SlideShare una empresa de Scribd logo

Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos

Curso de Introducción a la ciberseguridad e ISO 27001:2013 desde el punto de vista de la implantación. Contiene enlaces a recursos y herramientas gratuitas, así como gran cantidad de notas para revisión fuera del aula. Tanto los enlaces como las notas se pueden perder en la versión de SlideShare, por lo que no dudéis en solicitarme la copia en .ppt Esta presentación esta diseñada para las clases de seguridad de la información del Master de Calidad Total de la Universidad Politécnica de Madrid/SGS

1 de 44
Descargar para leer sin conexión
ISO 27001:2013
Introducción a la ciberseguridad
Recursos
La norma
¿Por qué estamos aquí?
Fuente: https://www.fireeye.com/cyber-map/threat-map.html
Fuente: http://resources.infosecinstitute.com/2013-impact-cybercrime/
¿Por qué estamos aquí?
Fuente: http://www.elmundo.es/tecnologia/2014/12/24/549a5be922601dd0458b456d.html
Fuente: http://internacional.elpais.com/internacional/2014/12/19/actualidad/1419014261_319604.html
Casos recientes
Casos actuales
Fuente: https://www.schneier.com/blog/archives/2014/02/the_mask_espion.html
Recursos

Más contenido relacionado

La actualidad más candente

Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Seguridad informatica y amenazas
Seguridad informatica y amenazasSeguridad informatica y amenazas
Seguridad informatica y amenazasKenericVsquez
 
ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?PECB
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónMarcos Harasimowicz
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
 

La actualidad más candente (20)

Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
Seguridad informatica y amenazas
Seguridad informatica y amenazasSeguridad informatica y amenazas
Seguridad informatica y amenazas
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27001 - Information Security Management System
ISO 27001 - Information Security Management SystemISO 27001 - Information Security Management System
ISO 27001 - Information Security Management System
 
ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?
 
Iso 27000 nueva copia
Iso 27000 nueva   copiaIso 27000 nueva   copia
Iso 27000 nueva copia
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
iso 27005
iso 27005iso 27005
iso 27005
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la información
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 
SOC2 Intro and Mindfulness
SOC2 Intro and MindfulnessSOC2 Intro and Mindfulness
SOC2 Intro and Mindfulness
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanish
 

Destacado

Destacado (8)

Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013  An Overview ISO/IEC 27001:2013  An Overview
ISO/IEC 27001:2013 An Overview
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Norma iso 17799
Norma iso  17799Norma iso  17799
Norma iso 17799
 
Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017
Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017
Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017
 
Top 5 Deep Learning and AI Stories - October 6, 2017
Top 5 Deep Learning and AI Stories - October 6, 2017Top 5 Deep Learning and AI Stories - October 6, 2017
Top 5 Deep Learning and AI Stories - October 6, 2017
 

Similar a Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos

gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfcarlosandres865046
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
iso-iec 27001 implementer certified
iso-iec 27001 implementer certifiediso-iec 27001 implementer certified
iso-iec 27001 implementer certifiedCristinaMenesesMonte
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001  27002 paola enríquez 9 c1Normas iso 27001  27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001  27002 paola enríquez 9 c1Normas iso 27001  27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001  27002 paola enríquez 9 c1Normas iso 27001  27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Iso 27001 Jonathan Blas
Iso 27001   Jonathan BlasIso 27001   Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001Samary Páez
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informaticaGabriela2409
 

Similar a Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos (20)

Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdf
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
iso-iec 27001 implementer certified
iso-iec 27001 implementer certifiediso-iec 27001 implementer certified
iso-iec 27001 implementer certified
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001  27002 paola enríquez 9 c1Normas iso 27001  27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001  27002 paola enríquez 9 c1Normas iso 27001  27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001  27002 paola enríquez 9 c1Normas iso 27001  27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Iso 27001 Jonathan Blas
Iso 27001   Jonathan BlasIso 27001   Jonathan Blas
Iso 27001 Jonathan Blas
 
Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdf
 
S8-SCPC.pptx
S8-SCPC.pptxS8-SCPC.pptx
S8-SCPC.pptx
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
Presentación sgsi janethpiscoya
Presentación sgsi janethpiscoyaPresentación sgsi janethpiscoya
Presentación sgsi janethpiscoya
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informatica
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
 
NORMAS ISO 27001
NORMAS ISO 27001NORMAS ISO 27001
NORMAS ISO 27001
 

Último

Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
Tendencias Tecnologicas de Gartner 2024  Ccesa007.pdfTendencias Tecnologicas de Gartner 2024  Ccesa007.pdf
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
GUÍA DIDÁCTICA UNIDAD 1-Febrero_2024.pdf
GUÍA DIDÁCTICA UNIDAD 1-Febrero_2024.pdfGUÍA DIDÁCTICA UNIDAD 1-Febrero_2024.pdf
GUÍA DIDÁCTICA UNIDAD 1-Febrero_2024.pdfeliecerespinosa
 
Proceso de matricula articulacioncimm.pdf
Proceso de matricula articulacioncimm.pdfProceso de matricula articulacioncimm.pdf
Proceso de matricula articulacioncimm.pdfJorgecego
 
Licenciatura en Pedagogia Presentacion.pptx
Licenciatura en Pedagogia Presentacion.pptxLicenciatura en Pedagogia Presentacion.pptx
Licenciatura en Pedagogia Presentacion.pptxgeomaster9
 
Presentacion cuidado del medio ambiente collage scrapbook verde y blanco.pdf
Presentacion cuidado del medio ambiente collage scrapbook verde y blanco.pdfPresentacion cuidado del medio ambiente collage scrapbook verde y blanco.pdf
Presentacion cuidado del medio ambiente collage scrapbook verde y blanco.pdfJohnCarvajal23
 
Presentación sobre el Programa "Foro Nativos Digitales"
Presentación sobre el Programa "Foro Nativos Digitales"Presentación sobre el Programa "Foro Nativos Digitales"
Presentación sobre el Programa "Foro Nativos Digitales"gelisbeths
 
Tema 2 Los minerales: los materiales de la Geosfera 2024
Tema 2 Los minerales: los materiales de la Geosfera 2024Tema 2 Los minerales: los materiales de la Geosfera 2024
Tema 2 Los minerales: los materiales de la Geosfera 2024IES Vicent Andres Estelles
 
Teorías del Aprendizaje y paradigmas.pptx
Teorías del Aprendizaje y paradigmas.pptxTeorías del Aprendizaje y paradigmas.pptx
Teorías del Aprendizaje y paradigmas.pptxJunkotantik
 
Calendario Escolar 2023 - 2024 Venezuela
Calendario Escolar 2023 - 2024 VenezuelaCalendario Escolar 2023 - 2024 Venezuela
Calendario Escolar 2023 - 2024 VenezuelaDiegoVzquez68
 
Maikell Victor - Química 2024 - Volume 1
Maikell Victor - Química 2024 - Volume 1Maikell Victor - Química 2024 - Volume 1
Maikell Victor - Química 2024 - Volume 1DevinsideSolutions
 
EJERCICIO TOMÁS Y LA ENERGÍA ELÉCTRICA.docx
EJERCICIO TOMÁS Y LA ENERGÍA ELÉCTRICA.docxEJERCICIO TOMÁS Y LA ENERGÍA ELÉCTRICA.docx
EJERCICIO TOMÁS Y LA ENERGÍA ELÉCTRICA.docxnelsontobontrujillo
 
La carrera diplomática. Graduados y graduadas de la Universidad Católica de ...
La carrera diplomática. Graduados y graduadas de la Universidad Católica de ...La carrera diplomática. Graduados y graduadas de la Universidad Católica de ...
La carrera diplomática. Graduados y graduadas de la Universidad Católica de ...EDUCCUniversidadCatl
 
tema 4 al Ándalus 2023 2024 . Tema 4 (I) Al Andalus
tema 4 al Ándalus 2023 2024 . Tema 4 (I) Al Andalustema 4 al Ándalus 2023 2024 . Tema 4 (I) Al Andalus
tema 4 al Ándalus 2023 2024 . Tema 4 (I) Al Andalusjosemariahermoso
 
Diseño de Actividades Basadas en la Inteligencia Artificial Ccesa007.pdf
Diseño de Actividades Basadas en la Inteligencia Artificial Ccesa007.pdfDiseño de Actividades Basadas en la Inteligencia Artificial Ccesa007.pdf
Diseño de Actividades Basadas en la Inteligencia Artificial Ccesa007.pdfDemetrio Ccesa Rayme
 
Planificacion Curricular en la Escuela Ccesa007.pdf
Planificacion Curricular en la Escuela Ccesa007.pdfPlanificacion Curricular en la Escuela Ccesa007.pdf
Planificacion Curricular en la Escuela Ccesa007.pdfDemetrio Ccesa Rayme
 
herramientas manuales grado cuarto primaria.pptx
herramientas manuales grado cuarto primaria.pptxherramientas manuales grado cuarto primaria.pptx
herramientas manuales grado cuarto primaria.pptxnelsontobontrujillo
 
la evaluación formativa Diaz Barriga.pdf
la evaluación formativa Diaz Barriga.pdfla evaluación formativa Diaz Barriga.pdf
la evaluación formativa Diaz Barriga.pdfmjvalles74
 

Último (20)

Virología 1 Bachillerato Microorganismos
Virología 1 Bachillerato MicroorganismosVirología 1 Bachillerato Microorganismos
Virología 1 Bachillerato Microorganismos
 
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
Tendencias Tecnologicas de Gartner 2024  Ccesa007.pdfTendencias Tecnologicas de Gartner 2024  Ccesa007.pdf
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
 
GUÍA DIDÁCTICA UNIDAD 1-Febrero_2024.pdf
GUÍA DIDÁCTICA UNIDAD 1-Febrero_2024.pdfGUÍA DIDÁCTICA UNIDAD 1-Febrero_2024.pdf
GUÍA DIDÁCTICA UNIDAD 1-Febrero_2024.pdf
 
Proceso de matricula articulacioncimm.pdf
Proceso de matricula articulacioncimm.pdfProceso de matricula articulacioncimm.pdf
Proceso de matricula articulacioncimm.pdf
 
Licenciatura en Pedagogia Presentacion.pptx
Licenciatura en Pedagogia Presentacion.pptxLicenciatura en Pedagogia Presentacion.pptx
Licenciatura en Pedagogia Presentacion.pptx
 
Presentacion cuidado del medio ambiente collage scrapbook verde y blanco.pdf
Presentacion cuidado del medio ambiente collage scrapbook verde y blanco.pdfPresentacion cuidado del medio ambiente collage scrapbook verde y blanco.pdf
Presentacion cuidado del medio ambiente collage scrapbook verde y blanco.pdf
 
Presentación sobre el Programa "Foro Nativos Digitales"
Presentación sobre el Programa "Foro Nativos Digitales"Presentación sobre el Programa "Foro Nativos Digitales"
Presentación sobre el Programa "Foro Nativos Digitales"
 
Tema 2 Los minerales: los materiales de la Geosfera 2024
Tema 2 Los minerales: los materiales de la Geosfera 2024Tema 2 Los minerales: los materiales de la Geosfera 2024
Tema 2 Los minerales: los materiales de la Geosfera 2024
 
Teorías del Aprendizaje y paradigmas.pptx
Teorías del Aprendizaje y paradigmas.pptxTeorías del Aprendizaje y paradigmas.pptx
Teorías del Aprendizaje y paradigmas.pptx
 
Calendario Escolar 2023 - 2024 Venezuela
Calendario Escolar 2023 - 2024 VenezuelaCalendario Escolar 2023 - 2024 Venezuela
Calendario Escolar 2023 - 2024 Venezuela
 
Maikell Victor - Química 2024 - Volume 1
Maikell Victor - Química 2024 - Volume 1Maikell Victor - Química 2024 - Volume 1
Maikell Victor - Química 2024 - Volume 1
 
PPT : Sabiduría para vivir con rectitud
PPT  : Sabiduría para vivir con rectitudPPT  : Sabiduría para vivir con rectitud
PPT : Sabiduría para vivir con rectitud
 
EJERCICIO TOMÁS Y LA ENERGÍA ELÉCTRICA.docx
EJERCICIO TOMÁS Y LA ENERGÍA ELÉCTRICA.docxEJERCICIO TOMÁS Y LA ENERGÍA ELÉCTRICA.docx
EJERCICIO TOMÁS Y LA ENERGÍA ELÉCTRICA.docx
 
La carrera diplomática. Graduados y graduadas de la Universidad Católica de ...
La carrera diplomática. Graduados y graduadas de la Universidad Católica de ...La carrera diplomática. Graduados y graduadas de la Universidad Católica de ...
La carrera diplomática. Graduados y graduadas de la Universidad Católica de ...
 
tema 4 al Ándalus 2023 2024 . Tema 4 (I) Al Andalus
tema 4 al Ándalus 2023 2024 . Tema 4 (I) Al Andalustema 4 al Ándalus 2023 2024 . Tema 4 (I) Al Andalus
tema 4 al Ándalus 2023 2024 . Tema 4 (I) Al Andalus
 
Diseño de Actividades Basadas en la Inteligencia Artificial Ccesa007.pdf
Diseño de Actividades Basadas en la Inteligencia Artificial Ccesa007.pdfDiseño de Actividades Basadas en la Inteligencia Artificial Ccesa007.pdf
Diseño de Actividades Basadas en la Inteligencia Artificial Ccesa007.pdf
 
Planificacion Curricular en la Escuela Ccesa007.pdf
Planificacion Curricular en la Escuela Ccesa007.pdfPlanificacion Curricular en la Escuela Ccesa007.pdf
Planificacion Curricular en la Escuela Ccesa007.pdf
 
herramientas manuales grado cuarto primaria.pptx
herramientas manuales grado cuarto primaria.pptxherramientas manuales grado cuarto primaria.pptx
herramientas manuales grado cuarto primaria.pptx
 
la evaluación formativa Diaz Barriga.pdf
la evaluación formativa Diaz Barriga.pdfla evaluación formativa Diaz Barriga.pdf
la evaluación formativa Diaz Barriga.pdf
 
TEMA 2 TEORIAS SOBRE EL PRECIO (material adicional) SI.pdf
TEMA 2 TEORIAS SOBRE EL PRECIO (material adicional) SI.pdfTEMA 2 TEORIAS SOBRE EL PRECIO (material adicional) SI.pdf
TEMA 2 TEORIAS SOBRE EL PRECIO (material adicional) SI.pdf
 

Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos

  • 1. ISO 27001:2013 Introducción a la ciberseguridad Recursos La norma
  • 2. ¿Por qué estamos aquí? Fuente: https://www.fireeye.com/cyber-map/threat-map.html
  • 8. Certificaciones Fuente: http://www.globalknowledge.com/training/generic.asp?pageid=3632 Certified Information Security Manager (CISM) $114,844 Certified Ethical Hacker (CEH) $103,822 Certified Information Systems Auditor (CISA) $112,040 Fuente: http://www.businessinsider.com/15-more-tech-skills-that-can-instantly-net-you-a-100000-salary-2013-4?IR=T Six Sigma, green belt, $116,987 Etc… Etc… Sueldo medio en EEUU
  • 9. Complementos y alternativas a ISO 27001 Cloud Controls Matrix (CCM) : Cloud Security Alliance Payment Card Industry Data Security Standard Report on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy MPAA Facility Security Program Malta Gaming Authority (MGA) The Standard of Good Practice for Information Security ISM3 v1.20: Information Security Management Maturity Model
  • 10. ISO 27001. Origen “Code of good security practice for information security” BS 7799 ISO 27001 DISC PD003 Principios 90 El Ministerio de Industria y Comercio del Reino Unido da soporte a su desarrollo. Se crea ITSEC y DISC PD003 1995 Adoptado por primera vez como British Standard (BS) 1998 Se publican los requisitos para la certificación 1999 Se edita la Segunda Edición donde se incluyen comercio electrónico, los ordenadores portátiles y contratación con terceros. 2000 Se aprueba la ISO 17799 Parte 1 en Agosto. 2002 BS 7799-2:2002 publicado el 5 de Septiembre Énfasis en la concordancia con ISO 9001 y la ISO 14001 Se adopta el modelo PDCA 2004 Se publica la UNE 71502, elaborada por el AEN/CTN 71 2005 Se publica ISO 27001:2005 2013 Se publica ISO 27001:2013
  • 11. La familia ISO 27000 Las normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y contienen mejores prácticas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). • ISO/IEC 27000, Information security management systems — Overview and vocabulary • ISO/IEC 27001, Information security management systems — Requirements • ISO/IEC 27002, Code of practice for information security controls • ISO/IEC 27003, Information security management system implementation guidance • ISO/IEC 27004, Information security management — Measurement • ISO/IEC 27005, Information security risk management • ISO/IEC 27006, Requirements for bodies providing audit and certification of information security management systems • SO/IEC 27007, Guidelines for information security management systems auditing
  • 12. La familia ISO 27000 • ISO/IEC TR 27008, Guidelines for auditors on information security controls • ISO/IEC 27010, Information security management for inter-sector and inter- organizational communications • ISO/IEC 27011, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 • ISO/IEC 27013, Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 • ISO/IEC 27014, Governance of information security • ISO/IEC TR 27015, Information security management guidelines for financial services • ISO/IEC TR 27016, Information security management — Organizational economics • ETC.
  • 13. ¿Para qué sirve? …para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI/ISMS). Beneficios de un SGSI. Proporcionar las mejores prácticas de seguridad de la información Permitir a las organizaciones desarrollar, implantar y medir prácticas efectivas de gestión de la seguridad Proporcionar confianza en las organizaciones y su actividad (interno y externo: valor para marketing) Aplicable a un amplio rango de organizaciones - grandes, medianas y pequeñas El proceso de evaluación periódica ayuda a supervisar continuamente rendimiento y mejora Permite de manera ordenada identificar riesgos, evaluarlos y gestionarlos
  • 14. ¿Qué es un SG…SI? Un Sistema de Gestión es un sistema para establecer la política y objetivos de una organización y lograrlos, mediante: • Una estructura organizativa donde las funciones, responsabilidades, autoridad, etc. de las personas están definidas • Procesos y recursos necesarios para lograr los objetivos • Metodología de medida y de evaluación para valorar los resultados frente a los objetivos, incluyendo la realimentación de resultados para planificar las mejoras del sistema • Un proceso de revisión para asegurar que los problemas se corrigen y se detectan oportunidades de mejora e implementan cuando están justificadas Un sistema de gestión de la seguridad de la información (SGSI) (en inglés: information security management system, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información. Fuente: http://es.wikipedia.org/wiki/Sistema_de_gesti%C3%B3n_de_la_seguridad_de_la_informaci%C3%B3n
  • 15. ¿Qué es la información? información. (Del lat. informatĭo, -ōnis). 1. f. Acción y efecto de informar. 2. f. Oficina donde se informa sobre algo. 3. f. Averiguación jurídica y legal de un hecho o delito. 4. f. Pruebas que se hacen de la calidad y circunstancias necesarias en una persona para un empleo u honor. U. m. en pl. 5. f. Comunicación o adquisición de conocimientos que permiten ampliar o precisar los que se poseen sobre una materia determinada. 6. f. Conocimientos así comunicados o adquiridos. 7. f. Biol. Propiedad intrínseca de ciertos biopolímeros, como los ácidos nucleicos, originada por la secuencia de las unidades componentes. 8. f. ant. Educación, instrucción. Fuente: RAE La información es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. Fuente: Wikipedia Information is an asset which, like other important business assets, has value to an organization and consequently needs to be suitably protected Fuente: ISO/IEC 27002:2005
  • 16. ¿Dónde está la información? •Papel •Medios electrónicos  Ordenadores  Almacenamiento físico/virtual  USBs  En tránsito  Etc. •Videos •Conversaciones •Web •Personas •En los sitios más insospechados… Fuente: http://en.wikipedia.org/wiki/Bob_Quick_%28police_officer%29 Fuente: http://dinovida.files.wordpress.com/ La seguridad de la información no es seguridad informática. Va más allá.
  • 17. Seguridad de la información. Conceptos Medidas que permiten proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma (free of danger) ¿Se puede conseguir la seguridad total? La respuesta es no, pero si que mediante distintos enfoques y aproximaciones, se puede obtener una seguridad aceptable: • Mediante la gestión y tratamiento de riesgos • Formando a las personas • Securizando procesos y tecnología • Etc. La seguridad de la información es algo que no puedes comprar, tienes que construir. It’s a process not a product Fuente: Silvia Villanueva
  • 18. Seguridad de la información. Conceptos Según la ISO, la seguridad se caracteriza como la preservación de la confidencialidad, integridad y disponibilidad de la información; adicionalmente pueden tenerse en consideración otras propiedades como autenticación, responsabilidad, no repudio y fiabilidad TRAZABILIDAD AUTENTICACION NO REPUDIO CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD S E G U R I D A D SEGURIDAD TOTAL SEGURIDAD NECESIDADES OPERATIVAS RESPONSABILIDAD GESTIÓN DE LA SEGURIDAD
  • 19. ISO 27001. Cambios notables • Pone más peso en medir y evaluar (métricas e indicadores) el sistema de gestión • Desaparece la sección de enfoque a procesos dando más flexibilidad de elección de metodologías de trabajo para análisis de riesgos y mejoras. • No enfatiza tanto el ciclo de Demming como la ISO27001:2005 • Mejora la integración con ISO9000 e ISO20000. Cambia su estructura conforme al anexo SL. • Incorpora la externalización de servicios en el dominio “relaciones con el proveedor”. • Se parte del análisis de riesgos para determinar los controles necesarios (SoA) en lugar de identificar primero activos, amenazas y vulnerabilidades
  • 20. ISO 27001. Cambios notables Pasa de 102 requisitos a 130 Pasa de 11 a 14 dominios (clausulas) y de 133 a 114 controles (sub clausulas) La normativa ISO 27002 se ha incorporado al anexo A • Controles nuevos: • A.6.1.5 Information security in project management • A.12.6.2 Restrictions on software installation • A.14.2.1 Secure development policy • A.14.2.5 Secure system engineering principles • A.14.2.6 Secure development environment • A.14.2.8 System security testing • A.15.1.1 Information security policy for supplier relationships • A.15.1.3 Information and communication technology supply chain • A.16.1.4 Assessment of and decision on information security events • A.16.1.5 Response to information security incidents • A.17.2.1 Availability of information processing facilities 2005 2013
  • 22. ISO 27001. Estructura 1.- Alcance • -No es el alcance del SGSI • -aplicable a cualquier organización • -Genérica • -Los requisitos de las clausulas 4 a la 10 no son excluibles 2.- Referencias normativas • -La norma ISO 27000 • -La norma ISO 27002 ya no es referencia normativa. 3.- Términos y definiciones • -La norma ISO 27000
  • 23. ISO 27001. Contexto de la organización 4.- Contexto de la Organización • La organización debe preocuparse, y por tanto determinar, qué cuestiones o aspectos internos y externos están involucrados en el propósito de la misma y pueden afectar a la capacidad de alcanzar los resultados previstos para su SGSI • Instituye los requerimientos para definir el contexto del SGSI sin importar el tipo de organización y su alcance. • Introduce una nueva figura (las partes interesadas) como un elemento primordial para la definición del alcance del SGSI. • Establece la prioridad de identificar y definir formalmente las necesidades de las partes interesadas con relación a la seguridad de la información y sus expectativas con relación al SGSI, pues esto determinará las políticas de seguridad de la información y los objetivos a seguir para el proceso de gestión de riesgos. • La guía para realizar este estudio puede ser ISO 31000:2009 (4.3.1, 5.3.1, etc.)
  • 24. ISO 27001. Liderazgo y Compromiso 5.- Liderazgo y Compromiso de la dirección • Ajusta la relación y responsabilidades de la Alta Dirección respecto al SGSI, destacando de manera puntual cómo debe demostrar su compromiso, por ejemplo: • Garantizando que los objetivos del SGSI y “La política de seguridad de la información”, anteriormente definida como “Política del SGSI”, estén alineados con los objetivos del negocio. • Garantizando la disponibilidad de los recursos para la implementación del SGSI (económicos, tecnológicos, etcétera). • Garantizando que los roles y responsabilidades claves para la seguridad de la información se asignen y se comuniquen adecuadamente.
  • 25. ISO 27001. Planificación • Se deben determinar los riesgos y oportunidades a la hora de planificar el SGSI, así como establecer objetivos de Seguridad de la Información y el modo de alcanzar estos • Se presentan grandes cambios en el proceso de evaluación de riesgos: el proceso para la evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las amenazas. • Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información. • El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa. • Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario del riesgo”. • Los requerimientos del SOA no sufrieron transformaciones significativas • objetivos
  • 26. Análisis de riesgos ¿Por qué? • El Análisis de riesgos es un concepto requerido para el buen gobierno de TI • La gestión de los riesgos es una piedra angular del buen gobierno. • Es un principio fundamental que las decisiones de gobierno se • fundamenten en el conocimiento de los riesgos que implican. • El conocimiento de los riesgos permite calibrar la confianza en que los • sistemas desempeñarán su función como la Dirección espera. • En particular de los riesgos provenientes del uso de las TIC. • Marco equilibrado de Gobierno – Gestión de Riesgos – Cumplimiento • (GRC). • Tratamiento de los riesgos de las TIC en relación con los demás riesgos. • Referente: ISO 38500 (Gobierno de TI)
  • 27. Análisis de riesgos. Ciclo de Vida
  • 28. Análisis de riesgos. Ciclo de Vida
  • 29. Análisis de riesgos. Ciclo de Vida
  • 30. Análisis de riesgos. Conceptos • Riesgo: Estimación del grado de exposición a que una amenaza se materialice sobre uno o mas activos causando daños o perjuicios a la Organización El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente. Es importante saber qué características son de interés en cada activo, así como saber en qué medida (cuantificar) estas características están en peligro, es decir, analizar el sistema: • Análisis de Riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización Una vez conocidos los riesgos se presentan para tomar decisiones: • Tratamiento de los riesgos: proceso destinado a modificar el riesgo
  • 31. Análisis de riesgos. Conceptos • Amenaza: Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización. [UNE 71504:2008]. • Degradación: cuán perjudicado resultaría el activo. La degradación mide el daño causado por un incidente en el supuesto de que ocurriera. • Frecuencia: cada cuánto se materializa la amenaza • Vulnerabilidad: toda debilidad que puede ser aprovechada por una amenaza, o, más detalladamente, a las debilidades de los activos o de sus medidas de protección que facilitan el éxito de una amenaza potencial. Son vulnerabilidades todas las ausencias o ineficacias de las salvaguardas pertinentes para salvaguardar el valor propio o acumulado sobre un activo. A veces se emplea el término “insuficiencia” para resaltar el hecho de que la eficacia medida de la salvaguarda es insuficiente para preservar el valor del activo expuesto a una amenaza.
  • 32. Análisis de riesgos. Conceptos • Un activo tiene valor para la compañía y está lo expone a un riesgo con la esperanza de obtener un beneficio (oportunidad) . • La materialización de la amenaza a través de la explotación de una vulnerabilidad degrada el valor del activo y le puede afectar a su confidencialidad, integridad o disponibilidad. • Los riesgos se identifican y se valoran cualitativa o cuantitativamente, tomando en cuenta la frecuencia de aparición (o probabilidad) e impacto. • Una vez identificados los riesgos se tratan aplicando medidas (Plan de tratamiento de riesgos). • El riesgo residual (riesgo existente después de aplicar medidas) debe ser conocido y formalmente aceptado por la Organización (dirección) • El apéndice A de la ISO 27001:2013 o la ISO27002 es un catalogo de salvaguardas o medidas a aplicar para tratar el riesgo.
  • 33. Análisis de riesgos según MAGERIT V3 • 1. determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación • 2. determinar a qué amenazas están expuestos aquellos activos • 3. determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo • 4. estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza • 5. estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza ISO 27001:2013 -Análisis de riesgo según contexto, no según activos -Riesgos asociados a la perdida de Confidencialidad, Integridad y Disponibilidad de la I. -Se substituye “propietario del activo” por “propietario del riesgo”
  • 34. Lista de tareas de AR según MAGERIT V3
  • 35. ISO 27001. Planificación Resumiendo: • Hay que definir, aplicar y documentar un proceso de evaluación de riesgos, propio o de terceros, focalizado en los valores de la seguridad de la información • Hay que definir los criterios de aceptación de riesgo (Riesgo aceptable) • Identificad los riesgos principales y los propietarios de esos riesgos. Priorizarlos • Diseñar un plan de tratamiento de riesgos, comparar los controles necesarios con el anexo A y elaborar el Statement of applicability (SoA) • El SoA debe revisar los controles del anexo A y justificar su inclusión o exclusión. • Crear el plan de seguridad y obtener la aprobación de los propietarios del riesgo • Crear objetivos (6.2) de seguridad. Como en otras normas.
  • 36. ISO 27001. Soporte • Marca los requerimientos de soporte para el establecimiento, implementación y mejora del SGSI, que incluye: • Recursos, personal competente, concienciación y comunicación con las partes interesadas • Se incluye una nueva definición “información documentada” que sustituye a los términos “documentos” y “registros”; abarca el proceso de documentar, controlar, mantener y conservar la documentación correspondiente al SGSI. Depende del tamaño de la organización. • El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un determinado conjunto de estos.
  • 37. ISO 27001. Operación • Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas de la Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el del estándar. Es la realización de lo determinado en 6.1 y 6.2 (planificación) • Además, plantea que la organización debe planear y controlar las operaciones y requerimientos de seguridad, erigiendo como el pilar de este proceso la ejecución de evaluaciones de riesgos de seguridad de la información de manera periódica por medio de un programa previamente elegido. • Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos. Solo se requiere para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad
  • 38. ISO 27001. Evaluación del rendimiento • En un SGSI es fundamental medir, medir, y… medir. Para ello, se llevarán a cabo actividades de análisis y evaluación, auditorías internas y la revisión por la dirección del Sistema de Gestión de Seguridad de la Información • La base para identificar y medir la efectividad y desempeño del SGSI continúan siendo las auditorías internas y las revisiones del SGSI. • Se debe considerar para estas revisiones el estado de los planes de acción para atender no conformidades anteriores y se establece la necesidad de definir quién y cuándo se deben realizar estas evaluaciones así como quién debe analizar la información recolectada
  • 39. ISO 27001. Mejora continua • Una organización deberá mejorar continuamente la adecuación y eficacia del SGS, así cómo dar solución a todas las acciones correctivas y no conformidades detectas
  • 40. Dominios (Clausulas) y Controles (Salvaguardas) A.5: Information security policies (2 controls) A.6: Organization of information security (7 controls) A.7: Human resource security - 6 controls that are applied before, during, or after employment A.8: Asset management (10 controls) A.9: Access control (14 controls) A.10: Cryptography (2 controls) A.11: Physical and environmental security (15 controls) A.12: Operations security (14 controls) A.13: Communications security (7 controls) A.14: System acquisition, development and maintenance (13 controls) A.15: Supplier relationships (5 controls) A.16: Information security incident management (7 controls) A.17: Information security aspects of business continuity management (4 controls) A.18: Compliance; with internal requirements, such as policies, and with external requirements, such as laws (8 controls)
  • 41. Dominios (Clausulas) y Controles (Salvaguardas) Fuente: http://http://www.iso27001standard.com Diagrama de implantación de ISO 27001 Lista de verificación (Checklist) de implantación de ISO 27001
  • 42. Documentación obligatoria • Alcance del SGSI (punto 4.3) • Objetivos y política de seguridad de la información (puntos 5.2 y 6.2) • Metodología de evaluación y tratamiento de riesgos (punto 6.1.2) • Declaración de aplicabilidad (SoA) (punto 6.1.3 d) • Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2) • Informe de evaluación de riesgos (punto 8.2) • Definición de roles y responsabilidades de seguridad (puntos A.7.1.2 y A.13.2.4) • Inventario de activos (punto A.8.1.1) • Uso aceptable de los activos (punto A.8.1.3) • Política de control de acceso (punto A.9.1.1) • Procedimientos operativos para gestión de TI (punto A.12.1.1) • Principios de ingeniería para sistema seguro (punto A.14.2.5) • Política de seguridad para proveedores (punto A.15.1.1) • Procedimiento para gestión de incidentes (punto A.16.1.5) • Procedimientos para continuidad del negocio (punto A.17.1.2) • Requisitos legales, normativos y contractuales (punto A.18.1.1)
  • 43. Registros obligatorios • Registros de capacitación, habilidades, experiencia y evaluaciones (punto 7.2) • Monitoreo y resultados de medición (punto 9.1) • Programa de auditoría interna (punto 9.2) • Resultados de auditorias internas (punto 9.2) • Resultados de la revisión por parte de la dirección (punto 9.3) • Resultados de medidas correctivas (punto 10.1) • Registros sobre actividades de los usuarios, excepciones y eventos de seguridad (puntos A.12.4.1 y A.12.4.3)

Notas del editor

  1. Presentación realizada con material de: Master en dirección y Gestión de la Seguridad de la Información de la UPM. La Organización Internacional de Normalización o ISO, http://www.iso.org ISACA, http://www.isaca.org Brithish Standards Institute, http://www.bsigroup.com Fuentes públicas de información como periódicos, Wikipedia, blogs, etc. citados en sus respectivas apariciones. Contacto: Gonzalo de la Pedraja, gnzldlp@gmail.com
  2. En el mundo actual los ataques a los sistemas ICT (Information and communications Technologies) experimentan un crecimiento exponencial. Todos estos ataques tiene como objetivo la información de los sistemas con multitud de aspectos: -Comprometer información confidencial, bien sea por el robo directo o por la codificación de la misma, exigiendo un rescate para liberarla (ransonmware) -Comprometer la disponibilidad de la información , por ejemplo con ataques DDoS (ataques distribuidos de denegación de servicio) -Comprometer la integridad de la información, por ejemplo para obtener condiciones ventajosas en operaciones bancarias o de bolsa. Todos estos aspectos se materializan a través de multitud de vectores de ataque (métodos que utiliza una amenaza para atacar a un sistema) pero tienen algo en común: Todos apuntan a conseguir un beneficio económico o político-social (Hacktivismo) Os recomiendo visitar el enlace de Fireeye, una de las compañías que se dedica a monitorizar en tiempo real el estado de los ataques y amenazas por Internet.
  3. Este gráfico ilustra sobre las perdidas económicas de consumidores finales. La cibercriminalidad es un negocio que da muchos beneficios, por lo que existen muchas organizaciones (en algunos casos estatales [ej: ataque Corea del Norte a Sony o USA a Iran con el caso Stuxnet] que invierten muchos recursos (económicos y de personal). Esto, a su vez, hace que desde los gobiernos se esté impulsando la formación y contratación de personal para la ciberdefensa.
  4. En cualquier fuente de noticias podemos encontrar todos los meses referencias a ataques a la información. En el caso de Sony pictures difundieron su información confidencial con fines políticos y en el de Dina hosting con fines económicos. Otros casos recientes muy interesantes donde se comprometió información de usuarios finales (nombres, direcciones, datos bancarios y de tarjetas, etc.) han sido Target, PlayStation Network, Adobe, Ebay, The Fappening, etc. En la dirección https://haveibeenpwned.com/ se puede comprobar si tus direcciones de correo están comprometidas En la dirección http://www.osi.es/es/servicio-antibotnet/informacion puedes comproabr si tu ordenador forma parte de una botnet.
  5. El caso del APT (Amenaza Persistente Avanzada) Careto o The Mask es especial: Está orientado a países del ámbito de interés de España Busca robar documentos de office pero captura también fotos, claves, configuración de VPNs, etc. El código fuente contiene términos en español, por ejemplo “careto” (de ahí su nombre) Estos y otros indicios llevan a los expertos (por ejemplo Bruce Schneier) a pensar que es un producto institucional español dedicado al espionaje del entorno de interés económico y diplomático español. Es una de las APTs mas avanzadas desarrolladas hasta ahora y se cree que lleva en funcionamiento por lo menos siete años. Os recomiendo encarecidamente el blog y trabajos de Bruce Schneier para iros introduciendo en el mundo de la seguridad
  6. En estos enlaces podéis encontrar material formativo y estar al tanto de las ultimas noticias. En el nivel más básico encontramos el blog de Angelucho (iniciativa personal de un miembro del GDT) donde tenéis mucha información básica, terminología para familiarizaros y un libro (recopilación de su blog) de descarga gratuita o que suelen distribuir en papel en eventos y convenciones. En este mismo nivel tenéis también la Ofician de Seguridad del Internauta, con muchas herramientas gratuitas como antivirus, comprobadores de botnets, cursos, etc. También existen muchas convenciones o eventos donde se da mucha formación de mucha calidad y gratuita. No podéis faltar al X1 red mas segura y al cybercamp, organizado por INCIBE. Existe una convención llamada Rooted CON que tiene un nivel mucho más alto. Esta convención es para expertos y, sí, tiene coste la entrada, pero se puede asistir de manera gratuita inscribiéndose como voluntario. El nivel es muy alto, pero es muy interesante. Éstas no son las únicas que existen, pero son las básicas para que mantengáis un ojo encima. Otras convocatorias como las jornadas de ENISE o del CCN-CERT las podéis ver anunciadas en todos estos eventos y sitios web. No podéis dejar de ver los cursos (online y presenciales) de Inteco formación, que llevan parejos certificados (aprobando los exámenes) con mucha validez en la administración pública. En criptored aparecen casi todas las noticias del mundillo y hay muchos cursos de seguridad y cifrado. Muy interesante Para recursos de seguridad empresariales y como formación muy válida usad INCIBE. Si tenéis que implantar seguridad en una empresa, aquí lo tenéis casi todo hecho. Y en un nivel alto, pero casi la referencia en este mundillo tenéis a Security By Default. Merece mucho la pena revisarlo una vez a la semana. No quiero poner demasiados enlaces para no apabullar, pero si tenéis interés en sitios internacionales, mas específicos sectorialmente o con cualquier otro foco, por favor preguntadme.
  7. Las herramientas para empezar en Seguridad de la información las vamos a dividir en metodologías y guías y aplicaciones. La metodología MAGERIT V3 y su herramienta asociada PILAR de análisis de riesgos es referencia obligada. Aparte de haber sido destacada por el informe GARTNER como una de las mejores del mundo es gratuita y de uso generalizado en la administración española. COBIT es una guía de mejores practicas presentado como framework. Es totalmente compatible con ISO 27001 y existen muchos análisis gap entre COBIT e ISO 27002 (y otras). La guía base es gratuita, otras pueden ser de pago. Las guías NIST estadounidenses. De uso generalizado en las empresas internacionales pueden ser un estupendo marco de referencia y complemento a ISO 27002 (o al apéndice de la ISO 27001:2013) En herramientas tenemos: Kali linux, un sistema linux bootable desde USB o CD con una suite totalmente completa de herramientas de seguridad, desde auditoria a forense pasando por penetración y cracking. Muy recomendable que lo conozcáis y podéis, por ejemplo, hacer una análisis de seguridad de vuestra propia red WiFi. A partir de aquí las herramientas ya son un poco avanzadas. Nessus es el programa de referencia para comprobación de vulnerabilidades. Como anécdota es el programa que aparece en la película MATRIX. Wireshark es un programa de captura de tráfico. Hay muchos tutoriales en youtube. Es el programa con el que se capturan las cookies de sesión y las claves (en bruto), por ejemplo Foca es una herramienta española de análisis forense. El hacker.net es una página web con un gran repositorio de enlaces a herramientas. Usadla con cuidado, no siempre es muy fiable y algún APT o troyano ha salido de ahí.
  8. Lo primero que os tengo que dejar claro es que en el extranjero se paga mucho más que en España, pero en cualquier ámbito. En España estás certificaciones están reconocidas y buscadas, pero no se pagan tanto. La ISO 27001 y un buen entendimiento de ella es el primer paso para obtener una de estas certificaciones. Entendiendo la ISO 27001 y leyendo los blogs anteriormente descritos se puede optar en condiciones de seguridad a los exámenes de certificación. Los exámenes suelen costar entre 800 y 1200 euros, excepto por los del GIAC que son mucho mas caros y los de CompTIA+ que son más baratos (estos son mas conocidos en USA), por lo que recomiendo ir preparado si optáis por esta vía. La seguridad no es el único camino para tener una buena remuneración, conceptos como la calidad y gestión de proyectos también se reconocen y pagan acordemente (PMP, Six Sigma Green belt, CSM [Metodologías SCRUM]) etc. El titulo de ISO 27001 LAC también está muy valorado, pero más en el mundo de la auditoría que en el de la gestión (aunque en el de la gestión también viste mucho, como el 9001 LAC)
  9. La norma ISO 27001 es la referencia básica de seguridad y la certificación más reconocida. Es el pan nuestro de cada día de la Seguridad de la Información. Aparte de guías y buenas prácticas mencionados anteriormente como COBIT o NIST y dejando aparte certificaciones muy especificas como las militares, OTAN, TEMPEST, Esquema Nacional de Seguridad, etc. tendríamos estas otras certificaciones de ejemplo: -CSA CMM V3. Controles para la seguridad en la nube. Tiene una hoja gap con los controles de ISO 27002. Conocida en España y usada en proveedores de servicios en la nube, especialmente IaaS, SaaS, etc. -PCI DSS V3. Controles requeridos por los reguladores financieros (p.ej. El banco central europeo) a los operadores de medios electrónicos de pago. Convive perfectamente con la ISO y es normal verlas juntas. -SOC2 Ese tipo de informe sobre controles aplicados es común en EEU pero rara en España. Aun así es normal que la soliciten clientes internacionales. Se puede cumplimentar en modo self-assesment. -O-ISM3 Orientado a complementar ISO 27001 y muy orientado al modelo de madurez. No es muy común en España. Ésta comparte el foco de la ISO 27001 de implantar un SGSI -SOGP Complementa también a ISO27001. tienen herramientas y metodologías de análisis de riesgos (IRAM) y de evaluación de seguridad de proveedores (SSET) interesantes. Ésta comparte el foco de la ISO 27001 de implantar un SGSI. No es muy común en España -MPAA Ésta la pongo ya como ejemplo de certificación muy sectorial y especifica. Es la certificación de seguridad de la Motion Pictures Association americana (productores y distribuidores cinematográficos). Antiguamente España estaba entre los diez países más piratas (http://www.mapsofworld.com/world-top-ten/world-top-ten-video-piracy-countries-map.html) -Remote Gaming Regulations (L.N. 176/04). Es común que las empresas que se dedican al juego por Internet tengan las bases de datos en paises con una legislación especifica del juego. Ejemplo comunes son Malta, Irlanda o Macao
  10. 1992 el Department of Trade and Industry, parte del gobierno del Reino Unido publicó un código de buenas practicas para la gestión de la seguridad de la información. Orientado a proteger la información, ventaja competitiva e intereses comerciales del Reino Unido en un mundo donde la información dejaba de estar en archivadores y cajones y se podía encontrar en múltiples formatos. La tarea de creación de las buenas prácticas recayó sobre el Centro de Seguridad de Computo Comercial (Commercial Computer Security Centre, CCSC) que crearon la guia de evaluación ITSEC y la guia de buenas prácticas DISC PD003. El desarrollo continuado del DISC PD003 se encargó al Centro Nacional de Computo en Manchester (NCC, National computer Centre), el cual lo estructuro en 10 secciones con objetivos y controles que formarían la estructura que aun hoy se encuentra en ISO 27002 1995 se pública como un standard Británico por el British Standard Institute, convirtiéndose en BS7799. el desarrollo pasa del NCC al BSI. 1996 empiezan a desarrollarse herramientas de apoyo (p.ej. COBRA) , cumplimiento y se certifica el primer auditor. 1998 Se publica BS7799-2 como especificación de un ISMS. Este estándar se convertirá en ISO 27001 1999 Primera gran revisión con los esquemas de acreditación y certificación. LRQA y BSI son los primeros cuerpos de certificación 2000 Se publica como ISO17999 la BS7799-1 y en 2007 se convertirá en ISO 27002
  11. Lo mas importante aquí es: -ISO 27001, la norma certificable -ISO 27002, las buenas prácticas. Desarrolla lo explicado en el anexo A de la ISO 27001:2013. En general, si tenéis que implantar seguridad en una empresa aunque no vayáis a certificarla esta es una muy buena guía que podéis complementar con material del INCIBE, NIST, COBIT, con vuestros controles, etc.. -ISO 27000, definiciones. Nunca está de más. -ISO 27003, guía de implementación de un SGSI. Bueno como referencia y se puede complementar con las referencias de la transparencia 9. -ISO 27004, guías para las métricas e indicadores. Muy útil
  12. Se siguen añadiendo normas especificas. Se puede consultar el listado de desarrollos en www.iso.org
  13. La implantación y operación de un SGSI aporta los siguientes beneficios a la organización: Poder disponer de una metodología dedicada a la seguridad de la información reconocida internacionalmente. Adicionalmente no se reinventa la rueda, sino que se usa metodología probada; se cuenta con una guía de aproximación desde el principio pero es lo suficientemente abierta como para no decirte cómo hacer las cosas exactamente. Contar con un proceso definido para Evaluar, Implementar, Mantener y Administrar la seguridad de la información. Diferenciarse en el mercado de otras organizaciones. La seguridad gestionada, transparente, acreditada es fundamental para ganarte la confianza de tus clientes en el mundo digital Satisfacer requerimientos de clientes, proveedores y Organismos (Concursos Públicos). Los pliegos suelen pedir ISO9001 y 14001. Y 20000 y 27001 dependiendo del servicios que sea. Potenciales disminuciones de costos e inversiones. Por el establecimiento de prácticas y protocolos que suplen soluciones técnicas, por ejemplo. La ISO incide mucho sobre la formación y concienciación, lo que optimiza un recurso siempre presente en todas las empresas: el humano. Formalizar las responsabilidades operativas y legales de los usuarios Internos y Externos de la Información. Cuando el personal tiene por escrito y firmado sus responsabilidades se interesa mucho más Cumplir con disposiciones legales (p.e. Leyes de Protección de Datos, LSSI, etc.) Disponer de una Metodología para poder Administrar los riesgos. Y poder determinar el apetito de riesgo de la empresa de acuerdo al feedback de dirección.
  14. UN SGSI es un sistema de gestión aplicado a la seguridad de la información. Consiste en una metodología para de forma ordenada definir política, objetivos, estructura, funciones, procesos, recursos, métricas e indicadores, proceso de auditoria interna, etc…
  15. La información es un activo con valor para la organización. Pueden ser diseños, ficheros de nóminas, películas sin estrenar, la imagen de la marca, el preciario y escandallo internos, las actas de las reuniones de dirección, la formula de una bebida, los correos electrónicos, una llamada del gerente al responsable de recursos humanos, etc.
  16. La información se encuentra en TODOS sitios. Se recupera información de construcción de seres vivos (ADN) de muestras fosilizadas (o de mosquitos en ámbar) El 8 de abril de 2009 el entonces jefe de antiterrorismo del Reino Unido, Bob Quick, fue fotografiado llegando a una reunión con el primer ministro con unos documentos secretos en la mano. Estos documentos detallaban la operación antiterrorista Pathway y fueron publicados en varios periodicos de tirada nacional, forzando la intervención de la policia de North West England mucho antes de lo deseado. Bob Quick dimitió al día siguiente. La divulgación de fotos privadas de actrices ha bajado su caché por película y los estudios de la MPAA han forzado a google a oscurecer los resultados de búsqueda de este material. Anécdotas de la seguridad de la información en empresas cercanas incluyen: contratos cruzados al enviarlos a clientes, ficheros de nóminas y declaraciones de la renta impresas en impresoras comunes y no retiradas, preciarios confidenciales encima de mesas con clientes delante, conversaciones escuchadas en los cuartos de baño, etc.
  17. La seguridad total no existe. Sólo existe un camino constante de planificación realización, comprobación y respuesta intentando estar por delante de la materialización de las amenazas y minimizando el impacto si llegasen a ocurrir.
  18. Los tres valores básicos de la seguridad de la información son (según definición de la ISO): -Confidencialidad: Garantizar que la información es accesible sólo para aquellos autorizados a tener acceso. -Integridad: Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas (no es lo mismo que la integridad de las bases de datos). -disponibilidad: La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. (un objeto a un sujeto) Otros valores igualmente necesarios para la gestión de la seguridad de la información son: -Autenticación o autentificación: Es la propiedad que permite identificar el generador de la información. Por ejemplo la firma electrónica, el PIN de la tarjeta de crédito, la clave de acceso a la cuenta de correo,… -No repudio: Proporciona protección contra la interrupción, por parte de alguna de las entidades implicadas en la comunicación, de haber participado en toda o parte de la comunicación. O sea, poder probar tanto que una parte envío una información determinada como que la otra parte la recibió. Ejemplos: burofaxes, acuses de recibo, logs,… -Trazabilidad: Creación, incorporación y conservación de información sobre el movimiento y uso de información (activos). Ejemplos: de dónde viene un disco duro, a dónde va una persona que sepa información de nuestra compañía, quién introdujo aquel registro o cuál ha sido la vida de un documento que tenemos que entregar a un cliente. -Responsabilidad: Es la A de accounting en la triple A (Authentication, Authorisation and Accounting)
  19. La incorporación más notable quizá sea el análisis de contexto, tratado más adelante. La identificación de activos y propietarios ya no es requerida, pero sigue siendo una buena práctica y yo la recomiendo. Es un excelente punto de partida para hacer un análisis de riesgos extendido. Ahora ya se habla de propietario del riesgo y no de propietario del activo.
  20. Los dominios son áreas en las que se agrupan acciones, por ejemplo gestión de claves (passwords) control de acceso, registro de activos, clasificación de activos, etc.
  21. A partir de aquí es una buena idea que tengáis la norma al lado y vayáis leyendo los enunciados de cada punto, porque no los voy a copiar en la presentación (se haría muy larga). Si alguno no tiene la norma y quiere la transcripción de algún punto me lo puede pedir.
  22. De aquí os tenéis que quedar con: -La ISO27001 se aplica a cualquier organización (este alcance no es el alcance del SGSI, es el alcance de la norma) -Los requisitos de las clausulas 4 a la 10 no son excluibles (para certificarse) -Los términos y definiciones vienen en la ISO 27000 -En la primera clausula “Alcance” ya se hace referencia al circulo de Demming “establecer, implementar, mantener y mejorar continuamente” se puede leer como P, D, C, A Como nota, en la introducción se quita el “Enfoque del proceso” que venía en la versión del 2005
  23. El texto completo lo tenéis en la norma. Si pusiese todo los textos la ppt se haría muy larga. El requerimiento de determinar el contexto de la organización es nuevo en la versión de 2013 y es una muy buena idea. Lo principal al implantar o auditar cualquier norma ISO es conocer a fondo la organización (4.1). Para ello os vendrá muy bien estudiar su misión, visión, valores, estrategia, mapa de procesos (del mapa de procesos y procedimientos se suele sacar la identificación de activos de la información) y entrevistaros con todos los stakeholders posibles. Los Stackeholders o partes interesadas (4.2) son todos aquellos que pueden afectar o son afectados por el SGSI. Pueden ser internos (Empleados, Gerentes (jefes de sección, responsables de área, de producto, etc.) propietarios, inversores, etc.) o externos (proveedores, la sociedad, el gobierno, clientes, comunidades de interés, ONGs, sindicatos, acreedores, etc.) Al tomar los requisitos de las partes interesadas nos vamos a encontrar leyes, normativas, clausulas de contratos, limitaciones de los sistemas, etc. Para definir el contexto de la organización usad la ISO 31000: 2009 Para definir el alcance del SGSI (4.3): -Entended perfectamente la organización. Tomaos todo el tiempo necesario -No intentéis hacerlo todo de una vez. No intentéis barrer el desierto. Seleccionad un alcance concreto y limitado e idlo ampliando con tiempo. -El alcance tiene que ser relevante a la función de la organización y a los objetivos de la dirección. Tomaos tiempo. -Proponed varios alcances, estudiados (esto es, con su presupuesto, recursos y planificación en el tiempo asociada) a la alta dirección para que se elija uno (normalmente el que vosotros tengáis ya elegido) -Acotad claramente ubicaciones físicas, actividades, departamentos, etc. -Aparte de tener en cuenta factores externos e internos (4.1) y los requerimientos de las partes interesadas (4.2) también hay que tomar en cuenta los interfaces y actividades con terceros, como por ejemplo cesión de datos (LOPD) El alcance es uno de los registros principales junto con el Statement of Applicability y será mirado por terceros con mucha atención. Es el primer registro documentado solicitado por la norma. (4.4) Es otra vez el circulo de Demming y la razón de ser de esta norma: implantar un SGSI “normalizado”
  24. El compromiso de la dirección se demuestra concretamente al alinear la política de seguridad con los objetivos del negocio. Si el proyecto no es un facilitador de los objetivos de negocio --o peor, es un “business stopper”– esta abocado al fracaso. Recordad que en el 4.2 se requiere identificar a los stakeholders, los cuales tienen que tener su voz recogida en el proyecto. En caso de conflicto de intereses que no se puede arreglar con acuerdos hay que llegar al arbitraje de la dirección. El nivel de dirección involucrado tiene que ser aquel que pueda tomar decisiones relevantes del SGSI. Como nota al margen en esta presentación, os diré que una vez me dijeron que la abundancia de comités de seguridad respondía a una mala traducción inicial de “commitment” por “comité”, pero no he podido contrastar esta información. El compromiso de la dirección debe comprender también el dotar al proyecto de recursos económicos, humanos y otros necesarios. No basta con firmar la política y acudir a las reuniones del comité. Asimismo, debe dotar de poder (empowering) a los responsables del proyecto y hacérselo saber al resto de la organización para que éste pueda ser llevado a cabo. Tiene que asegurarse que los informes llegan a la alta dirección. Es también responsabilidad de la dirección asegurar que la política está alineada con los objetivos de negocio y muestra un compromiso con la mejora continua. (este es uno de los registros requeridos). Esta política debe distribuirse a los miembros de la organización; y a terceras partes según sea necesario.
  25. El compromiso de la dirección se demuestra concretamente al alinear la política de seguridad con los objetivos del negocio. Si el proyecto no es un facilitador de los objetivos de negocio --o peor, es un “business stopper”– esta abocado al fracaso. Recordad que en el 4.2 se requiere identificar a los stakeholders, los cuales tienen que tener su voz recogida en el proyecto. En caso de conflicto de intereses que no se puede arreglar con acuerdos hay que llegar al arbitraje de la dirección. El nivel de dirección involucrado tiene que ser aquel que pueda tomar decisiones relevantes del SGSI. Como nota al margen en esta presentación, os diré que una vez me dijeron que la abundancia de comités de seguridad respondía a una mala traducción inicial de “commitment” por “comité”, pero no he podido contrastar esta información. El compromiso de la dirección debe comprender también el dotar al proyecto de recursos económicos, humanos y otros necesarios. No basta con firmar la política y acudir a las reuniones del comité. Asimismo, debe dotar de poder (empowering) a los responsables del proyecto y hacérselo saber al resto de la organización para que éste pueda ser llevado a cabo. Tiene que asegurarse que los informes llegan a la alta dirección. Es también responsabilidad de la dirección asegurar que la política está alineada con los objetivos de negocio y muestra un compromiso con la mejora continua. (este es uno de los registros requeridos). Esta política debe distribuirse a los miembros de la organización; y a terceras partes según sea necesario.
  26. No se puede gestionar lo que no se conoce. Es fundamental conocer en profundidad los riesgos de las actividades empresariales y el impacto de su posible materialización. El análisis de riesgos es uno de los pilares fundamentales de la ISO 27001 (como de muchas otras normas, claro). Esta diapositiva inicia un paréntesis, al no hablar directamente de la norma, para ver una introducción al análisis de riesgos. Conocer los riesgos a los que están sometidos los elementos de trabajo es imprescindible para poder gestionarlos. La gestión de los riesgos se ha consolidado como paso necesario para la gestión de la seguridad: En la cultura de la seguridad: Directrices de la seguridad de la OCDE. (http://administracionelectronica.gob.es/archivos/pae_000005905.pdf) En la normalización. (La ISO 31000 habla de la gestión de riesgos) En la legislación. En la evaluación, certificación, acreditación y auditoría de sistemas de información. Las dos grandes tareas a realizar son: 1.- Análisis de Riesgos, que permite determinar qué tiene la Organización y estimar lo que podría pasar. 2.- Tratamiento de riesgos, que permite organizar la defensa concienciada y prudente, defendiendo para que no pase nada malo y al tiempo estando preparados para atajar las emergencias, sobrevivir a los incidentes y seguir operando en las mejores condiciones. En esta fase se reduce el riesgo a un nivel que la dirección está dispuesta a asumir, se habla de riesgo aceptable y está en línea con el apetito de riesgo de una organización.
  27. El riesgo es inherente a las operaciones de una organización, pues nace de la oportunidad como veremos ahora. Exponerse a un riesgo es un mal necesario para la obtención de un beneficio (objetivo último del negocio). Tiene un ciclo de vida donde es identificado (análisis) (plan), tratado (implementar plan de tratamiento de riesgos) (Do), monitorizado y revisado (por lo menos una vez al año y con cada cambio relevante) (check) y esto es usado para mantener y mejorar el proceso de gestión de los riesgos (act). Es un tipo de circulo que encontramos siempre en ISO.
  28. Las técnicas aplicables al análisis y gestión de riesgos (eurometodo, tablas, técnicas algorítmicas, arboles de ataque, técnicas gráficas,…) los podeis encontrar en el libro II de MAGERIT V3
  29. El ciclo según el NIST. Nosotros vamos a hablar de la metodología MAGERIT, pero mirad también la de ENISA: http://www.enisa.europa.eu/activities/risk-management
  30. El ciclo según el NIST. Nosotros vamos a hablar de la metodología MAGERIT, pero mirad también la de ENISA: http://www.enisa.europa.eu/activities/risk-management Otra definición de riesgo es la posibilidad de que se materialice una amenaza a través de una vulnerabilidad (que es la ausencia o debilidad de un control) sobre uno o varios activos haciéndoles perder valor y creando un daño a la organización; todo esto mientras la organización intenta obtener un beneficio. --Sin beneficio posible no hay riesgo– (se eliminaría)
  31. En MAGERIT tenéis un excelente catalogo de amenazas (De origen natural, del entorno, humanas accidentales, humanas deliberadas, etc.)
  32. Los activos están relacionados entre sí por dependencias, de tal manera que el fallo de un servidor físico afecta al servidor lógico que tiene por encima o a la base de datos que pueda albergar y este fallo por ende se transmite al servicio que se presta, resultando indisponible. El valor de un activo puede ser propio o acumulado. Se dice que los activos inferiores en un esquema de dependencias, acumulan el valor de los activos que se apoyan en ellos. El valor nuclear suele estar en la información que el sistema maneja y los servicios que se prestan (activos denominados esenciales), quedando los demás activos subordinados a las necesidades de explotación y protección de lo esencial. La valoración puede ser cualitativa (en alguna escala de niveles) o cuantitativa (con una cantidad numérica). Los criterios más importantes a respetar son: la homogeneidad: es importante poder comparar valores aunque sean de diferentes dimensiones a fin de poder combinar valores propios y valores acumulados, así como poder determinar si es más grave el daño en una dimensión o en otra. la relatividad: es importante poder relativizar el valor de un activo en comparación con otros. Los tipos de salvaguardas según MAGERIT son: De reducción de probabilidad: preventivas, disuasorias, eliminatorias Acotar la degradación: minimizadoras, correctivas, recuperativas Consolidan el efecto de las demás: de monitorización, de detección, de concienciación, administrativas. Si bien los catálogos o marcos de referencia como ISO27002, ENS, etc. están bien como guía hay que relativizarlo y: -no protegernos frente a amenazas que no tenemos, -implementar aquellos controles necesarios para mitigar las amenazas en función de nuestro apetito de riesgo aunque no aparezcan en el catálogo.
  33. Los activos están relacionados entre sí por dependencias, de tal manera que el fallo de un servidor físico afecta al servidor lógico que tiene por encima o a la base de datos que pueda albergar y este fallo por ende se transmite al servicio que se presta, resultando indisponible. El valor de un activo puede ser propio o acumulado. Se dice que los activos inferiores en un esquema de dependencias, acumulan el valor de los activos que se apoyan en ellos. El valor nuclear suele estar en la información que el sistema maneja y los servicios que se prestan (activos denominados esenciales), quedando los demás activos subordinados a las necesidades de explotación y protección de lo esencial. La valoración puede ser cualitativa (en alguna escala de niveles) o cuantitativa (con una cantidad numérica). Los criterios más importantes a respetar son: la homogeneidad: es importante poder comparar valores aunque sean de diferentes dimensiones a fin de poder combinar valores propios y valores acumulados, así como poder determinar si es más grave el daño en una dimensión o en otra. la relatividad: es importante poder relativizar el valor de un activo en comparación con otros. Los tipos de salvaguardas según MAGERIT son: De reducción de probabilidad: preventivas, disuasorias, eliminatorias Acotar la degradación: minimizadoras, correctivas, recuperativas Consolidan el efecto de las demás: de monitorización, de detección, de concienciación, administrativas. Si bien los catálogos o marcos de referencia como ISO27002, ENS, etc. están bien como guía hay que relativizarlo y: -no protegernos frente a amenazas que no tenemos, -implementar aquellos controles necesarios para mitigar las amenazas en función de nuestro apetito de riesgo aunque no aparezcan en el catálogo.
  34. Esto difiere de lo requerido en la ISO27001:2013, donde dice que primero se identifiquen las amenazas mas relevantes y el contexto para hacer el análisis de riesgos (antes de la identificación de activos), pero es una muy buena metodología que nos puede servir como referencia. Esta transparencia cierra el paréntesis de análisis de riesgos y volvemos a ISO 27001
  35. El SoA es otro de los pilares de la ISO 27001!! Usad tantos controles externos como necesitéis para tratar los riesgos que salgan de vuestro análisis de riesgos. Hay que documentar el mecanismo (proceso) de tipificación de los riesgos indicando cual es el riesgo aceptable por la organización. Si la organización es pequeña es bastante efectivo recoger todo esto en un solo documento, por ejemplo una hoja excel, por lo menos al principio. La evolución de esta hoja en el tiempo podría ser nuestro Risk Register. A estas alturas veréis que la ISO 27001 no es diferente de otras normas en los requerimientos del sistema de gestión más allá de algunas particularidades. Es una aplicación reglada y obligatoria (compromiso voluntariamente aceptado al someternos a una certificación externa) de un código de buenas prácticas, estructurado según el apéndice SL para economizar recursos al integrarlo con otras normas.
  36. Esta sección habla específicamente de formación y concienciación. Es crucial concienciar al personal en seguridad de la información pues no importa cuantos controles se apliquen: si las personas no tienen interiorizada la seguridad fallarán. Ej: prestar claves, mantener abiertas las puertas para que entren terceros sin acreditación, no clasificar información, divulgar información marcada como confidencial, etc. En INCIBE disponen de planes y kits de concienciación excelentes, listos para ser usados. También es importante observar como los CVs del personal responde a su descripción de puesto de trabajo, con la seguridad de la información tenida en cuenta (la antigua responsabilidad sobre activos). Las necesidades de formación han debido de ser cubiertas y existir un proceso de evaluación de necesidades formativas (por ejemplo una revisión anual por managers) Es requisito un sistema de clasificación de la información, control de versiones y de aprobación. Hay que tener también la política de retención teniendo en cuenta los requisitos legales (productos financieros 20 años, registros de llamadas para proveedores de servicios 7 años, imágenes de CCTV, 30 días, etc.)
  37. -En esta sección se menciona la gestión del cambio y el control de los procesos subcontratados -Requiere evidencias de las evaluaciones de riesgos realizadas según un plan y cuando ocurra un cambio significativo. -Requiere evidencias de las los planes de tratamiento de riesgos. Al final todas las normas ISO son parecidas: Planear, documentar, hacer, medir y mejorar ---salvaguardando claramente las evidencias [crítico para la certificación]--
  38. -Hay que establecer métricas e indicadores sobre los objetivos anteriormente identificados, definiendo quién debe medir y la periodicidad. Análogamente, se debe definir quién y cuándo debe evaluar esas mediciones y guardar evidencia documental. -Hay que establecer un programa de auditorias internas, como en otras normas. -Hay que realizar una revisión por la dirección como en otras normas, pero en este caso se añade la información de los análisis de riesgos y planes de tratamiento de riesgos. -La revisión por la dirección, que debe estar documentada, refleja la aceptación de los riesgos y los riesgos aceptables (apetito de riesgo). Esta aceptación puede estar documentada en otros registros, como la revisión del análisis de riesgos por dirección o actas de reunión. Lo importante es que la dirección sea consciente de los riesgos y pueda tomar decisiones informadas. Por supuesto, registro y documentación de las no conformidades, acciones correctivas, acciones preventivas, etc. Para esto es tremendamente útil que exista una base de ISO 9001 Estos capítulos son análogos en su ejecución a los definidos en ISO 9001 o 20000, por lo que no me extiendo, pero si queréis mas datos o explicaciones, por favor contactadme.
  39. No creo poder contaros nada de mejora continua que no hayáis oído ya  Sólo recordar que hay que dejar evidencias de las no conformidades y asegurar que las acciones correctivas corrigen la causa raíz de las no conformidades.
  40. Es común escuchar los términos dominios, objetivos de control, clausulas etc. para referirse a la agrupación por familias de los controles de seguridad (o su clausulas o salvaguardas) Si habéis llegado hasta aquí leyendo, os felicito y os recomiendo leer la 27003 que detalla recomendaciones para implementar un SGSI. Algunos enlaces más: http://www.iso27000.es El portal de ISO 27001 en español http://www.iso27001certificates.com Mantiene informacion de los SGSI (ISMS en Ingles) certificados y de muchos de los alcances http://www.27001-online.com Welcome to ISO 27001 on line http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_tc_browse.htm?commid=45306 El catalogo de normas oficial de ISO, es la fuente oficial de en que estado estan las normas http://www.iso27001security.com/html/iso27000.html Recoge informacion bastante detallada sobre cada uno de los proyectos normativos en los que se esta trabajando en ISO Esta cita la saque de uno de los cursos de seguridad que recibí: “La fama cuesta, y aquí es dónde vais a empezar a pagar, con sudor” Lydia Grant (Debbie Allen), Fama
  41. Un par de documentos recopilatorios de apoyo recogidos de internet (ver fuentes)
  42. Cualquier duda o curiosidad que tengáis, estoy a vuestra disposición.