Norma NTC-ISO/IEC 27001Sistema de Gestin de Seguridad

de Informacin

AGENDA

SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN

CONCEPTOS BSICOS

QU ES LA NORMA ISO/IEC 27001:2005?

ORIGEN NORMA ISO/IEC 27001:2005?

CONTENIDO NORMA ISO/IEC 27001:2005

METODOLOGA Y CICLO DE IMPLEMENTACIN

DOMINIOS DE SEGURIDAD

SISTEMA DE GESTIN DE SEGURIDAD DE LA INFORMACIN

Es un sistema de gestin que comprende la poltica, estructura organizativa, procedimientos, procesos y recursos necesarios para implantar la gestin de la seguridad de la informacin.

Un SGSI se implanta de acuerdo a estndares de seguridad como el ISO 27001 basado en el cdigo de buenas practicas y objetivos de control ISO 17799, el cual se centra en la preservacin de las caractersticas de CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD.

CONCEPTOS BSICOS

ActivoSe refiere a cualquier informacin o sistema relacionado con eltratamiento de la misma que tenga valor para la organizacin.

ConfidencialidadAcceso a la informacin por parte nicamente de quienes

mmmm mmm estn autorizados.

DisponibilidadAcceso a la informacin y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran.

IntegridadMantenimiento de la exactitud y completitud de la

mmmmmmmm informacin y sus mtodos de proceso.

QU ES LA NORMA ISO/IEC 27001?

La norma ISO/IEC 27001:2005- Information Technology Security techniques, es la evolucin certificable del cdigo de buenas prcticas ISO 17799.

QU APORTA LA CERTIFICACIN ISO/IEC 27001?

Avala la adecuada implantacin, gestin y operacin de todo lo relacionado con la implantacin de un SGSI, siendo la norma ms completa que existe en la implantacin de controles, mtricas e indicadores que permiten establecer un marco adecuado de gestin de la seguridad de la informacin para las organizaciones.

Establecimiento de una metodologa de gestin de la seguridad de la informacin clara y bien estructurada.

Reduccin de riesgos de prdida, robo o corrupcin de la informacin.

Los usuarios tienen acceso a la informacin de manera segura, lo que se traduce en confianza.

Los riesgos y sus respectivos controles son revisados constantemente.

Las auditorias externas e internas permiten identificar posibles debilidades del sistema.

Continuidad en las operaciones del negocio tras incidentes de gravedad.

Garantizar el cumplimiento de las leyes y regulaciones establecidas en materia de gestin de informacin.

Incrementa el nivel de concientizacin del personal con respecto a los tpicos de seguridad informtica.

Proporciona confianza y reglas claras al personal de la empresa.

BENEFICIOS PARA LA CRA

ORIGEN NORMA ISO/IEC 27001?

CONTENIDO NORMA ISO/IEC 27001:2005

0. Introduccin 1. Objeto 2. Referencias normativas 3. Trminos y definiciones 4. Sistema de gestin de la seguridad de la informacin 5. Responsabilidades de la Direccin 6. Auditorias internas del SGSI 7. Revisin del SGSI por la direccin 8. Mejora de SGSI Anexo A. Resumen de controles Anexo B. Relacin con los Principios de la OCDE Anexo C. Correspondencia con otras normas Bibliografa

Definicin de Poltica y objetivos Determinacin del Alcance Valoracin de Activos Anlisis de riesgos Gestionar de riesgosSeleccionar los controles ISO 17799:2005

Definir e implantar plan de gestinde riesgos Implantar controles seleccionados ysus indicadores Implantar el Sistema de Gestin

Implantar las mejoras Adoptar acciones preventivasy correctivas Comunicar acciones y resultados Verificar que las mejoras cumplen su objetivo

Revisin Gerencial Desarrollar procesos de monitorizacin Revisar regularmente el SGSI Revisar los niveles de riesgo Auditar internamente el SGSI

P

H

V

A

ORGANIZACIN DE SEGURIDAD

POLTICA DE SEGURIDAD

CUMPLIMIENTO DE POLTICAS Y NORMATIVIDAD LEGAL

GESTIN DE LA CONTINUIDAD DEL NEGOCIO

ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN

GESTIN DE ACTIVOS

SEGURIDAD FSICA Y DEL ENTORNO

SEGURIDAD DE LOS RECURSOS HUMANOS

CONTROL DE ACCESO

GESTIN DE COMUNICACIONES Y OPERACIONES

GESTIN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIN

INFORMACIN

Integridad

Confidencialidad

D

i

s

p

o

n

i

b

i

l

i

d

a

d

POLTICA DE SEGURIDAD

Objetivo:

Poltica de seguridad de la informacin: brindar apoyo y orientacin a la direccin con respecto a la seguridad de la informacin, de acuerdo con los requisitos del negocio y los reglamentos y las leyes pertinentes.

ORGANIZACIN DE LA SEGURIDAD DE LA INFORMACIN

Objetivo:

Organizacin Interna: gestionar la seguridad de la informacin dentro de la organizacin.

Partes Externas: mantener la seguridad de la informacin de los servicios de procesamiento de informacin de la organizacin a los cuales tiene acceso partes externas o que son procesados, comunicados o dirigidos por stas.

GESTIN DE ACTIVOS

Objetivo:

Responsabilidad por los activos: lograr y mantener la proteccin adecuada de los activos organizacionales.

Clasificacin de la informacin: asegurar que la informacin recibe el nivel de proteccin adecuado.

SEGURIDAD DE LOS RECURSOS HUMANOS

Objetivo:

Antes de la contratacin laboral: asegurar que los empleados, contratistas, y usuarios por tercera parte entienden sus responsabilidades y son adecuados para los roles para los que se los considera, y reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones.

Durante la vigencia de la contratacin laboral: asegurar que todos los empleados, contratistas y usuarios de terceras partes estn consientes de las amenazas y preocupaciones respecto a la seguridad de la informacin, sus responsabilidades y sus deberes y que estn equipados para apoyar la poltica de seguridad de la organizacin en transcurso de su trabajo normal, al igual que reducir el riesgo de error humano.

Terminacin o cambio de contratacin laboral: asegurar que los empleados, los contratistas y los usuarios de terceras partes salen de la organizacin o cambian su contrato laboral de forma ordenada.

SEGURIDAD FSICA Y DEL ENTORNO

Objetivo:

reas seguras: evitar el acceso fsico no autorizado, el dao e interferencia a las instalaciones y a la informacin de la organizacin.

Seguridad de los equipos: evitar prdida, dao, robo o puesta en peligro de los activos y la interrupcin de las actividades de la organizacin.

GESTIN DE COMUNICACIONES Y OPERACIONES

Objetivo:

Procedimientos operacionales y responsabilidades: asegurar la operacin correcta y segura de los servicios de procesamiento de informacin.

Gestin de la prestacin del servicio por terceras partes: implementar y mantener un grado adecuado de seguridad de la informacin y de la prestacin del servicio, de conformidad con los acuerdos de prestacin del servicio por terceras partes.

Planificacin y aceptacin del Sistema: minimizar el riesgo de fallas de los sistemas.

GESTIN DE COMUNICACIONES Y OPERACIONES

Objetivo:

Proteccin contra cdigos maliciosos y mviles: proteger la integridad del software y de la informacin.

Respaldo: mantener la disponibilidad de la informacin y de los servicios de procesamiento de informacin.

Gestin de la seguridad de las redes: asegurar la proteccin de la informacin en las redes y la proteccin de la infraestructura de soporte.

Manejo de los medios: evitar la divulgacin, modificacin, retiro o destruccin de activos no autorizada, y la interrupcin en las actividades del negocio.

GESTIN DE COMUNICACIONES Y OPERACIONES

Objetivo:

Intercambio de la Informacin: mantener la seguridad de la informacin y del software que se intercambian dentro de la organizacin y con cualquier entidad externa.

Servicios de comercio electrnico: garantizar la seguridad de los servicios de comercio electrnico, y su utilizacin segura.

Monitoreo: detectar actividades de procesamiento de la informacin no autorizadas.

CONTROL DE ACCESO

Objetivo:

Requisito del negocio para el control de acceso: controlar el acceso a la informacin.

Gestin del acceso de usuarios: asegurar el acceso de usuarios autorizados y evitar el acceso de usuarios no autorizados a los sistemas de informacin.

Responsabilidades de los usuarios: evitar el acceso de usuarios no autorizados, el robo o la puesta en peligro de la informacin y de los servicios de procesamiento de informacin.

Control de acceso a las redes: evitar el acceso no autorizado a servicios en red.

CONTROL DE ACCESO

Objetivo:

Control de acceso al sistema operativo: evitar el acceso no autorizado a los sistemas operativos.

Control de acceso a las aplicaciones y a la informacin: evitar el acceso no autorizado a la informacin contenida en los sistemas de informacin.

Computacin mvil y trabajo remoto: garantizar la seguridad de la informacin cuando se utilizan dispositivos de computacin mviles y de trabajo remoto.

ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN

Objetivo:

Requisitos de seguridad de los sistemas de informacin: garantizar que la seguridad es parte integral de los sistemas de informacin.

Procesamiento correcto en las aplicaciones: evitar errores, prdidas, modificaciones no autorizadas o uso inadecuado de la informacin en las aplicaciones.

Controles criptogrficos: proteger la confidencialidad, autenticidad o integridad de la informacin, por medios criptogrficos.

ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIN

Objetivo:

Seguridad de los archivos del sistema: garantizar la seguridad de los archivos del Sistema.

Seguridad en los procesos de desarrollo y soporte: mantener la seguridad del software y de la informacin del sistema de aplicaciones.

Gestin de la vulnerabilidad tcnica: reducir los riesgos resultantes de la explotacin de las vulnerabilidades tcnicas publicadas.

GESTIN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIN

Objetivo:

Reporte sobre los eventos y las debilidades de la seguridad de la informacin: asegurar que los eventos y las debilidades de la seguridad de lainformacin asociados con los sistemas de informacin se comunican de forma tal que permiten tomar las acciones correctivas oportunamente.

Gestin de los incidentes y las mejoras en la seguridad de la informacin: asegurar que se aplica un enfoque consistente y eficaz para la gestin de los incidentes de seguridad de la informacin.

GESTIN DE LA CONTINUIDAD DEL NEGOCIO

Objetivo:

Aspectos de seguridad de la informacin, de la gestin de la continuidad del negocio: contrarrestar las interrupciones en las actividades del negocio y proteger sus procesos crticos contra los efectos de fallas importantes en los sistemas de informacin o contra desastres, y asegurar su recuperacin oportuna.

CUMPLIMIENTO

Objetivo:

Cumplimiento de los requisitos legales: evitar el incumplimiento de cualquier ley de obligaciones estatutarias, reglamentarias o contractuales y de cualquier requisito de seguridad.

Cumplimiento de las polticas y las normas de seguridad y cumplimiento tcnico: asegurar que los sistemas cumplen con las normas y polticas de seguridad de la organizacin.

Consideraciones de la auditoria de los sistemas de informacin: maximizar la eficacia de los procesos de auditoria de los sistemas de informacin y minimizar su interferencia.

PROPUESTA POLTICA DE SEGURIDAD

La Comisin de Regulacin de Agua Potable y Saneamiento Bsico CRA, en su condicin de entidad adscrita al Ministerio de Ambiente, Vivienda y Desarrollo Territorial, tiene como base para el cumplimiento de sus funciones regulatorias, el flujo y generacin de informacin hacia las partes interesadas, por esta razn la Direccin Ejecutiva ha resuelto cumplir los requerimientos de la norma ISO 27001:2005, los cuales le proporcionan a la misma, en su calidad de entidad pblica, la preservacin de la confidencialidad, integridad y disponibilidad de la informacin que gestiona y almacena, mediante la aplicacin del Sistema de Administracin de Riesgos conocido por toda la Entidad, donde el compromiso y la participacin de sus integrantes es trascendental, a fin de garantizar la mejora continua en el Sistema Integrado de Gestin y Control.OBJETIVOS

Identificar, clasificar y valorar los activos de Informacin dentro de la Entidad.Analizar y determinar el nivel de riesgo existente en los procesos y objetivos de la Entidad.Implementar controles para fortalecer las estrategias de seguridad de la Informacin. Lograr que todos los servidores de la CRA se concienticen de la importancia de la implementacin del SGI.