cómo afrontar con éxito la certificación iso 27001:2005 · cómo afrontar con éxito la...

Juan Carlos Serrano AntónResponsable Técnico de Esquema

Lead Auditor ISO 27001, ISO 20000, ISO 9001

Cómo afrontar con éxito la Certif icación ISO 27001:2005

Valencia, octubre 2010

http://www.pdfcomplete.com/cms/hppl/tabid/108/Default.aspx?r=q8b3uige22

Conceptos y Definiciones de Seguridad de la Información


3Bureau Veritas Certification mayo 2010

► ACTIVO: Recurso del sistema de información o relacionado conéste, necesario para que la organización funcione correctamente yalcance los objetivos propuestos por su dirección.

► AMENAZA: Evento que uede desencadenar un incidente en laorganización,produciendo daños o pérdidas materiales oinmateriales en sus activos.

► RIESGO: Posibilidad de que una amenaza se materialice.

► IMPACTO: Consecuencia sobre un activo de la materialización deuna amenaza.

► CONTROL: Práctica, procedimiento o mecanismo que reduce elnivel de riesgo.

Conceptos de Seguridad



Seguridad Informática.Son medidas encaminadas a proteger el hard, soft ycomunicaciones de los equipos informáticos. NO gestiona

Contempla aspectos:

• Físicos (instalaciones)

• Telecomunicaciones (protocolos seguros, encriptación,firewall)

• De acceso al sistema.

• Copias de Seguridad

• No las personas, No los contratos, No clasifica lainformación

• …




Seguridad de la información.Son medidas encaminadas a proteger la información ,independientemente del soporte en el que se encuentre, contracualquier amenaza, de tal manera que podamos asegurar lacontinuidad de las actividades de la empresa, minimizar el perjuicioque se pudiera causar y maximizar el rendimiento del capitalinvertido.

Se caracteriza por preservar:

• Confidencialidad

• Integridad

• Disponibilidad



El grupo de normas de la seguridad de la Inf ormaciónISO 27000



1989 1990(Fast Track)

Revisión periódica(5 años)

Código de prácticas

para usuarios Centro de

Seguridad de Informática

Comercial del Reino Unido(CCSC/DTI)

BS 7799ISO/IEC 17799

:2000ISO/IEC 17799

:2005

PD0003Código de prácticas

para la gestión de la seguridad de

la información

Normal Internacional

Revisión y acercamiento a:• ISO 9001• ISO 14000

BS 7799-2 :2002

BS 7799-2

Revisión conjunta de las

partes 1 y 2

BS 7799-2 :1999

ISO/IEC 27001 :2005

1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007

Certificable

ISO/IEC 27002 :2007

Historia de la Normas

BS 7799-1 :1999



Normas

La serie ISO 27000

q ISO 27000. Fundamentos y vocabulario

q ISO 27001:2005. Requisitos de los Sistemas de Gestión de Seguridadde la Información

q ISO 27002:2007. Buenas prácticas para la Gestión de Seguridad de laInformación . (Anterior ISO 17799:2005)

q ISO 27003:2010. Guía de implantación de un SGSI

q ISO 27004:2009. Métricas e indicadores de eficiencia y efectividad delos controles

q ISO 27005. Gestión del riesgo en Seguridad de la información (BS-7799:3)

q ISO 27006:2007 Requisitos de acreditación de las entidades decertificación de SGSI



La serie ISO 27000.► ISO/FDIC 27799 – Informática de la Salud – Gestión de seguridad de la

información en la SALUD usando la la ISO/IEC 27002

► ISO/IEC 27011 – Buenas prácticas para la gestión de seguridad de lainformación en la TELECOMUNICACIONES

Normas


Elementos de Éxitoen la Seguridad de la Inf ormación



Para que un SGSI, al igual que en todos losSistemas de Gestión, tenga éxito se haceimprescindible considerar

l la formación inicial y continua de todo el personaly,

l la importancia de contar con el apoyo de laDirección

El éxito en la 27001:2005



Ø Participación activa de la Dirección.Comité de seguridad, etc.

Ø Formación y mentalización del personal.No sólo en la implantación inicial sinotambién en el mantenimiento y laidentificación de nuevos riesgos a gestionar

Ø Mejora continua. Adaptación a la evoluciónde los sistemas y sus amenazas. Aprendizajede los errores propios o ajenos.

Ø Mantenimiento del SGSI. Poner medios(personal, material, tiempo)

Las Claves del éxito en la 27001:2005



Ø La gestión del riesgo. Debe estar presenteen todas las actividades de la organización,de manera que los riesgos se tengan encuenta a lo largo del desarrollo de cualquierproyecto

Ø Los controles. Deben ser acordes a lascaracterísticas de los riesgos y de la laorganización

Ø La certificación no debe plantearse como unobjetivo de la seguridad, sino como unaprueba o acreditación al trabajo bien hecho

Ø Existencia de otros Sistemas de Gestióncomo UNE ISO/IEC 9001:2000. Simplifica yagiliza la implantación

Las Claves del éxito en la 27001:2005



Éxito en la prácticaØ Política, objetivos y actividades que reflejen los objetivos del

negocio de la organización;

Ø Cultura de la Organización. Un enfoque para implantar laseguridad que sea consistente;

Ø Alta Gerencia y su apoyo visible y compromiso;

Ø Conocimient o y buena comprensión de los requisitos de laseguridad, de la evaluación del riesgo y de la gestión del riesgo;

Ø Convencer de la necesidad de la seguridad a todos los directivos yempleados;

Las Claves en la práctica



Éxito en la prácticaØ Guías sobre la política de seguridad de la información de la

organización y de normas a todos los empleados y contratistas;

Ø Formación y capacitación adecuadas;

Ø Integración y equilibrio . Seleccionar indicadores que permitanevaluar el rendimiento de la gestión de la seguridad de lainformación y sugerir mejoras.

Las Claves en la práctica


La Proporcionalidad del Análisis deRiesgo en la ISO 27001



Enfoque de la implantaciónØ No hay que intentar el asegurar toda la

Organización de una vez, es preferiblehacerlo en fases y en áreas concretas dela Organización.

Ø La experiencia adquirida permitiráimplantaciones en otras áreas de unaforma más rápida y eficaz

El enfoque



En la fase Planificación la ISO 27001 obliga a (4.2.1):c. Definir el enfoque de la evaluación de Riesgos

(metodología y criterios de aceptación del riesgo)

d. Identificar los riesgos. (Activos, amenazas, vulnerabilidades,impactos)

e. Analizar y evaluar los riesgos

f. Identificar y evaluar los tratamientos (ver la siguiente)

g. Seleccionar objetivos de control y controles (Anexo A). Noexhaustivo

h. Aprobación del riesgo residual

i. Autorización gerencial para implementar

j. Declaración de aplicabilidad

El Riesgo en la ISO 27001



Opciones de Tratamiento del Riesgo 4.2.1.fDurante el proceso de tratamiento de riesgos, sedefine une estrategia global para tratar los riesgosidentificados durante la evaluación.

Estos riesgos pueden controlarse:

Ø Aplicando controles (ISO 27002:2007)

Ø Asumiendo el riesgo. (si satisface lapolítica)

Ø Evitando el riesgo (abandono del activo)

Ø Transfiriendo el riesgo (seguros,proveedores)

El tratamiento



Tratamiento del Riesgo 4.2.2a) El tratamiento identificará acción,

responsabilidad y prioridad para manejar losriesgos

b) Al implantar se considerará la financiación, lasfunciones y las responsabilidades

c) Implantar los controles que se seseleccionaron en el 4.2.1.g

d) Definir la medición de indicadores deefectividad para evaluar la eficacia del controlmediante comparación

El tratamiento



Monitorización y revisión del Riesgo 4.2.3b) Efectuar revisiones periódicas de la eficacia del

SGSI

c) Verificar la efectividad de los controles paracomprobar que se cumplen los objetivos deseguridad

d) Revisar las evaluaciones de riesgos a intervalosplanificados, revisar el riesgo residual y riesgoaceptable

Monitorización del tratamiento



Hay dos grupos de metodologías de evaluación deRiesgos:

Ø Evaluación cualitativa: es aquella donde laprobabilidad del incidente y la magnitud de susconsecuencias se expresan en términoscualitativos como «alta», «mediana», «baja» o«insignif icante»,

Ø Evaluación cuantitativa: es aquella en la quelos resultados se expresan en cifras.

Metodologías de evaluación de riesgos



Evaluación y tratamiento de riesgos

Activo Amenaza Vulnerabilidad Requisito legal o de negocio

Riesgos

Selección e implantación de controles

Gestión de políticas

Evaluación del riesgo

Tratamiento del riesgo

Evaluación del riesgo



Ejemplos de Metodologías de Análisis de Riesgos

l MAGERIT. Desarrollada desde el Consejo Superior de Informática(Ministerio de Administraciones Públicas) se trata de un método formal pararealizar un análisis de riesgos y recomendar los controles necesarios parasu minimización. MAGERIT se basa en una aproximación cualitativa queintenta cubrir un amplio espectro de usuarios genéricos gracias a unenfoque orientado a la adaptación del mecanismo dentro de diferentesentornos, generalmente con necesidades de seguridad y nivel desensibilidad también diferentes.

Metodologías de Análisis de Riesgos



Ejemplos de Metodologías de Análisis de Riesgos

l CRAMM. (CCTA Risk Analysis and Management Method). Metodología y

herramienta de análisis y gestión de riesgos desarrollada por la "Central

Computer and Telecommunications Agency" del Reino Unido y gestionada

por "Insight Consulting Limited" (Grupo Siemens). Existe en versión Expert y

Express, incluye software y no es gratuita. Es de tipo cualitativo pero es

posible realizar modificaciones para convertirla en cuantitativa.

Metodologías de Análisis de Riesgos



Muchas gracias por Muchas gracias por su atenciónsu atención


cómo afrontar con éxito la certificación iso 27001:2005 · cómo afrontar con éxito la...

Documents