SlideShare una empresa de Scribd logo

Implantacion del iso_27001_2005

Richard Gonzalo Llanos Gutierrez
Richard Gonzalo Llanos Gutierrez
1 de 36
Descargar para leer sin conexión
IMPLANTACIÓN DEL ISO 27001:2005 “SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBCP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors) E-mail: aalexan@pucp.edu.pe www.centrum.pucp.edu.pe/excelncia
¿Su base de datos está protegida de manos criminales? 2 ¿¿Los activos de su empresaLos activos de su empresa han sido inventariados yhan sido inventariados y tasados?tasados?
INFORMACIÓN EN LA EMPRESA Un reciente reporte del House Banking Committee de Estados Unidos, muestra que el sector financiero perdió 2.4 billones de dólares por ataques computarizados en 1998 –más del triple que en 1996. No es sorprendente, considerando que por día se transfieren electrónicamente 2 trillones de dólares, mucho de lo cual pasa a través de líneas que según el FBI no son muy seguras. (Fortune 500, 2003). Casi el 80% de los valores intelectuales de las corporaciones son electrónicos, de acuerdo a la Cámara de Comercio estadounidense, y un competidor puede subir hasta las nubes si roba secretos comerciales y listas de clientes. (Sloan Review, 2003). Los hackers son expertos en ingeniería social –consiguiendo personas de dentro de las compañías para sacarles contraseñas y claves de invitados. “Si te levantas a la secretaria ganaste, dice Dill Dog”. (Famoso hacker). 3
INFORMACIÓN EN LA EMPRESA El fraude celular no escapa a ninguna compañía telefónica en el mundo. Telcel y Movilnet en el caso de Venezuela afirman que en el año 1997 las pérdidas por concepto de clonación se ubicaaron en 1,800 millones de dólares, lo que los ha impulsado a mejorar su sistema de gestión de seguridad de información. La clonación ocurre cuando los “clonadores” capturan la transmisión de los números de identificación (ESN: número asignado), bien sea rastreando los datos o sobornando a un empleado de la operadora y la copian en otros equipos no autorizados. (Cielorojo/computación 19/01/04). 4
INFORMACIÓN EN LA EMPRESA La información en la empresa es uno de los más importantes activos que se poseen. Las organizaciones tienen que desarrollar mecanismos que les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la información. La información está sujeta a muchas amenazas, tanto de índole interna como externa. 5
ISO 27001:2005 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN El nuevo estándar internacional, el ISO 27001:2005, está orientado a establecer un sistema gerencial que permita minimizar el riesgo y proteger la información en las empresas, de amenazas externas o internas. HISTORIA DEL ESTÁNDAR BS 7799 E ISO 17799 •Grupo de trabajo de la industria se establece en 1993 •Código de práctica - 1993 •British standard - 1995 •BS 7799 parte 1 y parte 2 revisada en 1999 •BS 7799 parte 2 - 1998 •BS 7799 parte 1 - 1998 •BS / ISO / IEC – 17799 - 2000 6
ISO 27001:2005- SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN ISO / IEC 17799 : 2005 Código de práctica de seguridad en la gestión de la información – Basado en BS 7799 – 1 : 2000. .Recomendaciones para buenas prácticas No puede ser utilizado para certificación ISO 27001:2005 Especificación para la gestión del sistema de seguridad de información .Es utilizado para la certificación 7
INFORMACIÓN “La información es un activo, que tal como otros importantes activos del negocio, tiene valor para una empresa y consecuentemente requiere ser protegida adecuadamente”. ISO 17799:2005 8
¿QUÉ ES SEGURIDAD DE INFORMACIÓN? Seguridad de información es mucho más que establecer “firewalls”, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software, o guardar en la bóveda los “backups”. Seguridad de información es determinar qué requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo. La seguridad de información se caracteriza por la preservación de: a) CONFIDENCIALIDAD : La información está protegida de personas no autorizadas. b) INTEGRIDAD : La información está como se pretende, sin modificaciones inapropiadas. c) DISPONIBILIDAD : Los usuarios tienen acceso a la información y a los activos asociados cuando lo requieran. 9
10 NATURALEZA Y DINÁMICA DEL ISO 27001:2005 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN
MODELO PDCA APLICADO A LOS PROCESOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN SGSI 11 PARTES INTERESADAS REQUERI- MIENTOS Y EXPECTATI- VAS DE LA SEGURIDAD DE INFOR- MACIÓN PARTES INTERESADAS SEGURIDAD DE INFORMA- CIÓN MANEJADA ESTABLECER EL SGSI 4.2 IMPLEMENTAR Y OPERAR EL EL SGSI 4.2.2 MANTENER Y MEJORAR EL SGSI 4.2.4 MONITOREAR Y REVISAR EL SGSI 4.2.3 PLAN DO CHECK ACT 4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6.0 Revisión gerencial 6.4 Auditorias internas 7.0 Mejoramiento del SGSI 7.1 Mejoramiento continuo 7.2 Acción correctiva 7.3 Acción preventiva Desarrollar, mantener y mejorar el ciclo
HOJA DE RUTA PARA CUMPLIR CON EL ISO 27001:2005 12 a) Definir el alcance del SGSI b) Definir un sistemático enfoque para evaluación del riesgo c) Identificar el riesgo d) Evaluar el riesgo e) Definir política SGSI f) Identificar y evaluar opciones para el tratamien- to del riesgo g) Seleccionar objetivos de control y controles h) Preparar un enunciado de aplicabilidad i) Obtener aprobación de la gerencia Establecer el SGSI (Sección 4.2.1) ACTIVIDADES ORGANIZACIONALES CLÁUSULAS
HOJA DE RUTA PARA CUMPLIR CON EL BS 7799-2:2002 13 a) Formular un plan para tratamiento del riesgo b) Implementar el plan de tratamiento del riesgo c) Implementar todos los objetivos de control y controles seleccionados d) Implementar programa de entrenamiento y toma de conciencia e) Gestionar operaciones f) Gestionar recursos Implementar y operar el SGSI (Sección 4.2.2) ACTIVIDADES ORGANIZACIONALES CLÁUSULAS
HOJA DE RUTA PARA CUMPLIR CON EL ISO 27001:2005 14 a) Implementar las mejoras identificadas b) Tomar apropiadas acciones correctivas y preventivas c) Comunicar los resultados a todas las partes interesadas d) Asegurar que las mejoras alcancen los objetivos deseados Mantener y mejorar el SGSI (Sección 4.2.4) a) Ejecutar procedimientos de monitoreo b) Efectuar revisiones regulares de la eficacia del SGSI c) Revisar el nivel del riesgo residual y del riesgo aceptable d) Conducir las auditorias internas del SGSI e) Registrar todos los eventos que tienen un efecto en el desempeño del SGSI Monitorear y revisar el SGSI (Sección 4.2.3) ACTIVIDADES ORGANIZACIONALES CLÁUSULAS
CICLO METODOLÓ- GICO PARA LA IMPLANTACIÓN DEL MODELO ISO 27001:2000 15 Entendimiento de los requerimientos del modelo (1) Desarrollo de competencias organizacionales (5) Análisis y evaluación del riesgo (3) Ejecución de auditorias internas (7) Determinación de la brecha (2) Obtención de la certificación internacional (8) Elaboración plan de gestión de continuidad comercial (4) Redacción del Manual de Seguridad de Información (6)
METODOLOGÍA DETALLADA PARA IMPLANTAR EL SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN ISO 27001:2005 16 PASO I Determinación de la brecha Efectuar “Gap Analysis” Determinar la brecha y estimar presupuesto y cronograma Informe a la gerencia PASO II Entendimiento de los requerimientos del modelo Taller estratégico con la gerencia para analizar requerimientos del modelo ISO 27001:2005 Definir alcance del modelo
METODOLOGÍA DETALLADA PARA IMPLANTAR EL SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN ISO 27001:2005 17 PASO III Análisis y evaluación del riesgo Efectuar un análisis y evaluación del riesgo Política de seguridad Política documentada Evaluación del riesgo Plan de continuidad comercial del negocio Gerencia del riesgo Plan de trata- miento del riesgo Plan de continuidad comercial documentado Seleccionar controles y objetivos de control a implantar Tabla de controles -Amenazas, -Vulnerabilidades -Impactos Enfoque de la gerencia para tratar el riesgo Utilización de Anexo A de la norma Elaboración Plan de gestión de continuidad comercial PASO IV
18 METODOLOGÍA DETALLADA PARA IMPLANTAR EL SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN ISO 27001:2005 PASO V Desarrollo de competencias organizacionales Entrenamiento en documentación de procedimientos, instruc- ciones de trabajo Taller estratégico para manejo de la acción correctiva y preventiva Taller estratégico para el manejo de la auditoria interna Procedimiento para manejo de la acción correctiva Procedimiento de auditoria interna documentado Elaborar un enunciado de aplicabilidad Enunciado de aplicabilidad documentadoEnunciado de aplicabilidad
19 METODOLOGÍA DETALLADA PARA IMPLANTAR EL SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN ISO 27001:2005 PASO VII Ejecución de Auditorias Internas Efectuar auditoria interna Informe de la auditoria interna PASO VIII Obtención de la certificación internacional Auditoria de empresa certificadora Entrega de informe Redacción del manual de Seguridad de Información Elaboración del manual de seguridad de información Manual de Seguridad de Información Documentado PASO VI
ENFOQUE DE LAS SEIS FASES ESENCIALES DEL PROCESO DE IMPLANTACIÓN ISO 27001:2005 20 DEFINIR UNA POLÍTICA DE SEGURIDAD DE INFORMACIÓN DEFINIR EL ALCANCE DEL MODELO EFECTUAR UN ANÁLISIS Y EVALUACIÓN DEL RIESGO DEFINIR OPCIONES DE TRATAMIENTO DEL RIESGO SELECCIONAR CONTROLES A IMPLANTAR PREPARAR UN ENUNCIADO DE APLICABILIDAD
21 CASO PRÁCTICO DE IMPLANTACIÓN DEL ISO 27001:2005 EN UNA ORGANIZACIÓN FINANCIERA ÁREA: AHORROS-CAPTACIONES
22 DEFINICIÓN DEL ALCANCE DEL MODELO EN EL BANCO En la sección 4.2 (a) del estándar, se exige como punto de partida para establecer el SGSI que la empresa: “defina el alcance del SGSI en términos de las características del negocio, la organización, su ubicación, activos y tecnología”.
IDENTIFICA- CIÓN DE ACTIVOS DE INFORMACIÓN 23 Una vez determinado el alcance del modelo en la empresa, se debe proceder a identificar los distintos activos de información, los cuales se convierten en el eje principal del modelo. Es importante mencionar que, en el caso del banco, se conformó un grupo multidisciplinario, compuesto por los dueños de los subprocesos que conformaban el proceso escogido en el alcance. También en el grupo se incluyó a los clientes vitales y proveedores internos de ahorros/captaciones. Posteriormente, una vez identificados los activos de información, se incluyeron en el grupo a los dueños de los activos de información. Al grupo multidisciplinario, se le denominó comité gestor.
ANÁLISIS Y EVALUACIÓN DEL RIESGO 24 A los activos de información se les debe efectuar un análisis y evaluación del riesgo, e identificar los controles del anexo A del estándar que tendrán que implementarse para mitigar el riesgo. Es importante en este punto, clarificar qué es un activo de información en el contexto del ISO 27001:2005. Según el ISO 17799:2005 (Código de Práctica para la Gestión de Seguridad de Información) un activo de información es: “algo a lo que una organización directamente le asigna un valor y, por lo tanto, la organización debe proteger”.
25 ANÁLISIS Y EVALUACIÓN DEL RIESGO Los activos de información son clasificados por el ISO 17799:2005 en las siguientes categorías: -Activos de información (datos, manuales, usuarios, etc.) -Documentos de papel (contratos) -Activos de software (aplicación, software de sistemas, etc.) -Activos físicos (computadoras, medios magnéticos, etc.) -Personal (clientes, personal) -Imagen de la compañía y reputación -Servicios (comunicaciones, etc.)
26 ALCANCE DEL SGSI Al establecer el alcance, en la organización financiera se determinó que fuera el área de ahorros y captaciones. Para dicho efecto, se utilizó el método de las elipses para determinar los activos de información.
AHORROS CAPTACIONES STP BCR SBS Ministerio Público PERIPLO RENIEC Clientes Corresponsales AFP’s Clientes -Atenc. Y Cons. -Inscripción -Actualización -Definición Pro. -Requisitos -Condiciones -Recepción S/ $ -Genera Cta. -Depósitos -Retiros -Transferencias -OT -Bloq. Y Desbloq. -OP (Entrega y recep) -Renovaciones -Serv. Cobranzas -Externos -Habilitaciones -Recepción Doc. -Autrización -Entrega Efectivo -Registro -FSD (ctas. > 10 años) Emisiones -Consultas -Reclamos -Emisión de Ext. -Emisión de Cartas -Lavado de Activos -Anexos SBS Adm. de Cred. Agencias Ahorros Tesorería ServicioCliente Aud. Int. Contab. Sistemas Logística Créditos Seguridad Ases. Leg. AAS Aceptación Clientes Apertura Nuevos Clientes Operaciones Pagos
5455- Servidor de archivos 3522- Línea dedicada 2422- Equipo de cómputo 2312- Internet 4445- Servidor 5455- Base de datos clientes 4444- Base de datos ahorros 3314- Teléfonos 2511- Cámaras de video 4355- Disco duro 3324- Central telefónica 2511- Router’s 3324- Líneas telefónicas 2511- Modem 2511- Switchers 4355- Copias de backup TOTALDISPONIBILIDADINTEGRIDADCONFIDENCIALIDADACTIVOS DE INFORMACIÓN TASACIÓN DE ACTIVOS DE INFORMACIÓN
DISTRIBUCIÓN DE ACTIVOS Y SUS PROPIETARIOS AHORROS12. FORMATO LAVADO ACTIVOS ADM. DE CRÉDITOS11. VOUCHER’S AHORROS10. FORMATOS AHORROS9. REGISTROS DE CLIENTES SISTEMAS8. DISCO DURO Y GRAB. (Videos) SISTEMAS7. COPIAS DE BACKUP SISTEMAS6. SERVIDOR DE ARCHIVOS AHORROS5. CLAVES SISTEMAS4. BASE DE DATOS AHORROS AHORROS3. JEFE DE AHORROS SISTEMAS2. SERVIDOR SERVICIO AL CLIENTE1. BASE DE DATOS CLIENTES PROPIETARIOSACTIVOS DE INFORMACIÓN
ANÁLISIS Y EVALUACIÓN DEL RIESGO ACTIVOS DE INFORMA- CIÓN AMENAZAS POSIBI- LIDAD OCU- RRENCIA VULNERA- BILIDADES POSIBILI- DAD QUE AMENAZA PENETRE VULNERA- BILIDAD VALOR DE ACTIVOS DE RIESGOS POSIBI- LIDAD DE OCU- RRENCIA DE AME- NAZA TOTAL CRITI- CIDAD CRITERIO PARA ACEPTAR EL RIESGO OBJETIVOS DE CONTROL CONTRO- LES NIVELES DE ACEPTACION DEL RIESGO 1. BASE DE DATOS AHORROS 3. BASE DE DATOS CLIENTES - Hckers - Deterioro fisico - Errores en digitación 2 4 4 - Falta de antivirus - Libre acce- so - Mala progra mación - Mala valida- ción y prue- bas 2 5 2 5 4 5 4 4 16 20 C C - Verificación semanal de ac- tualizaciones - El sistema permite control automático de incidentes A.5.1 Promocionar dirección gerencial y apoyo a la S.I. A.6.1 Seguridad del equipo: evitar la pérdida, daño o compromiso de los activos y la interrupción de las ac- tividades comerciales. A.6.2 Proteger la integridad del software y la informa- ción del daño de software malicioso. A.7.1Mantener la integridad y disponibilidad de los ser- vicios de procesamiento de información y comunica- ciones. A.5.1.1 A.5.1.2 A.7.2.4 A.6.2.1 A.7.1.1 A.7.1.2 A.9.2 Minimizar el riesgo de fallas en los sistemas. A.10.1 Asegurar que se in- corpore seguridad en los sistemas de información. A.10.2 Evitar la pérdida, mo- dificación o mal uso de la data del usuario en los sis- temas de información. A.10.3 Asegurar que los pro yectos T.I. y las actividades de apoyo se reducen de manera segura. A.9.2.1 A.9.2.2 A.10.1.1 A.10.2.1 A.10.2.2 A.10.2.3 A.10.3.1 A.10.3.3 - Verificación diaria de ac- tualizaciones - El sistema permite regis- tro e impresión de incidentes - Parches de software 2. SERVI- DOR - Virus - Rayos 2 4 - Software desactuali- zado - Falta para rayos 3 4 4 4 16 C A.9.2. Proteger la integridad del software y la informa- ción del daño de software malicioso. A.9.2.1- Parches de software - Verificación semanal de actualizacio- nes.
MODELO PDCA APLICADO A LOS PROCESOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN SGSI 31 PARTES INTERESADAS REQUERI- MIENTOS Y EXPECTATI- VAS DE LA SEGURIDAD DE INFOR- MACIÓN PARTES INTERESADAS SEGURIDAD DE INFORMA- CIÓN MANEJADA ESTABLECER EL SGSI 4.2 IMPLEMENTAR Y OPERAR EL EL SGSI 4.2.2 MANTENER Y MEJORAR EL SGSI 4.2.4 MONITOREAR Y REVISAR EL SGSI 4.2.3 PLAN DO CHECK ACT 4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6.0 Revisión gerencial 6.4 Auditorias internas 7.0 Mejoramiento del SGSI 7.1 Mejoramiento continuo 7.2 Acción correctiva 7.3 Acción preventiva Desarrollar, mantener y mejorar el ciclo
CICLO METODOLÓ- GICO PARA LA IMPLANTACIÓN DEL MODELO ISO 27001:2005 32 Entendimiento de los requerimientos del modelo (1) Desarrollo de competencias organizacionales (5) Análisis y evaluación del riesgo (3) Ejecución de auditorias internas (7) Determinación de la brecha (2) Obtención de la certificación internacional (8) Elaboración plan de gestión de continuidad comercial (4) Redacción del Manual de Seguridad de Información (6)
33 RESULTADOS DEL COMPUTER CRIME AND SECURITY SURVEY/ FBI 2005 -Los ataques de virus continúan como la principal fuente de grandes pérdidas financieras. -El uso no autorizado de sistemas de computación ha incrementado. -Los incidentes en los web sites han aumentado dramáticamente. -El outsourcing de actividades de seguridad de información no ha crecido. -87% de los encuestados conducen auditorias de seguridad. -La mayoría de empresas ven el entrenamiento al usuario como algo muy importante.
34 VISA ACCOUNT INFORMATION SECURITY STANDARDS Los 15 requerimientos son una lista de chequeo para lograr conformidad con el estándar. 1. Establecer política para la contratación de personal. 2. Restringir acceso a datos. 3. Asignar al personal un sistema de identificación único para ser validado al acceder a datos. 4. Controlar el acceso a datos. 5. Instalar y mantener un “firewall” network si los datos son accedidos desde la internet. 6. Encriptar datos mantenidos en bases de datos. 7. Encriptar datos enviados a través de redes. 8. Proteger sistemas y datos de virus.
35 VISA ACCOUNT INFORMATION SECURITY STANDARDS 9. Mantener al día los parches a software 10. No utilizar “passwords” para sistemas y otros parámetros de seguridad proporcionado por terceros. 11. No dejar desatendidos computadoras, diskettes con datos. 12. De manera segura, destruir datos cuando ya no son necesarios. 13. De manera regular verificar el desempeño de sistemas y procedimientos. 14. Inmediatamente investigar y reportar a VISA cualquier perdida de cuentas o información de las transacciones. 15. Utilizar sólo proveedores de servicios que cumplan estos requisitos
IMPLANTACIÓN DEL ISO 27001:2005 “SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBCP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors) E-mail: alexand@terra.com.pe

Recomendados

Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Yango Alexander Colmenares
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiJhonny Willians Franco Delgado
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIAlexander Calderón
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BAGestión de la Calidad de UTN BA
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoModernizacion y Gobierno Digital - Gobierno de Chile
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Brayan A. Sanchez
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-seguritySecurinf.com Seguridad Informatica - Tecnoweb2.com
 

Recomendados

Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Yango Alexander Colmenares
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiJhonny Willians Franco Delgado
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIAlexander Calderón
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BAGestión de la Calidad de UTN BA
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoModernizacion y Gobierno Digital - Gobierno de Chile
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Brayan A. Sanchez
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-seguritySecurinf.com Seguridad Informatica - Tecnoweb2.com
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSIJosé María Apellidos
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Jack Daniel Cáceres Meza
 
Iso 27001
Iso 27001Iso 27001
Iso 27001Eurohelp Consulting
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013Marvin Zumbado
 
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...CRISEL BY AEFOL
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005mrg30n301976
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
Iso 27001
Iso 27001Iso 27001
Iso 27001ascêndia reingeniería + consultoría
 
Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1jonnyceballos
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Juan Fernando Jaramillo
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copiaYadi De La Cruz
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2Upon Software SA
 
Auditoria
AuditoriaAuditoria
Auditoriaxxgiancarloxx
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001ascêndia reingeniería + consultoría
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005mrg30n301976
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 

Más contenido relacionado

La actualidad más candente

Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Jack Daniel Cáceres Meza
 
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...CRISEL BY AEFOL
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005mrg30n301976
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1jonnyceballos
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 

La actualidad más candente (20)

Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
 

Similar a Implantacion del iso_27001_2005

Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005mrg30n301976
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present finalJABERO241
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informaticaGabriela2409
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabián Descalzo
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...xavazquez
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Informaciónferd3116
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesjhovanyfernando
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesjhovanyfernando
 

Similar a Implantacion del iso_27001_2005 (20)

Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present final
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informatica
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocio
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...
Vip genial 80 pags sobre seguridad y auditoria ideal para puntos concretos o...
 
S8-SCPC.pptx
S8-SCPC.pptxS8-SCPC.pptx
S8-SCPC.pptx
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
Presentacion 2
Presentacion 2Presentacion 2
Presentacion 2
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
 
Ambito 6 - Registros
Ambito 6 - RegistrosAmbito 6 - Registros
Ambito 6 - Registros
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redes
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redes
 

Implantacion del iso_27001_2005

  • 1. IMPLANTACIÓN DEL ISO 27001:2005 “SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBCP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors) E-mail: aalexan@pucp.edu.pe www.centrum.pucp.edu.pe/excelncia
  • 2. ¿Su base de datos está protegida de manos criminales? 2 ¿¿Los activos de su empresaLos activos de su empresa han sido inventariados yhan sido inventariados y tasados?tasados?
  • 3. INFORMACIÓN EN LA EMPRESA Un reciente reporte del House Banking Committee de Estados Unidos, muestra que el sector financiero perdió 2.4 billones de dólares por ataques computarizados en 1998 –más del triple que en 1996. No es sorprendente, considerando que por día se transfieren electrónicamente 2 trillones de dólares, mucho de lo cual pasa a través de líneas que según el FBI no son muy seguras. (Fortune 500, 2003). Casi el 80% de los valores intelectuales de las corporaciones son electrónicos, de acuerdo a la Cámara de Comercio estadounidense, y un competidor puede subir hasta las nubes si roba secretos comerciales y listas de clientes. (Sloan Review, 2003). Los hackers son expertos en ingeniería social –consiguiendo personas de dentro de las compañías para sacarles contraseñas y claves de invitados. “Si te levantas a la secretaria ganaste, dice Dill Dog”. (Famoso hacker). 3
  • 4. INFORMACIÓN EN LA EMPRESA El fraude celular no escapa a ninguna compañía telefónica en el mundo. Telcel y Movilnet en el caso de Venezuela afirman que en el año 1997 las pérdidas por concepto de clonación se ubicaaron en 1,800 millones de dólares, lo que los ha impulsado a mejorar su sistema de gestión de seguridad de información. La clonación ocurre cuando los “clonadores” capturan la transmisión de los números de identificación (ESN: número asignado), bien sea rastreando los datos o sobornando a un empleado de la operadora y la copian en otros equipos no autorizados. (Cielorojo/computación 19/01/04). 4
  • 5. INFORMACIÓN EN LA EMPRESA La información en la empresa es uno de los más importantes activos que se poseen. Las organizaciones tienen que desarrollar mecanismos que les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la información. La información está sujeta a muchas amenazas, tanto de índole interna como externa. 5
  • 6. ISO 27001:2005 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN El nuevo estándar internacional, el ISO 27001:2005, está orientado a establecer un sistema gerencial que permita minimizar el riesgo y proteger la información en las empresas, de amenazas externas o internas. HISTORIA DEL ESTÁNDAR BS 7799 E ISO 17799 •Grupo de trabajo de la industria se establece en 1993 •Código de práctica - 1993 •British standard - 1995 •BS 7799 parte 1 y parte 2 revisada en 1999 •BS 7799 parte 2 - 1998 •BS 7799 parte 1 - 1998 •BS / ISO / IEC – 17799 - 2000 6
  • 7. ISO 27001:2005- SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN ISO / IEC 17799 : 2005 Código de práctica de seguridad en la gestión de la información – Basado en BS 7799 – 1 : 2000. .Recomendaciones para buenas prácticas No puede ser utilizado para certificación ISO 27001:2005 Especificación para la gestión del sistema de seguridad de información .Es utilizado para la certificación 7
  • 8. INFORMACIÓN “La información es un activo, que tal como otros importantes activos del negocio, tiene valor para una empresa y consecuentemente requiere ser protegida adecuadamente”. ISO 17799:2005 8
  • 9. ¿QUÉ ES SEGURIDAD DE INFORMACIÓN? Seguridad de información es mucho más que establecer “firewalls”, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software, o guardar en la bóveda los “backups”. Seguridad de información es determinar qué requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo. La seguridad de información se caracteriza por la preservación de: a) CONFIDENCIALIDAD : La información está protegida de personas no autorizadas. b) INTEGRIDAD : La información está como se pretende, sin modificaciones inapropiadas. c) DISPONIBILIDAD : Los usuarios tienen acceso a la información y a los activos asociados cuando lo requieran. 9
  • 10. 10 NATURALEZA Y DINÁMICA DEL ISO 27001:2005 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN
  • 11. MODELO PDCA APLICADO A LOS PROCESOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN SGSI 11 PARTES INTERESADAS REQUERI- MIENTOS Y EXPECTATI- VAS DE LA SEGURIDAD DE INFOR- MACIÓN PARTES INTERESADAS SEGURIDAD DE INFORMA- CIÓN MANEJADA ESTABLECER EL SGSI 4.2 IMPLEMENTAR Y OPERAR EL EL SGSI 4.2.2 MANTENER Y MEJORAR EL SGSI 4.2.4 MONITOREAR Y REVISAR EL SGSI 4.2.3 PLAN DO CHECK ACT 4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6.0 Revisión gerencial 6.4 Auditorias internas 7.0 Mejoramiento del SGSI 7.1 Mejoramiento continuo 7.2 Acción correctiva 7.3 Acción preventiva Desarrollar, mantener y mejorar el ciclo
  • 12. HOJA DE RUTA PARA CUMPLIR CON EL ISO 27001:2005 12 a) Definir el alcance del SGSI b) Definir un sistemático enfoque para evaluación del riesgo c) Identificar el riesgo d) Evaluar el riesgo e) Definir política SGSI f) Identificar y evaluar opciones para el tratamien- to del riesgo g) Seleccionar objetivos de control y controles h) Preparar un enunciado de aplicabilidad i) Obtener aprobación de la gerencia Establecer el SGSI (Sección 4.2.1) ACTIVIDADES ORGANIZACIONALES CLÁUSULAS
  • 13. HOJA DE RUTA PARA CUMPLIR CON EL BS 7799-2:2002 13 a) Formular un plan para tratamiento del riesgo b) Implementar el plan de tratamiento del riesgo c) Implementar todos los objetivos de control y controles seleccionados d) Implementar programa de entrenamiento y toma de conciencia e) Gestionar operaciones f) Gestionar recursos Implementar y operar el SGSI (Sección 4.2.2) ACTIVIDADES ORGANIZACIONALES CLÁUSULAS
  • 14. HOJA DE RUTA PARA CUMPLIR CON EL ISO 27001:2005 14 a) Implementar las mejoras identificadas b) Tomar apropiadas acciones correctivas y preventivas c) Comunicar los resultados a todas las partes interesadas d) Asegurar que las mejoras alcancen los objetivos deseados Mantener y mejorar el SGSI (Sección 4.2.4) a) Ejecutar procedimientos de monitoreo b) Efectuar revisiones regulares de la eficacia del SGSI c) Revisar el nivel del riesgo residual y del riesgo aceptable d) Conducir las auditorias internas del SGSI e) Registrar todos los eventos que tienen un efecto en el desempeño del SGSI Monitorear y revisar el SGSI (Sección 4.2.3) ACTIVIDADES ORGANIZACIONALES CLÁUSULAS
  • 15. CICLO METODOLÓ- GICO PARA LA IMPLANTACIÓN DEL MODELO ISO 27001:2000 15 Entendimiento de los requerimientos del modelo (1) Desarrollo de competencias organizacionales (5) Análisis y evaluación del riesgo (3) Ejecución de auditorias internas (7) Determinación de la brecha (2) Obtención de la certificación internacional (8) Elaboración plan de gestión de continuidad comercial (4) Redacción del Manual de Seguridad de Información (6)
  • 16. METODOLOGÍA DETALLADA PARA IMPLANTAR EL SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN ISO 27001:2005 16 PASO I Determinación de la brecha Efectuar “Gap Analysis” Determinar la brecha y estimar presupuesto y cronograma Informe a la gerencia PASO II Entendimiento de los requerimientos del modelo Taller estratégico con la gerencia para analizar requerimientos del modelo ISO 27001:2005 Definir alcance del modelo
  • 17. METODOLOGÍA DETALLADA PARA IMPLANTAR EL SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN ISO 27001:2005 17 PASO III Análisis y evaluación del riesgo Efectuar un análisis y evaluación del riesgo Política de seguridad Política documentada Evaluación del riesgo Plan de continuidad comercial del negocio Gerencia del riesgo Plan de trata- miento del riesgo Plan de continuidad comercial documentado Seleccionar controles y objetivos de control a implantar Tabla de controles -Amenazas, -Vulnerabilidades -Impactos Enfoque de la gerencia para tratar el riesgo Utilización de Anexo A de la norma Elaboración Plan de gestión de continuidad comercial PASO IV
  • 18. 18 METODOLOGÍA DETALLADA PARA IMPLANTAR EL SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN ISO 27001:2005 PASO V Desarrollo de competencias organizacionales Entrenamiento en documentación de procedimientos, instruc- ciones de trabajo Taller estratégico para manejo de la acción correctiva y preventiva Taller estratégico para el manejo de la auditoria interna Procedimiento para manejo de la acción correctiva Procedimiento de auditoria interna documentado Elaborar un enunciado de aplicabilidad Enunciado de aplicabilidad documentadoEnunciado de aplicabilidad
  • 19. 19 METODOLOGÍA DETALLADA PARA IMPLANTAR EL SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN ISO 27001:2005 PASO VII Ejecución de Auditorias Internas Efectuar auditoria interna Informe de la auditoria interna PASO VIII Obtención de la certificación internacional Auditoria de empresa certificadora Entrega de informe Redacción del manual de Seguridad de Información Elaboración del manual de seguridad de información Manual de Seguridad de Información Documentado PASO VI
  • 20. ENFOQUE DE LAS SEIS FASES ESENCIALES DEL PROCESO DE IMPLANTACIÓN ISO 27001:2005 20 DEFINIR UNA POLÍTICA DE SEGURIDAD DE INFORMACIÓN DEFINIR EL ALCANCE DEL MODELO EFECTUAR UN ANÁLISIS Y EVALUACIÓN DEL RIESGO DEFINIR OPCIONES DE TRATAMIENTO DEL RIESGO SELECCIONAR CONTROLES A IMPLANTAR PREPARAR UN ENUNCIADO DE APLICABILIDAD
  • 21. 21 CASO PRÁCTICO DE IMPLANTACIÓN DEL ISO 27001:2005 EN UNA ORGANIZACIÓN FINANCIERA ÁREA: AHORROS-CAPTACIONES
  • 22. 22 DEFINICIÓN DEL ALCANCE DEL MODELO EN EL BANCO En la sección 4.2 (a) del estándar, se exige como punto de partida para establecer el SGSI que la empresa: “defina el alcance del SGSI en términos de las características del negocio, la organización, su ubicación, activos y tecnología”.
  • 23. IDENTIFICA- CIÓN DE ACTIVOS DE INFORMACIÓN 23 Una vez determinado el alcance del modelo en la empresa, se debe proceder a identificar los distintos activos de información, los cuales se convierten en el eje principal del modelo. Es importante mencionar que, en el caso del banco, se conformó un grupo multidisciplinario, compuesto por los dueños de los subprocesos que conformaban el proceso escogido en el alcance. También en el grupo se incluyó a los clientes vitales y proveedores internos de ahorros/captaciones. Posteriormente, una vez identificados los activos de información, se incluyeron en el grupo a los dueños de los activos de información. Al grupo multidisciplinario, se le denominó comité gestor.
  • 24. ANÁLISIS Y EVALUACIÓN DEL RIESGO 24 A los activos de información se les debe efectuar un análisis y evaluación del riesgo, e identificar los controles del anexo A del estándar que tendrán que implementarse para mitigar el riesgo. Es importante en este punto, clarificar qué es un activo de información en el contexto del ISO 27001:2005. Según el ISO 17799:2005 (Código de Práctica para la Gestión de Seguridad de Información) un activo de información es: “algo a lo que una organización directamente le asigna un valor y, por lo tanto, la organización debe proteger”.
  • 25. 25 ANÁLISIS Y EVALUACIÓN DEL RIESGO Los activos de información son clasificados por el ISO 17799:2005 en las siguientes categorías: -Activos de información (datos, manuales, usuarios, etc.) -Documentos de papel (contratos) -Activos de software (aplicación, software de sistemas, etc.) -Activos físicos (computadoras, medios magnéticos, etc.) -Personal (clientes, personal) -Imagen de la compañía y reputación -Servicios (comunicaciones, etc.)
  • 26. 26 ALCANCE DEL SGSI Al establecer el alcance, en la organización financiera se determinó que fuera el área de ahorros y captaciones. Para dicho efecto, se utilizó el método de las elipses para determinar los activos de información.
  • 27. AHORROS CAPTACIONES STP BCR SBS Ministerio Público PERIPLO RENIEC Clientes Corresponsales AFP’s Clientes -Atenc. Y Cons. -Inscripción -Actualización -Definición Pro. -Requisitos -Condiciones -Recepción S/ $ -Genera Cta. -Depósitos -Retiros -Transferencias -OT -Bloq. Y Desbloq. -OP (Entrega y recep) -Renovaciones -Serv. Cobranzas -Externos -Habilitaciones -Recepción Doc. -Autrización -Entrega Efectivo -Registro -FSD (ctas. > 10 años) Emisiones -Consultas -Reclamos -Emisión de Ext. -Emisión de Cartas -Lavado de Activos -Anexos SBS Adm. de Cred. Agencias Ahorros Tesorería ServicioCliente Aud. Int. Contab. Sistemas Logística Créditos Seguridad Ases. Leg. AAS Aceptación Clientes Apertura Nuevos Clientes Operaciones Pagos
  • 28. 5455- Servidor de archivos 3522- Línea dedicada 2422- Equipo de cómputo 2312- Internet 4445- Servidor 5455- Base de datos clientes 4444- Base de datos ahorros 3314- Teléfonos 2511- Cámaras de video 4355- Disco duro 3324- Central telefónica 2511- Router’s 3324- Líneas telefónicas 2511- Modem 2511- Switchers 4355- Copias de backup TOTALDISPONIBILIDADINTEGRIDADCONFIDENCIALIDADACTIVOS DE INFORMACIÓN TASACIÓN DE ACTIVOS DE INFORMACIÓN
  • 29. DISTRIBUCIÓN DE ACTIVOS Y SUS PROPIETARIOS AHORROS12. FORMATO LAVADO ACTIVOS ADM. DE CRÉDITOS11. VOUCHER’S AHORROS10. FORMATOS AHORROS9. REGISTROS DE CLIENTES SISTEMAS8. DISCO DURO Y GRAB. (Videos) SISTEMAS7. COPIAS DE BACKUP SISTEMAS6. SERVIDOR DE ARCHIVOS AHORROS5. CLAVES SISTEMAS4. BASE DE DATOS AHORROS AHORROS3. JEFE DE AHORROS SISTEMAS2. SERVIDOR SERVICIO AL CLIENTE1. BASE DE DATOS CLIENTES PROPIETARIOSACTIVOS DE INFORMACIÓN
  • 30. ANÁLISIS Y EVALUACIÓN DEL RIESGO ACTIVOS DE INFORMA- CIÓN AMENAZAS POSIBI- LIDAD OCU- RRENCIA VULNERA- BILIDADES POSIBILI- DAD QUE AMENAZA PENETRE VULNERA- BILIDAD VALOR DE ACTIVOS DE RIESGOS POSIBI- LIDAD DE OCU- RRENCIA DE AME- NAZA TOTAL CRITI- CIDAD CRITERIO PARA ACEPTAR EL RIESGO OBJETIVOS DE CONTROL CONTRO- LES NIVELES DE ACEPTACION DEL RIESGO 1. BASE DE DATOS AHORROS 3. BASE DE DATOS CLIENTES - Hckers - Deterioro fisico - Errores en digitación 2 4 4 - Falta de antivirus - Libre acce- so - Mala progra mación - Mala valida- ción y prue- bas 2 5 2 5 4 5 4 4 16 20 C C - Verificación semanal de ac- tualizaciones - El sistema permite control automático de incidentes A.5.1 Promocionar dirección gerencial y apoyo a la S.I. A.6.1 Seguridad del equipo: evitar la pérdida, daño o compromiso de los activos y la interrupción de las ac- tividades comerciales. A.6.2 Proteger la integridad del software y la informa- ción del daño de software malicioso. A.7.1Mantener la integridad y disponibilidad de los ser- vicios de procesamiento de información y comunica- ciones. A.5.1.1 A.5.1.2 A.7.2.4 A.6.2.1 A.7.1.1 A.7.1.2 A.9.2 Minimizar el riesgo de fallas en los sistemas. A.10.1 Asegurar que se in- corpore seguridad en los sistemas de información. A.10.2 Evitar la pérdida, mo- dificación o mal uso de la data del usuario en los sis- temas de información. A.10.3 Asegurar que los pro yectos T.I. y las actividades de apoyo se reducen de manera segura. A.9.2.1 A.9.2.2 A.10.1.1 A.10.2.1 A.10.2.2 A.10.2.3 A.10.3.1 A.10.3.3 - Verificación diaria de ac- tualizaciones - El sistema permite regis- tro e impresión de incidentes - Parches de software 2. SERVI- DOR - Virus - Rayos 2 4 - Software desactuali- zado - Falta para rayos 3 4 4 4 16 C A.9.2. Proteger la integridad del software y la informa- ción del daño de software malicioso. A.9.2.1- Parches de software - Verificación semanal de actualizacio- nes.
  • 31. MODELO PDCA APLICADO A LOS PROCESOS DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN SGSI 31 PARTES INTERESADAS REQUERI- MIENTOS Y EXPECTATI- VAS DE LA SEGURIDAD DE INFOR- MACIÓN PARTES INTERESADAS SEGURIDAD DE INFORMA- CIÓN MANEJADA ESTABLECER EL SGSI 4.2 IMPLEMENTAR Y OPERAR EL EL SGSI 4.2.2 MANTENER Y MEJORAR EL SGSI 4.2.4 MONITOREAR Y REVISAR EL SGSI 4.2.3 PLAN DO CHECK ACT 4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6.0 Revisión gerencial 6.4 Auditorias internas 7.0 Mejoramiento del SGSI 7.1 Mejoramiento continuo 7.2 Acción correctiva 7.3 Acción preventiva Desarrollar, mantener y mejorar el ciclo
  • 32. CICLO METODOLÓ- GICO PARA LA IMPLANTACIÓN DEL MODELO ISO 27001:2005 32 Entendimiento de los requerimientos del modelo (1) Desarrollo de competencias organizacionales (5) Análisis y evaluación del riesgo (3) Ejecución de auditorias internas (7) Determinación de la brecha (2) Obtención de la certificación internacional (8) Elaboración plan de gestión de continuidad comercial (4) Redacción del Manual de Seguridad de Información (6)
  • 33. 33 RESULTADOS DEL COMPUTER CRIME AND SECURITY SURVEY/ FBI 2005 -Los ataques de virus continúan como la principal fuente de grandes pérdidas financieras. -El uso no autorizado de sistemas de computación ha incrementado. -Los incidentes en los web sites han aumentado dramáticamente. -El outsourcing de actividades de seguridad de información no ha crecido. -87% de los encuestados conducen auditorias de seguridad. -La mayoría de empresas ven el entrenamiento al usuario como algo muy importante.
  • 34. 34 VISA ACCOUNT INFORMATION SECURITY STANDARDS Los 15 requerimientos son una lista de chequeo para lograr conformidad con el estándar. 1. Establecer política para la contratación de personal. 2. Restringir acceso a datos. 3. Asignar al personal un sistema de identificación único para ser validado al acceder a datos. 4. Controlar el acceso a datos. 5. Instalar y mantener un “firewall” network si los datos son accedidos desde la internet. 6. Encriptar datos mantenidos en bases de datos. 7. Encriptar datos enviados a través de redes. 8. Proteger sistemas y datos de virus.
  • 35. 35 VISA ACCOUNT INFORMATION SECURITY STANDARDS 9. Mantener al día los parches a software 10. No utilizar “passwords” para sistemas y otros parámetros de seguridad proporcionado por terceros. 11. No dejar desatendidos computadoras, diskettes con datos. 12. De manera segura, destruir datos cuando ya no son necesarios. 13. De manera regular verificar el desempeño de sistemas y procedimientos. 14. Inmediatamente investigar y reportar a VISA cualquier perdida de cuentas o información de las transacciones. 15. Utilizar sólo proveedores de servicios que cumplan estos requisitos
  • 36. IMPLANTACIÓN DEL ISO 27001:2005 “SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBCP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors) E-mail: alexand@terra.com.pe