Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
Transcript of Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
1/46
www.nexusasesores.com
Parmetros fundamentales para la implantacin de un
Sistema de Gestin de Seguridad de laInformacin
segn
ISO 27001:2005
22 de junio de 2006
Por Jos Manuel Fernndez Domnguez Grupo Nexus Consultores y Auditores
Portada
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
2/46
www.nexusasesores.com
INTRODUCCIINTRODUCCINN
Necesidades de un SGSI y estructura normativaNecesidades de un SGSI y estructura normativa
ndice
ESTRUCTURA DE LA NORMAESTRUCTURA DE LA NORMA
ClClusulas de ISO 27001:2005 y comentariosusulas de ISO 27001:2005 y comentarios
OBJETIVOS DE CONTROL Y CONTROLESOBJETIVOS DE CONTROL Y CONTROLES
Anexo A de ISO 27001:2005 y comentariosAnexo A de ISO 27001:2005 y comentarios
BENEFICIOS DE UN SGSIBENEFICIOS DE UN SGSI
Resumen de algunos beneficios y comentariosResumen de algunos beneficios y comentarios
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
3/46
www.nexusasesores.com
INTRODUCCIINTRODUCCINN
Necesidades de un SGSI y estructura normativaNecesidades de un SGSI y estructura normativa
ndice
ESTRUCTURA DE LA NORMAESTRUCTURA DE LA NORMAESTRUCTURA DE LA NORMA
ClClClusulas de ISO 27001:2005 y comentariosusulas de ISO 27001:2005 y comentariosusulas de ISO 27001:2005 y comentarios
OBJETIVOS DE CONTROL Y CONTROLESOBJETIVOS DE CONTROL Y CONTROLESOBJETIVOS DE CONTROL Y CONTROLES
Anexo A de ISO 27001:2005 y comentariosAnexo A de ISO 27001:2005 y comentariosAnexo A de ISO 27001:2005 y comentarios
BENEFICIOS DE UN SGSIBENEFICIOS DE UN SGSIBENEFICIOS DE UN SGSI
Resumen de algunos beneficios y comentariosResumen de algunos beneficios y comentariosResumen de algunos beneficios y comentarios
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
4/46
www.nexusasesores.com
Vulnerabilidades reportadas (Fuente: www.cert.org)
662853412553753264738Notas sobre vulnerabilidadespublicadas
1C060504030201009998Ao
Notas sobre vulnerabilidades publicadas (1998-1C06): 1.706
1597599037803784412924371090417262Vulnerabilidadesreportadas
1C060504030201009998Ao
Total de vulnerabilidades reportadas (1998-1C06): 23.486
Notas sobre vulnerabilidades publicadas (Fuente: www.cert.org)
Detenido hacker que logr transferir 328.400 dlares a su cuenta personal(Fuente: http://www.maestrosdelweb.com/actualidad/2320 - 26/07/05)
Virus revela por segunda vez documentos secretos de central elctrica japonesa(Fuente: http://www.laflecha.net/canales/seguridad/noticias/200605242 - 24-05-06)
Ernst & Young pierde 4 porttiles con informacin sensible de clientes
(Fuente: http://delitosinformaticos.com/protecciondatos/noticias/114113977812654.shtml - 28-02-06)
Introduccin
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
5/46
www.nexusasesores.com
Top Vulnerabilidades en SistemasWindows
W1. Servicios de Windows
W2. Internet Explorer
W3. Libreras de Windows
W4. Microsoft Office y Outlook Express
W5. Debilidades de Configuracin de Windows
Top Vulnerabilidades en Aplicaciones
Cross-Platform
C1. Software de Backup
C2. Software Antivirus
C3. Aplicaciones basadas en PHP
C4. Software para Base de Datos
C5. Aplicaciones para Compartir FicherosC6. Software DNS
C7. Reproductores de Media
C8. Aplicaciones de Mensajera Instantnea
C9. Navegadores Mozilla y Firefox
C10. Otras aplicaciones Cross-Platform
Top Vulnerabilidades en Sistemas UNIX
U1. Debilidades en la configuracin UNIX
U2. Mac OS X
Top Vulnerabilidades en productos de redN1. Cisco IOS y otros productos no-IOS
N2. Juniper, CheckPoint y Productos Symantec
N3. Debilidades de Configuracin de Dispositivos Cisco
Fuente: SANS Institute
TOP 20 Vulnerabilidades
Introduccin
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
6/46
www.nexusasesores.com
Consecuencias
Prdida de ingresos / facturacin
Posibles indemnizaciones a terceros
Posibles sanciones
Prdida de oportunidades de negocio
Prdida de contratos / cada acciones
Etc.
Prdida de imagen respecto de clientes
Prdida de imagen respecto a proveedores
Prdida de imagen respecto a otras partes
Ventajas de los competidores
Incidencia sobre Stakeholders
Etc.
Disminucin rendimiento laboral
Interrupciones en procesos productivos
Retrasos en entregas
Cese de transacciones
Enfado de los empleados
Etc.
VOLUMEN DE NEGOCIOIMAGENPRODUCTIVIDAD YPRESTACINDEL SERVICIO
Consecuencias que no pueden ocurrir en nuestras empresas ni en ningnentorno competitivo en estos das
Sistemas de Informacin Actuales
Introduccin
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
7/46
www.nexusasesores.com
Introduccin
Seguridad de la Informacin (SI).- Preservacin de la confidencialidad, integridad ydisponibilidad de la informacin; adicionalmente autenticidad, responsabilidad, no repudio yconfiabilidad.
Confidencialidad.- Aseguramiento de que la informacin es accesible slo a autorizados.
Integridad.- Garanta de exactitud y completitud de informacin y mtodos de procesado.
Disponibilidad.- Aseguramiento de que los autorizados tengan acceso cuando lo necesitena la informacin y los activos asociados.
SGSI.- La parte del Sistema de Gestin Global, basada en una orientacin a riesgo denegocio, para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar laseguridad de la informacin
Activo.- Algo que tiene valor para la organizacin (ISO/IEC 13335-1:2004).
Amenaza.- Evento que puede provocar un incidente en la organizacin produciendo daos oprdidas materiales y/o inmateriales.
Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias externas.
Algunas definiciones importantes
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
8/46
www.nexusasesores.com
Evolucin normativa
1995 BS 7799-1:1995 (Norma britnica)
1999 BS 7799-2:1999 (Norma britnica)
1999 Revisin BS 7799-1:1999
2000 ISO/IEC 17799:2000 (Norma internacional cdigo de prcticas)2002 Revisin BS 7799-2:2002
2004 UNE 71502 (Norma espaola)
2005 Revisin ISO/IEC 17799:2005
2005 Revisin BS 7799-2:2005
2005 ISO/IEC 27001:2005 (Norma internacional certificable)
Introduccin
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
9/46
www.nexusasesores.com
Familia ISO 27000 en los prximos aos
ISO 27000 (2007) Vocabulario y Definiciones
ISO 27001 (2005) Estndar Certificable ya en Vigor
ISO 27002 (2007) Cdigo de Buenas Prcticas relevo de ISO 17799
ISO 27003 (2008) Gua para la Implantacin
ISO 27004 (2008) Mtricas e Indicadores
ISO 27005 (2008) Gestin de Riesgos (BS 7799-3:2006)
ISO 27006 (2007) Requisitos para Acreditacin de Entidades de Certificacin
Introduccin
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
10/46
www.nexusasesores.com
INTRODUCCIINTRODUCCIINTRODUCCINNNNecesidades de un SGSI y estructura normativaNecesidades de un SGSI y estructura normativaNecesidades de un SGSI y estructura normativa
ndice
ESTRUCTURA DE LA NORMAESTRUCTURA DE LA NORMA
ClClusulas de ISO 27001:2005 y comentariosusulas de ISO 27001:2005 y comentarios
OBJETIVOS DE CONTROL Y CONTROLESOBJETIVOS DE CONTROL Y CONTROLESOBJETIVOS DE CONTROL Y CONTROLES
Anexo A de ISO 27001:2005 y comentariosAnexo A de ISO 27001:2005 y comentariosAnexo A de ISO 27001:2005 y comentarios
BENEFICIOS DE UN SGSIBENEFICIOS DE UN SGSIBENEFICIOS DE UN SGSI
Resumen de algunos beneficios y comentariosResumen de algunos beneficios y comentariosResumen de algunos beneficios y comentarios
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
11/46
www.nexusasesores.com
ISO 27001:2005
Desarrollado como modelo para el establecimiento, implementacin, operacin, monitorizacin,revisin, mantenimiento y mejora de un SGSI para cualquier tipo de organizacin.
El diseo e implantacin de un SGSI se encuentra influenciado por las necesidades, objetivos,requisitos de seguridad, los procesos, los empleados , el tamao, los sistemas de soporte y laestructura de la organizacin.
Situacin simple Solucin simple para el SGSI
Orientacin a procesos:
Recursos
OperacionesinternasEntradas
Salidas
GestinFeedback
Otrasconsideraciones
de Gestin
Medida
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
12/46
www.nexusasesores.com
El ciclo Plan Do Check Act (PDCA de Deming)
Alineado con las guas y principios de la OECD - Organisation for Economic Co-operationand Development: conocimiento, responsabilidad, respuesta, gestin del riesgo, diseo de
seguridad e implementacin, gestin de seguridad, revisin
PartesInteresadas:
StakeholdersClientesProveedoresUsuariosAccionistasSociosOtros
Requisitos yExpectativaspara laSeguridadde laInformacin
Establecimientodel SGSI
PLAN
Implementacindel SGSI
DO
Mejora Continuadel SGSI
ACT
Monitorizacin yRevisin del SGSI
CHECK
PartesInteresadas:
StakeholdersClientesProveedoresUsuariosAccionistasSociosOtros
Seguridadde laInformacinGestionada
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
13/46
www.nexusasesores.com
Definicin de Polticay Objetivos
Determinacin delAlcance
Anlisis de Riesgos
Gestin de Riesgos
Seleccin de Objetivosde Control y Controles
Statement ofApplicability
PolticaObjetivos
Alcance
Anlisis de Activos
ResultadosAnlisis
Amenazas/VulnerabilidadesProbabilidad/Impacto Resultados
Anlisis
Gestin OrganizacionalGrado de Aseguramiento
PlanificacinTratamiento
Controles ISOControles adicionales
ObjetivosControles
S.O.A.
Implantacin yOperacin Prctica
Cadena de actuaciones
PolticasObjetivosProcesos
ProcedimientosInstrucciones
ControlesOtros
Monitorizacin yRevisin
Mantenimiento yMejora Continua
IndicadoresAuditorasRevisin
Acciones correctivasAcciones preventivas
PLAN
DOCHECK
ACT
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
14/46
www.nexusasesores.com
0.- Introduccin1.- Alcance
2.- Referencias normativas
3.- Trminos y definiciones
4.- Sistema de Gestin de Seguridad de la Informacin
4.1.- Requisitos generales
4.2.- Establecimiento y gestin del SGSI
4.2.1.- Establecimiento del SGSI
4.2.2.- Implementacin y operacin del SGSI
4.2.3.- Monitorizacin y revisin del SGSI
4.2.4.- Mantenimiento y mejora del SGSI
4.3.- Requisitos de la documentacin
4.3.1.- General
4.3.2.- Control de documentos
4.3.3.- Control de registros
5.- Responsabilidad de la Direccin5.1.- Compromiso de la Direccin
5.2.- Gestin de los recursos
5.2.1.- Provisin de recursos
5.2.2.- Formacin, toma de conciencia y competencia
6.- Auditoras internas del SGSI
7.- Revisin por la Direccin del SGSI
7.1.- Generalidades
7.2.- Entradas de la revisin
7.3.- Salidas de la revisin
8.- Mejora del SGSI
8.1.- Mejora continua
8.2.- Accin correctiva
8.3.- Accin preventiva
ANEXO A Objetivos de Control y Controles
Exclusiones:
No son permitidas en las clusulas queespecifican requisitos de la 4 a la 8.
Slo aceptables en controles de Anexo Ay con justificacin adecuada
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
15/46
www.nexusasesores.com
4.- Sistema de Gestin de Seguridad de la Informacin
4.1.- Requisitos generales4.2.- Establecimiento y gestin del SGSI
4.2.1.- Establecimiento del SGSI
Alcance Caractersticas del negocio
Caractersticas de la organizacin: localizacin, activos, tecnologa
Incluir detalles y justificaciones de exclusiones
Poltica del SGSI Caractersticas del negocio
Caractersticas de la organizacin: localizacin, activos, tecnologa
Marco para Objetivos relacionados con Seguridad de la Informacin
Requisitos de negocio, legales, reglamentarios, contractuales y otros
Alineada con el contexto de la estrategia de Gestin de Riesgos
Establecimiento de criterios de evaluacin de riesgos
Aprobada por la Alta Direccin
Status superior a las polticas de SI de bajo nivel
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
16/46
www.nexusasesores.com
Metodologa deAnlisis de Riesgos
Identificacin de metodologa: Magerit, CRAMM, Cobra, otros
Criterios aceptacin de riesgos: niveles de riesgo aceptables (NRA)
Debe producir resultados comparables y reproducibles
Identificacin deRiesgos
Identificar los activos dentro del alcance del SGSI
Identificar los propietarios de dichos activos
Identificar las amenazas para esos activos
Identificar las vulnerabilidades que pueden explotar las amenazas
Identificar los impactos de prdidas de C-I-D en dichos activos
Anlisis yEvaluacin de
Riesgos
Considerar impacto de fallos de seguridad (prdidas de C-I-D)
Considerar probabilidad realista de que el fallo ocurraConsiderar controles ya en funcionamiento o implantados
Estimar niveles de riesgo
Determinar cuando el riesgo es aceptable o requiere tratamiento
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
17/46
www.nexusasesores.com
Opciones para elTratamiento deRiesgos
Aplicacin de los controles apropiados (Anexo A y otros)
Conociendo Nivel de Riesgo Aceptable
Evitando riesgos
Transfiriendo riesgos: aseguradoras, proveedores, otras partes
Seleccin de
Objetivos deControl y Controles
Seleccionados e implantados en funcin del Risk Assessment
Considerando resultados de Risk Assessment y Risk Treatment
Cumpliendo la totalidad de requisitos del SGSI
Tomados el ANEXO A y otros aportados por la organizacin
El ANEXO A es un starting point para seleccin de controles
Aceptacin deRiesgo Residual Aceptado de forma fehaciente por la Alta DireccinCuidado con las firmas de aceptacin de niveles de riesgo residual
Obtencin por escrito y en documento parte del SGSI
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
18/46
www.nexusasesores.com
Autorizacin de la
Alta Direccin
De forma previa a actividades de implantacin y operacin
Por escrito y en documento parte del SGSI
Integrada en otro documento o de forma independiente
Estado deAplicabilidad (SOA)
Incluir Objetivos de Control y Controles seleccionados
Incluir los Objetivos de Control y Controles preexistentes
Incluir las razones para la seleccin de los mismosIncluir exclusiones de OC y Controles del Anexo A
Incluir justificacin para dichas exclusiones
4.2.2.- Implementacin y Operacin del SGSI
Risk TreatmentPlan (RTP) Acciones de gestin y control a desarrollarRecursos asignados y responsabilidades
Prioridades a la hora de gestionar los riesgos
Implantacin del RTP para alcanzar los Objetivos de Control
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
19/46
www.nexusasesores.com
Implantacin deControles Los controles anteriormente seleccionados deben ser implantadosImplantacin fsica del Plan de Tratamiento de Riesgos (RTP)
Respetando las responsabilidades previamente definidas
Mtricas eIndicadores
Debemos medir la efectividad de los controles seleccionados
Determinar cmo vamos a realizar el anlisis de los datos
Mediante los datos obtenidos, tenemos que gestionar controles
El feedback es necesario para la gestin de los controles
Los resultados de estos indicadores deben proporcionar resultados:
- Comparables
- Reproducibles
Formacin y Tomade Conciencia
Implantacin programas formativos para competencia de RRHH
El mbito humano de la organizacin debe ser competente
La toma de conciencia es factor vital (agujeros de seguridad)
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
20/46
www.nexusasesores.com
Implementacin decontroles Procedimientos, tcnicos, no tcnicos, Para pronta deteccin de incidentes contra la seguridad
Para pronta respuesta ante incidentes contra la seguridad
4.2.3.- Monitorizacin y revisin del SGSI
Monitorizacin y
revisin del SGSI
Para detectar lo antes posible errores en procesos
Para detectar lo antes posible brechas de seguridad e incidentes
- Intentos (nos han lanzado x ataques contra nuestra IP)
- Logros (nos han hackeado la web 2 veces este ao)
Para determinar que las prcticas se desarrollan de forma correcta
Para ayudar a tomar decisiones utilizando indicadores
Para determinar cuando las acciones correctivas han sido eficaces
Revisionesregulares
Incluyendo Poltica, Objetivos, controles, resultados de auditorasprevias, incidentes, medidas de efectividad, sugerencias yfeedback de otras partes interesadas
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
21/46
www.nexusasesores.com
Revisin delAnlisis de Riesgos
A intervalos planificados
Incluyendo nivel de riesgo aceptable y residual
Teniendo en cuenta: organizacin, tecnologa, objetivos de negocioy procesos, amenazas identificadas, efectividad de los controlesimplantados y eventos externos (cambios de legislacin, contratos,etc.)
Auditora Interna A intervalos planificados para determinar:si el SGSI es conforme a ISO 27001
si el SGSI es conforme con otros requisitos
si el SGSI est implantado y mantenido de forma efectiva
Si el SGSI funciona segn lo esperado
Revisin por laDireccin
De forma regular para garantizar:
que el alcance sigue siendo adecuado
que las mejoras del SGSI han sido debidamente identificadas
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
22/46
www.nexusasesores.com
Auditora Interna A intervalos planificados para determinar:
si el SGSI es conforme a ISO 27001
si el SGSI es conforme con otros requisitos
si el SGSI est implantado y mantenido de forma efectiva
Si el SGSI funciona segn lo esperado
A tener en cuenta Actualizaciones de planes de seguridad en funcin del feedbackAnlisis de logs y eventos con impacto significativo en el SGSI
4.2.4.- Mantenimiento y mejora del SGSI
Mantenimiento ymejora
Las opciones de mejora deben ser implantadas
Deben tomarse acciones correctivas y preventivasTener en cuenta experiencias propias o de otras organizaciones
Comunicar acciones y mejoras a todas las partes interesadas
Asegurar que las mejoras alcanzar los objetivos buscados
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
23/46
www.nexusasesores.com
4.3.- Requisitos de la documentacin
4.3.1.- GeneralidadesQu debe incluir la documentacin?
-Poltica y Objetivos del SGSI
-Alcance (Scope)
-Procedimientos y controles
-Descripcin metodologa Risk Assessment
-Reportes del Risk Assessment
-Plan de Tratamiento de Riesgos (RTP)
-Los registros requeridos por ISO 27001
-El Estado de Aplicabilidad (SOA)
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
24/46
www.nexusasesores.com
4.3.2.- Control de los documentos
Deben ser debidamente protegidos y controlados. Es necesario un procedimientodocumentado segn ISO 27001. Debe incluir criterios para:
-Aprobacin de documentos antes de su emisin
-Revisin y actualizacin y necesidad de re-aprobacin
-Identificacin de cambios y versiones en vigor
-Garantizar que las versiones aplicables se encuentren en los puntos de uso
-Garantizar que los documentos permanecen legibles y fcilmente identificables
-Garantizar que estn a disposicin de las personas que los necesitan
-Garantizar que son transferidos, almacenados y destruidos segn lo establecido en el SGSI
-Garantizar que se identifican los documentos de origen externo
-Garantizar que se controla la distribucin e documentos
-Prevenir el uso no intencionado de documentos obsoletos
-Identificar los obsoletos caso de que sean retenidos por algn motivo
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
25/46
www.nexusasesores.com
4.3.3.- Control de los registros
Muestran evidencias de la conformidad del sistema con sus requisitos
Deben ser debidamente protegidos y controlados
Es necesario un documentar los controles necesarios para su:
- identificacin (rpidamente identificables)
- almacenamiento (fcilmente recuperables)
- proteccin (permanezcan legibles)
- perodo de retencin
- disposicin de registros
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
26/46
www.nexusasesores.com
5.- Responsabilidad de la Direccin
5.1.- Compromiso de la DireccinLa Alta Direccin debe proveer evidencia de su compromiso con el proyecto
-Estableciendo la Poltica del SGSI
-Asegurando que se establecen Objetivos para el SGSI y que se planifica su consecucin
-Estableciendo roles y responsabilidades
-Comunicando la importancia de logar los Objetivos y estableciendo la Poltica del SGSI
-Comunicando responsabilidades y la necesidad de la bsqueda de la mejora continua
-Suministrando recursos
-Decidiendo criterios de aceptacin de riesgos y Niveles de Riesgo Aceptables
-Asegurndose de que se realizan Auditoras Internas
-Realizando Revisiones por la Direccin del SGSI
5.2- Gestin de Recursos
5.2.1.- Provisin de recursos
Direccin Correcto devenir del SGSIRecursos
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
27/46
www.nexusasesores.com
5.2.2.- Formacin, Toma de Conciencia y Competencia
Personal con responsabilidadesdefinidas en el SGSI Personal competente
1) Determinar competencias para el personal alcanzado por el SGSI2) Si no se tienen in-house ? Formacin o reclutamiento
3) Si se hacen acciones de formacin ? Evaluar su eficacia
4) Hay que mantener registros de educacin, formacin, habilidades,experiencia y cualificacin
La organizacin debe garantizar que el personal relevante afectado por el SGSI seaconsciente de la importancia de sus actividades y de cmo pueden contribuir a la
consecucin de los Objetivos.
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
28/46
www.nexusasesores.com
6.- Auditora Interna del SGSI
A intervalos previamente planificados en un Programa de Auditoras.
En funcin de la importancia de los procesos y reas a auditar.
En funcin de resultados de auditoras previas.
Debe definirse: - Criterios de auditora y Alcance
- Frecuencia y Metodologa (ISO 19011 Gua)
La seleccin de auditores y el desarrollo de la auditora deben garantizar la totalimparcialidad y objetividad del proceso de auditora. Un auditor no debe auditar nuncasu propio trabajo.
Es preciso un procedimiento documentado segn ISO 27001 que plasme lasresponsabilidades y requisitos para la planificacin y realizacin de auditoras y para la
forma en que se reportan los resultado y se mantienen registros.
No conformidades Acciones correctivas sin demoraDireccin rea
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
29/46
www.nexusasesores.com
7.- Revisin por la Direccin del SGSI
7.1.- Generalidades
A intervalos planificados y como mnimo 1 al ao
Debe incluir oportunidades de mejora y necesidad de cambios en el SGSI
Analizar posibles cambios en la Poltica y en los Objetivos
Los resultados de la RxD deben estar documentados manteniendo registro
7.2.- Entradas de la revisinResultados de auditoras y RxD previas
Feedback de partes interesadas
Estado de acciones correctivas/preventivas
Tcnicas, productos o procedimientos que pueden ser usados para mejora del SGSI
Amenazas y vulnerabilidades no determinadas de forma correcta en el Risk Assessment
Resultados de medidas de efectividad (mtricas)
Seguimiento de actuaciones derivadas de RxD previas
Cambios que pudieran afectar al SGSI
Recomendaciones de mejora
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
30/46
www.nexusasesores.com
7.3.- Salidas de la Revisin
Mejora de la eficacia del SGSI
Actualizacin del Risk Assessment y del Risk Treatment Plan
Modificacin de procedimientos y controles necesarios, incluyendo cambios en:
- Requerimientos de negocio
-Requerimientos de seguridad-Procesos de negocio
-Requisitos legales o regulatorios
-Obligaciones contractuales
-Niveles de riesgo y/o criterios de aceptacin de riesgo
Necesidad de recursosMejora de los mtodos de medida de la eficacia de los controles
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
31/46
www.nexusasesores.com
8.- Mejora del SGSI
8.1.- Mejora continua
8.2.- Accin correctiva
8.3.- Accin preventiva
Accin correctiva
No conformidades
Eliminar causa de
Accin preventiva
No conformidadespotenciales
Eliminar causa de
Procedimiento AACC
-Identificar No Conformidades
-Determinar sus causas
-Evaluar necesidad de actuacin-Determinar AACC necesarias
-Registrar resultados de las acciones
-Revisar las AACC tomadas
Procedimiento AAPP
-Identificar No Conformidades Potenciales
-Determinar sus causas
-Evaluar necesidad de actuacin preventiva
-Determinar AAPP necesarias
-Registrar resultados de las acciones
-Revisar las AAPP tomadas
Su prioridad ir en funcin del Risk Assessment
Estructura de ISO 27001:2005
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
32/46
www.nexusasesores.com
INTRODUCCIINTRODUCCIINTRODUCCINNNNecesidades de un SGSI y estructura normativaNecesidades de un SGSI y estructura normativaNecesidades de un SGSI y estructura normativa
ndice
ESTRUCTURA DE LA NORMAESTRUCTURA DE LA NORMAESTRUCTURA DE LA NORMA
ClClClusulas de ISO 27001:2005 y comentariosusulas de ISO 27001:2005 y comentariosusulas de ISO 27001:2005 y comentarios
OBJETIVOS DE CONTROL Y CONTROLESOBJETIVOS DE CONTROL Y CONTROLES
Anexo A de ISO 27001:2005 y comentariosAnexo A de ISO 27001:2005 y comentarios
BENEFICIOS DE UN SGSIBENEFICIOS DE UN SGSIBENEFICIOS DE UN SGSI
Resumen de algunos beneficios y comentariosResumen de algunos beneficios y comentariosResumen de algunos beneficios y comentarios
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
33/46
www.nexusasesores.com
Disponibilidad Confidencialidad
Integridad No repudio
Informacin
Poltica deSeguridad
Organizacin de
Seguridad de laInformacin
Gestin de
Activos deInformacin
SeguridadLigada alPersonal
Seguridad Fsica ydel Entorno
Gestin deOperaciones y
Comunicaciones
Control deAccesos
Adquisicin, Desarrolloy Mantenimiento de
Sistemas de Informacin
Gestin deIncidentes de
Seguridad
Gestin de
Continuidad deNegocio
Conformidad
Alineados con ISO 17799:2005 Clusulas 5 a 15
Objetivos de Control y Controles
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
34/46
www.nexusasesores.com
A.5.- Poltica de Seguridad
A.5.1.- Documento de Poltica de Seguridad de la InformacinA.5.2.- Revisin de la Poltica de Seguridad de la Informacin
Objetivos de Control y Controles
A.6.- Organizacin de la Seguridad de la Informacin
A .6 . 1 .- O r g a n iz a ci n I n t e r n a
A.6.1.1.- Compromiso de la Direccin con la Seguridad de la Informacin
A.6.1.2.- Coordinacin de la Seguridad de la Informacin
A.6.1.3.- Asignacin de responsabilidades para Seguridad de la Informacin
A.6.1.4.- Proceso de autorizacin para instalaciones de procesado de informacin
A.6.1.5.- Compromisos de Confidencialidad
A.6.1.6.- Contacto con las Autoridades
A.6.1.7.- Contacto con Grupos Especiales de Inters
A.6.1.8.- Revisin independiente de la Seguridad de la Informacin
A .6 . 2 .- P ar t e s E x t e r n a s
A.6.2.1.- Identificacin de riesgos asociados a partes externas
A.6.2.2.- Seguridad en el trato con clientes
A.6.2.3.- Seguridad en contratos con tercera parte (SLA)
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
35/46
www.nexusasesores.com
Objetivos de Control y Controles
A.7.- Gestin de Activos
A . 7 .1 . - R es p o n s a b i l i d a d d e l o s a c t i v o s A.7.1.1.- Inventario de Activos
A.7.1.2.- Propiedad de los Activos
A.7.1.3.- Uso aceptable de los Activos
A . 7 . 2 . - Cl a s if i c a ci n d e la I n f o rm a c i n
A.7.2.1.- Gua para la clasificacin
A.7.2.2.- Etiquetado y posesin de informacin
Reglas parauso deactivos
Inventariode activos
Label
Informacin restringida
Informacin clasificada
Informacin no clasificada
Informacin bajo licencia
Otros
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
36/46
www.nexusasesores.com
Objetivos de Control y Controles
Fuente: Nextel, S. A.
Esquema del Dominio A.8 segn ISO 27001:2005 - Human Resources Security
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
37/46
www.nexusasesores.com
Objetivos de Control y Controles
Dominio A.9
Seguridad fsica y del entorno
Permetro fsicode seguridad Controles fsicosde entrada Securizacin deoficinas, habitacionese instalaciones
Proteccincontra amenazas
externas y delentorno
Trabajo en reasseguras
Acceso pblico,reas de entrega
y recepcin
A.9.1Securizacin de reas
A.9.2Seguridad de equipos
Localizacin deequipos y proteccin
Utilidades soporte(SAI, )
Seguridad delcableado
Mantenimientode equipos
Seguridad deequipos off-site
Securizacin deequipos reutilizados
Retiro depropiedades off-
site
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
38/46
www.nexusasesores.com
Objetivos de Control y Controles
Dominio A.10Gestin de Comunicaciones y Operaciones
A.10.1Procedimientos de operacin y responsabilidades
A.10.2Gestin de prestacin de servicios tercera parte
A.10.3Planificacin de sistemas y aceptacin
A.10.4Proteccin contra cdigo malicioso y mvil
A.10.5Copias de respaldo (Back Up)
A.10.6Gestin de la seguridad en red
A.10.7Posesin de medios
A.10.8Intercambio de informacin
A.10.9Servicios de comercio electrnico
A.10.10Monitorizacin (gestin de logs)
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
39/46
www.nexusasesores.com
Objetivos de Control y Controles
Dominio A.12Adquisicin, desarrollo y mantenimiento de Sistemas de Informacin
A.12.1Anlisis y especificacin requisitos de seguridad
A.12.2Procesado correcto en aplicaciones
A.12.3Controles criptogrficos
A.12.4Seguridad de ficheros de sistema
A.12.5Seguridad en procesos de desarrollo y soporte
A.12.6Gestin de vulnerabilidades tcnicas
Dominio A.11
Control de accesoA.11.1
Requisitos para control de acceso
A.11.2Gestin de acceso de usuarios
A.11.3Responsabilidades de los usuarios
A.11.4Control de acceso a red
A.11.5Control de acceso al sistema operativo
A.11.6Control de acceso a aplicaciones e informacin
A.11.7Computacin mvil y teletrabajo
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
40/46
www.nexusasesores.com
Objetivos de Control y Controles
Esquema del dominio A.13 Gestin de incidentes contra SI
Fuente: Nextel, S. A.
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
41/46
www.nexusasesores.com
Objetivos de Control y Controles
Dominio A.14 - Gestin de continuidad de negocio (BCM)
A.14.1.- Aspectos de SI para la BCM
A.14.1.1.- Introduccin de la Seguridad de la Informacin en el proceso de BCM
A.14.1.2.- Continuidad de Negocio y Risk Assessment
A.14.1.3.- Desarrollo e implementacin de planes de continuidad incluyendo SI
A.14.1.4.- Marco para la planificacin de la continuidad de negocio
A.14.1.5.- Test, mantenimiento y revisin de planes de continuidad de negocio
Obj i d C l C l
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
42/46
www.nexusasesores.com
Objetivos de Control y Controles
Dominio
A.15
Conform
idad
A.15.1Conformidad conrequisitos legales
A.15.2Conformidad con Polticas de
Seguridad y normas, ycumplimiento tcnico
A.15.3Consideraciones sobre
Auditora de SI
Identificacin de
legislacin aplicable
Derechos de
Propiedad Intelectual
Proteccin de registros
de la organizacin
Proteccin de Datos y
privacidad de lainformacin personal
Prevencin de uso
errneo de lainfraestructura de
procesado deinformacin
Regulacin decontroles
criptogrficos
Cumplimiento conPolticas de
Seguridad y normas
Comprobacin decumplimiento tcnico
Controles
de Auditorade
sistemasde Informacin
Proteccin de herramientasde auditoria de sistemas de
informacin
di
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
43/46
www.nexusasesores.com
INTRODUCCIINTRODUCCIINTRODUCCINNNNecesidades de un SGSI y estructura normativaNecesidades de un SGSI y estructura normativaNecesidades de un SGSI y estructura normativa
ndice
ESTRUCTURA DE LA NORMAESTRUCTURA DE LA NORMAESTRUCTURA DE LA NORMA
ClClClusulas de ISO 27001:2005 y comentariosusulas de ISO 27001:2005 y comentariosusulas de ISO 27001:2005 y comentarios
OBJETIVOS DE CONTROL Y CONTROLESOBJETIVOS DE CONTROL Y CONTROLESOBJETIVOS DE CONTROL Y CONTROLES
Anexo A de ISO 27001:2005 y comentariosAnexo A de ISO 27001:2005 y comentariosAnexo A de ISO 27001:2005 y comentarios
BENEFICIOS DE UN SGSIBENEFICIOS DE UN SGSIResumen de algunos beneficios y comentariosResumen de algunos beneficios y comentarios
Beneficios de un SGSI
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
44/46
www.nexusasesores.com
Beneficios de un SGSI
- Disponer armas de gestin para particulares usualmente olvidados
- Conocer realmente de qu activos disponemos (control y clasificacin)
- Involucrar a la Alta Direccin en la Seguridad de la Informacin
- Desarrollar Polticas formales de obligado cumplimiento
- Cumplir con la legislacin vigente ligada al proyecto
- Realizar anlisis de riesgos para el desarrollo del negocio
- Introduccin de contratos de niveles de servicio (SLA)
- Reforzar la seguridad ligada al personal
- Disponer planes de contingencia ante incidentes
- Disponer planes de continuidad de negocio y recuperacin ante desastres
- Desarrollo de indicadores de desempeo del SGSI
- Disminucin de riesgos a niveles aceptables .. ETC
Conclusiones
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
45/46
www.nexusasesores.com
Conclusiones
CONCLUSIONES FUNDAMENTALES
La Seguridad de la Informacin es un PROCESO.
La Seguridad de la Informacin se basa en PERSONAS.
La Seguridad de la Informacin debe orientarse al RIESGO.
Un buen SGSI es un sistema RENTABLE para la organizacin.
NO EXISTE la seguridad absoluta. El SGSI AYUDA a la gestin.
Hay que definir ESTRATEGIAS DE NEGOCIO y huir de actuaciones puntualessin criterios de interconexin.
Un proyecto SGSI requiere un equipo de trabajo MULTICONOCIMIENTO.
La implantacin de un SGSI tiene BONDADES INHERENTES y es unDIFERENCIADOR DE LA COMPETENCIA.
Agradecimientos
-
5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02
46/46
www.nexusasesores.com
Agradecimientos
Muchas gracias por suatencin
Jos Manuel Fernndez Domnguez
www.nexusasesores.com
Esta presentacin se encuentra sometida a Licencia Creative Commons:Reconocimiento No comercial Compartir bajo la misma licencia