Professional Documents
Culture Documents
de Normalización
www.iso.org
PR/mo/item ID
Date ISO 27001 1
ISO/IEC 27001 – Sistema
de Gestión de la
Seguridad de la
Información
Por Dra. Angelika Plate
PR/mo/item ID
Date ISO 27001 2
La Familia de las
Normas 27000
& ISO/IEC 27001
PR/mo/item ID
Date ISO 27001 3
ISO/IEC JTC1 SC 27
WG1
Normas del SGSI WG4
Presidente Prof. Ted Humphreys Servicios de SGSI
Vicepresidente Angelika Plate Presidente Meng-Chow Kang
WG2 WG3
Técnicas de Evaluación de
Seguridad la Seguridad
Presidente Prof. Kenji Namura Presidente Mats Ohlin
PR/mo/item ID
Date ISO 27001 4
Date
Panorama
Panorama general &
general &
terminología
terminología del SGSI
del SGSI
PR/mo/item ID
[27000]
[27000]
de
de
de la
Controles
Controles de
de la
la seguridad
seguridad de
Sistema
la
la información (ex17799)
información (ex17799)
Sistema de
[27002]
[27002]
Guía
Guía de
de implementación del
implementación del
[27003]
la Información
SGSI
SGSI [27003]
de Gestión
Gestión de
Material de
orientación y
de la
apoyo a 27001
de
Información (SGSI)
Mediciones
Mediciones de
de la
la gestión
gestión de
la
la seguridad
seguridad de la
de la
información [27004]
información [27004]
(SGSI) [27001]
[27001]
la Seguridad
Seguridad
Gestión
Gestión del
del riesgo
riesgo de SGSI
de SGSI
[27005]
[27005]
SGSI
para
para el
Requisitos
Directrices
SGSI [27007]
Requisitos de
Directrices de
el SGSI
NUEVO
NUEVO
certificación
Acreditación y
de auditoría
SGSI [27006]
[27006]
ISO 27001
de acreditación
[27007] PROYECTO
acreditación
PROYECTO
auditoría del
del
5
Normas 27000
Norma Título Estado
27000 Panorama General y Vocabulario FDIS
Publicada –
27001 Requisitos para el SGSI
actualizada ahora
PR/mo/item ID
Date ISO 27001 6
Modelo
Modelo
DCA SGSI
PHVAModel
Implementa
ción & Diseño
PLANIFICAR ACTUAR
operación del SGSI
del SGSI
HACER VERIFICAR
Mantenimiento
Seguimiento & mejora del
& revisión SGSI
del SGSI
Actualización & Mejora del SGSI Diseño del SGSI (evaluación del
Planificar
(mejorar o implementar nuevos riesgo, tratamiento del riesgo,
controles, políticas, selección de los controles …)
procedimientos…)
Actuar
PHVA
PHVA Hacer
Implementación y Utilización
Seguimiento & Revisión del SGSI del SGSI (implementar y
(incidente, cambios, reevaluación Verificar ensayar los controles, políticas,
de los riesgos, hojas de evaluación, procedimientos, procesos…)
auditorías…)
Medidas de eficacia
Cumplimiento
PR/mo/item ID
Date ISO 27001 10
Código de Práctica para la gestión
de la seguridad de la información
Desde la primavera de 2007 a la
norma ISO/IEC 17799 se le dio
nueva numeración como 27002
La norma está ahora en revisión
PR/mo/item ID
Date ISO 27001 11
¿Qué hay en la norma ISO/IEC 27003?
Una guía para avanzar en la implementación de los
requisitos definidos en la norma 27001
El alcance incluye orientación sobre implementación
en:
Asesoramiento detallado y ayuda en lo concerniente a los
procesos PHVA
Alcance y política del SGSI
Identificación de activos
Implementación de controles seleccionados
Seguimiento y revisión y mejora continua
PR/mo/item ID
Date ISO 27001 12
¿Qué hay en la norma ISO/IEC 27004?
PR/mo/item ID
Date ISO 27001 13
¿Qué hay en la norma ISO/IEC 27005?
PR/mo/item ID
Date ISO 27001 14
¿Qué hay en la norma ISO/IEC 27006?
PR/mo/item ID 15
Date ISO 27001 15
NORMA ISO/IEC 27007
Directrices de Auditoría del SGSI
Orientación específica del SGSI para complementar
la norma ISO 19011
Manejar la orientación a los auditores en temas
como:
Establecimiento de los rastros de auditoría del
SGSI
Auditoría de evidencia forense
Alcances del SGSI
Mediciones
PR/mo/item ID 16
ISO 27001 16
Date
Evolución
BS 7799-1:1995 BS 7799-2:1998
BS 7799-1:1999 BS 7799-2:1999
PR/mo/item ID
Date ISO 27001 17
Panorama
Panorama general &
general &
Date
terminología
terminología del SGSI
del SGSI
redes
[27000]
de
[27000]
PR/mo/item ID
redes de
incidente,
de la
Controles
Controles de
de la
la seguridad de
seguridad de
autenticación,
Técnicas
Sistema
de TI,
Recuperación
la
la información (ex17799)
información (ex17799)
Sistema de
de
Recuperación de
[27002]
[27002]
Guía
Guía de
de implementación del
implementación del
autenticación, técnicas
TI, servicios
incidente, aplicaciones
la Información
SGSI [27003]
SGSI [27003]
de Gestión
identificación,
aplicaciones de
Técnicas criptográficas,
Gestión de
servicios TTP,
de privacidad
de desastres,
de la
privacidad ……
de red,
identificación, ciber
Información (SGSI)
Mediciones
Mediciones de
de la
la gestión de
gestión de
TTP, IDS,
ciber ....
la
la seguridad
seguridad de la
de la
técnicas biométricas,
información [27004]
información [27004]
criptográficas, protocolos
desastres, seguridad
red, gestión
(SGSI) [27001]
[27001]
la Seguridad
IDS, manejo
Seguridad
protocolos de
seguridad de
de
gestión de
Gestión
Gestión del
del riesgo
riesgo del SGSI
del SGSI
manejo del
de la
del
la
de las
las
[27005]
[27005]
biométricas, tecnologías
tecnologías
Requisitos
Requisitos para
para las
las telecomunicaciones [27011]
telecomunicaciones [27011]
SGSI
Requisitos
Requisitos para
para los
los automotores [2701x]
automotores [2701x]
Acreditación
Requisitos
evaluación
evaluación &
&
SGSI [27006]
Requisitos de
[2701x]
[27006]
de
Requisitos
Requisitos para
para el
el transporte
transporte [2701x]
Acreditación para
para el
el
Producto
Requisitos
Requisitos para
para el
el cuidado
cuidado de
de la
la salud [270xx/27799]
salud [270xx/27799]
seguridad
seguridad
Requisitos
Requisitos para
para WLA (Asociación de
WLA (Asociación de Lotería
Lotería Mundial) [2701x]
Mundial) [2701x]
Producto sistema
sistema
Requisitos
Requisitos para
para los
los sistemas
sistemas financieros [2701x]
financieros [2701x]
aseguramiento
Directrices
aseguramiento de
[19011
Directrices de
de la
Acreditación
[19011 &
ISO 27001
la 18
Requisitos
18
de auditoría
Requisitos de
& 27007]
Acreditación [17021]
auditoría
de
27007]
[17021]
NORMA ISO/IEC 18044
ISO/IEC 18044
PR/mo/item ID
Date ISO 27001 19
NORMA ISO/IEC 24762
En desarrollo en la nueva WG 4
Publicada
PR/mo/item ID
Date ISO 27001 20
SGSI 27001
PR/mo/item ID 21
Date ISO 27001 21
PDCA
SGSI
SGSI
PHVA
Model
Implementación
& operación del Diseño
PLANIFICAR ACTUAR
SGSI del SGSI
HACER VERIFICAR
Mantenimiento
Seguimiento
& mejora del
& revisión
SGSI
del SGSI
PR/mo/item ID
Date ISO 27001 23
Alcance del SGSI
Proveedor de
Servicios Externo
Alcance del SGSI
Cliente
Dpto. de Servicio
de TI
PR/mo/item ID
Date ISO 27001 24
Alcance del SGSI
PR/mo/item ID
Date ISO 27001 25
Política del SGSI
PR/mo/item ID
Date ISO 27001 26
Evaluación del Riesgo del SGSI
PR/mo/item ID
Date ISO 27001 28
Selección de los controles del SGSI
Selección de los controles (4.2.1 (g))
1. Los controles se seleccionan primordialmente
Diseño del del Anexo A con base en los resultados de la
SGSI evaluación del riesgo (los controles de otras
listas/normas pueden complementar lo que no
se encuentre en el Anexo A) y la decisión
tomada durante la fase de tratamiento del
riesgo
2. Para la selección se necesitarán los criterios
de la compañía para aceptar el riesgo
3. Al realizar la selección se debe tomar en
cuenta otros requisitos, como los legales
Continuación del Ejemplo A:
• Implementar mejores mecanismos de
autenticación y acceso en los sistemas de TI
que contienen los registros del cliente
• ¿Cuáles controles del Anexo A pueden ser
aplicables?
PR/mo/item ID
Date ISO 27001 29
Aprobación de la dirección
Aprobación de la dirección
Diseño del (4.2.1 (h)-(i))
SGSI
Aprobación de los riesgos residuales
Aprobación y autorización para
implementar los controles del SGSI
PR/mo/item ID
Date ISO 27001 30
Declaración de Aplicabilidad
Declaración de Aplicabilidad
(4.2.1 (j))
Diseño del
SGSI Lista de los controles seleccionados para
implementacion, más aquellos controles
actualmente implementados y los
controles no implementados (exclusiones)
PR/mo/item ID
Date ISO 27001 33
Acciones de la Dirección del SGSI
PR/mo/item ID
Date ISO 27001 34
Seguimiento y Revisión del SGSI
PR/mo/item ID
Date ISO 27001 35
Seguimiento y Revisión del SGSI
PR/mo/item ID
Date ISO 27001 36
Seguimiento y Revisión del SGSI
PR/mo/item ID
Date ISO 27001 37
Mejoras del SGSI
PR/mo/item ID
Date ISO 27001 38
Documentación del SGSI
Documentación
Diseño del
Mejora del Alcance y Declaración de Política
SGSI
SGSI
del SGSI
Informe de Evaluación del Riesgo
Ciclo de Vida Plan de Tratamiento del Riesgo
del SGSI Declaración de Aplicabilidad
Procedimientos del SGSI
Implementación Seguimiento & Manuales del SGSI
& Operación del SGSI Revisión del SGSI Manuales de Auditoría
PR/mo/item ID
Date ISO 27001 39
Documentación del SGSI
Controles (4.3.2)
PR/mo/item ID
adecuados
Date ISO 27001 40
Registros del SGSI
Registros
Diseño del
Mejora del
SGSI Registro del manejo de incidentes
SGSI
Registros del personal
Registros de capacitaciones
Ciclo de Vida Registros de contratos, ventas y
del SGSI entregas a los clientes
Registros de ventas
Implementación Seguimiento & Registros financieros
& Operación del SGSI Revisión del SGSI Registros de ensayos
Registros de Benchmarking
PR/mo/item ID
Date ISO 27001 41
Registros del SGSI
Controles (4.3.3)
Se deben establecer registros para
suministrar evidencia de la conformidad con
la norma
Diseño del
Mejora del
SGSI
SGSI Para fines de certificación, el SGSI
debe haber estado en operación
por al menos 4-6 meses para tener
la evidencia suficiente
Implementación Seguimiento & Los registros deben protegerse de la misma
& Operación del SGSI Revisión del SGSI
manera que toda la documentación
Los requisitos para la documentación y los
registros son los mismos que para otros
sistemas de gestión
PR/mo/item ID
Date ISO 27001 42
Compromiso de la Dirección
La Dirección debe estipular su compromiso al:
Establecer la política, objetivos y planes del SGSI
Establecer roles y responsabilidades para la
seguridad de la información
Comunicar la importancia de la seguridad de la
información
Proporcionar los recursos suficientes para el
SGSI
Decidir los criterios para la aceptación del riesgo
Asegurar las auditorías internas del SGSI
Realizar revisiones por parte de la Dirección
PR/mo/item ID
Date ISO 27001 43
Provisión de Recursos
La organización debe determinar y suministrar los
recursos necesarios para:
Establecer, implementar, operar, hacer
seguimiento, revisar, mantener y mejorar un SGSI
Garantizar que la seguridad de la información brinda
apoyo a los requisitos del negocio
Identificar y atender los requisitos legales y
reglamentarios y las obligaciones de seguridad
contractuales
Mantener la seguridad adecuada mediante la
aplicación correcta de todos los controles
implementados
Llevar a cabo revisiones y mejorar la eficacia del
PR/mo/item ID
Date
SGSI donde se requiera. ISO 27001 44
Formación, Toma de Conciencia & Competencia
PR/mo/item ID
Date ISO 27001 45
Auditorías Internas del SGSI
PR/mo/item ID
Date ISO 27001 46
Auditorías Internas del SGSI
PR/mo/item ID
Date ISO 27001 47
Revisión del SGSI por la Dirección
Diseño del
SGSI Mejora del
SGSI
Implementación
& operación del SGSI Seguimiento &
revisión del SGSI
Diseño del
SGSI Mejora del
SGSI
Implementación
& operación del SGSI Seguimiento
& revisión del SGSI
Diseño del
SGSI Mejora del
SGSI
Implementación
& operación del SGSI Seguimiento
& revisión del SGSI
Salidas de la Revisión
1. Definición de las mejoras del SGSI
2. Objetivos de eficacia y mejoras a los métodos y medidas
3. Actualizaciones de la evaluación del riesgo y los planes de tratamiento
4. Actualizaciones de políticas, procedimientos, planes
5. Reformulación de las necesidades de recursos, re-operación y definición de roles y
responsabilidades
PR/mo/item ID
Date ISO 27001 50
Mejoras del SGSI
PR/mo/item ID 52
Date ISO 27001 52
Certificación
Partes interesadas
Organismos de acreditación, Organismos de
Certificación y Usuarios Finales
Documentos y normas de certificación
Proceso de Acreditación
Proceso de Certificación
Auditores
Todos los certificados registrados en la actualidad
pueden consultarse en
www.iso27001certificates.com
PR/mo/item ID
Date ISO 27001 53
Acreditación
Certificación Organismo de Acreditación (OA)
Asesores
Organización
SGSI
PR/mo/item ID
Date ISO 27001 54
Documentos y Normas de Certificación
Norma de Certificación
ISO/IEC 27001:2005 (antes BS 7799 Parte:2002)
Directrices para Acreditación
ISO/IEC 17021 (antes Guía ISO 62/EN 45012)
ISO/IEC 27006 (antes EA 7/03), ISO 19011
Documentos de apoyo
ISO/IEC 27002
PR/mo/item ID
Date ISO 27001 55
Acreditación
Certificación Organismo de Acreditación (OA)
Asesores
Documentos empleados:
(a) ISO/IEC 17021 Evaluación de los sistemas/procesos de alta
(b) ISO 19011 calidad del organismo de certificación para
(c) ISO/IEC 27006 Auditorías atestiguadas llevar a cabo y administrar las certificaciones
Organización
SGSI
PR/mo/item ID
Date ISO 27001 56
Proceso de Auditoría La realización de la auditoría inicial -
del SGSI de dos etapas – tiene como intención
el otorgamiento del certificado
Acciones correctivas
Auditorías de seguimiento para manejar las no-
conformidades
Típicamente
cada 6-9 meses
El cliente solicita la no El cliente decide no
durante los tres
años de período re-certificación seguir
de validación de
la certificación
Tres años después
Auditoría de Re-certificación del otorgamiento del
certificado
sí
PR/mo/item ID
Date ISO 27001 57
Proceso de Auditoría del SGSI
Típicamente el proceso inicial de auditoría involucra
dos etapas:
Etapa 1 de la Auditoría
Revisión de los documentos del SGSI …
Etapa 2 de la Auditoría
Visita en el sitio
Reuniones con el equipo de la Dirección y entrevistas
con el personal
Observación y evaluación del SGSI en funcionamiento
Revisión y discusión de los hallazgos, documentos,
registros, informes …
Recopilación de la evidencia objetiva
PR/mo/item ID
Date ISO 27001 58
Auditorías del SGSI – Etapa 1
Etapa 1 de la Auditoría
En esta etapa de la auditoría, el organismo de certificación debe obtener la
documentación sobre el diseño del SGSI abarcando la documentación
requerida en el Artículo 4.3.1 de la norma ISO/IEC 27001.
El objetivo de la etapa 1 de la auditoría es suministrar un enfoque para la
planificación de la etapa 2 de la auditoría, al obtener una comprensión del
SGSI en el contexto de las políticas y objetivos del SGSI de la organización
del cliente, y, en particular, del estado de preparación para la auditoría por
parte de la organización del cliente.
La etapa 1 de la auditoría incluye la revisión de documentación, pero no
debe restringirse sólo a ella. El organismo de certificación debe acordar
con la organización del cliente cuándo y dónde debe realizarse la revisión
de la documentación. En todo caso, la revisión debe completarse antes del
inicio de la etapa 2 de la auditoría.
Los resultados de la etapa 1 de la auditoría deben documentarse en un
informe escrito. El organismo de certificación debe revisar el informe de la
etapa 1 de la auditoría antes de proseguir con la etapa 2 y para seleccionar
el equipo de miembros para la etapa 2 de la auditoría con la competencia
necesaria.
El organismo de certificación debe hacer que la organización del cliente se
entere de los tipos de información y registros adicionales que pueden
requerirse para una revisión detallada durante la etapa 2 de la auditoría.
PR/mo/item ID
Date ISO 27001 59
Auditorías del SGSI – Etapa 2
Etapa 2 de la Auditoría
• Los objetivos de esta auditoría son:
Confirmar que la organización del cliente se ajusta a
sus propias políticas, objetivos y procedimientos;
Confirmar que el SGSI cumple con todos los requisitos
de la norma ISO/IEC 27001 y que satisface los objetivos
de la organización.
• Esta auditoría siempre se lleva a cabo en las
instalaciones de la organización.
• El organismo de certificación elabora un
borrador de plan de auditoría para esta etapa 2
de la auditoría con base en los hallazgos de la
etapa 1.
PR/mo/item ID
Date ISO 27001 60
Auditorías del SGSI – Etapa 2
PR/mo/item ID
Date ISO 27001 61
Proceso de Auditoría del SGSI
PR/mo/item ID
Date ISO 27001 62
Acreditación
Certificación Organismo de acreditación (OA)
Evaluadores
Equipo de Dirección
del OC
Organismo de Certificación (OC)
PR/mo/item ID
Date ISO 27001 63
Calificaciones del auditor de SGSI
ISO/IEC 19011 (Directrices de la auditoría) (www.iso.org)
Educación
Experiencia industrial
Formación
Experiencia en auditoría
Auditores certificados IRCA (www.irca.org)
Auditor provisional
Auditor
Auditor líder
Se están desarrollando más aspectos de la certificación
personal para SGSI
PR/mo/item ID
Date ISO 27001 64
2000 - 2006 2006 Enero/Feb
2007
EA7/03 de EA FDIS de Publicación
ISO/IEC 27006 planeada de
ISO/IEC 27006
PR/mo/item ID
Date ISO 27001 65
ISO/IEC 27006
PR/mo/item ID
Date ISO 27001 66
Uso of „Debe“ y„Debería“
PR/mo/item ID
Date ISO 27001 67
Estructura de ISO/IEC 27006
PR/mo/item ID
Date ISO 27001 68
Structure of ISO/IEC 27006 - Example
PR/mo/item ID
Date ISO 27001 69
¿Qué incluye ISO/IEC 27006?
PR/mo/item ID
Date ISO 27001 70
¿Qué incluye ISO/IEC 27006?
PR/mo/item ID
Date ISO 27001 71
¿Qué incluye ISO/IEC 27006?
Sección 8 “Requisitos de información”
8.1 Orientación específica de SGSI para otorgar
mantener,… suspender certificados
8.2 Orientación específica de SGSI para
documentos de certificación
El certificado debe hacer referencia a la versión
de la Declaración de Aplicabilidad
Cierta orientación más específica de SGSI en
relación con
8.4 Uso de sellos
8. 5 Confidencialidad
PR/mo/item ID
Date ISO 27001 72
¿Qué incluye ISO/IEC 27006?
Sección 9 “Requisitos del proceso”
9.1.1 Orientación específica de SGSI sobre
requisitos generales de auditoría de SGSI para:
Criterios de auditoría de certificación
Políticas y procedimientos
Equipo auditor
PR/mo/item ID
Date ISO 27001 74
¿Qué incluye ISO/IEC 27006?
PR/mo/item ID
Date ISO 27001 77
ISO/IEC 27001
Evaluación del Riesgo
&
Gestión del Riesgo
PR/mo/item ID 78
Date ISO 27001 78
Enfoques de Gestión del Riesgo
PR/mo/item ID
Date ISO 27001 79
ISO/IEC 27005
PR/mo/item ID
Date ISO 27001 80
ModelISO/IEC 27005
Proceso
de gestión ESTABLECER CONTEXTO
ISO/IEC 27005
ANÁLISIS DEL
DECISIÓN SOBRE EL
RIESGO PUNTO 1
Evaluación satisfactoria Si
DECISIÓN SOBRE EL
RIESGO PUNTO 2
Aceptar riesgos
Si
PR/mo/item ID
Date ISO 27001 81
ISO/IEC 27005 - Contenido
PR/mo/item ID
Date ISO 27001 82
ISO/IEC 27005 - Anexos
PR/mo/item ID
Date ISO 27001 83
Dominios de riesgo
Aplicaciones Servicios
Información Entorno
físico
Procesos
empresariales
TCI
Personas
Conexiones en
red
PR/mo/item ID
Date ISO 27001 84
Activos en el SGSI
PR/mo/item ID
Date ISO 27001 85
Activos del SGSI
Servicios Aplicaciones
TCI
directorio
de activos Entorno
físico
PR/mo/item ID
Date ISO 27001 86
Importancia de la medición del activo
PR/mo/item ID
Date ISO 27001 87
¿Cómo medir?
PR/mo/item ID
Date ISO 27001 88
Escala de valoración del activo
¿Cuántos niveles
3, 4 ó 5 .... ó ¿cuántos?
La diferencia entre los niveles debe ser fácil de
explicar
El significado de estos niveles diferentes debería
expresarse en palabras en cuanto a
Confidencialidad
Integridad
Disponibilidad
Otros criterios potenciales
PR/mo/item ID
Date ISO 27001 89
Identificación de requisitos
PR/mo/item ID
Date ISO 27001 90
Requisitos legales/contractuales
PR/mo/item ID
Date ISO 27001 93
Escala de valoración del activo
PR/mo/item ID
Date ISO 27001 94
Escala de valoración de activos
PR/mo/item ID
Date ISO 27001 95
Activos - Resumen
La protección de los activos es el objetivo de la
seguridad de la información y la gestión del riesgo
Cada activo debería
Identificarse y valorarse para permitir la adecuada
protección
Se debe identificar un propietario/custodio
Y se debería producir una lista/inventario, que incluya
Clasificación, almacenamiento y fecha de
entrada/actualización
Propietario, ubicación, tipo de activo, donde se
emplea…
PR/mo/item ID
Date ISO 27001 96
Controles existentes
Se deben identificar todos los controles ya
implementados o planificados
Esto es necesario para
Identificar amenazas y vulnerabilidades en un
contexto realista
Verificar si estos controles son realmente
necesarios o, de lo contrario, retirarlos
Identificar durante el proceso de evaluación de
riesgos dónde funcionan correctamente o deben
mejorarse estos controles
Seleccionar controles nuevos que se ajusten a los
ya existentes
PR/mo/item ID
Date ISO 27001 97
Identificación de controles
Grados …
NO
Si – implementada por completo
Parcial
como se describe en ISO/IEC 27002 Si
Parcial – desde casi completa hasta cuando existen
muchas brechas entre la implementación real y la norma
ISO/IEC 27002
NO – sin implementarse en absoluto
NO SE APLICA– no es adecuada para la organización, por
ej., técnicamente no es factible implementarla.
PR/mo/item ID
Date ISO 27001 99
Tabla de análisis de brechas
de alto nivel
Control Pregunta S/P/ Comentarios
N/NA
PR/mo/item ID
Date ISO 27001 100
Tabla detallada
de análisis de brechas
PR/mo/item ID
Date ISO 27001 101
Threats & vulnerabilidades
PR/mo/item ID
Date ISO 27001 102
Las amenazas pueden originarse de …
Acceso no autorizado
Código malicioso
Hurto, por empleados o no empleados
Mal uso de los sistemas de procesamiento de la información
Fraude
Falla del sistema
Negación del servicio
Errores del usuario
Desastres
……
PR/mo/item ID
Date ISO 27001 104
Identificación de amenazas
PR/mo/item ID
Date ISO 27001 105
Las vulnerabilidades están allí …
PR/mo/item ID
Date ISO 27001 106
Ejemplos de vulnerabilidad
Falta de concientización
Falta de responsabilidades claras
Clasificación errónea de la información
Incapacidad de proporcionar evidencia
Falta de control de cambio o versión
Falta de mantenimiento
Identificación y autenticación inapropiada
Falta de seguridad de los medios
Falta de protección física
……
PR/mo/item ID
Date ISO 27001 107
Identificación de vulnerabilidades
PR/mo/item ID
Date ISO 27001 108
Incidentes
PR/mo/item ID
Date ISO 27001 109
Fuentes de información
Recursos internos de la empresa
Informes de incidentes de seguridad
Resultados de auditorías del sistema & revisiones de
seguridad
Observación de procesos empresariales & condiciones de
trabajo/operacionales,
Charla con los propietarios & usuarios de los activos/el
sistema
Internet
CERT
SANS
…
PR/mo/item ID
Date ISO 27001 110
Escala de valoración
Cuántos niveles
3, 4 .... ó cuantos?
La diferencia entre los niveles debe ser fácil de
explicar
El significado de estos niveles diferentes debería
expresarse en palabras, explicando las diferencias
en la probabilidad de ocurrencia de los incidentes
PR/mo/item ID
Date ISO 27001 111
Valoración
PR/mo/item ID
Date ISO 27001 112
Valoración A/V
Amenazas
1 – baja probabilidad
2 – probabilidad media
3 – es probable que ocurra
Vulnerabilidad
1 - Dificultad de explotación, buena protección
2 – Posibilidad de explotación
3 – Facilidad de explotación, poca protección
PR/mo/item ID
Date ISO 27001 113
Riesgo de exposición
Imagen corporativa
Personal
Información/sistemas de información
Procesos
Activos Productos/servicios
Applicaciones
TIC
Físicos
Amenazas
Bajas Altas
Vulnerabilidades
PR/mo/item ID
Date ISO 27001 114
Matriz de riesgo
RIESGO DE EXPOSICIÓN
IMPACTO BAJO MEDIO ALTO
Bajo 1 3 5
Medio 2 4 6
Alto 3 5 7
Muy alto 4 6 8
PR/mo/item ID
Date ISO 27001 115
Matriz de riesgo
RIESGO DE EXPOSICIÓN
IMPACTO BAJO MEDIO ALTO
Bajo 1 3 5
Medio 2 4 6
Alto 3 5 7
Muy alto 4 6 8
PR/mo/item ID
Date ISO 27001 116
Nivel de riesgo
RE
1 2 3 Nivel de riesgo
1 Tolerable/insignifi.
2
Impacto
2
Nivel
3
} Menor
3 5
de 4 Significativo
5
riesgo 6
6
} Mayor
5 6 7 7 Intolerable
IMPACTO EN EL NEGOCIO
Bajo (insignificante, sin consecuencias, trivial, insignificante)
Bajo-Medio (notable, considerable pero no importante)
Medio (significante, importante)
Medio-Alto (daño serio, potencialmente desastroso)
Alto (daño devastador, daño total, cierre completo)
PR/mo/item ID
Date ISO 27001 117
Números relacionados con el riesgo
PR/mo/item ID
Date ISO 27001 118
Tratamiento del riesgo
exposición
- Reducción mediante aplicación de una selección apropiada de
Límite de
(RE) controles
riesgo
PR/mo/item ID
Date ISO 27001 119
Límite de riesgo
Activo
riesgo
Riesgo de riesgo riesgo
riesgo
exposición riesgo
REGISTRO
REGISTRO DE DE
Nivel de riesgo
(RE)
RIESGOS
RIESGOS riesgo
{riesgos
{riesgos
identificados}
identificados} Límite de
Impacto
en el aceptación del
negocio riesgo
Nivel de
riesgo
PR/mo/item ID
Date ISO 27001 120
Reducción del riesgo
Activo
Riesgo de
Nivel de riesgo
identificados
exposición
Riesgos
(RE) riesgo
Controles
para riesgo
Impacto reducción Límite de aceptación
del riesgo riesgo
en el del riesgo
negocio
riesgo riesgo
Nivel de riesgo
riesgo
PR/mo/item ID
Date ISO 27001 121
Reducción del riesgo mediante controles
PR/mo/item ID
Date ISO 27001 122
Reducción del riesgo
3 44 5 6 7 88 9 (muy
Niveles de (Bajo) Alto)
riesgo
Implementación
de un conjunto de
controles
Por ejemplo, esta reducción puede haber sido posible por medio de la
combinación de mejoras en los procedimientos operativos, formación
para su uso, y mejores mecanismos técnicos de control de acceso
PR/mo/item ID
Date ISO 27001 123
Reducción del riesgo – ¿Cómo funciona?
PR/mo/item ID
Date ISO 27001 124
Selección de controles
Es necesario seleccionar los objetivos y controles
apropiados
Del Anexo A de la ISO/IEC 27001
De cualquier otra fuente, cuando sea necesario
La selección de los objetivos de control y de los controles
se debería justificar con base en:
Los resultados del proceso de valoración del riesgo
Las conclusiones del proceso de tratamiento del
riesgo
Es necesario que los controles existentes y los
seleccionados formen un sistema de controles y que
trabajen conjuntamente
PR/mo/item ID
Date ISO 27001 125
Declaración de aplicabilidad
PR/mo/item ID
Date ISO 27001 126
Declaración de aplicabilidad –
Ejemplo
Objetivo de control y control S/T/ Comentarios y razones
N/NS
Organización interna
A.6.1 Manejar la seguridad de la información Sí Necesita implementarse para todo el SGSI
dentro de la organización (véase RAR página 6).
A.6.1.1 … … …
personas
100
80
físicos 60 sistemas de informació
Ene-02 40
Jun-02 20
Ene-03 0
TIC procesos
aplicaciones productos/servicios
PR/mo/item ID
Date ISO 27001 128
Herramientas de valoración del riesgo
PR/mo/item ID
Date ISO 27001 129
RA2 arte del riesgo
PR/mo/item ID
Date ISO 27001 130
ISO/IEC 27002
Código de Práctica
Para Gestión de
Seguridad de la
Información
PR/mo/item ID 131
Date ISO 27001 131
ISO/IEC 27002 – Desarrollo en el tiempo
Junio 15
1995-1998 1999 2000 de 2005
BS 7799 Parte 1 Publicación de Primera
BS 7799 Parte 1
Código de Práctica las actualización actualización de
publicada como
BS 7799 Parte 2 de las partes la ISO/IEC 17799
ISO/IEC 17799
especificación SGSI 1y2
PR/mo/item ID
Date ISO 27001 132
Anterior - Nueva
Edición 2000 Edición de 2005
Política de seguridad Política de seguridad
Organización de la seguridad Organización de Seguridad de la Inform.
Control y clasificación de activos Gestión de activos
PR/mo/item ID
Date ISO 27001 134
5.1 Política de seguridad de la
Información
5.1 1 Documento de la política de seguridad de la
información
La dirección debería aprobar un documento de la política de
seguridad de la información, y lo debería publicar y comunicar
a todos los empleados y partes externas interesadas.
5.1.2 Revisión de la política de seguridad de la
información
La Política de Seguridad de la Información se debería revisar
a intervalos planificados o si ocurren cambios significativos,
para asegurar su conveniencia, suficiencia y eficacia
continuas.
PR/mo/item ID
Date ISO 27001 135
Lista de verificación de la política (1)
PR/mo/item ID
Date ISO 27001 136
Lista de chequeo de la política (2)
Establece una definición de seguridad de la
información
Explicación acerca de las políticas y principios
importantes de seguridad de la información
Formación y toma de conciencia
Consecuencias de violaciones a la seguridad
Referencias a otras políticas más detalladas
Definición de las responsabilidades de seguridad
de la información
Aprobada por la Dirección, publicada y
comunicada a todos los empleados
PR/mo/item ID
Date ISO 27001 137
6.1 Organización interna
PR/mo/item ID
Date ISO 27001 139
6.2 Partes externas
PR/mo/item ID
Date ISO 27001 140
7 Gestión de activos
Responsabilidad por los activos
7.1.1 Inventario de activos
7.1.2 Propiedad de los activos
7.1.3 Uso aceptable de los activos
Clasificación de la información
7.2.1 Directrices de clasificación
7.2.2 Etiquetado y manejo de la información
PR/mo/item ID
Date ISO 27001 141
Ejemplo de inventario de activos
Valor
Identif. Tipo de activo Propietario y ubicación C I A
activo
XS1 Sistema operativo A
XS2 Sistema operativo B
XS3 Aplicación S/W y utilidades
… … …
XH1 Servidor Administrador del sistema
XH2 Computadores
… … …
XIS1 Sistema de información A Jefe de recursos humanos
XIS2 Sistema de información B Jefe del grupo de finanzas
… … …
XC1 Equipo de comunicaciones. Gerente de comunicaciones
… … …
XP1 CCTV Jefe de gestión de propiedad y oficina
… … …
PR/mo/item ID
Date ISO 27001 142
8 Seguridad de los recursos humanos
antes, durante y al terminar el contrato laboral
8.1 Antes de la contratación laboral
8.1.1 Roles y responsabilidades
8.1.2 Selección
8.1.3 Términos y condiciones laborales
PR/mo/item ID
Date ISO 27001 143
9 Seguridad física
Áreas seguras
9.1.1 Perímetro de seguridad física
9.1.2 Controles de acceso físico
9.1.3 Seguridad de oficinas, recintos e instalaciones
9.1.4 Protección contra amenazas externas y
ambientales
9.1.5 Trabajo en áreas seguras
9.1.6 Áreas de carga, despacho y acceso público
PR/mo/item ID
Date ISO 27001 144
9 Seguridad física
PR/mo/item ID
Date ISO 27001 145
10.2 Gestión de la prestación del servicio por
terceras partes
PR/mo/item ID
Date ISO 27001 146
10.3 Planificación y aceptación del sistema y
10.4 Códigos maliciosos
PR/mo/item ID
Date ISO 27001 147
Respaldo, gestión de redes y manejo de la
información
10.5 Respaldo
10.5.1 Respaldo de la información
10.6 Gestión de redes
10.6.1 Controles de redes
10.6.2 Seguridad de los servicios de redes
10.7 Manejo de la información
10.7.1 Gestión de medios removibles
10.7.2 Eliminación de los medios
10.7.3 Procedimientos para el manejo de la información
10.7.4 Seguridad de la documentación del sistema
PR/mo/item ID
Date ISO 27001 148
10.8 Intercambio de la información
PR/mo/item ID
Date ISO 27001 149
10.9 Servicios de comercio electrónico
PR/mo/item ID
Date ISO 27001 150
10.10 Monitoreo
PR/mo/item ID
Date ISO 27001 151
11.1 Requisitos del negocio para control del
acceso
operativos
Información y
aplicaciones
Sistemas
servicios
Redes y
PR/mo/item ID
Date ISO 27001 152
11.2 Gestión del acceso de usuarios
PR/mo/item ID
Date ISO 27001 153
11.3 Responsabilidades de los usuarios
PR/mo/item ID
Date ISO 27001 154
11.4 Control de acceso a las redes
PR/mo/item ID
Date ISO 27001 155
11.5 Control de acceso al sistema operativo
PR/mo/item ID
Date ISO 27001 156
11.6 Control de acceso a las aplicaciones y a la
información
PR/mo/item ID
Date ISO 27001 157
11.7 Computación móvil y trabajo remoto
network
PR/mo/item ID
Date ISO 27001 158
12.1 Requisitos de seguridad de los sistemas de
información
PR/mo/item ID
Date ISO 27001 159
12.2 Procesamiento correcto en las aplicaciones
PR/mo/item ID
Date ISO 27001 160
12.3 Controles criptográficos
PR/mo/item ID
Date ISO 27001 161
12.4 Seguridad de los archivos del sistema
PR/mo/item ID
Date ISO 27001 162
12.5 Seguridad en los procesos de desarrollo y
soporte
PR/mo/item ID
Date ISO 27001 163
12.6 Gestión de la vulnerabilidad técnica
PR/mo/item ID
Date ISO 27001 164
12.6 Gestión de la
vulnerabilidad técnica
Reducir los riesgos resultantes de la explotación de las
vulnerabilidades técnicas publicadas
¿Está actualizado para enfrentar la siguiente invasión de ataques?
Explotaciones el día cero
Gestión de la vulnerabilidad
Días hasta la explotación
Slammer
Nachi
Blaster Sasser
PR/mo/item ID
Date ISO 27001 165
Enlaces a la ISO/IEC 18044
PR/mo/item ID
Date ISO 27001 166
13.1 Reporte sobre los eventos y debilidades de
la seguridad de la información
PR/mo/item ID
Date ISO 27001 167
13.2 Gestión de los incidentes y las mejoras
en la seguridad de la información
PR/mo/item ID
Date ISO 27001 168
14 Gestión de la continuidad del negocio
PR/mo/item ID
Date ISO 27001 169
Continuidad del negocio y
Seguridad de la Información
Continuidad
General
Del negocio Proceso
Estructura para continuidad del negociode gestión
Procesos de gestión del riesgo de la
Desarrollo de planes, directrices y políticasseguridad
Implementación de estos planes de la
Pruebas y revisión de los planes Información
PR/mo/item ID
Date ISO 27001 170
15 Cumplimiento
PR/mo/item ID
Date ISO 27001 171
15 Cumplimiento
PR/mo/item ID
Date ISO 27001 172
Más acerca
de la Familia
de Normas 27000
PR/mo/item ID 173
Date ISO 27001 173
ISO/IEC 27003 – Visión general
PR/mo/item ID
Date ISO 27001 174
Factores de éxito críticos
Compromiso de la dirección
Buen gobierno dentro de la organización
Consideraciones financieras
Consideraciones específicas de un
sector/industria
Consideración de la situación de riesgo global
Cooperación con otras organizaciones
Reconocimiento de la necesidad de cambios y
actualizaciones
PR/mo/item ID
Date ISO 27001 175
Aspectos relacionados
La fase Planificar tiene varios pasos que se deberían seguir para la implementación de este proceso. Cada paso
brinda entradas al paso siguiente, en un flujo lógico. Este procedimiento paso a paso se ejemplifica en esta sección
mediante diagramas de flujo. Cada paso se describe de manera que una organización que no esté familiarizada
con seguridad de la información y/o normas de gestión de la ISO pueda entender lo que se pretende.
Área de navegación
PR/mo/item ID
Date ISO 27001 179
Estructura organizacional
Dirección
Comité de seguridad de la
información
• Ajustar
• Respaldar
Equipo de planificación de
Miembros con roles exclusivos, seguridad de la información
Consultores permanentes
Asesorar
PR/mo/item ID
Date ISO 27001 180
Análisis de brecha
PR/mo/item ID
Date ISO 27001 181
Valoración del riesgo
PR/mo/item ID
Date ISO 27001 182
Política de Seguridad de la Información
Área de navegación
Política de
SGSI Normas y proced. Implementac. Implementac. de Gestión de
de seguridad de la Controles de programas de recursos para el
información 8.2 SGSI formación y SGSI
concientización 8.5
Declaración de 8.4 SGSI en
aplicabilidad operación
Controles
apropiados
PR/mo/item ID
Date ISO 27001 185
ISO/IEC 27004
Alcance
Brindar orientación sobre el desarrollo y uso de
medidas para evaluar la eficacia de sus procesos,
objetivos de control y controles de SGSI, como se
especifica en la ISO/IEC 27001
Introducción en la que se explican las partes principales
del programa de medición
Visión general de la gestión para facilitar su
comprensión, especialmente para las pymes
PR/mo/item ID
Date ISO 27001 186
Programa de medición
[4.2.2.e]
Hacer
Basado en las
Actuar
decisiones y acciones Monitoreo y revisión del programa de GSI Verificar
de los resultados de (numeral 10)
la revisión por la Monitoreo y revisión
dirección Identificar necesidades de acciones correctivas y
preventivas
(7.3)
Identificar oportunidades de mejora
PR/mo/item ID
Date ISO 27001 187
Modelo de medición
Medidas básicas
Resultan de aplicar métodos de medición a atributos de
objetos de medición
Medidas derivadas
Se definen mediante la aplicación de la función de
medición a una o más medidas de bases
Indicadores
Se obtienen mediante la aplicación de un modelo analítico
a las medidas derivadas
Resultados de las mediciones
Se evalúan mediante la interpretación de indicadores
aplicables con base en criterios de definición definidos
PR/mo/item ID
Date ISO 27001 188
Medidas básicas
PR/mo/item ID
Date ISO 27001 189
Medida derivada
PR/mo/item ID
Date ISO 27001 190
Indicadores
PR/mo/item ID
Date ISO 27001 191
Resultados de la medición
PR/mo/item ID
Date ISO 27001 192
Desarrollo de medidas
PR/mo/item ID
Date ISO 27001 194
Ejemplo:
Example
Calidad
: Quality
de of
lasPasswords
contraseñas
(1)(1)
Medidas básicas:
Número de contraseñas descifrables
Número total de registros de cuentas de empleados
Tiempo que toma “romper” la contraseña
Métodos de medición:
Correr herramientas de desciframiento de
contraseñas
Hacer la búsqueda en los registros de cuentas de los
empleados
Medir el tiempo que toma descifrar la contraseña
PR/mo/item ID
Date ISO 27001 195
Ejemplo: Calidad de contraseñas (4) – Indicadores
PR/mo/item ID
Date ISO 27001 196
Ejemplo: Calidad de las contraseñas (4) –
Criterios de decisión y acciones
PR/mo/item ID
Date ISO 27001 197
Ejemplo
Hoja de medición (1)
Métrica: Totalidad y corrección del inventario de activos
PR/mo/item ID
Date ISO 27001 198
Ejemplo
Hoja de medición (2)
Frecuencia de la Esta medición se realiza una vez cada tres meses – una frecuencia menor
medición: sería muy dispendiosa, y está a tiempo para el informe trimestral que
se presenta a la organización principal.
Procedimientos para Completos y actualizados hasta la fecha:
las fuentes de El inventario de activos corrientes se examina, se examinan de nuevo
datos y todos los otros inventarios, es decir, los de hardware y de software.
recolección de
datos: Verificaciones puntuales; se selecciona una división en cada
verificación y se examina cuidadosamente si hay activos en esa
división que no están en el inventario.
Se verifican los protocolos desde el punto de entrega, para asegurar
que los activos que entran al sitio han sido incluidos en el registro de
activos.
Los protocolos de los activos que salen del sitio se cotejan contra el
registro de activos.
Los protocolos de disposición de activos se cotejan contra el registro de
activos.
PR/mo/item ID
Date ISO 27001 199
Ejemplo
Hoja de medición (3)
Procedimientos para las Fuente de datos para determinar que las entradas son correctas:
fuentes de datos y
recolección de datos: Se verifica que los activos bajo revisión tengan un dueño
asignado a ellos, y que sea el dueño correcto de ese activo.
Se verifica que la ubicación y descripción del activo estén
incluidos correctamente en el inventario de activos.
Los valores de los activos en el inventario de activos
(expresando el daño a un negocio por una pérdida de
confidencialidad, integridad y/o disponibilidad) se discuten con
el dueño del activo para verificar que son correctos.
Se pregunta a los dueños de los activos acerca del
procedimiento para actualizar las entradas de sus activos en el
inventario de activos, y se verifican los registros de las últimas
actualizaciones.
PR/mo/item ID
Date ISO 27001 200
Ejemplo
Hoja de medición (4)
Indicadores: Indicador de metas: los resultados de las mediciones indican los siguientes
grados de cumplimiento de la meta de lograr un registro de activos
completo, correcto y actualizado:
100 – 98: bueno – significa que el registro de activos es correcto, con 2
desviaciones máximo.
97 – 93: aceptable – significa que se deberían hacer algunas mejoras en el
futuro; la acción de seguimiento exacta depende de las causas de los
errores.
Menos de 93: no es aceptable – es necesario corregir el registro de activos
y se deberían tomar acciones preventivas para evitar que este mal
resultado ocurra nuevamente.
Indicador de impacto: Se deberían examinar los activos cuya entrada no se
encuentre en el inventario de activos o sea incorrecta; si al menos uno de
los valores de los activos (incorrectos) es “alto”, esto indica que se debería
examinar más a fondo. En todos los otros casos son suficientes las metas
de desempeño normales y no se necesitan otros indicadores de impacto.
PR/mo/item ID
Date ISO 27001 201
Guía ISO 27001
PR/mo/item ID
Date ISO 27001 202
Normas específicas
para sectores
PR/mo/item ID 203
Date ISO 27001 203
Telecomunicaciones
PR/mo/item ID
Date ISO 27001 204
Telecomunicaciones
La norma contiene:
Una visión general que presenta la
estructura dentro de la que opera
Versiones ampliadas de los controles de la
ISO/IEC 27002 para el tema de las
telecomunicaciones
Esta norma ha sido adoptada por el SC 27
como ISO/IEC 27011 (en proceso de
publicación)
PR/mo/item ID
Date ISO 27001 205
Salud
PR/mo/item ID
Date ISO 27001 206
Desarrollos en el SC 27
PR/mo/item ID
Date ISO 27001 207
¿Por qué manejar los incidentes?
PR/mo/item ID
Date ISO 27001 208
¿Por qué manejar los incidentes?
PR/mo/item ID
Date ISO 27001 209
Ejemplo de incidente –
Negación de servicio
PR/mo/item ID
Date ISO 27001 212
Proceso de gestión de incidentes
PR/mo/item ID
Date ISO 27001 213
Planificar y preparar (1)
PR/mo/item ID
Date ISO 27001 215
Usar la gestión de incidentes (1)
PR/mo/item ID
Date ISO 27001 216
Utilizar la gestión de incidentes (2)
PR/mo/item ID
Date ISO 27001 217
Revisar los incidentes
PR/mo/item ID
Date ISO 27001 219
Implementación del ERISI (1)
PR/mo/item ID
Date ISO 27001 222
Aspectos claves de éxito (1)
PR/mo/item ID
Date ISO 27001 223
Aspectos claves de éxito (2)
Cumplimiento de todos los requisitos legales,
reglamentarios y contractuales
Identificación de toda la legislación pertinente
Protección de datos y aspectos sobre privacidad
Monitoreo legalmente correcto
Cumplimiento de requisitos contractuales
Contacto con los organismos que velan por el
cumplimiento de la ley
Abordar adecuadamente los temas de
responsabilidad
Mantenimiento de registros organizacionales
Hacer acuerdos de confidencialidad ejecutables
PR/mo/item ID
Date ISO 27001 224
Aspectos claves de éxito (3)
PR/mo/item ID
Date ISO 27001 225
¡Gracias por su atención !
http://www.iso.org
PR/mo/item ID
Date ISO 27001 226