jos. mar.a .lvarez.ppt · Gestión del riesgo interno y en las relaciones con terceros.! ... riesgo...

ISO 27001Un sistema de gestión de la Seguridad de la

Información

Guión ! ¿Qué es la norma ISO 27001?! ¿Necesito ISO 27001?! ¿Por dónde debo empezar?! La visión oficial: ¿cómo debo implantar la

norma en mi organización?! Dudas y consultas.! Fin.

! ISO 27001:2005 es un estándar internacional. ! Es un modelo para implementar, operar y mejorar un sistema de gestión de la

seguridad de la información (en adelante SGSI).! ¿Qué es un SGSI?

! Es un conjunto de mecanismos que se dota la empresa y que tienen como finalidad preservar y garantizar la CONFIDENCIALIDAD, INTEGRIDAD y DISPONIBILIDAD de los sistemas de información de una organización.

! Confidencialidad es la garantía de que únicamente las personas debidamente autorizadas disponen de acceso a los datos y sistemas de la organización.

! Integridad es la garantía de la exactitud de la información y la protección de los sistemas contra una posible alteración, pérdida o destrucción, de forma accidental o fraudulenta.

! Disponibilidad la garantía de que la información y los sistemas pueden ser accedidos y utilizados en la forma y tiempo requeridos.

! ¿Por qué ISO 27001:2005?! Porque es la normativa que cuenta actualmente con mayor respaldo internacional y

mayor aceptación entre las empresas.! Porque es la única avalada por un organismo internacional ampliamente reconocido

(ISO) y en constante evolución.! Porque permite establecer un marco común de seguridad y se integra con los

posibles desarrollos de calidad (ISO 9001) ó medio ambiente (ISO 14001) de la organización.

! Porque está abierta a la implementación de otros controles adoptados desde Cobit, NIST u otras normativas existentes en esta materia.

! Es fundamental orientar su implantación hacia la estructura de procesos de la organización, entendiendo por proceso cualquier actividad de la organización que emplea recursos para permitir la transformación de entradas en salidas.

Introducción

Familia de normas ISO 27000! ISO 27001 es una parte de la familia de normas que componen la 27000. Es

la única certificable. Las demás normas son:! ISO 27002: Es un código de buenas prácticas para la gestión de la seguridad

de la información. En la práctica especifica controles para la implantación del SGSI (133 en total).

! ISO 27003: Son directrices para la implementación de un SGSI. Se encuentra preparación y probablemente sea publicada en 2008.

! ISO 27004: Son métricas para la gestión de seguridad de la información. Es la que proporciona recomendaciones de quién, cuándo y cómo realizarmediciones de seguridad de la información. Se encuentra preparación y probablemente sea publicada en 2008.

! ISO 27005: Proporciona recomendaciones, métodos y técnicas de evaluación de riesgos de Seguridad en la Información. Se encuentra en preparación y probablemente sea publicada en 2008.

! ISO 27006: Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los sistemas de gestión de la seguridad de la información. Esta norma especifica requisitos específicos para la certificación de SGSI y es usada en conjunto con la norma 17021-1, la norma genérica de acreditación. Fue publicada en febrero de 2007.

! ISO 27007: Es una guía para auditar al SGSI. Se encuentra en preparación.

! De igual forma que ISO 9001, se adopta el modelo Plan-Do-Check-Act (PDCA ó ciclo de Deming) para todos los procesos de la organización.

Objetivo: Mejora continua

¿Necesito ISO 27001?! La necesidad de adoptar un sistema de gestión de

seguridad de la información puede venir derivada de tres situaciones posibles:! Adecuación a un marco normativo ó regulatorio en vigor

existente y vinculante para mi empresa, que exiga la adopción de ciertas medidas en esta materia.

! Requisitos de trabajo ó contractuales con clientes y/o proveedores.

! Voluntad propia de la organización. ! Oportunidad-imagen corporativa-visión de futuro.! Alineación con otras normativas ya implantadas.! Otros criterios internos.

! Beneficios (desde el punto de vista de mi empresa):! Gestión del riesgo interno y en las relaciones con terceros.! Modelo de mejora continua. Alineación con Calidad/Medio

Ambiente. Certificación.! Continuidad de negocio.

Criterios fundamentales! La clave para tener éxito en un proyecto de implantación de

un SGSI estriba, sin lugar a dudas, en tres aspectos fundamentales:! Adecuar, siempre que sea posible, la normativa a la empresa y

sólo excepcionalmente la empresa a la normativa. Hacer las cosas sencillas. No buscar ser ambicioso ni especialmente estricto ó riguroso en nuestra aproximación a la seguridad de lainformación.

! Ser poco ambiciosos en el ámbito de aplicación. Quizás este año no podamos abordar la globalidad del proyecto ó quizás no sea estratégicamente interesante. Como en tantas otras actividades, también para la implantación de un SGSI es válida la afirmación de “divide y vencerás”.

! Asumir riesgos. Algunas veces no podemos resolver un problema a un coste razonable. La norma prevee esta situación y posibilita que la organización asuma un nivel de riesgo sin que el auditor pueda ver en esto un defecto (Declaración de aplicabilidad).

Pasos a seguir! Establecimiento de las definiciones básicas:

! Establecer el ámbito de aplicación del sistema de gestión de la seguridad de la información. PAUTA: Cuanto más grande sea este ámbito normalmente será más costosa su implementación.

! Definición de la política de seguridad. Marco de desarrollo y las pautas a seguir en materia de seguridad. PAUTA: Es muy importante la implicación de la Dirección de la empresa en todo el proceso.

! Activos, riesgos y controles:! Hay que identificar todos los activos (incluídos los activos de

información) que soportan los procesos de negocio de la organización, valorarlos en función de su relevancia e identificar sus puntos débiles.

! Desarrollar y/o implementar una metodología de análisis y gestión del riesgo y formular un plan (plan de tratamiento del riesgo) en el que se establezcan las acciones necesarias para conseguir reducir los riesgos hasta niveles aceptables.

! Definición de controles apropiados según el análisis de riesgos efectuado.

! Desarrollo procedimental e implantación:! Desarrollar los procedimientos que recojan la aproximación de la

organización a la seguridad según los controles y riesgos valorados.! Divulgación y formación a la organización.! Implantación de los procedimientos en la organización.

Pasos a seguir (II)! Pre-Certificación:

! Desarrollo del Documento de Aplicabilidad. Recoge todos los objetivos y controles de la norma, su estado (aplicable, no aplicable, en implantación) y una descripción de situación.

! Desarrollo de las métricas e indicadores asociados a los procedimientos.

! Auditoría interna. Revisión del SGSI para comprobar su adaptación a la norma y a los requisitos de la organización. También, sirve para diagnosticar y decidir las acciones correctoras a implementar en caso de resultar necesario.

! Certificación. (NOTA: certificación sólo posible SIN no conformidades mayores).

Factores claves de éxito! El apoyo y el compromiso de la Dirección.! La convicción de la necesidad de la

seguridad por parte de todos los directivos y empleados.

! La comprensión de los requisitos de seguridad y de la gestión del riesgo.

! Un enfoque consistente con los objetivos de la organización, equilibrado con sus posibilidades económicas y ajustado a las amenazas existentes.

! La divulgación y formación en los procedimientos de seguridad a todos los miembros de la organización.

Indice! Fase Plan (establecer el SGSI): Establecer la política,

objetivos, procesos y procedimientos relativos a la gestión del riesgo y mejorar la seguridad de la información de la organización para ofrecer resultados de acuerdo con las políticas y objetivos generales de la organización.

! Fase Do (implementar y gestionar el SGSI): Implementar y gestionar el SGSI de acuerdo a su política, controles, procesos y procedimientos.

! Fase Check (monitorizar y revisar el SGSI): Medir y revisar las prestaciones de los procesos del SGSI.

! Fase Act (mantener y mejorar el SGSI): Adoptar acciones correctivas y preventivas basadas en auditorías y revisiones internas ó en otra información relevante a fin de alcanzar la mejora contínua del SGSI.

! Emisión de la declaración de aplicabilidad.! Auditoría de certificación.! El Anexo A.

Fase PLAN: Establecer el SGSI.! Definir la política, alcance y límites del SGSI en términos de las

características del negocio de la organización.! Definir la aproximación a la gestión de riesgos de la organización,

identificando una metodología sistemática sencilla y desarrollando criterios para aceptar e identificar niveles de riesgo.

! Identificar los activos, sus riesgos, vulnerabilidades, amenazas e impacto ante la pérdida de confidencialidad, integridad y disponibilidad de estos.

! Analizar y evaluar los riesgos, estimando niveles y determinando si este es aceptable ó requiere tratamiento.

! Identificar y evaluar las opciones de tratamiento, incluyendo laimplantación de controles, evitar el riesgo, transferirlo ó aceptarlo.

! Seleccionar los objetivos de control y controles para el tratamiento de riesgo (27002).

! Obtener la aprobación de dirección del riesgo residual (tras tratamiento) y la autorización de implementar y operar el SGSI.

Fase PLAN: Claves de éxito.! Definir un alcance pequeño para luego ir creciendo.! La metodología de análisis de riesgos debe ser muy

sencilla. Basta con una simple hoja de cálculo y criterios claros (Confidencialidad, Integridad, Disponibilidad, Probabilidad, Impacto, Tratamiento).

! Disponer de un inventario de activos (clasificado por tipo de activo) vivo y que refleje la realidad de la organización. La información también es un activo y su clasificación es muy importante para el éxito de este proyecto.

! Las opciones de tratamiento de riesgo deben ser proporcionales al coste y al riesgo. Siempre hay que considerar el punto de vista de negocio.

Fase DO: Implementar y operar el SGSI (I).

! Obtener el compromiso y aprobación de dirección.! Formular un plan de tratamiento del riesgo e

implementarlo. ! Definir cómo medir la efectividad de los controles y

cómo emplear estos índices de medida para obtener resultados comparables por la dirección.

! Implementar programas de formación y concienciación (divulgación) en la organización.

! Implementar procedimientos para la pronta detección y respuesta a incidentes de seguridad.

Fase DO: Implementar y operar el SGSI (II).

! Documentar todos los registros y decisiones para garantizar trazabilidad en las decisiones y políticas.

! La documentación generada debe recoger:! la política y objetivos de la organización,! el alcance,! los procedimientos y controles,! la metodología de análisis de riesgo,! el informe de análisis de riesgo y su plan de tratamiento,! todos los procedimientos imprescindibles,! los registros necesarios y! la Declaración de Aplicabilidad (ver diapositiva 21).

Fase DO: Implementar y operar el SGSI (III).

! La documentación debe ser protegida y controlada. Debe haber un procedimiento que recoja las acciones para:! aprobar documentos,! revisar y actualizar documentos,! identificar cambios y versiones de los documentos! garantizar la disponibilidad de versiones actualizadas de los

documentos a los miembros de la organización! garantizar que la distribución de documentos es controlada.

! Los registros del SGSI se deben establecer y mantener para probar la evidencia de conformidad con los requisitos normativos y de operación, debiendo estar protegidos y controlados.

Fase DO: Claves de éxito.! Si las opciones de tratamiento de riesgo para un caso son muy

caras ó difíciles de alcanzar, buscar controles alternativos ó intentar limitar el alcance sacando fuera a este activo.

! La proporcionalidad entre el riesgo, su tratamiento y el coste para la organización (esfuerzo ó económico) debe ser una constante.

! Formar, informar y divulgar de manera contínua, registrando estos hitos.

! Generar documentos sencillos y claros pensando en una estructurapiramidal:

Política

Procedimientos

Instrucciones de trabajoControles y herramientas

Política

Normativa

Procedimientos

Niveles operativosResponsabilidad delos usuarios finales

Nivel tácticoResponsabilidad demandos intermedios

Nivel estratégicoResponsabilidad de ladirección

Plan de acción

Fase CHECK: Medir y revisar el SGSI (I).

! Ejecutar procesos de revisión y monitorización y/o otros controles para:! Detectar errores! Identificar incidentes y brechas de seguridad! Confirmar la óptima ejecución de las labores de seguridad! Ayudar en la detección de incidencias de seguridad y contribuir a su

prevención empleando indicadores ! Determinar si las acciones tomadas para resolver problemas son

efectivas.! Revisar regular y frecuentemente la efectividad del SGSI

considerando resultados de auditorias, incidentes, mediciones y sugerencias ó información de feedback de terceras partes interesantes.

! Medir la efectividad de los controles implantados.! Revisar el plan de tratamiento del riesgo, el inventario de activos y

el riesgo residual.! Implantar y actualizar los planes de seguridad, desarrollando las

actuaciones más importantes para la organización.

Fase CHECK: Medir y revisar el SGSI (II).

! Ejecutar procesos de auditoría interna en intervalos planificados para determinar si los controles, objetivos, procesos y procedimientos del SGSI:! Son conformes a los requisitos legales, normativos ó

aplicables ! Son conformes a los requisitos de seguridad de la

información identificados.! Son implementados, mantenidos y ejecutados como es

esperado.! Efectuar revisiones del SGSI en intervalos planificados

(mínimo 1 vez al año) para garantizar su efectividad. Deben documentarse y registrarse estos resultados.

Fase CHECK: Claves de éxito.! Mantener vivo el inventario de activos y el plan de

gestión del riesgo.! Efectuar auditorías internas y considerar sus

resultados registrándolos y modificando los planes asociados (seguridad, tratamiento del riesgo, continuidad de negocio, …). La auditoría interna debe ser estricta.

! Modificar los procedimientos y controles (si fuese necesario) en función de los resultados de auditoría. El SGSI debe estar vivo.

! Mejorar la manera en que se miden los resultados de los controles ó su interpretación.

Fase ACT: Mejora continua del SGSI (I).

! La organización debe implementar las mejoras identificadas en el SGSI, así como las acciones correctivas y preventivas y aplicar cualquier fuente de conocimiento valiosa (experiencias de seguridad, incidencias, …) para la organización.

! Debe comunicar estas mejoras y acciones a las partes interesadas.

! Debe garantizar que las mejoras alcanzan sus objetivos.

Fase ACT: Mejora continua del SGSI (II).

! La organización desarrollará acciones encaminadas a eliminar las incidencias (no conformidades) con los requisitos del SGSI para prevenir su recurrencia. Así, el procedimiento al uso deberá:! Identificar no conformidades.! Determinar causas.! Evaluar, determinar e implementar acciones.! Registrar y revisar los resultados.

Fase ACT: Mejora continua del SGSI (III).

! La organización determinará acciones encaminadas a eliminar las causas de potenciales no conformidades con los requisitos del SGSI para prevenir su aparición y recurrencia. Así, el procedimiento al uso deberá:! Identificar las potenciales no conformidades y sus

causas.! Evaluar la necesidad de actuación para prevenirlas.! Determinar e implementar acciones preventivas.! Registrar y evaluar sus resultados.

Fase ACT: Claves de éxito.

! Desarrollar los procedimientos de acciones correctivas y preventivas (requisito normativo). Foco en la sencillez y practicidad.

! Desarrollar planes de actuación aprobados por Dirección asociados a las acciones correctivas y preventivas. Son los que evitan la aparición de no conformidades.

! Ejecutar, registrar e informar de las variaciones derivadas de la implantación de medidas correctoras en el SGSI.

Declaración de apliacabilidad

! Requisito normativo ISO 27001.! Debe incluir:

! Los controles y objetivos seleccionados en el plan de tratamiento del riesgo junto con una justificación de los motivos de su selección.

! Una relación de los objetivos de control y controles implantados y

! La justificación de la exclusión de cualquier objetivo de control y controles relacionados en ISO 27002 (ó en el Anexo A de ISO 27001, que es lo mismo).

Declaración de apliacabilidad: Claves de éxito.

! La Declaración de Aplicabilidad recoge un conjunto de decisiones relativas al tratamiento del riesgo.

! La justificación de las exclusiones ofrece una forma de obtener una comprobación de que no se hayan omitido controles inadvertidamente.

El proceso de auditoria de certificación (I)

! Auditoria: Proceso sistemático, independiente y documentado orientado a la obtención de evidencias que permitan la evaluación y determinación de cumplimiento de los criterios de auditoría.

! Para ISO 9001, 14001 y 27001 el proceso de auditoria es regulado por la norma ISO 19011.

! Fases:! Solicitud! Pre-auditoria (opcional).! Revisión documental (auditoría fase 1).! Autidoria in-situ (fase 2).! Auditoria de seguimiento (anual).! Auditoria completa de revisión (cada 3 años).

El proceso de auditoria de certificación (II)

! Evidencias de auditoria:! Registros ó! Declaraciones de hecho ó! Cualquier otra información relevante según criterio

de auditoria.

! Las evidencias podrán ser:! Cuantitativas (registros, documentos, etc…)! Cualitativas (declaraciones, etc …).

El proceso de auditoria de certificación (III)

! Criterios de auditoria: Cumplimiento de los requisitos del SGSI. ¿Qué son requisitos?

! Son:! Procedimientos, normas y controles del SGSI.! Contratos ó requisitos de clientes.! Normativas en vigor aplicables (legal, reguladora,

de autoridad, etc …).! Normativa de la entidad de certificación.

El proceso de auditoria de certificación (IV)

! Visita preliminar:! Clarificar alcance y objetivo de la auditoria.! Comprensión del negocio.! Definir flujos de proceso e interacciones.! Acordar métodos y fechas de auditoria.! Solucionar y fijar condiciones para posibles

necesidades especiales (ropa, otros requisitos, …).! Identificar la ubicación de la organización.

El proceso de auditoria de certificación (V)

! Auditora fase I:! Revisión de los documentos, procedimientos,

normativas y herramientas de gestión documentadas.

! Puede no ser presencial (a concretar en la visita preliminar).

! No debe haber más de 6 semanas entre la auditoria fase 1 y fase 2 (in situ).

El proceso de auditoria de certificación (VI)

! Auditora fase II:! Plan de trabajo pactado y aprobado por cliente.

!Considerar objetivos, alcance, personal responsable, referencias, áreas, calendario de reuniones y requisitos de confidencialidad (cláusulas).

! Presencial in situ. !Entrevistas con los usuarios.!Revisa las áreas de riesgo, objetivos de seguridad y

metas.!Revisa conexiones entre documentos y controles.! Informa sobre los hallazgos y da una recomendación

final.

El proceso de auditoria de certificación (VII)

! Fases auditoria fase II:! Reunión inicial! Asignación del guía ó guías de visita.! Entrevistas, revisiones, recogida de evidencias.! Definición de restricciones.! Reunión de revisión diaria (seguimiento).! Reunión final (conclusiones).! Informe de auditoria y recomendaciones.

El proceso de auditoria de certificación (VIII)

! Recomendaciones:! Recomendación para certificación: no existen

incidencias ó no conformidades mayores ni menores.! Recomendación: existen no conformidades menores y

se debe aportar un plan de acción correctora adecuado.! Re-auditoria parcial: existen no conformidades

menores en un área particular del sistema pero el funcionamiento del resto es correcto. No hay un plan de actuación asociado en plazo.

! Re-auditoria total: existen problemas importantes en más de un área del SGSI. Hay no conformidades mayores.

El proceso de auditoria de certificación: Claves de éxito

! No entregar más información que la estrictamente imprescindible.

! Cuidado con los comentarios en momentos de baja intensidad (comiendo, tomando café, …). El auditor no es un compañero.

! Huir de tópicos (comidas copiosas, etc …). Basarnos en el trabajo realizado y en la confianza en la preparación de nuestro sistema.

! Definir bien el alcance, método, entrevistas y fases de la auditoria. Aclarar todos los aspectos. Si hay dudas preguntar hasta aclarar.

! Exigir la documentación y justificación de cualquier incidencia.

! Cumplir los plazos y requisitos. El auditado no deja de ser un cliente.

ISO 27001: El anexo A! Son los controles especificados en la norma ISO 27002

(antes ISO 17799:2005).! Están agrupados en 11 áreas y son un total de 133

controles.! Política de Seguridad de la Información (2 controles)! Organización de la seguridad de la información (11 controles)! Clasificación y control de activos (5 controles)! Seguridad relacionada con el personal (9 controles)! Seguridad física y del entorno (13 controles)! Gestión de comunicaciones y operaciones (32 controles)! Control de accesos (25 controles)! Adquisición, desarrollo y mantenimiento de los sistemas de

información (16 controles)! Gestión de incidentes de seguridad de la información (5

controles)! Gestión de la continuidad del negocio (5 controles)! Conformidad (10 controles)

ISO 27001: El anexo A, 5.1Área de control de Política de Seguridad de la Información

! Objetivo 5.1 Política de Seguridad de la Información: Ofrecer soporte y directivas de gestión a la seguridad de la información de acuerdo a las necesidades del negocio y a las legislación y regulaciones relevantes.

! Puntos de control:! Documento de política de seguridad de la

información.! Revisión de la política de seguridad de la

información.

ISO 27001: El anexo A, 6.1Área de control de Organización de la seguridad de la información

! Objetivo 6.1 Organización Interna: Gestionar la seguridad de la información dentro de la organización. Debe establecerse un marco de gestión para iniciar y controlar la implementación de la seguridad de la información en la organización.

! Puntos de control:! Comité de seguridad de la información.! Coordinación de la seguridad de la información.! Asignación de responsabilidades de seguridad de la

información.! Proceso de autorización para las herramientas de proceso de la

información.! Acuerdos de confidencialidad.! Contactos con autoridades.! Contactos con grupos de especial interés.! Revisión independiente de la seguridad de la información.

ISO 27001: El anexo A, 6.2Área de control de Organización de la seguridad de la información

! Objetivo 6.2 Terceras Partes: Mantener la seguridad de la información de la organización y de las herramientas de proceso de información que son accedidas, procesadas, comunicadas a ó gestionadas por terceras partes. La seguridad de la información de la organización y de sus herramientas de proceso no debe reducirse por la introducción de productos ó servicios de terceros.

! Puntos de control:! Identificación de los riesgos asociados a terceros.! Seguridad en las relaciones con clientes.! Seguridad en los acuerdos con terceras partes.

ISO 27001: El anexo A, 7.1Área de Clasificación y control de activos

! Objetivo 7.1 Responsabilidad de los activos: Alcanzar y mantener la protección apropiada de los activos de la organización.

! Puntos de control:! Inventario de activos.! Propiedad de los activos.! Uso aceptable de los activos.

ISO 27001: El anexo A, 7.2Área de Clasificación y control de activos

! Objetivo 7.2 Clasificación de la Información: Garantizar que la información recibe un nivel de protección apropiado.

! Puntos de control:! Pautas de clasificación.! Etiquetado y manipulación de la información.

ISO 27001: El anexo A, 8.1Área de Seguridad relacionada con el personal

! Objetivo 8.1 Previo al Empleo (contratación, adjudicación ó cambio de roles y terminación de responsabilidades): Garantizar que los empleados, contratistas y terceras partes comprenden sus responsabilidades y son adecuados para sus roles; y también para reducir el riesgo de robo, fraude ó mal uso de las herramientas.

! Puntos de control:! Roles y responsabilidades.! Monitorización.! Términos y condiciones del empleo.


! Objetivo 8.2 Durante el empleo: Garantizar que los empleados, contratistas y terceros son conscientes del alcance de la seguridad de la información, de sus responsabilidades y obligaciones y están equipados para soportar la política de seguridad de la organización en el desarrollo de sus labores cotidianas y reducir el riesgo de error humano.

! Puntos de control:! Responsabilidades de gestión.! Formación, educación y conocimiento de la política de

seguridad.! Procesos disciplinarios.


! Objetivo 8.3 Término ó cambio de empleo: Garantizar que los empleados, contratistas y terceros finalizan su relación con la organización ó cambian de empleo de una manera ordenada.

! Puntos de control:! Responsabilidades de terminación.! Devolución de activos.! Eliminación de derechos de acceso.

ISO 27001: El anexo A, 9.1Área de Seguridad física y del entorno! Objetivo 9.1 Áreas seguras: Prevenir el acceso no

autorizado, los daños y las interferencias a los recursos e información de la organización.

! Puntos de control:! Perímetro físico de seguridad.! Controles de entrada física.! Asegurando oficinas, cuartos y herramientas.! Protección contra amenazas externas y ambientales.! Trabajo en áreas seguras.! Acceso público y áreas de carga y descarga.

ISO 27001: El anexo A, 9.2Área de Seguridad física y del entorno! Objetivo 9.2 Seguridad en los equipos: Prevenir la

pérdida, daño, robo ó compromiso de los activos y la interrupción de las actividades de la organización.

! Puntos de control:! Protección y emplazamiento de los equipos.! Utilidades de soporte.! Seguridad en el cableado.! Mantenimiento de equipos.! Seguridad de los equipos fuera de la organización.! Eliminación ó reutilización segura de los equipos.! Eliminación de la propiedad.

ISO 27001: El anexo A, 10.1Área de Gestión de comunicaciones y operaciones

! Objetivo 10.1 Procedimientos operativos y responsabilidades: Garantizar la operación segura y apropiada de las herramientas de proceso de la información.

! Puntos de control:! Documentación de procedimientos operativos.! Gestión del cambio.! Segregación de funciones.! Separación de entornos de desarrollo, prueba y

explotación.


! Objetivo 10.2 Seguridad en servicios de terceras partes: Implementar y mantener el adecuado nivel de seguridad de la información y servicios conforme a los acuerdos suscritos con terceras partes.

! Puntos de control:! Entrega de servicios.! Monitorización y revisión de servicios de terceros.! Gestión del cambio en servicios de terceros.


! Objetivo 10.3 Planificación y conformidad de los sistemas: Minimizar el riesgo de fallos de los sistemas.

! Puntos de control:! Gestión de la capacidad.! Conformidad de los sistemas.


! Objetivo 10.4 Protección contra códigos maliciosos y móviles: Proteger la integridad del software y la información.

! Puntos de control:! Controles contra códigos maliciosos.! Controles contra códigos móviles.


! Objetivo 10.5 Copias de seguridad: Mantener la integridad y disponibilidad de la información y de las herramientas de proceso de la información.

! Puntos de control:! Copia de seguridad de la información.


! Objetivo 10.6 Gestión de la seguridad de red: Garantizar la protección de la información en las redes y de su infraestructura.

! Puntos de control:! Controles de red.! Seguridad de servicios de red.


! Objetivo 10.7 Manejo de los medios: Prevenir la modificación, borrado, destrucción ó uso no autorizado de los activos y la interrupción de las actividades de negocio.

! Puntos de control:! Gestión de los medios removibles.! Borrado de los medios.! Procedimientos de manipulación de la información.! Seguridad de la documentación de los sistemas.


! Objetivo 10.8 Intercambio de información: Mantener la seguridad de la información y software intercambiados dentro de una organización y con cualquier entidad externa.

! Puntos de control:! Políticas y procedimientos de intercambio de

información.! Acuerdos de intercambio.! Medios físicos en tránsito.! Mensajería electrónica.! Sistemas de información de negocio.


! Objetivo 10.9 Servicios de comercio electrónico: Garantizar la seguridad de los servcios de comercio electrónico y su uso seguro.

! Puntos de control:! Comercio electrónico.! Transacciones en línea.! Información disponible públicamente.


! Objetivo 10.10 Monitorización: Detectar las actividades de proceso de información no autorizadas.

! Puntos de control:! Auditoría de bitácoras (logs).! Monitorización del uso de los sistemas.! Protección de la información de las bitácoras (logs).! Bitácoras (logs) de administradores y operadores.! Registro de fallos.! Sincronización de relojes.

ISO 27001: El anexo A, 11.11Área de Control de Accesos

! Objetivo 11.1 Requerimientos de negocio para el control de accesos: Controlar el acceso a la información.

! Puntos de control:! Política de control de accesos.


! Objetivo 11.2 Gestión de accesos de usuarios: Garantizar el acceso de usuarios autorizados y prevenir accesos no autorizados a los sistemas de información.

! Puntos de control:! Registro de usuarios.! Gestión de privilegios.! Gestión de contraseñas de usuarios.! Revisión de los derechos de acceso de usuarios.


! Objetivo 11.3 Responsabilidades de los usuarios: Prevenir el acceso de usuarios no autorizados y el compromiso ó robo de la información ó de las herramientas de proceso.

! Puntos de control:! Uso de las contraseñas.! Equipos de usuario desatendidos.! Política de mesas limpias.


! Objetivo 11.4 Control de accesos a red: Prevenir el acceso no autorizado a los servicios de red.

! Puntos de control:! Política de uso de los servicios de red.! Autenticación de usuarios para conexiones externas.! Identificación de equipos en red.! Protección de puertos de configuración y diagnóstico

remoto.! Segregación de redes.! Controles de conexión a redes.! Controles de enrutado de redes.


! Objetivo 11.5 Control de accesos a los sistemas operativos: Prevenir el acceso no autorizado a los sistemas operativos.

! Puntos de control:! Procedimientos de logon seguros.! Identificación y autenticación de usuarios.! Sistema de gestión de contraseñas.! Uso de las utilidades del sistema.! Timeout de sesión.! Limitación de tiempos de conexión.


! Objetivo 11.6 Control de acceso a aplicaciones e información: Prevenir el acceso no autorizado a la información alojada en los sistemas de aplicaciones.

! Puntos de control:! Restricciones de acceso a la información.! Aislamiento de sistemas sensibles.


! Objetivo 11.7 Ordenadores portátiles y teletrabajo: Garantizar la seguridad de la información cuando se emplean ordenadores portátiles y herramientas de teletrabajo.

! Puntos de control:! Ordenadores portátiles y comunicaciones.! Teletrabajo.

ISO 27001: El anexo A, 12.1Área de Adquisición, desarrollo y mantenimiento de los

sistemas de información

! Objetivo 12.1 Requerimientos de seguridad de los sistemas de información: Garantizar que la seguridad es una parte integral de los sistemas de información.

! Puntos de control:! Análisis y especificación de los requerimientos de

seguridad.



! Objetivo 12.2 Correcto procesamiento de las aplicaciones: Prevenir errores, pérdidas, modificaciones no autorizadas ó malos usos de la información gestionada por las aplicaciones.

! Puntos de control:! Validación de datos de entrada.! Control de proceso interno.! Integridad de los mensajes.! Validación de los datos de salida.



! Objetivo 12.3 Controles criptográficos: Proteger la confidencialidad, autenticidad ó integridad de la información por medios criptográficos.

! Puntos de control:! Política de uso de los controles criptográficos.! Gestión de claves.



! Objetivo 12.4 Seguridad de los ficheros del sistema: Garantizar la seguridad de los ficheros del sistema.

! Puntos de control:! Control del software en explotación.! Protección de datos de prueba del sistema.! Control de accesos al código fuente del programa.



! Objetivo 12.5 Seguridad en los procesos de desarrollo y soporte: Mantener la seguridad de las aplicaciones del sistema y su información.

! Puntos de control:! Procedimientos de control de cambios.! Revisión técnica de aplicaciones después de los

cambios en sistemas operativos.! Restricciones en los cambios a paquetes de software.! Fugas de información.! Desarrollo de software externalizado.



! Objetivo 12.6 Gestión de vulnerabilidades técnicas: Reducir los riesgos derivados de la explotación de vulnerabilidades técnicas publicadas.

! Puntos de control:! Control de vulnerabilidades técnicas.

ISO 27001: El anexo A, 13.1Área de Gestión de incidentes de seguridad de la

información! Objetivo 13.1 Reporte de los eventos y debilidades

de seguridad de la información: Garantizar que los eventos de seguridad de la información y debilidades asociadas con sistemas de información son comunicadas de forma que se puedan tomar acciones correctivas a tiempo.

! Puntos de control:! Reporte de los eventos de seguridad de la información.! Reporte de las debilidades de seguridad.

ISO 27001: El anexo A, 13.2Área de Gestión de incidentes de seguridad de la

información! Objetivo 13.2 Gestión de los incidentes de

seguridad de la información y mejoras: Garantizar que se aplica un sistema efectivo de gestión de los incidentes de seguridad de la información.

! Puntos de control:! Responsabilidades y procedimientos.! Aprendizaje de los incidentes de seguridad de la

información.! Recolección de evidencias

ISO 27001: El anexo A, 14.1Gestión de la continuidad del negocio

! Objetivo 14.1 Aspectos relativos a la seguridad de la información de la gestión de continuidad de negocio: Evitar interrupciones de las actividades de negocio y proteger los procesos críticos de negocio de los efectos de las averías más importantes ó desastres y garantizar su reestablecimiento a tiempo.

! Puntos de control:! Inclusión de la seguridad de la información en los procesos de

continuidad de negocio.! Continuidad de negocio y análisis del impacto.! Desarrollo e implantación de planes de continuidad de negocio

incluyendo la seguridad de la información.! Esquema de planificación de la continuidad del negocio.! Comprobación, mantenimiento y reevaluación de los planes de

continuidad de negocio.

ISO 27001: El anexo A, 15.1Conformidad

! Objetivo 15.1 Conformidad con los requeimientoslegales: Evitar el incumplimiento de cualquier ley, estatuto, obligación regulatoria ó contractual y cualquier requisito de seguridad aplicable.

! Puntos de control:! Identificación de la legislación aplicable.! Derechos de propiedad intelectual.! Protección de los registros de la organización.! Protección de datos y privacidad de la información

personal.! Prevención del mal uso de las herramientas de proceso

de la información.! Regulación de controles criptográficos.


! Objetivo 15.2 Cumplimiento de las políticas de seguridad y estándares y cumplimiento técnico: Garantizar el cumplimiento por parte de los sistemas de las políticas y estándares de la organización.

! Puntos de control:! Cumplimiento de las políticas de seguridad y

estándares.! Comprobación del cumplimiento técnico.


! Objetivo 15.3 Consideraciones de auditoria de sistemas de información: Maximizar la efectividad y minimizar las interferencias de los procesos de auditoria de los sistemas de información.

! Puntos de control:! Controles de auditoria de sistemas de información.! Protección de las herramientas de auditoria de

sistemas de información.

Resumen: Foco en los factores de éxito

! Simplicidad y claridad. No buscar complicar las cosas. Un ejemplo: Un sistema de acceso robusto no tiene porqué ser un sistema biométrico. Puede bien ser un sistema de llave y candado.

! Proporcionalidad: Intentar que la norma se adapte a nosotros al máximo y no al revés. Un objetivo debe ser no alterar los procesos de negocio de la empresa salvo en lo estrictamente imprescindible.

! Registro y documentación: Anotar y registrar todas las actividades. Si no hay acta no hay reunión.

! Trabajo diario. El sistema está vivo y debemos contribuir a mantenerlo vivo.

! Formación y concienciación.

"Quien sacrifica la libertad en nombre de la seguridad no merece ni la libertad ni la

seguridad."

Benjamin Franklin

Muchas gracias por su atención

JM AlvarezIKT [email protected] 2008

jos. mar.a .lvarez.ppt · Gestión del riesgo interno y en las relaciones con terceros.! ... riesgo...

Documents

Transcript of jos. mar.a .lvarez.ppt · Gestión del riesgo interno y en las relaciones con terceros.! ... riesgo...