SEGURIDAD: Norma ISO27001. Mejores prácticas actuales en seguridad de la información. Políticas y tecnologías que controlan el acceso, evitan la pérdida de información o permiten la recuperación de la misma.

1. SEGURIDAD: Norma ISO27001. Mejores
prác=cas actuales en seguridad de la
información. Polí=cas y tecnologías que
controlan el acceso, evitan la pérdida de
información o permiten la recuperación
de la misma
Mario Fernando Moreno Álvarez
Bogotá 22 de Febrero de 2010

2. • Seguridad de la Información – ISO 27001
• Problemá=ca de Seguridad
• Riesgos en la información
• Qué es Seguridad de la Información
• Modelo ISO/IEC 27001
• Planes de Con=nuidad de Negocio (BCP)
• Preguntas

3. 3

4.  Acelerado desarrollo e implantación de
tecnologías, denominadas (TICs.)
 Can=dades enormes de información
(Internet, LAN’s, WAN’s)
 Escasa seguridad que hubo en los orígenes
del boom de Internet
 Interconexión a todo nivel
(PDA, Laptops, netbook,
notebook, celulares, smartphones)
4

5.  Acceso no autorizado a documentos.
 Perdida de integridad, confidencialidad
y disponibilidad de los documentos
 Inadecuado manejo documental.
(Copias de Respaldo)
 Hackers, Crackers, Phreakers,
delincuente informá=co
 Interconexión a todo nivel
5

6. ESTAFAS EN INTERNET
El .phishing. ya pesca en todo América
Detectaron casos que afectaron a numerosas
empresas y a los clientes de bancos
estadounidenses y del resto de América.
6

7. Nueva técnica de fraude informá=co: el pharming
Los usuarios de Internet =enen un mo=vo más para estar alertas.
Mientras en los úl=mos seis meses de 2004 crecieron de manera
exponencial los ataques de “phishing”, una técnica para robar datos
confidenciales de la PC, las compañías internacionales de seguridad
informá=ca han revelado una amenaza hasta ahora desconocida: el
pharming.
7

8. Riesgos globales
En su Informe sobre Seguridad y Amenazas en Internet,
Symantec señaló que el “phishing” es una amenaza no
solamente para consumidores, sino también para compañías
de E-commerce e instituciones financieras que operan a través
de Internet.
“Si los consumidores pierden su confianza en la seguridad
de las transacciones, los negocios y las organizaciones que
operan en Internet pueden sufrir serias pérdidas financieras”.
8

9. Noticias :
• El oscuro negocio de los virus (14.03.05)
• ¡Cuidado!, se ha colado un espía en su PC (03.03.05)
• ‘Phishing’, el arte de engañar incautos en la banca electrónica
(09.03.05)
• La banca española se une contra el timo en línea (17.02.05)
• Un fallo informático descubre los datos de 650.000 clientes de
Abbey Bank (10.11.04)
• ‘Phishing’: páginas web falsas para robar datos (27.09.04)
• La seguridad de las transacciones digitales requiere un pacto
entre técnicos y juristas (24.06.04)
• El 'phishing' afecta a millones de internautas y reduce su
confianza en la banca 'on line' (12.05.04)
• Un “hacker” quinceañero comete una gran estafa por Internet
(05.05.04)
9

10. 10

11. NEGOCIOS
Una nueva fiebre “enferma” a las empresas de todo el mundo:
la seguridad de la información
La ges=ón de las polí=cas de seguridad de la información
obsesiona a miles de empresas de todo el mundo. Ahora, ya no
se conforman con controlar los datos circulantes; también
quieren ahorrar millones.
11

12.  No existe la verdad absoluta en Seguridad Informá=ca.
 No es posible eliminar todos los riesgos.
 La Dirección está convencida de que la Seguridad
Informá=ca no hace al negocio de la compañía.
 Cada vez los riesgos y el impacto en los
negocios son mayores.
12

13. Captura del PC desde el exterior Violación de e-mails
Violación de contraseñas Interrupción de los servicios Intercepción y
modificación de e-mails Virus Fraudes informáticos
Incumplimiento de leyes y regulaciones Robo o extravío de notebooks
empleados deshonestos Robo de información
Destrucción de soportes documentales Acceso clandestino a redes
Destrucción de
Intercepción de comunicaciones
equipamiento Programas bomba. Acceso indebido a
documentos impresos Software ilegal Agujeros de seguridad de
redes conectadas Falsificación de información para terceros
Indisponibilidad de información clave Spamming Violación
de la privacidad de los empleados Ingeniería social Acceso
no autorizado a instalaciones
13

14. En esta clase de problemas es dificil :
 Darse cuenta de estos riesgos hasta que pasan
 Cuan=ficar sus pérdidas. ¿cuánto le cuesta a la compañía no
tener servicios de red por varias horas?
 Cuales son los efectos directos en las organizaciones, y como
me afectan?
14

15. Debemos controlar
Los riesgos de
información en
nuestras
organizaciones y
negocios
15

16. Ac=vos Físicos Ac=vos de información
Seguridad Física Sistema de Ges=ón de la
Seguridad de la Información
P
A H
V ENTRADA E
SALIDA E
PARTES INTERESADAS
PARTES INTERESADAS
PROCESO E
P
A H
V
ENTRADA A SALIDA A
PROCESO A
P
ENTRADA C
A H SALIDA D
ENTRADA D
V
PROCESO C PROCESO D
P SALIDA C P
A H A H
V V
ENTRADA B SALIDA B
PROCESO B
P
A H ENTRADA F SALIDA F
V
PROCESO F CLIENTE
CLIENTE
P EXTERNO
EXTERNO
A H
V RETROALIMENTACIÓN
16

17. La seguridad de la información consiste en procesos y controles diseñados
para proteger la información de su divulgación no autorizada, transferencia,
modificación o destrucción, y como consecuencia:
– asegurar la con=nuidad del negocio;
– minimizar posibles daños al negocio;
– maximizar oportunidades de negocios.
La información es un ac=vo, que como cualquier otro dentro las
organizaciones, =ene valor y requiere de una protección adecuada
17

18. La información se puede encontrar en:
Impresa o escrita en Almacenada
papel electrónicamente
Trasmi=da por correo o
medios electrónicos
Hablada en
conversación
Filmes, filminas,
fotograras
18

19. • Informa=on Systems and Audit Control Associa=on ‐ ISACA:
COBIT
• Bri=sh Standards Ins=tute: BS
• Interna=onal Standards Organiza=on: Normas ISO
• Departamento de Defensa de USA: Orange Book / Common
Criteria
• ITSEC . Informa=on Technology Security Evalua=on
Criteria:White Book
• Sans Ins=tute, Security Focus, etc
• Sarbanes Oxley Act, Basilea II, HIPAA Act,(Leyes NACIONALES)
• OSSTMM, ISM3, ISO17799:2005, ISO27001
19

20. Las Normas ISO son las mas
aceptadas a nivel mundial, y en
cues=ón de seguridad de la
información existen dos referentes:
GESTIÓN DE LA SEGURIDAD DE LA INFORMACION
ISO/IEC 27001
ISO/IEC 27002
20

21. Código de prác=ca 1993
Norma BS 7799 1995
BS 7799 parte 2 1998
Revisión partes 1 y 2 1999
ISO/IEC 17799 2000
BS 7799‐2:2002 2002
ISO/IEC 17799 ‐ ISO/IEC 27002 2005
ISO/IEC 27001 2005
Familia normas ISO/IEC 27000
21

22. Familia ISO/IEC 27000
– ISO/IEC 27001 Sistema de Ges=ón de Seguridad de la Información
– ISO/IEC 27002 (Ex‐ISO/IEC 17799)
– ISO/IEC 27000 Fundamentos y vocabulario.
– ISO/IEC 27005 Ges=ón de riesgos de la Seguridad de la información.
En proceso…
– ISO/IEC 27003 Directrices para la implementación de un SGSI.
– ISO/IEC 27004 Métricas para la SGSI.
– ISO/IEC 27006 Requisitos para la acreditación de las organizaciones que
proporcionan la cer=ficación de los SGSI
22

23. • ISO 9001. Calidad
• ISO 14001. Ambiental
• ISO 18001. Seguridad y Salud Ocupacional
• ISO/IEC 27002 . Código de prac=ca para la ges=ón de la
Seguridad de la Información. (Mejores Prác=cas)
• ISO/IEC 27001 . Sistema de Ges=ón de la Seguridad de la
Información. Requisitos. (Cer=ficable)
23

24. Estructura de la norma
ISO 27001
0 Introducción.
1 Objeto.
2 Referencias norma=vas.
3 Términos y definiciones.
4 Sistema de ges=ón de la seguridad de la información.
5 Responsabilidad de la dirección.
6 Auditorías internas del SGSI.
7 Revisión del SGSI por la dirección.
8 Mejora del SGSI.
Anexos:
A. (Norma=vo) Obje=vos de control y controles.
B. Principios de la OCDE y de esta norma internacional.
C. Correspondencia entre ISO 9001, ISO 14001 e ISO 27001.
24

25. SEGURIDAD DE LA INFORMACIÓN: preservación de
la confidencialidad, integridad
y disponibilidad de la información.
(ISO 27001 numeral 3.13)
Confidencialidad
SGSI
Integridad Disponibilidad
25

26. propiedad que determina que la información no esté disponible
ni sea revelada a individuos, en=dades o procesos no
autorizados.
Confidencialidad
propiedad de salvaguardar la exac=tud y estado
completo de los ac=vos
Integridad
propiedad de que la información sea accesible y
Disponibilidad u=lizable por solicitud de una en=dad autorizada.
26

27. Ciclo de desarrollo, implementación
mantenimiento y mejora
Requisitos y expecta=vas de seguridad
P
Seguridad de la información ges=onada.
Establecer
el SGSI
Partes Interesadas
Partes Interesadas
,
A Mantener y
mejorar el H Implementar
y operar el
de la información.
SGSI SGSI
V Hacer
seguimiento y
Entrada revisar el SGSI Salida
Documentación
27

28. •Establecer la polí/ca de seguridad, metas, obje/vos, procesos y
procedimientos relevantes para manejar los riesgos del negocio y mejorar la
seguridad de la información para generar resultados de acuerdo con una
polí/ca y obje/vos marco de la organización.
Partes Interesadas
• Definir el alcance del SGSI en términos de las caracterís=cas negocio.
– Seamos consistente con los obje=vos.
• Definir la Polí=ca de Seguridad.
• Definir el enfoque organizacional para la
valoración del riesgo.
28

29. Partes Interesadas
29

30. Planeación del SGSI
‐ Iden=ficar, analizar y evaluar los riesgos
‐ Iden=ficar y evaluar las opciones de tratamiento de riesgos
(mi=gar, eliminar, transferir, aceptar)
Partes Interesadas
‐ Seleccionar obje=vos de control y controles para el tratamiento del riesgo
(Mi=gar)
‐ En virtud del resultado del análisis de riesgos, considerando a
su vez los requisitos legales y regulatorios.
‐ A parMr de los 39 objeMvos de control y 133 controles
definidos por la ISO/IEC 27002
‐ Establecer enunciado de aplicabilidad
– Selección o no de cada uno de los controles y explicación.
30

31. Anexo A. Obje=vos y controles
11 ÁREAS
O DOMINIOS
DE CONTROL
39 OBJETIVOS DE CONTROL
133 CONTROLES
31

32. Dominios de control
Estratégico Polí=ca de
seguridad
Tác=co
Opera=vo Organización de la
seguridad de la información
Ges=ón Control de
Cumplimiento
de ac=vos acceso
Seguridad de los Ges=ón de Seguridad
recursos humanos incidentes de Seguridad rsica y del entorno
Adquisición, desarrollo y Ges=ón de comunicaciones Ges=ón de la
mantenimiento de Sistemas y operaciones con=nuidad del negocio
Seguridad organizacional. Seguridad rsica.
Seguridad lógica. Seguridad legal.
32

33. Implementar y operar la polí/ca de seguridad, controles, procesos y procedimientos.
– Tips para una implementación exitosa.
• Implementar plan de tratamiento de riesgos.
( Transferir, Eliminar, Aceptar, Mi=gar.)
• Implementar programas de Capacitación y concien=zación
– Tips para el éxito del seguimiento y la mejora.
• Implementar procedimientos y controles de detección y respuesta a
incidentes.
– Tips para el éxito del seguimiento y la mejora.
• Implementar indicadores para medir la eficacia de los controles.
33

34. Evaluar y medir la performance de los procesos contra la polí/ca
de seguridad, los obje/vos y experiencia prac/ca y reportar los
resultados a la dirección para su revisión.
• Revisar el nivel de riesgo residual aceptable, considerando los
cambios en el entorno.
• Auditorias internas.
• Revisiones por parte de la Dirección
34

35. El contar con un conjunto adecuado de indicadores,
asociados a los obje=vos y controles de seguridad
definidos e implementados es crí=co para el adecuado
seguimiento y mejora con=nua del SGSI.
35

36. Tomar acciones correc/vas y preven/vas,
basadas en los resultados de la revisión de la
dirección, para lograr la mejora con/nua del
SGSI.
• Iden=ficar mejoras en el SGSI a fin de
implementarlas.
• Tomar las acciones apropiadas
(preven=vas y correc=vas).
• Comunicar los resultados y las acciones a
emprender, y consultar con todas las partes
involucradas.
• Revisar el SGSI donde sea necesario
implementando las acciones seleccionadas.
36

37. Los planes de Con,nuidad de Negocio abarcan tanto los planes de recuperación
de Desastres (DRP), como la planeación para el restablecimiento del negocio.
DRP ‐ Disaster Recovery Plan
Es un proceso de recuperación que
cubre los datos, el hardware y el
sowware crí=co, para que un negocio
pueda comenzar de nuevo sus
operaciones en caso de un desastre
natural o causado por humanos
37

38. 38

39. 39

40. Factores crí=cos de éxito
A Polí=cas, obje=vos y ac=vidades de seguridad de la información que reflejen los obje=vos del negocio;
B un enfoque y un marco de trabajo para implementar, mantener, monitorear y mejorar la seguridad,
que sean consistentes con la cultura de la organización;
C soporte y compromiso visibles en todos los niveles de la organización;
D una buena comprensión de los requisitos de la seguridad de la información, de la
evaluación de riesgos y de la ges=ón del riesgo;
E mercadeo eficaz de la seguridad de la información para todos
los directores, empleados y otras partes para lograr la concien=zación;;
F distribución de guías sobre la polí=ca y las normas de seguridad de la información a todos los empleados y contra=stas;
provisión de fondos para las ac=vidades de ges=ón de la seguridad de la información;
G
formación, educación y concien=zación adecuadas;
H
establecimiento de un proceso eficaz para la ges=ón de los incidentes de la seguridad de la información;
I
un sistema de medición completo y balanceado que se u=lice para evaluar el desempeño en la ges=ón de la seguridad de la
J información y retroalimentar sugerencias para la mejora.
40

41. Beneficios del SGSI
A Establecimiento de una metodología de ges=ón de la seguridad clara y estructurada
B Reducción del riesgo de pérdida, robo o corrupción de información
C Los clientes =enen acceso a la información a través de medidas de seguridad
D Los riesgos y sus controles son con=nuamente revisados
E Confianza de clientes y socios estratégicos por la garanza de calidad y confidencialidad comercial
Las auditorías externas ayudan clínicamente a iden=ficar las debilidades del sistema y las áreas a mejorar
F
Posibilidad de integrarse con otros sistemas de ges=ón (ISO 9001, ISO 14001, OHSAS 18001..)
G
41

42. Beneficios del SGSI
H Con=nuidad de las operaciones necesarias de negocio tras incidentes de gravedad
Conformidad con la legislación vigente sobre información personal , propiedad intelectual y otras
I
Imagen de empresa a nivel internacional y elemento
j diferenciador de la competencia
Confianza y reglas claras para las personas de la
k organización
Reducción de costos y mejora de los procesos y servicio
l
Aumento de la mo=vación y sa=sfacción del personal
m
Aumento de la seguridad en base a la ges=ón de procesos en vez de en la compra sistemá=ca de
n productos y tecnologías
42

43. Seguridad en e‐Document
Los Documentos en formato PDF, permiten el intercambio, seguridad y
confiabilidad de la información 43

44. Seguridad en e‐Document
Permiten otorgar controles de acceso, para cada =po de usuario
44

45. Seguridad en e‐Document
Las firmas digitales nos permiten
garan=zar la iden=dad de una
persona o de un equipo en la
transmisión de mensajes y
documentos, con el uso de método
criptográficos
45

46. Seguridad en e‐Document
Los E‐books permiten dar
seguridad sobre la copia de
documentos y origen del
comprador y usuario
46

47. Conclusiones:
• Los riesgos en la información cambian
constantemente y la manera como los
ges=onemos y controlemos, garan=zará su
protección y conservación adecuada.
• Es importarte definir controles de seguridad
con base en las amenazas su probabilidad de
ocurrencia e impacto

48. Reseña bibliográfica recomendada:
• ISO/IEC 270001 Sistema de Ges=ón de
Seguridad de la información.
• ISO/IEC 27001 Código de Prác=ca para la
Seguridad de la Información

49. ¿Preguntas?