SlideShare ist ein Scribd-Unternehmen logo

Iso27001 Norma E Implantacion Sgsi

Jhonny Willians Franco Delgado
Jhonny Willians Franco Delgado
TechnologieBusiness
1 von 46
Downloaden Sie, um offline zu lesen
Portada www.nexusasesores.com Parámetros fundamentales para la implantación de un Sistema de Gestión de Seguridad de la Información según ISO 27001:2005 22 de junio de 2006 Por José Manuel Fernández Domínguez Grupo Nexus Consultores y Auditores
Índice www.nexusasesores.com INTRODUCCI ÓN Necesidades de un SGSI y estructura normativa ESTRUCTURA DE LA NORMA Cláusulas de ISO 27001:2005 y comentarios OBJETIVOS DE CONTROL Y CONTROLES Anexo A de ISO 27001:2005 y comentarios BENEFICIOS DE UN SGSI Resumen de algunos beneficios y comentarios
Índice www.nexusasesores.com INTRODUCCI ÓN Necesidades de un SGSI y estructura normativa ESTRUCTURA DE LA NORMA Cláusulas de ISO 27001:2005 y comentarios OBJETIVOS DE CONTROL Y CONTROLES Anexo A de ISO 27001:2005 y comentarios BENEFICIOS DE UN SGSI Resumen de algunos beneficios y comentarios
Introducción www.nexusasesores.com Vulnerabilidades reportadas (Fuente: www.cert.org) Año 98 99 00 01 02 03 04 05 1C06 Vulnerabilidades 262 417 1090 2437 4129 3784 3780 5990 1597 reportadas Total de vulnerabilidades reportadas (1998-1C06): 23.486 Notas sobre vulnerabilidades publicadas (Fuente: www.cert.org) Año 98 99 00 01 02 03 04 05 1C06 Notas sobre vulnerabilidades 8 3 47 326 375 255 341 285 66 publicadas Notas sobre vulnerabilidades publicadas (1998-1C06): 1.706 Ernst & Young pierde 4 portátiles con información sensible de clientes (Fuente: http://delitosinformaticos.com/protecciondatos/noticias/114113977812654.shtml - 28-02-06) Virus revela por segunda vez documentos secretos de central eléctrica japonesa (Fuente: http://www.laflecha.net/canales/seguridad/noticias/200605242 - 24-05-06) Detenido hacker que logró transferir 328.400 dólares a su cuenta personal (Fuente: http://www.maestrosdelweb.com/actualidad/2320 - 26/07/05)
Introducción www.nexusasesores.com Top Vulnerabilidades en Sistemas Top Vulnerabilidades en Aplicaciones Windows Cross-Platform W1. Servicios de Windows C1. Software de Backup W2. Internet Explorer C2. Software Antivirus W3. Librerías de Windows C3. Aplicaciones basadas en PHP W4. Microsoft Office y Outlook Express C4. Software para Base de Datos W5. Debilidades de Configuración de Windows C5. Aplicaciones para Compartir Ficheros C6. Software DNS Top Vulnerabilidades en Sistemas UNIX C7. Reproductores de Media U1. Debilidades en la configuración UNIX C8. Aplicaciones de Mensajería Instantánea U2. Mac OS X C9. Navegadores Mozilla y Firefox C10. Otras aplicaciones Cross-Platform Top Vulnerabilidades en productos de red N1. Cisco IOS y otros productos no-IOS N2. Juniper, CheckPoint y Productos Symantec N3. Debilidades de Configuración de Dispositivos Cisco TOP 20 Vulnerabilidades Fuente: SANS Institute
Introducción www.nexusasesores.com Consecuencias PRODUCTIVIDAD Y IMAGEN VOLUMEN DE NEGOCIO PRESTACIÓN DEL SERVICIO Disminución rendimiento laboral Pérdida de imagen respecto de clientes Pérdida de ingresos / facturación Interrupciones en procesos productivos Pérdida de imagen respecto a proveedores Posibles indemnizaciones a terceros Retrasos en entregas Pérdida de imagen respecto a otras partes Posibles sanciones Cese de transacciones Ventajas de los competidores Pérdida de oportunidades de negocio Enfado de los empleados Incidencia sobre Stakeholders Pérdida de contratos / caída acciones Etc. Etc. Etc. Consecuencias que no pueden ocurrir en nuestras empresas ni en ningún entorno competitivo en estos días Sistemas de Información Actuales
Introducción www.nexusasesores.com Algunas definiciones importantes Seguridad de la Información (SI).- Preservación de la confidencialidad, integridad y disponibilidad de la información; adicionalmente autenticidad, responsabilidad, no repudio y confiabilidad. Confidencialidad.- Aseguramiento de que la información es accesible sólo a autorizados. Integridad.- Garantía de exactitud y completitud de información y métodos de procesado. Disponibilidad.- Aseguramiento de que los autorizados tengan acceso cuando lo necesiten a la información y los activos asociados. SGSI.- La parte del Sistema de Gestión Global, basada en una orientación a riesgo de negocio, para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información Activo.- Algo que tiene valor para la organización (ISO/IEC 13335-1:2004). Amenaza.- Evento que puede provocar un incidente en la organización produciendo daños o pérdidas materiales y/o inmateriales. Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias externas.
Introducción www.nexusasesores.com Evolución normativa 1995 BS 7799-1:1995 (Norma británica) 1999 BS 7799-2:1999 (Norma británica) 1999 Revisión BS 7799-1:1999 2000 ISO/IEC 17799:2000 (Norma internacional código de prácticas) 2002 Revisión BS 7799-2:2002 2004 UNE 71502 (Norma española) 2005 Revisión ISO/IEC 17799:2005 2005 Revisión BS 7799-2:2005 2005 ISO/IEC 27001:2005 (Norma internacional certificable)
Introducción www.nexusasesores.com Familia ISO 27000 en los próximos años ISO 27000 (2007) Vocabulario y Definiciones ISO 27001 (2005) Estándar Certificable ya en Vigor ISO 27002 (2007) Código de Buenas Prácticas relevo de ISO 17799 ISO 27003 (2008) Guía para la Implantación ISO 27004 (2008) Métricas e Indicadores ISO 27005 (2008) Gestión de Riesgos (BS 7799-3:2006) ISO 27006 (2007) Requisitos para Acreditación de Entidades de Certificación
Índice www.nexusasesores.com INTRODUCCI ÓN Necesidades de un SGSI y estructura normativa ESTRUCTURA DE LA NORMA Cláusulas de ISO 27001:2005 y comentarios OBJETIVOS DE CONTROL Y CONTROLES Anexo A de ISO 27001:2005 y comentarios BENEFICIOS DE UN SGSI Resumen de algunos beneficios y comentarios
Estructura de ISO 27001:2005 www.nexusasesores.com ISO 27001:2005 Desarrollado como modelo para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora de un SGSI para cualquier tipo de organización. El diseño e implantación de un SGSI se encuentra influenciado por las necesidades, objetivos, requisitos de seguridad, los procesos, los empleados , el tamaño, los sistemas de soporte y la estructura de la organización. Situación simple Solución simple para el SGSI Orientación a procesos: Otras consideraciones Gestión de Gestión Feedback Salidas Operaciones Entradas internas Medida Recursos
Estructura de ISO 27001:2005 www.nexusasesores.com El ciclo Plan – Do – Check – Act (PDCA de Deming) Partes Partes Interesadas: Interesadas: Establecimiento del SGSI Stakeholders Stakeholders Clientes PLAN Clientes Proveedores Proveedores Usuarios Usuarios Accionistas Accionistas Implementación Mejora Continua Socios Socios del SGSI del SGSI Otros Otros DO ACT Requisitos y Expectativas Monitorización y Seguridad para la Revisión del SGSI de la Seguridad Información de la CHECK Gestionada Información Alineado con las guías y principios de la OECD - Organisation for Economic Co-operation and Development: conocimiento, responsabilidad, respuesta, gestión del riesgo, diseño de seguridad e implementación, gestión de seguridad, revisión
Estructura de ISO 27001:2005 www.nexusasesores.com Cadena de actuaciones Definición de Política Política Objetivos PLAN y Objetivos DO CHECK Determinación del ACT Alcance Alcance Amenazas/Vulnerabilidades Probabilidad/Impacto Resultados Análisis de Activos Análisis Resultados Análisis de Riesgos Análisis Gestión Organizacional Planificación Grado de Aseguramiento Gestión de Riesgos Tratamiento Controles ISO Selección de Objetivos Objetivos de Control y Controles Controles Controles adicionales Políticas Statement of Applicability S.O.A. Objetivos Procesos Procedimientos Instrucciones Controles Acciones correctivas Implantación y Acciones preventivas Otros Operación Práctica Indicadores Monitorización y Mantenimiento y Auditorías Revisión Mejora Continua Revisión
Estructura de ISO 27001:2005 www.nexusasesores.com 0.- Introducción 5.- Responsabilidad de la Dirección 1.- Alcance 5.1.- Compromiso de la Dirección 2.- Referencias normativas 5.2.- Gestión de los recursos 3.- Términos y definiciones 5.2.1.- Provisión de recursos Exclusiones: 4.- Sistema de Gestión de Seguridad de laFormación, toma de conciencia y competencia 5.2.2.- Información 4.1.- Requisitos generales Auditorías internas del SGSI 6.- No son permitidas en las cláusulas que 4.2.- Establecimiento y gestión del SGSI la Dirección del 8. especifican requisitos de la 4 a la SGSI 7.- Revisión por 4.2.1.- Establecimiento 7.1.- Generalidades del SGSI 4.2.2.- Implementación7.2.- Entradas de la revisión y operación del SGSI Sólo aceptables en controles de Anexo A 4.2.3.- Monitorización y7.3.- Salidas SGSI adecuada y con justificación revisión revisión del de la 4.2.4.- Mantenimiento y mejora delSGSI 8.- Mejora del SGSI 4.3.- Requisitos de la documentación 8.1.- Mejora continua 4.3.1.- General 8.2.- Acción correctiva 4.3.2.- Control de documentos 8.3.- Acción preventiva 4.3.3.- Control de registros A – Objetivos de Control y Controles ANEXO
Estructura de ISO 27001:2005 www.nexusasesores.com 4.- Sistema de Gestión de Seguridad de la Información 4.1.- Requisitos generales 4.2.- Establecimiento y gestión del SGSI 4.2.1.- Establecimiento del SGSI Alcance Características del negocio Características de la organización: localización, activos, tecnología Incluir detalles y justificaciones de exclusiones Política del SGSI Características del negocio Características de la organización: localización, activos, tecnología Marco para Objetivos relacionados con Seguridad de la Información Requisitos de negocio, legales, reglamentarios, contractuales y otros Alineada con el contexto de la estrategia de Gestión de Riesgos Establecimiento de criterios de evaluación de riesgos Aprobada por la Alta Dirección Status superior a las políticas de SI de bajo nivel
Estructura de ISO 27001:2005 www.nexusasesores.com Metodología de Identificación de metodología: Magerit, CRAMM, Cobra, otros … Análisis de Riesgos Criterios aceptación de riesgos: niveles de riesgo aceptables (NRA) Debe producir resultados comparables y reproducibles Identificación de Identificar los activos dentro del alcance del SGSI Riesgos Identificar los propietarios de dichos activos Identificar las amenazas para esos activos Identificar las vulnerabilidades que pueden explotar las amenazas Identificar los impactos de pérdidas de C-I-D en dichos activos Análisis y Considerar impacto de fallos de seguridad (pérdidas de C-I-D) Evaluación de Considerar probabilidad realista de que el fallo ocurra Riesgos Considerar controles ya en funcionamiento o implantados Estimar niveles de riesgo Determinar cuando el riesgo es aceptable o requiere tratamiento
Estructura de ISO 27001:2005 www.nexusasesores.com Opciones para el Aplicación de los controles apropiados (Anexo A y otros) Tratamiento de Conociendo Nivel de Riesgo Aceptable Riesgos Evitando riesgos Transfiriendo riesgos: aseguradoras, proveedores, otras partes Selección de Seleccionados e implantados en función del Risk Assessment Objetivos de Considerando resultados de Risk Assessment y Risk Treatment Control y Controles Cumpliendo la totalidad de requisitos del SGSI Tomados el ANEXO A y otros aportados por la organización El ANEXO A es un ‘starting point’ para selección de controles Aceptación de Aceptado de forma fehaciente por la Alta Dirección Riesgo Residual Cuidado con las firmas de aceptación de niveles de riesgo residual Obtención por escrito y en documento parte del SGSI
Estructura de ISO 27001:2005 www.nexusasesores.com Autorización de la De forma previa a actividades de implantación y operación Alta Dirección Por escrito y en documento parte del SGSI Integrada en otro documento o de forma independiente Estado de Incluir Objetivos de Control y Controles seleccionados Aplicabilidad (SOA) Incluir los Objetivos de Control y Controles preexistentes Incluir las razones para la selección de los mismos Incluir exclusiones de OC y Controles del Anexo A Incluir justificación para dichas exclusiones 4.2.2.- Implementación y Operación del SGSI Risk Treatment Acciones de gestión y control a desarrollar Plan (RTP) Recursos asignados y responsabilidades Prioridades a la hora de gestionar los riesgos Implantación del RTP para alcanzar los Objetivos de Control
Estructura de ISO 27001:2005 www.nexusasesores.com Implantación de Los controles anteriormente seleccionados deben ser implantados Controles Implantación física del Plan de Tratamiento de Riesgos (RTP) Respetando las responsabilidades previamente definidas Métricas e Debemos medir la efectividad de los controles seleccionados Indicadores Determinar cómo vamos a realizar el análisis de los datos Mediante los datos obtenidos, tenemos que gestionar controles El feedback es necesario para la gestión de los controles Los resultados de estos indicadores deben proporcionar resultados: - Comparables - Reproducibles Formación y Toma Implantación programas formativos para competencia de RRHH de Conciencia El ámbito humano de la organización debe ser competente La toma de conciencia es factor vital (agujeros de seguridad)
Estructura de ISO 27001:2005 www.nexusasesores.com Implementación de Procedimientos, técnicos, no técnicos, … controles Para pronta detección de incidentes contra la seguridad Para pronta respuesta ante incidentes contra la seguridad 4.2.3.- Monitorización y revisión del SGSI Monitorización y Para detectar lo antes posible errores en procesos revisión del SGSI Para detectar lo antes posible brechas de seguridad e incidentes - Intentos (nos han lanzado x ataques contra nuestra IP) - Logros (nos han hackeado la web 2 veces este año) Para determinar que las prácticas se desarrollan de forma correcta Para ayudar a tomar decisiones utilizando indicadores Para determinar cuando las acciones correctivas han sido eficaces Revisiones Incluyendo Política, Objetivos, controles, resultados de auditorías regulares previas, incidentes, medidas de efectividad, sugerencias y feedback de otras partes interesadas
Estructura de ISO 27001:2005 www.nexusasesores.com Revisión del A intervalos planificados Análisis de Riesgos Incluyendo nivel de riesgo aceptable y residual Teniendo en cuenta: organización, tecnología, objetivos de negocio y procesos, amenazas identificadas, efectividad de los controles implantados y eventos externos (cambios de legislación, contratos, etc.) Auditoría Interna A intervalos planificados para determinar: si el SGSI es conforme a ISO 27001 si el SGSI es conforme con otros requisitos si el SGSI está implantado y mantenido de forma efectiva Si el SGSI funciona según lo esperado Revisión por la De forma regular para garantizar: Dirección que el alcance sigue siendo adecuado que las mejoras del SGSI han sido debidamente identificadas
Estructura de ISO 27001:2005 www.nexusasesores.com Auditoría Interna A intervalos planificados para determinar: si el SGSI es conforme a ISO 27001 si el SGSI es conforme con otros requisitos si el SGSI está implantado y mantenido de forma efectiva Si el SGSI funciona según lo esperado A tener en cuenta Actualizaciones de planes de seguridad en función del feedback Análisis de logs y eventos con impacto significativo en el SGSI 4.2.4.- Mantenimiento y mejora del SGSI Mantenimiento y Las opciones de mejora deben ser implantadas mejora Deben tomarse acciones correctivas y preventivas Tener en cuenta experiencias propias o de otras organizaciones Comunicar acciones y mejoras a todas las partes interesadas Asegurar que las mejoras alcanzar los objetivos buscados
Estructura de ISO 27001:2005 www.nexusasesores.com 4.3.- Requisitos de la documentación 4.3.1.- Generalidades ¿Qué debe incluir la documentación? -Política y Objetivos del SGSI -Alcance (Scope) -Procedimientos y controles -Descripción metodología Risk Assessment -Reportes del Risk Assessment -Plan de Tratamiento de Riesgos (RTP) -Los registros requeridos por ISO 27001 -El Estado de Aplicabilidad (SOA)
Estructura de ISO 27001:2005 www.nexusasesores.com 4.3.2.- Control de los documentos Deben ser debidamente protegidos y controlados. Es necesario un procedimiento documentado según ISO 27001. Debe incluir criterios para: -Aprobación de documentos antes de su emisión -Revisión y actualización y necesidad de re-aprobación -Identificación de cambios y versiones en vigor -Garantizar que las versiones aplicables se encuentren en los puntos de uso -Garantizar que los documentos permanecen legibles y fácilmente identificables -Garantizar que están a disposición de las personas que los necesitan -Garantizar que son transferidos, almacenados y destruidos según lo establecido en el SGSI -Garantizar que se identifican los documentos de origen externo -Garantizar que se controla la distribución e documentos -Prevenir el uso no intencionado de documentos obsoletos -Identificar los obsoletos caso de que sean retenidos por algún motivo
Estructura de ISO 27001:2005 www.nexusasesores.com 4.3.3.- Control de los registros Muestran evidencias de la conformidad del sistema con sus requisitos Deben ser debidamente protegidos y controlados Es necesario un documentar los controles necesarios para su: - identificación (rápidamente identificables) - almacenamiento (fácilmente recuperables) - protección (permanezcan legibles) - período de retención - disposición de registros
Estructura de ISO 27001:2005 www.nexusasesores.com 5.- Responsabilidad de la Dirección 5.1.- Compromiso de la Dirección La Alta Dirección debe proveer evidencia de su compromiso con el proyecto -Estableciendo la Política del SGSI -Asegurando que se establecen Objetivos para el SGSI y que se planifica su consecución -Estableciendo roles y responsabilidades -Comunicando la importancia de logar los Objetivos y estableciendo la Política del SGSI -Comunicando responsabilidades y la necesidad de la búsqueda de la mejora continua -Suministrando recursos -Decidiendo criterios de aceptación de riesgos y Niveles de Riesgo Aceptables -Asegurándose de que se realizan Auditorías Internas -Realizando Revisiones por la Dirección del SGSI 5.2- Gestión de Recursos 5.2.1.- Provisión de recursos Recursos Dirección Correcto devenir del SGSI
Estructura de ISO 27001:2005 www.nexusasesores.com 5.2.2.- Formación, Toma de Conciencia y Competencia Personal con responsabilidades Personal competente definidas en el SGSI 1) Determinar competencias para el personal alcanzado por el SGSI 2) Si no se tienen ‘in-house’ ? Formación o reclutamiento 3) Si se hacen acciones de formación ? Evaluar su eficacia 4) Hay que mantener registros de educación, formación, habilidades, experiencia y cualificación La organización debe garantizar que el personal relevante afectado por el SGSI sea consciente de la importancia de sus actividades y de cómo pueden contribuir a la consecución de los Objetivos.
Estructura de ISO 27001:2005 www.nexusasesores.com 6.- Auditoría Interna del SGSI A intervalos previamente planificados en un Programa de Auditorías. En función de la importancia de los procesos y áreas a auditar. En función de resultados de auditorías previas. Debe definirse: - Criterios de auditoría y Alcance - Frecuencia y Metodología (ISO 19011 Guía) La selección de auditores y el desarrollo de la auditoría deben garantizar la total imparcialidad y objetividad del proceso de auditoría. Un auditor no debe auditar nunca su propio trabajo. Es preciso un procedimiento documentado según ISO 27001 que plasme las responsabilidades y requisitos para la planificación y realización de auditorías y para la forma en que se reportan los resultado y se mantienen registros. Dirección Área No conformidades Acciones correctivas sin demora
Estructura de ISO 27001:2005 www.nexusasesores.com 7.- Revisión por la Dirección del SGSI 7.1.- Generalidades A intervalos planificados y como mínimo 1 al año Debe incluir oportunidades de mejora y necesidad de cambios en el SGSI Analizar posibles cambios en la Política y en los Objetivos Los resultados de la RxD deben estar documentados manteniendo registro 7.2.- Entradas de la revisión Resultados de auditorías y RxD previas Feedback de partes interesadas Estado de acciones correctivas/preventivas Técnicas, productos o procedimientos que pueden ser usados para mejora del SGSI Amenazas y vulnerabilidades no determinadas de forma correcta en el Risk Assessment Resultados de medidas de efectividad (métricas) Seguimiento de actuaciones derivadas de RxD previas Cambios que pudieran afectar al SGSI Recomendaciones de mejora
Estructura de ISO 27001:2005 www.nexusasesores.com 7.3.- Salidas de la Revisión Mejora de la eficacia del SGSI Actualización del Risk Assessment y del Risk Treatment Plan Modificación de procedimientos y controles necesarios, incluyendo cambios en: - Requerimientos de negocio -Requerimientos de seguridad -Procesos de negocio -Requisitos legales o regulatorios -Obligaciones contractuales -Niveles de riesgo y/o criterios de aceptación de riesgo Necesidad de recursos Mejora de los métodos de medida de la eficacia de los controles
Estructura de ISO 27001:2005 www.nexusasesores.com 8.3.- Acción preventiva 8.- Mejora del SGSI 8.1.- Mejora continua €€€ 8.2.- Acción correctiva Acción preventiva Acción correctiva Eliminar causa de Eliminar causa de No conformidades potenciales No conformidades Procedimiento AAPP -Identificar No Conformidades Potenciales Procedimiento AACC -Determinar sus causas -Identificar No Conformidades -Evaluar necesidad de actuación preventiva -Determinar sus causas -Determinar AAPP necesarias -Evaluar necesidad de actuación -Registrar resultados de las acciones -Determinar AACC necesarias -Revisar las AAPP tomadas -Registrar resultados de las acciones -Revisar las AACC tomadas Su prioridad irá en función del Risk Assessment
Índice www.nexusasesores.com INTRODUCCI ÓN Necesidades de un SGSI y estructura normativa ESTRUCTURA DE LA NORMA Cláusulas de ISO 27001:2005 y comentarios OBJETIVOS DE CONTROL Y CONTROLES Anexo A de ISO 27001:2005 y comentarios BENEFICIOS DE UN SGSI Resumen de algunos beneficios y comentarios
Objetivos de Control y Controles www.nexusasesores.com Gestión de Organización de Gestión de Continuidad de Conformidad Política de Seguridad de la Activos de Seguridad Negocio Información Información Disponibilidad Confidencialidad Gestión de Seguridad Información Incidentes de Ligada al Seguridad Personal Integridad No repudio Adquisición, Desarrollo Gestión de y Mantenimiento de Control de Operaciones y Seguridad Física y Sistemas de Información Accesos Comunicaciones del Entorno Alineados con ISO 17799:2005 Clá usulas 5 a 15
Objetivos de Control y Controles www.nexusasesores.com A.5.- Política de Seguridad A.5.1.- Documento de Política de Seguridad de la Información A.5.2.- Revisión de la Política de Seguridad de la Información A.6.- Organización de la Seguridad de la Información A.6.1.- Organización Interna A.6.1.1.- Compromiso de la Dirección con la Seguridad de la Información A.6.1.2.- Coordinación de la Seguridad de la Información A.6.1.3.- Asignación de responsabilidades para Seguridad de la Información A.6.1.4.- Proceso de autorización para instalaciones de procesado de información A.6.1.5.- Compromisos de Confidencialidad A.6.1.6.- Contacto con las Autoridades A.6.1.7.- Contacto con Grupos Especiales de Interés A.6.1.8.- Revisión independiente de la Seguridad de la Información A.6.2.- Partes Externas A.6.2.1.- Identificación de riesgos asociados a partes externas A.6.2.2.- Seguridad en el trato con clientes A.6.2.3.- Seguridad en contratos con tercera parte (SLA)
Objetivos de Control y Controles www.nexusasesores.com A.7.- Gestión de Activos A.7.1.- Responsabilidad de los activos Inventario de activos A.7.1.1.- Inventario de Activos A.7.1.2.- Propiedad de los Activos A.7.1.3.- Uso aceptable de los Activos A.7.2.- Clasificación de la Información A.7.2.1.- Guía para la clasificación Reglas para uso de A.7.2.2.- Etiquetado y posesión de información activos Información restringida Información clasificada Información no clasificada Información bajo licencia Label Otros …
Objetivos de Control y Controles www.nexusasesores.com Esquema del Dominio A.8 según ISO 27001:2005 - Human Resources Security Fuente: Nextel, S. A.
Objetivos de Control y Controles www.nexusasesores.com Perímetro f ísico Controles f ísicos Securización de Trabajo en áreas de seguridad de entrada oficinas, habitaciones seguras e instalaciones Protección contra amenazas externas y del Acceso público, entorno áreas de entrega Dominio A.9 y recepción Seguridad física y del entorno Seguridad del cableado A.9.1 A.9.2 Securización de áreas Seguridad de equipos Retiro de propiedades off- site Seguridad de equipos off-site Utilidades soporte Localización de Securización de Mantenimiento (SAI, …) equipos y protección equipos reutilizados de equipos
Objetivos de Control y Controles www.nexusasesores.com Dominio A.10 Gestión de Comunicaciones y Operaciones A.10.1 A.10.6 Procedimientos de operación y responsabilidades Gestión de la seguridad en red A.10.2 A.10.7 Gestión de prestación de servicios tercera parte Posesión de medios A.10.3 A.10.8 Planificación de sistemas y aceptación Intercambio de información A.10.4 A.10.9 Protección contra código malicioso y móvil Servicios de comercio electrónico A.10.5 A.10.10 Copias de respaldo (Back Up) Monitorización (gestión de logs)
Objetivos de Control y Controles www.nexusasesores.com Dominio A.11 Control de acceso A.11.1 A.11.5 Requisitos para control de acceso Control de acceso al sistema operativo A.11.2 A.11.6 Gestión de acceso de usuarios Control de acceso a aplicaciones e información A.11.3 A.11.7 Responsabilidades de los usuarios Computación móvil y teletrabajo A.11.4 Control de acceso a red Dominio A.12 Adquisición, desarrollo y mantenimiento de Sistemas de Información A.12.1 A.12.4 Análisis y especificación requisitos de seguridad Seguridad de ficheros de sistema A.12.2 A.12.5 Procesado correcto en aplicaciones Seguridad en procesos de desarrollo y soporte A.12.3 A.12.6 Controles criptográficos Gestión de vulnerabilidades técnicas
Objetivos de Control y Controles www.nexusasesores.com Esquema del dominio A.13 – Gestión de incidentes contra SI Fuente: Nextel, S. A.
Objetivos de Control y Controles www.nexusasesores.com Dominio A.14 - Gestión de continuidad de negocio (BCM) A.14.1.- Aspectos de SI para la BCM A.14.1.1.- Introducción de la Seguridad de la Información en el proceso de BCM A.14.1.2.- Continuidad de Negocio y Risk Assessment A.14.1.3.- Desarrollo e implementación de planes de continuidad incluyendo SI A.14.1.4.- Marco para la planificación de la continuidad de negocio A.14.1.5.- Test, mantenimiento y revisión de planes de continuidad de negocio
Objetivos de Control y Controles www.nexusasesores.com Protección de Datos y Identificación de Derechos de Protección de registros legislación aplicable Propiedad Intelectual de la organización privacidad de la información personal A.15.1 Conformidad con requisitos legales Dominio A.15 Conformidad Controles A.15.2 Prevención de uso de Auditoría Conformidad con Políticas de erróneo de la de infraestructura de Seguridad y normas, y sistemas procesado de de Información cumplimiento técnico información A.15.3 Consideraciones sobre Auditoría de SI Protección de herramientas Comprobación de Cumplimiento con Regulación de de auditoria de sistemas de Políticas de controles cumplimiento técnico información Seguridad y normas criptográficos
Índice www.nexusasesores.com INTRODUCCI ÓN Necesidades de un SGSI y estructura normativa ESTRUCTURA DE LA NORMA Cláusulas de ISO 27001:2005 y comentarios OBJETIVOS DE CONTROL Y CONTROLES Anexo A de ISO 27001:2005 y comentarios BENEFICIOS DE UN SGSI Resumen de algunos beneficios y comentarios
Beneficios de un SGSI www.nexusasesores.com - Disponer armas de gestión para particulares usualmente olvidados - Conocer realmente de qué activos disponemos (control y clasificación) - Involucrar a la Alta Dirección en la Seguridad de la Información - Desarrollar Políticas formales de obligado cumplimiento - Cumplir con la legislación vigente ligada al proyecto - Realizar análisis de riesgos para el desarrollo del negocio - Introducción de contratos de niveles de servicio (SLA) - Reforzar la seguridad ligada al personal - Disponer planes de contingencia ante incidentes - Disponer planes de continuidad de negocio y recuperación ante desastres - Desarrollo de indicadores de desempeño del SGSI - Disminución de riesgos a niveles aceptables …………………………….. ETC
Conclusiones www.nexusasesores.com CONCLUSIONES FUNDAMENTALES La Seguridad de la Información es un PROCESO. La Seguridad de la Información se basa en PERSONAS. La Seguridad de la Información debe orientarse al RIESGO. Un buen SGSI es un sistema RENTABLE para la organización. NO EXISTE la seguridad absoluta. El SGSI AYUDA a la gestión. Hay que definir ESTRATEGIAS DE NEGOCIO y huir de actuaciones puntuales sin criterios de interconexión. Un proyecto SGSI requiere un equipo de trabajo MULTICONOCIMIENTO. La implantación de un SGSI tiene BONDADES INHERENTES y es un DIFERENCIADOR DE LA COMPETENCIA.
Agradecimientos www.nexusasesores.com Muchas gracias por su atención José Manuel Fernández Domínguez jmfernandez@nexusasesores.com www.nexusasesores.com Esta presentación se encuentra sometida a Licencia Creative Commons: Reconocimiento – No comercial – Compartir bajo la misma licencia

Empfohlen

Curso SGSI
Curso SGSICurso SGSI
Curso SGSIJosé María Apellidos
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001ascêndia reingeniería + consultoría
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSIGLORIA VIVEROS
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridadRamiro Cid
 
Security audit
Security auditSecurity audit
Security auditRosaria Dee
 
SGSI
SGSISGSI
SGSIAlessa Paredes
 
It audit methodologies
It audit methodologiesIt audit methodologies
It audit methodologiesSalih Islam
 

Empfohlen

Curso SGSI
Curso SGSICurso SGSI
Curso SGSIJosé María Apellidos
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001ascêndia reingeniería + consultoría
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSIGLORIA VIVEROS
 
Política de seguridad
Política de seguridadPolítica de seguridad
Política de seguridadRamiro Cid
 
Security audit
Security auditSecurity audit
Security auditRosaria Dee
 
SGSI
SGSISGSI
SGSIAlessa Paredes
 
It audit methodologies
It audit methodologiesIt audit methodologies
It audit methodologiesSalih Islam
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionana anchundia
 
Cybersecurity Incident Management Powerpoint Presentation Slides
Cybersecurity Incident Management Powerpoint Presentation SlidesCybersecurity Incident Management Powerpoint Presentation Slides
Cybersecurity Incident Management Powerpoint Presentation SlidesSlideTeam
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...PECB
 
ISO 27001 2013 isms final overview
ISO 27001 2013 isms final overviewISO 27001 2013 isms final overview
ISO 27001 2013 isms final overviewNaresh Rao
 
Best Practices in Auditing ISO/IEC 27001
Best Practices in Auditing ISO/IEC 27001Best Practices in Auditing ISO/IEC 27001
Best Practices in Auditing ISO/IEC 27001PECB
 
CISA Review Course Slides - Part1
CISA Review Course Slides - Part1CISA Review Course Slides - Part1
CISA Review Course Slides - Part1Iyad Mourtada, CMA, CIA, CFE, CCSA, CRMA, CPLP
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria InformáticaWillian Yanza Chavez
 
Control and Audit Information System
Control and Audit Information SystemControl and Audit Information System
Control and Audit Information Systemarif prasetyo
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Chapter 6Network Security Devices, Design, and Technology
Chapter 6Network Security Devices, Design, and TechnologyChapter 6Network Security Devices, Design, and Technology
Chapter 6Network Security Devices, Design, and TechnologyDr. Ahmed Al Zaidy
 
Isms
IsmsIsms
Ismspenetration Tester
 
ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1Tanmay Shinde
 
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB
 
Cyber Security Best Practices
Cyber Security Best PracticesCyber Security Best Practices
Cyber Security Best PracticesEvolve IP
 
Structure of iso 27001
Structure of iso 27001Structure of iso 27001
Structure of iso 27001CUNIX INDIA
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosDiana Alfaro
 
Diagrama de fluo - seguridad informática
Diagrama de fluo - seguridad informáticaDiagrama de fluo - seguridad informática
Diagrama de fluo - seguridad informáticaRauli Estigarribia
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
Plan de continuidad
Plan de continuidadPlan de continuidad
Plan de continuidadLeonardo Lenin Banegas Barahona
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Norma 27000
Norma 27000Norma 27000
Norma 27000nestor
 

Weitere ähnliche Inhalte

Was ist angesagt?

Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionana anchundia
 
Cybersecurity Incident Management Powerpoint Presentation Slides
Cybersecurity Incident Management Powerpoint Presentation SlidesCybersecurity Incident Management Powerpoint Presentation Slides
Cybersecurity Incident Management Powerpoint Presentation SlidesSlideTeam
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...PECB
 
ISO 27001 2013 isms final overview
ISO 27001 2013 isms final overviewISO 27001 2013 isms final overview
ISO 27001 2013 isms final overviewNaresh Rao
 
Best Practices in Auditing ISO/IEC 27001
Best Practices in Auditing ISO/IEC 27001Best Practices in Auditing ISO/IEC 27001
Best Practices in Auditing ISO/IEC 27001PECB
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria InformáticaWillian Yanza Chavez
 
Control and Audit Information System
Control and Audit Information SystemControl and Audit Information System
Control and Audit Information Systemarif prasetyo
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Chapter 6Network Security Devices, Design, and Technology
Chapter 6Network Security Devices, Design, and TechnologyChapter 6Network Security Devices, Design, and Technology
Chapter 6Network Security Devices, Design, and TechnologyDr. Ahmed Al Zaidy
 
ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1Tanmay Shinde
 
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB
 
Cyber Security Best Practices
Cyber Security Best PracticesCyber Security Best Practices
Cyber Security Best PracticesEvolve IP
 
Structure of iso 27001
Structure of iso 27001Structure of iso 27001
Structure of iso 27001CUNIX INDIA
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosDiana Alfaro
 
Diagrama de fluo - seguridad informática
Diagrama de fluo - seguridad informáticaDiagrama de fluo - seguridad informática
Diagrama de fluo - seguridad informáticaRauli Estigarribia
 

Was ist angesagt? (20)

Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Cybersecurity Incident Management Powerpoint Presentation Slides
Cybersecurity Incident Management Powerpoint Presentation SlidesCybersecurity Incident Management Powerpoint Presentation Slides
Cybersecurity Incident Management Powerpoint Presentation Slides
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
 
ISO 27001 2013 isms final overview
ISO 27001 2013 isms final overviewISO 27001 2013 isms final overview
ISO 27001 2013 isms final overview
 
Best Practices in Auditing ISO/IEC 27001
Best Practices in Auditing ISO/IEC 27001Best Practices in Auditing ISO/IEC 27001
Best Practices in Auditing ISO/IEC 27001
 
CISA Review Course Slides - Part1
CISA Review Course Slides - Part1CISA Review Course Slides - Part1
CISA Review Course Slides - Part1
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria Informática
 
Control and Audit Information System
Control and Audit Information SystemControl and Audit Information System
Control and Audit Information System
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Chapter 6Network Security Devices, Design, and Technology
Chapter 6Network Security Devices, Design, and TechnologyChapter 6Network Security Devices, Design, and Technology
Chapter 6Network Security Devices, Design, and Technology
 
Isms
IsmsIsms
Isms
 
ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1
 
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
PECB Webinar: Cybersecurity Guidelines – Introduction to ISO 27032
 
Cyber Security Best Practices
Cyber Security Best PracticesCyber Security Best Practices
Cyber Security Best Practices
 
Structure of iso 27001
Structure of iso 27001Structure of iso 27001
Structure of iso 27001
 
Ejemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticosEjemplo de cuestionario para auditoría de sistemas informáticos
Ejemplo de cuestionario para auditoría de sistemas informáticos
 
Diagrama de fluo - seguridad informática
Diagrama de fluo - seguridad informáticaDiagrama de fluo - seguridad informática
Diagrama de fluo - seguridad informática
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
Plan de continuidad
Plan de continuidadPlan de continuidad
Plan de continuidad
 

Andere mochten auch

Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Norma 27000
Norma 27000Norma 27000
Norma 27000nestor
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Conceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosConceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosITM Platform
 

Andere mochten auch (10)

Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
 
Norma 27000
Norma 27000Norma 27000
Norma 27000
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
NORMA ISO 90003
NORMA ISO 90003NORMA ISO 90003
NORMA ISO 90003
 
MODELOS Y NORMAS DE CALIDAD
MODELOS Y NORMAS DE CALIDAD MODELOS Y NORMAS DE CALIDAD
MODELOS Y NORMAS DE CALIDAD
 
Ciclo de deming
Ciclo de demingCiclo de deming
Ciclo de deming
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
Conceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosConceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgos
 

Ähnlich wie Iso27001 Norma E Implantacion Sgsi

Funcionalidades de QUALITY MASTER
Funcionalidades de QUALITY MASTERFuncionalidades de QUALITY MASTER
Funcionalidades de QUALITY MASTERJoaquin Bona
 
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...AGESTIC - Asociación Gallega Empresas TIC
 
Ciclos de desarrollo de un s i
Ciclos de desarrollo de un s iCiclos de desarrollo de un s i
Ciclos de desarrollo de un s iEliiza Briceño
 
1 marcos marcos-de-referencia-v040811
1 marcos marcos-de-referencia-v0408111 marcos marcos-de-referencia-v040811
1 marcos marcos-de-referencia-v040811faau09
 
Guia de calidad para desarrollo de software
Guia de calidad para desarrollo de softwareGuia de calidad para desarrollo de software
Guia de calidad para desarrollo de softwareAndres Epifanía Huerta
 
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario Ureña
 
Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralLatin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralMario Ureña
 
[WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?
[WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?[WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?
[WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?Grupo Smartekh
 
Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V Adcordova923
 
ISO y el Registro Nacional de bases de datos
ISO y el Registro Nacional de bases de datosISO y el Registro Nacional de bases de datos
ISO y el Registro Nacional de bases de datosSergio Pinzón Amaya
 

Ähnlich wie Iso27001 Norma E Implantacion Sgsi (20)

Funcionalidades de QUALITY MASTER
Funcionalidades de QUALITY MASTERFuncionalidades de QUALITY MASTER
Funcionalidades de QUALITY MASTER
 
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
 
Ciclos de desarrollo de un s i
Ciclos de desarrollo de un s iCiclos de desarrollo de un s i
Ciclos de desarrollo de un s i
 
I foro de gestión pymes software - Aenor
I foro de gestión pymes software - AenorI foro de gestión pymes software - Aenor
I foro de gestión pymes software - Aenor
 
Estandares auditoria
Estandares auditoriaEstandares auditoria
Estandares auditoria
 
1 marcos marcos-de-referencia-v040811
1 marcos marcos-de-referencia-v0408111 marcos marcos-de-referencia-v040811
1 marcos marcos-de-referencia-v040811
 
ANUIES 2009. Tendencias en Sistemas de Gestion
ANUIES 2009. Tendencias en Sistemas de GestionANUIES 2009. Tendencias en Sistemas de Gestion
ANUIES 2009. Tendencias en Sistemas de Gestion
 
Guia de calidad para desarrollo de software
Guia de calidad para desarrollo de softwareGuia de calidad para desarrollo de software
Guia de calidad para desarrollo de software
 
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
 
Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión IntegralLatin CACS 341 Mario Ureña - Sistemas de Gestión Integral
Latin CACS 341 Mario Ureña - Sistemas de Gestión Integral
 
Estandares de calidad
Estandares de calidadEstandares de calidad
Estandares de calidad
 
[WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?
[WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?[WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?
[WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Cobit
CobitCobit
Cobit
 
Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V A
 
Cobit exposicion
Cobit exposicionCobit exposicion
Cobit exposicion
 
Presentacion gconsulting v4.0
Presentacion gconsulting v4.0Presentacion gconsulting v4.0
Presentacion gconsulting v4.0
 
ISO y el Registro Nacional de bases de datos
ISO y el Registro Nacional de bases de datosISO y el Registro Nacional de bases de datos
ISO y el Registro Nacional de bases de datos
 
Iso 12207
Iso 12207Iso 12207
Iso 12207
 
Presentacion proyecto
Presentacion proyectoPresentacion proyecto
Presentacion proyecto
 

Kürzlich hochgeladen

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosJhonJairoRodriguezCe
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 

Kürzlich hochgeladen (10)

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 

Iso27001 Norma E Implantacion Sgsi

  • 1. Portada www.nexusasesores.com Parámetros fundamentales para la implantación de un Sistema de Gestión de Seguridad de la Información según ISO 27001:2005 22 de junio de 2006 Por José Manuel Fernández Domínguez Grupo Nexus Consultores y Auditores
  • 2. Índice www.nexusasesores.com INTRODUCCI ÓN Necesidades de un SGSI y estructura normativa ESTRUCTURA DE LA NORMA Cláusulas de ISO 27001:2005 y comentarios OBJETIVOS DE CONTROL Y CONTROLES Anexo A de ISO 27001:2005 y comentarios BENEFICIOS DE UN SGSI Resumen de algunos beneficios y comentarios
  • 3. Índice www.nexusasesores.com INTRODUCCI ÓN Necesidades de un SGSI y estructura normativa ESTRUCTURA DE LA NORMA Cláusulas de ISO 27001:2005 y comentarios OBJETIVOS DE CONTROL Y CONTROLES Anexo A de ISO 27001:2005 y comentarios BENEFICIOS DE UN SGSI Resumen de algunos beneficios y comentarios
  • 4. Introducción www.nexusasesores.com Vulnerabilidades reportadas (Fuente: www.cert.org) Año 98 99 00 01 02 03 04 05 1C06 Vulnerabilidades 262 417 1090 2437 4129 3784 3780 5990 1597 reportadas Total de vulnerabilidades reportadas (1998-1C06): 23.486 Notas sobre vulnerabilidades publicadas (Fuente: www.cert.org) Año 98 99 00 01 02 03 04 05 1C06 Notas sobre vulnerabilidades 8 3 47 326 375 255 341 285 66 publicadas Notas sobre vulnerabilidades publicadas (1998-1C06): 1.706 Ernst & Young pierde 4 portátiles con información sensible de clientes (Fuente: http://delitosinformaticos.com/protecciondatos/noticias/114113977812654.shtml - 28-02-06) Virus revela por segunda vez documentos secretos de central eléctrica japonesa (Fuente: http://www.laflecha.net/canales/seguridad/noticias/200605242 - 24-05-06) Detenido hacker que logró transferir 328.400 dólares a su cuenta personal (Fuente: http://www.maestrosdelweb.com/actualidad/2320 - 26/07/05)
  • 5. Introducción www.nexusasesores.com Top Vulnerabilidades en Sistemas Top Vulnerabilidades en Aplicaciones Windows Cross-Platform W1. Servicios de Windows C1. Software de Backup W2. Internet Explorer C2. Software Antivirus W3. Librerías de Windows C3. Aplicaciones basadas en PHP W4. Microsoft Office y Outlook Express C4. Software para Base de Datos W5. Debilidades de Configuración de Windows C5. Aplicaciones para Compartir Ficheros C6. Software DNS Top Vulnerabilidades en Sistemas UNIX C7. Reproductores de Media U1. Debilidades en la configuración UNIX C8. Aplicaciones de Mensajería Instantánea U2. Mac OS X C9. Navegadores Mozilla y Firefox C10. Otras aplicaciones Cross-Platform Top Vulnerabilidades en productos de red N1. Cisco IOS y otros productos no-IOS N2. Juniper, CheckPoint y Productos Symantec N3. Debilidades de Configuración de Dispositivos Cisco TOP 20 Vulnerabilidades Fuente: SANS Institute
  • 6. Introducción www.nexusasesores.com Consecuencias PRODUCTIVIDAD Y IMAGEN VOLUMEN DE NEGOCIO PRESTACIÓN DEL SERVICIO Disminución rendimiento laboral Pérdida de imagen respecto de clientes Pérdida de ingresos / facturación Interrupciones en procesos productivos Pérdida de imagen respecto a proveedores Posibles indemnizaciones a terceros Retrasos en entregas Pérdida de imagen respecto a otras partes Posibles sanciones Cese de transacciones Ventajas de los competidores Pérdida de oportunidades de negocio Enfado de los empleados Incidencia sobre Stakeholders Pérdida de contratos / caída acciones Etc. Etc. Etc. Consecuencias que no pueden ocurrir en nuestras empresas ni en ningún entorno competitivo en estos días Sistemas de Información Actuales
  • 7. Introducción www.nexusasesores.com Algunas definiciones importantes Seguridad de la Información (SI).- Preservación de la confidencialidad, integridad y disponibilidad de la información; adicionalmente autenticidad, responsabilidad, no repudio y confiabilidad. Confidencialidad.- Aseguramiento de que la información es accesible sólo a autorizados. Integridad.- Garantía de exactitud y completitud de información y métodos de procesado. Disponibilidad.- Aseguramiento de que los autorizados tengan acceso cuando lo necesiten a la información y los activos asociados. SGSI.- La parte del Sistema de Gestión Global, basada en una orientación a riesgo de negocio, para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la seguridad de la información Activo.- Algo que tiene valor para la organización (ISO/IEC 13335-1:2004). Amenaza.- Evento que puede provocar un incidente en la organización produciendo daños o pérdidas materiales y/o inmateriales. Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias externas.
  • 8. Introducción www.nexusasesores.com Evolución normativa 1995 BS 7799-1:1995 (Norma británica) 1999 BS 7799-2:1999 (Norma británica) 1999 Revisión BS 7799-1:1999 2000 ISO/IEC 17799:2000 (Norma internacional código de prácticas) 2002 Revisión BS 7799-2:2002 2004 UNE 71502 (Norma española) 2005 Revisión ISO/IEC 17799:2005 2005 Revisión BS 7799-2:2005 2005 ISO/IEC 27001:2005 (Norma internacional certificable)
  • 9. Introducción www.nexusasesores.com Familia ISO 27000 en los próximos años ISO 27000 (2007) Vocabulario y Definiciones ISO 27001 (2005) Estándar Certificable ya en Vigor ISO 27002 (2007) Código de Buenas Prácticas relevo de ISO 17799 ISO 27003 (2008) Guía para la Implantación ISO 27004 (2008) Métricas e Indicadores ISO 27005 (2008) Gestión de Riesgos (BS 7799-3:2006) ISO 27006 (2007) Requisitos para Acreditación de Entidades de Certificación
  • 10. Índice www.nexusasesores.com INTRODUCCI ÓN Necesidades de un SGSI y estructura normativa ESTRUCTURA DE LA NORMA Cláusulas de ISO 27001:2005 y comentarios OBJETIVOS DE CONTROL Y CONTROLES Anexo A de ISO 27001:2005 y comentarios BENEFICIOS DE UN SGSI Resumen de algunos beneficios y comentarios
  • 11. Estructura de ISO 27001:2005 www.nexusasesores.com ISO 27001:2005 Desarrollado como modelo para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora de un SGSI para cualquier tipo de organización. El diseño e implantación de un SGSI se encuentra influenciado por las necesidades, objetivos, requisitos de seguridad, los procesos, los empleados , el tamaño, los sistemas de soporte y la estructura de la organización. Situación simple Solución simple para el SGSI Orientación a procesos: Otras consideraciones Gestión de Gestión Feedback Salidas Operaciones Entradas internas Medida Recursos
  • 12. Estructura de ISO 27001:2005 www.nexusasesores.com El ciclo Plan – Do – Check – Act (PDCA de Deming) Partes Partes Interesadas: Interesadas: Establecimiento del SGSI Stakeholders Stakeholders Clientes PLAN Clientes Proveedores Proveedores Usuarios Usuarios Accionistas Accionistas Implementación Mejora Continua Socios Socios del SGSI del SGSI Otros Otros DO ACT Requisitos y Expectativas Monitorización y Seguridad para la Revisión del SGSI de la Seguridad Información de la CHECK Gestionada Información Alineado con las guías y principios de la OECD - Organisation for Economic Co-operation and Development: conocimiento, responsabilidad, respuesta, gestión del riesgo, diseño de seguridad e implementación, gestión de seguridad, revisión
  • 13. Estructura de ISO 27001:2005 www.nexusasesores.com Cadena de actuaciones Definición de Política Política Objetivos PLAN y Objetivos DO CHECK Determinación del ACT Alcance Alcance Amenazas/Vulnerabilidades Probabilidad/Impacto Resultados Análisis de Activos Análisis Resultados Análisis de Riesgos Análisis Gestión Organizacional Planificación Grado de Aseguramiento Gestión de Riesgos Tratamiento Controles ISO Selección de Objetivos Objetivos de Control y Controles Controles Controles adicionales Políticas Statement of Applicability S.O.A. Objetivos Procesos Procedimientos Instrucciones Controles Acciones correctivas Implantación y Acciones preventivas Otros Operación Práctica Indicadores Monitorización y Mantenimiento y Auditorías Revisión Mejora Continua Revisión
  • 14. Estructura de ISO 27001:2005 www.nexusasesores.com 0.- Introducción 5.- Responsabilidad de la Dirección 1.- Alcance 5.1.- Compromiso de la Dirección 2.- Referencias normativas 5.2.- Gestión de los recursos 3.- Términos y definiciones 5.2.1.- Provisión de recursos Exclusiones: 4.- Sistema de Gestión de Seguridad de laFormación, toma de conciencia y competencia 5.2.2.- Información 4.1.- Requisitos generales Auditorías internas del SGSI 6.- No son permitidas en las cláusulas que 4.2.- Establecimiento y gestión del SGSI la Dirección del 8. especifican requisitos de la 4 a la SGSI 7.- Revisión por 4.2.1.- Establecimiento 7.1.- Generalidades del SGSI 4.2.2.- Implementación7.2.- Entradas de la revisión y operación del SGSI Sólo aceptables en controles de Anexo A 4.2.3.- Monitorización y7.3.- Salidas SGSI adecuada y con justificación revisión revisión del de la 4.2.4.- Mantenimiento y mejora delSGSI 8.- Mejora del SGSI 4.3.- Requisitos de la documentación 8.1.- Mejora continua 4.3.1.- General 8.2.- Acción correctiva 4.3.2.- Control de documentos 8.3.- Acción preventiva 4.3.3.- Control de registros A – Objetivos de Control y Controles ANEXO
  • 15. Estructura de ISO 27001:2005 www.nexusasesores.com 4.- Sistema de Gestión de Seguridad de la Información 4.1.- Requisitos generales 4.2.- Establecimiento y gestión del SGSI 4.2.1.- Establecimiento del SGSI Alcance Características del negocio Características de la organización: localización, activos, tecnología Incluir detalles y justificaciones de exclusiones Política del SGSI Características del negocio Características de la organización: localización, activos, tecnología Marco para Objetivos relacionados con Seguridad de la Información Requisitos de negocio, legales, reglamentarios, contractuales y otros Alineada con el contexto de la estrategia de Gestión de Riesgos Establecimiento de criterios de evaluación de riesgos Aprobada por la Alta Dirección Status superior a las políticas de SI de bajo nivel
  • 16. Estructura de ISO 27001:2005 www.nexusasesores.com Metodología de Identificación de metodología: Magerit, CRAMM, Cobra, otros … Análisis de Riesgos Criterios aceptación de riesgos: niveles de riesgo aceptables (NRA) Debe producir resultados comparables y reproducibles Identificación de Identificar los activos dentro del alcance del SGSI Riesgos Identificar los propietarios de dichos activos Identificar las amenazas para esos activos Identificar las vulnerabilidades que pueden explotar las amenazas Identificar los impactos de pérdidas de C-I-D en dichos activos Análisis y Considerar impacto de fallos de seguridad (pérdidas de C-I-D) Evaluación de Considerar probabilidad realista de que el fallo ocurra Riesgos Considerar controles ya en funcionamiento o implantados Estimar niveles de riesgo Determinar cuando el riesgo es aceptable o requiere tratamiento
  • 17. Estructura de ISO 27001:2005 www.nexusasesores.com Opciones para el Aplicación de los controles apropiados (Anexo A y otros) Tratamiento de Conociendo Nivel de Riesgo Aceptable Riesgos Evitando riesgos Transfiriendo riesgos: aseguradoras, proveedores, otras partes Selección de Seleccionados e implantados en función del Risk Assessment Objetivos de Considerando resultados de Risk Assessment y Risk Treatment Control y Controles Cumpliendo la totalidad de requisitos del SGSI Tomados el ANEXO A y otros aportados por la organización El ANEXO A es un ‘starting point’ para selección de controles Aceptación de Aceptado de forma fehaciente por la Alta Dirección Riesgo Residual Cuidado con las firmas de aceptación de niveles de riesgo residual Obtención por escrito y en documento parte del SGSI
  • 18. Estructura de ISO 27001:2005 www.nexusasesores.com Autorización de la De forma previa a actividades de implantación y operación Alta Dirección Por escrito y en documento parte del SGSI Integrada en otro documento o de forma independiente Estado de Incluir Objetivos de Control y Controles seleccionados Aplicabilidad (SOA) Incluir los Objetivos de Control y Controles preexistentes Incluir las razones para la selección de los mismos Incluir exclusiones de OC y Controles del Anexo A Incluir justificación para dichas exclusiones 4.2.2.- Implementación y Operación del SGSI Risk Treatment Acciones de gestión y control a desarrollar Plan (RTP) Recursos asignados y responsabilidades Prioridades a la hora de gestionar los riesgos Implantación del RTP para alcanzar los Objetivos de Control
  • 19. Estructura de ISO 27001:2005 www.nexusasesores.com Implantación de Los controles anteriormente seleccionados deben ser implantados Controles Implantación física del Plan de Tratamiento de Riesgos (RTP) Respetando las responsabilidades previamente definidas Métricas e Debemos medir la efectividad de los controles seleccionados Indicadores Determinar cómo vamos a realizar el análisis de los datos Mediante los datos obtenidos, tenemos que gestionar controles El feedback es necesario para la gestión de los controles Los resultados de estos indicadores deben proporcionar resultados: - Comparables - Reproducibles Formación y Toma Implantación programas formativos para competencia de RRHH de Conciencia El ámbito humano de la organización debe ser competente La toma de conciencia es factor vital (agujeros de seguridad)
  • 20. Estructura de ISO 27001:2005 www.nexusasesores.com Implementación de Procedimientos, técnicos, no técnicos, … controles Para pronta detección de incidentes contra la seguridad Para pronta respuesta ante incidentes contra la seguridad 4.2.3.- Monitorización y revisión del SGSI Monitorización y Para detectar lo antes posible errores en procesos revisión del SGSI Para detectar lo antes posible brechas de seguridad e incidentes - Intentos (nos han lanzado x ataques contra nuestra IP) - Logros (nos han hackeado la web 2 veces este año) Para determinar que las prácticas se desarrollan de forma correcta Para ayudar a tomar decisiones utilizando indicadores Para determinar cuando las acciones correctivas han sido eficaces Revisiones Incluyendo Política, Objetivos, controles, resultados de auditorías regulares previas, incidentes, medidas de efectividad, sugerencias y feedback de otras partes interesadas
  • 21. Estructura de ISO 27001:2005 www.nexusasesores.com Revisión del A intervalos planificados Análisis de Riesgos Incluyendo nivel de riesgo aceptable y residual Teniendo en cuenta: organización, tecnología, objetivos de negocio y procesos, amenazas identificadas, efectividad de los controles implantados y eventos externos (cambios de legislación, contratos, etc.) Auditoría Interna A intervalos planificados para determinar: si el SGSI es conforme a ISO 27001 si el SGSI es conforme con otros requisitos si el SGSI está implantado y mantenido de forma efectiva Si el SGSI funciona según lo esperado Revisión por la De forma regular para garantizar: Dirección que el alcance sigue siendo adecuado que las mejoras del SGSI han sido debidamente identificadas
  • 22. Estructura de ISO 27001:2005 www.nexusasesores.com Auditoría Interna A intervalos planificados para determinar: si el SGSI es conforme a ISO 27001 si el SGSI es conforme con otros requisitos si el SGSI está implantado y mantenido de forma efectiva Si el SGSI funciona según lo esperado A tener en cuenta Actualizaciones de planes de seguridad en función del feedback Análisis de logs y eventos con impacto significativo en el SGSI 4.2.4.- Mantenimiento y mejora del SGSI Mantenimiento y Las opciones de mejora deben ser implantadas mejora Deben tomarse acciones correctivas y preventivas Tener en cuenta experiencias propias o de otras organizaciones Comunicar acciones y mejoras a todas las partes interesadas Asegurar que las mejoras alcanzar los objetivos buscados
  • 23. Estructura de ISO 27001:2005 www.nexusasesores.com 4.3.- Requisitos de la documentación 4.3.1.- Generalidades ¿Qué debe incluir la documentación? -Política y Objetivos del SGSI -Alcance (Scope) -Procedimientos y controles -Descripción metodología Risk Assessment -Reportes del Risk Assessment -Plan de Tratamiento de Riesgos (RTP) -Los registros requeridos por ISO 27001 -El Estado de Aplicabilidad (SOA)
  • 24. Estructura de ISO 27001:2005 www.nexusasesores.com 4.3.2.- Control de los documentos Deben ser debidamente protegidos y controlados. Es necesario un procedimiento documentado según ISO 27001. Debe incluir criterios para: -Aprobación de documentos antes de su emisión -Revisión y actualización y necesidad de re-aprobación -Identificación de cambios y versiones en vigor -Garantizar que las versiones aplicables se encuentren en los puntos de uso -Garantizar que los documentos permanecen legibles y fácilmente identificables -Garantizar que están a disposición de las personas que los necesitan -Garantizar que son transferidos, almacenados y destruidos según lo establecido en el SGSI -Garantizar que se identifican los documentos de origen externo -Garantizar que se controla la distribución e documentos -Prevenir el uso no intencionado de documentos obsoletos -Identificar los obsoletos caso de que sean retenidos por algún motivo
  • 25. Estructura de ISO 27001:2005 www.nexusasesores.com 4.3.3.- Control de los registros Muestran evidencias de la conformidad del sistema con sus requisitos Deben ser debidamente protegidos y controlados Es necesario un documentar los controles necesarios para su: - identificación (rápidamente identificables) - almacenamiento (fácilmente recuperables) - protección (permanezcan legibles) - período de retención - disposición de registros
  • 26. Estructura de ISO 27001:2005 www.nexusasesores.com 5.- Responsabilidad de la Dirección 5.1.- Compromiso de la Dirección La Alta Dirección debe proveer evidencia de su compromiso con el proyecto -Estableciendo la Política del SGSI -Asegurando que se establecen Objetivos para el SGSI y que se planifica su consecución -Estableciendo roles y responsabilidades -Comunicando la importancia de logar los Objetivos y estableciendo la Política del SGSI -Comunicando responsabilidades y la necesidad de la búsqueda de la mejora continua -Suministrando recursos -Decidiendo criterios de aceptación de riesgos y Niveles de Riesgo Aceptables -Asegurándose de que se realizan Auditorías Internas -Realizando Revisiones por la Dirección del SGSI 5.2- Gestión de Recursos 5.2.1.- Provisión de recursos Recursos Dirección Correcto devenir del SGSI
  • 27. Estructura de ISO 27001:2005 www.nexusasesores.com 5.2.2.- Formación, Toma de Conciencia y Competencia Personal con responsabilidades Personal competente definidas en el SGSI 1) Determinar competencias para el personal alcanzado por el SGSI 2) Si no se tienen ‘in-house’ ? Formación o reclutamiento 3) Si se hacen acciones de formación ? Evaluar su eficacia 4) Hay que mantener registros de educación, formación, habilidades, experiencia y cualificación La organización debe garantizar que el personal relevante afectado por el SGSI sea consciente de la importancia de sus actividades y de cómo pueden contribuir a la consecución de los Objetivos.
  • 28. Estructura de ISO 27001:2005 www.nexusasesores.com 6.- Auditoría Interna del SGSI A intervalos previamente planificados en un Programa de Auditorías. En función de la importancia de los procesos y áreas a auditar. En función de resultados de auditorías previas. Debe definirse: - Criterios de auditoría y Alcance - Frecuencia y Metodología (ISO 19011 Guía) La selección de auditores y el desarrollo de la auditoría deben garantizar la total imparcialidad y objetividad del proceso de auditoría. Un auditor no debe auditar nunca su propio trabajo. Es preciso un procedimiento documentado según ISO 27001 que plasme las responsabilidades y requisitos para la planificación y realización de auditorías y para la forma en que se reportan los resultado y se mantienen registros. Dirección Área No conformidades Acciones correctivas sin demora
  • 29. Estructura de ISO 27001:2005 www.nexusasesores.com 7.- Revisión por la Dirección del SGSI 7.1.- Generalidades A intervalos planificados y como mínimo 1 al año Debe incluir oportunidades de mejora y necesidad de cambios en el SGSI Analizar posibles cambios en la Política y en los Objetivos Los resultados de la RxD deben estar documentados manteniendo registro 7.2.- Entradas de la revisión Resultados de auditorías y RxD previas Feedback de partes interesadas Estado de acciones correctivas/preventivas Técnicas, productos o procedimientos que pueden ser usados para mejora del SGSI Amenazas y vulnerabilidades no determinadas de forma correcta en el Risk Assessment Resultados de medidas de efectividad (métricas) Seguimiento de actuaciones derivadas de RxD previas Cambios que pudieran afectar al SGSI Recomendaciones de mejora
  • 30. Estructura de ISO 27001:2005 www.nexusasesores.com 7.3.- Salidas de la Revisión Mejora de la eficacia del SGSI Actualización del Risk Assessment y del Risk Treatment Plan Modificación de procedimientos y controles necesarios, incluyendo cambios en: - Requerimientos de negocio -Requerimientos de seguridad -Procesos de negocio -Requisitos legales o regulatorios -Obligaciones contractuales -Niveles de riesgo y/o criterios de aceptación de riesgo Necesidad de recursos Mejora de los métodos de medida de la eficacia de los controles
  • 31. Estructura de ISO 27001:2005 www.nexusasesores.com 8.3.- Acción preventiva 8.- Mejora del SGSI 8.1.- Mejora continua €€€ 8.2.- Acción correctiva Acción preventiva Acción correctiva Eliminar causa de Eliminar causa de No conformidades potenciales No conformidades Procedimiento AAPP -Identificar No Conformidades Potenciales Procedimiento AACC -Determinar sus causas -Identificar No Conformidades -Evaluar necesidad de actuación preventiva -Determinar sus causas -Determinar AAPP necesarias -Evaluar necesidad de actuación -Registrar resultados de las acciones -Determinar AACC necesarias -Revisar las AAPP tomadas -Registrar resultados de las acciones -Revisar las AACC tomadas Su prioridad irá en función del Risk Assessment
  • 32. Índice www.nexusasesores.com INTRODUCCI ÓN Necesidades de un SGSI y estructura normativa ESTRUCTURA DE LA NORMA Cláusulas de ISO 27001:2005 y comentarios OBJETIVOS DE CONTROL Y CONTROLES Anexo A de ISO 27001:2005 y comentarios BENEFICIOS DE UN SGSI Resumen de algunos beneficios y comentarios
  • 33. Objetivos de Control y Controles www.nexusasesores.com Gestión de Organización de Gestión de Continuidad de Conformidad Política de Seguridad de la Activos de Seguridad Negocio Información Información Disponibilidad Confidencialidad Gestión de Seguridad Información Incidentes de Ligada al Seguridad Personal Integridad No repudio Adquisición, Desarrollo Gestión de y Mantenimiento de Control de Operaciones y Seguridad Física y Sistemas de Información Accesos Comunicaciones del Entorno Alineados con ISO 17799:2005 Clá usulas 5 a 15
  • 34. Objetivos de Control y Controles www.nexusasesores.com A.5.- Política de Seguridad A.5.1.- Documento de Política de Seguridad de la Información A.5.2.- Revisión de la Política de Seguridad de la Información A.6.- Organización de la Seguridad de la Información A.6.1.- Organización Interna A.6.1.1.- Compromiso de la Dirección con la Seguridad de la Información A.6.1.2.- Coordinación de la Seguridad de la Información A.6.1.3.- Asignación de responsabilidades para Seguridad de la Información A.6.1.4.- Proceso de autorización para instalaciones de procesado de información A.6.1.5.- Compromisos de Confidencialidad A.6.1.6.- Contacto con las Autoridades A.6.1.7.- Contacto con Grupos Especiales de Interés A.6.1.8.- Revisión independiente de la Seguridad de la Información A.6.2.- Partes Externas A.6.2.1.- Identificación de riesgos asociados a partes externas A.6.2.2.- Seguridad en el trato con clientes A.6.2.3.- Seguridad en contratos con tercera parte (SLA)
  • 35. Objetivos de Control y Controles www.nexusasesores.com A.7.- Gestión de Activos A.7.1.- Responsabilidad de los activos Inventario de activos A.7.1.1.- Inventario de Activos A.7.1.2.- Propiedad de los Activos A.7.1.3.- Uso aceptable de los Activos A.7.2.- Clasificación de la Información A.7.2.1.- Guía para la clasificación Reglas para uso de A.7.2.2.- Etiquetado y posesión de información activos Información restringida Información clasificada Información no clasificada Información bajo licencia Label Otros …
  • 36. Objetivos de Control y Controles www.nexusasesores.com Esquema del Dominio A.8 según ISO 27001:2005 - Human Resources Security Fuente: Nextel, S. A.
  • 37. Objetivos de Control y Controles www.nexusasesores.com Perímetro f ísico Controles f ísicos Securización de Trabajo en áreas de seguridad de entrada oficinas, habitaciones seguras e instalaciones Protección contra amenazas externas y del Acceso público, entorno áreas de entrega Dominio A.9 y recepción Seguridad física y del entorno Seguridad del cableado A.9.1 A.9.2 Securización de áreas Seguridad de equipos Retiro de propiedades off- site Seguridad de equipos off-site Utilidades soporte Localización de Securización de Mantenimiento (SAI, …) equipos y protección equipos reutilizados de equipos
  • 38. Objetivos de Control y Controles www.nexusasesores.com Dominio A.10 Gestión de Comunicaciones y Operaciones A.10.1 A.10.6 Procedimientos de operación y responsabilidades Gestión de la seguridad en red A.10.2 A.10.7 Gestión de prestación de servicios tercera parte Posesión de medios A.10.3 A.10.8 Planificación de sistemas y aceptación Intercambio de información A.10.4 A.10.9 Protección contra código malicioso y móvil Servicios de comercio electrónico A.10.5 A.10.10 Copias de respaldo (Back Up) Monitorización (gestión de logs)
  • 39. Objetivos de Control y Controles www.nexusasesores.com Dominio A.11 Control de acceso A.11.1 A.11.5 Requisitos para control de acceso Control de acceso al sistema operativo A.11.2 A.11.6 Gestión de acceso de usuarios Control de acceso a aplicaciones e información A.11.3 A.11.7 Responsabilidades de los usuarios Computación móvil y teletrabajo A.11.4 Control de acceso a red Dominio A.12 Adquisición, desarrollo y mantenimiento de Sistemas de Información A.12.1 A.12.4 Análisis y especificación requisitos de seguridad Seguridad de ficheros de sistema A.12.2 A.12.5 Procesado correcto en aplicaciones Seguridad en procesos de desarrollo y soporte A.12.3 A.12.6 Controles criptográficos Gestión de vulnerabilidades técnicas
  • 40. Objetivos de Control y Controles www.nexusasesores.com Esquema del dominio A.13 – Gestión de incidentes contra SI Fuente: Nextel, S. A.
  • 41. Objetivos de Control y Controles www.nexusasesores.com Dominio A.14 - Gestión de continuidad de negocio (BCM) A.14.1.- Aspectos de SI para la BCM A.14.1.1.- Introducción de la Seguridad de la Información en el proceso de BCM A.14.1.2.- Continuidad de Negocio y Risk Assessment A.14.1.3.- Desarrollo e implementación de planes de continuidad incluyendo SI A.14.1.4.- Marco para la planificación de la continuidad de negocio A.14.1.5.- Test, mantenimiento y revisión de planes de continuidad de negocio
  • 42. Objetivos de Control y Controles www.nexusasesores.com Protección de Datos y Identificación de Derechos de Protección de registros legislación aplicable Propiedad Intelectual de la organización privacidad de la información personal A.15.1 Conformidad con requisitos legales Dominio A.15 Conformidad Controles A.15.2 Prevención de uso de Auditoría Conformidad con Políticas de erróneo de la de infraestructura de Seguridad y normas, y sistemas procesado de de Información cumplimiento técnico información A.15.3 Consideraciones sobre Auditoría de SI Protección de herramientas Comprobación de Cumplimiento con Regulación de de auditoria de sistemas de Políticas de controles cumplimiento técnico información Seguridad y normas criptográficos
  • 43. Índice www.nexusasesores.com INTRODUCCI ÓN Necesidades de un SGSI y estructura normativa ESTRUCTURA DE LA NORMA Cláusulas de ISO 27001:2005 y comentarios OBJETIVOS DE CONTROL Y CONTROLES Anexo A de ISO 27001:2005 y comentarios BENEFICIOS DE UN SGSI Resumen de algunos beneficios y comentarios
  • 44. Beneficios de un SGSI www.nexusasesores.com - Disponer armas de gestión para particulares usualmente olvidados - Conocer realmente de qué activos disponemos (control y clasificación) - Involucrar a la Alta Dirección en la Seguridad de la Información - Desarrollar Políticas formales de obligado cumplimiento - Cumplir con la legislación vigente ligada al proyecto - Realizar análisis de riesgos para el desarrollo del negocio - Introducción de contratos de niveles de servicio (SLA) - Reforzar la seguridad ligada al personal - Disponer planes de contingencia ante incidentes - Disponer planes de continuidad de negocio y recuperación ante desastres - Desarrollo de indicadores de desempeño del SGSI - Disminución de riesgos a niveles aceptables …………………………….. ETC
  • 45. Conclusiones www.nexusasesores.com CONCLUSIONES FUNDAMENTALES La Seguridad de la Información es un PROCESO. La Seguridad de la Información se basa en PERSONAS. La Seguridad de la Información debe orientarse al RIESGO. Un buen SGSI es un sistema RENTABLE para la organización. NO EXISTE la seguridad absoluta. El SGSI AYUDA a la gestión. Hay que definir ESTRATEGIAS DE NEGOCIO y huir de actuaciones puntuales sin criterios de interconexión. Un proyecto SGSI requiere un equipo de trabajo MULTICONOCIMIENTO. La implantación de un SGSI tiene BONDADES INHERENTES y es un DIFERENCIADOR DE LA COMPETENCIA.
  • 46. Agradecimientos www.nexusasesores.com Muchas gracias por su atención José Manuel Fernández Domínguez jmfernandez@nexusasesores.com www.nexusasesores.com Esta presentación se encuentra sometida a Licencia Creative Commons: Reconocimiento – No comercial – Compartir bajo la misma licencia