICATION
I27001F
I27001A
Instructor
• Descripción
• Objetivos
• Material de Trabajo
• Evaluaciones
• Temática
• Expectativas del Curso
Descripción
1. ¿Qué es un SGSI?
2. Éxito del SGSI
3. Importancia de un SGSI
4. Factores críticos de éxito de un SGSI
5. Beneficios de un SGSI?
6. Estableciendo un SGSI
Sistema de Gestión de seguridad de
la información
Reducción de gastos.
La SI se considera generalmente como un coste con ninguna
ganancia financiera palpable. Sin embargo, hay beneficios
financieros. Si usted reduce sus gastos ocasionados por
sucesos, como interrupciones en el servicio, fugas
ocasionales de datos o empleados descontentos.
Obtener la participación de la alta
dirección
• ISO/IEC 27001
• Historia de la norma
• Estado actual
• Familia de Normas 27000
• Estructura de la Norma
Historia
1995
• proporciona un conjunto de buenas prácticas , no se establecía un esquema de certificación
BS 7799 -1
1998
• Publicada por primera vez en 1998, estableció los requisitos certificables de un SGSI
BS 7799-2
1999
• Las dos partes de la norma BS 7799 se revisaron
Revisión
2000
• la primera parte (BS 7799-1) se adoptó por ISO en el 2000
ISO 17799
2002
• se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO
Revisión parte 2
2005
• con más de 1700 empresas certificadas en BS 7799-2, esta norma se publicó por ISO
ISO 27001.
2005
• ISO 17799 se renombro el 1 de Julio de 2007, manteniendo contenido y año de revisión 2005
ISO 27002:2005
Versiones 2013 • El 25 de septiembre de 2013 fueron publicadas y aprobadas las normas 27001 y 27002 2013
ISO 27000
Familia de normas
27001 y normas
complementarias
27004
Mediciones
27003 27005
Implementación Riesgos
27006
27002
Requisitos para
Controles
certificar
27000 Iso27001
Términos Requisitos 2007 Auditoria
Visión General
SGSI
Estructura de la Norma
0. Introducción y visión general del estándar
1. Alcance del Estándar: aplicable a todas las organizaciones, tipo, tamaño y Naturaleza
2. Referencia Normativas
3. Términos y definiciones: ISO27000 es un estándar donde los términos y definiciones son establecidos
4. Contexto de la organización: problemas internos, problemas externos, partes interesadas internas y
externas
Planear Hacer
5. Liderazgo: responsabilidades de la alta dirección definiendo los roles y responsabilidades del ISMS,
4 a la 7 8
contenido de la política de seguridad Definir y planear Operación
6. Planear lo requerimientos para la valoración y tratamiento de riesgos, la declaración de aplicabilidad, plan
de tratamiento de riesgos. Definiendo los objetivos de seguridad de la información
7. Soporte: disponibilidad de recursos, competencias, concientización, comunicación y control de documentos. Revisar
Actuar 9
8. Operación: requerimientos para la implementación de controles y procesos
10 Monitorear, Medir,,
9. Evaluación del rendimiento: requerimientos para monitorear,medir, analizar, evaluar, auditoría interna y Mejora Continua Auditar y revisar
revisión de la gestión.
10. Mejorar continua: requerimientos par ano conformidades, correcciones, acciones correctivas y mejora
continua.
Anexo A hace referencia a los objetivos de control y controles, un catálogo de 114 controles agrupados en 14
secciones
Seguridad de la información vs.
Seguridad TI
Aceptación
Visión General Contexto Valoración Tratamiento Comunicación Monitoreo
Gerencia
Consideraciones Factores de
Objeto Criterios básicos Alcance y limites Organización Descripción Análisis Evaluación Descripción
Generales Riesgo
Evaluación
Aceptación Activos Evitación
Consecuencias
Evaluación
Amenazas Transferencia
Probabilidad
Nivel de
Controles
estimación
Vulnerabilidades
Consecuencias
Visión General
Objeto
La norma 27005 proporciona directrices para la gestión del
riesgo en la SI en una organización, dando soporte
particular a los requisitos de un SGSI de acuerdo con la
norma ISO/IEC 27001.
En los anexos se presenta la información adicional para las actividades de la gestión del riesgo
en la seguridad de la información.
El establecimiento del contexto está sustentado por el Anexo A (que define el alcance y los
límites del proceso de gestión del riesgo en la seguridad de la información).
La identificación y evaluación de los activos y las evaluaciones del impacto se discuten en el
Anexo B (ejemplos para activos),
Los ejemplos de los enfoques para la evaluación del riesgo en la seguridad de la información se
presentan en el Anexo E.
• 14 áreas de control(claúsulas)
.1 Orientación en .1 Interna(4) .1 Antes(2) .1 .1 Requisitos de .1 Controles(2) .1 Áreas Seguras(6) .1 .1 Redes(3) .1 Requisitos .1 Relación con .1 Gestión .1 Continuidad de .1 Requisitos
SI(2) • 1 Responsabilidad • 1 Antecedentes Responsabilidad(4) negocio(2) • 1 Política Uso • 1 Perímetros procedimientos(4) • 1 Controles seguridad(3) Proveedores(3) Incidentes(7) la SI (3) legales (5)
• Definición • 2 Segregación • 2 Términos • 1 Inventario • 1 Política • 2 Gestión Claves • 2 Controles Físicos • 1 Documentación • 2 Mecanismos • 1 Especificación • 1 Política • 1 Responsabilidades • 1 Planificación • 1 Legislación
• Revisión • 3 Autoridades Contratación • 2 Propietario • 2 Control • 3 oficinas y recursos • 2 Gestión de • 3 Segregación • 2 Redes Públicas • 2 Tratamiento • 2 Notificación • 2 Implantación Aplicable
• 4 Grupos Interés • 3 Uso • 4 Amenazas Cambios • 3 Protección de Riesgo eventos • 3 Verificación • 2 Derechos
• 5 Proyectos • 4 Devolución Ambientales • 3 Gestión de transacciones • 3 Cadena Suministro • 3 Notificación Revisión Propiedad
.2 Durante(3) • 5 Trabajo Capacidades puntos débiles • 3 Protección de
.2 Gestión acceso .2 Intercambio Registros
• 6 Acceso Público • 4 Separación • 4 Valoración Eventos
• 1 Responsabilidades Usuarios(6) de Entornos Información(4) • 5 Respuesta a • 4 Protección de
• 2 Concienciación • 1 Altas y Bajas • 1 Políticas Incidentes .2 Redundancia(1) Datos
• 3 Disciplinario • 2 Derechos Usuarios • 2 Acuerdos • 6 Aprendizaje • 5 Regulación
• 1 Disponibilidad Criptografía
• 3 Derechos Intercambio Incidentes
.2 Clasificación(3) .2 Prestación de Instalaciones
Especiales .2 Código • 3 Mensajería • 7 Recopilar
• 1 Directrices • 4 Información • 4 Acuerdos
.2 Desarrollo y Servicios de(2) Evidencias
.3 Después(1) .2 Equipos(9) Malicioso(1) soporte(9)
• 2 Etiquetado Confidencial Confidencialidad • 1 Supervisión y
• 1 Cese o Cambio • 3 Manipulación • 5 Revisión • 1 Protección • 1 Controles contra • 1 Política Desarrollo revisión
• 6 Eliminación • 2 Energía • 2 Control de • 2 Gestión de
.2 Móviles y • 3 Cableado Cambios Cambios
teletrabajo(2) • 4 Mantenimiento • 3 Posterior al .2 Revisiones SI (3)
• 5 Salida .3 Copias de Cambio
• 1Política .3 Soportes(3) • 1 Revisión
.3 • 6 Seguridad Afuera Seguridad(1) • 4 Cambios en
• 2Teletrabajo paquetes SW Independiente
• 1 Gestión Responsabilidades( • 7 Reutilización y
• 1 Respaldo • 2 Cumplimiento
• 2 Eliminación retirada • 5 Principios
1) Ingeniería políticas
• 3 Tránsito • 8 Desatendido
• Uso Información • 6 SI ambiente • 3 Comprobación
• 9 Puesto Despejado cumplimiento
Desarrollo
.4 Actividad y • 7 Externalización
.4 Acceso a supervisión(4) • 8 Pruebas
Funcionalidad
Sistemas (5) • 1 Registro Eventos • 9 Pruebas
• 1 Restricción • 2 Protección de Aceptación
• 2 Inicio Sesión registros
• 3 Contraseñas • 3 Registro
• 4 Herramientas Administradores
Administración • 4 Sincronización
• 5 Código fuente Relojes
.3 Datos de
Prueba(1)
• 1 Protección Datos
.5 Software en
producción(1)
• Instalación
.6 Vulnerabilidad
técnica(2)
• 1 Gestión
• 2 Restricción
.7 Auditorías de
Sistemas(1)
• 1 Control
Controles
Anexo A
Controles
27002
Norma ISO/IEC 27001- 2013
Requisitos e implementación de un SGSI
Temática
5 9.0
4 Contexto
6 Planificar 7 Soporte 8. Operación Evaluación 10. Mejora
Organización Liderazgo Desempeño
10.1 No
5.1 Liderazgo 6.1 abordar 6.2 Objetivos 8.1 Control 9.1 Medición 9.2 Auditoría 9.3 Revisar 10.2 Mejora
4.1 Contexto 7.1 Recursos conformidad
Compromiso riesgos de SI Operacional y análisis Interna Gestión Continua
y acciones
h.
Responsable
i. Cuándo
terminará?
j. Cómo se
evaluará
Contexto Externo de la
Organización
Contexto Externo de la
Organización
Contexto Externo de la
Organización
Liderazgo y Compromiso
información.
Planificación
Acciones para abordar los riesgos
Tratamiento del riesgo de la SI
El propósito del tratamiento de riesgos (o mitigación
de riesgos) parece bastante simple: controlar los
riesgos identificados durante el análisis de riesgos;
en la mayoría de los casos esto significa disminuir el
riesgo reduciendo la probabilidad de un incidente
de los riesgos identificados.
7 Soporte o apoyo
71
Soporte
Recursos
77
Operación
planificación y control
En el funcionamiento diario del SGSI puede
sucederán la mayor parte de los problemas.
80
Evaluación del Desempeño
Seguimiento, medición, análisis
y evaluación
Con el fin de aclarar la terminología
• El monitoreo se refiere a observar y examinar
• La medición se refiere a determinar el tamaño o la cantidad de algo mediante el uso de valores concretos.
Ejemplo:
La monitorización de incidentes se refiere a revisar todos los incidentes que han ocurrido,
La medición de los incidentes se refiere a determinar el número de incidentes que se reportan diariamente.
El análisis se refiere a examinar los resultados de la medición, por ejemplo, comparando el número de incidentes
diariamente,
Evaluación significa llegar a conclusiones basadas en el análisis, El número de incidentes el lunes fue más alto que
cualquier otro día, entonces la empresa debe investigar esto con mayor detenimiento.
Evaluación del Desempeño
Auditoría Interna
A primera vista, la auditoría interna probablemente se vea como
un gasto excesivo. Sin embargo, las auditorías internas permiten
descubrir problemas (es decir, no conformidades) que de otra
manera podrían quedar ocultas, y que por tanto, podrían
perjudicar a su negocio.
84
Mejora
No conformidad y acciones
correctivas
Proceso sistemático, independiente, documentado, para obtener evidencia y evaluarla objetivamente, con el fin
de determinar en que grado se cumplen los criterios de la auditoría” ISO 19011.
• Sistemático: No aleatorio, las auditorias usualmente son una actividad planificada y programada.
• Independiente: Los auditores deben ser independientes del área auditada.
• Documentado: El proceso de auditoria ha sido publicado como un procedimiento escrito.
• Evaluarla objetivamente: Comparar la evidencia con los criterios de auditoría, usando hechos antes que
percepciones subjetivas, opiniones, sentimientos.
• Criterios de auditoría: Los requisitos de la auditoría,
• Se cumplen: Ocurren realmente.
Certificación – Auditoría - tipos
El texto de esta Norma Internacional sigue la estructura de la ISO 19011 y las directrices adicionales
específicas del SGSI sobre la aplicación de la ISO 19011 para las auditorías del SGSI