Taller de transición de la norma ISO/IEC 27001:2005 a la ISO/IEC 27001:2013

Ing. CIP Maurice Frayssinet Delgado

mfrayssinet@gmail.com

www.ongei.gob.pe

Oficina Nacional de Gobierno Electrónico e Informática

Agenda

• Sección 1. Introducción a la norma ISO/IEC 27001:2013.

• Sección 2. Estructura de la nueva norma.

• Sección 3. Principales cambios y mejoras.

• Sección 4. Modelo de transición.

2

Introducción a la norma ISO/IEC 27001:2013.

Sección 1

3

ISO 27001:2013

• ISO IEC 27001 2013 es un estándar de gestión de seguridad de la información.

• Se define un conjunto de requisitos de gestión de seguridad de la información.

• El nombre oficial completo de la norma ISO / IEC 27001:2013 Tecnología de la información - Técnicas de seguridad – Sistema de gestión de Seguridad de la información - Requisitos

4

Historia de la Norma ISO 27001

5

Anexo SL

• El Anexo SL sugiere una estructura única para todas las normas en Sistemas de Gestión, consiguiendo con ello mayor coherencia, efectividad y eficiencia en su implementación, integración, mantenimiento y proceso de auditoría para la posterior certificación.

• Esta estructura, a la que se le ha dado el nombre de estructura de Alto Nivel, consta de 10 apartados.

6

Anexo SL - Estructura común

1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Contexto de la organización 5. Liderazgo 6. Planificación 7. Soporte 8. Operación 9. Evaluación 10. Mejora

7

Los Sistemas de Gestión se Integran

SISTEMA DE

GESTION

SALUD Y SEGURIDAD

TRABAJO OHSAS 18001

CALIDAD ISO 9001

AMBIENTALISO ISO 14001

SEGURIDAD DE LA

INFORMACION ISO 27001

8

Estructura de la ISO 27001:2013

1. Alcance

2. Referencias normativas

3. Términos y definiciones

4. Contexto de la organización

5. Liderazgo

6. Planificación

7. Soporte

8. Operación

9. Evaluación

10. Mejora

Anexo A – Lista de Controles

9

PNTP ISO/IEC 27001:2014

• Para el Perú será la futura norma NTP ISO/IEC 27001:2014.

• Actualmente ya se culmino su traducción encontrándose en fase de consulta y revisión final del borrador

10

Estructura de la nueva norma

Sección 2

11

¿Qué es ISO?

12 Fuente: http://www.pmg-ssi.com/

Contexto de la organización

• Se definen los requerimientos para definir el contexto del SGSI sin importar el tipo de organización y su alcance.

• Nuevo concepto de la partes interesadas como un elemento primordial para el alcance del SGSI.

• Se alienan las partes interesadas con relación a la seguridad de la información y sus requisitos

13

Liderazgo

• Los objetivos del SGSI y “La política de seguridad de la información deben estar alineados con los objetivos del negocio.

• Garantizar disponibilidad de los recursos

• Garantizar que se asignen los roles y responsabilidades

14

Planeación

• Se elimina el término “Propietario del activo” y se adopta el término “Propietario del riesgo”.

• La evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las amenazas.

• El objetivo es identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información.

• El nivel de riesgo esta en base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa.

• Los requerimientos del SOA no sufrieron transformaciones significativas.

15

Soporte

• La definición “información documentada” sustituye a los términos “documentos” y “registros”

• Se enfoca en el contenido de los documentos y no en la existencia de un determinado conjunto de estos.

• Requerimientos de soporte: Recursos, Personal competente, y comunicación de las partes interesadas

16

Operación

• Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos.

• Solo se requiere para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad.

• Establece los requerimientos para medir el funcionamiento del SGSI.

• La organización debe planear y controlar las operaciones y requerimientos de seguridad

17

Evaluación del desempeño

• Revisiones del estado de los planes de acción para atender no conformidades.

• Identificar, medir la efectividad y desempeño del SGSI mediante auditorías internas y las revisiones.

18

Mejora

• Las no-conformidades identificadas, tienen que contabilizarse y compararse con las acciones correctivas para asegurar que no se repitan y sean efectivas.

• Las medidas preventivas se fusionarán con la evaluación y tratamiento el riesgo.

19

Anexos

• El “Anexo A – Referencia de objetivos y controles” continúa formando parte de este estándar.

• Los anexos “B” y “C” se han eliminado.

• El número de dominios del anexo A aumenta de 11 a 14.

• El numero de controles del anexo A paso de 133 a 114.

20

Estructura de la Norma ISO 27001

Clausula 7 Soporte

Clausula 4 Contexto de la organización

Clausula 5 Liderazgo

Clausula 5 Planificación

Clausula 8 Funcionamiento

Clausula 10 Mejora

Clausula 9 Evaluación del

desempeño

21

Ciclo PDCA en ISO/IEC 27001:2013

22

Principales cambios y mejoras.

23

Sección 3

ISO 27001

• Especifica los requisitos de gestión de un SGSI (Cláusula 4 a 10)

• Los requisitos (cláusulas) son escritos utilizando el verbo "deberán" en imperativo

• Anexo A: 14 cláusulas que contienen 35 objetivos de control y 114 controles

• La organización puede ser certificada en esta norma

24

ISO 27002

• Guía para el código de prácticas para los controles de la seguridad de la información (Documento de referencia)

• Cláusulas escritas utilizando el verbo "debería"

• Compuesto de 14 cláusulas, 35 objetivos de control y 114 controles

• Una organización no puede ser certificada en esta norma

25

Cambios

26

Cambios

27

Documentos

28

Documentos

29

Cambios

30

ISO 27001:2005 ISO 27001:2013

Modelo de transición.

31

Sección 3

Transición

32

Realizar un análisis de brecha entre la norma ISO/IEC 27001:2005 y la ISO/IEC 27001:2013

Se debe iniciar un “Proyecto de Transición”

Información documentada

• La 'Información documentada' es el un nuevo término que se aplica a lo que la versión 2005 denominaba documentos y Registros.

• En la transición a la norma ISO / IEC 27001: 2013, sólo tiene que sustituir el términos documentos y registros con el término documentos de información

• Si desea realizar una distinción se entiende que los documentos son declaraciones de intenciones y los registros son evidencias

33

Política

• Política de Seguridad de la Información en lugar de política del SGSI

• Criterios para la realización de las evaluaciones de riesgos de seguridad de información (véase el numeral 6.1.2 a) 2))

• La política de la organización hacia la liberación de su información, la política de seguridad a las partes interesadas (véase el numeral 5.2 g))

• La política de la organización con respecto a las comunicaciones externas (ver Cláusula 7.4).

34

Evaluación de riesgos

• En contraste con la norma ISO / IEC 27001: 2005, ISO / IEC 27001: 2013 no exige explícitamente la identificación de activos, amenazas y vulnerabilidades, como requisito previo a la identificación de riesgos.

• Utiliza el vocabulario de 31000 (Gestión de riesgos ISO – principios y directrices) y, por tanto, la norma ISO / IEC 27001: 2013 se refiere a consecuencias en lugar de impactos

35

Evaluación de riesgos

• La estructura general de los requisitos (identificar los riesgos, evaluar consecuencias y probabilidades) es el mismo que ISO / IEC 27001: 2005.

• Esto significa que poco o ningún cambio se debe realizar en la evaluación del riesgo / metodología de tratamiento riesgo o su implementación.

36

Términos de referencia para la alta dirección

Un cambio debe ser necesario

para acomodar la especificación de responsabilidades dadas en las Cláusulas 5.1 a) a h).

37

5.1 Liderazgo y compromiso

a) asegurando que la política de seguridad de la información y los objetivos de seguridad de la información son establecidos y compatibles con la dirección estratégica de la organización;

b) asegurando la integración de los requisitos del sistema de gestión de seguridad de la información en los procesos de la organización;

c) asegurando que los recursos necesarios para el sistema de gestión de seguridad de la información estén disponibles;

38

5.1 Liderazgo y compromiso

a) comunicando la importancia de una efectiva gestión de seguridad de la información y en conformidad con los requisitos del sistema de gestión de seguridad de la información;

b) asegurando que el sistema de gestión de seguridad de la información logre su(s) resultado(s) previsto(s);

c) dirigiendo y apoyando a las personas para que contribuyan con la efectividad del sistema de gestión de seguridad de la información;

d) promoviendo la mejora continua; y e) apoyando a otros roles relevantes de

gestión para demostrar su liderazgo tal como se aplica a sus áreas de responsabilidad.

39

Responsabilidades

Se debe acomodar la especificación responsabilidades dadas en las Cláusulas 5.3 a) y b).

40

5.3. Roles, autoridad y responsabilidades organizacionales

a) asegurar que el sistema de

gestión de seguridad de la información esté conforme a los requisitos de este Proyecto de Norma Técnica Peruana; y

a) reportar sobre el desempeño del sistema de gestión de seguridad de la información a la alta dirección.

41

Concientización

Los requisitos de Cláusula 7.4 como el proceso de creación de conciencia puede considerarse como una forma de comunicación.

42

7.4. Comunicación

La organización debe determinar la necesidad de comunicaciones internas y externas relevantes al sistema de gestión de seguridad de la información incluyendo:

a) qué comunicar; b) cuándo comunicar; c) a quién comunicar; d) quién debe comunicar; y e) Los procesos por los cuales la

comunicación debe ser efectuada

43

Preguntas

44

Contacto

45

Maurice Frayssinet Delgado mfrayssinet@gmail.com Rpm #963-985-125 6346000 anexo 118 2197000 anexo 5118

Soporte SGSI: Correo Electrónico: Teléfonos:

ONGEI Oficina Nacional de Gobierno Electrónico e Informática

www.ongei.gob.pe