1. Modelo de gestión de la seguridad, ISO 27002 :
Administración de seguridad de la información CIT
Conformidad legal
(3 Objetivo, 10 Controles)
Plan de Continuidad de Negocio
(10 Objetivo, 32 Controles)
Política de seguridad
(7 Objetivo, 25 Controles)
(6 Objetivo, 16 Controles)
Control de acceso
(1 Objetivo, 2 Controles)
Comunicaciones
Mantenimiento
Y operaciones
De sistemas
(1 Objetivo, 5 Controles)
Seguridad del personal Seguridad física
(3 Objetivo, 9 Controles) (2 Objetivo, 13 Controles)
Estructura organizativa Clasificación de activos
(3 Objetivo, 11 Controles) (2 Objetivo, 5 Controles)
Consulting Information Technology CIT
2. Diagrama de la Norma
ISO 27002 CIT
Seguridad organizativa
Política de Seguridad Seguridad lógica
Seguridad física
Organización de la Seguridad legal
Seguridad de la información
Gestión de activos Control de accesos
conformidad
Seguridad física y del Seguridad en los
entorno Recursos Humanos
Gestión de Gestión de la Gestión de Adquisición, desarrollo y
Incidentes de seg. Continuidad del comunicaciones mantenimiento de
de la información negocio y operaciones sistemas de información
Consulting Information Technology CIT
3. ISO/IEC 27002: 2005
Sección 5: Política de seguridad CIT
Política de seguridad
de la información Trata de que se
disponga de una
normativa común de
Documento
de política
seguridad que regule
las líneas maestras
sobre como va a
Revisión trabajar toda la
de la política
organización
Consulting Information Technology CIT
4. ISO/IEC 27002:2005
Sección 6: Aspectos Organizativos de la
Seguridad de la Información
CIT
Organización Interna Seguridad en
accesos de
Terceras partes
Compromiso de la
Dirección
Identificación de
riesgos en el acceso
Coordinación de la Seg de terceros
Establece la estructura
Responsables de organizativa (terceros,
Seguridad
responsables, comités,
Autorización para colaboraciones, etc.) y su Tratamiento de seguridad
procesar la información funcionamiento de cara a En relación con los clientes
gestionar la seguridad de la
Acuerdo confidencialidad información
Contacto autoridades
Tratamiento de seguridad
Grupo especial de interés En contratos con terceros
Revisión independiente
De la seguridad de la
información
Consulting Information Technology CIT
5. ISO/IEC 27002:2005
Sección 7: Clasificación y control de activos CIT
Responsabilidades Clasificación
sobre los activos de la información
Inventario de Incorpora las herramientas para
activos
establecer qué debe ser protegido,
qué nivel de protección requiere y
Directrices de quién es el responsable principal
clasificación de su protección
Propiedad de
los activos
Etiquetado y
manipulado de la
información
Uso aceptable de
los activos
Consulting Information Technology CIT
6. ISO/IEC 27002:2005
Sección 8: Seguridad relacionada con el personal CIT
Seguridad antes Durante el Cese del empleo
del empleo empleo cambio de puesto
Responsabilidad del
Responsabilidades cese o cambio
Funciones y
de la
responsabilidades
dirección
Devolución de activos
Concienciación,
Investigación de
formación
antecedentes
y capacitación
Retiro de los derechos
de acceso
Términos y Procesos
condiciones disciplinarios
Establece las medidas de seguridad que se van
a tomar con el personal, ya que finalmente son
estos los que van a utilizar los sistemas y la
información
Consulting Information Technology CIT
7. ISO/IEC 27002:2005
Sección 9: Seguridad física y del entorno CIT
Seguridad de los
Áreas seguras Equipos
de información
Emplazamiento y
Perímetro de Protección equipos
Seguridad física
Instalaciones
Controles físicos suministros
de entrada Incluye las medidas de
seguridad física (edificios, Seguridad cableado
Seguridad oficinas, salas, cableado, armarios,
despachos e insta. etc.) que se deben tomar para Mantenimiento
de equipos
proteger los sistemas y la
Protección amenazas información
Externas de Seguridad equipos
origen ambiental fuera de la oficina
Trabajo en Reutilización o ret.
áreas seguras Segura de equipo
Zonas de carga Retirada de materiales
y descarga Propiedad de la
empresa
Consulting Information Technology CIT
8. ISO/IEC 27002:2005
Sección 10: Gestión de comunicaciones y operaciones CIT
Procedimientos y Provisión servicios Protección código
responsabilidades por terceros Malicioso y descargable
Provisión de servicios Control contra código
malicioso.
Procedimientos de
operaciones escritos Supervisión y revisión
Control contra código
Servicios por terceros
Descargado por el
cliente
Gestión de cambios
Control de cambios Servicios prestado
operacionales por terceros Planificación y
Aceptación del sist.
Segregación de
tareas y
Determina las medidas de Gestión de
capacidades
responsabilidades seguridad que la organización
debe contemplar en sus
operaciones y en el uso de las
Separación de Aceptación del
Ambientes (desarrollo,
comunicaciones
Sistema
Prueba y operación)
Consulting Information Technology CIT
9. ISO/IEC 27002:2005
Sección 10: Gestión de comunicaciones y operaciones CIT
Manipulación Intercambio de
Copias de seguridad
de los soportes información
Gestión de soportes
extraíbles Políticas y
Copias de seguridad de procedimiento
La información Intercambio de informac.
Retirada de soportes
Acuerdos de cambio
Seguridad de Procedimientos de
Redes Manipulación de la info.
Controles de red Soportes físicos
Seguridad de la
en transito
Documentación del sist.
Seguridad de los
Mensajería
Servicios de red Determina las medidas de Electrónica
seguridad que la organización
debe contemplar en sus
Sistemas de información
operaciones y en el uso de las empresariales
comunicaciones
Consulting Information Technology CIT
10. ISO/IEC 27002:2005
Sección 10: Gestión de comunicaciones y operaciones CIT
Supervisión
Servicios de
Comercio electrónico Registro de
Auditorias
Supervisión uso del
Comercio electrónico sistema
Protección de la
Información registros
Transacciones en línea
Registros administración
y operación
Información pública
Registro de fallos
Sincronización de reloj
Consulting Information Technology CIT
11. ISO/IEC 27002:2005
Sección 11: Control de acceso CIT
Requisitos de negocio Responsabilidad Control de
para control de acceso usuarios Acceso a la red
Política
Política control Uso de
acceso passwords Routing
Equipos Identificación de
desatendidos equipos de red
Gestión de
Acceso usuarios Puesto de trabajo Diagnostico remoto
despejado y Protección puertos
pantalla limpia configuración
Registro Segregación de
redes
Establece las medidas de
Privilegios Segregación
control de acceso a la de redes
Passwords información a los distintos Control de
niveles en los que se conexión
Revisión
Derechos puede plantear Control de
routing
Consulting Information Technology CIT
12. ISO/IEC 27002:2005
Sección 11: Control de acceso CIT
Control de acceso
al SO
Ordenadores portátiles
Control acceso y teletrabajo
a aplicaciones y a la
información
Procedimiento seguro
de inicio de sesión Informática
móvil
Restricción
Identificación y de acceso
Autenticación usuario
Teletrabajo
Aislamiento
Sistema gestión de sistemas sensibles
contraseña
Uso recursos del
sistema
Desconexión
Automática de sesión
Limitación tiempo
conexión
Consulting Information Technology CIT
13. ISO/IEC 27002:2005
Sección 12: Adquisición, desarrollo y mantenimiento
de los sistemas de información
CIT
Requisitos
Controles Seguridad
de seguridad de sistemas
de información criptográficos Desarrollo y
soporte
Política de
Análisis y criptografía
especificaciones
Control de
Tratamiento correcto Gestión claves cambios
de las aplicaciones Vulnerabilidad
Revisión técnica de
técnica
Seguridad de los Aplicaciones tras
Validación de Archivo del sistema cambios SO
Datos de entrada
Restricción de
Control proceso Control software Cambios software
en explotación Control de
interno
vulnerabilidades
Fugas de
Integridad de Protección información
los mensajes datos prueba
Desarrollo
Validación de los Control externalizado
datos de salida Código fuente
Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de
sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones
Consulting Information Technology CIT
14. ISO/IEC 27002:2005
Sección 13: Gestión de incidentes en la seguridad
de la
información
CIT
Incidentes de seguridad
Notificación eventos y puntos de la información y
Débiles de la seguridad mejoras
de la información
Responsabilidades y
Notificación eventos Procedimientos
Aprendizaje de los
Incidentes de seguridad
Notificación puntos
Débiles de la seguridad
Recopilación de
evidencias
Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de
sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones
Consulting Information Technology CIT
15. ISO/IEC 27002:2005
Sección 14: Gestión de la continuidad del negocio CIT
Seguridad de la información
en la gestión del negocio
Inclusión de la seguridad
de la información en
el proceso de gestión de
continuidad del negocio
Continuidad del negocio
y evaluación de riesgos
Desarrollo e implantación
de planes de continuidad
que incluyan seguridad de
la información
Marco de referencia para la
Planificación de la continuidad
del negocio
Pruebas, mantenimiento y
Reevaluación de planes de
continuidad
Consulting Information Technology CIT
16. ISO/IEC 27002:2005
Sección 15: Cumplimiento CIT
Cumplimiento de los Cumplimiento de las
Requisitos legales Políticas y normas de seguridad
y cumplimiento técnico
Identificación de la
Legislación aplicable
Cumplimiento de las políticas
Derechos propiedad y normas de seguridad
Intelectual (DPI)
Protección documentos Comprobación del Consideraciones de las
de la organización Cumplimiento técnico Auditorías de los
Sistemas de información
Protección datos y
Privacidad información
personal
Control de Auditoría
de los sistemas de información
Prevención uso indebido
De los recursos tratamiento
de la información
Protección de las herramientas
Regulación de los controles de auditoria de los sistemas de
criptográficos información
Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al
desarrollo de los aplicativos que utiliza en sus operaciones
Consulting Information Technology CIT
17. Gracias … CIT
Apoyo gerencial
Necesitamos la
La Seguridad es un proceso, artillería correcta
Equipo Sólido
No un producto
¿Preguntas?
Alianzas
Estratégicas
Consulting Information Technology CIT
18. CIT
Less risk, better IT works
www.consultinginformationtechnology.com
info@consultinginformationtechnology.com
www.facebook.com/CITNIC
Consulting Information Technology CIT