Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
1. Control de Acceso y Seguridad Desarrollo
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Sesión 06
Familia de normas ISO/IEC 27000
2. 2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Caso práctico
Mediante el uso de hospedajes externos, las empresas son
capaces de aprovechar bien el espacio tradicional o la
potencia del modelo (también llamado colocación) en un
entorno físicamente seguro en el proveedor de alojamiento,
mientras gestionan el sistema ellos mismos, o compran los
servicios gestionados de hosting del proveedor, que
incluyen servicios de redes, de sistemas y de seguridad.
Estos entornos suelen estar diseñados para albergar los
sistemas de acceso públicos de una empresa, que podrían
variar desde los servicios de correo o de transferencia de
archivos para usuarios corporativos, hasta la plataforma de
comercio electrónico de la empresa.
A nivel de cliente, los datos almacenados localmente son
especialmente vulnerables. Si se roba un equipo portátil, es
posible realizar copias de seguridad, restaurar y leer los
datos en otro equipo, aunque el delincuente no pueda
conectarse al sistema.
¿Qué
pasos
seguiría
para
planificar
una red
segura?
4. 4
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Utilidad + Garantía = Valor
¿quién lo determina?
¿cómo se determina?
…
…
¿quién lo determina?
¿cómo se asegura?
¿cómo se mantiene?
¿quién lo valida?
5. 5
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Las organizaciones deberán considerar y usar
una variedad de modelos, estándares
y mejores practicas de TI – por lo tanto
asegúrese de que entiende esto con el fin de
considerar como pueden usarse juntos
6. 6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
ORIENTACIÓN AL
CLIENTE
COMPROMISO DEL
PERSONAL
DOCUMENTACIÓN
ADECUADA
ENFOQUE BASADO EN
PROCESOS
Aspectos clave
Identificar requisitos
Satisfacer requisitos
Analizar satisfacción
IDENTIFICAR procesos.
DETERMINAR su secuencia e
interacción.
ESTABLECER criterios para
controlarlos.
REALIZAR seguimiento,
medición y análisis.
Manual de la calidad
Procedimientos documentados
(i.e. procedimiento establecido,
documentado, implementado y
mantenido)
Documentos necesarios
Registros (evidencia de
conformidad)
Control de documentos
Control registros
¡ Sin el compromiso del personal
de la organización no es posible el
éxito del Sistema !
Cultura
• Comprensión y el cumplimiento
de los requisitos.
• Necesidad de considerar los
procesos en términos que
aporten valor.
• Obtención de resultados del
desempeño y eficacia del
proceso.
• Mejora continua de los procesos
con base en mediciones
objetivas.
7. 7
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Definición de sistema
1. A set of detailed methods, procedures and routines created to carry out a
specific activity, perform a duty, or solve a problem.
2. An organized, purposeful structure that consists of interrelated and
interdependent elements (components, entities, factors, members, parts etc.).
These elements continually influence one another (directly or indirectly)
to maintain their activity and the existence of the system,
in order to achieve the goal of the system.
3. All systems have (a) inputs, outputs and feedback mechanisms, (b) maintain an
internal steady-state (called homeostasis) despite a changing external
environment, (c) display properties that are different than the whole
(called emergent properties) but are not possessed by any of
the individual elements, and (d) have boundaries that are usually defined by the
system observer. Systems underlie every phenomenon and all are part of a larger
system. Systems stop functioning when an element is removed or changed
significantly. Together, they allow understanding and interpretation of
the universe as a meta-system of interlinked wholes, and organize our thoughts
about the world.
Fuente: businessdictionary.com
Conjunto de elementos mutuamente
relacionados o que interactúan (ISO
9000)
8. 8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Definición de proceso
Sequence of interdependent and linked procedures which, at
every stage, consume one or
more resources (employee time, energy, machines, money) to convert
inputs (data, material, parts, etc.) into outputs. These outputs then
serve as inputs for the next stage until a known goal or end result is
reached.
Fuente: businessdictionary.com
Conjunto de actividades mutuamente
relacionadas que interactúan, las
cuales transforman elementos de
entrada en elementos de salida
(implementacionsig.com).
9. 9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
ATRIBUTOS
• Definidos
• Documentados
• Comunicados
• Entendidos
• Repetibles
• Seguidos consistentemente
• Capacidad de realización
Elementos de un proceso
Entradas
PROVEEDOR
PROCESO
(Conjunto de
actividades
mutuamente
relacionadas o que
interactúan, las cuales
transforman
elementos de entrada
en resultados –
ISO9000)
Salidas
CLIENTE
Mecanismos y controles
Recursos
Requisitos Requisitos
• Datos
• Materia prima
• Materiales
• Servicios
• Sistemas de información útil y usable
• Producto terminado
• Servicio implementado
• Hardware instalado y configurado
ATRIBUTOS
• Predecibles
• Estables
• Consistentes
• Medidos
• Controlados
• Alcanzar resultados esperados
En un proceso las cosas deben
hacerse:
- En el momento preciso
- Por quien debe hacerlas
- De manera correcta
–> desde la primera vez
Procesos
anteriores
Procesos
posteriores
necesidad o expectativa
establecida, generalmente
implícita u obligatoria
10. 10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Puntos sugeridos de control
11. 11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Agustín López Neira / Javier Ruiz Spohr. www.iso27000.es
Revisión por:
• NCC (Centro
Nacional de
Computación)
• Consorcio
usuarios
1993
Estándar nacional
británico
1995
Estándar Internacional
(Fast Track)
1999 2000
Revisión periódica
(5 años)
2005
Nuevo
estándar
nacional
certificable
Estándar
Internacional
1998 2002
Revisión
conjunta de las
partes 1 y 2
Revisión y
acercamiento a:
• ISO 9001
• ISO 14001
• OCDE
1999 2005
Centro de
Seguridad de
Informática
Comercial del
Reino Unido
(CCSC/DTI)
1989
Revisión
conjunta de las
partes 1 y 2
■Certificable
Código de
prácticas
para
usuarios
■ PD0003
Código de
prácticas
para la
gestión de la
seguridad de
la
información
■
BS 7799
■
BS 7799-1
:1999
■
ISO/IEC 17799
:2000
■
ISO/IEC 17799
:2005
■
BS 7799-2
:2002
■
BS 7799-2
■
BS 7799-2
:1999
■
ISO/IEC 27001
:2005
■
Historia de ISO 27001 e ISO 17799
■No certificable
12. 12
Mg, Ing. Jack Daniel Cáceres Meza, PMP
La serie de normas
ISO/IEC 27000 son
estándares de seguridad
de la información
publicados por la ISO/IEC
La serie contiene las
mejores prácticas
recomendadas en
seguridad de la
información para
desarrollar, implementar
y mantener un SGSI
Normas ISO/IEC de la Serie 27000
Algunas de estas normas se encuentran en preparación
http://custodia-
documental.com/familia-
iso-27000-seguridad-de-
la-informacion/
14. 14
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Adquisición, desarrollo
y mantenimiento de
sistemas de
información
Gestión de
comunicaciones y
operaciones
Gestión de la
continuidad del
negocio
Seguridad
lógica
Seguridad
organizativa
Seguridad ligada a
los recursos
humanos
Gestión de incidentes
en la seguridad de la
información
Gestión de
activos
Aspectos
organizativos dela
seguridad de la
información
Política de seguridad
Seguridad física
Seguridad física y del
entorno
Control de
acceso
Cumplimiento
Seguridad legal
11 dominios
39 objetivos de control
133 controles
15. 15
Mg, Ing. Jack Daniel Cáceres Meza, PMP
http://www.iso27000.es/download/ControlesISO27002-2005.pdf
16. 16
Mg, Ing. Jack Daniel Cáceres Meza, PMP
ISO27000
(Information technology -- Security techniques) PDCA
SGSI: Sistema de
gestión de la seguridad
de la información
SOA (Statement of
Applicability): Declaración
de aplicabilidad
17. 17
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Beneficios
Establecimiento de una metodología de gestión de
la seguridad clara y estructurada.
Reducción del riesgo de pérdida, robo o corrupción
de información.
Los clientes tienen acceso a la información a través
medidas de seguridad.
Los riesgos y sus controles son continuamente
revisados.
Confianza de clientes y socios estratégicos por la
garantía de calidad y confidencialidad comercial.
Las auditorías externas ayudan cíclicamente a
identificar las debilidades del sistema y las áreas a
mejorar.
Posibilidad de integrarse con otros sistemas de
gestión (ISO 9001, ISO 14001, OHSAS 18001…).
18. 18
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Beneficios
Continuidad de las operaciones necesarias de negocio
tras incidentes de gravedad.
Conformidad con la legislación vigente sobre
información personal, propiedad intelectual y otras.
Imagen de empresa a nivel internacional y elemento
diferenciador de la competencia.
Confianza y reglas claras para las personas de la
organización.
Reducción de costos y mejora de los procesos y
servicio.
Aumento de la motivación y satisfacción del personal.
Aumento de la seguridad en base a la gestión de
procesos en vez de en la compra sistemática de
productos y tecnologías.
20. 20
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría, enfoque moderno
La auditoría es una función de dirección, un proceso sistémico, crítico,
cuantitativo y detallista, basado en la evidencia, y realizado por un
tercero, competente, distinto y sin relación con quien preparó o se
relaciona con la información motivo de la auditoría, y que tampoco
tiene relación directa con la información que se audita.
Este proceso es necesario para determinar la autenticidad, integridad y
calidad de la información que se produce, con el propósito de
determinar e informar sobre el grado de correspondencia existente
entre la información cuantificable y los criterios establecidos.
21. 21
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría, enfoque moderno
Una auditoría constituye una herramienta de control y supervisión que
contribuye a la creación de una cultura de la disciplina de la
organización, al ocuparse “fundamentalmente del conjunto de
medidas, políticas y procedimientos establecidos en las empresas para
proteger el activo, minimizar las posibilidades de fraude, incrementar la
eficiencia operativa y optimizar la calidad de la información en
general” (Morell González, 2013), -un enfoque tradicional que se veía
como algo negativo por la fiscalización inherente.
Fuente: Morell González, Luisa María, “Manual de auditoria interna. Una herramienta indispensable para el auditor”, 2013
22. 22
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría, enfoque moderno
Según Morell, tras el proceso anterior, el enfoque moderno es
“proporcionar determinada información a la dirección para que pueda
evaluar si sus objetivos y metas se están cumpliendo conforme a los
esperado o si son efectivos los controles establecidos para incrementar
la eficacia de la empresa partiendo de la evaluación sistemática del
proceso de control interno de la empresa” -por ejemplo, al descubrir
fallas en las estructuras o vulnerabilidades existentes y presentarlas de
modo conveniente para que la empresa pueda tomar las acciones
correctivas necesarias.
Fuente: Morell González, Luisa María, “Manual de auditoria interna. Una herramienta indispensable para el auditor”, 2013
23. 23
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Auditoría, enfoque moderno
Además, “ayuda a la organización a cumplir sus objetivos aportando un
enfoque sistemático y disciplinado para evaluar y mejorar la
efectividad de los procesos de gestión de riesgos, control y dirección”
(Hevia, 1999).
El objetivo es detectar las desviaciones en cuanto al plan establecido y
detectar los problemas concretos con la finalidad de encontrar la
manera de rectificar las actuaciones y solucionar las contingencias.
Fuente: Hevia, E., “Concepto moderno de auditoria interna”, 1999
La imagen que la auditoría tiene hoy es la de
una actividad consultiva y docente que añade
valor a la empresa.
24. 24
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Aspectos claves
Una mayor concienciación del empleado por la seguridad, que suele ser uno
de los principales objetivos a lograr.
La celebración de “comités de seguridad” con el objetivo de detectar
eventuales o reales “No conformidades” o acciones de mejora.
La creación de un sistema de gestión de incidencias que recoja notificaciones
de los usuarios (los incidentes de seguridad deben ser reportados y
analizados).
Sobre los logros en la seguridad diremos:
La seguridad absoluta no existe, se trata de reducir el riesgo a niveles más
asumibles.
No es un producto, debe ser entendida como un proceso.
Tampoco es un proyecto, es más bien una actividad continua
Requiere del soporte de la organización para tener éxito.
Es inherente a los procesos de informática y del negocio.
Fuente: http://www.bureauveritas.es
25. 25
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Problemas comunes
Demora en los tiempos de
implantación, lo que puede reflejarse
en un aumento de los costes
Temor del personal ante el cambio.
Puede encontrar resistencia ante sus
propuestas.
Pueden darse discrepancias
importantes en los comités de
seguridad por lo que es bueno que
haya comunicación interna y
oportunidades de diálogo.
Planes de formación inadecuados.
Puede que los Planes de formación no
sean los que necesitaba la
organización.
Fuente: http://www.bureauveritas.es
26. 26
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Problemas comunes
Establecer un calendario de
revisiones que a priori que no se
pueda cumplir.
Encontrarnos con una definición poco
clara del alcance.
Se produce un exceso de medidas
técnicas en detrimento de la
formación y concienciación del
personal
Falta de comunicación interna de los
progresos al personal de la
organización.
Fuente: http://www.bureauveritas.es
27. 27
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Sugerencias
Siempre que sea posible intenta mantener la sencillez y
restringirse a un ámbito manejable y reducido (una
entidad, un único centro de datos o un área sensible
concreta). A partir de ese inicio, extender el modelo
implantado.
Comprenda al detalle el proceso de implantación.
Adquiera experiencia de otras implantaciones, cursos
apropiados de formación o con asesoramiento de
consultores adecuados.
Asegúrese de gestionar el proyecto fijando los diferentes
hitos con sus objetivos y resultados.
Cuente con autoridad y el compromiso decidido de la
Dirección de la compañía.
La certificación debe ser el objetivo, ya que asegura un
mejor enfoque, un objetivo más claro y palpable y por lo
tanto, mejores opciones de éxito para la organización.
Fuente: http://www.bureauveritas.es
28. 28
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Sugerencias
Aunque el objetivo sea conseguir la certificación
ISO27001, aprenda y recoja la información útil
relativa a los procesos de auditoría.
Sírvase de otros estándares como ISO9001
como estructura del sistema y forma de trabajo,
ahorrando tiempo y esfuerzo.
Reserve la dedicación necesaria diaria o
semanal para afrontar la certificación. El
personal involucrado en el proyecto debe ser
capaz de trabajar con continuidad para evitar
indecisiones.
Registre evidencias: al menos tres meses antes
del intento de certificación para demostrar que
el SGSI funciona adecuadamente.
Control de tests: hay certificaciones que no se
logran debido a la carencia de tests en el plan
de recuperación de desastres.
Fuente: http://www.bureauveritas.es
• Escribe lo que haces y
mejóralo.
• Documenta lo nuevo que
haces.
• Ejecuta según has planeado y
demuéstralo.
En Dios confío; del resto dudo
31. 31
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Cumplimiento normativo TIC en Perú
Hasta la fecha se han emitido 238 normas legales, de las cuales 46
normas legales se encuentran vigentes.
El cumplimiento normativo involucra dos aspectos:
La emisión y aprobación de los instrumentos técnicos.
La aplicación de los documentos técnicos en la operación.
El no cumplimiento de la normativa TIC vigente origina hallazgos de
control en una auditoria, también se entiende como deficiencias en la
gestión.
32. 32
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Agrupación Normas
1Sistemas de Gestión de Seguridad de la Información 5
2Licenciamiento de Software 5
3Firmas y Certificados Digitales 5
4Portal de Transparencia 4
5Gobierno Electrónico 3
6Estándares y accesibilidad a páginas web 3
7Plan Estratégico de Gobierno Electrónico y Tecnologías de Información 2
8Uso, adquisición y adecuación del software 2
9Interconexión de Equipos de Procesamiento Electrónico de Información entre Entidades del Estado 2
10Registro de Recursos Informáticos 2
11Protección de Datos Personales 2
12Ciclo de Vida de Software 2
13Plan Operativo Informático 1
14Control Interno 1
15Almacenamiento y Respaldo de Información 1
16Correo Electrónico Comercial No Solicitado (SPAM) 1
17Evaluación del Software 1
18Administración eficiente del software legal 1
19Administración eficiente del software libre 1
20Uso del Correo Electrónico 1
21Acceso a internet para personas con discapacidad 1
Total 46
Normas legales
33. 33
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Trabajo práctico
Una empresa de telecomunicaciones local contrata su empresa de
seguridad para que analice y evalúe el nivel de seguridad de la
información que ha logrado implementar en los últimos cinco años.
¿Cómo plantearía realizar esta consultoría?
Grupos de tres.
30 minutos.
34. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?