25036594-NORMA-ISO27001
-
Upload
veronica-chimbo -
Category
Documents
-
view
220 -
download
0
Transcript of 25036594-NORMA-ISO27001
-
7/27/2019 25036594-NORMA-ISO27001
1/18
ESCUELA POLITECNICA NACIONAL
NORMA ISO27001SEGURIDAD EN REDES
Andrea Muoz
09
-
7/27/2019 25036594-NORMA-ISO27001
2/18
NORMAISO27001:
1. OBJETIVO:
Conocer a cerca de las normas de seguridad de la informacin y la normaISO27001
2. RESUMEN DE LA NORMA:
Estndar Internacional ISO/IEC 27001
1. CARACTERSTICAS GENERALES
Este es un estndar preparado para proveer un modelo deestablecimiento, implementacin, operacin, monitoreo, revisin,mantenimiento y mejora de un Sistema de Gestin de Seguridad de
la Informacin1 documentado; en el contexto de los riesgosespecficos de las actividades de la organizacin.El Enfoque a Procesos2 para la gestin de seguridad de informacinque se presentaen ste Estndar Internacional enfatiza laimportancia de:
Entender los requerimientos de seguridad de una organizaciny la necesidad de establecer polticas y objetivos para la
seguridad de la informacin. Implementar y operar controles para manejar la los riesgos de
seguridad de lainformaci
n. Monitorear y revisar el rendimiento del Sistema de Gestin de
seguridad de laInformaci
n Mejoramiento continuo.
ste estndar adopta un modelo Planear-Hacer-Revisar-Actuarque se aplica paraestructurar todos los procesosdel SGSI.
PartesInteresadas
Planear
Establecer
SGSI
PartesInteresadas
Hacer Implementar yOperar elSGSI
Mantener yMejorarSGSI
Actuar
-
7/27/2019 25036594-NORMA-ISO27001
3/18
Requerimientos yExpectativasde la
Seguridad delainformacin
Monitorear y
RevisarSGSI
Revisar
Seguridad de
InformacinGestionada.
2. ALCANCE
-
7/27/2019 25036594-NORMA-ISO27001
4/18
Los requerimientos de ste estndar son genricos y aplicables acualquier tipo de organizacin. Sin embargo, la exclusin decualquiera de los requerimientos especificados en las clausulas5,6,7, y 8 no es aceptable para la certificacin del estndar.El documento ISO/IEC 17799:2005 es indispensable para la
aplicacin de ste estndar.
3. TRMINOSRe cu rs o : Cualquier cosa que tenga un valor para la organizacinD i sp o n i b i li d ad : La propiedad de ser accesible y poder ser usadocuando una entidad autorizada lo solicite.C onfi denci ali dad: La propiedad de que la informacin no estdisponible paraindividuos, entidades o procesos no autorizados.Se g u r i d ad d e I n fo r m a c i n : Preservacin de la
confidencialidad, integridad y disponibilidad de lainformacin.Ev ento de Seg uri dad de I nform aci n: Un evento en un sistema,servicio o red queindica la posibilidad de una brecha en las polticas de seguridad deinformacin o una falla.I n c i d en t e d e Se g u r i d ad d e I n fo r m a c i n : Una serie de eventos deseguridad de informacin indeseados que tienen alta probabilidad decomprometer las operaciones del negocio.Sistem a de Gesti n de Seg uri dad de I nform aci n: La parte del Sistema
de Gestinbasada en una aproximacin a los riesgos del negocio paraestablecer, implementar, operar, monitorear, revisar, mantener ymejorar la seguridad de la informacin; que incluye una estructuraorganizacional, polticas, actividades de planeacin,responsabilidades, prcticas, procedimientos, procesos y recursos.Ri eg os Resi dual : El riesgo que queda despus de haber tratado alriesgo inicial.A c ep t a c i n d e R i es g o : Decisin de aceptar el riesgo.A n l is i s d e R i e s g o : Uso sistemtico de la informacin paraidentificar las fuentes y estimar el riesgo.E v a l u a c i n d e R i es g o : Proceso de comparar los riesgos estimadoscon cierto criterio para determinar su importancia.Gesti n de Ri esg os: Actividades coordinadas para dirigir y controlaruna organizacinrespecto al riesgo.
T ra t a m i en t o d el R i es g o : Proceso de seleccin e implementacinde medidas para modificar el riesgo.M a n i fi es t o d e A p lic a b ilid a d : Manifiesto que describe los objetivos ycontroles que son relevantes y aplicables al SGSI de la organizacin.
4. SISTEMA DE GESTIN DE SEGURIDAD DE INFORMACINEstablecer y Monitorearel SGSI Establecer elSGSILa organizacin debe hacer lo
siguiente:
-
7/27/2019 25036594-NORMA-ISO27001
5/18
a) Definir el alcance y los lmites del SGSI en funcin de lascaractersticas del negocio, la organizacin, su ubicacin,bienes y tecnologa.
-
7/27/2019 25036594-NORMA-ISO27001
6/18
b) Definir una poltica de SGSI que incluya:- Una plataforma para establecer objetivos, una
direccin general y principios de accin respecto a laseguridad de informacin.
- Los requerimientos legales o regulatorios
del negocio- Que se alinee con el contexto de la gestin estratgica
del riesgo de la informacin, en la que tendr lugar elestablecimiento y mantenimiento del SGSI
- Establezca criterios para la evaluacindel riesgo- Sea aprobada por laGerencia.
c) Definir el enfoque de evaluacin de riesgos de la organizacin.- Identificar una metodologa de evaluacin de riesgosacorde al SGSI.- Desarrollar criterios de riesgos aceptables e identificar
niveles de riesgo. d) Identificar los riesgos.- Identificar los recursos y suspropietarios- Identificar las amenazas de estosrecursos- Identificar las vulnerabilidades que pueden ser
explotadas por estas amenazas.- Identificar el impacto que perdidas deconfidencialidad, integridad y
disponibilidad pueden tener en losrecursos. e) Analizar y evaluar losriesgos.
- Determinar el impacto de fallas de seguridad en elnegocio, consecuencia
de prdidas de confidencialidad, integridad odisponibilidad de los recursos.
- Determinar la probabilidad de que ocurran fallas en laseguridad tomando
en cuenta las amenazas y controles
presentes.- Estimar el nivel de losriesgos.- Determinar si los riesgos sonaceptables
f) Identificar y evaluar opciones para el manejo de los riesgosg) Elegir objetivos de control y controles para el tratamiento deriesgos
Los objetivos y controles del Anexo A deben ser elegidos comoparte de ste proceso para cubrir los requisitos identificados,se puede incluir objetivos y controles adicionales a los incluidos
en el Anexo A.h) Obtener aprobacin para la gestin de los riesgos residualespropuestos.i) Obtener aprobacin para la implementacin yoperacin del SGSI. j) Preparar un Manifiesto deAplicabilidad.
-
7/27/2019 25036594-NORMA-ISO27001
7/18
Este manifiesto debe incluir los objetivos de control, controleselegidos y su
justificacin. Los objetivos y controles implementadosactualmente y la exclusin de cualquier objetivo o control delAnexo A y la justificacin de la misma.
Implementar y Operar el SGSILa Organizacin debe hacer lo
siguiente:a) Formular un plan de tratamiento de riesgos que identifique
las acciones de gestin apropiadas.
-
7/27/2019 25036594-NORMA-ISO27001
8/18
b) Implementar el plan de tratamiento de riesgos, loque incluye la consideracin de ubicar y crear roles yresponsabilidades.
c) Implementar controles elegidos que se apliquen a los objetosde control
d) Definir una manera de medir la efectividad de los controleselegidos y especificar la forma en que se usarn paraproducir resultados comparables y medibles.
e) Implementar programas de entrenamiento y concientizacin.f) Administrar la operacin del SGSIg) Administrar los recursos para el SGSIh) Implementar procedimientos y otros controles capaces
de habilitar deteccin temprana de eventos de seguridad yrespuesta a incidentes de seguridad.
Monitorear y revisar el SGSI
La organizacin har lo siguiente:a) Ejecutar monitoreo y revisin de procedimientos y otros
controles para detectar a tiempo errores en los resultados,brechas e incidentes de seguridad o si las actividades deseguridad se estn llevando a cabo como se esperaba.
b) Llevar a cabo revisiones regulares de la efectividad del SGSI.c) Medir la efectividad de los controles para verificar si se han
cumplido los requerimientos de seguridad.d) Revisar los riesgos a intervalos planeados y los niveles deriesgo aceptado,
tomando en cuenta los cambios en la organizacin, latecnologa, los objetivos del negocio y sus procesos, lasamenazas identificadas, la efectividad de los controlesimplementados y eventos externos.
5. REQUERIMIENTOS DE LA DOCUMENTACIN:
La documentacin debe incluir los registros de las decisiones de la gestinde la red, es importante que tenga la evaluacin de riesgos y la poltica ylos objetivos de SGSI, mas una serie de tems especificados en la norma.
Los documentos que son requeridos por el SGSI se encuentran protegidos ycontrolados para lo cual se emite un documento donde se especifican losdatos concernientes al SGSI y su control.
6. RESPONSABILDAD DE MANDO:
La direccin debe proveer evidencia de su compromiso con elestablecimiento, implementacin, operacin, seguimiento, revisin,mantenimiento y mejora del SGSI. Entre los ms relevantes estn laspolticas de gestin de riesgos y velar por que se proteja lainformaci
n.
Se debe gestionar todo lo pertinente con el personal para que este biencalificado y cumplacon las habilidades necesarias para mantener el SGSI, as como lacapacitacin necesaria.
-
7/27/2019 25036594-NORMA-ISO27001
9/18
7. AUDITORIAS SGSI INTERNAS:
-
7/27/2019 25036594-NORMA-ISO27001
10/18
Se beben realizar auditoras internas en intervalos planificados de tiempopara garantizar que se cumplan el control, objetivos, controles, procesos yprocedimientos de su SGSI. Para ello debe seguir una serie de pasosdeterminados por la norma que se esta analizando.
8. EXAMEN DE LA GESTION DEL SGSI:De deber revisar la organizacin de la SGSI en intervalos planificados detiempo, de por lo menos una vez al ao, para garantizar su adecuacin yeficacia. Este estudio debe incluir la poltica de seguridad de la informaciny los objetivos de dicha seguridad. Los resultados deeste anlisis debern estar adecuadamentedocumentados.
9. MEJORA CONTINUA:
La organizacin deber mejorar continuamente la SGSI a travs del uso delas polticas de seguridad de la informacin, los objetivos de seguridad de lainformacin, resultados de auditoras, anlisis de los eventos deseguimiento, correctivas y de acciones preventivas y revisin de la gestin.
10. LA POLTICA DE SEGURIDAD DE LA INFORMACIN:
Su objetivo es proporcionar orientacin y apoyo a la gestin de seguridad dela informacin de acuerdo con las empresas requisitos y las leyes yreglamentos pertinentes.
La documentacin concerniente con la poltica de seguridad de lainformacin deber ser publicada y comunicado a todos los empleados y laspartes externas interesadas.
10.1. LAS PARTESEXTERNAS
Su objetivo es mantener la seguridad de la informacin de la organizaciny las instalaciones de procesamiento de la informacin, tratamiento,comunicada a, o gestionados por terceros.
11. Seguridad de los recursos humanos
Previo a la contratacin.- Para garantizar que los empleados, contratistas yterceros usuarios entiendan sus responsabilidades y funciones que seconsideran para ellos, y para reducir el riesgo de robo, fraude o uso indebidode las instalaciones, se define Roles, Responsabilidades, Proyeccin,
Trminos y condiciones de Trabajo.
Durante el Trabajo.- Para garantizar que todos los empleados, contratistas yterceros usuarios son conscientes de las amenazas de seguridad de la
informacin y preocupaciones, sus responsabilidades y obligaciones, y queestn equipados para apoyar la poltica de seguridad de la organizacin enel curso de su trabajo normal, y para reducir el riesgo de error humano,utilizando una gestin de responsabilidades, informacin de seguridad yentrenamiento y realizando un proceso disciplinario.
-
7/27/2019 25036594-NORMA-ISO27001
11/18
Terminacin o cambio de trabajo.- Para garantizar que los empleados,contratistas y terceros usuarios que salen de una organizacin o cambien deempleo de una manera ordenada.
-
7/27/2019 25036594-NORMA-ISO27001
12/18
12. La seguridad fsica y ambiental
reas seguras.- Proceso para prevenir el acceso fsico no autorizado, dao einterferencia a las premisas e informacin de la organizacin. Definiendo unpermetro fsico de seguridad, controles de entrada, seguridad de oficinas,
proteccin externa, control de acceso pblico.Seguridad del Equipamiento.- Para evitar la prdida, dao, robo ocompromiso de los activos y la interrupcin de las actividades de laorganizacin.
13. Gestin de operaciones y comunicaciones
Procedimientos operacionales y responsabilidades.- garantizar elfuncionamiento correcto y seguro de las instalaciones de procesamiento de
la informacin.Gestin tripartida del servicio de entrega.- implementar y mantener el niveladecuado de seguridad de la informacin y la prestacin de servicios enlnea con los acuerdos de tercera parte de entrega de servicios.
la planificacin del sistema y la aceptacin.- minimizar el riesgo de fallos en
los sistemas. Proteccin contra cdigo malicioso y mvil.- proteger la
integridad del software y lainformacin.
Respaldos.- para mantener la integridad y disponibilidad de la informacin
y del acceso a ella. Monitoreo.- para detectar el acceso a informacin no
autorizada o a procesos no autorizados.
14. Control de Acceso
Requisito de Negocios para control de acceso.- Para controlar el acceso a la
informacin. Gestin de acceso de usuario.- Garantizar el acceso de
usuarios autorizados y para evitar elacceso no autorizado a los sistemas deinformacin.
Responsabilidades de los usuarios.- Impedir el acceso de usuarios noautorizados, y el compromiso o robo de informacin y de las instalacionesde procesamiento de la informacin.
A.11.4 Control deAcceso de Red
Objetivo: Prevenir el acceso no autorizado a losservicios de red. A.11.4.1 Poltica de uso de losservicios de red
-
7/27/2019 25036594-NORMA-ISO27001
13/18
A.11.4.2 Autenticacin de usuario para conexiones externasA.11.4.3 Identificacin de equipos en las redesA.11.4.4 Diagnstico remoto y configuracin de proteccin de puertoA.11.4.5 Segregacin en las redesA.11.4.6 Control de conexiones de
red A.11.4.7 Control deencaminamiento de red
-
7/27/2019 25036594-NORMA-ISO27001
14/18
A.11.5 Control de Acceso al Sistema Operativo
Objetivo: Prevenir el acceso no autorizado a los
sistemas operativos. A.11.5.1 Procedimientos de
registro segurosA.11.5.2 Identificacin de usuario yautenticacin A.11.5.3 Sistema deadministracin de contraseas A.11.5.4Uso de utilidades del sistemaA.11.5.5 Tiempo de espera de la sesinA.11.5.6 Limitacin del tiempo de conexin
A.11.6 Control de Acceso de Informacin y Aplicaciones
Objetivo: Prevenir el acceso no autorizado a la informacinsostenida en sistemas de aplicacin.
A.11.6.1 Restriccin de acceso de informacinA.11.6.2 Aislamiento del sistema sensible
A.11.7 La informtica mvil y el teletrabajo
Objetivo: Garantizar la seguridad de la informacin cuando seutiliza la informtica mvil y las facilidades del teletrabajo.
A.11.7.1 Informtica mvil y comunicaciones
A.11.7.2 Teletrabajo
A.12 ADQUISICIN DE LOS SISTEMAS DEINFORMACIN, DESARROLLO Y MANTENIMIENTO
A.12.1 Requerimientos de seguridad de los sistemas deinformacin
Objetivo: Garantizar que la seguridad es una parte integral
de los sistemas de informacin.A.12.1.1 Anlisis y especificacin de los requerimientos de seguridad
A.12.2 Correcto procesamiento en las aplicaciones
Objetivo: Prevenir errores, prdidas, modificaciones noautorizadas o mal uso de la informacin en las aplicaciones.
A.12.2.1 Validacin de datos deentrada A.12.2.2 Control delprocesamiento interno A.12.2.3
Integridad de los mensajes A.12.2.4Validacin de datos de salida
A.12.3 Controles criptogrficos
-
7/27/2019 25036594-NORMA-ISO27001
15/18
Objetivo: Proteger la confidencialidad, autenticidad e integridad dela informacin por medio de la criptografa.
A.12.3.1 Polticas en el uso de controles criptogrficosA.12.3.2 Administracin de llaves
A.12.4 Seguridad del sistema de archivos
Objetivo: Garantizar la seguridad del sistema
de archivos. A.12.4.1 Control del Software
operacionalA.12.4.2 Proteccin del sistema de prueba de datosA.12.4.3 Control de acceso al cdigo fuente del programa
A.12.5 Seguridad en el desarrollo y soporte de procesos
Objetivo: Mantener la seguridad del sistema de software dela aplicacin y la informacin.
A.12.5.1 Cambiar los procedimientos de controlA.12.5.2 Revisin tcnica de las aplicaciones luego de cambios deoperacin del sistemaA.12.5.3 Restricciones en los cambios de los paquetes de softwareA.12.5.4 Fuga de informacinA.12.5.5 Desarrollo de software externo
A.12.6 Administracin de vulnerabilidades tcnicas
Objetivo: Reducir los riesgos resultantes de la explotacin de lapublicacin de las vulnerabilidades tcnicas.
A.12.6.1 Control de vulnerabilidades tcnicas
A.13 GESTIN DE INCIDENTES DE SEGURIDAD DE LAINFORMACIN
A.13.1 Informes de los eventos y las debilidades de la seguridad dela informacin
Objetivo: Garantizar que los eventos y las debilidades de laseguridad de la informacin asociados con los sistemas deinformacin estn comunicados de una forma que permita tomaracciones correctivas precisas.
A.13.1.1 Informes de eventos de seguridad de informacinA.13.1.2 Informes de las debilidades de la seguridad
A.13.2 Administracin de las mejores y los incidentes de laseguridad de la informacin
Objetivo: Garantizar que un enfoque consistente y efectivoes aplicado en la administracin de los incidentes deseguridad de informacin.
-
7/27/2019 25036594-NORMA-ISO27001
16/18
A.13.2.1 Responsabilidades y procedimientos
-
7/27/2019 25036594-NORMA-ISO27001
17/18
A.13.2.2 Aprendizaje desde los incidentes de seguridad de lainformacinA.13.2.3 Recoleccin de la evidencia
A.14 ADMINISTRACIN DE LA CONTINUIDAD DEL NEGOCIO
A.14.1 Aspectos de la seguridad de informacin de laadministracin de la continuidad de negocios.
Objetivo: Contrarrestar las interrupciones de las actividadescomerciales y proteger los procesos crticos de negocio de los efectosde los fallos principales de los sistemas de informacin o de losdesastres y de garantizar su oportuna reanudacin.
A.14.1.1 Incluir la seguridad de la informacin en la administracin
del proceso de la continuidad del negocioA.14.1.2 Continuidad del negocio y evaluacin de riesgo.A.14.1.3 Desarrollo e implementacin de planes de continuidad
incluyendo seguridad de informacinA.14.1.4 Planificacin del sistema de continuidad de negocioA.14.1.5 Pruebas, mantenimiento y re-evaluacin de los planes
de continuidad de negocio
A.15 CONFORMIDAD
A.15.1 Conformidad con los requerimientos legales
Objetivo: Evitar el incumplimiento de cualquier ley, estatuto,regulacin u obligacin contractual, y de cualquier requisito legal.
A.15.1.1 Identificacin de la legislacin aplicableA.15.1.2 Derechos de propiedad intelectualA.15.1.3 Proteccin de los registros organizacionalesA.15.1.4 Proteccin de datos y privacidad de la informacin personalA.15.1.5 Prevencin del mal uso de las facilidades de procesamientode la informacinA.15.1.6 Regulacin de los controles criptogrficos
A.15.2 Conformidad con las polticas y los estndares de seguridad,y conformidad tcnica
Objetivo: Garantizar la obediencia de los sistemas deacuerdo a las polticas y estndares de seguridadorganizacional.
A.15.2.1 Conformidad de acuerdo a las polticas y estndares de
seguridadA.15.2.2 Chequeo de obediencia tcnica
A.15.3 Consideraciones de auditora de los sistemas de informacin
-
7/27/2019 25036594-NORMA-ISO27001
18/18
Objetivo: Maximizar la eficacia y minimizar la interferenciadesde/hasta los procesos de auditora de los sistemas deinformacin.
A.15.3.1 Controles de auditora de los sistemas de informacin
A.15.3.2 Proteccin de las herramientas de auditora de los sistemasde informacin
3. CONCLUSIONES:
Las polticas de informacin son muy importantes en una empresaya que definen lo que se puede hacer y lo que est prohibido dentrode un sistema de informacin.
Estas reglas establecen responsables en una compaa locual es de mucha importancia.
La norma ISO27001 establece los parmetros a considerar y laestructura de la documentacin para las normas de seguridad de lainformacin en una organizacin.