Iso 27001 Por Donde Empezar2

ISO 27001Un sistema de gestin de la Seguridad de la

Informacin

Guin ! Qu es la norma ISO 27001?! Necesito ISO 27001?! Por dnde debo empezar?! La visin oficial: cmo debo implantar la

norma en mi organizacin?! Dudas y consultas.! Fin.

! ISO 27001:2005 es un estndar internacional. ! Es un modelo para implementar, operar y mejorar un sistema de gestin de la

seguridad de la informacin (en adelante SGSI).! Qu es un SGSI?

! Es un conjunto de mecanismos que se dota la empresa y que tienen como finalidad preservar y garantizar la CONFIDENCIALIDAD, INTEGRIDAD y DISPONIBILIDAD de los sistemas de informacin de una organizacin.

! Confidencialidad es la garanta de que nicamente las personas debidamente autorizadas disponen de acceso a los datos y sistemas de la organizacin.

! Integridad es la garanta de la exactitud de la informacin y la proteccin de los sistemas contra una posible alteracin, prdida o destruccin, de forma accidental o fraudulenta.

! Disponibilidad la garanta de que la informacin y los sistemas pueden ser accedidos y utilizados en la forma y tiempo requeridos.

! Por qu ISO 27001:2005?! Porque es la normativa que cuenta actualmente con mayor respaldo internacional y

mayor aceptacin entre las empresas.! Porque es la nica avalada por un organismo internacional ampliamente reconocido

(ISO) y en constante evolucin.! Porque permite establecer un marco comn de seguridad y se integra con los

posibles desarrollos de calidad (ISO 9001) medio ambiente (ISO 14001) de la organizacin.

! Porque est abierta a la implementacin de otros controles adoptados desde Cobit, NIST u otras normativas existentes en esta materia.

! Es fundamental orientar su implantacin hacia la estructura de procesos de la organizacin, entendiendo por proceso cualquier actividad de la organizacin que emplea recursos para permitir la transformacin de entradas en salidas.

Introduccin

Familia de normas ISO 27000! ISO 27001 es una parte de la familia de normas que componen la 27000. Es

la nica certificable. Las dems normas son:! ISO 27002: Es un cdigo de buenas prcticas para la gestin de la seguridad

de la informacin. En la prctica especifica controles para la implantacin del SGSI (133 en total).

! ISO 27003: Son directrices para la implementacin de un SGSI. Se encuentra preparacin y probablemente sea publicada en 2008.

! ISO 27004: Son mtricas para la gestin de seguridad de la informacin. Es la que proporciona recomendaciones de quin, cundo y cmo realizarmediciones de seguridad de la informacin. Se encuentra preparacin y probablemente sea publicada en 2008.

! ISO 27005: Proporciona recomendaciones, mtodos y tcnicas de evaluacin de riesgos de Seguridad en la Informacin. Se encuentra en preparacin y probablemente sea publicada en 2008.

! ISO 27006: Requisitos para la acreditacin de las organizaciones que proporcionan la certificacin de los sistemas de gestin de la seguridad de la informacin. Esta norma especifica requisitos especficos para la certificacin de SGSI y es usada en conjunto con la norma 17021-1, la norma genrica de acreditacin. Fue publicada en febrero de 2007.

! ISO 27007: Es una gua para auditar al SGSI. Se encuentra en preparacin.

! De igual forma que ISO 9001, se adopta el modelo Plan-Do-Check-Act (PDCA ciclo de Deming) para todos los procesos de la organizacin.

Objetivo: Mejora continua

Necesito ISO 27001?! La necesidad de adoptar un sistema de gestin de

seguridad de la informacin puede venir derivada de tres situaciones posibles:! Adecuacin a un marco normativo regulatorio en vigor

existente y vinculante para mi empresa, que exiga la adopcin de ciertas medidas en esta materia.

! Requisitos de trabajo contractuales con clientes y/o proveedores.

! Voluntad propia de la organizacin. ! Oportunidad-imagen corporativa-visin de futuro.! Alineacin con otras normativas ya implantadas.! Otros criterios internos.

! Beneficios (desde el punto de vista de mi empresa):! Gestin del riesgo interno y en las relaciones con terceros.! Modelo de mejora continua. Alineacin con Calidad/Medio

Ambiente. Certificacin.! Continuidad de negocio.

Criterios fundamentales! La clave para tener xito en un proyecto de implantacin de

un SGSI estriba, sin lugar a dudas, en tres aspectos fundamentales:! Adecuar, siempre que sea posible, la normativa a la empresa y

slo excepcionalmente la empresa a la normativa. Hacer las cosas sencillas. No buscar ser ambicioso ni especialmente estricto riguroso en nuestra aproximacin a la seguridad de lainformacin.

! Ser poco ambiciosos en el mbito de aplicacin. Quizs este ao no podamos abordar la globalidad del proyecto quizs no sea estratgicamente interesante. Como en tantas otras actividades, tambin para la implantacin de un SGSI es vlida la afirmacin de divide y vencers.

! Asumir riesgos. Algunas veces no podemos resolver un problema a un coste razonable. La norma prevee esta situacin y posibilita que la organizacin asuma un nivel de riesgo sin que el auditor pueda ver en esto un defecto (Declaracin de aplicabilidad).

Pasos a seguir! Establecimiento de las definiciones bsicas:

! Establecer el mbito de aplicacin del sistema de gestin de la seguridad de la informacin. PAUTA: Cuanto ms grande sea este mbito normalmente ser ms costosa su implementacin.

! Definicin de la poltica de seguridad. Marco de desarrollo y las pautas a seguir en materia de seguridad. PAUTA: Es muy importante la implicacin de la Direccin de la empresa en todo el proceso.

! Activos, riesgos y controles:! Hay que identificar todos los activos (includos los activos de

informacin) que soportan los procesos de negocio de la organizacin, valorarlos en funcin de su relevancia e identificar sus puntos dbiles.

! Desarrollar y/o implementar una metodologa de anlisis y gestin del riesgo y formular un plan (plan de tratamiento del riesgo) en el que se establezcan las acciones necesarias para conseguir reducir los riesgos hasta niveles aceptables.

! Definicin de controles apropiados segn el anlisis de riesgos efectuado.

! Desarrollo procedimental e implantacin:! Desarrollar los procedimientos que recojan la aproximacin de la

organizacin a la seguridad segn los controles y riesgos valorados.! Divulgacin y formacin a la organizacin.! Implantacin de los procedimientos en la organizacin.

Pasos a seguir (II)! Pre-Certificacin:

! Desarrollo del Documento de Aplicabilidad. Recoge todos los objetivos y controles de la norma, su estado (aplicable, no aplicable, en implantacin) y una descripcin de situacin.

! Desarrollo de las mtricas e indicadores asociados a los procedimientos.

! Auditora interna. Revisin del SGSI para comprobar su adaptacin a la norma y a los requisitos de la organizacin. Tambin, sirve para diagnosticar y decidir las acciones correctoras a implementar en caso de resultar necesario.

! Certificacin. (NOTA: certificacin slo posible SIN no conformidades mayores).

Factores claves de xito! El apoyo y el compromiso de la Direccin.! La conviccin de la necesidad de la

seguridad por parte de todos los directivos y empleados.

! La comprensin de los requisitos de seguridad y de la gestin del riesgo.

! Un enfoque consistente con los objetivos de la organizacin, equilibrado con sus posibilidades econmicas y ajustado a las amenazas existentes.

! La divulgacin y formacin en los procedimientos de seguridad a todos los miembros de la organizacin.

Indice! Fase Plan (establecer el SGSI): Establecer la poltica,

objetivos, procesos y procedimientos relativos a la gestin del riesgo y mejorar la seguridad de la informacin de la organizacin para ofrecer resultados de acuerdo con las polticas y objetivos generales de la organizacin.

! Fase Do (implementar y gestionar el SGSI): Implementar y gestionar el SGSI de acuerdo a su poltica, controles, procesos y procedimientos.

! Fase Check (monitorizar y revisar el SGSI): Medir y revisar las prestaciones de los procesos del SGSI.

! Fase Act (mantener y mejorar el SGSI): Adoptar acciones correctivas y preventivas basadas en auditoras y revisiones internas en otra informacin relevante a fin de alcanzar la mejora contnua del SGSI.

! Emisin de la declaracin de aplicabilidad.! Auditora de certificacin.! El Anexo A.

Fase PLAN: Establecer el SGSI.! Definir la poltica, alcance y lmites del SGSI en trminos de las

caractersticas del negocio de la organizacin.! Definir la aproximacin a la gestin de riesgos de la organizacin,

identificando una metodologa sistemtica sencilla y desarrollando criterios para aceptar e identificar niveles de riesgo.

! Identificar los activos, sus riesgos, vulnerabilidades, amenazas e impacto ante la prdida de confidencialidad, integridad y disponibilidad de estos.

! Analizar y evaluar los riesgos, estimando niveles y determinando si este es aceptable requiere tratamiento.

! Identificar y evaluar las opciones de tratamiento, incluyendo laimplantacin de controles, evitar el riesgo, transferirlo aceptarlo.

! Seleccionar los objetivos de control y controles para el tratamiento de riesgo (27002).

! Obtener la aprobacin de direccin del riesgo residual (tras tratamiento) y la autorizacin de implementar y operar el SGSI.

Fase PLAN: Claves de xito.! Definir un alcance pequeo para luego ir creciendo.! La metodologa de anlisis de riesgos debe ser muy

sencilla. Basta con una simple hoja de clculo y criterios claros (Confidencialidad, Integridad, Disponibilidad, Probabilidad, Impacto, Tratamiento).

! Disponer de un inventario de activos (clasificado por tipo de activo) vivo y que refleje la realidad de la organizacin. La informacin tambin es un activo y su clasificacin es muy importante para el xito de este proyecto.

! Las opciones de tratamiento de riesgo deben ser proporcionales al coste y al riesgo. Siempre hay que considerar el punto de vista de negocio.

Fase DO: Implementar y operar el SGSI (I).

! Obtener el compromiso y aprobacin de direccin.! Formular un plan de tratamiento del riesgo e

implementarlo. ! Definir cmo medir la efectividad de los controles y

cmo emplear estos ndices de medida para obtener resultados comparables por la direccin.

! Implementar programas de formacin y concienciacin (divulgacin) en la organizacin.

! Implementar procedimientos para la pronta deteccin y respuesta a incidentes de seguridad.

Fase DO: Implementar y operar el SGSI (II).

! Documentar todos los registros y decisiones para garantizar trazabilidad en las decisiones y polticas.

! La documentacin generada debe recoger:! la poltica y objetivos de la organizacin,! el alcance,! los procedimientos y controles,! la metodologa de anlisis de riesgo,! el informe de anlisis de riesgo y su plan de tratamiento,! todos los procedimientos imprescindibles,! los registros necesarios y! la Declaracin de Aplicabilidad (ver diapositiva 21).

Fase DO: Implementar y operar el SGSI (III).

! La documentacin debe ser protegida y controlada. Debe haber un procedimiento que recoja las acciones para:! aprobar documentos,! revisar y actualizar documentos,! identificar cambios y versiones de los documentos! garantizar la disponibilidad de versiones actualizadas de los

documentos a los miembros de la organizacin! garantizar que la distribucin de documentos es controlada.

! Los registros del SGSI se deben establecer y mantener para probar la evidencia de conformidad con los requisitos normativos y de operacin, debiendo estar protegidos y controlados.

Fase DO: Claves de xito.! Si las opciones de tratamiento de riesgo para un caso son muy

caras difciles de alcanzar, buscar controles alternativos intentar limitar el alcance sacando fuera a este activo.

! La proporcionalidad entre el riesgo, su tratamiento y el coste para la organizacin (esfuerzo econmico) debe ser una constante.

! Formar, informar y divulgar de manera contnua, registrando estos hitos.

! Generar documentos sencillos y claros pensando en una estructurapiramidal:

Poltica

Procedimientos

Instrucciones de trabajoControles y herramientas

Poltica

Normativa

Procedimientos

Niveles operativosResponsabilidad delos usuarios finales

Nivel tcticoResponsabilidad demandos intermedios

Nivel estratgicoResponsabilidad de ladireccin

Plan de accin

Fase CHECK: Medir y revisar el SGSI (I).

! Ejecutar procesos de revisin y monitorizacin y/o otros controles para:! Detectar errores! Identificar incidentes y brechas de seguridad! Confirmar la ptima ejecucin de las labores de seguridad! Ayudar en la deteccin de incidencias de seguridad y contribuir a su

prevencin empleando indicadores ! Determinar si las acciones tomadas para resolver problemas son

efectivas.! Revisar regular y frecuentemente la efectividad del SGSI

considerando resultados de auditorias, incidentes, mediciones y sugerencias informacin de feedback de terceras partes interesantes.

! Medir la efectividad de los controles implantados.! Revisar el plan de tratamiento del riesgo, el inventario de activos y

el riesgo residual.! Implantar y actualizar los planes de seguridad, desarrollando las

actuaciones ms importantes para la organizacin.

Fase CHECK: Medir y revisar el SGSI (II).

! Ejecutar procesos de auditora interna en intervalos planificados para determinar si los controles, objetivos, procesos y procedimientos del SGSI:! Son conformes a los requisitos legales, normativos

aplicables ! Son conformes a los requisitos de seguridad de la

informacin identificados.! Son implementados, mantenidos y ejecutados como es

esperado.! Efectuar revisiones del SGSI en intervalos planificados

(mnimo 1 vez al ao) para garantizar su efectividad. Deben documentarse y registrarse estos resultados.

Fase CHECK: Claves de xito.! Mantener vivo el inventario de activos y el plan de

gestin del riesgo.! Efectuar auditoras internas y considerar sus

resultados registrndolos y modificando los planes asociados (seguridad, tratamiento del riesgo, continuidad de negocio, ). La auditora interna debe ser estricta.

! Modificar los procedimientos y controles (si fuese necesario) en funcin de los resultados de auditora. El SGSI debe estar vivo.

! Mejorar la manera en que se miden los resultados de los controles su interpretacin.

Fase ACT: Mejora continua del SGSI (I).

! La organizacin debe implementar las mejoras identificadas en el SGSI, as como las acciones correctivas y preventivas y aplicar cualquier fuente de conocimiento valiosa (experiencias de seguridad, incidencias, ) para la organizacin.

! Debe comunicar estas mejoras y acciones a las partes interesadas.

! Debe garantizar que las mejoras alcanzan sus objetivos.

Fase ACT: Mejora continua del SGSI (II).

! La organizacin desarrollar acciones encaminadas a eliminar las incidencias (no conformidades) con los requisitos del SGSI para prevenir su recurrencia. As, el procedimiento al uso deber:! Identificar no conformidades.! Determinar causas.! Evaluar, determinar e implementar acciones.! Registrar y revisar los resultados.

Fase ACT: Mejora continua del SGSI (III).

! La organizacin determinar acciones encaminadas a eliminar las causas de potenciales no conformidades con los requisitos del SGSI para prevenir su aparicin y recurrencia. As, el procedimiento al uso deber:! Identificar las potenciales no conformidades y sus

causas.! Evaluar la necesidad de actuacin para prevenirlas.! Determinar e implementar acciones preventivas.! Registrar y evaluar sus resultados.

Fase ACT: Claves de xito.

! Desarrollar los procedimientos de acciones correctivas y preventivas (requisito normativo). Foco en la sencillez y practicidad.

! Desarrollar planes de actuacin aprobados por Direccin asociados a las acciones correctivas y preventivas. Son los que evitan la aparicin de no conformidades.

! Ejecutar, registrar e informar de las variaciones derivadas de la implantacin de medidas correctoras en el SGSI.

Declaracin de apliacabilidad

! Requisito normativo ISO 27001.! Debe incluir:

! Los controles y objetivos seleccionados en el plan de tratamiento del riesgo junto con una justificacin de los motivos de su seleccin.

! Una relacin de los objetivos de control y controles implantados y

! La justificacin de la exclusin de cualquier objetivo de control y controles relacionados en ISO 27002 ( en el Anexo A de ISO 27001, que es lo mismo).

Declaracin de apliacabilidad: Claves de xito.

! La Declaracin de Aplicabilidad recoge un conjunto de decisiones relativas al tratamiento del riesgo.

! La justificacin de las exclusiones ofrece una forma de obtener una comprobacin de que no se hayan omitido controles inadvertidamente.

El proceso de auditoria de certificacin (I)

! Auditoria: Proceso sistemtico, independiente y documentado orientado a la obtencin de evidencias que permitan la evaluacin y determinacin de cumplimiento de los criterios de auditora.

! Para ISO 9001, 14001 y 27001 el proceso de auditoria es regulado por la norma ISO 19011.

! Fases:! Solicitud! Pre-auditoria (opcional).! Revisin documental (auditora fase 1).! Autidoria in-situ (fase 2).! Auditoria de seguimiento (anual).! Auditoria completa de revisin (cada 3 aos).

El proceso de auditoria de certificacin (II)

! Evidencias de auditoria:! Registros ! Declaraciones de hecho ! Cualquier otra informacin relevante segn criterio

de auditoria.

! Las evidencias podrn ser:! Cuantitativas (registros, documentos, etc)! Cualitativas (declaraciones, etc ).

El proceso de auditoria de certificacin (III)

! Criterios de auditoria: Cumplimiento de los requisitos del SGSI. Qu son requisitos?

! Son:! Procedimientos, normas y controles del SGSI.! Contratos requisitos de clientes.! Normativas en vigor aplicables (legal, reguladora,

de autoridad, etc ).! Normativa de la entidad de certificacin.

El proceso de auditoria de certificacin (IV)

! Visita preliminar:! Clarificar alcance y objetivo de la auditoria.! Comprensin del negocio.! Definir flujos de proceso e interacciones.! Acordar mtodos y fechas de auditoria.! Solucionar y fijar condiciones para posibles

necesidades especiales (ropa, otros requisitos, ).! Identificar la ubicacin de la organizacin.

El proceso de auditoria de certificacin (V)

! Auditora fase I:! Revisin de los documentos, procedimientos,

normativas y herramientas de gestin documentadas.

! Puede no ser presencial (a concretar en la visita preliminar).

! No debe haber ms de 6 semanas entre la auditoria fase 1 y fase 2 (in situ).

El proceso de auditoria de certificacin (VI)

! Auditora fase II:! Plan de trabajo pactado y aprobado por cliente.

!Considerar objetivos, alcance, personal responsable, referencias, reas, calendario de reuniones y requisitos de confidencialidad (clusulas).

! Presencial in situ. !Entrevistas con los usuarios.!Revisa las reas de riesgo, objetivos de seguridad y

metas.!Revisa conexiones entre documentos y controles.! Informa sobre los hallazgos y da una recomendacin

final.

El proceso de auditoria de certificacin (VII)

! Fases auditoria fase II:! Reunin inicial! Asignacin del gua guas de visita.! Entrevistas, revisiones, recogida de evidencias.! Definicin de restricciones.! Reunin de revisin diaria (seguimiento).! Reunin final (conclusiones).! Informe de auditoria y recomendaciones.

El proceso de auditoria de certificacin (VIII)

! Recomendaciones:! Recomendacin para certificacin: no existen

incidencias no conformidades mayores ni menores.! Recomendacin: existen no conformidades menores y

se debe aportar un plan de accin correctora adecuado.! Re-auditoria parcial: existen no conformidades

menores en un rea particular del sistema pero el funcionamiento del resto es correcto. No hay un plan de actuacin asociado en plazo.

! Re-auditoria total: existen problemas importantes en ms de un rea del SGSI. Hay no conformidades mayores.

El proceso de auditoria de certificacin: Claves de xito

! No entregar ms informacin que la estrictamente imprescindible.

! Cuidado con los comentarios en momentos de baja intensidad (comiendo, tomando caf, ). El auditor no es un compaero.

! Huir de tpicos (comidas copiosas, etc ). Basarnos en el trabajo realizado y en la confianza en la preparacin de nuestro sistema.

! Definir bien el alcance, mtodo, entrevistas y fases de la auditoria. Aclarar todos los aspectos. Si hay dudas preguntar hasta aclarar.

! Exigir la documentacin y justificacin de cualquier incidencia.

! Cumplir los plazos y requisitos. El auditado no deja de ser un cliente.

ISO 27001: El anexo A! Son los controles especificados en la norma ISO 27002

(antes ISO 17799:2005).! Estn agrupados en 11 reas y son un total de 133

controles.! Poltica de Seguridad de la Informacin (2 controles)! Organizacin de la seguridad de la informacin (11 controles)! Clasificacin y control de activos (5 controles)! Seguridad relacionada con el personal (9 controles)! Seguridad fsica y del entorno (13 controles)! Gestin de comunicaciones y operaciones (32 controles)! Control de accesos (25 controles)! Adquisicin, desarrollo y mantenimiento de los sistemas de

informacin (16 controles)! Gestin de incidentes de seguridad de la informacin (5

controles)! Gestin de la continuidad del negocio (5 controles)! Conformidad (10 controles)

ISO 27001: El anexo A, 5.1rea de control de Poltica de Seguridad de la Informacin

! Objetivo 5.1 Poltica de Seguridad de la Informacin: Ofrecer soporte y directivas de gestin a la seguridad de la informacin de acuerdo a las necesidades del negocio y a las legislacin y regulaciones relevantes.

! Puntos de control:! Documento de poltica de seguridad de la

informacin.! Revisin de la poltica de seguridad de la

informacin.

ISO 27001: El anexo A, 6.1rea de control de Organizacin de la seguridad de la informacin

! Objetivo 6.1 Organizacin Interna: Gestionar la seguridad de la informacin dentro de la organizacin. Debe establecerse un marco de gestin para iniciar y controlar la implementacin de la seguridad de la informacin en la organizacin.

! Puntos de control:! Comit de seguridad de la informacin.! Coordinacin de la seguridad de la informacin.! Asignacin de responsabilidades de seguridad de la

informacin.! Proceso de autorizacin para las herramientas de proceso de la

informacin.! Acuerdos de confidencialidad.! Contactos con autoridades.! Contactos con grupos de especial inters.! Revisin independiente de la seguridad de la informacin.

ISO 27001: El anexo A, 6.2rea de control de Organizacin de la seguridad de la informacin

! Objetivo 6.2 Terceras Partes: Mantener la seguridad de la informacin de la organizacin y de las herramientas de proceso de informacin que son accedidas, procesadas, comunicadas a gestionadas por terceras partes. La seguridad de la informacin de la organizacin y de sus herramientas de proceso no debe reducirse por la introduccin de productos servicios de terceros.

! Puntos de control:! Identificacin de los riesgos asociados a terceros.! Seguridad en las relaciones con clientes.! Seguridad en los acuerdos con terceras partes.

ISO 27001: El anexo A, 7.1rea de Clasificacin y control de activos

! Objetivo 7.1 Responsabilidad de los activos: Alcanzar y mantener la proteccin apropiada de los activos de la organizacin.

! Puntos de control:! Inventario de activos.! Propiedad de los activos.! Uso aceptable de los activos.

ISO 27001: El anexo A, 7.2rea de Clasificacin y control de activos

! Objetivo 7.2 Clasificacin de la Informacin: Garantizar que la informacin recibe un nivel de proteccin apropiado.

! Puntos de control:! Pautas de clasificacin.! Etiquetado y manipulacin de la informacin.

ISO 27001: El anexo A, 8.1rea de Seguridad relacionada con el personal

! Objetivo 8.1 Previo al Empleo (contratacin, adjudicacin cambio de roles y terminacin de responsabilidades): Garantizar que los empleados, contratistas y terceras partes comprenden sus responsabilidades y son adecuados para sus roles; y tambin para reducir el riesgo de robo, fraude mal uso de las herramientas.

! Puntos de control:! Roles y responsabilidades.! Monitorizacin.! Trminos y condiciones del empleo.


! Objetivo 8.2 Durante el empleo: Garantizar que los empleados, contratistas y terceros son conscientes del alcance de la seguridad de la informacin, de sus responsabilidades y obligaciones y estn equipados para soportar la poltica de seguridad de la organizacin en el desarrollo de sus labores cotidianas y reducir el riesgo de error humano.

! Puntos de control:! Responsabilidades de gestin.! Formacin, educacin y conocimiento de la poltica de

seguridad.! Procesos disciplinarios.


! Objetivo 8.3 Trmino cambio de empleo: Garantizar que los empleados, contratistas y terceros finalizan su relacin con la organizacin cambian de empleo de una manera ordenada.

! Puntos de control:! Responsabilidades de terminacin.! Devolucin de activos.! Eliminacin de derechos de acceso.

ISO 27001: El anexo A, 9.1rea de Seguridad fsica y del entorno! Objetivo 9.1 reas seguras: Prevenir el acceso no

autorizado, los daos y las interferencias a los recursos e informacin de la organizacin.

! Puntos de control:! Permetro fsico de seguridad.! Controles de entrada fsica.! Asegurando oficinas, cuartos y herramientas.! Proteccin contra amenazas externas y ambientales.! Trabajo en reas seguras.! Acceso pblico y reas de carga y descarga.

ISO 27001: El anexo A, 9.2rea de Seguridad fsica y del entorno! Objetivo 9.2 Seguridad en los equipos: Prevenir la

prdida, dao, robo compromiso de los activos y la interrupcin de las actividades de la organizacin.

! Puntos de control:! Proteccin y emplazamiento de los equipos.! Utilidades de soporte.! Seguridad en el cableado.! Mantenimiento de equipos.! Seguridad de los equipos fuera de la organizacin.! Eliminacin reutilizacin segura de los equipos.! Eliminacin de la propiedad.

ISO 27001: El anexo A, 10.1rea de Gestin de comunicaciones y operaciones

! Objetivo 10.1 Procedimientos operativos y responsabilidades: Garantizar la operacin segura y apropiada de las herramientas de proceso de la informacin.

! Puntos de control:! Documentacin de procedimientos operativos.! Gestin del cambio.! Segregacin de funciones.! Separacin de entornos de desarrollo, prueba y

explotacin.


! Objetivo 10.2 Seguridad en servicios de terceras partes: Implementar y mantener el adecuado nivel de seguridad de la informacin y servicios conforme a los acuerdos suscritos con terceras partes.

! Puntos de control:! Entrega de servicios.! Monitorizacin y revisin de servicios de terceros.! Gestin del cambio en servicios de terceros.


! Objetivo 10.3 Planificacin y conformidad de los sistemas: Minimizar el riesgo de fallos de los sistemas.

! Puntos de control:! Gestin de la capacidad.! Conformidad de los sistemas.


! Objetivo 10.4 Proteccin contra cdigos maliciosos y mviles: Proteger la integridad del software y la informacin.

! Puntos de control:! Controles contra cdigos maliciosos.! Controles contra cdigos mviles.


! Objetivo 10.5 Copias de seguridad: Mantener la integridad y disponibilidad de la informacin y de las herramientas de proceso de la informacin.

! Puntos de control:! Copia de seguridad de la informacin.


! Objetivo 10.6 Gestin de la seguridad de red: Garantizar la proteccin de la informacin en las redes y de su infraestructura.

! Puntos de control:! Controles de red.! Seguridad de servicios de red.


! Objetivo 10.7 Manejo de los medios: Prevenir la modificacin, borrado, destruccin uso no autorizado de los activos y la interrupcin de las actividades de negocio.

! Puntos de control:! Gestin de los medios removibles.! Borrado de los medios.! Procedimientos de manipulacin de la informacin.! Seguridad de la documentacin de los sistemas.


! Objetivo 10.8 Intercambio de informacin: Mantener la seguridad de la informacin y software intercambiados dentro de una organizacin y con cualquier entidad externa.

! Puntos de control:! Polticas y procedimientos de intercambio de

informacin.! Acuerdos de intercambio.! Medios fsicos en trnsito.! Mensajera electrnica.! Sistemas de informacin de negocio.


! Objetivo 10.9 Servicios de comercio electrnico: Garantizar la seguridad de los servcios de comercio electrnico y su uso seguro.

! Puntos de control:! Comercio electrnico.! Transacciones en lnea.! Informacin disponible pblicamente.


! Objetivo 10.10 Monitorizacin: Detectar las actividades de proceso de informacin no autorizadas.

! Puntos de control:! Auditora de bitcoras (logs).! Monitorizacin del uso de los sistemas.! Proteccin de la informacin de las bitcoras (logs).! Bitcoras (logs) de administradores y operadores.! Registro de fallos.! Sincronizacin de relojes.

ISO 27001: El anexo A, 11.11rea de Control de Accesos

! Objetivo 11.1 Requerimientos de negocio para el control de accesos: Controlar el acceso a la informacin.

! Puntos de control:! Poltica de control de accesos.


! Objetivo 11.2 Gestin de accesos de usuarios: Garantizar el acceso de usuarios autorizados y prevenir accesos no autorizados a los sistemas de informacin.

! Puntos de control:! Registro de usuarios.! Gestin de privilegios.! Gestin de contraseas de usuarios.! Revisin de los derechos de acceso de usuarios.


! Objetivo 11.3 Responsabilidades de los usuarios: Prevenir el acceso de usuarios no autorizados y el compromiso robo de la informacin de las herramientas de proceso.

! Puntos de control:! Uso de las contraseas.! Equipos de usuario desatendidos.! Poltica de mesas limpias.


! Objetivo 11.4 Control de accesos a red: Prevenir el acceso no autorizado a los servicios de red.

! Puntos de control:! Poltica de uso de los servicios de red.! Autenticacin de usuarios para conexiones externas.! Identificacin de equipos en red.! Proteccin de puertos de configuracin y diagnstico

remoto.! Segregacin de redes.! Controles de conexin a redes.! Controles de enrutado de redes.


! Objetivo 11.5 Control de accesos a los sistemas operativos: Prevenir el acceso no autorizado a los sistemas operativos.

! Puntos de control:! Procedimientos de logon seguros.! Identificacin y autenticacin de usuarios.! Sistema de gestin de contraseas.! Uso de las utilidades del sistema.! Timeout de sesin.! Limitacin de tiempos de conexin.


! Objetivo 11.6 Control de acceso a aplicaciones e informacin: Prevenir el acceso no autorizado a la informacin alojada en los sistemas de aplicaciones.

! Puntos de control:! Restricciones de acceso a la informacin.! Aislamiento de sistemas sensibles.


! Objetivo 11.7 Ordenadores porttiles y teletrabajo: Garantizar la seguridad de la informacin cuando se emplean ordenadores porttiles y herramientas de teletrabajo.

! Puntos de control:! Ordenadores porttiles y comunicaciones.! Teletrabajo.

ISO 27001: El anexo A, 12.1rea de Adquisicin, desarrollo y mantenimiento de los

sistemas de informacin

! Objetivo 12.1 Requerimientos de seguridad de los sistemas de informacin: Garantizar que la seguridad es una parte integral de los sistemas de informacin.

! Puntos de control:! Anlisis y especificacin de los requerimientos de

seguridad.



! Objetivo 12.2 Correcto procesamiento de las aplicaciones: Prevenir errores, prdidas, modificaciones no autorizadas malos usos de la informacin gestionada por las aplicaciones.

! Puntos de control:! Validacin de datos de entrada.! Control de proceso interno.! Integridad de los mensajes.! Validacin de los datos de salida.



! Objetivo 12.3 Controles criptogrficos: Proteger la confidencialidad, autenticidad integridad de la informacin por medios criptogrficos.

! Puntos de control:! Poltica de uso de los controles criptogrficos.! Gestin de claves.



! Objetivo 12.4 Seguridad de los ficheros del sistema: Garantizar la seguridad de los ficheros del sistema.

! Puntos de control:! Control del software en explotacin.! Proteccin de datos de prueba del sistema.! Control de accesos al cdigo fuente del programa.



! Objetivo 12.5 Seguridad en los procesos de desarrollo y soporte: Mantener la seguridad de las aplicaciones del sistema y su informacin.

! Puntos de control:! Procedimientos de control de cambios.! Revisin tcnica de aplicaciones despus de los

cambios en sistemas operativos.! Restricciones en los cambios a paquetes de software.! Fugas de informacin.! Desarrollo de software externalizado.



! Objetivo 12.6 Gestin de vulnerabilidades tcnicas: Reducir los riesgos derivados de la explotacin de vulnerabilidades tcnicas publicadas.

! Puntos de control:! Control de vulnerabilidades tcnicas.

ISO 27001: El anexo A, 13.1rea de Gestin de incidentes de seguridad de la

informacin! Objetivo 13.1 Reporte de los eventos y debilidades

de seguridad de la informacin: Garantizar que los eventos de seguridad de la informacin y debilidades asociadas con sistemas de informacin son comunicadas de forma que se puedan tomar acciones correctivas a tiempo.

! Puntos de control:! Reporte de los eventos de seguridad de la informacin.! Reporte de las debilidades de seguridad.

ISO 27001: El anexo A, 13.2rea de Gestin de incidentes de seguridad de la

informacin! Objetivo 13.2 Gestin de los incidentes de

seguridad de la informacin y mejoras: Garantizar que se aplica un sistema efectivo de gestin de los incidentes de seguridad de la informacin.

! Puntos de control:! Responsabilidades y procedimientos.! Aprendizaje de los incidentes de seguridad de la

informacin.! Recoleccin de evidencias

ISO 27001: El anexo A, 14.1Gestin de la continuidad del negocio

! Objetivo 14.1 Aspectos relativos a la seguridad de la informacin de la gestin de continuidad de negocio: Evitar interrupciones de las actividades de negocio y proteger los procesos crticos de negocio de los efectos de las averas ms importantes desastres y garantizar su reestablecimiento a tiempo.

! Puntos de control:! Inclusin de la seguridad de la informacin en los procesos de

continuidad de negocio.! Continuidad de negocio y anlisis del impacto.! Desarrollo e implantacin de planes de continuidad de negocio

incluyendo la seguridad de la informacin.! Esquema de planificacin de la continuidad del negocio.! Comprobacin, mantenimiento y reevaluacin de los planes de

continuidad de negocio.

ISO 27001: El anexo A, 15.1Conformidad

! Objetivo 15.1 Conformidad con los requeimientoslegales: Evitar el incumplimiento de cualquier ley, estatuto, obligacin regulatoria contractual y cualquier requisito de seguridad aplicable.

! Puntos de control:! Identificacin de la legislacin aplicable.! Derechos de propiedad intelectual.! Proteccin de los registros de la organizacin.! Proteccin de datos y privacidad de la informacin

personal.! Prevencin del mal uso de las herramientas de proceso

de la informacin.! Regulacin de controles criptogrficos.


! Objetivo 15.2 Cumplimiento de las polticas de seguridad y estndares y cumplimiento tcnico: Garantizar el cumplimiento por parte de los sistemas de las polticas y estndares de la organizacin.

! Puntos de control:! Cumplimiento de las polticas de seguridad y

estndares.! Comprobacin del cumplimiento tcnico.


! Objetivo 15.3 Consideraciones de auditoria de sistemas de informacin: Maximizar la efectividad y minimizar las interferencias de los procesos de auditoria de los sistemas de informacin.

! Puntos de control:! Controles de auditoria de sistemas de informacin.! Proteccin de las herramientas de auditoria de

sistemas de informacin.

Resumen: Foco en los factores de xito

! Simplicidad y claridad. No buscar complicar las cosas. Un ejemplo: Un sistema de acceso robusto no tiene porqu ser un sistema biomtrico. Puede bien ser un sistema de llave y candado.

! Proporcionalidad: Intentar que la norma se adapte a nosotros al mximo y no al revs. Un objetivo debe ser no alterar los procesos de negocio de la empresa salvo en lo estrictamente imprescindible.

! Registro y documentacin: Anotar y registrar todas las actividades. Si no hay acta no hay reunin.

! Trabajo diario. El sistema est vivo y debemos contribuir a mantenerlo vivo.

! Formacin y concienciacin.

"Quien sacrifica la libertad en nombre de la seguridad no merece ni la libertad ni la

seguridad."

Benjamin Franklin

Muchas gracias por su atencin

JM AlvarezIKT [email protected] 2008

Iso 27001 Por Donde Empezar2

Documents

Transcript of Iso 27001 Por Donde Empezar2