seguridad informáticaseminarisempresa.fib.upc.edu/anteriors/2008... · mejorar un sistema de...

1 ©2007 Deloitte©2008 Deloitte. Todos los derechos reservados

Barcelona, febrero de 2008

ISO/IEC 27001:2005

Seguridad Informática.

Auditoría.Fiscal y Legal.Consultoría.Asesoramiento Financiero.

22 ©2007 Deloitte

©2008 Deloitte. Todos los derechos reservados

Contenido• Introducción• Motivaciones para certificarse• Gestión de la seguridad de la información• Enfoque metodológico del SGSI

• Enfoque metodológico repetible del análisis de riesgos• Que se certifica• Identificación y valoración de activos• Identificación de vulnerabilidades y amenazas• Identificación de riesgos• Estado de aplicabilidad de los controles• Definición del nivel de seguridad aceptable• Evaluación de controles• Gestión de riesgos• Política de Seguridad de la Información• Definición del Modelo de Organizativo

• Beneficios de la certificación• Ruegos y preguntas

33 ©2007 Deloitte


Introducción• ISO - International Organization for Standardization

• Encargada de promover el desarrollo de normas internacionales defabricación, comercio y comunicación para todas las ramas industriales a excepción de la eléctrica y la electrónica.

• ISO registra las entidades nacionales de acreditación– Para poder acreditar las entidades de acreditación nacional deben incorporar el

esquema de acreditación para cada estándar.

– Para poder emitir certificaciones sobre un estándar, las entidades de certificación deben acreditarse contra una entidad nacional de acreditación para el estándar especifico en cuestión.

ISO

ENACUKAS …

Esquemas deacreditación

Esquemas deacreditación

Entidad Acreditadora

1

Entidad Acreditadora

2

44 ©2007 Deloitte


Introducción• IEC - International Electrotechnical Commission

• Organización responsable de la estandarización de equipos eléctricos.

• ISO/IEC 27001 - Information technology - Security techniques - Informationsecurity management systems – Requirements

• Aprobada y publicada como estándar internacional en Octubre de 2005 por ISO y la comisión IEC.

• Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI).

• Se sustenta en la mejora continua, el conocido “Ciclo de Deming” o PDCA -Plan, Do, Check, Act.

• Alineada con las mejores prácticas de la gestión de la seguridad de la información – ISO/IEC27002:2005.

55 ©2007 Deloitte


Introducción• ISO/IEC 27002:2005 - Information technology - Security techniques - Code of

practice for information security management

Clasificación y control de activos

Communications & environmental

Organización de Seguridad

Política de Seguridad

Continuidad de negocio

Control de accesos

Gestión de operaciones y comunicaciones

Cumplimiento

Adquisición, desarrollo y

mantenimiento de sistemas

Seguridad física y

ambiental

Seguridad del

personal

Gestión de incidencias

� 11 secciones

�39 objetivos de control

�133 controles específicos

66 ©2007 Deloitte


Motivaciones para certificarse• Cultura empresarial

• Requerimiento legal

• Requisito del cliente

• Mantenerse en el mercado

• Mejora de la imagen de la organización

77 ©2007 Deloitte


Gestión de la seguridad de la información• Información

‘La información es un activo que, como otros activos importantes del negocio, tiene valor para una organización y, por lo tanto, necesita ser protegido adecuadamente’BS ISO 17799:2000

• Seguridad de la información• Los activos tienen un valor y por tanto unos requisitos de seguridad en

términos de Confidencialidad, Integridad y Disponibilidad.• Minimizar las amenazas y riesgos continuos a los que está expuesta la

información de una empresa, maximizando el retorno de las inversiones y las oportunidades del negocio.

• Gestión de seguridad de la información• Implantar procedimientos repetibles que permitan mantener y mejorar

sistemáticamente la seguridad de la información.

88 ©2007 Deloitte


Gestión de la seguridad de la información• ¿Seguridad al 100%?

‘El único sistema que es completamente seguro es aquel que está apagado y desenchufado, cerrado en una caja de titanio, enterrado en un bunker, y rodeado por un gas nervioso y custodiado por guardias armados. Incluso así, yo no me jugaría mi vida sobre ello.'

Gene Spafford

Director, Computer Operations, Audit, and Security Technology (COAST), Universidad de Purdue

99 ©2007 Deloitte


Enfoque metodológico del SGSI

Preparar i Establecer el SGSI

• Definición del SGSI

• Elaboración de la Políticade Seguridad de la Información

Preparar i Establecer el SGSI

• Definición del SGSI

• Elaboración de la Políticade Seguridad de la Información

Implementar i Operar el SGSI

• Definición del Plan de actuación

• Implantación de Controles

• Gestión de recursos

Implementar i Operar el SGSI

• Definición del Plan de actuación

• Implantación de Controles

• Gestión de recursos

Mantener i Mejorar

• Implantación de les recomendaciones emitidas

• Verificar que las mejorashan cubierto los objetivos

Mantener i Mejorar

• Implantación de les recomendaciones emitidas

• Verificar que las mejorashan cubierto los objetivos

Monitorizar i Revisar

• Auditorías internas

• Revisión del SGSI

• Revisiones periódicas de laefectividad de los controles

Monitorizar i Revisar

• Auditorías internas

• Revisión del SGSI

• Revisiones periódicas de laefectividad de los controles

PLANDO

CHECK

ACT

1010 ©2007 Deloitte


Que se certifica• ISO certifica procesos . NO es OBLIGATORIO certificar TODA la EMPRESA.

• Definir alcance del proyecto.La certificación abarca el proceso de desarrollo de software realizado por el área de desarrollo excluyendo las áreas restantes que proporcionan servicio a ésta y los procesos desarrollados por estas áreas (p ej: específicación de requisitos, negociación con el cliente y el servicio de post-venda). El principal activo de la compañía es su equipo humano y la metodología empleada.

• Especificar procesos no incluidos en el alcance.Los procesos relacionados con la definición de los requisitos funcionales, la negociación del contrato y el servicio post-venda al ser gestionados por departamento ajenos al departamento de desarrollo.

• Definir relaciones contractuales entre:• Departamentos de la empresa.• Empresas proveedoras.• Clientes.



Que se certifica



Identificación y valoración de activos• Tipologías de activos

• Tangibles:– Hardware (firewalls, switches, servidores, ordenadores, discos duros…).– Software (S.O., ofimática, herramientas de desarrollo…).– Información (BBDD y archivos de datos, procedimientos operativos, …).– Edificios.– Infraestructuras (suministro eléctrico, climatización, control acceso físico…).

• Intangibles– Experiencia (del personal, de clientes, de suscriptores..).– Imagen y reputación .– Servicios (proveedor antivirus, desarrollador software…).

• Valoración en función de su Confidencialidad, Integ ridad y Disponibilidad

INTEGRIDADValor Descripción

1 BAJO: Se puede reemplazar fácilmente con un activo de igual calidad.

2NORMAL: Se puede reemplazar con un activo de similar calidad, con esfuerzorazonable.

3 ALTO: Se puede reemplazar con un activo de similar calidad, con esfuerzo alto.4 MUY ALTO: La calidad necesaria es difícil de reconstruir, y de muy alto coste.

5 CRUCIAL: No puede volver a obtenerse una calidad o prestación semejante.Irremplazable.



Identificación de vulnerabilidades y amenazas• Vulnerabilidades: debilidad en un activo o grupo de activos que puede ser

explotada por una amenaza.Una vulnerabilidad en sí no causa daño, es meramente una condición o conjunto de condiciones que pueden permitir a una amenaza afectar a un activo.

• Amenazas: eventos no deseados que pueden desencadenar un incidente en la Organización, causando una degradación de los requerimientos de seguridad en sus activos. Ocurren de forma imprevista en el entorno de la organización.

Se evalúa la probabilidad de ocurrencia de una amenaza:Periodo medio entre ocurrencias Valor en la escala subjetiva- menor que una vez por semana - Frecuencia muy alta- menor que cada 2 meses - Frecuencia alta- menor que un año - Frecuencia media- menor que 6 años - Frecuencia baja- mayor que 6 años - Frecuencia muy baja



Identificación de riesgos• Probabilidad que una amenaza explote una vulnerabilidad ocasionando una

degradación en alguno de los requisitos de seguridad.

Impacto

IImportante ypoco probable

IIImportante ymuy probable

IIIPoco importante y

poco probable

IVPoco importante aunque

muy probable

0%

100%

0% 100%

Probabilidad

Software base

1; 21; 2

34

5

6; 7; 96; 7; 98 6; 7; 9

10

0

1

2

3

4

5

6

7

0 1 2 3 4 5 6 7

Probabilidad de ocurrencia

Impacto

Ejemplo



Declaración de aplicabilidad de los controles• Justificación de qué controles son relevantes• Evidencias de qué controles no son relevantes

Los siguientes controles son relevantes:A.5.1.1 Política de la Seguridadde la InformaciónA.7.1.1 Inventario de activosA.10.5.1 Back-upA.10.8.2 Seguridad de media

en tránsito

Estado de Aplicabilidad



Definición del nivel de seguridad aceptable• La Dirección de la organización tiene que aprobar el nivel de seguridad

aceptable.• Evidencia el compromiso de Dirección en la seguridad de la información.

Impacto

IImportante ypoco probable

IIImportante ymuy probable

IIIPoco importante y

poco probable

IVPoco importante aunque

muy probable

0%

100%

0% 100%

Probabilidad



Evaluación de controles

• Los controles se valoran individualmente.

• El modelo de evaluación no está definido, pero como mínimo debe evaluarse la efectividad de los controles. La organización puede seleccionar el modelo que mejor se adapte a sus necesidades. • Escala CMM (Capability Maturity Model).• Auditoría (Diseño, Implantación, Automatización, Evidencia y

Efectividad).

• Tipologías de controles:• Disuasorios.• Preventivos.• Detectivos.• Correctivos.

Proceso definido3

Repetible pero intuitivo2

Gestionado y evaluable4

5

1

0

CMM

Optimizado

Inicial / Ad hoc

Inexistente

Estado



Gestión de riesgos• Estudio y análisis de alternativas y selección de la estrategia a seguir, priorizando

el estudio de los riesgos más elevados. Para tratarlos, se dispone de las siguientes opciones:• Implantar controles.• Aceptar el riesgo.• Eliminar el riesgo.• Transferir el riesgo.

• Como resultado se obtiene “El Plan de Tratamiento de Riesgos” y “El Plan de Actuación”.



Política de Seguridad de la Información• Aprobada por la Dirección y disponible para toda la organización.

• Habitualmente se trata de un documento de 1 o 2 páginas (como máximo 5 o 6).

• Define las pautas por las que se rige la empresa. Debería contener:

• Historial de Revisiones.

• Ámbito de aplicación.

• Objetivos del negocio.

• Compromiso dirección en la protección de activos.

• Referencia legislativa (LOPD, LSSI…).

• Referencia estatutaria (obligaciones con los accionistas).

• Referencias a políticas y procedimientos que la sustentan (contraseñas, control acceso, backup…).



Definición del Modelo de Organizativo

Procedimientos

Instrucciones, checklists,

formularios,

Manual de seguridad

Política, alcance, evaluación del riesgo,

Declaración de aplicabilidad

Describe cómo se realizan las tareas y las actividades específicas

Proporciona una evidencia objetiva del cumplimiento de los requisitos del SGSI (cláusula 4.3.3)

Nivel 1Políticas del marco de gestión en

relación a la Cláusula 4.3de la ISO 27001

Nivel 2

Nivel 3

Nivel 4

Describe procesosquién, qué, cuándo, dónde

• Alineado con la norma ISO/IEC 27002:2005



Beneficios de la certificación• Evidencia el compromiso de la dirección en la protección de la información.• Establece un modelo organizativo relativo a la gestión de seguridad de la

información.• Aumenta la concienciación y sensibilización del personal en esta materia.• Mejora la seguridad de los sistemas de información que soportan los procesos

operativos de la organización.• Simplifica el establecimiento de políticas, normativas y procedimientos con el

propósito de mantener un nivel de riesgo aceptable .• Automatiza las tareas que permiten conocer los riesgos a los que está expuesta

la información.• Potencia el registro y almacenamiento de las decisiones, procesos y controles ,

manteniendo su trazabilidad .• Ubica a la organización en una dinámica de mejora continua , facilitando la

adaptación a futuros objetivos de negocio i futura legislación aplicable.


¿DUDAS?


Deloitte Touche Tohmatsu es una organización de firmas independientes, dedicadas a la prestación de servicios y asesoramiento profesional de máxima calidad, y que se centran en el servicio al cliente mediante una estrategia global aplicada a nivel local en cerca de 140 países. Con acceso a un enorme capital intelectual de casi 150.000 personas en todo el mundo, Deloitte presta servicios en cuatro áreas profesionales (auditoría, asesoramiento tributario, consultoría y asesoramiento financiero) a más del 80% de las empresas más importantes del mundo, así como a grandes empresas públicas, aunque por diversos motivos, entre los que se hallan las regulaciones específicas de cada país, no todas las Firmas miembro de Deloitte prestan toda la gama de servicios.

Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu (Swiss Verein), sus firmas miembro y respectivas filiales y asociadas. Al tratarse de un Verein suizo (asociación), ni Deloitte Touche Tohmatsu ni ninguna de sus firmas miembro es responsable de los actos u omisiones de las otras. Cada firma miembro es una entidad independiente con personalidad jurídica propia que opera bajo los nombres de “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu”, u otros nombres asociados. Los servicios son prestados a través de las firmas miembro y sus respectivas filiales y asociadas y no por Deloitte Touche Tohmatsu (Swiss Verein).

Copyright © 2008 Deloitte. Todos los derechos reservados. A member firm ofDeloitte Touche Tohmatsu

seguridad informáticaseminarisempresa.fib.upc.edu/anteriors/2008... · mejorar un sistema de...

Documents