Curso: Seguridad de la Información
Sesión 3 – 4

Unidad 2: Controles de Seguridad de la Información

UPC
2013

Seguridad de la Información

2

Agenda de la Unidad 2
 Estructura organizacional para la seguridad

Agenda

 Controles requeridos por las normas de seguridad  Interpretación de los controles de seguridad
 Modelos de madurez de la seguridad  Gap analysis – análisis de brecha

Seguridad de la Información

3

Seguridad de la Información

4

Organización del SGSI

Seguridad de la Información

5

la cual deberá ser el punto de partida para establecer el SGSI.  Es necesario también establecer los roles y responsabilidades del personal en materia de Seguridad de la Información.Estructura Organizacional de Seguridad  Uno de los factores claves para diseñar e implementar un SGSI es el compromiso y participación y de la Alta Dirección con respecto a la gestión de la Seguridad de la Información. un Comité Operativo o Grupo Interdisciplinario. así como.  Este compromiso se debe materializar en el establecimiento de una Política de Seguridad de la Información. el rol del Oficial de Seguridad de la Información. Seguridad de la Información 6 .  Para ello será necesario conformar un Comité de Gestión de Seguridad de la Información.

Estructura Organizacional del SGSI Comité de Gestión de Seguridad de la Información (CGSI) Gerencia General. Custodios. Supervisores Oficial de Seguridad de la Información Propietarios. Usuarios Seguridad de la Información 7 . Gerentes de línea Grupo Interdisciplinario de Seguridad de la Información (GISI) .Jefes de Área.

Seguridad de la Información 8 . Proveer los recursos necesarios para la Seguridad de la Información. Asignación de roles específicos y responsabilidades en materia de seguridad dentro de la organización. Realizar evaluaciones periódicas del funcionamiento del SGSI.Comité de Gestión de Seguridad de la Información (CGSI) ¿Qué implica las funciones y los roles del CGSI?       Revisar y aprobar las Políticas específicas de Seguridad de la Información. Iniciar planes y programas para lograr y mantener la concientización en la seguridad de la información. Velar por el cumplimiento de programas de seguridad. normas y leyes vigentes.

Grupo Interdisciplinario de Seguridad de la Información (GISI) ¿Qué implica las funciones y los roles del GISI?  Asegurar que las actividades de seguridad sean ejecutadas en cumplimiento con la Política de seguridad de la información. Seguridad de la Información 9 .  Aprobar las principales iniciativas para incrementar la seguridad de la información.  Permitir que el personal exprese sus inquietudes sobre asuntos de seguridad  Aprobar metodologías y procesos de seguridad de información  Promover la difusión y apoyo a la seguridad de la información dentro de la organización.

planes. desarrollar. herramientas. Seguridad de la Información 10 .  Elaborar y actualizar el Planes de Seguridad de la Información.  Asegurar el buen funcionamiento del Sistema de Gestión de Seguridad de la información..  Administrar los incidentes y vulnerabilidades de la seguridad de la información a fin de identificar los controles a implementar.  Supervisar el cumplimiento de controles de seguridad. implantar y mantener el Sistema de Gestión de Seguridad de la información en la organización ¿Qué implican las funciones y responsabilidades del Oficial de Seguridad?  Proponer metodologías. programas y procesos para la seguridad de la información.Oficial de Seguridad de la Información Es la persona encargada de diseñar.

Propietario de los Activos de Información Es la persona o entidad que tiene la responsabilidad gerencial aprobada sobre los activos de información que se generan y se utilizan en las Unidades u Oficinas administrativas.  En coordinación con el Oficial de Seguridad de la Información. ¿Qué implican las funciones y responsabilidades del Propietario del Activo?  Identificar y Clasificar los activos de su propiedad. revisar y evaluar los resultados de la implementación de controles aplicados a los activos de su propiedad. Seguridad de la Información 11 .  Determinar los criterios y niveles de acceso a los activos de su propiedad.  Verificar que los controles de seguridad aplicados sean consistentes con la clasificación realizada.  Revisar periódicamente la clasificación de la información con la finalidad de verificar el cumplimiento de los requerimientos de seguridad de la organización.  Determinar los periodos de retención de los activos de información (electrónica e impresa).

 Administrar los accesos a los activos  Cumplir con los controles implementados para la protección de los activos asignados para su custodia  Administrar los procedimientos de backup. asimismo. del monitoreo del cumplimiento de los controles de seguridad en los activos que se encuentren bajo su administración.Custodio de los Activos de Información Es el responsable de la administración y resguardo de los activos de información. debe comunicarlas a los responsables de Seguridad de la Información (Oficial de Seguridad de la Información y propietarios de la información). ¿Qué implican las funciones y responsabilidades del Custodio?  Dar acceso a los usuarios de acuerdo con las especificaciones establecidas por los propietarios. recuperación y restauración de información  Reportar incidentes y debilidades de seguridad de la información  En caso de identificar oportunidades de mejora. Seguridad de la Información 12 .

llámese personal permanente.Usuario de los Activos de Información Son aquellas personas. debe comunicarlas a los responsables de Seguridad de la Información (Oficial de Seguridad de la Información). personal temporal.  En caso de identificar oportunidades de mejora.  Utilizar la información de su organización sólo para el cumplimiento de sus funciones y/o fines institucionales. consultores y proveedores de bienes y/o servicios. Seguridad de la Información 13 . sistemas de información y recursos informáticos. que utilizan los activos de información de la organización como parte de sus actividades diarias.  Mantener la confidencialidad de las contraseñas para el acceso a aplicaciones. ¿Qué implican las funciones y responsabilidades del Usuario?  Cumplimiento a las políticas y directivas de seguridad de la información.  Reportar incidentes y debilidades de seguridad de la información.

Seguridad de la Información 14 .

ISO 14001 e ISO 27001.Organización de la Norma ISO 27001 La norma ISO 27001 está organizada de la siguiente manera: Introducción Objeto Referencias normativas Términos y definiciones • Generalidades. • Enfoque. de la Información 15 Seguridad . • Compatibilidad con otros sistemas de gestión • Generalidades y aplicación • Otras normas • Terminología principal usada en la norma • • • • • • • Requisitos generales Establecimiento del SGSI Requisitos de Documentación Responsabilidades de la Dirección Auditorías internas del SGSI Revisión por la Dirección del SGSI Mejora del SGSI El SGSI Anexos • Anexo A: Objetivos de Control y Controles • Anexo B: Principios OECD y el Modelo PDCA • Anexo C: Correspondencia entre normas ISO 9001.

mantener y mejorar un SGSI.) Seguridad de la Información 16 .Introducción a la norma Generalidades:   Proporcionar un modelo para establecer. A la aplicación y gestión de un Sistema de Procesos en una organización se le puede denominar “enfoque basado en procesos”. operar. ISO 14001. La adopción de un SGSI debería ser una decisión estratégica para la organización. Enfoque basado en Procesos:   Una organización tiene que identificar y gestionar muchas actividades para que funcione de manera eficaz Un proceso es cualquier actividad que utiliza recursos y se gestiona con el fin de permitir que los elementos de entrada se transformen en elementos de salida. implementar. etc.  Compatibilidad:  Diseñada para permitir a una organización alinear e integrar su SGSI con otras normas de sistemas de gestión relacionados (ISO 9001. revisar.

6.Objeto de la Norma Generalidades:  Cubre todos los tipos de organizaciones (empresas comerciales. Aplicación:  Requisitos genéricos y se pretende que sean aplicables a todas las organizaciones.  El SGSI está diseñado para asegurar la selección de controles de seguridad adecuados que protejan los activos de información. organismos gubernamentales. 5. independiente de su tipo. organizaciones sin fines de lucro)  Especifica los requisitos para la implementación de controles de seguridad adaptados a las necesidades de las organizaciones. brindando confianza a los stakeholders. tamaño y naturaleza. La exclusión de cualquier de los requisitos especificados en los capítulos 4. 7 y 8 no son aceptables. cuando una organización alega conformidad con esta norma. Seguridad de la Información 17 .

Tecnología de la Información – Técnicas de Seguridad – Código de práctica para la gestión de Seguridad de la Información.  ISO / IEC 27002. de Sistemas Gestión de Operaciones y Comunicaciones Control de Accesos Gestión de Incidentes de Seguridad Seguridad Física y Ambiental Gestión de Continuidad de Negocios 18 Seguridad de la Información . Política de Seguridad Organización de la Seguridad de Información Gestión de activos Cumplimiento Seguridad de los Recursos Humanos Adquisición. Desarrollo y Mant.Referencias Normativas  Indispensable para la aplicación de la norma ISO 27001.

Términos y Definiciones  Se presenta una serie de términos de seguridad de la información y sus definiciones respectivas. es necesario conocer los términos y definiciones respectivas. Para comprender bien los requerimientos del estándar.  Terminología utilizada:       Activo Seguridad de la Información Incidente de Seguridad de la Información Riesgo Residual Tratamiento del Riesgo Declaración de Aplicabilidad (SOA) Seguridad de la Información 19 .

revisar. implementar. Establecimiento y gestión del SGSI: ESTABLECER EL SGSI:           Definir el alcance y los límites del SGSI Definir una política del SGSI Definir el enfoque para la evaluación de riesgos de la organización Identificar los riesgos Análizar y evaluar los riesgos Identificar y evaluar las opciones para Tratamiento Riesgos Seleccionar objetivos de control y controles Tratamiento Riesgos Obtener aprobación dirección del riesgo residual propuesto Obtener autorización dirección para implementar y operar el SGSI Elaborar el SOA (Declaración de Aplicabilidad) Seguridad de la Información 20 . mantener y mejorar un SGSI documentado. operar. dentro del contexto de las actividades generales del negocio de la organización y los riesgos a los que se enfrenta.EL SGSI Requisitos Generales: La organización debe establecer.

EL SGSI IMPLEMENTAR Y OPERAR EL SGSI:  Formular un Plan de Tratamiento de Riesgos (PTR)  Implementar un Plan de Tratamiento de Riesgos  Implementar los controles seleccionados para el TR  Definir como medir la eficacia de los controles o grupos de controles seleccionados.  Implementar programas de capacitación y toma de conciencia  Gestionar la operación del SGSI  Gestionar los recursos del SGSI  Implementar procedimientos y otros controles para permitir inmediata detección y respuesta a incidentes de seguridad. Seguridad de la Información 21 .

EL SGSI MONITOREAR Y REVISAR EL SGSI:  Ejecutar los Procedimientos de Monitoreo y Revisión  Realizar revisiones regulares de la eficacia del SGSI  Medir eficacia de los controles para verificar que se han cumplido con los requisitos de seguridad. Seguridad de la Información 22 .  Revisar las evaluaciones de riesgos a intervalos planificados (revisar riesgos residuales y los niveles de riesgos aceptables)  Llevar a cabo auditorías internas del SGSI  Realizar una revisión por la dirección del SGSI  Registrar acciones y hechos que podrían tener un impacto sobre el desempeño del SGSI.

Seguridad de la Información 23 .  Asegurarse que las mejoras logren sus objetivos previstos.EL SGSI MANTENER Y MEJORAR EL SGSI:  Implementar mejoras identificadas en el SGSI  Ejecutar acciones correctivas y preventivas apropiadas (aplicar las lecciones aprendidas de experiencias de seguridad de la misma organización u otras organizaciones)  Comunicar acciones y mejoras a todas las partes interesadas.

Requisitos de Documentación (1/3) Generalidades: La documentación del SGSI debe incluir:          Declaraciones documentadas de la Política y objetivos del SGSI Alcance del SGSI Procedimientos y controles en apoyo del SGSI Descripción de la Metodología de Gestión de Riesgos Informe de Evaluación de Riesgos Plan de Tratamiento de Riesgos Procedimientos de Seguridad de la Información Registros exigidos por esta norma (numeral 4. Seguridad de la Información 24 .3 de la ISO 27001) Declaración de Aplicabilidad (SOA) Nota: Los documentos y registros pueden estar en cualquier formato o medio.3.

Se debe establecer un Procedimiento de Control de Documentos que defina las acciones de gestión necesarias para:  Aprobar los documentos en cuanto a su adecuación antes de su emisión.Requisitos de Documentación (2/3) Control de Documentos: Se deben proteger y controlar los documentos exigidos por el SGSI.  Identificación de documentos de origen externo  Llevar un adecuada distribución de los documentos  Prevenir el uso no intencional de documentos obsoletos Seguridad de la Información 25 .  Llevar un adecuado control de los documentos para que sean almacenados. transferidos y finalmente eliminados de acuerdo a su clasificación.  Llevar un adecuado control de cambios de los documentos  Llevar un adecuado control de versiones y verificar que se encuentren disponibles en los puntos de uso.  Revisar y actualizar los documentos cuando sea necesario y aprobarlos nuevamente.

 Documentar e implementar controles para la identificación. recuperación. protección. Ejemplos de Registros:  Libro de visitantes  Bitácora de actividades en el Centro de Cómputo  Formato de autorización de accesos Seguridad de la Información 26 . tiempo de conservación y disposición de los registros. para lo cual se recomienda elaborar un Procedimiento de Control de Registros que contemple lo siguiente:  Los Registros deberán estar protegidos y controlados  El SGSI debe tomar en cuenta los requisitos legales y las obligaciones contractuales  Los registros deben permanecer legibles. almacenamiento. fácilmente identificables y recuperables.Requisitos de Documentación (2/3) Control de Registros Se deben establecer y mantener registros para proporcionar evidencia de la conformidad con los requisitos y la operación eficaz del SGSI.

 Proporcionando los recursos suficientes para establecer y mantener el SGSI.  Llevando a cabo las revisiones por la dirección del SGSI.  Asegurando que se lleven a cabo las auditorías internas del SGSI. Seguridad de la Información 27 .  Decidiendo los criterios de aceptación de riesgos y los niveles de riesgos aceptables.Responsabilidad de la Dirección (1/3) Compromiso de la Dirección: La dirección debe proporcionar evidencia de su compromiso con el establecimiento del SGSI:  Estableciendo una Política del SGSI  Asegurando de que se establezcan los objetivos y planes del SGSI  Estableciendo las funciones y responsabilidades para la Seguridad de la Información.  Comunicando a la organización la importancia de cumplir con los objetivos de Seguridad de la Información.

Responsabilidad de la Dirección (2/3) Gestión de los Recursos: La organización debe determinar y proporcionar los recursos necesarios para:  Establecer .  Realizar las revisiones del SGSI y reaccionar apropiadamente a los resultados de las mismas.  Mantener una adecuada seguridad mediante la correcta aplicación de los controles implementados. Seguridad de la Información 28 .  Mejorar la eficacia del SGSI. mantener y mejorar el SGSI  Asegurar que los Procedimientos de Seguridad de la Información apoyen los requisitos del negocio.

Seguridad de la Información 29 . habilidades y calificaciones realizadas. sea competente para realizar las tareas requeridas:  Determinando la competencia necesaria para el personal que realiza trabajos que afectan al SGSI.Responsabilidad de la Dirección (3/3) Capacitación y Concienciación: La organización debe asegurarse que el personal que tiene asignado responsabilidades en el SGSI.  Evaluando la eficacia de las acciones tomadas  Manteniendo registros de la capacitación.  Proporcionando capacitación o contratando personal competente para satisfacer estas necesidades.

Están dando el resultado esperado. auditorías internas del SGSI para determinar si los objetivos de control. procesos y procedimientos del SGSI:     Cumplen con los requisitos de la norma y la legislación pertinente.Auditorías Internas del SGSI La organización debe llevar a cabo a intervalos planificados. controles. o Revisar resultados de Auditorías anteriores o Los Auditores no deben auditar su propio trabajo o Definir un Procedimiento y Plan de Auditoría interna Seguridad de la Información 30 . Se han implementado y se mantienen de manera eficaz. Cumplen con los requisitos de Seguridad de la Información. Consideraciones de la Auditoría Interna: o Se debe planificar un Programa de Auditorías en base al estado e importancia de los procesos y áreas a auditar.

considerando:  Evaluación de oportunidades de mejora y la necesidad de efectuar cambios en el SGSI.Revisión por la Dirección del SGSI (1/3) Generalidades: La alta dirección debe. a intervalos planificados (mínimo una vez al año) revisar el SGSI para asegurar su correcto funcionamiento. o Objetivos de Seguridad de la Información  Documentar los resultados de las revisiones  Mantener los registros y evidencias de las revisiones efectuadas. Ejemplo: o Política de Seguridad de la Información. Seguridad de la Información 31 .

que podrían utilizarse en la organización para mejorar el desempeño del SGSI  Estado de las acciones preventivas y correctivas  Vulnerabilidades o Amenazas no tratadas adecuadamente en la revisión de riesgos anterior  Cambios que podrían afectar al SGSI  Recomendaciones u oportunidades de mejora.Revisión por la Dirección del SGSI (2/3) Información para la revisión: La información inicial o de entrada para la revisión por la dirección del SGSI debe incluir:  Resultados de auditorías y revisiones del SGSI  Retroalimentación de las partes interesadas  Técnicas. productos o procedimientos. Seguridad de la Información 32 .

 Las necesidades de los recursos  La mejora en la medición de la eficacia de los controles. Seguridad de la Información 33 .  Actualización y modificación de los Procedimientos y demás controles de Seguridad de la información.Revisión por la Dirección del SGSI (3/3) Resultados de la revisión: Los resultados de la revisión por la dirección deben incluir todas las decisiones y acciones relacionadas con lo sgte:  La mejora de la eficacia del SGSI  Actualización del Plan de evaluación y tratamiento de riesgos.

Mejora del SGSI (1/3) Mejora Continua: La organización debe mejorar contínuamente la eficacia del SGSI. resultados de las auditorías. mediante el uso de la Política de Seguridad de la Información. objetivos de seguridad. Seguridad de la Información 34 . acciones correctivas y preventivas. análisis de hechos monitoreados.

 Determinar e implementar acciones correctivas  Registrar y revisar los resultados de acciones tomadas Seguridad de la Información 35 .Mejora del SGSI (2/3) Acciones Correctivas: La organización debe tomar acciones para eliminar la causa de las no conformidades con el SGSI y evitar así que vuelvan a presentarse. Se recomienda elaborar un Procedimiento para Acciones Correctivas que permita:  Identificar las no conformidades  Determinar las causas de las no conformidades  Evaluar la necesidad de implementar acciones para asegurarse que no se vuelvan a presentar las no conformidades.

 Evaluar la toma de acciones para prevenir la ocurrencia de no conformidades.  Registrar y revisar los resultados de las acciones preventivas tomadas. Las acciones preventivas deben ser apropiadas para el impacto de los potenciales problemas. para ello se debe elaborar un Procedimiento de Acciones Preventivas que permita:  Identificar los potenciales no conformidades y sus causas.  Determinar e implementar las acciones preventivas necesarias. Seguridad de la Información 36 .Mejora del SGSI (3/3) Acciones Preventivas: La organización debe tomar acciones para eliminar la causa de potenciales no conformidades con el SGSI y prevenir su ocurrencia.

Break: de 10 minutos Seguridad de la Información 37 .

Seguridad de la Información 38 .

1 g de la norma. Los objetivos de control y controles de estas tablas deben seleccionarse como parte del proceso del SGSI especificado en el numeral 4.2. El Anexo A está organizado de la siguiente manera: 11 cláusulas 39 Categorias y Objetivos de Control 133 Controles Seguridad de la Información 39 . el detalle de su implementación y orientación se puede encontrar en la norma indicada.Anexo A: Objetivos de control y controles Se obtienen de los capítulos 1 al 15 de la ISO/IEC 17799:2005 y se han alineado con estos.

Anexo A: Objetivos de control y controles Seguridad de la Información 40 .

Relación de Cláusulas y la Organización Seguridad de la Información 41 .

Seguridad de la Información 42 .

Seguridad de la Información 43 .1.Evaluación de Cumplimiento Generalidades:  Tiene como objetivo determinar el nivel de madurez y grado de cumplimiento que posee la organización con respecto a cada uno de los controles y cláusulas de la norma ISO 27001:2005 – Anexo A. entre otros. ISO 15504.  Es necesario realizar revisiones en situo de cada control para determinar su cumplimiento.  Realizar entrevistas y reuniones de trabajo con cada usuario y personal de las áreas involucradas para cada cláusula del Anexo “A” de la norma.  El modelo de evaluación del nivel de madurez puede realizarse utilizando el modelo Cobit 4. CMMI.  Determinar que modelo de evaluación del nivel de madurez se utilizara para realizar la evaluación.

Cuadro de Cumplimiento Cumplimiento de las cláusulas de la norma: Seguridad de la Información 44 .

ASPECTOS ORGANIZATIVOS PARA LA SEGURIDAD 14. GESTIÓN DE CONTINUIDAD DEL NEGOCIO 50% 61% 13. CONTROL DE ACCESOS 50% 50% 9. ADQUISICION. POLÍTICA DE SEGURIDAD 100% 15. DESARROLLO Y MANTENIMIENTO DE SISTEMAS 11. CLASIFICACIÓN Y CONTROL DE ACTIVOS 8. SEGURIDAD FÍSICA Y DEL ENTORNO 10. GESTIÓN DE INCIDENTES EN LA SEGURIDAD DE INFORMACIÓN 40% 43% 36% 65% 25% 40% 20% 30% 18% 5% 0% 33% 58% 50% 25% 23% 27% 25% 25% 52% 48% 7. CUMPLIMIENTO 80% 60% 6.Grado de Cumplimiento de cada Cláusula 5. SEGURIDAD EN RECURSOS HUMANOS 12. GESTIÓN DE COMUNICACIONES Y OPERACIONES Seguridad de la Información 45 .

Nivel de Madurez de los Controles de la Norma Matriz de Brecha de la norma: Seguridad de la Información 46 .

Resultados Finales 2 58 73 CONTROLES APROBADOS (Nivel de Madurez 3) CONTROLES NO APROBADOS (Nivel de Madurez inferior a 3) CONTROLES NO APLICABLES ISO 17799:2005 CONTROLES APROBADOS (Nivel de Madurez 3) CONTROLES NO APROBADOS (Nivel de Madurez inferior a 3) CONTROLES NO APLICABLES 73 58 2 56% Grado de Cumplimiento de la norma: Seguridad de la Información 47 .

Seguridad de la Información 48 .

Taller 3: ANÁLISIS DE BRECHA – GAP ANALYSIS Seguridad de la Información 49 .

3.Ejecución del Taller 3 Matriz de Brecha: Cláusula: 11.1 al 11.3 (8 controles) Seguridad de la Información 50 .1. Control de Accesos Controles: 11.

RONDA DE PREGUNTAS DE REPASO DE LA UNIDAD Seguridad de la Información 51 .

el cual permite obtener el compromiso y la responsabilidad de la alta dirección con respecto a la gestión de la seguridad de la información: iii. Se constituye como el modelo de 4 etapas que utiliza para operar el Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO 27001:2005: ii. vigencia. eliminación. entre otros: Seguridad de la Información 52 .Conclusiones Finales i. versión. para llevar un adecuado control de su codificación. Se considera como el control principal para iniciar la implementación del SGSI. Es considerado el Procedimiento que permite gestionar los documentos del SGSI. disponibilidad.

Seguridad de la Información 53 .

Muchas Gracias Seguridad de la Información 54 .