ISO 27001:2013Introducción a la ciberseguridadRecursosLa norma

¿Por qué estamos aquí?

Fuente: https://www.fireeye.com/cyber-map/threat-map.html

Fuente: http://resources.infosecinstitute.com/2013-impact-cybercrime/

¿Por qué estamos aquí?

Fuente: http://www.elmundo.es/tecnologia/2014/12/24/549a5be922601dd0458b456d.html

Fuente: http://internacional.elpais.com/internacional/2014/12/19/actualidad/1419014261_319604.html

Casos recientes

Casos actuales

Fuente: https://www.schneier.com/blog/archives/2014/02/the_mask_espion.html

Recursos

Herramientas gratuitas

Certificaciones

Fuente: http://www.globalknowledge.com/training/generic.asp?pageid=3632

Certified Information Security Manager (CISM) $114,844

Certified Ethical Hacker (CEH) $103,822

Certified Information Systems Auditor (CISA) $112,040

Fuente: http://www.businessinsider.com/15-more-tech-skills-that-can-instantly-net-you-a-100000-salary-2013-4?IR=T

Six Sigma, green belt, $116,987

Etc… Etc…

Sueldo medio en EEUU

Complementos y alternativas a ISO 27001

Cloud Controls Matrix (CCM) : Cloud Security AlliancePayment Card Industry Data Security Standard

Report on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy

MPAA Facility Security Program

Malta Gaming Authority (MGA)

The Standard of Good Practice for Information SecurityISM3 v1.20: Information Security Management Maturity Model

ISO 27001. Origen“Code of good

security practice for information

security”

BS 7799

ISO 27001

DISC PD003

Principios 90 El Ministerio de Industria y Comercio del Reino Unido da soporte a su desarrollo. Se crea ITSEC y DISC PD003

1995 Adoptado por primera vez como British Standard (BS)

1998 Se publican los requisitos para la certificación

1999 Se edita la Segunda Edición donde se incluyen comercio electrónico, los ordenadores portátiles y contratación con terceros.

2000 Se aprueba la ISO 17799 Parte 1 en Agosto.

2002 BS 7799-2:2002 publicado el 5 de SeptiembreÉnfasis en la concordancia con ISO 9001 y la ISO 14001Se adopta el modelo PDCA

2004 Se publica la UNE 71502, elaborada por el AEN/CTN 71

2005 Se publica ISO 27001:2005

2013 Se publica ISO 27001:2013

La familia ISO 27000Las normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y contienen   mejores prácticas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI).

• ISO/IEC 27000, Information security management systems — Overview and vocabulary

• ISO/IEC 27001, Information security management systems — Requirements

• ISO/IEC 27002, Code of practice for information security controls• ISO/IEC 27003, Information security management system implementation

guidance• ISO/IEC 27004, Information security management — Measurement• ISO/IEC 27005, Information security risk management• ISO/IEC 27006, Requirements for bodies providing audit and certification

of information security management systems• SO/IEC 27007, Guidelines for information security management systems

auditing

La familia ISO 27000

• ISO/IEC TR 27008, Guidelines for auditors on information security controls

• ISO/IEC 27010, Information security management for inter-sector and inter-organizational communications

• ISO/IEC 27011, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

• ISO/IEC 27013, Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

• ISO/IEC 27014, Governance of information security• ISO/IEC TR 27015, Information security management guidelines for

financial services• ISO/IEC TR 27016, Information security management — Organizational

economics• ETC.

¿Para qué sirve?…para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI/ISMS).

Beneficios de un SGSI.

Proporcionar las mejores prácticas de seguridad de la información

Permitir a las organizaciones desarrollar, implantar y medir prácticas efectivas de gestión de la seguridad

Proporcionar confianza en las organizaciones y su actividad (interno y externo: valor para marketing)

Aplicable a un amplio rango de organizaciones - grandes, medianas y pequeñas

El proceso de evaluación periódica ayuda a supervisar continuamente rendimiento y mejora

Permite de manera ordenada identificar riesgos, evaluarlos y gestionarlos

¿Qué es un SG…SI?Un Sistema de Gestión es un sistema para establecer la política y objetivos de una organización y lograrlos, mediante:• Una estructura organizativa donde las funciones, responsabilidades, autoridad, etc. de las

personas están definidas• Procesos y recursos necesarios para lograr los objetivos• Metodología de medida y de evaluación para valorar los resultados frente a los objetivos,

incluyendo la realimentación de resultados para planificar las mejoras del sistema• Un proceso de revisión para asegurar que los problemas se corrigen y se detectan

oportunidades de mejora e implementan cuando están justificadas

Un sistema de gestión de la seguridad de la información (SGSI) (en inglés: information security management system, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de administración de la informaciónUn SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.

Fuente: http://es.wikipedia.org/wiki/Sistema_de_gesti%C3%B3n_de_la_seguridad_de_la_informaci%C3%B3n

¿Qué es la información?información.(Del lat. informatĭo, -ōnis).1. f. Acción y efecto de informar.2. f. Oficina donde se informa sobre algo.3. f. Averiguación jurídica y legal de un hecho o delito.4. f. Pruebas que se hacen de la calidad y circunstancias necesarias en una persona para un empleo u honor. U. m. en pl.5. f. Comunicación o adquisición de conocimientos que permiten ampliar o precisar los que se poseen sobre una materia determinada.6. f. Conocimientos así comunicados o adquiridos.7. f. Biol. Propiedad intrínseca de ciertos biopolímeros, como los ácidos nucleicos, originada por la secuencia de las unidades componentes.8. f. ant. Educación, instrucción.Fuente: RAE

La información es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje.Fuente: Wikipedia

Information is an asset which,like other important business assets, has value to an organization and consequently needs to be suitably protectedFuente: ISO/IEC 27002:2005

¿Dónde está la información?•Papel•Medios electrónicos

Ordenadores Almacenamiento

físico/virtual USBs En tránsito Etc.

•Videos•Conversaciones•Web•Personas•En los sitios más insospechados…

Fuente: http://en.wikipedia.org/wiki/Bob_Quick_%28police_officer%29

Fuente: http://dinovida.files.wordpress.com/

La seguridad de la información no es seguridad informática. Va más allá.

Seguridad de la información. ConceptosMedidas que permiten proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma (free of danger)

¿Se puede conseguir la seguridad total? La respuesta es no, pero si que mediante distintos enfoques y aproximaciones, se puede obtener una seguridad aceptable:• Mediante la gestión y tratamiento de riesgos• Formando a las personas• Securizando procesos y tecnología• Etc.

La seguridad de la información es algo que no puedes comprar, tienes que

construir.It’s a process not a product

Fuente: Silvia Villanueva

Seguridad de la información. ConceptosSegún la ISO, la seguridad se caracteriza como la preservación de la confidencialidad, integridad y disponibilidad de la información; adicionalmente pueden tenerse en consideración otras propiedades como autenticación, responsabilidad, no repudio y fiabilidad

TRAZABILIDAD

AUTENTICACION

NO REPUDIO

CONFIDENCIALIDAD

INTEGRIDAD

DISPONIBILIDAD

SEGURIDAD SEGURIDAD TOTAL

SEGURIDAD NECESIDADES OPERATIVAS

RESPONSABILIDAD

GESTIÓN DE LA SEGURIDAD

ISO 27001. Cambios notables• Pone más peso en medir y evaluar (métricas e indicadores) el

sistema de gestión• Desaparece la sección de enfoque a procesos dando más flexibilidad

de elección de metodologías de trabajo para análisis de riesgos y mejoras.

• No enfatiza tanto el ciclo de Demming como la ISO27001:2005• Mejora la integración con ISO9000 e ISO20000. Cambia su

estructura conforme al anexo SL.• Incorpora la externalización de servicios en el dominio “relaciones

con el proveedor”.• Se parte del análisis de riesgos para determinar los controles

necesarios (SoA) en lugar de identificar primero activos, amenazas y vulnerabilidades

ISO 27001. Cambios notablesPasa de 102 requisitos a 130Pasa de 11 a 14 dominios (clausulas) y de 133 a 114 controles (sub clausulas)La normativa ISO 27002 se ha incorporado al anexo A

• Controles nuevos:• A.6.1.5 Information security in project management• A.12.6.2 Restrictions on software installation• A.14.2.1 Secure development policy• A.14.2.5 Secure system engineering principles• A.14.2.6 Secure development environment• A.14.2.8 System security testing• A.15.1.1 Information security policy for supplier relationships• A.15.1.3 Information and communication technology supply chain• A.16.1.4 Assessment of and decision on information security events• A.16.1.5 Response to information security incidents• A.17.2.1 Availability of information processing facilities

2005 2013

ISO 27001. Estructura

ISO 27001. Estructura1.- Alcance

• -No es el alcance del SGSI• -aplicable a cualquier organización• -Genérica• -Los requisitos de las clausulas 4 a la 10 no son excluibles

2.- Referencias normativas

• -La norma ISO 27000• -La norma ISO 27002 ya no es referencia normativa.

3.- Términos y definiciones

• -La norma ISO 27000

ISO 27001. Contexto de la organización4.- Contexto de la Organización

• La organización debe preocuparse, y por tanto determinar, qué cuestiones o aspectos internos y externos están involucrados en el propósito de la misma y pueden afectar a la capacidad de alcanzar los resultados previstos para su SGSI

• Instituye los requerimientos para definir el contexto del SGSI sin importar el tipo de organización y su alcance.

• Introduce una nueva figura (las partes interesadas) como un elemento primordial  para la definición del alcance del SGSI.

• Establece la prioridad de identificar y definir formalmente las necesidades de las partes interesadas con relación a la seguridad de la información y sus expectativas con relación al SGSI, pues esto determinará las políticas de seguridad de la información y los objetivos a seguir para el proceso de gestión de riesgos.

• La guía para realizar este estudio puede ser ISO 31000:2009 (4.3.1, 5.3.1, etc.)

ISO 27001. Liderazgo y Compromiso5.- Liderazgo y Compromiso de la dirección

• Ajusta la relación y responsabilidades de la Alta Dirección respecto al SGSI, destacando de manera puntual cómo debe demostrar su compromiso, por ejemplo:

• Garantizando que los objetivos del SGSI y “La política de seguridad de la información”, anteriormente definida como “Política del SGSI”, estén alineados con los objetivos del negocio.

• Garantizando la disponibilidad de los recursos para la implementación del SGSI (económicos, tecnológicos, etcétera).

• Garantizando que los roles y responsabilidades claves para la seguridad de la información se asignen y se comuniquen adecuadamente.

ISO 27001. Planificación• Se deben determinar los riesgos y oportunidades a la hora de planificar el

SGSI, así como establecer objetivos de Seguridad de la Información y el modo de alcanzar estos

• Se presentan grandes cambios en el proceso de evaluación de riesgos: el proceso para la evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las amenazas.

• Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información.

• El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa.

• Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario del riesgo”.

• Los requerimientos del SOA no sufrieron transformaciones significativas• objetivos

Análisis de riesgos ¿Por qué?• El Análisis de riesgos es un concepto requerido para el buen gobierno de TI• La gestión de los riesgos es una piedra angular del buen gobierno.• Es un principio fundamental que las decisiones de gobierno se• fundamenten en el conocimiento de los riesgos que implican.• El conocimiento de los riesgos permite calibrar la confianza en que los• sistemas desempeñarán su función como la Dirección espera.• En particular de los riesgos provenientes del uso de las TIC.• Marco equilibrado de Gobierno – Gestión de Riesgos – Cumplimiento• (GRC).• Tratamiento de los riesgos de las TIC en relación con los demás riesgos.• Referente: ISO 38500 (Gobierno de TI)

Análisis de riesgos. Ciclo de Vida

Análisis de riesgos. Ciclo de Vida

Análisis de riesgos. Ciclo de Vida

Análisis de riesgos. Conceptos• Riesgo: Estimación del grado de exposición a que una amenaza se

materialice sobre uno o mas activos causando daños o perjuicios a la Organización

El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente. Es importante saber qué características son de interés en cada activo, así como saber en qué medida (cuantificar) estas características están en peligro, es decir, analizar el sistema:

• Análisis de Riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización

Una vez conocidos los riesgos se presentan para tomar decisiones:

• Tratamiento de los riesgos: proceso destinado a modificar el riesgo

Análisis de riesgos. Conceptos• Amenaza: Causa potencial de un incidente que puede causar daños a un

sistema de información o a una organización. [UNE 71504:2008].

• Degradación: cuán perjudicado resultaría el activo. La degradación mide el daño causado por un incidente en el supuesto de que ocurriera.

• Frecuencia: cada cuánto se materializa la amenaza

• Vulnerabilidad: toda debilidad que puede ser aprovechada por una amenaza, o, más detalladamente, a las debilidades de los activos o de sus medidas de protección que facilitan el éxito de una amenaza potencial.

Son vulnerabilidades todas las ausencias o ineficacias de las salvaguardas pertinentes para salvaguardar el valor propio o acumulado sobre un activo. A veces se emplea el término “insuficiencia” para resaltar el hecho de que la eficacia medida de la salvaguarda es insuficiente para preservar el valor del activo expuesto a una amenaza.

Análisis de riesgos. Conceptos• Un activo tiene valor para la compañía y está lo expone a un riesgo con la

esperanza de obtener un beneficio (oportunidad) .

• La materialización de la amenaza a través de la explotación de una vulnerabilidad degrada el valor del activo y le puede afectar a su confidencialidad, integridad o disponibilidad.

• Los riesgos se identifican y se valoran cualitativa o cuantitativamente, tomando en cuenta la frecuencia de aparición (o probabilidad) e impacto.

• Una vez identificados los riesgos se tratan aplicando medidas (Plan de tratamiento de riesgos).

• El riesgo residual (riesgo existente después de aplicar medidas) debe ser conocido y formalmente aceptado por la Organización (dirección)

• El apéndice A de la ISO 27001:2013 o la ISO27002 es un catalogo de salvaguardas o medidas a aplicar para tratar el riesgo.

Análisis de riesgos según MAGERIT V3• 1. determinar los activos relevantes para la Organización, su interrelación y

su valor, en el sentido de qué perjuicio (coste) supondría su degradación

• 2. determinar a qué amenazas están expuestos aquellos activos

• 3. determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo

• 4. estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza

• 5. estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza

ISO 27001:2013-Análisis de riesgo según contexto, no según activos-Riesgos asociados a la perdida de Confidencialidad, Integridad y Disponibilidad de la I.-Se substituye “propietario del activo” por “propietario del riesgo”

Lista de tareas de AR según MAGERIT V3

ISO 27001. Planificación

Resumiendo:• Hay que definir, aplicar y documentar un proceso de evaluación de riesgos,

propio o de terceros, focalizado en los valores de la seguridad de la información

• Hay que definir los criterios de aceptación de riesgo (Riesgo aceptable)• Identificad los riesgos principales y los propietarios de esos riesgos.

Priorizarlos• Diseñar un plan de tratamiento de riesgos, comparar los controles

necesarios con el anexo A y elaborar el Statement of applicability (SoA)• El SoA debe revisar los controles del anexo A y justificar su inclusión

o exclusión.• Crear el plan de seguridad y obtener la aprobación de los propietarios del

riesgo• Crear objetivos (6.2) de seguridad. Como en otras normas.

ISO 27001. Soporte

• Marca los requerimientos de soporte para el establecimiento, implementación y mejora del SGSI, que incluye:

• Recursos, personal competente, concienciación y comunicación con las partes interesadas

• Se incluye una nueva definición “información documentada” que sustituye a los términos “documentos” y “registros”; abarca el proceso de documentar, controlar, mantener y conservar la documentación correspondiente al SGSI. Depende del tamaño de la organización.

• El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un determinado conjunto de estos.

ISO 27001. Operación

• Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas de la Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el del estándar. Es la realización de lo determinado en 6.1 y 6.2 (planificación)

• Además, plantea que la organización debe planear y controlar las operaciones y requerimientos de seguridad, erigiendo como el pilar de este proceso la ejecución de evaluaciones de riesgos de seguridad de la información de manera periódica por medio de un programa previamente elegido.

• Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos. Solo se requiere para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad

ISO 27001. Evaluación del rendimiento

• En un SGSI es fundamental medir, medir, y… medir. Para ello, se llevarán a cabo actividades de análisis y evaluación, auditorías internas y la revisión por la dirección del Sistema de Gestión de Seguridad de la Información

• La base para identificar y medir la efectividad y desempeño del SGSI continúan siendo las auditorías internas y las revisiones del SGSI.

• Se debe considerar para estas revisiones el estado de los planes de acción para atender no conformidades anteriores y se establece la necesidad de definir quién y cuándo se deben realizar estas evaluaciones así como quién debe analizar la información recolectada

ISO 27001. Mejora continua

• Una organización deberá mejorar continuamente la adecuación y eficacia del SGS, así cómo dar solución a todas las acciones correctivas y no conformidades detectas

Dominios (Clausulas) y Controles (Salvaguardas) A.5: Information security policies (2 controls) A.6: Organization of information security (7 controls) A.7: Human resource security - 6 controls that are applied before, during, or after employment A.8: Asset management (10 controls) A.9: Access control (14 controls) A.10: Cryptography (2 controls) A.11: Physical and environmental security (15 controls) A.12: Operations security (14 controls) A.13: Communications security (7 controls) A.14: System acquisition, development and maintenance (13 controls) A.15: Supplier relationships (5 controls) A.16: Information security incident management (7 controls) A.17: Information security aspects of business continuity management (4 controls) A.18: Compliance; with internal requirements, such as policies, and with external requirements, such as laws (8 controls)

Dominios (Clausulas) y Controles (Salvaguardas)

Diagram_of_ISO_27001_2013_Implementation_Process_ES.pdf

Fuente: http://http://www.iso27001standard.com

Microsoft Word Document

Diagrama de implantación de ISO 27001

Lista de verificación (Checklist) de implantación de ISO 27001

Documentación obligatoria• Alcance del SGSI (punto 4.3)• Objetivos y política de seguridad de la información (puntos 5.2 y 6.2)• Metodología de evaluación y tratamiento de riesgos (punto 6.1.2)• Declaración de aplicabilidad (SoA) (punto 6.1.3 d)• Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)• Informe de evaluación de riesgos (punto 8.2)• Definición de roles y responsabilidades de seguridad (puntos A.7.1.2 y

A.13.2.4)• Inventario de activos (punto A.8.1.1)• Uso aceptable de los activos (punto A.8.1.3)• Política de control de acceso (punto A.9.1.1)• Procedimientos operativos para gestión de TI (punto A.12.1.1)• Principios de ingeniería para sistema seguro (punto A.14.2.5)• Política de seguridad para proveedores (punto A.15.1.1)• Procedimiento para gestión de incidentes (punto A.16.1.5)• Procedimientos para continuidad del negocio (punto A.17.1.2)• Requisitos legales, normativos y contractuales (punto A.18.1.1)

Registros obligatorios• Registros de capacitación, habilidades, experiencia y evaluaciones (punto

7.2)

• Monitoreo y resultados de medición (punto 9.1)

• Programa de auditoría interna (punto 9.2)

• Resultados de auditorias internas (punto 9.2)

• Resultados de la revisión por parte de la dirección (punto 9.3)

• Resultados de medidas correctivas (punto 10.1)

• Registros sobre actividades de los usuarios, excepciones y eventos de seguridad (puntos A.12.4.1 y A.12.4.3)

Gracias¿Preguntas?

Mailto: Gnzldlp@gmail.com