SESION 9: Auditoria a la

Gestión de Riesgos en Seguridad

de Información
 AGENDA

– Porqué es necesaria la seguridad de la

información
– Cómo establecer los requisitos de
seguridad
– Factores críticos para el éxito
– Estándares principales
– ISO 17799 - 27001
¿ Por qué es necesaria la Seguridad de
Información ?
 La información y los procesos de
apoyo, sistemas y redes son
importantes bienes del negocio
 La confidencialidad, integridad y
disponibilidad de la información
puede ser esencial para mantener el
margen de competitividad, flujo de
caja, utilidad, cumplimiento legal e
imagen del negocio.
¿ Por qué es necesaria la Seguridad de
Información ?
Las organizaciones y sus sistemas de
información y redes están enfrentados en
forma creciente a las amenazas de la
seguridad desde una amplia gama de
fuentes, incluyendo
– Fraudes apoyados por computador
– Espionaje
– Sabotaje
– Vandalismo
– Fuego o inundación.
¿ Por qué es necesaria la Seguridad de
Información ?
 Las fuentes de daño tales como los virus
computacionales, hacking por
computador y ataques de denegación de
servicio han llegado a ser más comunes,
más ambiciosas y cada vez más
sofisticadas.
 La dependencia en los sistemas de
información y de servicios implica que
las organizaciones son más vulnerables a
amenazas de Seguridad.
¿ Por qué es necesaria la Seguridad de
Información ?
 La interconexión de las redes públicas y
privadas y la compartición de los
recursos de la información, aumenta la
dificultad de lograr protección en
control de acceso.
 La tendencia a los sistemas de
computación distribuidos ha debilitado
la efectividad del control central
especializado
¿ Por qué es necesaria la Seguridad de
Información ?

 Muchos sistemas de información no se han

diseñado para ser seguros
 La seguridad que se puede lograr a través de
dispositivos técnicos es limitada, y debería
ser apoyada por procedimientos y una
gestión apropiada
 Identificar que controles y en qué lugar
deberían estar, requiere una planificación
cuidadosa y una atención detallada
 ¿ Por qué es necesaria la Seguridad de
Información ?

 La gestión de seguridad de la información

necesita, como mínimo, la participación de los
proveedores, clientes o accionistas.
 También puede ser necesarias las opiniones de
especialistas de organizaciones externas
 Los controles de seguridad de la información
son considerablemente más baratos y más
efectivos si son incorporados en la etapa de
diseño y especificación de los requisitos
¿ Cómo establecer los requisitos de
Seguridad ?
 Es esencial que una organización identifique
sus requisitos de seguridad
 Existen tres fuentes principales:
– La primera fuente se obtiene de evaluar los riesgos de
la organización. A través de esta evaluación, se
identifican las amenazas a los bienes, la vulnerabilidad,
se evalúa la probabilidad de ocurrencia y se estima el
impacto potencial
– La segunda fuente es legal, regulatoria y los requisitos
contractuales que tiene que satisfacer tanto la
organización, como sus socios comerciales, los
proveedores y personal externo de servicios
¿ Cómo establecer los requisitos de
Seguridad ?

 Fuentes principales…
– La tercera fuente es un conjunto particular
de principios, objetivos y requisitos para el
procesamiento de la información que una
organización ha desarrollado para el apoyo
a sus operaciones
Factores Críticos para el Éxito
 Política, objetivos y actividades de Seguridad
que reflejen los objetivos del negocio
 Una aproximación para la implementación de
la seguridad que sea consistente con la cultura
organizacional
 Apoyo visible y compromiso de la dirección
 Buen entendimiento de los requisitos de
seguridad, evaluación y gestión del riesgo
 Difusión efectiva de la seguridad por todos
los directivos y empleados
 SESION 6/11/06
Factores Críticos para el Éxito
 Distribución de las normas y de la guía de
la política de seguridad de la información a
todos los empleados y personal externo
 Provisión de entrenamiento y educación
adecuada
 Utilización de un sistema de medición
equilibrado y completo para evaluar el
comportamiento de la gestión de seguridad
de la información y la realimentación de
sugerencias para su mejoramiento
 Estándares Principales
ISO 17799
ISO
■ Gestión de Seguridad de Información 27001

■ Gestión de Servicios TI ITIL

■ Control de Gobierno TI COBIT

■ Gestión de Proyectos PMBOK

 Estándares Principales
ISO 9796 ISO 9798 ISO 11770
Esquemas de Firmas Digitales Autenticación Gestión de Claves

COBIT ISO 13888 ISO 14888

Objetivos de Control para Tecnologías de
No Repudio Firmas Digitales
Información

ISO 13335 (GMITS) OSI Security ISO 15408(CC)

Guía para la Gestión de Seguridad de TI Marco de Trabajo para Sistemas Abiertos Criterios de Evaluación para Seguridad de TI

ISO 17799/ ISO 27001

Sistema de Gestión de Seguridad de la Información
¿Qué es ISO 17799 / ISO 27001?
La norma es publicada en dos partes:
 ISO 17799 Parte 1: Código de buenas
prácticas relativo a la gestión de la seguridad
de la información;
 ISO 27001 (BS 7799:2) Parte 2:
Especificaciones relativas a la gestión de la
seguridad de la información.
ISO/IEC 17799 (1ª parte)
 ISO / IEC 17799 se presenta bajo la forma de
notas de orientación y recomendaciones.
 Éstas han sido reunidas a posteriori de las
consultas realizadas a las empresas más
importantes.
 Contiene once dominios específicos compuestos
de objetivos de control y medidas de seguridad.
ISO/IEC 17799 (1ª parte)
 ISO / IEC 17799 se presenta bajo la forma de
notas de orientación y recomendaciones.
 Éstas han sido reunidas a posteriori de las
consultas realizadas a las empresas más
importantes.
 Contiene diez dominios específicos compuestos
de 36 objetivos y de 127 medidas de seguridad.
ISO/IEC 17799 (1ª parte)
 Proporcionar
directivas y consejos de gestión
Política de Seguridad

para mejorar
la seguridad de los datos.
1. Documentación
2. Compromisos
3. Revisión y Evaluación
ISO/IEC 17799 (1ª parte)
 Facilitar la
gestión de la seguridad de la
Seguridad de la Organización

información en
el seno de la organización.
1. Infraestructura interna
2. Acceso de terceros
3. Outsourcing
ISO/IEC 17799 (1ª parte)
Clasificación y Control de los
Catalogar los activos y protegerlos
eficazmente.
Activos

1. Inventario de activos
2. Clasificación de la
Información:
 Clasificación de la información
 Pública :Su conocimiento por el público no afecta el
funcionamiento de la organización dueña de la
Clasificación y Control de los

información.
 Sensible: Requiere un nivel mas elevado que la
información pública. Se debe tener especial cuidado de
una pérdida de confidencialidad o integridad por
alteraciones no autorizadas.
Activos

 Privada: Sólo puede ser conocido por la organización.

Su divulgación puede afectar de alguna manera el
funcionamiento de la organización.
 Confidencial: Sólo puede ser conocida por la
organización y que afecta considerablemente a ésta.
Típicamente, si se comete infidencia, las sanciones
legales son aplicadas a partir de esta categoría.
Ejemplos ; secretos comerciales, fusiones futuras, etc.
ISO/IEC 17799 (1ª parte)
 Reducir los riesgos de error
humano, robo, fraude y utilización
Seguridad del Personal

abusiva de los equipamientos.

1. Incluir la seguridad en las descripciones
de funciones
2. Verificar competencias de las personas
3. Cláusulas de confidencialidad
4. Capacitación en seguridad
5. Adecuados canales de información y
reporte de incidentes
6. Sanciones
ISO/IEC 17799 (1ª parte)
ISO/IEC 17799 (1ª parte)
Impedir la violación, el deterioro y la
perturbación de las instalaciones y
datos industriales
Seguridad física y
medioambiental

■ Seguridad del área (ej.paredes, puertas, recepción, etc.)

■ Acceso físico restringido
■ Seguridad física (detectores de humo, muebles ignífugos, llaves,
extintores, alarmas, etc.)
■ Evaluaciones periódicas de riesgos
■ Aislamientos
■ Suministros (ej. energía)
■ Protección de cables
■ Mantenciones a los equipos
■ Equipos obsoletos o en desusos. Políticas de destrucción.
■ Protectores de pantalla
■ Desconexión automática
■ Control de movimientos
■ Resguardo de documentación por parte de los empleados.
ISO/IEC 17799 (1ª parte)
ISO/IEC 17799 (1ª parte)
Garantizar un funcionamiento
seguro y adecuado de los dispositivos de
tratamiento de la información
1. Documentación de procedimientos
Comunicaciones y

2. Control de cambios (programas en producción).

Gestión de las

Operaciones

3. Procedimientos para manejar incidentes

4. Segregación de funciones
5. Separación entre desarrollo y producción
6. Proceso de Planificación
7. Protección contra software no autorizado
8. Back-up de información
9. Logs de actividades de usuarios
10. Protección uso de redes internas y públicas
11. Administración de medios removibles (ej.cd, discos, etc.)
12. Respaldos y documentación histórica
13. Comercio electrónico
14. Emails
15. Información pública
ISO/IEC 17799 (1ª parte)
ISO/IEC 17799 (1ª parte)
Controlar el acceso a los datos
1. Política de Control de acceso
Control de Accesos

2. Administración de usuarios y privilegios

3. Confidencialidad de las passwords
4. Revisión periódica de privilegios y usuarios
5. Conexiones por redes
6. Control de Acceso a sistemas
7. Control de Acceso a aplicaciones
8. Monitoreo
9. Control equipos móviles (ej. notebooks)
10. Teletrabajo
ISO/IEC 17799 (1ª parte)
ISO/IEC 17799 (1ª parte)
Garantizar que la seguridad esté
incorporada a los sistemas de información.
1. Requerimientos de seguridad y controles en
Mantenimiento

sistemas
Desarrollo y

2. Controles en las aplicaciones (ej. validaciones de

ingreso y procesos, autentificación de mensajes,
salidas)
3. Controles criptográficos (ej. política de uso,
técnicas de encriptación, firmas digitales,
resguardo de claves criptográficas, etc.)
4. Seguridad de archivos (ej controles sobre bases de
datos, restricciones a programas fuentes, etc.)
5. Seguridad en el proceso de desarrollo y soporte
(control de cambios, testeos antes y después,
outsourcing, etc.)
ISO/IEC 17799 (1ª parte)
 ISO/IEC 17799 (1ª parte)
Reducir los efectos de las interrupciones de
Gestión de la Continuidad de

actividad y proteger los procesos esenciales de la

empresa contra las averías y los siniestros mayores.
las Operaciones

1. Plan de continuidad del

negocio
2. Análisis de eventos, escenarios
e impactos
3. Pruebas periódicas
4. Actualizaciones
ISO/IEC 17799 (1ª parte)
ISO/IEC 17799 (1ª parte)
Prevenir los incumplimientos de las leyes
penales o civiles, de las obligaciones
reglamentarias o contractuales y las
exigencias de seguridad.
Conformidad

1. Cumplimiento con requerimientos legales

(ej. protección de datos, privacidad,
evidencias legales, prácticas de la
industria, etc.)
2. Cumplimiento con la Política de
Seguridad y estándares.
3. Auditorías (planificadas adecuadamente,
pruebas adecuadamente protegidas, etc.)
ISO/IEC 27001 (2ª parte)

Una organización que basa su SGSI (sistema de

gestión de la seguridad de la información o ISMS
por sus siglas en ingles) sobre las disposiciones de
ISO 27001(BS 7799:2) puede obtener el registro de
un organismo acreditado.
La organización así demuestra a sus socios que su
sistema cumple tanto con los estándares de la
norma, como así también con las exigencias de
controles para la seguridad que son establecidos
según sus propias necesidades.
¿Para qué sirve un SGSI?

"Para establecer la política y los

objetivos de seguridad de la
información de la organización… y
para lograr, a continuación estos
objetivos".
ISO/IEC 27001 (2ª parte)
Un sistema de gestión de la seguridad de la
información (SGSI) ofrece un enfoque metodológico
para administrar la información sensible con el fin
de protegerla. Su ámbito de aplicación incluye a los
empleados, los procesos y los sistemas
informáticos.
¿A quién va dirigida ISO 17799?
ISO 17799/ISO 27001 puede ser utilizada por
cualquier tipo de organización o de compañía,
privada o pública.
Si la organización utiliza sistemas internos o
externos que poseen informaciones
confidenciales, si depende de estos sistemas
para el funcionamiento normal de sus
operaciones o si simplemente desea probar su
nivel de seguridad de la información
conformándose a una norma reconocida, la
norma ISO 17799 – ISO 27001.
¿A quién va dirigida ISO 17799?
Tipo de Tamaño Objetivo Principal Utilización de la
empresa norma
Pequeña empresa u Inferior a Sensibilizar a la La norma ISO 17799
organismo 200 dirección general de la contiene los temas de
empleados seguridad de la seguridad que deben
información tratarse como base de
gestión
Empresa media Inferior a Crear una cultura de La norma contiene las
(centralizada o 5000 seguridad global prácticas necesarias para
descentralizada) empleados compatible constituir una política de
seguridad de la
información
Empresa muy Superior a Obtener una Utilización de ISO 27001
grande 5000 certificación de para crear un documento
empleados seguridad referencial de seguridad
Interno.