SlideShare ist ein Scribd-Unternehmen logo

Iso 27001 Los Controles

sucari2009
sucari2009

Este documento resume los primeros cinco grupos de controles de la norma ISO-27001. Explica que los controles cubren más que solo medidas técnicas, y pueden incluir documentos, procedimientos y más. Describe los primeros cinco grupos de controles, incluyendo la política de seguridad, organización de información de seguridad, administración de recursos, seguridad de recursos humanos y seguridad física y del entorno.

Technologie
1 von 9
Downloaden Sie, um offline zu lesen
ISO-27001: Los Controles ISO-27001: LOS CONTROLES (Parte I) Por: Alejandro Corletti Estrada Mail: acorletti@hotmail.com Madrid, noviembre de 2006. Este artículo es la continuación del análisis de la norma ISO-27001. Para facilitar su lectura y que no sea tan extenso, se presentará en dos partes. En la presente (Parte I), se desarrollarán los primeros cinco grupos de controles, dejando los seis restantes para la parte II del mismo. PRÓLOGO En un artículo anterior a este, denominado “Análisis de la ISO 27001:2005”, se desarrollaron los conceptos generales de este nuevo estándar de seguridad de la información. Se describió su origen y posicionamiento, y luego se hizo un resumen de las consideraciones clave del mismo. En concreto ese texto presentaba lo siguiente: “Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas: - SGSI (Sistema de Gestión de la Seguridad de la Ingormación o ISMS: Information Security Managemet System). - Valoración de riegos (Risk Assesment) - Controles” De esas tres grandes líneas, por ser una presentación de la norma, se continuó con las generalidades y se hizo bastante hincapié en el concepto de SGSI (o ISMS), por considerarse a este tema el que más necesitaba ser explicado inicialmente, pues es lo que verdaderamente hace del estándar un “Sistema completo de Gestión de la Seguridad” (Si bien hay más aspectos que están siendo incorporados en una nueva versión de controles que estará disponible muy brevemente). Tal vez la conclusión más importante de ese texto fuera que “Se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo”. Por esta razón es que se consideró necesario seguir adelante con el análisis del mismo. Los primeros pasos para la implementación de esta norma son: Alejandro Corletti Estrada Página 1 de 9
ISO-27001: Los Controles - Definir el ámbito y política del SGSI. - Proceso de análisis y valoración de riesgos (Evaluación de Riesgos). - Selección, tratamiento e implementación de Controles. - ……… El tercer punto anteriormente presentado es lo que se desarrollará en el presente artículo para tratar de entrar en el detalle de cada uno de los grupos que propone ISO 27001. DESARROLLO I. PRESENTACIÓN: Sobre el tema de Análisis de Riesgo, no se desea profundizar, pues la norma deja abierto el camino a la aplicación de cualquier tipo de metodología, siempre y cuando la misma sea metódica y completa, es decir satisfaga todos los aspectos que se mencionan en ella. Existen varios tipos de metodologías, en España las más empleadas, tal vez sean MAGERIT y COBIT, pero hasta es posible la aplicación de procedimientos propietarios o particulares, si presenta rigurosidad en los pasos y resultados. Lo que es necesario recalcar aquí es que los controles serán seleccionados e implementados de acuerdo a los requerimientos identificados por la valoración del riesgo y los procesos de tratamiento del riesgo. Es decir, que de esta actividad surgirá la primera decisión acerca de los controles que se deberán abordar. La preparación y planificación de SGSI, se trató en el artículo anterior, pero en definitiva, lo importante de todo este proceso es que desencadena en una serie de controles (o mediciones) a considerar y documentar, que se puede afirmar, son uno de los aspectos fundamentales del SGSI (junto con la Valoración de riesgo). Cada uno de ellos se encuentra en estrecha relación a todo lo que especifica la norma ISO/IEC 17799:2005 en los puntos 5 al 15, y tal vez estos sean el máximo detalle de afinidad entre ambos estándares. La evaluación de cada uno de ellos debe quedar claramente documentada, y muy especialmente la de los controles que se consideren excluidos de la misma. “DESCONCEPTO”: Al escuchar la palabra “Control”, automáticamente viene a la mente la idea de alarma, hito, evento, medición, monitorización, etc…., se piensa en algo muy técnico o acción. En el caso de este estándar, el concepto de “Control”, es mucho (pero mucho) más que eso, pues abarca todo el conjunto de acciones, documentos, medidas a adoptar, procedimientos, medidas técnicas, etc…………………. Un “Control” es lo que permite garantizar que cada aspecto, que se valoró con un cierto riesgo, queda cubierto y auditable ¿Cómo? De muchas formas posibles. Alejandro Corletti Estrada Página 2 de 9
ISO-27001: Los Controles El estándar especifica en su “Anexo A” el listado completo de cada uno de ellos, agrupándolos en once rubros. Para cada uno de ellos define el objetivo y lo describe brevemente. Cabe aclarar que el anexo A proporciona una buena base de referencia, no siendo exhaustivo, por lo tanto se pueden seleccionar más aún. Es decir, estos 133 controles (hoy) son los mínimos que se deberán aplicar, o justificar su no aplicación, pero esto no da por completa la aplicación de la norma si dentro del proceso de análisis de riesgos aparecen aspectos que quedan sin cubrir por algún tipo de control. Por lo tanto, si a través de la evaluación de riesgos se determina que es necesaria la creación de nuevos controles, la implantación del SGSI impondrá la inclusión de los mismos, sino seguramente el ciclo no estará cerrado y presentará huecos claramente identificables. Los controles que el anexo A de esta norma propone quedan agrupados y numerados de la siguiente forma: A.5 Política de seguridad A.6 Organización de la información de seguridad A.7 Administración de recursos A.8 Seguridad de los recursos humanos A.9 Seguridad física y del entorno A.10 Administración de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición de sistemas de información, desarrollo y mantenimiento A.13 Administración de los incidentes de seguridad A.14 Administración de la continuidad de negocio A.15 Cumplimiento (legales, de estándares, técnicas y auditorías) II. DESARROLLO DE LOS CONTROLES En este ítem, para ser más claro, se respetará la puntuación que la norma le asigna a cada uno de los controles. A.5 Política de seguridad. Este grupo está constituido por dos controles y es justamente el primer caso que se puede poner de manifiesto sobre el mencionado “Desconcepto” sobre lo que uno piensa que es un control, pues aquí se puede apreciar claramente la complejidad que representa el diseño, planificación, preparación, implementación y revisiones de una Política de Seguridad (la revisión es justamente el segundo control que propone)……….como se mencionó “un Control es mucho (pero mucho), mas que eso…” Todo aquel que haya sido responsable alguna vez de esta tarea, sabrá de lo que se está hablando. La Política de Seguridad, para ser riguroso, en realidad debería dividirse en dos documentos: Alejandro Corletti Estrada Página 3 de 9
ISO-27001: Los Controles - Política de seguridad (Nivel político o estratégico de la organización): Es la mayor línea rectora, la alta dirección. Define las grandes líneas a seguir y el nivel de compromiso de la dirección con ellas. - Plan de Seguridad (Nivel de planeamiento o táctico): Define el “Cómo”. Es decir, baja a un nivel más de detalle, para dar inicio al conjunto de acciones o líneas rectoras que se deberán cumplir. Algo sobre lo que generalmente no se suele reflexionar o remarcar es que: Una “Política de Seguridad” bien planteada, diseñada, y desarrollada cubre la gran mayoría de los aspectos que hacen falta para un verdadero SGSI. Haciendo abuso de la avanzada edad de este autor, es que se van a citar dos puntos de partida para la mencionada actividad que, a juicio del mismo, siguen siendo grandes referentes metodológicos a la hora de la confección de estos controles. Se trata de lo que proponen las siguientes RFCs (Request For Comments). Política de seguridad (RFC – 2196 Site Security Handbook) y también la anterior (RFC-1244, que si bien queda obsoleta por la primera es muy ilustrativa) ambas, planten una metodología muy eficiente de feedback partiendo desde el plano más alto de la Organización hasta llegar al nivel de detalle, para comparar nuevamente las decisiones tomadas y reingresar las conclusiones al sistema evaluando los resultados y modificando las deficiencias. Se trata de un ciclo permanente y sin fin cuya característica fundamental es la constancia y la actualización de conocimientos. Esta recomendación plantea muy en grande los siguientes pasos: Política de Seguridad (RFC1244) Análisis de riesgo Grado de exposición Plan de Seguridad (semejante a Certificación ISO) Plan de contingencia La política es el marco estratégico de la Organización, es el más alto nivel. El análisis de riesgo y el grado de exposición determinan el impacto que puede producir los distintos niveles de clasificación de la información que se posee. Una vez determinado estos conceptos, se pasa al Cómo que es el Plan de Seguridad, el cual, si bien en esta RFC no está directamente relacionado con las normas ISO, se mencionan en este texto por la similitud en la elaboración de procedimientos de detalle para cada actividad que se implementa, y porque se reitera, su metodología se aprecia como excelente………(y dados los años del autor, sabrán disculpar la fechas de publicación de ambas RFCs....{Les garantizo que están en Inglés, y no en Sánscrito}). Alejandro Corletti Estrada Página 4 de 9
ISO-27001: Los Controles A.6 Organización de la información de seguridad. Este segundo grupo de controles abarca once de ellos y se subdivide en: - Organización Interna: Compromiso de la Dirección, coordinaciones, responsabilidades, autorizaciones, acuerdos de confidencialidad, contactos con autoridades y grupos de interés en temas de seguridad, revisiones independientes. - Partes externas: Riesgos relacionados con terceros, gobierno de la seguridad respecto a clientes y socios de negocio. Lo más importante a destacar de este grupo son dos cosas fundamentales que abarcan a ambos subgrupos: - Organizar y Mantener actualizada la cadena de contactos (internos y externos), con el mayor detalle posible (Personas, responsabilidades, activos, necesidades, acuerdos, riesgos, etc.). - Derechos y obligaciones de cualquiera de los involucrados. En este grupo de controles, lo ideal es diseñar e implementar una simple base de datos, que permita de forma amigable, el alta, baja y/o modificación de cualquiera de estos campos. La redacción de la documentación inicial de responsables: derechos y obligaciones (para personal interno y ajeno) y el conjunto de medidas a adoptar con cada uno de ellos. Una vez lanzado este punto de partida, se debe documentar la metodología de actualización, auditabildad y periodicidad de informes de la misma. A.7 Administración de recursos Este grupo cubre cinco controles y también se encuentra subdividido en: - Responsabilidad en los recursos: Inventario y propietario de los recursos, empleo aceptable de los mismos. - Clasificación de la información: Guías de clasificación y Denominación, identificación y tratamiento de la información. Este grupo es eminentemente procedimental y no aporta nada al aspecto ya conocido en seguridad de la información, en cuanto a que todo recurso debe estar perfectamente inventariado con el máximo detalle posible, que se debe documentar el “uso adecuado de los recursos” y que toda la información deberá ser tratada de acuerdo a su nivel. En el caso de España, tanto la LOPD como la LSSI han aportado bastante a que esta tarea sea efectuada con mayor responsabilidad en los últimos años. También se puede encontrar en Internet varias referencias a la clasificación de la información por niveles. Tal vez sí valga la pena mencionar aquí el problema que se suele encontrar en la gran mayoría de las empresas que cuentan con un parque informático considerable, sobre el cual, se les dificulta Alejandro Corletti Estrada Página 5 de 10
ISO-27001: Los Controles mucho el poder mantener actualizado su sistema de inventario. El primer comentario, es que este aspecto debe abordarse “sí o sí”, pues es imposible pensar en seguridad, si no se sabe fehacientemente lo que se posee y cada elemento que queda desactualizado o no se lo ha inventariado aún, es un hueco concreto en la seguridad de todo el sistema, y de hecho suelen ser las mayores y más frecuentes puertas de entrada, pues están al margen de la infraestructura de seguridad . El segundo comentario, es que se aprecia que las mejores metodologías a seguir para esta actividad, son las que permiten mantener “vivo” el estado de la red y por medio de ellas inventariar lo que se “escucha”. Esta metodología lo que propone es, hacer un empleo lógico y completo de los elementos de red o seguridad (IDSs, Firewalls, Routers, sniffers, etc.) y aprovechar su actividad cotidiana de escucha y tratamiento de tramas para mantener “vivo” el estado de la red. Es decir, nadie mejor que ellos saben qué direcciones de la “Home Net” se encuentran activas y cuáles no, por lo tanto, aprovechar esta funcionalidad para almacenar y enviar estos datos a un repositorio adecuado, el cual será el responsable de mantener el inventario correspondiente. Sobre este tema, se propone la lectura de dos artículos publicados hace tiempo en Internet por este autor que se denominan “Metodología Nessus-Snort” y “Matriz de Estado de Seguridad”, si bien los mismos deben ser actualizados al día de hoy, de ellos se puede obtener una clara imagen de cómo se puede realizar esta tarea y aprovechar las acciones de seguridad para mejorar el análisis de riesgo y el inventario. A.8 Seguridad de los recursos humanos. Este grupo cubre nueve controles y también se encuentra subdividido en: - Antes del empleo: Responsabilidades y roles, verificaciones curriculares, términos y condiciones de empleo. - Durante el empleo: Administración de responsabilidades, preparación, educación y entrenamiento en seguridad de la información, medidas disciplinarias. - Finalización o cambio de empleo: Finalización de responsabilidades, devolución de recursos, revocación de derechos. Este grupo, en la actualidad, debe ser el gran ausente en la mayoría de las organizaciones. Se trata de un serio trabajo a realizar entre RRHH y los responsables de Seguridad de la Información de la organización. Se debe partir por la redacción de la documentación necesaria para la contratación de personal y la revocación de sus contratos (por solicitud, cambio o despido). En la misma deberá quedar bien claro las acciones a seguir para los diferentes perfiles de la organización, basados en la responsabilidad de manejo de información que tenga ese puesto. Como se pueda apreciar, tanto la contratación como el cese de un puesto, es una actividad conjunta de estas dos áreas, y cada paso deberá ser coordinado, según la documentación confeccionada, para que no se pueda pasar por alto ningún detalle, pues son justamente estas pequeñas omisiones de las que luego resulta el haber quedado con alta dependencia técnica de personas cuyo perfil es peligroso, o que al tiempo de haberse ido, mantiene accesos o permisos que no se debieran (casos muy comunes). Alejandro Corletti Estrada Página 6 de 10
ISO-27001: Los Controles Tanto el inicio como el cese de cualquier tipo de actividad relacionada con personal responsable de manejo de información de la organización, son actividades muy fáciles de procedimentar, pues no dejan de ser un conjunto de acciones secuenciales muy conocidas que se deben seguir “a raja tabla” y que paso a paso deben ser realizadas y controladas……..se trata simplemente de ¡¡¡ESCRIBIRLO!!! (y por supuesto de cumplirlo luego), esto forma parte de las pequeñas cosas que cuestan poco y valen mucho ¿Por qué será que no se hacen???? En cuanto a formación, para dar cumplimiento al estándar, no solo es necesario dar cursos. Hace falta contar con un “Plan de formación”. La formación en seguridad de la información, no puede ser una actividad aperiódica y determinada por el deseo o el dinero en un momento dado, tiene que ser tratada como cualquier otra actividad de la organización, es decir se debe plantear: o Meta a la que se desea llegar. o Determinación de los diferentes perfiles de conocimiento. o Forma de acceder al conocimiento. o Objetivos de la formación. o Metodología a seguir. o Planificación y asignación de recursos. o Confección del plan de formación. o Implementación del plan. o Medición de resultados. o Mejoras. Si se siguen estos pasos, se llegará a la meta, pero no solo a través de la impartición de uno o varios cursos o la distribución de documentos de obligada lectura, sino con un conjunto de acciones que hará que se complementen e integren en todo el SGSI como una parte más, generando concienciación y adhesión con el mismo. A.9 Seguridad física y del entorno Este grupo cubre trece controles y también se encuentra subdividido en: - Áreas de seguridad: Seguridad física y perimetral, control físico de entradas, seguridad de locales edificios y recursos, protección contra amenazas externas y del entorno, el trabajo en áreas e seguridad, accesos públicos, áreas de entrega y carga. - Seguridad de elementos: Ubicación y protección de equipos, elementos de soporte a los equipos, seguridad en el cableado, mantenimiento de equipos, seguridad en el equipamiento fuera de la organización, seguridad en la redistribución o reutilización de equipamiento, borrado de información y/o software. A juicio del autor, uno de los mejores resultados que se pueden obtener en la organización de una infraestructura de seguridad de la información, está en plantearla siempre por niveles. Tal vez no sea necesario hacerlo con el detalle de los siete niveles del modelo ISO/OSI, pero sí por lo menos de acuerdo al modelo TCP/IP que algunos consideran de cuatro (Integrando físico y enlace) y otros de cinco niveles. Alejandro Corletti Estrada Página 7 de 10
ISO-27001: Los Controles Nuevamente el criterio de este autor, aprecia que es correcto considerar separadamente el nivel físico con el de enlace, pues presentan vulnerabilidades muy diferentes. Si se presenta entonces el modelo de cinco niveles, se puede organizar una estructura de seguridad contemplando medidas y acciones por cada uno de ellos, dentro de las cuales se puede plantear, por ejemplo, lo siguiente: o Aplicación: Todo tipo de aplicaciones. o Transporte: Control de puertos UDP y TCP. o Red: Medidas a nivel protocolo IP e ICMP, túneles de nivel 3. o Enlace: Medidas de segmentación a nivel direccionamiento MAC, tablas estáticas y fijas en switchs, control de ataques ARP, control de broadcast y multicast a nivel enlace, en el caso WiFi: verificación y control de enlace y puntos de acceso, 802.X (Varios), empleo de túneles de nivel 2, etc. o Físico: Instalaciones, locales, seguridad perimetral, CPDs, gabinetes de comunicaciones, control de acceso físico, conductos de comunicaciones, cables, fibras ópticas, radio enlaces, centrales telefónicas (Tema a desarrollar en este punto) Como se puede apreciar, este es una buena línea de pensamiento para plantear cada una de las actividades y evitar que se solapen algunas de ellas y/o que queden brechas de seguridad. En el caso físico, es conveniente también separar todas ellas, por lo menos en los siguientes documentos: o Documentación de control de accesos y seguridad perimetral general, áreas de acceso y entrega de materiales y documentación, zonas públicas, internas y restringidas, responsabilidades y obligaciones del personal de seguridad física. o Documentación de CPDs: Parámetros de diseño estándar de un CPD, medidas de protección y alarmas contra incendios/humo, caídas de tensión, inundaciones, control de climatización (Refrigeración y ventilación), sistemas vigilancia y control de accesos, limpieza, etc. o Documentación y planos de instalaciones, canales de comunicaciones, cableado, enlaces de radio, ópticos u otros, antenas, certificación de los mismos, etc. o Empleo correcto del material informático y de comunicaciones a nivel físico: Se debe desarrollar aquí cuales son las medidas de seguridad física que se debe tener en cuenta sobre los mismos (Ubicación, acceso al mismo, tensión eléctrica, conexiones físicas y hardware permitido y prohibido, manipulación de elementos, etc.) . No se incluye aquí lo referido a seguridad lógica. o Seguridad física en el almacenamiento y transporte de material informático y de comunicaciones: Zonas y medidas de almacenamiento, metodología a seguir para el ingreso y egreso de este material, consideraciones particulares para el transporte del mismo (dentro y fuera de al organización), personal autorizado a recibir, entregar o sacar material, medidas de control. No se incluye aquí lo referido a resguardo y Alejandro Corletti Estrada Página 8 de 10
ISO-27001: Los Controles recuperación de información que es motivo de otro tipo de procedimientos y normativa. o Documentación de baja, redistribución o recalificación de elementos: Procedimientos y conjunto de medidas a seguir ante cualquier cambio en el estado de un elemento de Hardware (Reubicación, cambio de rol, venta, alquiler, baja, destrucción, compartición con terceros, incorporación de nuevos módulos, etc.). III. RESUMEN y CONCLUSIONES PARCIALES DE ESTA PARTE. - Como se pudo apreciar hasta ahora, el concepto de “Control”, no es el convencional que se puede tener al respecto. Se lo debe considerar como un conjunto de medidas, acciones y/o documentos que permiten cubrir y auditar cierto riesgo. - Una “Política de Seguridad” bien planteada, diseñada, y desarrollada cubre la gran mayoría de los aspectos que hacen falta para un verdadero SGSI. Es recomendable subdividirla en un Plan y en una Política de seguridad (Consejo “de viejo”: Ver RFCs: 1244 y 2196) - Organizar: Responsables, obligaciones, derechos, acuerdos, etc (Base de datos y documentación que la sustente). - Recursos: Responsables de los mismos y clasificación de la información que contienen. LOPD, LSSI. Inventario “VIVO” (Consejo: aprovechar al máximo los elementos de Red y Seguridad, para eso están). - Recursos humanos: Coordinar y sincronizar el trabajo de ambas gerencias (RRHH y Seguridad). Tres momentos fundamentales: Inicio – durante (Plan de formación) – Cese. Documentar y procedimentar los pasos que “tácitamente” se siguen. - Seguridad física: Mentalidad de “Niveles TCP/IP” para dividir bien las tareas. Alejandro Corletti Estrada, Madrid, noviembre de 2006. Alejandro Corletti Estrada Página 9 de 10

Empfohlen

SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001sucari2009
 
Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 27001Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 270011k2a3s
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
I S O 27001 Los Controles2
I S O 27001 Los Controles2I S O 27001 Los Controles2
I S O 27001 Los Controles2sucari2009
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISOguestf9a7e5
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoDiego Cueva Córdova
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
POLÍTICAS DE SEGURIDAD
POLÍTICAS DE SEGURIDADPOLÍTICAS DE SEGURIDAD
POLÍTICAS DE SEGURIDADveronikaaa
 

Empfohlen

SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001SEGURIDAD DE INFORMACION - ISO 27001
SEGURIDAD DE INFORMACION - ISO 27001sucari2009
 
Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 27001Seguridad De InformacióN Iso 27001
Seguridad De InformacióN Iso 270011k2a3s
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
I S O 27001 Los Controles2
I S O 27001 Los Controles2I S O 27001 Los Controles2
I S O 27001 Los Controles2sucari2009
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISOguestf9a7e5
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoDiego Cueva Córdova
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
POLÍTICAS DE SEGURIDAD
POLÍTICAS DE SEGURIDADPOLÍTICAS DE SEGURIDAD
POLÍTICAS DE SEGURIDADveronikaaa
 
Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004dcordova923
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoCarmelo Branimir España Villegas
 
Expiso17799
Expiso17799Expiso17799
Expiso17799Nely Abad
 
Programacion de controladores_logicos_(plc)
Programacion de controladores_logicos_(plc)Programacion de controladores_logicos_(plc)
Programacion de controladores_logicos_(plc)Jhon Edison Quintero Santa
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 
Ensayo u4
Ensayo u4Ensayo u4
Ensayo u4sergio
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
iso 27001:2013 Auditoria Interna
iso 27001:2013 Auditoria Internaiso 27001:2013 Auditoria Interna
iso 27001:2013 Auditoria InternaChildren International
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2Upon Software SA
 
Proceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaProceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaISOTools Chile
 
Diseno controles aplicacion
Diseno controles aplicacionDiseno controles aplicacion
Diseno controles aplicacionislenagarcia
 
Lopd iso 27001 como elementos de valor
Lopd iso 27001 como elementos de valorLopd iso 27001 como elementos de valor
Lopd iso 27001 como elementos de valorascêndia reingeniería + consultoría
 
Trabajo sugerencias 1a4
Trabajo sugerencias 1a4Trabajo sugerencias 1a4
Trabajo sugerencias 1a4Alexander Velasque Rimac
 
1 modelos de control
1 modelos de control1 modelos de control
1 modelos de controlClaudia Cárdenas
 
Idea De Negocio
Idea De NegocioIdea De Negocio
Idea De Negociojennysita
 
Mantenimiento
MantenimientoMantenimiento
Mantenimientoguestee1fde0
 
Reflexionypropuestateresaforcadesgripenueva
ReflexionypropuestateresaforcadesgripenuevaReflexionypropuestateresaforcadesgripenueva
Reflexionypropuestateresaforcadesgripenuevaguest7b61d2
 
Castanyada09
Castanyada09Castanyada09
Castanyada09iesaltbergueda
 
PDF 13.4 L’Estructura del nou Estat C.Delgado,M.Martínez i S. Sánchez
PDF 13.4 L’Estructura del nou Estat C.Delgado,M.Martínez i S. SánchezPDF 13.4 L’Estructura del nou Estat C.Delgado,M.Martínez i S. Sánchez
PDF 13.4 L’Estructura del nou Estat C.Delgado,M.Martínez i S. Sánchezriberamontserrat
 
Proyecto De La Paz
Proyecto De La PazProyecto De La Paz
Proyecto De La Pazguest4db4b4a5
 
Elba Garza resume
Elba Garza resumeElba Garza resume
Elba Garza resumeElba Garza
 
El comienzo
El comienzoEl comienzo
El comienzoOscar Alfonso Diaz Cruz
 

Weitere ähnliche Inhalte

Was ist angesagt?

Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004dcordova923
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 
Ensayo u4
Ensayo u4Ensayo u4
Ensayo u4sergio
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Proceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaProceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaISOTools Chile
 
Diseno controles aplicacion
Diseno controles aplicacionDiseno controles aplicacion
Diseno controles aplicacionislenagarcia
 

Was ist angesagt? (14)

Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
 
Expiso17799
Expiso17799Expiso17799
Expiso17799
 
Programacion de controladores_logicos_(plc)
Programacion de controladores_logicos_(plc)Programacion de controladores_logicos_(plc)
Programacion de controladores_logicos_(plc)
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
 
Ensayo u4
Ensayo u4Ensayo u4
Ensayo u4
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
iso 27001:2013 Auditoria Interna
iso 27001:2013 Auditoria Internaiso 27001:2013 Auditoria Interna
iso 27001:2013 Auditoria Interna
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2
 
Proceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaProceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresa
 
Diseno controles aplicacion
Diseno controles aplicacionDiseno controles aplicacion
Diseno controles aplicacion
 
Lopd iso 27001 como elementos de valor
Lopd iso 27001 como elementos de valorLopd iso 27001 como elementos de valor
Lopd iso 27001 como elementos de valor
 
Trabajo sugerencias 1a4
Trabajo sugerencias 1a4Trabajo sugerencias 1a4
Trabajo sugerencias 1a4
 
1 modelos de control
1 modelos de control1 modelos de control
1 modelos de control
 

Andere mochten auch

Idea De Negocio
Idea De NegocioIdea De Negocio
Idea De Negociojennysita
 
Reflexionypropuestateresaforcadesgripenueva
ReflexionypropuestateresaforcadesgripenuevaReflexionypropuestateresaforcadesgripenueva
Reflexionypropuestateresaforcadesgripenuevaguest7b61d2
 
PDF 13.4 L’Estructura del nou Estat C.Delgado,M.Martínez i S. Sánchez
PDF 13.4 L’Estructura del nou Estat C.Delgado,M.Martínez i S. SánchezPDF 13.4 L’Estructura del nou Estat C.Delgado,M.Martínez i S. Sánchez
PDF 13.4 L’Estructura del nou Estat C.Delgado,M.Martínez i S. Sánchezriberamontserrat
 
Elba Garza resume
Elba Garza resumeElba Garza resume
Elba Garza resumeElba Garza
 
MóDulos Computadorizados
MóDulos ComputadorizadosMóDulos Computadorizados
MóDulos Computadorizadoscecimat
 
Forjando testigos, obreros y profetas: herramientas para vivir nuestra fe en ...
Forjando testigos, obreros y profetas: herramientas para vivir nuestra fe en ...Forjando testigos, obreros y profetas: herramientas para vivir nuestra fe en ...
Forjando testigos, obreros y profetas: herramientas para vivir nuestra fe en ...Office of Religious Education
 
Comunidad de hoy_corregida
Comunidad de hoy_corregidaComunidad de hoy_corregida
Comunidad de hoy_corregidasila
 
Problemas De Aprendizaje
Problemas De AprendizajeProblemas De Aprendizaje
Problemas De Aprendizajeguest941bcb
 
OperacionalizacióN De Las HipóTesis
OperacionalizacióN De Las HipóTesisOperacionalizacióN De Las HipóTesis
OperacionalizacióN De Las HipóTesisjhefersonn
 
All Dth Sales,Servises and recharges in Mahaboobnagar
All Dth Sales,Servises and recharges in MahaboobnagarAll Dth Sales,Servises and recharges in Mahaboobnagar
All Dth Sales,Servises and recharges in MahaboobnagarVinod Vinnu
 
Aprende Inglés en 7 Días - Ramon Campayo
Aprende Inglés en 7 Días - Ramon CampayoAprende Inglés en 7 Días - Ramon Campayo
Aprende Inglés en 7 Días - Ramon Campayogsoldier
 
PresentacióN1 Tic Final
PresentacióN1 Tic FinalPresentacióN1 Tic Final
PresentacióN1 Tic Finalguest70cce17
 
Swap, Grub y Sistemas Operativos
Swap, Grub y Sistemas OperativosSwap, Grub y Sistemas Operativos
Swap, Grub y Sistemas Operativosguest79e2372
 
Brandmetriq World Class
Brandmetriq World ClassBrandmetriq World Class
Brandmetriq World ClassBrandMetriQ
 

Andere mochten auch (20)

Idea De Negocio
Idea De NegocioIdea De Negocio
Idea De Negocio
 
Mantenimiento
MantenimientoMantenimiento
Mantenimiento
 
Reflexionypropuestateresaforcadesgripenueva
ReflexionypropuestateresaforcadesgripenuevaReflexionypropuestateresaforcadesgripenueva
Reflexionypropuestateresaforcadesgripenueva
 
Castanyada09
Castanyada09Castanyada09
Castanyada09
 
PDF 13.4 L’Estructura del nou Estat C.Delgado,M.Martínez i S. Sánchez
PDF 13.4 L’Estructura del nou Estat C.Delgado,M.Martínez i S. SánchezPDF 13.4 L’Estructura del nou Estat C.Delgado,M.Martínez i S. Sánchez
PDF 13.4 L’Estructura del nou Estat C.Delgado,M.Martínez i S. Sánchez
 
Proyecto De La Paz
Proyecto De La PazProyecto De La Paz
Proyecto De La Paz
 
Elba Garza resume
Elba Garza resumeElba Garza resume
Elba Garza resume
 
El comienzo
El comienzoEl comienzo
El comienzo
 
Software
SoftwareSoftware
Software
 
MóDulos Computadorizados
MóDulos ComputadorizadosMóDulos Computadorizados
MóDulos Computadorizados
 
Forjando testigos, obreros y profetas: herramientas para vivir nuestra fe en ...
Forjando testigos, obreros y profetas: herramientas para vivir nuestra fe en ...Forjando testigos, obreros y profetas: herramientas para vivir nuestra fe en ...
Forjando testigos, obreros y profetas: herramientas para vivir nuestra fe en ...
 
Comunidad de hoy_corregida
Comunidad de hoy_corregidaComunidad de hoy_corregida
Comunidad de hoy_corregida
 
Problemas De Aprendizaje
Problemas De AprendizajeProblemas De Aprendizaje
Problemas De Aprendizaje
 
OperacionalizacióN De Las HipóTesis
OperacionalizacióN De Las HipóTesisOperacionalizacióN De Las HipóTesis
OperacionalizacióN De Las HipóTesis
 
All Dth Sales,Servises and recharges in Mahaboobnagar
All Dth Sales,Servises and recharges in MahaboobnagarAll Dth Sales,Servises and recharges in Mahaboobnagar
All Dth Sales,Servises and recharges in Mahaboobnagar
 
Aprende Inglés en 7 Días - Ramon Campayo
Aprende Inglés en 7 Días - Ramon CampayoAprende Inglés en 7 Días - Ramon Campayo
Aprende Inglés en 7 Días - Ramon Campayo
 
PresentacióN1 Tic Final
PresentacióN1 Tic FinalPresentacióN1 Tic Final
PresentacióN1 Tic Final
 
Swap, Grub y Sistemas Operativos
Swap, Grub y Sistemas OperativosSwap, Grub y Sistemas Operativos
Swap, Grub y Sistemas Operativos
 
La Balsa
La BalsaLa Balsa
La Balsa
 
Brandmetriq World Class
Brandmetriq World ClassBrandmetriq World Class
Brandmetriq World Class
 

Ähnlich wie Iso 27001 Los Controles

ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
Iso 27001 Los Controles2
Iso 27001 Los Controles2Iso 27001 Los Controles2
Iso 27001 Los Controles2dcordova923
 
I S O 27001- Los Controles
I S O 27001- Los ControlesI S O 27001- Los Controles
I S O 27001- Los Controlessucari2009
 
Estandares Iso 27001 (2)
Estandares Iso 27001 (2)Estandares Iso 27001 (2)
Estandares Iso 27001 (2)dcordova923
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001dcordova923
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
Estandares ISO 27001
Estandares ISO 27001Estandares ISO 27001
Estandares ISO 27001dcordova923
 
Estandares Iso 27001
Estandares Iso 27001Estandares Iso 27001
Estandares Iso 27001yalussa
 
Estandares Iso 27001 Blanco Rubina
Estandares Iso 27001 Blanco RubinaEstandares Iso 27001 Blanco Rubina
Estandares Iso 27001 Blanco RubinaDiego
 

Ähnlich wie Iso 27001 Los Controles (20)

Iso 27001 los controles parte I
Iso 27001 los controles parte IIso 27001 los controles parte I
Iso 27001 los controles parte I
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
Iso 27001 Los Controles2
Iso 27001 Los Controles2Iso 27001 Los Controles2
Iso 27001 Los Controles2
 
I S O 27001- Los Controles
I S O 27001- Los ControlesI S O 27001- Los Controles
I S O 27001- Los Controles
 
Iso 27001 e-iso-27004
Iso 27001 e-iso-27004Iso 27001 e-iso-27004
Iso 27001 e-iso-27004
 
Iso 27001 los controles parte II
Iso 27001 los controles parte IIIso 27001 los controles parte II
Iso 27001 los controles parte II
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Estandares Iso 27001 (2)
Estandares Iso 27001 (2)Estandares Iso 27001 (2)
Estandares Iso 27001 (2)
 
Analisis iso 27001
Analisis iso 27001Analisis iso 27001
Analisis iso 27001
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 27001 e iso 27004
Iso 27001 e iso 27004Iso 27001 e iso 27004
Iso 27001 e iso 27004
 
Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001Analisis De La Norma Iso 27001
Analisis De La Norma Iso 27001
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
 
Iso27001
Iso27001Iso27001
Iso27001
 
Estandares ISO 27001
Estandares ISO 27001Estandares ISO 27001
Estandares ISO 27001
 
ISO
ISOISO
ISO
 
Iso27001
Iso27001Iso27001
Iso27001
 
Estandares Iso 27001
Estandares Iso 27001Estandares Iso 27001
Estandares Iso 27001
 
Estandares Iso 27001 Blanco Rubina
Estandares Iso 27001 Blanco RubinaEstandares Iso 27001 Blanco Rubina
Estandares Iso 27001 Blanco Rubina
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
 

Kürzlich hochgeladen

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 

Kürzlich hochgeladen (15)

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 

Iso 27001 Los Controles

  • 1. ISO-27001: Los Controles ISO-27001: LOS CONTROLES (Parte I) Por: Alejandro Corletti Estrada Mail: acorletti@hotmail.com Madrid, noviembre de 2006. Este artículo es la continuación del análisis de la norma ISO-27001. Para facilitar su lectura y que no sea tan extenso, se presentará en dos partes. En la presente (Parte I), se desarrollarán los primeros cinco grupos de controles, dejando los seis restantes para la parte II del mismo. PRÓLOGO En un artículo anterior a este, denominado “Análisis de la ISO 27001:2005”, se desarrollaron los conceptos generales de este nuevo estándar de seguridad de la información. Se describió su origen y posicionamiento, y luego se hizo un resumen de las consideraciones clave del mismo. En concreto ese texto presentaba lo siguiente: “Los detalles que conforman el cuerpo de esta norma, se podrían agrupar en tres grandes líneas: - SGSI (Sistema de Gestión de la Seguridad de la Ingormación o ISMS: Information Security Managemet System). - Valoración de riegos (Risk Assesment) - Controles” De esas tres grandes líneas, por ser una presentación de la norma, se continuó con las generalidades y se hizo bastante hincapié en el concepto de SGSI (o ISMS), por considerarse a este tema el que más necesitaba ser explicado inicialmente, pues es lo que verdaderamente hace del estándar un “Sistema completo de Gestión de la Seguridad” (Si bien hay más aspectos que están siendo incorporados en una nueva versión de controles que estará disponible muy brevemente). Tal vez la conclusión más importante de ese texto fuera que “Se puede prever, que la certificación ISO-27001, será casi una obligación de cualquier empresa que desee competir en el mercado en el corto plazo”. Por esta razón es que se consideró necesario seguir adelante con el análisis del mismo. Los primeros pasos para la implementación de esta norma son: Alejandro Corletti Estrada Página 1 de 9
  • 2. ISO-27001: Los Controles - Definir el ámbito y política del SGSI. - Proceso de análisis y valoración de riesgos (Evaluación de Riesgos). - Selección, tratamiento e implementación de Controles. - ……… El tercer punto anteriormente presentado es lo que se desarrollará en el presente artículo para tratar de entrar en el detalle de cada uno de los grupos que propone ISO 27001. DESARROLLO I. PRESENTACIÓN: Sobre el tema de Análisis de Riesgo, no se desea profundizar, pues la norma deja abierto el camino a la aplicación de cualquier tipo de metodología, siempre y cuando la misma sea metódica y completa, es decir satisfaga todos los aspectos que se mencionan en ella. Existen varios tipos de metodologías, en España las más empleadas, tal vez sean MAGERIT y COBIT, pero hasta es posible la aplicación de procedimientos propietarios o particulares, si presenta rigurosidad en los pasos y resultados. Lo que es necesario recalcar aquí es que los controles serán seleccionados e implementados de acuerdo a los requerimientos identificados por la valoración del riesgo y los procesos de tratamiento del riesgo. Es decir, que de esta actividad surgirá la primera decisión acerca de los controles que se deberán abordar. La preparación y planificación de SGSI, se trató en el artículo anterior, pero en definitiva, lo importante de todo este proceso es que desencadena en una serie de controles (o mediciones) a considerar y documentar, que se puede afirmar, son uno de los aspectos fundamentales del SGSI (junto con la Valoración de riesgo). Cada uno de ellos se encuentra en estrecha relación a todo lo que especifica la norma ISO/IEC 17799:2005 en los puntos 5 al 15, y tal vez estos sean el máximo detalle de afinidad entre ambos estándares. La evaluación de cada uno de ellos debe quedar claramente documentada, y muy especialmente la de los controles que se consideren excluidos de la misma. “DESCONCEPTO”: Al escuchar la palabra “Control”, automáticamente viene a la mente la idea de alarma, hito, evento, medición, monitorización, etc…., se piensa en algo muy técnico o acción. En el caso de este estándar, el concepto de “Control”, es mucho (pero mucho) más que eso, pues abarca todo el conjunto de acciones, documentos, medidas a adoptar, procedimientos, medidas técnicas, etc…………………. Un “Control” es lo que permite garantizar que cada aspecto, que se valoró con un cierto riesgo, queda cubierto y auditable ¿Cómo? De muchas formas posibles. Alejandro Corletti Estrada Página 2 de 9
  • 3. ISO-27001: Los Controles El estándar especifica en su “Anexo A” el listado completo de cada uno de ellos, agrupándolos en once rubros. Para cada uno de ellos define el objetivo y lo describe brevemente. Cabe aclarar que el anexo A proporciona una buena base de referencia, no siendo exhaustivo, por lo tanto se pueden seleccionar más aún. Es decir, estos 133 controles (hoy) son los mínimos que se deberán aplicar, o justificar su no aplicación, pero esto no da por completa la aplicación de la norma si dentro del proceso de análisis de riesgos aparecen aspectos que quedan sin cubrir por algún tipo de control. Por lo tanto, si a través de la evaluación de riesgos se determina que es necesaria la creación de nuevos controles, la implantación del SGSI impondrá la inclusión de los mismos, sino seguramente el ciclo no estará cerrado y presentará huecos claramente identificables. Los controles que el anexo A de esta norma propone quedan agrupados y numerados de la siguiente forma: A.5 Política de seguridad A.6 Organización de la información de seguridad A.7 Administración de recursos A.8 Seguridad de los recursos humanos A.9 Seguridad física y del entorno A.10 Administración de las comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición de sistemas de información, desarrollo y mantenimiento A.13 Administración de los incidentes de seguridad A.14 Administración de la continuidad de negocio A.15 Cumplimiento (legales, de estándares, técnicas y auditorías) II. DESARROLLO DE LOS CONTROLES En este ítem, para ser más claro, se respetará la puntuación que la norma le asigna a cada uno de los controles. A.5 Política de seguridad. Este grupo está constituido por dos controles y es justamente el primer caso que se puede poner de manifiesto sobre el mencionado “Desconcepto” sobre lo que uno piensa que es un control, pues aquí se puede apreciar claramente la complejidad que representa el diseño, planificación, preparación, implementación y revisiones de una Política de Seguridad (la revisión es justamente el segundo control que propone)……….como se mencionó “un Control es mucho (pero mucho), mas que eso…” Todo aquel que haya sido responsable alguna vez de esta tarea, sabrá de lo que se está hablando. La Política de Seguridad, para ser riguroso, en realidad debería dividirse en dos documentos: Alejandro Corletti Estrada Página 3 de 9
  • 4. ISO-27001: Los Controles - Política de seguridad (Nivel político o estratégico de la organización): Es la mayor línea rectora, la alta dirección. Define las grandes líneas a seguir y el nivel de compromiso de la dirección con ellas. - Plan de Seguridad (Nivel de planeamiento o táctico): Define el “Cómo”. Es decir, baja a un nivel más de detalle, para dar inicio al conjunto de acciones o líneas rectoras que se deberán cumplir. Algo sobre lo que generalmente no se suele reflexionar o remarcar es que: Una “Política de Seguridad” bien planteada, diseñada, y desarrollada cubre la gran mayoría de los aspectos que hacen falta para un verdadero SGSI. Haciendo abuso de la avanzada edad de este autor, es que se van a citar dos puntos de partida para la mencionada actividad que, a juicio del mismo, siguen siendo grandes referentes metodológicos a la hora de la confección de estos controles. Se trata de lo que proponen las siguientes RFCs (Request For Comments). Política de seguridad (RFC – 2196 Site Security Handbook) y también la anterior (RFC-1244, que si bien queda obsoleta por la primera es muy ilustrativa) ambas, planten una metodología muy eficiente de feedback partiendo desde el plano más alto de la Organización hasta llegar al nivel de detalle, para comparar nuevamente las decisiones tomadas y reingresar las conclusiones al sistema evaluando los resultados y modificando las deficiencias. Se trata de un ciclo permanente y sin fin cuya característica fundamental es la constancia y la actualización de conocimientos. Esta recomendación plantea muy en grande los siguientes pasos: Política de Seguridad (RFC1244) Análisis de riesgo Grado de exposición Plan de Seguridad (semejante a Certificación ISO) Plan de contingencia La política es el marco estratégico de la Organización, es el más alto nivel. El análisis de riesgo y el grado de exposición determinan el impacto que puede producir los distintos niveles de clasificación de la información que se posee. Una vez determinado estos conceptos, se pasa al Cómo que es el Plan de Seguridad, el cual, si bien en esta RFC no está directamente relacionado con las normas ISO, se mencionan en este texto por la similitud en la elaboración de procedimientos de detalle para cada actividad que se implementa, y porque se reitera, su metodología se aprecia como excelente………(y dados los años del autor, sabrán disculpar la fechas de publicación de ambas RFCs....{Les garantizo que están en Inglés, y no en Sánscrito}). Alejandro Corletti Estrada Página 4 de 9
  • 5. ISO-27001: Los Controles A.6 Organización de la información de seguridad. Este segundo grupo de controles abarca once de ellos y se subdivide en: - Organización Interna: Compromiso de la Dirección, coordinaciones, responsabilidades, autorizaciones, acuerdos de confidencialidad, contactos con autoridades y grupos de interés en temas de seguridad, revisiones independientes. - Partes externas: Riesgos relacionados con terceros, gobierno de la seguridad respecto a clientes y socios de negocio. Lo más importante a destacar de este grupo son dos cosas fundamentales que abarcan a ambos subgrupos: - Organizar y Mantener actualizada la cadena de contactos (internos y externos), con el mayor detalle posible (Personas, responsabilidades, activos, necesidades, acuerdos, riesgos, etc.). - Derechos y obligaciones de cualquiera de los involucrados. En este grupo de controles, lo ideal es diseñar e implementar una simple base de datos, que permita de forma amigable, el alta, baja y/o modificación de cualquiera de estos campos. La redacción de la documentación inicial de responsables: derechos y obligaciones (para personal interno y ajeno) y el conjunto de medidas a adoptar con cada uno de ellos. Una vez lanzado este punto de partida, se debe documentar la metodología de actualización, auditabildad y periodicidad de informes de la misma. A.7 Administración de recursos Este grupo cubre cinco controles y también se encuentra subdividido en: - Responsabilidad en los recursos: Inventario y propietario de los recursos, empleo aceptable de los mismos. - Clasificación de la información: Guías de clasificación y Denominación, identificación y tratamiento de la información. Este grupo es eminentemente procedimental y no aporta nada al aspecto ya conocido en seguridad de la información, en cuanto a que todo recurso debe estar perfectamente inventariado con el máximo detalle posible, que se debe documentar el “uso adecuado de los recursos” y que toda la información deberá ser tratada de acuerdo a su nivel. En el caso de España, tanto la LOPD como la LSSI han aportado bastante a que esta tarea sea efectuada con mayor responsabilidad en los últimos años. También se puede encontrar en Internet varias referencias a la clasificación de la información por niveles. Tal vez sí valga la pena mencionar aquí el problema que se suele encontrar en la gran mayoría de las empresas que cuentan con un parque informático considerable, sobre el cual, se les dificulta Alejandro Corletti Estrada Página 5 de 10
  • 6. ISO-27001: Los Controles mucho el poder mantener actualizado su sistema de inventario. El primer comentario, es que este aspecto debe abordarse “sí o sí”, pues es imposible pensar en seguridad, si no se sabe fehacientemente lo que se posee y cada elemento que queda desactualizado o no se lo ha inventariado aún, es un hueco concreto en la seguridad de todo el sistema, y de hecho suelen ser las mayores y más frecuentes puertas de entrada, pues están al margen de la infraestructura de seguridad . El segundo comentario, es que se aprecia que las mejores metodologías a seguir para esta actividad, son las que permiten mantener “vivo” el estado de la red y por medio de ellas inventariar lo que se “escucha”. Esta metodología lo que propone es, hacer un empleo lógico y completo de los elementos de red o seguridad (IDSs, Firewalls, Routers, sniffers, etc.) y aprovechar su actividad cotidiana de escucha y tratamiento de tramas para mantener “vivo” el estado de la red. Es decir, nadie mejor que ellos saben qué direcciones de la “Home Net” se encuentran activas y cuáles no, por lo tanto, aprovechar esta funcionalidad para almacenar y enviar estos datos a un repositorio adecuado, el cual será el responsable de mantener el inventario correspondiente. Sobre este tema, se propone la lectura de dos artículos publicados hace tiempo en Internet por este autor que se denominan “Metodología Nessus-Snort” y “Matriz de Estado de Seguridad”, si bien los mismos deben ser actualizados al día de hoy, de ellos se puede obtener una clara imagen de cómo se puede realizar esta tarea y aprovechar las acciones de seguridad para mejorar el análisis de riesgo y el inventario. A.8 Seguridad de los recursos humanos. Este grupo cubre nueve controles y también se encuentra subdividido en: - Antes del empleo: Responsabilidades y roles, verificaciones curriculares, términos y condiciones de empleo. - Durante el empleo: Administración de responsabilidades, preparación, educación y entrenamiento en seguridad de la información, medidas disciplinarias. - Finalización o cambio de empleo: Finalización de responsabilidades, devolución de recursos, revocación de derechos. Este grupo, en la actualidad, debe ser el gran ausente en la mayoría de las organizaciones. Se trata de un serio trabajo a realizar entre RRHH y los responsables de Seguridad de la Información de la organización. Se debe partir por la redacción de la documentación necesaria para la contratación de personal y la revocación de sus contratos (por solicitud, cambio o despido). En la misma deberá quedar bien claro las acciones a seguir para los diferentes perfiles de la organización, basados en la responsabilidad de manejo de información que tenga ese puesto. Como se pueda apreciar, tanto la contratación como el cese de un puesto, es una actividad conjunta de estas dos áreas, y cada paso deberá ser coordinado, según la documentación confeccionada, para que no se pueda pasar por alto ningún detalle, pues son justamente estas pequeñas omisiones de las que luego resulta el haber quedado con alta dependencia técnica de personas cuyo perfil es peligroso, o que al tiempo de haberse ido, mantiene accesos o permisos que no se debieran (casos muy comunes). Alejandro Corletti Estrada Página 6 de 10
  • 7. ISO-27001: Los Controles Tanto el inicio como el cese de cualquier tipo de actividad relacionada con personal responsable de manejo de información de la organización, son actividades muy fáciles de procedimentar, pues no dejan de ser un conjunto de acciones secuenciales muy conocidas que se deben seguir “a raja tabla” y que paso a paso deben ser realizadas y controladas……..se trata simplemente de ¡¡¡ESCRIBIRLO!!! (y por supuesto de cumplirlo luego), esto forma parte de las pequeñas cosas que cuestan poco y valen mucho ¿Por qué será que no se hacen???? En cuanto a formación, para dar cumplimiento al estándar, no solo es necesario dar cursos. Hace falta contar con un “Plan de formación”. La formación en seguridad de la información, no puede ser una actividad aperiódica y determinada por el deseo o el dinero en un momento dado, tiene que ser tratada como cualquier otra actividad de la organización, es decir se debe plantear: o Meta a la que se desea llegar. o Determinación de los diferentes perfiles de conocimiento. o Forma de acceder al conocimiento. o Objetivos de la formación. o Metodología a seguir. o Planificación y asignación de recursos. o Confección del plan de formación. o Implementación del plan. o Medición de resultados. o Mejoras. Si se siguen estos pasos, se llegará a la meta, pero no solo a través de la impartición de uno o varios cursos o la distribución de documentos de obligada lectura, sino con un conjunto de acciones que hará que se complementen e integren en todo el SGSI como una parte más, generando concienciación y adhesión con el mismo. A.9 Seguridad física y del entorno Este grupo cubre trece controles y también se encuentra subdividido en: - Áreas de seguridad: Seguridad física y perimetral, control físico de entradas, seguridad de locales edificios y recursos, protección contra amenazas externas y del entorno, el trabajo en áreas e seguridad, accesos públicos, áreas de entrega y carga. - Seguridad de elementos: Ubicación y protección de equipos, elementos de soporte a los equipos, seguridad en el cableado, mantenimiento de equipos, seguridad en el equipamiento fuera de la organización, seguridad en la redistribución o reutilización de equipamiento, borrado de información y/o software. A juicio del autor, uno de los mejores resultados que se pueden obtener en la organización de una infraestructura de seguridad de la información, está en plantearla siempre por niveles. Tal vez no sea necesario hacerlo con el detalle de los siete niveles del modelo ISO/OSI, pero sí por lo menos de acuerdo al modelo TCP/IP que algunos consideran de cuatro (Integrando físico y enlace) y otros de cinco niveles. Alejandro Corletti Estrada Página 7 de 10
  • 8. ISO-27001: Los Controles Nuevamente el criterio de este autor, aprecia que es correcto considerar separadamente el nivel físico con el de enlace, pues presentan vulnerabilidades muy diferentes. Si se presenta entonces el modelo de cinco niveles, se puede organizar una estructura de seguridad contemplando medidas y acciones por cada uno de ellos, dentro de las cuales se puede plantear, por ejemplo, lo siguiente: o Aplicación: Todo tipo de aplicaciones. o Transporte: Control de puertos UDP y TCP. o Red: Medidas a nivel protocolo IP e ICMP, túneles de nivel 3. o Enlace: Medidas de segmentación a nivel direccionamiento MAC, tablas estáticas y fijas en switchs, control de ataques ARP, control de broadcast y multicast a nivel enlace, en el caso WiFi: verificación y control de enlace y puntos de acceso, 802.X (Varios), empleo de túneles de nivel 2, etc. o Físico: Instalaciones, locales, seguridad perimetral, CPDs, gabinetes de comunicaciones, control de acceso físico, conductos de comunicaciones, cables, fibras ópticas, radio enlaces, centrales telefónicas (Tema a desarrollar en este punto) Como se puede apreciar, este es una buena línea de pensamiento para plantear cada una de las actividades y evitar que se solapen algunas de ellas y/o que queden brechas de seguridad. En el caso físico, es conveniente también separar todas ellas, por lo menos en los siguientes documentos: o Documentación de control de accesos y seguridad perimetral general, áreas de acceso y entrega de materiales y documentación, zonas públicas, internas y restringidas, responsabilidades y obligaciones del personal de seguridad física. o Documentación de CPDs: Parámetros de diseño estándar de un CPD, medidas de protección y alarmas contra incendios/humo, caídas de tensión, inundaciones, control de climatización (Refrigeración y ventilación), sistemas vigilancia y control de accesos, limpieza, etc. o Documentación y planos de instalaciones, canales de comunicaciones, cableado, enlaces de radio, ópticos u otros, antenas, certificación de los mismos, etc. o Empleo correcto del material informático y de comunicaciones a nivel físico: Se debe desarrollar aquí cuales son las medidas de seguridad física que se debe tener en cuenta sobre los mismos (Ubicación, acceso al mismo, tensión eléctrica, conexiones físicas y hardware permitido y prohibido, manipulación de elementos, etc.) . No se incluye aquí lo referido a seguridad lógica. o Seguridad física en el almacenamiento y transporte de material informático y de comunicaciones: Zonas y medidas de almacenamiento, metodología a seguir para el ingreso y egreso de este material, consideraciones particulares para el transporte del mismo (dentro y fuera de al organización), personal autorizado a recibir, entregar o sacar material, medidas de control. No se incluye aquí lo referido a resguardo y Alejandro Corletti Estrada Página 8 de 10
  • 9. ISO-27001: Los Controles recuperación de información que es motivo de otro tipo de procedimientos y normativa. o Documentación de baja, redistribución o recalificación de elementos: Procedimientos y conjunto de medidas a seguir ante cualquier cambio en el estado de un elemento de Hardware (Reubicación, cambio de rol, venta, alquiler, baja, destrucción, compartición con terceros, incorporación de nuevos módulos, etc.). III. RESUMEN y CONCLUSIONES PARCIALES DE ESTA PARTE. - Como se pudo apreciar hasta ahora, el concepto de “Control”, no es el convencional que se puede tener al respecto. Se lo debe considerar como un conjunto de medidas, acciones y/o documentos que permiten cubrir y auditar cierto riesgo. - Una “Política de Seguridad” bien planteada, diseñada, y desarrollada cubre la gran mayoría de los aspectos que hacen falta para un verdadero SGSI. Es recomendable subdividirla en un Plan y en una Política de seguridad (Consejo “de viejo”: Ver RFCs: 1244 y 2196) - Organizar: Responsables, obligaciones, derechos, acuerdos, etc (Base de datos y documentación que la sustente). - Recursos: Responsables de los mismos y clasificación de la información que contienen. LOPD, LSSI. Inventario “VIVO” (Consejo: aprovechar al máximo los elementos de Red y Seguridad, para eso están). - Recursos humanos: Coordinar y sincronizar el trabajo de ambas gerencias (RRHH y Seguridad). Tres momentos fundamentales: Inicio – durante (Plan de formación) – Cese. Documentar y procedimentar los pasos que “tácitamente” se siguen. - Seguridad física: Mentalidad de “Niveles TCP/IP” para dividir bien las tareas. Alejandro Corletti Estrada, Madrid, noviembre de 2006. Alejandro Corletti Estrada Página 9 de 10