sistemas de gestión de seguridad de la información iso 27001(2)

8/12/2019 Sistemas de Gestin de Seguridad de La Informacin Iso 27001(2)

1/69

1/71

Sistemas de gestin

de seguridad de la informacinISO 27001


2/69

2/71

INTRODUCCIN


3/69

3/71

Introduccin

YourYourNetworkNetwork

FOR

MACIN

HERRAMIENTAS

AUDITORAS

SNOC

LOPD / LSSI

SISTEMA GESTION

DE LA SEGURIDAD

DE LA INFORMACION

(SGSI)

BS 7799

MANTENIMIENTO


4/69

4/71

Introduccin

70 %Incidentes

internos

Incidentes seguridad externos

Virus

Incidentes seguridad internos

Errores de usuario

OtrosIncidentes de seguridad: Quien es quien


5/69

5/71

Introduccin

Impacto de incidentes de seguridad en el negocio:


6/69

6/71

ISO 17799 1

TRANSPOSICIN LITERAL

BS 7799 1

CDIGO BUENAS PRCTICAS

ISO 27001 (Octubre 2005)

BS 7799 2

IMPLEMENTACION SGSI Y

CERTIFICACION

IMPLEMENTACIN

INTEGRACIN BS7799 / ISO 9000 / ISO 14000

CERTIFICACIN

Introduccin


7/69

7/71

Introduccin

ISO 27001BS 7799-2 (2005)BS 7799-2:2002BS 7799 2

ISO 27002ISO 17799 (2005)ISO 17799 (2000)BS 7799 1

Ao2007

Ao2006

(Enero)

Ao2005

(Junio)

Ao2000 2002

Ao

1999

UNE 71502

+ ISO 27004 Indicadores y Cuadros de mando (2007)

BS 7799 Evolution

BS ISO


8/69

8/71

Cambios / Mejoras en ISO 27001

This is possibly the biggest change inthat as well as implementing andoperating the ISMS, it is now required

to define how to measure theeffectiveness of controls or groups ofcontrols, and that it shall be specifiedhow these measurements are to be

used to assess control effectiveness toproduce comparable and reproducibleresults. This could cause somemajor problems for clients.

Item d)Define how tomeasure the

effectivenesshas beenadded

4.2.2Implementand operate

the ISMS

4.2.2Implementand operate

the ISMS


9/69

9/71

A.6 Mejora en las relaciones con terceras partes


10/69

10/71

A.8 Mejoras en el control sobre las personas


11/69

11/71



12/69

12/71



13/69

13/71

A.13 Mejoras en el registro de incidentes / debilidades


14/69

14/71

A.13 Mejoras en el registro de incidentes / debilidades


15/69

15/71

A.14 Mejoras en la gestin de continuidad de negocio


16/69

16/71

A.14 Mejora en la gestin de continuidad de negocio


17/69

17/71

Control y clasificacin de activos

Organizacin de la Seguridad

Direccin de operaciones y comunicaciones

Poltica de Seguridad

Evaluacin de riesgos Seguridad del personal

Desarrollo y mantenimiento de sistemas

Direccin de Planes de Contingencia

Cumplimiento con la legislacin

Introduccin

Introduccin


18/69

18/71

Activos de informacin SGSI:

Soportes digitalesPapelPersonas

Componentes SGSI:Anlisis+Trabajo tcnicoDocumentacinPersonas

rganos gestin SGSI:Comit de seguridadResponsable SeguridadAuditor interno

La seguridad es tan fuerte como el eslabn ms dbil de la cadena

PERSONAS

Introduccin


19/69


20/69

20/71

FORMACION:

Plan de formacin Para TODOS los empleados Todos aportan

DIFUSION: Herramientas existentes: News Herramientas especificas: Proteus / Cramm /

Cobra / ... Controles y evaluacin de cumplimiento

Introduccin


21/69

21/71

FORMACION + DIFUSION:Conseguir que las personas sean la base de un SGSI

Informado

Formado

Concienciado

Aceptacin

Proactivo

TIEMPO

COMPORTAMIENTO

Introduccin


22/69

22/71

REA

SEGURIDAD

PROCESO IMPLEMENTACION GLOBAL

ISO 9000 / 14000ISO 17799 / BS 7799

PROCESOS COMUNES

Revisin BS 7799-2:2002Revision BS 7799-2:2005

ISO 27001

REA CALIDAD

Introduccin


23/69

23/71

LA SEGURIDAD ES UN PROCESO = SGSI

SGSI = PROCESO SEGURIDAD + CALIDAD GLOBAL

BS 7799: ESQUEMA DE IMPLEMENTACION Y CERTIFICACIN

DE SGSI RECONOCIDO (INTERNACIONAL)(ISO 27001)

SGSI = ISO 27001, CONTINUIDAD, CONTROL y EVALUACION DE

EFECTIVIDAD DE PROCESO DE SEGURIDAD

AUNQUE NO EXISTE SEGURIDAD TOTAL, S ES UN SISTEMA CON

SEGURIDAD RAZONABLE

Implementacin


24/69

24/71

IMPLEMENTACIN


25/69

25/71

Definir la poltica

Definir el alcancedel SGSI

Anlisis de riesgos

Gestionar el riesgo

Seleccionarobjetos de control

y controles aimplementar

Preparar unadeclaracin deaplicabilidad

Fase 1

Fase 2

Fase 3

Fase 4

Fase 5

Fase 6

Riesgos,amenazas yvulnerabilidades

Gestin de riesgosdesde el punto de vistaorganizacional

Grado deaseguramientorequerido

Seccin 3 de la BS7799, objetos decontrol y controles

Controles adicionales

que no sean de BS7799

Documento de lapoltica

Alcance del SGSI

Activos de Informacion

Anlisis de riesgo

Resultados y conclusiones

Controles seleccionados

Objetos de control y controlesseleccionados

Declaracin de aplicabilidad

Introduccin


26/69

26/71

La importancia de la informacin

Cunto tiempo sobrevivira nuestra empresa sin el acceso ala informacin?

Hasta que punto estamos preparados para responder a unincidente de seguridad? Cumplimos la LOPD, LSSICE y los derechos de propiedad

intelectual?

Los SGSI certificados dan una respuesta a la creciente demandade seguridad global

Implementacin


27/69

27/71

Tipos de informacin

Impresa o escrita en papel Guardada en formato electrnico

Transmitida por correo o por va electrnica Verbal hablada en conversaciones

cualquier forma que la informacin adopte, o procesospor los cuales sea compartida o guardada, deber ser

siempre adecuadamente protegida(ISO/IEC 17799: 2000)

Implementacin


28/69

28/71

Gestin de la seguridad de la informacin

El objetivo del SGSI es salvaguardar la:

- Confidencialidad

- Integridad- Disponibilidad

de la informacin escrita, hablada o procesada por losordenadores.

Implementacin


29/69

29/71

Compromiso de la direccin

Intencin

Requisitos

Herramientas y tcnicas

Metodologa

Estndares,

normas, leyes...

Guas y modelos

Procedimientos

Polticas

EvidenciasRegistros y trazas

Implementacin


30/69

30/71

Evolucin de los sistemas de gestin

SistemasSistemas

PropietariosPropietarios

SistemasSistemas

normalizadosnormalizados

SistemasSistemascertificadoscertificados

- Sistemas nicos y personalizados

- Sistemas que tienen en cuenta

ciertas normas y que se orientan aestndares

- Sistemas auditados y certificados

que se rigen por estndaresaprobados y reconocidos

Implementacin


31/69

31/71

SistemasSistemas

PropietariosPropietarios

SistemasSistemas

normalizadosnormalizados

SistemasSistemascertificadoscertificados

Seguridad propietaria

(Principio de oscuridad)

Evolucin de los sistemas SGSI

Sistemas basados en normas:

ISO 71501, NIST 800 42, ISECOM, ISO17799-1

Sistemas auditables basados en: ISO 17799 / BS 7799 2 : 2002 UNE 71502

Implementacin


32/69

32/71

Secciones de la BS7799-1 (ISO17799)

Alcance Trminos y definiciones Poltica de seguridad Seguridad corporativa

Clasificacin y control de activos Seguridad del personal Seguridad fsica y medioambiental Gestin de las operaciones y comunicaciones

Control de accesos Mantenimiento y desarrollo de sistemas Gestin de la continuidad del negocio Cumplimiento

Implementacin

I l i


33/69

33/71

Secciones de BS7799-2:2002

Alcance Referencias normativas

Trminos y definiciones Sistema de gestin de la seguridad de la informacin

(SGSI) Responsabilidades de la direccin

Revisin del SGSI Mejora del SGSI

Implementacin

Implementacin


34/69

34/71Implantacin de un SGSI basado en la norma BS7799-2

p

Definir la poltica

Definir el alcancedel SGSI

Anlisis de riesgos

Gestionar el riesgo

Seleccionarobjetos de control

y controles aimplementar

Preparar unadeclaracin deaplicabilidad

Fase 1

Fase 2

Fase 3

Fase 4

Fase 5

Fase 6

Riesgos,amenazas yvulnerabilidades

Gestin de riesgosdesde el punto de vistaorganizacional

Grado deaseguramiento

requeridoSeccin 3 de la BS7799, objetos decontrol y controles

Controles adicionalesque no sean de BS7799

Documento de lapoltica

Alcance del SGSI

Activos de Informacion

Anlisis de riesgo

Resultados y conclusiones

Controles seleccionados

Objetos de control y controlesseleccionados


I l t i


35/69

Fase 1:

Fase 2:

Fase 3:

Fase 4:

Fase 7:

Fase 5:

Fase 6:

Definir la poltica y el alcance del SGSI

Seleccin de controles


Implementacin

Responsibilidades y recursos

Gestin del riesgo

Registro de activos y anlisis de riesgos

Implementacin

I l t i


36/69

36/71

Revisin inicial

Revisin de la seguridad de la informacin dentro del marcoestablecido por los requerimientos de la BS 7799-2 utilizando

las guas proporcionadas por el cdigo de buenas prcticasISO/IEC17799:2000 Tener la ISO 9000 ayuda (Ver tabla equiv.) Existe DML y documentacin asociada?

Es consistente con el alcance?

Implementacin

Implementacin


37/69

37/71

CComit de seguridad1,0Registro de incidentes de seguridad016000

GResponsable de seguridad1,0Manual bsico de seguridad015000

CComit de seguridad1,0Plan de continuidad de negocio014000

GComit de seguridad1,0Procedimiento de control de activos013000

RComit de seguridad2,0Registro de activos012000

RComit de seguridad2,0Plan de tratamiento de riesgos (PTR)011000

PComit de seguridad2,0Declaracin de aplicabilidad (DdA)010000

RComit de seguridad1,0Procedimiento de gestin de riesgos009000

RComit de seguridad1,0Procedimiento de anlisis de riesgos008000

GControlador de docs1,0Modelo de cambio de documentacin007000

GControlador de docs1,0Procedimiento de control de docs006000

RResponsable de seguridad2,5Manual de seguridad de admins005000

GResponsable de seguridad3,0Manual de seguridad de usuario004000

CResponsable de seguridad1,0Poltica de seguridad003000

PResponsable de seguridad1.0Alcance002000

RControlador de docs2,0Document Master List001000

UbicacinClasePropietarioRev.DescripcinNo.Tipo

DML

Implementacin


38/69

38/71

Compras

Dpto.

Financiero

Dpto.

produccin

Dpto

I.T.

Administracin

Marketing

RRHH

ISPs

Outsourcing

Proveedores de

suministro

elctrico

Necesidades

del Cliente

Mnto.

Satisfaccin del

Cliente

Contratos, SLAs y

MOUs

Ejemplo derevisin delalcance

Implementacin

Implementacin


39/69

Fase 1:

Fase 2:

Fase 3:

Fase 4:

Fase 7:

Fase 5:

Fase 6:




Implementacin


Gestin del riesgo


Implementacin

Implementacin


40/69

40/71

Comit de seguridad de la informacin

Es un comit/forum de gestin.

Su actividad se basa en: Revisin y aceptacin de la poltica. Monitorizacin de los cambios y la exposicin de los activos a las

amenazas ms importantes. Revisin y monitorizacin de los riesgos de los activos deinformacin.

Implementacin

Implementacin


41/69

41/71

Responsable del proyecto de SGSI

Apoyar al comit de seguridad Gestionar y mantener el SGSI Planificar auditoras internas Gestin de los incidentes de seguridad Trabajo conjunto con los propietarios de los procesos

Mantener el proceso de mejora continua

Implementacin

Implementacin


42/69

42/71

Propietarios de los procesos

Los propietarios de los procesos son:

Responsables de registrar sus activose implementar el SGSI en sus procesos

Responsables de reportar al comit de seguridad y colaborarcon el responsable del SGSI

Implementacin

Implementacin


43/69

Fase 1:

Fase 2:

Fase 3:

Fase 4:

Fase 7:

Fase 5:

Fase 6:




Implementacin



Gestin del riesgo

Implementacin

Implementacin


44/69

44/71

Registro de activos

Requisito de BS7799-2:2002

Identificar los activos, los propietarios, su ubicacin y su valorasociado dentro del alcance del SGSI

Implementacin

Implementacin


45/69

45/71

AmenazasUna amenaza tiene el potencial de poder causar incidentesindeseados que pueden derivar en daos a un sistema, unaempresa o sus activos.

VulnerabilidadesUna vulnerabilidad es una condicin o conjunto de

circunstancias que pueden permitir a una amenaza afectar aun activo. No obstante en s misma no causa el dao.

Implementacin

Implementacin


46/69

46/71

Identificacin de riesgos

Las vulnerabilidades son debilidades asociadas a los activosde informacin.

Estas debilidades pueden ser explotadas por una amenazacausando una ruptura en la seguridad que puede derivar en laprdida o dao de estos activos.

Implementacin

Implementacin


47/69

47/71

1. Identificacin de procesos2. Identificacin de activos:Papel, sw, hw, dependencias, personal, contratos, ...

3. Valor de los activos de informacin

4. Identificacin de las amenazas y las vulnerabilidades5. Identificacin de los riesgos y niveles aceptables6. Identificacin de los controles, objetivos y medidas7. Generacin de informes para el comit de seguridad

8. Monitorizacin y revisin

Procedimiento de anlisis de riesgos

Implementacin

Implementacin


48/69

Fase 1:

Fase 2:

Fase 3:

Fase 4:

Fase 7:

Fase 5:

Fase 6:




Implementacin


Gestin del riesgo


Implementacin


49/69

Implementacin


50/69

50/71

Riesgo residual

Ningn control puede ofrecernos seguridad absoluta, ysiempre tendremos un remanente de riesgo residual.

La direccin de la empresa, una vez definido el nivel deconfianza requerido, debe de aceptar ese riesgo residual yregistrarlo.

El anlisis de riesgo debe de realizarse peridicamente y elriesgo residual tambin debe de ser revisado y validado en lamisma forma.

p

Implementacin


51/69

Fase 1:

Fase 2:

Fase 3:

Fase 4:

Fase 7:

Fase 5:

Fase 6:




Implementacin


Gestin del riesgo


p


52/69

Implementacin


53/69

53/71

Controles de BS7799-2:2002 Anexo A

Controles obligatorios de la norma:

A.3 A.7, A.11 y A.12

Aprox. 127 controles necesarios

Implementacin


54/69

Fase 1:

Fase 2:

Fase 3:

Fase 4:

Fase 7:

Fase 5:

Fase 6:




Implementacin


Gestin del riesgo


Implementacin


55/69

55/71


Se trata de un documento, aprobado por el comit de

seguridad, en el que se representan todos los controlesaplicados en el SGSI de acuerdo con la norma BS7799 comoresultado del anlisis de riesgos realizado.

Implementacin


56/69

Fase 1:

Fase 2:

Fase 3:

Fase 4:

Fase 7:

Fase 5:

Fase 6:




Implementacin


Gestin del riesgo


Implementacin


57/69

57/71

Revisin de la direccin

El Security Forum o Comit de Seguridad debe reunirseperidicamente para evaluar;

Los resultados de las auditoras internas Cambios en el SGSI Reporte de incidentes y acciones derivadas

Implementacin


58/69

58/71

Gestin RRHH

- Definicin de perfiles profesionales- Anlisis previos a incorporacin

- Control durante desempeo- Controles despus de salida- Procedimiento punitivo

Implementacin


59/69

59/71

Gestin de la continuidad de negocio

- Plan de contingencias- Plan de continuidad de negocio- Prueba del plan de continuidad de negocio

Implementacin


60/69

60/71

Auditoras

Son necesarias auditoras internas/externas peridicas

planificadas y documentadas para garantizar que el SGSI estimplementado de forma efectiva.

El cumplimiento de la norma implementa un modelo de

mejora continua de procesos. (PDCA)


61/69

Certificacin


62/69

62/71

QuiQuin es la entidad certificadora ?n es la entidad certificadora ?

BSI (British Standards Institution) www.bsi-global.com Fundada en 1901 para coordinar las normas nacionales en el

Reino Unido. Con una plantilla integrada por un total de 4.200 personas entodo el mundo

Es la entidad de certificacin nmero uno a nivel mundial

Actualmente existen ms de 50.000 empresas certificadas.

Certificacin


63/69

65/71

Una auditoria de seguridad es una fuente clave deinformacin para el conocimiento de una empresa.

Demuestra un compromiso inequvoco de los rganosde Direccin de la empresa con el Sistema de Gestinde la Seguridad de la Informacin.

Promover la implicacin, participacin y motivacindel personal de la empresa en la seguridad de lainformacin de esta.

Proporciona la oportunidad de una mejora continua.

Incrementara la operatividad de la empresa.


64/69

66/71

Conclusiones

Conclusiones


65/69

67/71

Los SGSI basados en la norma BS 7799 nos hacen entender la

seguridad de la informacin como un proceso y no como unproducto.

A travs de la certificacin se obtienen garantas de que el SGSI

est correctamente implantado y de que se est gestionando elriesgo pero no se obtiene la seguridad absoluta.

Conclusiones


66/69

68/71

Modelo PDCA

Conclusiones


67/69

69/71

Documentacin relacionada

UNE 71501-3 Tcnicas para la gestin de le Seguridad de TIAENOR. Asociacin Espaola de Normalizacin y Certificacin

UNE 71501-2 Gestin y Planificacin de la Seguridad de TIAENOR. Asociacin Espaola de Normalizacin y Certificacin

UNE 71501-1 Conceptos y modelos para la Seguridad de TIAENOR. Asociacin Espaola de Normalizacin y Certificacin

UNE ISO 17799 Cdigo buenas practicasAENOR. Asociacin Espaola de Normalizacin y Certificacin

HB 231 Information Security Risk Management GuidelinesSTANDARDS AUSTRALIA

AS 4360 Risk ManagementSTANDARDS AUSTRALIA

ISO GUIDE 73. Risk Management. Vocabulary. Guidelines for use instandardsISO. International Standard Organitation

ISO GUIDE 73. Risk Management. Vocabulary. Guidelines for use instandardsISO. International Standard Organitation

ISO 2859-4 Procedures for assessment of declared quality levelsISO. International Standard Organitation

Conclusiones


68/69

70/71

Documentacin relacionada (II)

PD 3005 Guide on the selection of BS 7799-2 ControlsBSI. British Standards Institution

PD 3004 Guide to the implementation and auditing of BS 7799 controlsBSI. British Standards Institution

PD 3003 Are you ready for a BS 7799-2 Audit ?BSI. British Standards Institution

PD 3002 Guide to BS 7799 Risk AssessmentBSI. British Standards Institution

PD 3001 Preparing for BS 7799-2 CertificationBSI. British Standards Institution

BS 15000-2 IT Service Management. Part. 2 Code of practice for servicemngBSI. British Standards Institution

BS 7799-2 Information Security Management Systems. SpecificationsBSI. British Standards Institution


69/69

GRACIAS

sistemas de gestión de seguridad de la información iso 27001(2)

Documents