5 - ntp iso iec 27001-2013
Post on 23-Dec-2015
135 Views
Preview:
DESCRIPTION
TRANSCRIPT
1
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
NTP-ISO/IEC 27001
2013
Ing. Jeler Vásquez
San Borja, Febrero 2015
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
1. Alcance
• En esta sección se establece la obligatoriedad de
cumplir con los requisitos específicos en los capítulos 4
a 10 del documento, para poder obtener la conformidad
de cumplimiento y certificarse.
2
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
2. Referencias normativas
• El estándar ISO-27002 ya no es una referencia
normativa para ISO-27001:2013, aunque continúa
considerándose necesario en el desarrollo de la
declaración de aplicabilidad (SOA, por sus siglas en
inglés).
• El estándar ISO-27000:2013 se convierte en una
referencia normativa obligatoria y única, ya que contine
todos los nuevos términos y definiciones.
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
3. Términos y definiciones
• Los términos y definiciones se encuentran en la sección
3 de ISO-27003:2013 “Fundamentos y vocabulario”.
3
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
4
CONTEXTO DE LA ORGANIZACIÓN
4.1
Comprensión de la organización y su
contexto
4.2
Comprensión de las necesidades y
expectativas de las partes
4.3
Determinación del alcance del sistema de gestión de seguridad de
la información
4. Contexto de la organización
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
4. Contexto de la organización
• Esta cláusula hace hincapié en identificar los problemas
externos e internos que rodean a la organización.
• Instituye los requerimientos para definir el contexto del
SGSI sin importar el tipo de organización y su alcance.
• Introduce una nueva figura “las partes interesadas”
como un elemento primordial para la definición del
alcance del SGSI.
• Establece la prioridad de identificar y definir formalmente
las necesidades de las partes interesadas con relación a
la seguridad del SGSI, pues esto determinara las
políticas de seguridad de la información y los objetivos
a seguir para el proceso de gestión de riesgos.
4
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
5
LIDERAZGO
5.1
Liderazgo y compromiso
5.2
Política 5.3
Roles, autoridad y responsabilidades organizacionales
5. Liderazgo
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
5. Liderazgo
Ajusta la relación y responsabilidades de la Alta Dirección
respecto al SGSI, destacando de manera puntual cómo
debe demostrar su compromiso, por ejemplo:
• Garantizando que los objetivos del SGSI y ”La política
de seguridad de la información”, estén alineados con los
objetivos del negocio.
• Garantizando la disponibilidad de los recursos para la
implementación del SGSI (económicos, tecnológicos,
etc.).
• Garantizando que los roles y responsabilidades claves
para la seguridad de la información se asignen y se
comuniquen adecuadamente.
5
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
6
PLANIFICACIÓN
6.1
Acciones para atender los riesgos y las oportunidades
6.1.1
Generalidades
6.1.2
Evaluación de riesgos de seguridad de la información
6.1.3
Información de tratamiento de riesgos de seguridad
6.2
Objetivos de seguridad de la información y planes para
alcanzarlos
6. Planificación
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
6. Planificación
Esta sección esta enfocada en la definición de los objetivos
de seguridad como un todo, los cuales deben ser claros y
se debe contar con planes específicos para alcanzarlos.
• El proceso para la evaluación de riesgos se enfoca en el
objetivo de identificar los riesgos asociados con la perdida de
la confidencialidad, integridad y disponibilidad.
• El nivel de riesgo se determina con base en la probabilidad
de ocurrencia del riesgo y las consecuencias generales
(impacto), si el riesgo se materializa.
• Los activos, vulnerabilidades y amenazas se requieren para
identificar los riesgos asociados con la confidencialidad,
integridad y disponibilidad.
6
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
7
SOPORTE
7.1
Recursos 7.2
Competencias
7.3
Concientización
7.4
Comunicación
7.5
Información a documentar
7.5.1
Generalidades
7.5.2
Creación y actualización
7.5.3
Control de la información
documentada
7. Soporte
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
7. Soporte
Marca los requerimientos de soporte para el
establecimiento, implementación y mejora del SGSI, que
incluye:
• Recursos
• Personal competente
• Conciencia y comunicación de las partes interesadas
– Información documentada: abarca el proceso de documentar,
controlar, mantener y conservar la documentación
correspondiente al SGSI.
– El proceso de revisión se enfoca en el contenido d elos
documentos y no en la existencia de un determinado conjunto
de estos.
7
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
8
OPERACIÓN
8.1
Planificación y control operacional
8.2
Evaluación del riesgo de seguridad de información
8.3
Información de tratamiento de riesgos de seguridad
8. Operación
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
8. Operación
Establece los requerimientos para medir el funcionamiento
del SGSI, las expectativas de la Alta Dirección y su
realimentación sobre estas, así como el cumplimiento con
el del estándar.
Además, plantea que la organización debe planear y
controlar las operaciones y requerimientos de seguridad,
erigiendo como el pilar de este proceso la ejecución de
evaluaciones de riesgos de seguridad de la información de
manera periódica por medio de un programa previamente
elegido.
8
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
9
EVALUACIÓN DEL DESEMPEÑO
9.1
Monitoreo, medición, análisis y evaluación
9.2
Auditoría interna
9.3
Revisión gerencial
9. Evaluación del desempeño
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
9. Evaluación del desempeño
La base para identificar y medir la efectividad y desempeño
del SGSI son las auditorías internas y las revisiones del
SGSI.
Se debe considerar para estas revisiones el estado de los
planes de acción para atender no conformidades
anteriores y se establece la necesidad de definir quién y
cuándo se deben realizar estas evaluaciones así como
quién debe analizar la información recolectada.
9
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
10
MEJORAMIENTO
10.1
No conformidad y acciones correctivas 10.2
Mejoramiento continuó
10. Mejoramiento
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
10. Mejoramiento
El principal elemento del proceso de mejora son las no
conformidades identificadas, las cuales tienen que
contabilizarse y compararse con las acciones correctivas
para asegurar que no se repitan y que las acciones
correctivas sean efectivas.
10
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Ciclo PDCA en
ISO/IEC
27001:2013
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Fases del ciclo Deming
PLAN
Contexto de la
organización
• Entendimiento de la organización y su
contexto
• Expectativas de las partes interesadas
• Alcance del SGSI
Liderazgo
• Liderazgo y compromiso de la Alta Dirección
• Políticas
• Organización de los roles, responsabilidades
y autoridades
Planeación • Cómo abordar riesgos y oportunidades
Soporte
• Recursos
• Competencias
• Conciencia
• Comunicación
• Información
documentada
11
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Fases del ciclo Deming
DO Operación
• Evaluación de riesgos de la seguridad de
la información
• Manejo de riesgos de la seguridad de la
información
CHECK Evaluación del
desempeño
• Monitoreo y auditorias internas
• Revisión de la Alta Dirección
ACT Mejora • Ejecutar acciones correctivas
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Proceso pre-implementación
12
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Estructura de Gobierno del SGSI
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Política de Seguridad
• Debe tener el marco general y los objetivos de
seguridad de la información de la organización
• Debe explicar los requisitos de negocio, legales y
contractuales en cuanto a seguridad
• Debe de estar alineada con la gestión de riesgo general,
establecer criterios de evaluación de riesgo y ser
aprobada por la Dirección.
• La política de seguridad es un documento muy general,
una especie de "declaración e intenciones" de la
Dirección, por lo que no pasará de dos o tres páginas.
13
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Tipos de Políticas
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Estructura de una Política
• Resumen
• Introducción
• Ámbito de aplicación
• Objetivos
• Principios
• Responsabilidades
• Resultados importantes
• Políticas relacionadas
• Definiciones
• Sanciones
14
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
¿Qué documentos y registros son
necesarios?
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Documentos Cláusula
Alcance del SGSI 4.3
Políticas y objetivos de seguridad de la información 5.2, 6.2
Metodología de evaluación y tratamiento de riesgos 6.1.2
Declaración de aplicabilidad 6.1.3 d)
Plan de tratamiento del riesgo 6.1.3 e), 6.2
Informe de evaluación de riesgos 8.2
Definición de funciones y responsabilidades de seguridad A.7.1.2, A.13.2.4
Inventario de activos A.8.1.1
Uso aceptable de los activos A.8.1.3
Política de control de acceso A.9.1
Procedimientos operativos para gestión de TI A.12.1.1
Principios de ingeniería para sistema seguro A.14.2.5
Política de seguridad para proveedores A.15.1.1
Procedimientos para gestión de incidentes A.16.1.5
Procedimientos de la continuidad del negocio A.17.1.2
Requisitos legales, normativos y contractuales A.18.1.1
15
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Registros Cláusula
Registros de capacitación, habilidades, experiencia y calificaciones 7.2
Resultados de supervisión y medición 9.1
Programa de auditoría interna 9.2
Resultados de las auditorías internas 9.2
Resultados de la revisión por parte de la dirección 9.3
Resultados de acciones correctivas 10.1
Registros sobre actividades de los usuarios, excepciones y eventos
de seguridad
A.12.4.1, A.12.4.3
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Proceso de Evaluación del Riesgo
16
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Proceso del
Ejercicio de
Evaluación del
Riesgo
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Metodologías para la Evaluación del
Riesgo • Magerit (España)
• Octave (EE.UU.)
• Cramm (Reino Unido)
• Microsoft (EE.UU.)
• Tra (Canada)
• Nist 800-30 (EE.UU.)
• Ebios (Francia)
• Mehari (Francia)
17
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Inventario de Activos
• Todos aquellos activos de información que tienen algún
valor para la organización y que quedan dentro del
alcance del SGSI
• Se debe inventariar el nombre activo, tipo, responsable y
ubicación como campos mínimos.
• Se debe realizar la dependencia de activos.
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Tasación de los Activos ACTIVOS DE
INFORMACIÓN
CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD TOTAL VALORI
ZACIÓN
A 2 4 3 3.00 Medio
B 2 4 3 3.00 Medio
C 4 4 2 3.33 Alto
ESCALA VALORIZACIÓN OTRA POSIBLE DEFINICIÓN
1 Muy Bajo (MB) Afecta a unos activos
2 Bajo (B)
3 Medio (M)
4 Alto (A)
5 Muy Alto (MA) Paraliza la empresa
Tabla de impacto
18
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Dispersión del Riesgo
Análisis y Evaluación del Riesgo
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Análisis y Evaluación del Riesgo
19
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Opciones del Tratamiento del Riesgo
Decisión Descripción
Reducción Mitigar el riesgo por controles
Aceptación Aceptar el riesgo y vivir con las
consecuencia
Transferir Opción cuando para la empresa es
difícil reducir o controlar el riesgo a un
nivel aceptable
Evitar Opción orientada a cambiar las
actividades o la manera de
desempeñar una actividad comercial
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Análisis y Evaluación del Riesgo
ACTIVO AMENAZA IMPACTO DE LA
AMENAZA
PROBABILIDAD
DE OCURRENCIA
MEDICIÓN DEL
RIESGO
PRIORIZACIÓN
Software
Sistema
Operativo
Errores de Código 2
4
3
5 20 3
Errores de
Administración
3 4
Infección de
malware
4 4
Falta de seguridad 4 5
Sistema de
Ventas
Fallos por las
actualizaciones
3
3
5
5 15 5
Errores de usuario 2 2
Base de Datos Perdida de
información
5
5
3
5 25 1 Lentitud de
procesos
5 5
20
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Análisis y Evaluación del Riesgo
ACTIVO AMENAZA IMPACTO DE LA
AMENAZA
PROBABILIDAD
DE OCURRENCIA
MEDICIÓN DEL
RIESGO
PRIORIZACIÓN
Hardware
Servidor APPS Fallos técnicos 3
5
2
5 25 2 Perdida de datos 3 3
Fallos de hardware 3 3
Falta de seguridad 5 5
Servidor Firewall Fallos técnicos 3
5
3
3 15 6
Fallos de hardware 3 3
Falta de seguridad 5 3
Errores de
configuración
5 3
Estaciones de
trabajo
Fallos de hardware 2
3
2
3 9 8 Errores de usuario 2 2
Falta de seguridad 3 3
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Declaración de Aplicabilidad
Objetivos de control Controles
Aplicabilidad Justificación
Sí No
A.5.1
Política de seguridad de la
información
A.5.1.1
A.5.1.2
Sí No
Sí No
Es necesario establecer las políticas de seguridad
del Sistema de Ventas (servidores, base de datos,
personal, etc.), ya que aquí se tiene el total de
información del Área de Ventas de la empresa.
Es necesario revisar periódicamente las políticas de
seguridad del Sistema de Ventas, para asegurar
que se mantengan adecuadas.
A.6.1
Organización interna
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1.4
A.6.1.5
A.6.1.6
A.6.1.7
A.6.1.8
Sí No
Sí No
Sí No
Sí No
Sí No
Sí No
Sí No
Sí No
Es necesario tener políticas y controles para el
manejo de la seguridad de la información dentro de
la organización.
A.6.2
Partes externas
A.6.2.1
A.6.2.2
A.6.2.3
Sí No
Sí No
Sí No
Es necesario establecer requerimiento de seguridad
porque el sistema ERP tiene asistencia técnica por
terceros.
A.7.1
Responsabilidad por ,los
activos
A.7.1.1
A.7.1.2
A.7.1.3
Sí No
Sí No
Sí No
Es necesario tener políticas y controles para
mantener la protección apropiada de los activos
organizacionales.
21
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Declaración de Aplicabilidad
Objetivos de control Controles
Aplicabilidad Justificación
Sí No
A.5.1
Política de seguridad de la
información
A.5.1.1
A.5.1.2
Sí No
Sí No
Es necesario establecer las políticas de seguridad
del Sistema de Ventas (servidores, base de datos,
personal, etc.), ya que aquí se tiene el total de
información del Área de Ventas de la empresa.
Es necesario revisar periódicamente las políticas de
seguridad del Sistema de Ventas, para asegurar
que se mantengan adecuadas.
A.6.1
Organización interna
A.6.1.1
A.6.1.2
A.6.1.3
A.6.1.4
A.6.1.5
A.6.1.6
A.6.1.7
A.6.1.8
Sí No
Sí No
Sí No
Sí No
Sí No
Sí No
Sí No
Sí No
Es necesario tener políticas y controles para el
manejo de la seguridad de la información dentro de
la organización.
A.6.2
Partes externas
A.6.2.1
A.6.2.2
A.6.2.3
Sí No
Sí No
Sí No
Es necesario establecer requerimiento de seguridad
porque el sistema ERP tiene asistencia técnica por
terceros.
A.7.1
Responsabilidad por ,los
activos
A.7.1.1
A.7.1.2
A.7.1.3
Sí No
Sí No
Sí No
Es necesario tener políticas y controles para
mantener la protección apropiada de los activos
organizacionales.
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
Proceso de Auditoría Interna
22
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
¿Cómo implementar ISO 27001?
Para implementar la norma ISO 27001 en una empresa,
usted tiene que seguir estos 16 pasos:
1) Obtener el apoyo de la dirección
2) Utilizar una metodología para gestión de proyectos
3) Definir el alcance del SGSI
4) Redactar una política de alto nivel sobre seguridad de la información
5) Definir la metodología de evaluación de riesgos
6) Realizar la evaluación y el tratamiento de riesgos
7) Redactar la Declaración de aplicabilidad
8) Redactar el Plan de tratamiento de riesgos
9) Definir la forma de medir la efectividad de sus controles y de su
SGSI
Instituto Nacional de Investigación y Capacitación de Telecomunicaciones
UNIVERSIDAD NACIONAL DE INGENIERÍA
¿Cómo implementar ISO 27001?
11) Implementar programas de capacitación y concienciación
12) Realizar todas las operaciones diarias establecidas en la
documentación de su SGSI
13) Monitorear y medir su SGSI
14) Realizar la auditoría interna
15) Realizar la revisión por parte de la dirección
16) Implementar medidas correctivas
top related