09 Global Knowledge II Avanza 2009

Introducción al estándar
ISO 27001
Gabriel Díaz Orueta

16/09/2008 1
© 2008 Global Knowledge Training LLC. All rights reserved

CONTENIDOS
1- ¿De qué vamos a hablar?
2- Un poco de historia
3- La familia de normas 2700x
4- El estándar ISO 27001
5- Implantación y certificación

16/09/2008 2

1- ¿Dónde estamos?
Durante una feria a la que el CEO de una importante compañía
de desarrollo de Software asistió para dar una conferencia, con
el ánimo de ser lo más gráfico posible, hizo una comparación
entre los logros de su compañía y los de la industria del
automóvil. Y se le ocurrió la siguiente frase:

“Si la General Motors se hubiera desarrollado como la industria
de la informática en los últimos diez años, ahora podríamos
conducir automóviles que correrían a 160.000 Km/h, pesarían
menos de 14 kilogramos y recorrerían una distancia de 1.000
kilómetros con un solo litro de gasolina. Además, su precio
sería de 25 dólares”.
16/09/2008 3

La respuesta de General Motors: “Puede que tenga razón, pero si la
industria del automóvil hubiera seguido la evolución de la informática
hoy tendríamos coches de las siguientes características:

Su automóvil tendría dos accidentes En ocasiones, su coche se pararía y
cada día, sin que usted pudiera no podría volver a arrancarlo. Este
explicarse la causa. hecho podría producirse al intentar
Ocasionalmente, su coche se pararía realizar una maniobra (como girar a
en medio de una autopista sin la izquierda). La solución será
ninguna razón. Debería aceptarlo con reinstalar de nuevo el motor.
resignación, volver a arrancar y Extrañamente, también aceptaría tal
seguir conduciendo esperando que hecho resignado.
no vuelva a ocurrir (y, por supuesto, Además, las puertas de su vehículo
no tendría ninguna garantía de ello). se bloquearían frecuentemente sin
Siempre que se presentase un nuevo razón aparente. Sin embargo, podría
vehículo, los conductores deberían volverlas a abrir utilizando algún
volver a aprender a conducir porque truco como accionar el tirador al
nada funcionaría igual que en el mismo tiempo que con una mano
modelo anterior. gira la llave de contacto y con la otra
agarra la antena de la radio.
16/09/2008 4

Aproximación a los problemas
de seguridad

Código malicioso Usuarios autorizados
Vulnerabilidades del equipamiento Usuarios no autorizados
Gestión de la compañía Otros

11%
9% 31%

11%

15% 23%

16/09/2008 5

ISO 27000: la punta del
iceberg
Hay ya una gran cantidad de estándares y normas técnicas
sobre diversos asuntos relacionados con la seguridad
informática:
- Firma digital
- Seguridad de redes
- Cifrado (algoritmos,
- No repudio
modos de operación,
- Números primos
gestión de claves)
- Evaluación de seguridad de
- Autenticación de entidades
los productos
- Funciones hash
- Gestión de incidentes de
- Detección de intrusiones
seguridad
- Actividades de forensia TI
- Time-stamping
- Message authentication codes

16/09/2008 6

Hay que cambiar las cosas…

Los pobres resultados en seguridad de la
información
son normalmente el resultado de
una mala gestión y no
de controles técnicos pobres.

La serie de estándares de SGSI 27000 afrontan los problemas de
información a los que nos enfrentamos desde el punto de vista de la
gestión.
No resulta sencillo, pero son “buenas prácticas” y funcionan.
16/09/2008 7

2- Un poco de historia
• 1992: El “Department of Trade and Industry (DTI)”, parte del gobierno del
Reino Unido, publica su 'Code of Practice for Information Security
Management'.

• 1995: Este documento es reformado y republicado por el British Standards
Institute (BSI) en 1995 como BS- 7799.

• 1996: Empiezan a surgir herramientas y soporte, como COBRA.

• 1999: Se publica la primera gran revisión del BS-7799. Se ponen en marcha
esquemas de certificación y de acreditación, como el propio BSI.

16/09/2008 8

Un poco de historia
• 2000: En Diciembre, se republica BS7799 como un estándar ISO “fast
tracked”. Se convierte en ISO 17799 (más formalmente ISO/IEC 17799).
• 2001: Se pone en marcha el 'ISO 17799 Toolkit'.
• 2002: Se publica una segunda parte del estándar: BS7799-2. Esta vez se
trata de una especificación de Gestión de la Seguridad, más que un código
de buenas prácticas. Se pone en marcha el proceso de alineamiento con
otras normas de gestión, como ISO 9000.
• 2005: Se publica una nueva versión de ISO 17799, que incluye dos nuevas
secciones y un alineamiento mayor con los procesos de BS7799-2
• 2005: Se publica ISO 27001 como reemplazo de BS7799-2, que es retirado.
Se trata de una especificación para un “ISMS (information security
management system)”, alineado con ISO 17799 y compatible con ISO 9001
and ISO 14001.

16/09/2008 9

¿De dónde llegó ISO 17799?

• El BS7799 se concibió como un sistema de gestión neutral con respecto a
los fabricantes y a las tecnologías que, implementado correctamente,
permitiría a la dirección de una organización asegurar que sus medidas
de seguridad de la información son efectivas.

• Desde el principio, el BS7799 puso su foco en la protección de la
disponibilidad, confidencialidad e integridad de la información de la
organización y estos siguen siendo, hoy en día, los objetivos del
estándar.

• Originalmente BS7799 era un sólo estándar y tenía el status de “Código
de Prácticas”. En otras palabras, proporcionaba guía a las
organizaciones, pero no había sido escrito como una especificación que
pudiera formar la base de una cerificación externa y de un esquema de
certificaciones.
16/09/2008 10

1995 1996 1999 2000 2002 2005

BS7799:1995

ISO 14980:1996

BS7799-1:1999

ISO/IEC 17799:2000

UNE/ISO 17799:2002

ISO 27001:2005
ISO 27002:2005

2007-11-28
UNE-ISO/IEC 27001:2007
16/09/2008 11

3- La familia de normas 2700x
Estándares publicados

ISO/IEC 27001 – El estándar de certificación contra el que
se pueden certificar los SGSI (Sistemas de Gestión de
Seguridad de la Información)

ISO/IEC 27002 – El nuevo nombre del estándar ISO 17799
(revisado en 2005 y renumerado como ISO/IEC 27002:2005
en Julio de 2007)

ISO/IEC 27005 - El estándar propuesto para gestión de
riesgos (aprobado en Junio de 2008)

ISO/IEC 27006 – Una guía para el proceso de registro y
certificación (publicado en 2007)
16/09/2008 12

La familia de normas 2700x
En preparación:
ISO/IEC 27000 – un vocabulario estándar para las normas de un SGSI

ISO/IEC 27003 – una guía nueva de implementación de un SGSI. Tiene
su origen en el anexo B de la norma BS7799-2

ISO/IEC 27004 – un nuevo estándar sobre métricas de gestión de
seguridad de la información

ISO/IEC 27007 – un “guideline” sobre auditorías de SGSI

ISO/IEC 27011 – un “guideline” para telecomunicaciones en SGSI

ISO/IEC 27799 – una guía de implementación del ISO/IEC 27002 en la
industría sanitaria
16/09/2008 13

La idea principal…
Plan

Establecer el
Establecer el
SGSI
SGSI

Mantener yyoperar Mantener yy
Do Act
Mantener operar Mantener
el SGSI mejorar el SGSI
el SGSI mejorar el SGSI

Monitorizar yy
Monitorizar
revisar el SGSI
revisar el SGSI

Check

Ciclo PDCA de DEMMING

16/09/2008 14

ISO 27000
• Definé la terminología para toda la serie de estándares
27000
• Trata de buscar consistencia en la termonología
• Se espera que impacte en otras normas como COBIT
(procesos TI) e ITIL para evitar confusiones

16/09/2008 15

ISO 27004

• Especificará las métricas y técnicas de medida
aplicables para determinar la eficiencia y efectividad de
la implantación de un SGSI y de los controles
relacionados. Estas métricas se usan fundamentalmente
para la medición de los componentes de la fase “Do”
(Implementar y Utilizar) del ciclo PDCA.

16/09/2008 16

4- El estándar ISO 27001
¿Qué es un Sistema de Gestión de Seguridad de la Información?

“Es un conjunto de políticas, procedimientos y controles que
persigue mantener el riesgos de los sistemas de información
dentro de unos niveles asumibles por la dirección y mejorar
la seguridad de la información para apoyar los procesos de
negocio a través del ciclo de mejora continua”.

El núcleo sobre el que se
fundamenta un SGSI es la
GESTION DEL RIESGO

16/09/2008 17

¿Cómo trata el riesgo un
SGSI?
Primero… Activos
analizar el CLASIFICACION
Amenazas
Vulnerabilidades DEL RIESGO
riesgo Impacto

Segundo…
Cuarto…
decidir sobre 1.- Aceptarlo NIVEL
2.- Transferirlo
corregir y
el riesgo ACEPTABLE DEL
3.- Gestionarlo RIESGO
mejorar
Tercero…
1.- Políticas
medir cómo 2.- Procedimientos CONTROL DEL
van las cosas 3.- Implantación RIESGO
4.- Eficacia
16/09/2008 18

PRINCIPIOS BÁSICOS
La identificación y la protección de la información es la esencia de ISO 27001
Tipos de activos de información:
– Contenido, contenedor, el que lo transporta
– Bases de datos, aplicaciones, registros y sistema TI
– Registros legales, organizativos y del comité de dirección
– Protección intelectual
– Reputación
– Gente
Los 3 aspectos fundamentales de la Seguridad de la Información:
– Confidencialidad- Protección de la información frente a revelación no
autorizada
– Integridad- Protección de la información frente a modificación no autorizada y
seguridad de la precisión y completitud
– Disponibilidad- Asegurarse de que la información está disponible cuando es
necesaria 16/09/2008 19

CONTENIDOS DE LA NORMA
0- Introducción: generalidades e introducción al método PDCA.

1- Objeto y campo de aplicación: se especifica el objetivo, la aplicación y
el tratamiento de exclusiones.

2- Normas para consulta: otras normas que sirven de referencia.

3- Términos y definiciones: breve descripción de los términos más usados
en la norma.

4- Sistema de gestión de la seguridad de la información: cómo crear,
implementar, operar, supervisar, revisar, mantener y mejorar el SGSI;
requisitos de documentación y control de la misma.

16/09/2008 20

5- Responsabilidad de la dirección: en cuanto a compromiso con el SGSI,
gestión y provisión de recursos y concienciación, formación y capacitación del
personal.

6- Auditorías internas del SGSI: cómo realizar las auditorías internas de
control y cumplimiento.

7- Revisión del SGSI por la dirección: cómo gestionar el proceso periódico
de revisión del SGSI por parte de la dirección.

8- Mejora del SGSI: mejora continua, acciones correctivas y acciones
preventivas.

16/09/2008 21


Anexo A: Objetivos de control y controles: anexo normativo que enumera los
objetivos de control y controles que se encuentran detallados en la norma ISO
27002:2005

Anexo B: Relación con los Principios de la OCDE: anexo informativo con la
correspondencia entre los apartados de la ISO 27001 y los principios de buen
gobierno de la OCDE.

Anexo C: Correspondencia con otras normas: anexo informativo con una
tabla de correspondencia de cláusulas con ISO 9001 e ISO 14001.

Anexo D: Bibliografía: normas y publicaciones de referencia.

16/09/2008 22

DETALLES

Los detalles que conforman el cuerpo de
esta norma, se podrían agrupar en tres
grandes líneas:

• Valoración de riegos (Risk Assesment)
• SGSI
• Controles

16/09/2008 23

VALORACIÓN DE LOS RIESGOS
Puede ser desarrollada con cualquier tipo de metodología (pública o
particular), siempre y cuando sea completa y
metódica.

El resultado final de un análisis de riesgo, es:
• Clara identificación, definición y descripción de los activos.
• El impacto que podría ocasionar un problema sobre cada uno.
• Conjunto de acciones que pueden realizarse (agrupadas).
• Propuesta de varios cursos de acción posibles (Máx, inter1/2s,
mín).
• Finalmente: Elección y Aprobación de un curso de acción por
parte de la Dirección.

16/09/2008 24

Análisis de Riesgos

El análisis de riesgos intenta que los criterios en los que se
apoya la seguridad sean mas objetivos
– Introduce un grado importante de objetividad
– Permite a la organización gestionar sus riesgos por sí mismos
– Apoyar la toma de decisiones basándose en los riesgos propios
– Centrarse en proteger los activos importantes
– Formar y comunicar los aspectos de la seguridad necesarios

Control de los riesgos Disminución del riesgo

Riesgo conocido y asumido Vigilancia del nivel de riesgo.
por la compañía 16/09/2008 25

Análisis de Riesgos. Definiciones

16/09/2008 26

Análisis de Riesgos. Relaciones
Explota
Amenazas Vulnerabilidades

Afecta a
Protegen Aumenta
contra
Aumenta

Disminuye
Riesgo
Salvaguardas Activos

Aumenta

Satisfecho Indica Tiene
por
Requisitos de
Valor de activos
seguridad
16/09/2008 27

Análisis de Riesgos. Relaciones
Dir. Transversal,
Dir.
Equipos obsoletos,
Hackers, Sabotajes, Explota Buff. Overflow,
Buff. Overflow,
Buff. Overrun,
Buff. Overrun,
Virus, Phising, Unauthorized mail access,
access,
Spam, Averías, etc. Priv. Escalation, DoS,
Escalation, DoS,
Falta formación,
formació Afecta a
Protegen Aumenta Open Relay, etc.
Relay,
contra

Aumenta
Cluster, Antivirus,
Disminuye
Antispam, Backup
Riesgo eMail
Respaldo,
Formación, etc.
Aumenta

Satisfecho Indica Tiene
por
Requisitos de
Valor del eMail
seguridad

16/09/2008 28

Análisis de Riesgos. Metodologías de Análisis de
Riesgos

• NIST SP800-30(NIST-USA).
• MAGERIT
• IT Baseline Protection Manual (BSI - Alemania).
• CRAMM (Siemens Insight Consulting - UK)
• OCTAVE (SEI Carnegie Mellon University - US).
• EBIOS (DCSSI-Francia).
• MÉHARI (Méthode Harmonisée d’Analyse de
Risques Informatiques). 565 €, herramienta
RISICARE (≈9200€+565€ formación extranjero)
• Otras: COBRA, SCORE, CALIO, ISAAM, RA2,
MOSLER, Gretener, etc.
16/09/2008 29

RESPONSABILIDADES DE LA
DIRECCIÓN

Compromiso

Recursos

Formación
preparación
competencia

16/09/2008 30

COMPROMISO DE LA DIRECCIÓN

La Alta Dirección, no tiene por qué tener la menor idea de los
aspectos técnicos de la Seguridad Informática (es más, sería un error
que le dedique tiempo a aprender estas cosas)
Lo que tiene clarísimo es la relación: Coste/beneficio/Negocio con una
visión global de la empresa.
Y ahí sí sabrá elegir cual es el mejor curso de Acción que deberá adoptar
para su Negocio global (si se lo ha sabido presentar debidamente).

Por lo tanto el trabajo importante es saber resumir/concretar la
tarea de muchas semanas o meses que conlleva esta actividad, entre 3
a 6 CURSOS DE ACCIÓN, y una vez adoptada la decisión directiva,
encontrar todos los medios de llevar adelante esta determinación (y
por supuesto, generar el correspondiente “feedback”)

16/09/2008 31

Gestión de la Seguridad . ISO 27001

Definir el alcance del SGSI
Definir la política del SGSI
Identificar los riesgos
Gestionar los riesgos
Seleccionar los controles ISO 17799:2005

Planificar
Implantar las Establecer
mejoras Definir e implantar
el SGSI plan de gestión de
Adoptar acciones
Actuar Hacer riesgos
preventivas y
correctivas Implantar
Mantener y Implantar y
controles
Comunicar acciones
Mejorar el SGSI Operar el SGSI seleccionados y sus
y resultados
indicadores
Verificar que las Comprobar
Implantar el
mejoras cumplen su
Sistema de Gestión
objetivo Monitorizar y
Revisar el SGSI

Desarrollar procedimientos de
monitorización
Revisar regularmente el SGSI
Revisar los niveles de riesgo 16/09/2008 32
Auditar internamente el SGSI

Gestión de la Seguridad .
Criterios de éxito para la implantación de un SGSI

Las recomendaciones de la norma
Política de seguridad coherente con los objetivos de negocio
1.

Un sistema consistente con la cultura de la organización
2.

Un buen análisis de los requerimientos de seguridad
3.

Buena comunicación de la seguridad a todo el personal
4.

Métricas e indicadores que permitan saber cómo funciona el SGSI
5.

Distribución de guías de seguridad
6.

Soporte de la dirección
7.

Recursos
8.

Formación y concienciación
9.

Gestión de incidentes
10.
16/09/2008 33

SGSI
En el punto cuatro de la norma, se establecen
los conceptos rectores del SGSI.

Punto 4.1. Requerimientos generales:
La organización, establecerá, implementará, operará,
monitorizará, revisará, mantendrá y mejorará un
SGSI documentado en su contexto
para las actividades globales de su negocio y de
cara a los riesgos. Para este propósito, el proceso
está basado en el modelo PDCA.

16/09/2008 34

SGSI
Punto 4.3.2. Control de documentos:
Todos los documentos requeridos por el SGSI serán protegidos y controlados.
Un procedimiento documentado deberá establecer las acciones de
administración necesarias para:

•Aprobar documentos y prioridades o clasificación de empleo
•Revisiones, actualizaciones y reaprobaciones de documentos
•Asegurar que los cambios y las revisiones sean identificadas
•Asegurar que las últimas versiones estén disponibles
•Asegurar que los documentos permanezcan legibles e identificables
•Asegurar que los documentos estén disponibles para quien los
necesite y sean transferidos, guardados y finalmente clasificados
•Asegurar que los documentos de origen externo sean identificados
•Asegurar el control de la distribución de documentos
•Prevenir el empleo no deseado de documentos obsoletos

16/09/2008 35

LOS CONTROLES

• Son mecanismos que chequean estado de las TI en términos de cómo
proporcionan valor y de cómo se gestiona el riesgo.

• La perspectiva con la que tanto TI como la dirección deben verlos:
– No son un mal obligatorio por ley o una obligación que viene del dpto.
de Seguridad de la Información
– No son sólo necesarios, generan resultados positivos cuando se
ejecutan correctamente

16/09/2008 36

CONTROLES EN ANEXO A

Este anexo los numera de la siguiente manera:
A.5 Política de seguridad
A.6 Organización de la información de seguridad
A.7 Administración de recursos
A.8 Seguridad de los recursos humanos
A.9 Seguridad física y del entorno
A.10 Administración de las comunicaciones y
operaciones
A.11 Control de accesos
A.12 Adquisición de sistemas de información,
desarrollo y mantenimiento
A.13 Administración de los incidentes de seguridad
A.14 Administración de la continuidad de negocio
A.15 Marco legal y buenas prácticas

16/09/2008 37

16/09/2008 38

ALGUNOS EJEMPLOS
A.9 Physical and environmental security
A.9.1 Secure areas
Objective: To prevent unauthorized physical access, damage and interference to the
organization premises and information
A.9.1.1 Physical Security perimeter CONTROL: Security perimeters (barriers such
as walls, card controlled and entry gates or
manned reception desks) shall be used to
protect areasthat contain information and
information processing facilities
A.9.1.2 Physical entry controls CONTROL: Secure areas shall be protected by
appropiate entry controls to ensure that only
authorized personnel are allowed access
A.9.1.3 Securing offices, rooms CONTROL: Physical security for offices, rooms
and facilities and facilities shall be designed and applied

……
16/09/2008 39

ISO 27002

Código de buenas prácticas
para la gestión de la
seguridad de los sistemas
de información

16/09/2008 40

16/09/2008 41

ISO 27002 - Tipos de controles

Prevención Riesgo

Detección
Incidente
Contención

Daños
Corrección

Evaluación Recuperación

16/09/2008 42

16/09/2008 43

¿Cómo decidir qué controles debo
usar?
Confirmar lo relevante de los controles a través de una valoración de
riesgos

Definir claramente los objetivos, asegurando que se alinean con el
negocio:
- Usar indicadores que existan, tipo KPIs de ITIL

Para la auditoría del SGSI identificar controles que se puedan
monitorizar continuamente mediante herramienteas elegidas

Antes de usar ninguna herramienta confirmar los objetivos con la
dirección y con terceros contratados a través de SLAs/OLAs
16/09/2008 44

Gestión de la Seguridad .
Factores de éxito
Orientación al negocio
Liderazgo de la dirección
Participación del personal
Seguridad basada en riesgo
Enfoque basado en procesos, no
en productos
Enfoque de sistema de gestión
Medición y mejora continua
Toma de decisión basada en
hechos
Gestión planificada de incidentes

16/09/2008 45

ISO 27001/27002

BENEFICIOS
• Alineamiento con la serie ISO 9000 de gestión de calidad
• Asegura una gran consistencia en la gestión de los sistemas
de información
• Cohesión internacional
• Reconocimiento profesional
• Beneficios frente a administraciones públicas
OBSTACULOS
• Aceptación y despegue internacional
• Soporte y acuerdos a nivel nacional

16/09/2008 46

5- IMPLANTACIÓN Y
CERTIFICACIÓN

Auditoría / evaluación inicial

Análisis de riesgos

Consultora
Selección de controles
PROYECTO DE
IMPLANTACION Y
Desarrollo e implantación del SGSI
CERTIFICACION
DE SGSI
Auditoría interna

Corrección de no conformidades

Certificadora
Auditoría de certificación
16/09/2008 47

Proceso a seguir

16/09/2008 48

DETERMINACIÓN DE RIESGOS

16/09/2008 49

16/09/2008 50

16/09/2008 51

SOLICITUD + MANUAL+
PROCEDIMIENTOS

REVISIÓN DE
DOCUMENTACIÓN

DOC.
NO
COMPLETA
Y ADECUADA

SI
AUDITORÍA INICIAL

SI
ACCIONES
CORRECTORAS
VALIDAS
PETICIÓN DE NUEVAS
ACCIONES CORRECTORAS CONCESIÓN DEL CERTIFICADO
NO
Y/O VISITA EXTRAORDINARIA

AUDITORÍA DE SEGUIMIENTO
(ANUAL)

SI
ACCIONES
CORRECTORAS
VALIDAS

PETICIÓN DE NUEVAS VALIDACIÓN DEL
NO
ACCIONES CORRECTORAS CERTIFICADO
Y/O VISITA EXTRAORDINARIA

AUDITORÍA DE RENOVACIÓN
16/09/2008 52
(TRIANUAL)

16/09/2008 53

16/09/2008 54

¿Alguna pregunta?

Gabriel Díaz Orueta

16/09/2008 55

REFERENCIAS
• http://www.iso.org/iso/home.htm
• http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html
• http://www.standardsglossary.com/
• http://en.wikipedia.org/wiki/ISO_27000
• http://www.27000-toolkit.com/
• http://www.iso27001security.com/
• http://www.praxiom.com/27001.htm
• http://www.information-security-policies-and
standards.com/standard/index.htm
• http://www.informationshield.com/iso17799.html
• http://www.isaca.com/cobit
• http:// www.itil.co.uk

16/09/2008 56

Muchas gracias a todos
16/09/2008 57

09 Global Knowledge II Avanza 2009

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Andere mochten auch

Andere mochten auch (20)

Ähnlich wie 09 Global Knowledge II Avanza 2009

Ähnlich wie 09 Global Knowledge II Avanza 2009 (20)

Mehr von Pepe

Mehr von Pepe (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (20)

09 Global Knowledge II Avanza 2009