Este documento describe el estándar ISO 27001 para la gestión de la seguridad de la información. Explica que ISO 27001 especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información dentro de una organización. Se basa en un enfoque de gestión de riesgos y un ciclo PDCA de planificar, hacer, verificar y actuar. El objetivo es proteger la confidencialidad, integridad y disponibilidad de la información de una organización.
1. ISO 27001
SISTEMAS DE GESTIÓN DE LA
SEGURIDAD DE LA
INFORMACIÓN
ISO 27001
Base de datos
2. Qué es Información?
ISO 27001
Es un conjunto de datos acerca de algún suceso,
hecho, fenómeno o situación, que organizados en
un contexto determinado tienen un significado y
que tiene el propósito de reducir la incertidumbre
o incrementar el conocimiento de algo.
Information existe en diferentes formatos:
− Capital Humano
− Impresa o escrita en papel
− Dispositivos de almacenamiento (Discos,
CDs, etc…)
− Oral (teléfono, móvil, etc.)
− Video, fotos
3. La Información en las Empresas
ISO 27001
Dentro de una Empresa, la información es
considerada un Activo (un recurso) que tiene
valor o utilidad para sus operaciones
comerciales y su continuidad. Por esta razón,
esta información necesita tener protección
para asegurar una correcta operación del
negocio y una continuidad en sus
operaciones.
4. La Información en las Empresas
Estos activos pueden ser clasificados de la siguiente
ISO 27001
forma:
• Activos de Información (datos, manuales de usuario, etc.)
• Documentos en Papel (contratos)
• Activos de software (aplicación, software de sistema, etc.)
• Activos físicos (computadores, medios magnéticos, etc.)
• Personal (clientes, trabajadores)
• Imagen y reputación de la organización
• Servicios (comunicaciones, etc.)
5. Qué es seguridad de la
ISO 27001
Información?
La seguridad de información se caracteriza por la
preservación de:
Confidencialidad
Integridad
Disponibilidad de la
información
6. Identificación de Amenazas
Tipos de Amenazas
ISO 27001
Am
cio as
les
ra az
H en
na
um a
pe en
an zas
O Am
as
Amenazas a Amenazas
Instalaciones Sociales
Am
óg s
Na en
ol za
s
tu aza
ica
cn ena
ra s
l es
Te Am
7. Vulnerabilidades
Tipos de Vulnerabilidades
ISO 27001
Control de
Acceso
Seguridad de los Seguridad física y
recursos humanos ambiental
Ge
st
y c i ón
ac Sis o,
n de
r m e nt
om op
ió t .
fo o d ie
un era
in oll nim
i ca c i o
rr te
ció ne
sa n
n s
de Ma
9. ¿Seguridad de la Información ?
• La información es un activo que como otros activos
ISO 27001
importantes tiene valor y requiere en consecuencia una
protección adecuada.
• La información puede estar:
• Impresa o escrita en papel.
• Almacenada electrónicamente.
• Trasmitida por correo o medios electrónicos
• Mostrada en filmes.
• Hablada en conversación.
• Debe protegerse adecuadamente cualquiera que sea la forma
que tome o los medios por los que se comparte o almacene.
10. Gestión Seguridad Información
ISO 27001
ISO-27001:2005. Modelo Preventivo
• “La información es un activo que, como otros
activos comerciales importantes, tiene valor para
la organización y, en consecuencia, necesita ser
protegido adecuadamente”.
• “Un Sistema de Gestión de Seguridad de
Información (SGSI) es un sistema gerencial
general basado en un enfoque de riesgos para
establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la
información”
11. Gestión Seguridad Información
ISO 27001
ISO-27001:2005. Modelo Preventivo
4 1
Requerimientos Actuar Planificar
Seguridad de
y Expectativas
Información
de la Seguridad
Administrada
de Información
3 2
Revisar Hacer
12. Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001
4
Requerimientos Actuar
Seguridad de
y Expectativas 1
Información
de la Seguridad
Planificar
Administrada
de Información
3 2
Revisar Hacer
13. Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001
• Planificar.
• Definir el enfoque de evaluación del riesgo de
la organización.
• Establecer metodología de cálculo del riesgo.
• Establecer criterios de aceptación del riesgo y
niveles de aceptación del mismo.
• Identificar los riesgos asociados al alcance
establecido.
• Analizar y evaluar los riesgos encontrados.
14. Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001
• Planificar.
• Identificar y evaluar las opciones de tratamiento de los
riesgos.
• Aplicar controles.
• Aceptarlo de acuerdo a los criterios de aceptación.
• Evitarlo.
• Transferirlo.
• Seleccionar objetivos de control y controles sugeridos
por la norma y/u otros que apliquen.
• Obtener la aprobación de la gerencia para los riesgos
residuales e implementar el SGSI.
• Preparar el Enunciado de Aplicabilidad.
15. Gestión Seguridad Información
ISO 27001
ISO-27001:2005. Modelo Preventivo
4 1
Requerimientos Actuar Planificar
Seguridad de
y Expectativas
2 Información
de la Seguridad Hacer Administrada
de Información
3
Revisar
16. Gestión Seguridad Información
ISO 27001
ISO-27001:2005. Modelo Preventivo
• Hacer.
• Plan de tratamiento del riesgo.
• Implementar el plan de tratamiento del riesgo.
• Implementar controles seleccionados.
• Definir la medición de la efectividad de los
controles a través de indicadores de gestión.
• Implementar programas de capacitación.
• Manejar las operaciones y recursos del SGSI.
• Implementar procedimientos de detección y
respuesta a incidentes de seguridad.
17. Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001
4 1
Requerimientos Actuar Planificar
Seguridad de
y Expectativas
3 Información
de la Seguridad Revisar Administrada
de Información
2
Hacer
18. Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001
• Revisar.
• Procedimientos de monitoreo y revisión para:
• Detectar oportunamente los errores.
• Identificar los incidentes y violaciones de seguridad.
• Determinar la eficacia del SGSI.
• Detectar eventos de seguridad antes que se
conviertan en incidentes de seguridad.
• Determinar efectividad de las acciones correctivas
tomadas para resolver una violación de seguridad.
• Realizar revisiones periódicas.
19. Gestión Seguridad Información
ISO 27001
ISO-27001:2005. Modelo Preventivo
• Revisar.
• Medición de la efectividad de los controles.
• Revisar las evaluaciones del riesgo periódicamente y
revisar el nivel de riesgo residual aceptable.
• Realizar auditorías internas al SGSI.
• Realizar revisiones gerenciales.
• Actualizar los planes de seguridad a partir de resultados
del monitoreo.
• Registrar las acciones y eventos con impacto sobre el
SGSI.
20. Gestión Seguridad Información
ISO 27001
ISO-27001:2005. Modelo Preventivo
1
Requerimientos Planificar
Seguridad de
y Expectativas
4 Información
de la Seguridad Actuar Administrada
de Información
3 2
Revisar Hacer
21. Gestión Seguridad Información
ISO-27001:2005. Modelo Preventivo
ISO 27001
• Actuar.
• Implementar las mejoras identificadas en el
SGSI.
• Aplicar acciones correctivas y preventivas de
seguridad al SGSI.
• Comunicar los resultados y acciones a las
partes interesadas.
• Asegurar que las mejoras logren sus objetivos
señalados.
23. Mantenimiento y mejora del SGSI (Act)
• Tomar acciones correctivas y preventivas, basadas en los
ISO 27001
resultados de la revisión de la dirección, para lograr la
mejora continua del SGSI.
• Medir el desempeño del SGSI.
• Identificar mejoras en el SGSI a fin de implementarlas.
• Tomar las apropiadas acciones a implementar en el
ciclo en cuestión (preventivas y correctivas).
• Comunicar los resultados y las acciones a emprender, y
consultar con todas las partes involucradas.
• Revisar el SGSI donde sea necesario implementando
las acciones seleccionadas.
24. Estructura de la Documentación Requerida
Enfoque de la Gerencia
Manual de
Política, Alcance,
ISO 27001 Nivel I Evaluación Riesgo
Seguridad
Descripción de
procesos,
Nivel II Procedimientos
Quién hace qué y
cuándo
Describe tareas
Instrucciones de
Nivel III específicas y cómo se
Trabajo
realizan
Provee evidencia
Nivel IV objetiva de la Registros
conformidad con SGSI
25. Factores Claves de Éxito en la
Implementación de un SGSI
ISO 27001
• Política de seguridad documentada y
alineada con los objetivos del negocio.
• Apoyo y participación visible de la alta
gerencia.
• Entendimiento de los requerimientos de
seguridad, evaluación y gestión de los
riesgos asociados.
• Compatibilidad con la cultura
organizacional.
• Entrenamiento y educación.
26. Conclusiones
• Hoy en día las organizaciones
ISO 27001
dependen en gran medida de su
tecnología y sus activos de
información.
• Por lo anterior, impera una protección
adecuada a las informaciones
importantes.
• Seguridad no es un producto, es un
proceso que debe ser administrado.
27. Conclusiones
ISO 27001
• Nada es estático, la seguridad no es la
excepción. Mejora continua.
• Seguridad total no existe, pero sí existe
la garantía de calidad en un proceso de
seguridad.
Notes: An asset is anything of value, something to protect or take care of (e.g. records, buildings). A resource is a source to get energy from (e.g knowledge)
While past attacks were designed to destroy data, the attacks are increasingly designed to steal data without doing noticeable damage that would alert a user to the virus’ presence. Symantec cautioned that the malicious code for profit was on the rise. (Symantec annual Internet Security Threat Report)
Information security: to prevent damage to something of value a thing that guards or guarantees includes protection of information with the following aspects: 1. Confidentiality - users only have access to information to which they are authorised. 2. Integrity - protection against unauthorised changes or damage; i. e. safeguarding the accuracy and completeness of the information. 3. Availability - information is available, in the correct context, when required by authorised users. Summary: ISMS breaks into three areas - Confidentiality, Integrity and Availability High Confidentiallity will normally give low Availability and vice versa. Integrity (as per definition): the condition of being whole and undamaged
3 main sources of security requirements in any organisation: 1. Security risks; that is, threats to assets, vulnerabilities and potential impact on the business of the organisation. Many risks can be effectively countered by using the guidance in the document “BS7799 : 1999, part 1”. A risk assessment can identify the controls that should be selected and implemented to achieve suitable protection. Investigations have found that 80% of all breaches to security in a company come from authorised people doing wrong things. 2. Legal and contractual requirements that an organisation, its trading partners, contractors and service providers have to satisfy. As demands for inter-organisational networking and interoperability increase there is a requirement for compliance with standards. “BS7799 : 1999, part 1”, serves as a consistent reference point. 3. Internal Principles, objectives and requirements for information processing to support business operations. It is important for competitive edge, that the organisation’s information security policy supports these requirements. It is also vital that efficient business operations are not impeded by lack of security because of missing controls in the information infrastructure, or by interruptions caused by the implementation of controls. Incorporation of the right controls and the required degree of flexibility from the start of the information security planning process is critical to the successful outcome of the work.
Notes: An asset is anything of value, something to protect or take care of (e.g. records, buildings). A resource is a source to get energy from (e.g knowledge)