Isec iso17799 iso 27001 intensivo

Seguridad de la Información
NORMA ISO 17799 / ISO 27001
Implementación Práctica

Recepción
Presentación General
• Objetivos
• Director
• Sugerencias
• Participantes
• Roadmap

• Identificación de los requerimientos específicos de la
norma ISO 17799 en sus 11 dominios.
• Comprender el proceso de adecuar la compañía para
lograr la Certificación ISO 27001.
• Talleres prácticos de implementaciones: soluciones y
problemas ocurridos.
• Al final del Entrenamiento se entregará a cada participante un
Manual de Gestión de Seguridad de la Información basado en
la Norma ISO 17799 / ISO 27001.
Objetivos
Adquirir conocimientos y metodologías de implementación
de medidas de seguridad de acuerdo con los requerimientos
de la Norma ISO 17799 / ISO 27001 :

Instructor: Martín Vila
martin.vila@i-sec.org
Business Director I -Sec Information Security (2001 - 2006)
Gerente experimentado de la práctica de Business Risk Management de
Pistrelli, Díaz y Asociados, miembro de Arthur Andersen (abril 1992 -
abril 2001)
Ha liderado numerosos proyectos de Auditoría e Implementación de
Programas de Seguridad Informática en Entidads de primer nivel en el
ámbito local e internacional, basados en distintas Normativas (ISO
17799, BS7799, COBIT, NIST, Sarbanes Oxley).
Ha desarrollado y participado como instructor en Information Security
Courses en USA, Centroamérica y Latinoamérica (Arthur Andersen,
ISACA, Guarded Networks, Ernst & Young, Microsoft, IT College, ISEC,
IDEA, ERC-Computer, ATS, IT Services, Global Solution,
INFOSECURITY, Universidad CAECE).
Ha sido invitado como Especialista en diversos medios de comunicación
masivo como ser CNN, Diario Clarín, El Cronista Comercial, InfoBAE,
entre otros.

Instructor: Sixto Flores R.
sixto.flores@i-sec.org
Country Manager I -Sec Information Security Ecuador
Gerente IT Services S.A.
Gerente Producto Symantec Nexsys del Ecuador
Gerente Administrativo-Financiero Inacom-Ecuador
Gerente Dinformatica Grupo Diners-Banco Pichincha
Especialista en Dirección Internacional de Empresas (POST GRADO)
Ing. De Empresas
Analista de Sistemas
Tecnólogo Programador

Identificar objetivos.
Anotar respuestas.
Intercambiar experiencias.
Generar un plan de acción propio.
Participar activamente.
Aclarar las dudas.
Ser positivo y entusiasta.
Comunicar los inconvenientes o disconformidades.
Sugerencias

TRACK I : APERTURA
TRACK II : QUE ES SEGURIDAD?
TRACK III : NORMAS APLICABLES
TRACK IV : Cómo se implementa un Programa de Gestión de
Seguridad de la Información (ISMS)?
TRACK V : Cómo es un Proceso de Certificación ISO 27001 de una
Organización?
TRACK VI : Principales controles definidos en cada uno de los
Dominios de la ISO17799:2005
TRACK VII : Taller Práctico FINAL: Elaboración de un Programa
General de Seguridad para preparar a la Compañía para Certificar
TRACK VIII : MODELO ANUAL DE GESTION CONTINUA
Roadmap

Por que?
Reconocer los riesgos y su impacto en
los negocios

INTERNET
Nadie logra controlar la epidemia: el
“correo basura” invade las casillas de todo
el mundo
Apenas 150 “spammers” norteamericanos son los responsables del
90 por ciento de los mensajes no deseados que atestan las
computadoras de todo el mundo. Todavía no hay leyes para limitar
su impacto económico.
Algunos datos
11:22 | EL GUSANO
Un nuevo virus se
esconde en tarjetas
navideñas
Un virus informático, que se esconde en
una tarjeta electrónica de felicitación,
comenzó a circular por la red, informó
Panda Software. La compañía advirtió a los
usuarios que extremen las medidas de
seguridad durante estas fiestas.
ESTAFAS EN INTERNET
El “phishing” ya pesca en todo America
Detectaron casos que afectaron a numerosas empresas y a los clientes
de bancos estadounidenses y del resto de America.

Algunos hechos
12:50 | A TRAVES DE MAIL
Utilizan las siglas del FBI para
propagar un virus
La famosa policía federal
estadounidense advirtió sobre
la difusión de falsos correos
electrónicos que llevan su
nombre.
La pregunta secreta
del caso "Paris Hilton"
------------------------------
-------------
Hace apenas unos días saltó la noticia de que
los contenidos del
teléfono móvil de Paris Hilton habían sido
publicados en Internet. En
un principio se barajó la posibilidad de que
hubieran accedido a
la tarjeta SIM, o de que se tratara de una
intrusión a los servidores
de T-Mobile aprovechando inyecciones SQL.
Al final parece ser que el
método empleado fue mucho más sencillo,
bastaba con contestar a la
pregunta "¿cuál es el nombre de su mascota
favorita?".

Legales | Infracciones Graves
El delito informático
En forma amplia, es "toda acción reputada como delito
para cuya consumación se utilizan o afectan medios
informáticos". Vulneran tanto los equipos como los
programas, e incluyen virus, sustracción de información o
piratería.En un terreno más restringido, son sólo aquellas
acciones que vulneran los equipos fijos de computación.
Libertad, control y responsabilidad en Internet
Diariojudicial.com publica hoy un polémico fallo por el que se condena a los
responsables de un sitio de internet por un mensaje
injurioso anónimo ingresado en un libro de visitas, de
libre acceso por los navegantes. La resolución preocupa a los sitios web y puede sentar un
duro precedente para aquellos que contengan foros y libros de visitas abiertos al público.
Algunos hechos

Algunos datos
La seguridad de redes, una prioridad para las
empresas
Cisco publicó los resultados de un estudio de
seguridad realizado a directivos latinoamericanos
de IT. De acuerdo a los resultados, el 79 % de los
Directivos de IT de Latinoamérica opina que la
seguridad de redes es un tema "de extrema
prioridad" o "muy prioritario" para los directivos de
sus compañías.

NEGOCIOS
Una nueva fiebre “enferma” a las
empresas de todo el mundo: la
seguridad de la información
La gestión de las políticas de seguridad de la
información obsesiona a miles de empresas de todo
el mundo. Ahora, ya no se conforman con controlar
los datos circulantes; también quieren ahorrar
millones.
Algunos datos

No existe la “verdad absoluta” en Seguridad
Informática.
No es posible eliminar todos los riesgos.
La Dirección está convencida de que la Seguridad
Informática no hace al negocio de la compañía.
Cada vez los riesgos y el impacto en los negocios son
mayores.
Algunas premisas

En mi compañía ya tenemos seguridad porque ...
... implementamos un firewall.
... contratamos una persona para el área.
... en la última auditoría de sistemas no me
sacaron observaciones importantes.
... ya escribí las políticas.
... hice un penetration testing y ya
arreglamos todo.
Algunas realidades

En general todos coinciden en:
El 80% de los incidentes/fraudes/ataques son
efectuados por personal interno
Fuentes:
The Computer Security Institute
Cooperative Association for Internet Data Analysis (CAIDA)
CERT
SANS
Algunos datos

Según una encuesta del Departamento de Defensa
de USA:
Sobre aproximadamente 9000 computadores
atacados,
7,900 fueron dañados.
400 detectaron el ataque.
Sólo 19 informaron el ataque.
Algunos datos

• en formato electrónico / magnético / óptico
• en formato impreso
• en el conocimiento de las personas
Qué Información proteger

Principales riesgos y su impacto en los
negocios

Captura de PC desde el exterior
Violación de e-mails
Violación de contraseñas
Interrupción de los servicios
Intercepción y modificación de e-mails
Virus
Fraudes informáticos
Incumplimiento de leyes y regulaciones
Robo o extravío de notebooks
empleados deshonestos
Robo de información
Destrucción de soportes documentales
Acceso clandestino a redes
Intercepción de comunicaciones
Destrucción de equipamiento
Programas “bomba”
Acceso indebido a documentos impresos
Software ilegal
Agujeros de seguridad de redes conectadas
Falsificación de información
para terceros
Indisponibilidad de información clave
Spamming
Violación de la privacidad de los empleados
Ingeniería social
Principales riesgos
Propiedad de la Información
Mails “anónimos” con información crítica o con agresiones

Password cracking
Man in the middle Exploits
Denegación de servicio
Escalamiento de privilegios
Replay attack
Keylogging
Port scanning
Instalaciones default
Puertos vulnerables abiertos
Servicios de log inexistentes o que no son chequeados
Desactualización
Backups inexistentesÚltimos parches no instalados
Principales riesgos

En estos tipos de problemas es difícil:
•Darse cuenta que pasan, hasta que pasan.
•Poder cuantificarlos económicamente, por ejemplo
¿cuánto le cuesta a la compañía 4 horas sin sistemas?
•Poder vincular directamente sus efectos sobre los
resultados de la compañía.
Principales riesgos y el impacto en los negocios

Se puede estar preparado para que ocurran lo menos posible:
• sin grandes inversiones en software
• sin mucha estructura de personal
Tan solo:
• ordenando la Gestión de Seguridad
• parametrizando la seguridad propia de los sistemas
• utilizando herramientas licenciadas y libres en la web
Principales riesgos y el impacto en los negocios

Si igual voy a hacer algo, porque no lo
hago teniendo en cuenta las Normas
Internacionales aplicables

Information Systems and Audit Control Association - ISACA:
COBIT
British Standards Institute: BS
International Standards Organization: Normas ISO
Departamento de Defensa de USA: Orange Book / Common
Criteria
ITSEC – Information Technology Security Evaluation Criteria:
White Book
Sans Institute, Security Focus, etc
Sarbanes Oxley Act, Basilea II, HIPAA Act, Leyes
NACIONALES
OSSTMM, ISM3, ISO17799:2005, ISO27001
Normas y Metodologías aplicables

Elegimos la más aceptada a nivel
mundial
Norma ISO 17799
Gestión de Seguridad

0
250
500
750
1000
1250
2002 2003 2004 2005
Empresas certificadas en el mundo
2.299 Empresas certificadas en el mundo a mar-2006
Japón 1.338, India 163, Taiwan 77, Inglaterra 74, USA 34,
España 6 ,Brazil 5, Mexico 4, Argentina 3, Colombia 2, Chile 1
www.Xisec.com

China, 10
India, 81
Taiwan, 46
Qatar, 1
Saudi Arabia, 3
UAE, 3
Australia, 11
Hong Kong, 17
Japan, 480
Korea, 30
Macau, 1
Malaysia, 2
Singapore, 10
Austria, 5
Belgium, 5
Czech Republic, 1
Denmark, 2
Finland, 13
Germany, 36
Greece, 3
Hungary, 12
Iceland, 4
Ireland, 10
Isle of Man, 2
Italy, 23
Lithuania, 1
Luxemburg, 1
Macedonia, 1
Netherlands, 18
Norway, 9
Poland, 5
Slovakia, 1
Spain, 3
Sweden, 7
Switzerland, 5
UK, 185
Empresas certificadas en el mundo

BSI (UK)
BSI-J (Japón)
JQA (Japón)
DNV (Noruega)
JACO (Japón)
KPMG (Suiza)
LRQA (UK)
SGS (Suiza)
JICQA (Japón)
JUSE (Japón)
NQA (UK)
CIS (Austria)
SAI (Australia)
IMQ (Italia)
CE (Irlanda)
PSB (Singapur)
BVQI (UK)
SFS (Finlandia)
KEMA (Holanda)
TÜV (Alemania)
DQS (Alemania)
Otros
STQC (India)
Certification bodies:

• ISO9001 – Calidad
• ISO14001 – Ambiental
• ISO17799-1 – Seguridad de la Información - 1 .
NORMALIZACION (Mejores Prácticas)
• ISO 27001 – CERTIFICACION de Seguridad de la
Información
Normas de Gestión ISO

Está organizada en capítulos en los que se tratan los distintos criterios
a ser tenidos en cuenta en cada tema para llevar adelante una
correcta:
GESTION DE SEGURIDAD DE LA INFORMACION
Alcance
Recomendaciones para la gestión de la seguridad de la
información
Base común para el desarrollo de estándares de seguridad
Norma ISO 17799 Seguridad de la Información

1. Política de Seguridad
2. Organización de Seguridad
3. Administración de Activos
4. Seguridad de los Recursos Humanos
5. Seguridad Física y Ambiental
6. Gestión de Comunicaciones y Operaciones
7. Sistema de Control de Accesos
8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
9. Administración de Incidentes de Seguridad de la Información
10. Plan de Continuidad del Negocio
11.Cumplimiento
Norma ISO17799 (versión 2005)

Qué cambió de la versión anterior
Norma ISO 17799: 2005

NUEVA SECCION
antes 10 ahora 11 Dominios
ADMINISTRACION DE INCIDENTES

3: Estructura del Estandar
• Detalle para Asistir al uso y aplicación más ameno y fácil del
estándar
4: Risk Assessment & Treatment
• Highlights sobre la importancia de efectuar un risk assessment
para definir los CONTROLES APLICABLES
• La necesidad de un continuo assesment y administración de
los RIESGOS
• Highlights sobre la importancia de la participación del
Management en el análisis de RIESGOS
Hay dos SECCIONES GENERALES nuevas

Cumplimiento15.Cumplimiento
12
.
Administración de la Continuidad del
Negocio
14.
Administración de la
Continuidad del Negocio
11
.
Administración de Incidentes de Seguridad
de la Información
13.
Adquisición , Desarrollo y Mantenimiento de
Sistemas de Información
12.
Desarrollo y Mantenimiento
de Sistemas
10
.
Administración de Accesos11.Administración de Accesos9.
Administración de las Comunicaciones y
Operaciones
10.
Administración de las
Comunicaciones y
Operaciones
8.
Physical & Environmental Security9.Seguridad Físca y Ambiental7.
Seguridad de los Recursos Humanos8.Seguridad del Personal6.
Administración de Activos7.
Clasificación y Control de
Activos
5.
Organización de la Seguridad de la
Información
6.
Organización de la
4.
Política de Seguridad5.Política de Seguridad3.
Evaluación y Manejo de los Riesgos4.
Estructura del Estándar3.
Términos y definiciones2.Términos y definiciones2.
Alcance1.Alcance1.
ISO17799:2005ISO17799:2000
ISO17799:2000 vs ISO17799:2005

BS7799-2
Fue revisado y se ha convertido en la nueva
ISO 27001
Octubre 15, 2005
De la misma forma se espera que
la ISO 17799 se convierta en ISO 27002

NACE LA FAMILIA DE LAS NORMAS ISO
27000
• ISO/IEC 27001 (BS7799-Part 2) - ‘Information Security Management
System’. Due for release in November 2005. (Once ISO/IEC 27001
is released, BS7799-2:2002 will be withdrawn)
• ISO/IEC 27002 (ISO/IEC 17799 & BS7799- Part 1) - The planned
‘Code of Practice’ replacement for ISO/IEC 17799:2005 scheduled
for April 2007
• ISO/IEC 27003 (BS7799-3) ‘Risk Assessment’. No announcement
has yet been made regarding ISO/IEC 27003 however, the BSI
expect to release BS7799-3 in November 2005
• ISO/IEC 27004 (BS7799-4) ‘Information Security Metrics and
Measurement’. No launch date is available, although the BSI will
publish a description in July/August 2005

Preservar la:
confidencialidad:
accesible sólo a aquellas personas autorizadas a tener acceso.
integridad:
exactitud y totalidad de la información y los métodos de
procesamiento.
disponibilidad:
acceso a la información y a los recursos relacionados con ella
toda vez que se requiera.
Norma ISO 17799 Seguridad de la Información

TRACK IV :
Cómo se implementa un
Programa de Gestión de
(ISMS)?

Porqué Implementar un ISMS / SISTEMA DE GESTION
ISO 17799?
Algunas consideraciones generales de porqué
implementarlo:
•Para poder tener una Metodológica dedicada a la
seguridad de información reconocida internacionalmente
•Contar con un proceso definido para Evaluar,
Implementar, Mantener y Administrar la seguridad de la
información

•Diferenciarse en el mercado de otras organizaciones
•Satisfacer requerimientos de clientes, proveedores y
Organismos de Contralor
•Potenciales disminuciones de costos e inversiones
•FORMALIZAR las responsabilidades operativas y
LEGALES de los USUARIOS Internos y Externos de la
Información
•Cumplir con disposiciones legales (por ej. Leyes de
Protección de Datos, Privacidad, etc.)
•Tener una Metodología para poder ADMINISTRAR los
RIESGOS

Planificar
Hacer
Actuar
Verificar
SGSI SISTEMA DE GESTION DE SEGURIDAD
DE LA INFORMACION
Está basado en el Modelo utilizado por las
NORMAS ISO en general:

• política de seguridad, objetivos y actividades que
reflejen los objetivos de la empresa;
• una estrategia de implementación de seguridad
que sea consecuente con la cultura
organizacional;
• apoyo y compromiso manifiestos por parte de la
gerencia;
• un claro entendimiento de los requerimientos de
seguridad, la evaluación de riesgos y la
administración de los mismos;
• comunicación eficaz de los temas de seguridad a
todos los gerentes y empleados;
Factores críticos del éxito

• distribución de guías sobre políticas y estándares
de seguridad de la información a todos los
empleados y contratistas;
• instrucción y entrenamiento adecuados;
• un sistema integral y equilibrado de medición que
se utilice para evaluar el desempeño de la gestión
de la seguridad de la información y para brindar
sugerencias tendientes a mejorarlo.
Factores críticos del éxito

Principales PASOS a seguir en la IMPLEMENTACION
del SGSI
Implementación del SGSI en 12 PASOS:
Para un entendimiento PRACTICO del Proceso de
IMPLEMENTACION del SGSI, se definen a continuación
las principales TAREAS a incluir en el PLAN de ACCION
son:
1)Definir el alcance del SGSI desde el punto de vista de las
características de la actividad, la organización, su
ubicación, sus activos y su tecnología
2)Definir una Política GENERAL del SGSI

3)Definir una METODOLOGIA para la CLASIFICACION de
los RIESGOS
4)Identificar y Valorar los riesgos
5)Identificar y definir ALTERNATIVAS para el tratamiento de
riesgos:
•Aplicar controles
•Aceptar los riesgos
•Evitar riesgos
•Transferir los riesgos asociados de las actividades a otras
partes (ejemplo a Compañías de Seguros)

6)Seleccionar objetivos de control y controles específicos
a IMPLEMENTAR
El detalle de los controles se incluye en la Sección
Dominios de ISO 17799.
Cualquier EXCLUSION de controles que se considera
como necesaria para satisfacer el criterio de aceptación de
riesgo, se debe justificar y se debe proporcionar la
evidencia. Cuando se realizan exclusiones, no se podrá
alegar conformidad con esta norma a menos que dichas
exclusiones no afecten la capacidad de la organización,
y/o su responsabilidad para proveer seguridad de
información cumpliendo con los requisitos de seguridad
determinados por la evaluación de riesgo y los requisitos
regulatorios aplicables.

7)Preparar una DDA Declaración de Aplicabilidad (qué
CONTROLES se van a IMPLEMENTAR)
8)Obtener la aprobación de la Dirección de:
• DDA Declaración de Aplicabilidad
• Riesgos Residuales no cubiertos
9) Formular un plan CONCRETO y DETALLADO para:
• Tratamiento de los riesgos
• Controles a Implementar
• Programas de entrenamiento y concientización de
usuarios
• Gestionar el SGSI
• Procesos de detección y respuesta a los incidentes
de seguridad

10) Implementar los CONTROLES
•Controles en los Procesos de Usuarios
•Controles Automáticos en las Tecnologías
•Documentación de respaldo
•Registros de respaldo
11)Realizar Revisiones Periódicas (Auditoría Interna y
la Dirección):
•controles implementados
•nuevos riesgos
•riesgos residuales
12)Implementar las mejoras identificadas en el SGSI

Requisitos FUNDAMENTALES de la
Documentación SOPORTE en un SGSI
Es necesario también tener en cuenta que más allá de la
implementación, es necesario el MANTENIMIENTO
ACTUALIZADO Y PROTEGIDO de la Documentación de
respaldo del SGSI, para lo cual hay que establecer:
•Documentación mínima de respaldo
•Procedimiento de Gestión de dicha documentación

Documentación MINIMA del SGSI:
a) Declaraciones documentadas de la política de seguridad
y los objetivos de control
b) El alcance, los procedimientos y controles de apoyo
c) El informe de evaluación de riesgos
d) El plan de tratamiento de riesgo
e) Los procedimientos documentados necesarios para la
planificación, la operación y el control del SGSI

f)Los registros requeridos:
Los registros se deben establecer y mantener para
proveer evidencia de conformidad con los requisitos,
deben permanecer legibles, fácilmente identificables y
recuperables. Algunos ejemplos: logs de los sistemas
para auditorías, formularios firmados de accesos, etc.
g) La DDA Declaración de Aplicabilidad

Procedimiento de GESTION de la Documentación
Los documentos requeridos deben cumplir con los
requerimientos FORMALES del ISMS para:
a) aprobar los documentos previos a su distribución
b) revisar y actualizar los documentos según la necesidad y
aprobarlos nuevamente
c) asegurarse de que los cambios y las revisiones de los
documentos estén identificados

d) asegurarse de que las versiones más recientes de
los documentos pertinentes están disponibles en
cualquier punto de uso
e) asegurarse de que los documentos se mantengan
legibles y fácilmente identificables
f) asegurarse de que los documentos de origen
externo estén identificados
g) asegurarse de que la distribución de documentos
este controlada

h) prevenir el uso no intencionado de documentos
obsoletos
i) realizar una adecuada identificación si se retienen
por cualquier causa
NOTA: existen Software que ayudan al
mantenimiento de esta Gestión Documental
disponibles en el mercado.

Cómo establecer los requerimientos de Seguridad
Evaluar los riesgos:
• se identifican las amenazas a los activos,
• se evalúan vulnerabilidades y probabilidades de ocurrencia, y
• se estima el impacto potencial.
Requisitos legales, normativos, reglamentarios y contractuales
que deben cumplir:
• la organización,
• sus socios comerciales,
• los contratistas y los prestadores de servicios.
Conjunto específico de principios, objetivos y requisitos para el
procesamiento de la información, que ha desarrollado la
organización para respaldar sus operaciones.

TRACK V :
Cómo es un Proceso de
Certificación ISO 27001 de una
Organización?

QUÉ ES CERTIFICAR?
El proceso de Certificación es la Generación de
un INFORME Firmado por parte de un
TERCERO (ajeno a la organización) que define
que, de acuerdo con su CRITERIO
PROFESIONAL, dicha Organización CUMPLE o
NO CUMPLE con los Requerimientos
establecidos en la Normativa.

PORQUE CERTIFICAR?
Para poder Mostrar al Mercado que la Organización tiene un
adecuado SISTEMA DE GESTION DE LA SEGURIDAD DE LA
INFORMACIÓN.
Una empresa CERTIFICADA no implica que NO TIENE MAS
RIESGOS DE SEGURIDAD DE LA INFORMACION, sino que
tienen un adecuado Sistema de Gestión de dichos Riesgos y
Proceso de MEJORA CONTINUA.

QUE ORGANIZACIONES PUEDEN
CERTIFICAR?
Cualquier Organización, grande o pequeña, pública
o privada, de Gobierno o sin fines de lucro, etc, está
en condiciones y habilitada para CERTIFICARSE.

QUIENES ESTAN AUTORIZADOS A EFECTUAR
LA CERTIFICACION?
Cualquier Agente ajeno a la Organización (Profesional
Independiente o Compañía) puede Firmar el Informe antes
mencionado.
Pero dado que la Certificación además de un valor Interno de
Asegurarse de Cumplir con la Normativa, tiene un fin principal
de poder Mostrar dicha Certificación al Mercado Externo,
generalmente se recurre a Organizaciones que estén
Técnicamente Aceptadas y además reconocidas
INTERNACIONALMENTE para efectuar dicho trabajo. Por ello
se recurre a Organizaciones que estén ACREDITADAS (este es
el término técnico utilizado) en el Organismo Internacional de
Acreditación. Ejemplo de este tipo de Organizaciones son el
Bureau Veritas BVQI, Det Norske Veritas DNV, TÜV, etc.

LA CERTIFICACION ES SEGÚN ISO 17799 O
SEGÚN ISO27001?
Las Organizaciones implementan de acuerdo a
ISO17799-1 pero las Empresas Certificadoras utilizan
el ISO27001 (antes BS7799-2) para hacer los Informes
de Certificación.

COMO ES EL PROCESO DE CERTIFICACION?
El requerimiento previo es que la Organización
cumpla con la Implementación del SGSI definido en
la Sección anterior.
Luego se convoca al Tercero para efectuar la
CERTIFICACION.

Los principales PASOS son:
•Preparar la Documentación Soporte a Presentar
•Efectuar la PREAUDITORIA para conocer el GAP Analisis respecto al
Estándar
•Identificar conjuntamente:
•las NO CONFORMIDADES (incumplimientos de
acuerdo al Estándar)
•las NO CONFORMIDADES que son ACEPTADAS
(sólo se documentan los argumentos de justificación)
•las NO CONFORMIDADES que NO son
ACEPTADAS (se definen las MEJORAS a
implementar)

•Implementar las MEJORAS y Generar los Soportes
Documentales correspondientes
•Efectuar la AUDITORIA DE CERTIFICACION y
Generación del Informe Final de Certificación
incluyendo las NO CONFORMIDADES (aceptadas o
NO y sus Riesgos Residuales aceptados por la
Dirección de la Organización)

•Gestionar los respaldos para la Acreditación
Internacional de la Certificación lograda
•Auditorías periódicas de la Empresa Certificadora
para validar el continuo cumplimiento de los
Requerimientos de la Normativa

PUEDE UNA ORGANIZACION PERDER LA
CERTIFICACION?
Si una Organización no cumple con los
requerimientos, puede ocurrir que en la Auditoría
Periódica la Empresa Certificadora solicite que se
saque la Certificación Obtenida inicialmente.

TRACK VI :
Principales controles definidos
en cada uno de los Dominios de
la ISO17799:2005

Dominios de Norma ISO 17799
Dominio 1 - Política de Seguridad

Política de
Seguridad
Autorización
Protección Física
Propiedad
Eficacia
Eficiencia
Exactitud
Integridad
Legalidad
Disponibilidad
Confidencialidad
Confiabilidad
Dominio 1: POLÍTICA DE SEGURIDAD

Dominio 1: POLÍTICA DE SEGURIDAD
Procedimientos Estándares técnicos
Normas
Política General
Manual de Gestión de Seguridad

Dominio 2
Organización de la Seguridad

Sponsoreo y seguimiento
• Dirección de la Compañía
• Foro / Comité de Seguridad
Autorización
• Dueño de datos
Definición
• Área de Seguridad Informática
• Área de Legales
Administración
Administrador de Seguridad
Cumplimiento directo
Usuarios finales
Terceros y personal contratado
Área de sistemas
Control
Auditoría Interna
Auditoría Externa
Dominio 2: ORGANIZACION DE LA SEGURIDAD
Principales roles y funciones

Dominio 3
Administración de Activos

Dominio 3: Administración de Activos
1. Identificación de la información más crítica
Identificar información: cuál es la más crítica
Identificación de los sistemas / equipos / documentos
donde se conserva la información

2. Identificación de los principales riesgos
Para facilitar la identificación de los riesgos más críticos se pueden utilizar
las siguientes categorías:
Ataques externos a las redes
Modificaciones no autorizadas de datos por empleados
Acceso y difusión inoportuna de datos sensibles
Falta de disponibilidad de los sistemas
Software ilegal
Falta de control de uso de los sistemas
Destrucción de información y equipos

Según su origen se pueden agrupar en:
Naturales
Intencionales
No intencionales
Estos riesgos pueden ser clasificados en los siguientes tipos:
Difusión indebida
Alteración no autorizada
Falta de disponibilidad

Se debe definir quiénes son los principales agentes de riesgo para la
información de cada Dueño de Datos:
Espías comerciales / Competidores
Empleados deshonestos
Delincuentes profesionales
Terroristas informáticos
Ex-empleados disconformes
“Hackers”, “Crackers” y similares
Proveedores
Clientes
Operadores Bursátiles
Compañías asociadas

3. Clasificación de la información teniendo en cuenta
los riesgos identificados
1. Análisis de los principales riesgos a la que está expuesta.
2. Categorización en Confidencial, Restringida o Pública.
3. Identificación para determinar si se encuentra en medios
electrónicos y/o en medios físicos.
4. Aprobación de los sectores / usuarios que deben acceder a la
información crítica con permisos
5. Consolidación.

Dominio 4
Seguridad de los Recursos Humanos

Dominio 4: Seguridad de los Recursos Humanos
4.1 Seguridad en la definición de puestos de trabajo y la
asignación de recursos
Objetivo:
Reducir los riesgos de error humano, robo, fraude o uso
inadecuado de instalaciones.
Las responsabilidades en materia de seguridad deben ser:
expliicadas en la etapa de reclutamiento,
incluidas en los contratos y
monitoreadas durante el desempeño como empleado.

Acuerdos de confidencialidad
Los empleados deben firmar habitualmente un acuerdo de
esta índole como parte de sus términos y condiciones
iniciales de empleo.
El personal ocasional y los usuarios externos aún no
contemplados en un contrato formalizado (que contenga el
acuerdo de confidencialidad) deberán firmar el acuerdo
mencionado antes de que se les otorgue acceso a las
instalaciones de procesamiento de información.
Los acuerdos de confidencialidad deben ser revisados
cuando se identifican cambios en los términos y
condiciones de empleo o del contrato.

4.2 Capacitación del usuario
Objetivo:
Garantizar que los usuarios están al corriente de las
amenazas e incumbencias en materia de seguridad de la
información, y están capacitados para respaldar la política
de seguridad de la organización en el transcurso de sus
tareas normales.

Algunas consideraciones a tener en cuenta en el proceso
de concientización
Involucrar a TODO el personal de la Compañía.
“Sponsorearlo” por la Dirección.
Asegurar su permanencia a lo largo del tiempo.
"Agregar valor” a los usuarios.
Definir mecanismos de control de la participación de todo el
personal.
Implementar sanciones disciplinarias para los que no
participen.
Definir medidas en caso que algún miembro del personal
deje la Compañía.

Estrategias de Concientizaciòn
Usuarios finales
Terceros
Personal del Area de Sistemas

Usuarios Finales
Actividades
En persona
Por escrito
En los sistemas

En persona
• Presentaciones gráficas al personal de cada sector.
• Inducción a recursos nuevos.
• Videoconferencias a usuarios.
• Trabajos en grupos para análisis de casos prácticos.
• Reuniones con el personal clave de cada grupo humano.
• Inventarios de software en las estaciones de trabajo.

Por escrito
• Incorporación de conceptos de seguridad en evaluaciones
anuales de performance.
• Compromisos firmados por el personal actual y nuevo,
adjuntar en sus respectivos legajos (carpetas).
• Firma anual de actualización de la conformidad.
• Distribución de material gráfico al personal.
• Mensajes en cartelera.

En los sistemas
• Pantalla de inicio en los sistemas.
• Correos electrónicos periódicos.
• Entrenamiento interactivo.
• Intranet de seguridad informática.
• Concursos con temarios relacionados y premios atractivos.

Personal de Sistemas
• Seleccionar los temas y procedimientos más críticos
• Identificar dentro de las normas de Seguridad desarrolladas,
cuáles son:
– Los temas más sensibles a la operatoria de la compañía.
– Los procedimientos que requieran un mayor conocimiento
de la gente.
• Definir capacitación según perfil de cada sector:
– Operaciones
– Analistas
– Programadores
– Desarrollo
– Tecnología
– Responsables de área

Terceros: identificar los distintos “tipos”
• De contacto directo
– Clientes
– Proveedores
– Auditores externos
– Compañías asociadas
• De contacto institucional
– Cámaras empresariales
– Organismos de contralor
– Gobierno
– Accionistas
– Comunidad en general

4.3 Proceso disciplinario
Debe existir un proceso disciplinario formal para los
empleados que violen las políticas y procedimientos de
seguridad de la organización.

Dominio 5
Seguridad Física y Ambiental

Dominio 5: SEGURIDAD FISICA Y AMBIENTAL
Protección de:
Sedes
Instalaciones
Documentos Impresos

Dominio 6
Gestión de Operaciones y
Comunicaciones

Dominio 6: GESTION DE OPERACIONES Y
COMUNICACIONES
6.1 Procedimientos y responsabilidades operativas
Objetivo:
Garantizar el funcionamiento correcto y seguro de las
instalaciones de procesamiento de la información.
Se deben establecer las responsabilidades y
procedimientos para la gestión y operación de todas
las instalaciones de procesamiento de información.
Se debe implementar la separación de funciones
cuando corresponda.

Dominio 7
Sistema de Control de Accesos

Dominio 7: SISTEMA DE CONTROL DE ACCESOS
7.1 Requerimientos de negocio para el control de accesos
Objetivo:
Controlar el acceso de información.

Política de control de accesos
Requerimientos de políticas y de negocios
Las reglas y derechos del control de accesos, para cada
usuario o grupo de usuarios, deben ser claramente
establecidos en una declaración de política de accesos:
requerimientos de seguridad de cada una de las
aplicaciones comerciales;
identificación de toda información relacionada con las
aplicaciones comerciales;
políticas de divulgación y autorización de
información;

coherencia entre las políticas de control de acceso y de
clasificación de información de los diferentes sistemas
y redes;
legislación aplicable y obligaciones contractuales con
respecto a la protección del acceso a datos y servicios;
perfiles de acceso de usuarios estándar, comunes a
cada categoría de puestos de trabajo ;
administración de derechos de acceso.

Reglas de control de accesos
diferenciar entre reglas que siempre deben imponerse
y reglas optativas o condicionales;
establecer reglas sobre la base de la premisa “debe
estar prohibido a menos que se permita
expresamente”;
reglas que requieren aprobación antes de entrar en
vigencia.

Dominio 8
Adquisición, Desarrollo y
Mantenimiento de Sistemas de
Información

Dominio 8: Adquisición, Desarrollo y Mantenimiento de
8.1 Requerimientos de seguridad de los sistemas.
Objetivo:
Asegurar que la seguridad es incorporada a los sistemas
de información.
Los requerimientos de seguridad deben ser
identificados y aprobados antes del desarrollo de los
sistemas de información.

Dominio 8: Adquisición, Desarrollo y Mantenimiento de
Análisis y especificaciones de los requerimientos de
seguridad
Se deben considerar los controles automáticos a incorporar
al sistema y la necesidad de controles manuales de apoyo.
Los controles introducidos en la etapa de diseño son
significativamente más baratos de implementar y
mantener que aquellos incluidos durante o después de la
implementación.

Dominio 9
Administración de Incidentes de

Dominio 9: Administración de Incidentes de Seguridad de la
Información
Respuesta a incidentes y anomalías en materia de
seguridad
Objetivo:
Minimizar el daño producido por incidentes y
anomalías en materia de seguridad, y monitorear
dichos incidentes y aprender de los mismos.

Información
Los incidentes que afectan la seguridad deben ser
comunicados mediante canales gerenciales.
Se debe concientizar a todos los empleados y
contratistas acerca de los procedimientos de
comunicación de los diferentes tipos de incidentes.
La organización debe establecer un proceso
disciplinario formal para ocuparse de los
empleados que perpetren violaciones de la
seguridad.

Comunicación de incidentes relativos a la seguridad
Se debe establecer un procedimiento formal de:
comunicación,
respuesta a incidentes,
"feedback" a la persona luego de resueltos.
Estos incidentes pueden ser utilizados durante la
capacitación a fin de crear conciencia de seguridad en
el usuario.
Información

Dominio 10
Plan de Continuidad del Negocio

Dominio 10: Plan DE CONTINUIDAD DEL NEGOCIO
Principales etapas
• Clasificación de los distintos escenarios de desastres
• Evaluación de impacto en el negocio
• Desarrollo de una estrategia de recupero
• Implementación de la estrategia
• Documentación del plan de recupero
• Testeo y mantenimiento del plan

Clasificación de los distintos escenarios de desastres
Identificar los distintos tipos de “desastres”
Ponderar su ocurrencia
Fijar el alcance del proyecto a los desastres de mayor
probabilidad

Evaluación de impacto en el negocio
Definir los perjuicios “claves” en la evaluación del
impacto en el negocio.
Identificar los usuarios claves de cada sector.
Relevar las funciones críticas del negocio.
Definir un tiempo máximo para disponer de la
información sin que impacte en el negocio.
Efectuar estimaciones económicas del perjuicio para la
compañía.
Definir las funciones críticas que se identifican para la
recuperación.

Selección de una estrategia de recupero
Analizar impacto de desastres seleccionados y
funciones críticas identificadas en los equipos de
procesamiento.
Definir alternativas de recupero del procesamiento.
Analizar los costos actuales y futuros de las soluciones
Elegir la/las soluciones a implementar

Implementación de la estrategia
Desarrollar las medidas a implementar en cada una de
las etapas:
Identificación del desastre.
“Declaración” del desastre.
Actividades a desarrollar durante el desastre.
Recuperación del procesamiento para volver a la
“situación normal”.
Suscribir los contratos comerciales necesarios para la
ejecución de los procedimientos seleccionados.
Suscribir los contratos de seguros en caso de ser
definido.

Implementar los mecanismos tecnológicos necesarios.
Asignar las responsabilidades a cada una de las
personas / sectores de la Compañía involucradas en el
Plan.
Capacitar al personal involucrado.
Definir acciones complementarias:
Comunicación a clientes y proveedores.
Distribución física de lugares de trabajo del
personal.
Estrategias de trabajo “en cada casa”.
Otros recursos (teléfonos, fax, etc).
Aspecto “humano” del plan.

Documentación del plan de recupero
Desarrollar los procedimientos técnicos y funcionales.
Desarrollar los inventarios de personal, hardware,
software, etc.

Testeo y mantenimiento del plan
Testeo
o Desarrollar pruebas
o Asemejar pruebas a la realidad.
Mantenimiento
o Definir mecanismo para su actualización.
o Efectuar pruebas periódicas del correcto
funcionamiento

Dominio 11: Cumplimiento
11.1 Cumplimiento de requisitos legales
Objetivo:
Impedir infracciones y violaciones de las leyes del derecho
civil y penal; de las obligaciones establecidas por leyes,
estatutos, normas, reglamentos o contratos; y de los
requisitos de seguridad.

El diseño, operación, uso y administración de los
sistemas de información pueden estar sujetos a
requisitos de seguridad legal, normativa y contractual.
Se debe procurar asesoramiento sobre requisitos
legales específicos por parte de los asesores jurídicos
de la organización, o de abogados convenientemente
calificados.
Los requisitos legales varían según el país y en relación
con la información que se genera en un país y se transmite
a otro.

Identificación de la legislación aplicable
Se deben definir y documentar claramente todos los
requisitos legales, normativos y contractuales pertinentes
para cada sistema de información.

11.2 Revisiones de la política de seguridad y la
compatibilidad técnica
Objetivo:
Garantizar la compatibilidad de los sistemas con las
políticas y estándares (normas) de seguridad de la
organización.

La seguridad de los sistemas de información debe
revisarse periódicamente.
Dichas revisiones deben llevarse a cabo con referencia
a las políticas de seguridad pertinentes y las
plataformas técnicas y sistemas de información deben
ser auditados para verificar su compatibilidad con los
estándares (normas) de implementación de seguridad.

11.3 Consideraciones de auditoria de sistemas
Objetivo:
Optimizar la eficacia del proceso de auditoria de sistemas
y minimizar los problemas que pudiera ocasionar el
mismo, o los obstáculos que pudieran afectarlo.
Deben existir controles que protejan los sistemas de
operaciones y las herramientas de auditoria en el
transcurso de las auditorias de sistemas.
Asimismo, se requiere una protección adecuada para
salvaguardar la integridad y evitar el uso inadecuado de
las herramientas de auditoria.

TRACK VII :
Taller Práctico FINAL
Elaboración de un Programa
General de Seguridad para
preparar a la Compañía para
Certificar

R
Identificación de los principales riesgos
informáticos para su compañía
P
Definición por la Dirección de una política
básica de seguridad
A Acción concreta en dos frentes:
Normativo
Implementación de un Programa de
Seguridad
Ejecutivo

Identificación de riesgos en su compañía
Ataques externos a las redes
Modificaciones no autorizadas de datos por empleados
Acceso y difusión inoportuna de datos sensibles
Falta de disponibilidad de los sistemas
Software ilegal
Falta de control de uso de los sistemas
Destrucción de información y equipos
R
Clasificación de los más críticos

Personas y Organizaciones
dentro y/o fuera
Identificación de riesgos en su compañíaR
Competidores
Empleados descontentos
Proveedores
Clientes
Hackers
Consultores “in company”
Compañías asociadas

en los sistemas centrales
en las PC´s
en las laptops
en los e mails
en contratos
en documentos impresos
en los legajos del personal
Donde hay información sensible
Identificación de riesgos en su compañíaR

Definición de una política básica de
seguridad
Breve
Clara
Implementable
Puesta en marcha por la Dirección
Difundida al personal y terceros
P

Definición de una política básica de
seguridad
P
Política de
Seguridad
Autorización
Protección Física
Propiedad
Eficacia
Eficiencia
Exactitud
Integridad
Legalidad
Disponibilidad
Confidencialidad
Confiabilidad

Sponsoreo y seguimiento
• Dirección de la Compañía
• Comité de Seguridad
Autorización
• Dueños de datos
Definición
• Area de Seguridad Informática
• Area de Legales
Identificación de responsabilidades
de seguridad
Acción concreta: Plano NormativoA
Cumplimiento directo
• Usuarios finales
• Terceros y personal contratado
• Area de sistemas
Administración
• Administrador de Seguridad
Control
• Auditoría Interna / Externa

Acción concreta: Plano Normativo
Normas con definiciones
Procedimientos con acción de usuarios
Estándares técnicos para los sistemas
Esquema de reportes de auditoría
De acuerdo con regulaciones y legislaciones vigentes
Desarrollo de la normativa básica y
publicación
A

Definición de acciones a sancionar y medidas disciplinarias a imponer
Comunicación al personal y terceros “in company”
Utilización de convenios de confidencialidad
Definición de un sistema de “premios y
castigos” en su compañía
Acción concreta: Plano NormativoA

Perfil de la función
Análisis de riesgos informáticos
Participación en proyectos especiales
Administración del día a día
Objetivos y tareas básicas
Programas de trabajo rutinarios
Automatización de tareas y reportes en los sistemas
Definición e implementación de la función de
Seguridad Informática
Acción concreta: Plano EjecutivoA

Administración de Usuarios y Permisos en los Sistemas
Separación de Ambientes de Trabajo
Licencias legales de Software
Copias de Respaldo
Seguridad Física de las Instalaciones y Recursos
Prevención de Virus y Programas Maliciosos
Seguridad en las Comunicaciones
Auditoría Automática y Administración de Incidentes de Seguridad
Uso del Correo Electrónico
Uso de Servicios de Internet
Mejoras en los procesos del área de Sistemas

Redes internas
Accesos externos
Bases de datos
Sistemas aplicativos
Correo electrónico
Servidores, PC´s y laptops
Seguridad física
Integración con otras tecnologías
Parametrización de las redes y los
sistemas de una forma más segura
Análisis de la posibilidad de uso de softwares de seguridad avanzada
(encripción, administración centralizada, monitoreo automático)

Acciones preventivas de monitoreo las 24 hs
Implementación de Help Desk de Seguridad
Circuitos de reportes de incidencias
Monitoreos periódicos
Auditorías
Implementación de monitoreos de
incidentes de seguridad

Capacitación a los usuarios en seguridad
Usuarios finales
Usuarios del área de sistemas
Terceros “in company”
Intranet de seguridad
Correo electrónico
Mensajes en cartelera
Presentaciones grupales
Videos institucionales
Firma de compromisos
Utilizando la tecnología y los medios disponibles

TRACK VIII :
MODELO ANUAL DE
GESTION CONTINUA

Diagnóstico Inicial:
• Efectuar Diagnóstico Inicial de la
situación de la Compañía en relación
a los requerimientos de la ISO 17799.
• 2 a 3 semanas
Implemente Ud. Mismo el ISMS ISO 17799

Módulos:
• Se agrupan por Módulos cada conjunto de
tareas, debiendo identificarse la duración
de cada uno de ellos, en general, podrá
variar entre 2 a 4 semanas c/u
dependiendo del Diagnóstico y del grado
de involucramiento del personal.

Módulo 1:
• Relevar los planes de seguridad funcionales
y técnicos en proceso en la compañía
• Iniciar proceso de Identificación de Riesgos y
Clasificación de Información Sensible
• Definir el Plan de Tareas para los 2 primeros
años (integrando otros proyectos de
seguridad en curso)

Módulo 2:
• Definir, aprobar y difundir la Política de Seguridad
de la Compañía
• Definir la estructura y alcance del Manual de
Seguridad de la Información de la Compañía
• Definir y difundir las responsabilidades de
Seguridad de la Información de cada sector de la
Compañía
• Implementar Esquema de Propietarios de Datos

Módulo 3:
• Definir e iniciar el proceso de
Concientización de Usuarios
internos y Terceros
• Iniciar proceso de redacción de las
Normas

Módulo 4:
• Finalizar Clasificación de Información
• Relevar medidas implementadas en
las funciones del área de sistemas

Módulo 5:
• Finalizar la Redacción y Difundir las
Normas de Seguridad
• Implementar las definiciones de las
Normas

Módulo 6:
• Implementar las mejoras de seguridad
en las Funciones y Roles del área de
Sistemas
• Implementar mejoras en los sectores
usuarios para información impresa

Módulo 7:
• Iniciar proceso de redacción de
Procedimientos críticos
• Iniciar Programa de Continuidad del Negocio
/ Procesamiento Crítico de la Información

Módulo 8:
• Finalizar la redacción y difundir los
Procedimientos críticos
• Relevamiento general del cumplimiento del
Marco Legal y Regulatorio (leyes vigentes,
etc)

Módulo 9:
• Implementar los Procedimientos de
Seguridad Críticos
• Relevar e Integrar los Estándares
Técnicos de Seguridad desarrollados
dentro del Manual de Seguridad

Módulo 10:
• Definir junto a RRHH mecanismos de
Control y Sanciones
• Efectuar la Concientización de
Usuarios de toda la Compañía

Módulo 11:
• Diagnóstico General respecto Norma
ISO 17799 (similar a una Preauditoría
de Certificación ISO)

Módulo 12:
• Implementación de las mejoras
identificadas en el Diagnóstico según
ISO 17799

• Muchas Gracias !!!
• Sixto Flores R.
• sixto.flores@i-sec.org

Isec iso17799 iso 27001 intensivo

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (12)

Ähnlich wie Isec iso17799 iso 27001 intensivo

Ähnlich wie Isec iso17799 iso 27001 intensivo (20)

Mehr von Carmelo Branimir España Villegas

Mehr von Carmelo Branimir España Villegas (20)

Isec iso17799 iso 27001 intensivo