SEGURIDAD DE LA

INFORMACIÓN

NORMAS VIGENTES
 Temas a Desarrollar
• Términos y Definiciones
• Ejemplos de Incidentes relativos a la SI
• Sistema de Gestión de Seguridad de la Información
• Beneficios Empresariales de un SGSI
• Implementación de la Norma
• Ciclo PDCA
• Factores Críticos de Éxito
• Sistema de Gestión Integrados
• Proceso de certificación ISO 27001
• Beneficios de la certificación
• Aporte de la ISO / IEC 27001:2005
 Términos y definiciones
Sistema:
“Conjunto de elementos interrelacionados o que actúan
entre sí”.
ISO 9000, claúsula 3.2.1

Trabajar sistemáticamente:
Para ser efectivos, las cosas deben estar organizadas de
una manera adecuada/práctica y deben hacerse de
acuerdo a cierta secuencia.
 Términos y definiciones

Sistema de gestión:

“Sistema para establecer una política y objetivos, y lograr

dichos objetivos”.
ISO 9000, claúsula 3.2.2
 Términos y definiciones

Sistema de gestión:
Provee un marco alrededor del cual las personas pueden
operar para que la organización logre los resultados
deseados, de una manera efectiva y eficiente.(el modo en
que queremos que se hagan las cosas!!!). Para que un SG
sea efectivo, la organización debe:
•Verificar que está logrando y manteniendo los niveles
apropiados de desempeño y

•Revisar el progreso para asegurarse la adecuación

continua.
 Términos y definiciones
• Información: La información constituye un
importante activo, esencial para las necesidades
empresariales de una organización. La
información puede existir de muchas maneras.
Puede estar impresa o escrita en papel, puede
estar almacenada electrónicamente, ser
transmitida por correo o por medios
electrónicos, se la puede mostrar en videos, o
exponer oralmente en conversaciones.
ISO / IEC 27002:2005
 Ejercicio
Dar ejemplos de incidentes relativos a la
seguridad de la información que hayan
observado. ¿Qué tipo de violación a la
seguridad de la información implicaron?
 Términos y definiciones
• Confidencialidad: Propiedad por la cual la información
no esté disponible ni sea divulgada a individuos,
organismos o procesos no autorizados.
ISO 27001:2005, cláusula 3.3
• Integridad: Propiedad de proteger la precisión y la
totalidad de los activos.
ISO 27001:2005, cláusula 3.8
• Disponibilidad: propiedad de estar accesible y ser
utilizable a demanda por parte de un organismo
autorizado
ISO 27001:2005, cláusula 3.2
 Términos y definiciones
• Seguridad de la información: Preservación de
la confidencialidad, integridad y disponibilidad
de la información; además de otras
propiedades, que también pueden estar
involucradas como la autenticación, registro de
responsabilidad (accountability), el no repudio y
la confiabilidad.
ISO 27001:2005, cláusula 3.4
Sistema de Gestión de Seguridad
de la Información – (SGSI)
La parte del sistema global de gestión, basada en un
enfoque de riesgos empresariales, para establecer,
implementar, operar, monitorear, revisar, mantener, y
mejorar la seguridad de la información.

El sistema de gestión incluye la estructura institucional,

políticas, actividades de planificación,
responsabilidades, prácticas, procedimientos, procesos
y recursos.

ISO/IEC 27001 cláusula 3.7

 ¿Cuáles son los beneficios
empresariales de un sistema de
gestión de seguridad de la
información para su
organización?
¿Por qué implementar un SGSI?

La seguridad de la información es
responsabilidad de todos los niveles de la
dirección. Al implementar un SGSI, la
organización está mejor equipada para
gestionar riesgos vinculados a la seguridad de
la información y se beneficiará.
Beneficios de la implementación
de un SGSI

Enfoque Mejor Reducción de

entendimiento de violaciones de
sistémico los aspectos
empresariales la seguridad

Identificación de
Reducción de activos críticos
la publicidad mediante
Mejor
desfavorable evaluación de
clasificación riesgos
de riesgos
Beneficios de la implementación
de un SGSI

Es un factor Se asegura que Provee una

el “capital de estructura para
de confianza
conocimiento” se la mejora
tanto interna almacene y se
como externa continua
gestione
¿Por qué la implementación de
una norma?
La norma es un conjunto de requisitos mínimos
basados en el feedback de la experiencia de miles de
usuarios en cuanto a sistemas de gestión de seguridad
de la información.

Es un enfoque sistémico hacia al cambio y la mejora.

(Planifique, Haga, Verifique, Actúe – PDCA) que se
concentra en activos de información, amenazas,
vulnerabilidades, riesgos, procesos, gestión y personas.
 Cláusulas de la norma en el
modelo PDCA de mejora continua
Mejora Continua
Partes

Partes Establecer Interesadas

el SGSI
Interesadas Orientada
4.2.1 y 4.3
orientada a al negocio
Plan
los activos Implementar y Mantener y
Operar el SGSI Do Act Mejorar el SGSI
4.2.2 y 5 4.2.4 y 8
Requisitos y
Expectativas Check Seguridad
de Seguridad Monitorear y de la
de la Revisar el SGSI Información
4.2.3, 6 y 7
Información Gestionada
 El Círculo de Deming
Mejora Continua

Describe Cuatro Actividades:

PLANIFIQUE HAGA

ACTÚE VERIFIQUE
 El Círculo de Deming
Mejora Continua
PLAN: PLANIFIQUE
• Definir el alcance del SGSI

• Identificar los Activos y aplicar la metodología

• Seleccionar los controles para el tratamiento del

riesgo

• Documenmtar la Declaración de Aplicabilidad y

aprobarla por la Dirección
 El Círculo de Deming
Mejora Continua
DO: HAGA
• Implementar los controles seleccionados

• Definir métricas

• Implementar programas de entrenamiento y

concientización

• Implementar procedimientos y controles para la

gestión de incidentes
 El Círculo de Deming
Mejora Continua
CHECK: REVISE
• Ejecutar procedimientos de monitoreo y revisión
para detectar errores, brechas de seguridad y la
eficacia de las acciones tomadas.

• Revisar a intervalos planificados revisiones por

la dirección.
 El Círculo de Deming
Mejora Continua
ACT: MANTENGA Y MEJORE EL SGSI

• Tomar decisiones correctivas y preventivas,

basadas en auditorías internas y revisiones por la
dirección, para alcanzar la mejora continua del
SGSI.
¿Cómo nos aseguramos de
una implementación exitosa
de un SGSI?
 Factores Críticos de Éxito
Política de Seguridad de la Información

Objetivos

Actividades que reflejan los objetivos del negocio

 Factores Críticos de Éxito

Enfoque hacia la seguridad de la información

Cultura Institucional
 Factores Críticos de Éxito
Compromiso de la Dirección

Apoyo visible
 Factores Críticos de Éxito
Requisitos de Seguridad de la Infromación

Evaluación de Riesgos

Gestión de Riesgos
 Factores Críticos de Éxito

Orientación

Respaldo Financiero
 Factores Críticos de Éxito
Toma de Conciencia Apropiada

Capacitación

Educación
 Factores Críticos de Éxito

Gestión de Incidentes
 Antes de Continuar…
Escriba las respuestas a las siguientes preguntas:

•¿Qué es un sistema de gestión y cómo apoya el sistema

de gestión a su organización?
•¿Qué es la información y qué es la seguridad de la
información?
•¿Qué es el sistema de gestión de seguridad de la
información (SGSI)?
•¿Cómo apoya el SGSI a la organización/negocio?
•¿Cómo establecemos, implementamos y operamos,
monitoreamos, revisamos y mejoramos un SGSI?
•¿Cuáles son los factores críticos de éxito?
 Términos y definiciones
• Norma auditable: una especificación
contra la que se puede realizar una
auditoría independiente. Por ejemplo: ISO
9001:2000 e ISO 27001:2005
• Guías: las guías o mejores prácticas
están disponibles para elegir el logro de
cierto objetivo. Por ejemplo: ISO
9004:2000 e ISO 27002:2005
La Familia de Normas ISO 27000
Principios y Vocabulario ISO 27000 (en
desarrollo)

Requisitos para
ISO 27001:2005
Certificación

Código de Práctica de ISO 27002:2005 (ex

Seguridad de la ISO 17799:2005)
Información

Guía de implementación
ISO 27003 (en
SGSI y aplicación del
desarrollo)
PDCA
 La Familia de Normas ISO 27000
Métricas y técnicas de
ISO 27004 (en
medida aplicables para
desarrollo)
determinar la eficacia y
efectividad del SGSI)

Guía para la gestión del

riesgo de la seguridad de la ISO 27005:2008
información

Proceso de acreditación de
entidades de certificación y ISO 27006:2007
registro SGSI

Guía para Auditar ISO 19011:2002

 Fundamentos de la norma ISO
27001
• Implementación de un Sistema de Gestión de Seguridad de
la Información (SGSI).

• Enfoque de la Seguridad de la Información basado en el

Análisis, Evaluación y Tratamiento de Riesgos, con la
finalidad de reducirlos a niveles asumibles (no existe la
seguridad absoluta).

• Gestión de la seguridad de la información con un enfoque

de procesos, imbuida en el negocio de la organización y no
como un producto, tecnología o proyecto de una única
área.

• Mejora continua de la eficacia del SGSI y de sus controles

de seguridad, basada en mediciones objetivas (métricas).
 Fundamentos de la norma ISO
27001 (continuación)
• Compromiso y apoyo de la Dirección.
• Compromiso y entrenamiento para la
concientización en seguridad de la información
del usuario .
• Reuniones de revisión por la Dirección para
tratamiento eficaz de No Conformidades,
Acciones Preventivas o Acciones de Mejora
(mejora continua).
• Sistema de reporte de incidentes con la finalidad
de aprender de ellos y mejorar (lecciones
aprendidas).
 Gestión de Riesgos
(Risk Management)
• Son las actividades coordinadas para dirigir y controlar a
una organización respecto del riesgo.

• Es una actividad central en la Gestión de la Seguridad

de la Información.

• El proceso normalmente incluye:

Aceptación
Evaluación Tratamiento
Análisis de y comunicación
de de
Riesgos de Riesgos
Riesgos Riesgos
Residuales
 Términos y definiciones
• Activo (asset): algo que tiene valor para la
organización.

• Amenaza (threat): la potencial causa de un incidente no

deseado, que puede resultar en daño a un sistema u
organización (factor externo).

• Vulnerabilidad: una debilidad en un activo o grupo de

activos que puede ser explotada por una o más
amenazas. (factor interno).

• Riesgo (risk): la combinación de la probabilidad de

ocurrencia y el impacto o consecuencia de que una
amenaza se concrete causando un perjuicio para la
organización.
 Términos y definiciones

•Control o Contramedida: una técnica para manejar el

riesgo, reduciendo la probabilidad de ocurrencia o el
impacto de una amenaza.

•Riesgo Residual: el riesgo remanente luego de aplicar un

control.
•Impacto: El resultado de un incidente relacionado a la
seguridad de la información. (Un incidente de piratería
informática causará un impacto en la organización si el
servidor contiene valiosos activos de información).
 Ejercicio
Identificar activos teniendo en cuenta la
siguiente clasificación:
– Información.
– Software.
– Activos físicos.
– Servicios.
– Personas.
 Activos
Tipos de Activos
• Información
– Bases de datos y archivos de datos
– Contratos y acuerdos
– Documentación impresa o en línea
– Información de investigación
– Manuales y material de entrenamiento
– Procedimientos
– Pistas de Auditoría
• Software
– Software de aplicación
– Software de base
– Herramientas y utilitarios de desarrollo
 Activos
Tipos de Activos (cont.)
• Activos Físicos
– Equipos de computación
– Equipos de comunicaciones
– Medios de almacenamiento
– Centros de cableados
• Servicios
– Servicios de computación y comunicaciones
– Servicios de soporte (electricidad, aire acondicionado,
iluminación, calefacción)
 Activos
Tipos de Activos (cont.):
• Personas, junto con
– su experiencia,
– calificaciones,
– capacidades y
– competencias
• Activos Intangibles
– Reputación
– Marcas
– Imagen de la organización
 Gestión de Riesgos

Uso sistemático de la
Análisis de información para identificar
Riesgos fuentes de riesgos y
estimarlo.

¿El sistema de información participa del logro de los objetivos del

negocio?
¿Se considera a la información manejada por el sistema crítica para
la supervivencia de la empresa?
¿La organización ha hecho considerables inversiones para
desarrollar, mantener o reemplazar el sistema?
¿El sistema utiliza activos informáticos caros?
 Gestión de Riesgos

Análisis de
Riesgos
ENFOQUE
DE LÍNEA DE BASE

Se define un conjunto mínimo de salvaguarda o medidas de control.

Éstas se pueden aplicar de modo uniforme a. varios sistemas

de información que se consideran sistemas de bajo riesgo.

Las fuentes podrán ser catálogos de controles, normas o

recomendaciones del sector en cuestión.
 Gestión de Riesgos

Análisis de
Riesgos
ANÁLISIS DETALLADO
DE RIESGOS

Para sistemas de información muy sensibles críticos para la

empresa, seguir los siguientes pasos:

•Identificación en profundidad y valoración de los activos

•Evaluación de las amenazas a estos activos
•Evaluación de las vulnerabilidades a estos activos
•Evaluación de riesgos
•Justificación de la selección de controles
 Gestión de Riesgos

Evaluación de
Riesgos
Proceso general de análisis
y valoración de riesgos

Se valoran:

•El valor del activo

•Las amenazas
•Las vulnerabilidades,
en cuanto a las probabilidades de ocurrencia, el riesgo podrá ser
muy alto, alto, medio y bajo.
 Gestión de Riesgos

Tratamiento del Proceso mediante el cual se

Riesgos evalúan las posibles acciones
que se deben tomar para
mitigar los riesgos existentes

Hay cuatro opciones:

•Reducción de riesgos
•Evasión de riesgos
•Transferencia de riesgos
•Aceptación de riesgos
 Gestión de Riesgos
Aceptación Proceso por el cual se acepta y
y comunicación comunica el riesgo que persiste,
aún después de tomar las medidas
de Riesgos necesarias para tratar los riesgos
Residuales identificados.

• Nivel de riesgo residual por debajo de los niveles aceptables:

La organización aceptará ese nivel de riesgo y convivirá con él, no será
necesario emprender ninguna otra acción.

• Nivel de riesgo supera los límites tolerables:

Es preciso implementar acciones o controles más eficaces para tratar el
riesgo residual y mitigar su impacto.

• El costo de reducir o mitigar el riesgo residual es tan alto que

supera los costos que asumiría la organización si el riesgo
ocurriera. Para esta situación lo más indicado es que la
organización acepte el nivel de riesgo.
Términos y definiciones

Controles y
Contramedidas
de Seguridad

Activos
Amenazas

Vulnerabilidades
 Gestión de Riesgos (risk management)
Identificar y
Planificar
Definir: analizar Identificar:
 Alcance,  Activos,
 Política y  Vulnerabilidades
 Metodología  Amenazas y
 Controles Análisis y
Analizar: valoración de
 Riesgos riesgos (Risk
 Costo / Beneficio Assessment)
Dirección
 Decidir tratamiento de riesgos
 Aceptar riesgo residual

Tratamiento de
Mitigar Transferir Aceptar Evitar
riesgos
riesgo riesgo riesgo riesgo

Controles:  Seguros  Conocer y  Cese de la

 Seleccionar  Proveedores Aceptar las actividad que
 SOA consecuencias lo origina
 Implantar
¿Continuamos conociendo más

sobre la Norma ISO 27001?

Cláusulas de la Norma ISO 27001
0 - Introducción
1- Alcance Consideraciones
Generales No
2- Referencia Normativa
Auditables
3- Términos y Definiciones
4- Sistema de Gestión de
Seguridad de la Información
Requisitos 5- Responsabilidad de la Dirección
Auditables 6- Auditoría Interna del SGSI
7- Revisión por la Dirección del SGSI
8- Mejora del SGSI
Anexo A- Objetivos de Control y Controles
Anexos B y C (informativos) y Bibliografía
 Anexo A de la norma 27001
A.5- Política de Seguridad
A.6- Organización de la Seguridad de la Información
A.7- Gestión de Activos
A.8- Seguridad de recursos humanos
A.9- Seguridad física y ambiental
A.10- Gestión de comunicaciones y operaciones
Anexo A
A.11- Control de accesos
A.12- Adquisición, desarrollo y mantenimiento de
sistemas de información
A.13- Gestión de incidentes de seguridad de la información
A.14- Gestión de la continuidad del negocio
A.15- Cumplimiento
 Proceso de certificación
Implantación del
Sistema de VISITA INICIAL
Solicitud de la
Gestión de la Análisis de AUDITORIA
Certificación
Seguridad de la Documentación
Información

Visita Adicional

NO Auditoria SI
anual Emisión de
Aprobación Aprobación
de Certificado
Mantenimiento
SI NO

Visita
Adicional
Mantenimiento CICLO
de
Certificado PERIODICO
 Esfuerzo de certificación
La organización debe evidenciar:
• Adherencia con su política de SGSI, objetivos y
procedimientos
• Que el SGSI concuerda con todos los requisitos normativos y
que alcanza los objetivos de la política de seguridad de la
información
La auditoría de certificación se focaliza en:
• Evaluar los riesgos relativos a la seguridad de la información
y que esa evaluación produzca resultados comparables y
reproducibles
• La documentación obligatoria del requisito 4.3.1
• La selección de controles y objetivos de control identificados
durante el proceso de gestión de riesgos.

55
 Esfuerzo de certificación
La auditoría de certificación se focaliza en (continuación):
• Revisión de la eficacia del SGSI y las métricas de la eficacia de los
controles de seguridad de la información, reporte y revisión versus los
objetivos del SGSI
• Auditorías internas y revisiones de la Dirección
• Responsabilidad de la Dirección en función de la política de seguridad
de la información
• La correspondencia entre los controles seleccionados e implantados,
SOA, y los resultados de la evaluación y tratamiento de riesgos, y la
política y objetivos del SGSI
• La implementación de controles, teniendo en cuenta las métricas de la
eficacia de los controles de la organización, para determinar si los
controles implementados son efectivos para alcanzar los objetivos
establecidos
• Programas, procedimientos, registros, auditorías internas, y revisiones
de la eficacia para asegurar que son trazabables hacia la gestión de
riesgos, la política y objetivos del SGSI

56
 Beneficios de la certificación
• Asegura la eficacia de la gestión de la seguridad de la información a
través del cumplimiento de una norma de reconocimiento
internacional
• Facilita el apoyo de la Dirección
• Mejora la conciencia, responsabilidad y sensibilización del personal
hacia la seguridad de la información
• Incrementa la confianza de clientes y socios estratégicos por la
garantía de calidad, confidencialidad comercial y cumplimiento de
leyes y reglamentaciones
• Implementa la seguridad de la información en los procesos de
negocio a través de la gestión de los mismos y no por la compra
sistemática de productos y tecnología (revisión de los riesgos y
controles a lo largo del tiempo)
• Integra al SGSI con otros sistemas de gestión como SGC y SGA
• Robustece la imagen de la empresa a nivel local e internacional
(elemento diferenciador de la competencia)

57
 Ejercicio
Identificar beneficios que aportaría la
implementación de un SGSI en su
organización.