Curso ai iso 27001
description
Transcript of Curso ai iso 27001
Interpretación y Auditoría ISO / IEC
27001:2005
Bienvenidos
Reglas del juegoBuenas prácticas para el taller
Evitemos hacer uso de equipos portátiles
Evitemos hacer uso de teléfonos, configurémoslos en vibrador.
Seamos respetuosos y ordenados al hacer aportaciones
Tomemos notas acerca de temas valiosos
BienvenidosConozcámonos
¿Expectativas?
¿Necesidades?
¿Intereses?
Su presentadorGuillermo Cruz Aguayo
• Lic. Sistemas de Cómputo Administrativo
• 12+ años de experiencia en Sistemas de Gestión:
• Cursos Auditor Líder con (EQA, DNV, FS)
• ISO 9001• BS 7799• ISO 27001• ISO 14001
• Experto Técnico en Tecnologías de Información ante la EMA para :
• Factual Services• CIM Certificación
• Ha lidereado más de 80 auditorías de certificación de SGC con diferentes organismos certificadores.
• Instructor en Seguridad de Información para Triara con el respaldo de Dicta Consulting y Pink Elephant.
• Ha asesorado más de 60 empresas en procesos de certificación de Sistemas de Gestión ISO
• En Armstrong Laboratorios de México:
• Jefe de Seguridad de Información, Funcional SAP & Basis.
Recordando el Proceso de Auditoría
Recordando el Proceso de Auditoría
CalidadConocimientos y habilidadesespecíficos decalidad.
Seguridad de InformaciónConocimientos y habilidadesespecíficos deSeguridad de Información.
Conocimientos y habilidades
genéricos
Educación Experiencia enauditorías
Formación como auditor
Experiencialaboral
Cualidades personales
Concepto de competencia
Definiciones
Seguridad de Información
InformaciónDefiniciones
InformaciónBases de
datosCriterios de
decisión
DineroBits y Bytes
Se puede conceptualizar a la información como un conjunto de datos con un propósito en
particular
Seguridad de la InformaciónDefiniciones
Confidencialidad
DisponibilidadIntegridad
• La Seguridad de la información se define como la preservación de las siguientes características:
o Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella.
o Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.
o Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera.
• Seguridad de la Información (SI).- Preservación de la confidencialidad, integridad y disponibilidad de la información; adicionalmente autenticidad, responsabilidad, no repudio y confiabilidad.
• SGSI.- es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la información.
• Activo.- Algo que tiene valor para la organización (ISO/IEC 13335-1:2004)
• Amenaza.- Evento que puede provocar un incidente en la organización produciendo daños o pérdidas materiales y/o inmateriales
• Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias externas.
Seguridad de la InformaciónDefiniciones
• El SGSI: Sistema de Gestión de Seguridad de la Información.
• La Gestión de la Seguridad de la Información ,debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.
• Garantizar un nivel de protección total es imposible incluso en el caso de disponer de un presupuesto ilimitado.
• El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
Seguridad de la InformaciónDefiniciones
¿Por Qué Gestión De Riesgos De La Información?
• Necesidad de Proteger la Información
• Sin embargo, esto puede generar:o Crecimiento de cantidad y complejidad de los controleso Pérdida del foco de actividades (Seguridad vs Negocio)
• Por otra parte, requiere:o Mediciones del impacto producido por los controles en seguridado Aplicar un criterio de negocios
Algunas Definiciones Previas..
Cómo Gestionar el Riesgo
Principio del Cocodrilo
El principio del cocodrilo
• Identifique la Amenaza (Nombre y Apellido)
El principio del cocodrilo
• Evalúe el riesgo
El principio del cocodrilo
• Elimine el riesgo desde su origen
El principio del cocodrilo
• Halle otra alternativa
El principio del cocodrilo
• Aisle (contenga) el riesgo
El principio del cocodrilo
• Protejase contra el riesgo
El principio del cocodrilo
• Si nada funciona, prepárese para salir de ahí.
La desconfianza es madre de la seguridad.
Aristófanes.
Conceptos
27001:2005
Seguridad de la InformaciónPropósito fundamental
Alto
Probabilidad de que se aprovechen
las brechas de seguridad
AltoBajo
Nivel de riesgo inaceptable
Nivel de riesgo aceptable
Imp
act
o a
l ne
go
cio
El propósito fundamental de la seguridad es:
“Administrar el riesgo al cual la organización se encuentra expuesta con respecto a la información”
EvitarTransferir
Aceptar Reducir
Seguridad de la InformaciónNiveles óptimos de seguridad
$
Nivel de seguridad100%
Costo de unapérdida de Información
Costo deImplementarUna Soluciónde Seguridad
CostoTotal
Seguridad de la InformaciónRealidad actual
EX
PLO
SIÓ
N
DE
DA
TOS
EL PAPELDE LA
SEGURIDAD
EM
PR
ES
AS
SIN
MU
RO
S
Un perímetro
que se
desvanece
La oficina se
encuentra “en
cualquier lugar”
Tercerización y
relocalización
Riesgos y cumplimiento
Presupuesto limitado
Habilitador de negocio
Los datos se
encuentran en todas
partesDatos estructurados,
contenido no
estructurado
PI, cliente y datos
clasificados
RiesgoLa contraparte de la seguridad
• Amenaza: un evento o situación que podría generar peligro, heridas o pérdidas.
• Probabilidad: la posibilidad de que una amenaza se materialice.
• Vulnerabilidad: es el grado de debilidad de un elemento frente a una amenaza.
• Impacto: el daño ocasionado por una amenaza tras su materialización.
Amenazas
VulnerabilidadesR(A) = f(P, V, I)
El riesgo para una amenaza está en función de la probabilidad, la vulnerabilidad y el impacto
ControlContraposición a la vulnerabilidad
Políticas
Procedimientos
Prácticas
EstructurasOrganizacionales
..
.
.
. .
Control
AntecedentesISO/IEC 27001:2005
AntecedentesRuta histórica
1989
1989
1993
1993
1995
1995
1998
1998
1999
1999 2002
2002 2005
2005
Ce
rtif
ica
ble
No
Ce
rtif
ica
ble
Código de práctica
para usuarios
PD0003 Código de prácticas
para SGSI
BS 7799
BS 7799-2BS 7799-2:1999
BS 7799-2:2002
ISO/IEC 27001:2005
AntecedentesFormalización de la norma
Aprobada y publicada en 2005.
Revisión por parte del International Organization for Standarization y la comisión International Electrotechnical Comission.
Refleja los principios de la Organization for Economic Cooperation and Development.
Norma Internacional
AntecedentesLa familia ISO 27000
ISO/IEC Descripción
27000 Vocabulario y definiciones
27001Especificación de la estructura metodológica (basada en el BS7799-2:2002) – Norma Certificable
27002 Código de prácticas (basada en ISO17799:2005).
27003 Guía de implementación.
27004 Métricas y medidas.
27005 La Administración del Riesgo (basado BS 7799-3)
Detalle De La Norma
ISO/IEC 27001:2005
Introducción ISO/IEC 27001:2005Generalidades
• El estándar ISO/IEC 27001:2005 específica un enfoque en los siguientes temas:1. Principios y Gestión de Seguridad
2. Responsabilidades de la Gestión de Seguridad
3. Enfoque de “arriba hacia abajo”
4. Gestión de Riesgo
5. Toma de Conciencia de Seguridad
6. Continuidad del Negocio y Gestión de Desastres
7. Cumplimiento Legal
Introducción ISO/IEC 27001:2005Ciclo PDCA – Mejora Continua
Partes interesadas:
ClientesProveedoresUsuariosAccionistasOtros
Requerimientos y Expectativas
de Seguridad de Información
Partes interesadas:
ClientesProveedoresUsuariosAccionistasOtros
Requerimientos y Expectativas de
Seguridad de Información
Establecimiento del SGSI
PLAN
Implementación del SGSI
DO
Monitoreo y revisión del
SGSI
CHECK
Mejora del SGSI
ACT
Introducción ISO/IEC 27001:2005Modelo de Madurez de Seguridad de Información
Procesos inexistentes
Procesos desorganizados
Procesos inconsistentes
Procesos documentados y
comunicados
Procesos medidos y
monitoreados
Mejores prácticas
Nivel 0Sistema
Inexistente
Nivel 1Sistema
Intermitente
Nivel 2Sistema Intuitivo
Nivel 3Sistema Definido
Nivel 4Sistema
Administrado
Nivel 5Sistema
Optimizado
Estructura de la normaISO/IEC 27001:2005
Estructura ISO/IEC 27001:2005
• 0. Introducción• 1. Alcance• 2. Referencias Normativas• 3. Definiciones y Terminología• 4. Sistema de Gestión para la
Seguridad de la Información• 5. Responsabilidad de la gerencia.• 6. Auditorias Internas para el SGSI• 7. Revisión Gerencial del SGSI• 8. Mejora del SGSI• Anexo A: Objetivos y controles
Dominio
A.5 Política de Seguridad
A.6 Organización de la SI
A.7 Gestión de activos
A.8 Seguridad de los recursos humanos
A.9 Seguridad física y ambiental
A.10 Gestión de comunicaciones y operaciones
A.11 Control de accesos
A.12 Adquisición, desarrollo y mantenimiento de sistemas de información
A.13 Gestión de incidentes de SI
A.14 Gestión de la continuidad
A.15 Cumplimiento
Estructura de ISO/IEC 27001:2005Prólogo normativo
• El estándar ISO/IEC 27001:2005 tiene un total de 46 requerimientos explícitos que deben ser atendidos de forma cabal.
• Los requerimientos deberán ser revisados y medidos a intervalos planeados para garantizar la efectividad y eficiencia de los controles que proponen.
43%
9%
17%
13%
17%
Clausula 4 Clausula 5 Clausula 6Clausula 7 Clausula 8
Estructura de ISO/IEC 27001:2005Prólogo normativo
• 0.1 General• 0.2 Enfoque a procesos• 0.3 Compatibilidad con otros Sistemas de
Gestión
0. Introducción
• 1.1 General• 1.2 Aplicación1. Alcance
2. Referencias Normativas
3. Términos y Definiciones
Estructura de ISO/IEC 27001:2005Prólogo normativo
• 4.1 Requerimientos Generales• 4.2 Estableciendo y Administrando el SGSI• 4.2.1 Estableciendo el SGSI• 4.2.2 Implementando y Operando el SGSI• 4.2.3 Monitoreando y Revisando el SGSI• 4.2.4 Manteniendo y Mejorando el SGSI
• 4.3 Requerimientos de Documentación• 4.3.1 General• 4.3.2 Control de documentos• 4.3.3 Control de Registros
4. Sistema de Gestión de Seguridad de
Información (Enfoque a Riesgos)
• 5.1 Compromiso de la Dirección• 5.2 Gestión de Recursos• 5.2.1 Provisión de Recursos• 5.2.2 Capacitación, difusión y competencia
5. Responsabilidad de la Dirección
Estructura de ISO/IEC 27001:2005Prólogo normativo
6. Auditorías Internas
• 7.1 General• 7.2 Entradas para la Revisión• 7.3 Salidas de la Revisión
7. Revisión Gerencial del SGSI
• 8.1 Mejora Continua• 8.2 Acciones Correctivas• 8.3 Acciones Preventivas
8. Mejora del SGSI
Anexo A
Estructura de ISO/IEC 27001:2005Prólogo normativo
• La documentación obligatoria de un SGSI de acuerdo a la norma es:o Política y objetivos de seguridado Alcanceo Procedimientos de gestióno Metodología de análisis de riesgoso Reporte de análisis de riesgoso Plan de tratamiento de riesgoso Declaración de aplicabilidado Métricas de efectividado Registros de capacitación, compromiso gerencial, auditorías,
etc.
Estructura de ISO/IEC 27001:2005Dinámica
• Equipos: Hasta tres personas
• Tiempo: 45 minutos de análisis, 15 minutos por exposición.
• Actividad:o Analizar un apartado del prólogo normativo, realizar
una presentación básica del tema.o Identificar: documentos requeridos, registros
requeridos por apartado, actividades a realizar.
Estructura de ISO/IEC 27001:2005Anexo A
• El estándar ISO/IEC 27001:2005 tiene un total de 133 controles ordenados en 11 dominios de control.
• Es necesario declarar la aplicabilidad de cada uno de ellos, de acuerdo al alcance del SGSI.
2% 8% 4%
7%
10%
24%19%
12%
4%4% 8%
A.5 A.6 A.7 A.8 A.9A.10 A.11 A.12 A.13 A.14A.15
Estructura de ISO/IEC 27001:2005 Anexo A.5 Política de la Seguridad de Información
1 Objetivos de Control
2 Controles
Objetivo: Proveer la dirección y soporte ejecutivo a la seguridad de información de acuerdo a los requerimientos de negocio, a las regulaciones relevantes y a los requerimientos impuestos.
Estructura de ISO/IEC 27001:2005Anexo A.6 Organización para la Seguridad
2 Objetivos de Control
11 Controles
Objetivo: Definir el conjunto de responsables en la administración de la seguridad de información, así como las interacciones entre estos responsables, la organización, sus empleados y grupos externos.
Rol 1
-------
------
Rol 2
-------
------
Rol 3
-------
------
Empleado 1
Empleado 2
Estructura de ISO/IEC 27001:2005 Anexo A.7 Gestión de Activos
2 Objetivos de Control
5 Controles
Objetivo: Identificar, resguardar y proteger de manera adecuada los activos de la organización. Activo Clasificación
Servidor 1 Confidencial
Documento 1 Restringido
Computadora 1 Confidencial
Estructura de ISO/IEC 27001:2005 Anexo A.8 Seguridad en Recursos Humanos
3 Objetivos de Control
9 Controles
Objetivo: Asegurar el cumplimiento de la normativa de Seguridad de Información durante la selección, contratación y termino de empleo o contrato de los aspirantes, colaboradores internos o externos, contratistas o terceras partes que tengan o vayan a tener acceso a los activos organizacionales.
Responsabilidades
Recursos HumanosExternos
Política de Seguridad de Información
Procesos Disciplinarios
Estructura de ISO/IEC 27001:2005 Anexo A.9 Seguridad Física y ambiental
2 Objetivos de Control
13 Controles
Objetivo: Estructurar el conjunto de controles de restricción física para salvaguardar la integridad de los activos de información organizacional, sea cual sea su naturaleza.
Estructura de ISO/IEC 27001:2005 Anexo A.10 Gestión de Operaciones
10 Objetivos de Control
32 Controles
Objetivo: Generar un conjunto de controles que garanticen la seguridad de información a través de cualquier tipo de flujo que sea parte de la operación diaria de la empresa.
Estructura de ISO/IEC 27001:2005 Anexo A.11 Control de Accesos
7 Objetivos de Control
25 Controles
Objetivo: Salvaguardar todos los recursos tecnológicos de la organización de eventos intencionados como el robo o manipulación de la información.
Estructura de ISO/IEC 27001:2005 Anexo A.12 Adquisición y Desarrollo de Aplicaciones
6 Objetivos de Control
16 Controles
Objetivo: Asegurar que las actividades derivadas de la adquisición, desarrollo y mantenimiento de los Sistemas de Información cumple con los requerimientos de Seguridad de Información establecidos por la misma.
¿Qué requerimientosTécnicos necesita para la
Seguridad?
¿Cómo se accede?
¿Dónde se ubicarán?
¿Qué entidades harán uso de los
sistemas?
Estructura de ISO/IEC 27001:2005 Anexo A.13 Gestión de Incidentes
2 Objetivos de Control
5 Controles
Objetivo: Restaurar los servicios y nivel de seguridad requeridos lo más rápido posible, con la finalidad de minimizar el impacto en la organización.
Detección de Incidente
Advertencia IndicadorIndica que un incidente
ocurrió o está ocurriendo
Indica la posible ocurrencia de un
incidente
Usuarios
Herramientas
Notificación
Inicial
Alarma
EAI
Estructura de ISO/IEC 27001:2005 Anexo A.14 Gestión de la Continuidad
1 Objetivos de Control
5 Controles
Objetivo: Proteger y asegurar la oportuna reanudación de los procesos críticos del negocio en caso de un desastre o falla tecnológica.
Estructura de ISO/IEC 27001:2005 Anexo A.15 Cumplimiento
3 Objetivos de Control
10 Controles
Objetivo: Asegurar el establecimiento de las medidas de control, efectividad, revisión y corrección que permitan garantizar el cumplimiento de las Regulaciones, Leyes, Estándares, Acuerdos Contractuales y Requerimientos de cumplimiento internos de la Organización con respecto a la Seguridad de Información.
RequerimientosIdentificados
Políticas y Estándares
Procesos
Controles
• Política de Seguridad de Información
• Proceso de Control de Registros
• Política de Uso de Información
• Controles Criptográficos
• Proceso de Auditoría• Controles de Sistemas
de Información• Penalizaciones
Ejemplos:
Estructura de ISO/IEC 27001:2005Dinámica
• Equipos: Hasta tres personas
• Tiempo: 45 minutos de análisis, 10 minutos de explicación por dominio (considerar A.5 como obligatorio)
• Actividad:o Revisar caso de riesgo identificado en Patito S.A. de
C.V.o Identificar aplicabilidad de controles por anexo
asignado.
Conclusiones
Conclusiones
• La Seguridad de la Información es un proceso.
• La Seguridad de la Información se basa en personas.
• La Seguridad de la Información debe orientarse al riesgo.
• Un buen SGSI es un sistema rentable para la organización.
• No existe la seguridad absoluta. El SGSI ayuda a la administración general de una empresa.
• Hay que definir estrategias de negocio y huir de actuaciones puntuales sin criterios de interconexión.
• Un proyecto SGSI requiere un equipo de trabajo multidisciplinario.