seguridad: norma iso27001

SEGURIDAD:NormaISO27001.Mejoresprác=casactualesenseguridaddela

información.Polí=casytecnologíasquecontrolanelacceso,evitanlapérdidadeinformaciónopermitenlarecuperación

delamisma

MarioFernandoMorenoÁlvarez

Bogotá22deFebrerode2010

•  SeguridaddelaInformación–ISO27001•  Problemá=cadeSeguridad

•  Riesgosenlainformación

•  QuéesSeguridaddelaInformación

•  ModeloISO/IEC27001

•  PlanesdeCon=nuidaddeNegocio(BCP)•  Preguntas

3

 Aceleradodesarrolloeimplantaciónde

tecnologías,denominadas(TICs.)

 Can=dadesenormesdeinformación

(Internet,LAN’s,WAN’s)

 EscasaseguridadquehuboenlosorígenesdelboomdeInternet

 Interconexiónatodonivel(PDA,Laptops,netbook,

notebook,celulares,smartphones)

4

 Accesonoautorizadoadocumentos.

 Perdidadeintegridad,confidencialidadydisponibilidaddelosdocumentos

 Inadecuadomanejodocumental.

(CopiasdeRespaldo)

 Hackers,Crackers,Phreakers,delincuenteinformá=co

 Interconexiónatodonivel

5

ESTAFAS EN INTERNET

El.phishing.yapescaentodoAméricaDetectaroncasosqueafectaronanumerosasempresasyalosclientesdebancosestadounidensesydelrestodeAmérica.

6

Nuevatécnicadefraudeinformá=co:elpharming

LosusuariosdeInternet=enenunmo=vomásparaestaralertas.Mientrasenlosúl=mosseismesesde2004crecierondemanera

exponenciallosataquesde“phishing”,unatécnicapararobardatosconfidencialesdelaPC,lascompañíasinternacionalesdeseguridadinformá=cahanreveladounaamenazahastaahoradesconocida:el

pharming.

7

Riesgos globales

En su Informe sobre Seguridad y Amenazas en Internet, Symantec señaló que el “phishing” es una amenaza no solamente para consumidores, sino también para compañías de E-commerce e instituciones financieras que operan a través de Internet.

“Si los consumidores pierden su confianza en la seguridad de las transacciones, los negocios y las organizaciones que operan en Internet pueden sufrir serias pérdidas financieras”.

8

Noticias : •  El oscuro negocio de los virus (14.03.05)

•  ¡Cuidado!, se ha colado un espía en su PC (03.03.05)

•  ‘Phishing’, el arte de engañar incautos en la banca electrónica (09.03.05)

•  La banca española se une contra el timo en línea (17.02.05)

•  Un fallo informático descubre los datos de 650.000 clientes de Abbey Bank (10.11.04)

• ‘Phishing’: páginas web falsas para robar datos (27.09.04)

• La seguridad de las transacciones digitales requiere un pacto entre técnicos y juristas (24.06.04)

• El 'phishing' afecta a millones de internautas y reduce su confianza en la banca 'on line' (12.05.04)

• Un “hacker” quinceañero comete una gran estafa por Internet (05.05.04)

9

10

NEGOCIOS

Unanuevafiebre“enferma”alasempresasdetodoelmundo:laseguridaddelainformación

Lages=óndelaspolí=casdeseguridaddelainformaciónobsesionaamilesdeempresasdetodoelmundo.Ahora,yano

seconformanconcontrolarlosdatoscirculantes;tambiénquierenahorrarmillones.

11

 NoexistelaverdadabsolutaenSeguridadInformá=ca.

 Noesposibleeliminartodoslosriesgos.

 LaDirecciónestáconvencidadequelaSeguridadInformá=canohacealnegociodelacompañía.

 Cadavezlosriesgosyelimpactoenlosnegociossonmayores.

12

CapturadelPCdesdeelexteriorViolacióndee-mailsViolacióndecontraseñasInterrupcióndelosserviciosIntercepciónymodificacióndee-mailsVirusFraudesinformáticosIncumplimientodeleyesyregulacionesRobooextravíodenotebooksempleadosdeshonestosRobodeinformación

DestruccióndesoportesdocumentalesAccesoclandestinoaredesIntercepcióndecomunicacionesDestrucciónde

equipamientoProgramasbomba.AccesoindebidoadocumentosimpresosSoftwareilegalAgujerosdeseguridadderedesconectadasFalsificacióndeinformaciónparaterceros

IndisponibilidaddeinformaciónclaveSpamming Violación

delaprivacidaddelosempleadosIngenieríasocialAccesonoautorizadoainstalaciones

13

Enestaclasedeproblemasesdificil:

 Darsecuentadeestosriesgoshastaquepasan Cuan=ficarsuspérdidas.¿cuántolecuestaalacompañíanotenerserviciosderedporvariashoras?

 Cualessonlosefectosdirectosenlasorganizaciones,ycomomeafectan?

14

Debemos controlar Los riesgos de información en

nuestras organizaciones y

negocios

15

Ac=vosdeinformación

SistemadeGes=óndela

SeguridaddelaInformación

Ac=vosFísicos

SeguridadFísica

PH

V

A

PART

ESIN

TERE

SADAS

PART

ESIN

TERE

SADAS

ENTRADAA

ENTRADAB

PROCESOA

PROCESOB

PROCESOC

PROCESOF

PROCESOD

PROCESOE

ENTRADAESALIDAE

ENTRADAD

SALIDAC

ENTRADAC

SALIDAA

SALIDAB

CLIENTEEXTERNO

CLIENTEEXTERNO

ENTRADAF SALIDAF

RETROALIMENTACIÓN

SALIDADA HP

V

A HP

V

A HP

V

A HP

V

A HP

V

A HP

V

16

Laseguridaddelainformaciónconsisteenprocesosycontrolesdiseñadosparaprotegerlainformacióndesudivulgaciónnoautorizada,transferencia,modificaciónodestrucción,ycomoconsecuencia:

–asegurarlacon=nuidaddelnegocio;

–minimizarposiblesdañosalnegocio;

–maximizaroportunidadesdenegocios.

Lainformaciónesunac=vo,quecomocualquierotrodentrolasorganizaciones,=enevaloryrequieredeunaprotecciónadecuada

17

Lainformaciónsepuedeencontraren:

Impresaoescritaenpapel

Almacenadaelectrónicamente

Trasmi=daporcorreoomedioselectrónicos

Filmes,filminas,fotograras

Habladaenconversación

18

• Informa=onSystemsandAuditControlAssocia=on‐ISACA:COBIT

• Bri=shStandardsIns=tute:BS

• Interna=onalStandardsOrganiza=on:NormasISO

• DepartamentodeDefensadeUSA:OrangeBook/CommonCriteria

• ITSEC.Informa=onTechnologySecurityEvalua=onCriteria:WhiteBook

• SansIns=tute,SecurityFocus,etc• SarbanesOxleyAct,BasileaII,HIPAAAct,(LeyesNACIONALES)• OSSTMM,ISM3,ISO17799:2005,ISO27001

19

LasNormasISOsonlasmas

aceptadasanivelmundial,yen

cues=óndeseguridaddela

informaciónexistendosreferentes:

GESTIÓNDELASEGURIDADDELAINFORMACION

ISO/IEC27001

ISO/IEC27002

20

21

Códigodeprác=ca

NormaBS7799

Revisiónpartes1y2

ISO/IEC17799

BS7799parte2

BS7799‐2:2002

FamilianormasISO/IEC27000

ISO/IEC17799‐ISO/IEC27002

1993

1995

1998

1999

2000

2002

2005

2005ISO/IEC27001

FamiliaISO/IEC27000

–ISO/IEC27001SistemadeGes=óndeSeguridaddelaInformación

–ISO/IEC27002(Ex‐ISO/IEC17799)

–ISO/IEC27000Fundamentosyvocabulario.

–ISO/IEC27005Ges=ónderiesgosdelaSeguridaddelainformación.

Enproceso…

–ISO/IEC27003DirectricesparalaimplementacióndeunSGSI.

–ISO/IEC27004MétricasparalaSGSI.

–ISO/IEC27006Requisitosparalaacreditacióndelasorganizacionesqueproporcionanlacer=ficacióndelosSGSI

22

• ISO9001.Calidad• ISO14001.Ambiental

• ISO18001.SeguridadySaludOcupacional

23

• ISO/IEC27002.Códigodeprac=caparalages=óndelaSeguridaddelaInformación.(MejoresPrác=cas)

• ISO/IEC27001.SistemadeGes=óndelaSeguridaddelaInformación.Requisitos.(Cer=ficable)

24

EstructuradelanormaISO27001

Introducción.

Objeto.

Referenciasnorma=vas.

Términosydefiniciones.

Sistemadeges=óndelaseguridaddelainformación.

Responsabilidaddeladirección.

AuditoríasinternasdelSGSI.

RevisióndelSGSIporladirección.

MejoradelSGSI.

1

2

3

4

5

6

7

Anexos:

A.(Norma=vo)Obje=vosdecontrolycontroles.

B.PrincipiosdelaOCDEydeestanormainternacional.

C.CorrespondenciaentreISO9001,ISO14001eISO27001.

0

8

SEGURIDADDELAINFORMACIÓN:preservacióndelaconfidencialidad,integridad

ydisponibilidaddelainformación.(ISO27001numeral3.13)

SGSI

Confidencialidad

Integridad Disponibilidad

25

Confidencialidad

Integridad

Disponibilidad

propiedadquedeterminaquelainformaciónnoestédisponibleni sea revelada a individuos, en=dades o procesos noautorizados.

propiedaddesalvaguardarlaexac=tudyestadocompletodelosac=vos

propiedaddequelainformaciónseaaccesibleyu=lizableporsolicituddeunaen=dadautorizada.

26

EstablecerelSGSI

,

HacerseguimientoyrevisarelSGSI Salida

P

Implementaryoperarel

SGSIH

V

Mantenerymejorarel

SGSIA

Entrada

PartesInteresadas

Requ

isito

syexpe

cta=

vasde

seguridad

delainform

ación.

Seguridadde

lainform

aciónges=on

ada.

PartesInteresadas

Ciclodedesarrollo,implementaciónmantenimientoymejora

Documentación27

PartesInteresadas

•Establecerlapolí/cadeseguridad,metas,obje/vos,procesosyprocedimientosrelevantesparamanejarlosriesgosdelnegocioymejorarlaseguridaddelainformaciónparagenerarresultadosdeacuerdoconunapolí/cayobje/vosmarcodelaorganización.

•DefinirelalcancedelSGSIentérminosdelascaracterís=casnegocio.

–Seamosconsistenteconlosobje=vos.

•DefinirlaPolí=cadeSeguridad.

•Definirelenfoqueorganizacionalparala

valoracióndelriesgo.

28

PartesInteresadas

29

PlaneacióndelSGSIPartesInteresadas

(mi=gar,eliminar,transferir,aceptar)

‐ Seleccionarobje=vosdecontrolycontrolesparaeltratamientodelriesgo(Mi=gar)

‐ Envirtuddelresultadodelanálisisderiesgos,considerandoasuvezlosrequisitoslegalesyregulatorios.

‐AparMrdelos39objeMvosdecontroly133controlesdefinidosporlaISO/IEC27002

‐ Establecerenunciadodeaplicabilidad–Selecciónonodecadaunodeloscontrolesyexplicación.

30

‐Iden=ficar,analizaryevaluarlosriesgos

‐ Iden=ficaryevaluarlasopcionesdetratamientoderiesgos

31

AnexoA.Obje=vosycontroles

11ÁREASODOMINIOSDECONTROL

39OBJETIVOSDECONTROL

133CONTROLES

32

Dominiosdecontrol

Seguridadorganizacional.

Seguridadlógica.

Seguridadrsica.

Seguridadlegal.

Opera=vo

Tác=co

Estratégico Polí=cadeseguridad

Organizacióndelaseguridaddelainformación

Ges=óndeac=vos

Controldeacceso

Seguridaddelosrecursoshumanos

Seguridadrsicaydelentorno

Ges=óndelacon=nuidaddelnegocio

Adquisición,desarrolloymantenimientodeSistemas

Ges=óndecomunicacionesyoperaciones

Cumplimiento

Ges=óndeincidentesdeSeguridad

Implementaryoperarlapolí/cadeseguridad,controles,procesosyprocedimientos.

–Tipsparaunaimplementaciónexitosa.

•Implementarplandetratamientoderiesgos.

(Transferir,Eliminar,Aceptar,Mi=gar.)

•ImplementarprogramasdeCapacitaciónyconcien=zación

–Tipsparaeléxitodelseguimientoylamejora.

•Implementarprocedimientosycontrolesdedetecciónyrespuestaa

incidentes.

–Tipsparaeléxitodelseguimientoylamejora.

•Implementarindicadoresparamedirlaeficaciadeloscontroles.

33

Evaluarymedirlaperformancedelosprocesoscontralapolí/cadeseguridad,losobje/vosyexperienciaprac/cayreportarlosresultadosaladirecciónparasurevisión.

• Revisarelnivelderiesgoresidualaceptable,considerandoloscambiosenelentorno.

• Auditoriasinternas.• RevisionesporpartedelaDirección

34

Elcontarconunconjuntoadecuadodeindicadores,

asociadosalosobje=vosycontrolesdeseguridad

definidoseimplementadosescrí=coparaeladecuado

seguimientoymejoracon=nuadelSGSI.

35

Tomaraccionescorrec/vasypreven/vas,basadasenlosresultadosdelarevisióndeladirección,paralograrlamejoracon/nuadel

SGSI.

• Iden=ficarmejorasenelSGSIafindeimplementarlas.

• Tomarlasaccionesapropiadas(preven=vasycorrec=vas).

• Comunicarlosresultadosylasaccionesaemprender,yconsultarcontodaslaspartes

involucradas.

• RevisarelSGSIdondeseanecesarioimplementandolasaccionesseleccionadas.

36

LosplanesdeCon,nuidaddeNegocioabarcantantolosplanesderecuperacióndeDesastres(DRP),comolaplaneaciónparaelrestablecimientodelnegocio.

DRP‐DisasterRecoveryPlan

Esunprocesoderecuperaciónquecubrelosdatos,elhardwareyel

sowwarecrí=co,paraqueunnegociopuedacomenzardenuevosus

operacionesencasodeundesastrenaturalocausadoporhumanos

37

38

39

Polí=cas,obje=vosyac=vidadesdeseguridaddelainformaciónquereflejenlosobje=vosdelnegocio;

unenfoqueyunmarcodetrabajoparaimplementar,mantener,monitorearymejorarlaseguridad,queseanconsistentesconlaculturadelaorganización;

soporteycompromisovisiblesentodoslosnivelesdelaorganización;

unabuenacomprensióndelosrequisitosdelaseguridaddelainformación,delaevaluaciónderiesgosydelages=óndelriesgo;

mercadeoeficazdelaseguridaddelainformaciónparatodoslosdirectores,empleadosyotraspartesparalograrlaconcien=zación;;

distribucióndeguíassobrelapolí=caylasnormasdeseguridaddelainformaciónatodoslosempleadosycontra=stas;

provisióndefondosparalasac=vidadesdeges=óndelaseguridaddelainformación;

formación,educaciónyconcien=zaciónadecuadas;

establecimientodeunprocesoeficazparalages=óndelosincidentesdelaseguridaddelainformación;

unsistemademedicióncompletoybalanceadoqueseu=liceparaevaluareldesempeñoenlages=óndelaseguridaddelainformaciónyretroalimentarsugerenciasparalamejora.

B

A

C

D

E

F

G

H

40

Factorescrí=cosdeéxito

I

J

Establecimientodeunametodologíadeges=óndelaseguridadclarayestructurada

Reduccióndelriesgodepérdida,roboocorrupcióndeinformación

Losclientes=enenaccesoalainformaciónatravésdemedidasdeseguridad

Losriesgosysuscontrolessoncon=nuamenterevisados

Confianzadeclientesysociosestratégicosporlagaranzadecalidadyconfidencialidadcomercial

Lasauditoríasexternasayudanclínicamenteaiden=ficarlasdebilidadesdelsistemaylasáreasamejorar

Posibilidaddeintegrarseconotrossistemasdeges=ón(ISO9001,ISO14001,OHSAS18001..)

B

A

C

D

E

F

G

41

BeneficiosdelSGSI

Con=nuidaddelasoperacionesnecesariasdenegociotrasincidentesdegravedad

Conformidadconlalegislaciónvigentesobreinformaciónpersonal,propiedadintelectualyotras

Imagendeempresaanivelinternacionalyelementodiferenciadordelacompetencia

Confianzayreglasclarasparalaspersonasdelaorganización

Reduccióndecostosymejoradelosprocesosyservicio

Aumentodelamo=vaciónysa=sfaccióndelpersonal

Aumentodelaseguridadenbasealages=óndeprocesosenvezdeenlacomprasistemá=cadeproductosytecnologías

42

BeneficiosdelSGSI

H

I

j

k

l

m

n

LosDocumentosenformatoPDF,permitenelintercambio,seguridadyconfiabilidaddelainformación 43

Seguridadene‐Document

Permitenotorgarcontrolesdeacceso,paracada=podeusuario

44

Seguridadene‐Document

Lasfirmasdigitalesnospermitengaran=zarlaiden=daddeunapersonaodeunequipoenlatransmisióndemensajesy

documentos,conelusodemétodocriptográficos

45

Seguridadene‐Document

LosE‐bookspermitendarseguridadsobrelacopiadedocumentosyorigendelcompradoryusuario

46

Seguridadene‐Document

Conclusiones:•  Losriesgosenlainformacióncambianconstantementeylamaneracomolosges=onemosycontrolemos,garan=zarásuprotecciónyconservaciónadecuada.

•  Esimportartedefinircontrolesdeseguridadconbaseenlasamenazassuprobabilidaddeocurrenciaeimpacto

Reseñabibliográficarecomendada:

•  ISO/IEC270001SistemadeGes=óndeSeguridaddelainformación.

•  ISO/IEC27001CódigodePrác=caparalaSeguridaddelaInformación

¿Preguntas?