1. AI04 27001
AI04 1
UNE-ISO/IEC 27001:2007
Mª Carmen Molina Prego
Pedro Luis García Repetto
Auditoría Informática
Grado Ingeniería Informática
DACYA – FDI – UCM
2. AI04 27001
AI04 2
Índice
1. Introducción
2. SGSI: UNE-ISO/IEC 27001
3. Análisis de riesgos
4. Gestión de los riesgos: UNE-ISO/IEC 27002
5. Seguimiento SGSI
6. Auditoría y certificación SGSI
7. Bibliografía
3. AI04 27001
AI04 3
Índice
1.Introducción
1.1 Conceptos básicos sobre la Seguridad de la
Información (SGSI-01)
1.2 La seguridad y su justificación desde el punto
de vista el negocio (SGSI-02)
1.3 Marco legal y jurídico de la seguridad.
Normativas de Seguridad (SGSI-03)
1.4 Estándares de gestión de la Seguridad de la
Información: familia ISO/IEC 27000 (SGSI-04)
4. AI04 27001
AI04 4
Índice
1.1 Conceptos básicos sobre la Seguridad de la
Información (SGSI-01)
Definiciones.
Información.
Riesgo.
Sistema de información
Sistemas de gestión.
SGSI – ISMS.
Seguridad de la Información vs Informática.
Ciclo de vida.
Implantar SGSI.
ACID-T.
5. AI04 27001
AI04 5
Definiciones
Información (www.rae.es)
5. f. Comunicación o adquisición de conocimientos
que permiten ampliar o precisar los que se poseen
sobre una materia determinada.
6. f. Conocimientos así comunicados o adquiridos.
Tratamiento (www.rae.es)
~ de la información.
1. m. Inform. Aplicación sistemática de uno o varios
programas sobre un conjunto de datos para utilizar la
información que contienen.
6. AI04 27001
AI04 6
Definiciones
Riesgo (www.rae.es)
(Del it. risico o rischio, y este del ár. clás. rizq, lo que depara la providencia).
1. m. Contingencia o proximidad de un daño.
2. m. Cada una de las contingencias que pueden ser
objeto de un contrato de seguro.
¿Influyen los riesgos en la viabilidad de los
negocios?
Clasificación de los riesgos según su procedencia:
1. Internos.
2. Externos.
7. AI04 27001
AI04 7
Definiciones
Sistema de Información
Los ordenadores y redes de comunicaciones
electrónicas, así como los datos electrónicos
almacenados, procesados, recuperados o
transmitidos por los mismos para su operación, uso,
protección y mantenimiento.
Conjunto de elementos físicos, lógicos, elementos
de comunicación, datos y personas que permiten el
almacenamiento, transmisión y proceso de la
información así como la imagen de la organización.
8. AI04 27001
AI04 8
Definiciones
Sistema de Gestión
Es un marco de trabajo de procesos y
procedimientos utilizado para asegurar que una
organización pueda alcanzar el éxito en todas las
tareas necesarias para alcanzar sus objetivos.
Sistema de Gestión de la Seguridad de la información
Es un marco de trabajo de procesos y procedimientos
utilizado para asegurar que una organización pueda
alcanzar el éxito en todas las tareas necesarias para
alcanzar sus objetivos de seguridad de la
información.
9. AI04 27001
AI04 9
SGSI - ISMS
Sistema de Gestión de la Seguridad de la Información
SGSI = ISMS
Asegurar el sistema de información
¿Cómo? SGSI ISO/IEC 27001
Objetivos de un SGSI
1. Conocer.
2. Gestionar.
3. Reducir riesgos que atenten contra la seguridad
de la información SGSI.
10. AI04 27001
AI04 10
Seguridad Informática vs Seguridad de la información
Seguridad Informática.
Protección infraestructuras TIC que soportan el negocio.
Seguridad de la información.
Protección activos información que dan valor al negocio.
Ejemplos de información.
Correos electrónicos, paginas webs, nóminas.
Contratos, documentación, expedientes.
Videos o fotos, nóminas, etc.
Activos de información ¿Soportes de los activos?.
11. AI04 27001
AI04 11
Ciclo de vida de la información
Ciclo de vida de la información.
La importancia (valor) puede variar con el tiempo.
Implantar SGSI
1. Analizar estructuras Sistemas de Información.
2. Definición políticas y procedimientos para
mantener seguridad.
3. Controles para mediar eficacia de las medidas.
4. Competitividad, rentabilidad y conformidad legal
para alcanzar objetivos de negocios.
12. AI04 27001
AI04 12
Dimensiones de la seguridad ACID-T
Autenticidad: Aseguramiento de la identidad u
origen.
Confidencialidad: Aseguramiento de que la
información es accesible sólo para aquellos
autorizados a tener acceso.
Integridad: Garantía de la exactitud y completitud de
la información y los métodos de su procesamiento.
13. AI04 27001
AI04 13
Dimensiones de la seguridad ACID-T
Disponibilidad: Aseguramiento de que los usuarios
autorizados tienen acceso cuando lo requieran a la
información y sus activos asociados.
Trazabilidad: Aseguramiento de que en todo
momento se podrá determinar quién hizo qué y en
qué momento.
1. Al servicio.
2. A la información.
14. AI04 27001
AI04 14
Índice
1.Introducción
1.1 Conceptos básicos sobre la Seguridad de la
Información (SGSI-01)
1.2 La seguridad y su justificación desde el
punto de vista el negocio (SGSI-02)
1.3 Marco legal y jurídico de la seguridad.
Normativas de Seguridad (SGSI-03)
1.4 Estándares de gestión de la Seguridad de la
Información: familia ISO/IEC 27000 (SGSI-04)
15. AI04 27001
AI04 15
Índice
1.2 La seguridad y su justificación desde el punto de
vista el negocio (SGSI-02)
Introducción.
Riesgos y amenazas.
Amenazas internas.
¿Qué aporta un SGSI?
16. AI04 27001
AI04 16
Introducción
Información
1. ¿Es un activo del negocio?
2. ¿Qué valor tiene?
3. ¿Es estratégico mantener CID?
ACID-T
1. ¿Nos ayudan a alcanzar los objetivo de negocio?
2. ¿Nos ayudan a evitar el robo de datos confidenciales?
Más formas de tratar la información ¿Más riesgos
y más amenazas?
Con poco esfuerzo, ¿se pueden utilizar herramientas
peligrosas para causar daño?
Confidencialidad
Integridad
Disponibilidad
Autenticidad
Trazabiliadad
17. AI04 27001
AI04 17
Riesgos
¿Dónde reside la Información? En los Sistemas de
Información (SI)
SI, ¿está sujeto a riesgos y amenazas? ¿Ejemplos?
Origen de los riesgos/amenazas:
1. Interno. ¿Ejemplos?
2. Externo. ¿Ejemplos?
Naturaleza de los riesgos:
1. Riesgos físicos: naturales, vandalismo, etc.
2. Riesgos lógicos: por tecnologías, hackers, crackers, virus,
spam, pishing, suplantación, ingeniería social, etc. ¿Cuál
es más peligroso? IS1 IS2 IS3
18. AI04 27001
AI04 18
… y amenazas
Los riesgos y las amenazas ¿pueden acabar con la
imagen del negocio y con la confianza de los clientes?
Amenazas: hay que conocerlas y afrontarlas con
medidas/controles de seguridad basadas en un análisis
de riesgos y evaluación de su eficacia.
¿Cómo? Implantando un SGSI según la norma
ISO/IEC 27001
Implicación de toda la empresa. La Dirección lidera el
proceso de implantación, conoce los riesgos del negocio,
sus objetivos y la relación con los clientes.
19. AI04 27001
AI04 19
… y amenazas
El uso indebido de las infraestructuras TIC en las empresas
se ha convertido en una de las amenazas más importantes de
seguridad para su actividad. (www.inteco.es)
ANTES
Amenazas externas: cuyo origen está en Internet, como los
accesos no autorizados, los troyanos o el correo basura.
AHORA
Amenazas internas: uso indebido de las infraestructuras TIC.
Consecuencias amenaza interna >>>> amenaza externa.
20. AI04 27001
AI04 20
Amenazas internas
1. Descarga y visualización de contenido no relacionado con la
actividad.
2. Uso de redes de intercambio de ficheros (P2P).
3. Uso del correo electrónico del trabajo para enviar y recibir
correos personales.
4. Envío de información confidencial a través del correo
electrónico personal o de otros servicios de Internet.
5. Uso inadecuado de soportes de almacenamiento.
6. Sustracción o pérdida de información confidencial de la
empresa.
7. Acceso a redes sociales y uso de programas de mensajería
instantánea durante el horario de trabajo.
8. Utilización de teléfonos u ordenadores personales para el
acceso a recursos y servicios de la empresa. BYOD¿Amenaza?
¿Amenaza?
21. AI04 27001
AI04 21
¿Qué aporta un SGSI?
¿Qué aporta un SGSI y su certificación a los objetivos
del negocio?
1. Menos riesgos.
2. Reducción amenazas.
3. Menos daños ante incidencias.
4. Garantía de la continuidad del negocio.
5. Evitar inversiones ineficientes al estimar
erróneamente los riesgos, amenazas y controles
implantados.
6. Mejorar la confianza del cliente en del negocio.
Mas
¿100%?
22. AI04 27001
AI04 22
¿Qué aporta un SGSI?
¿Qué aporta un SGSI y su certificación a los objetivos
del negocio?
7. La seguridad se gestiona en un ciclo de vida
metódico y controlado. Mejora continua.
8. Cumplimiento legal y normativo.
9. Mejora y optimiza:
a. La competitividad en el mercado.
b. La imagen de la empresa.
c. La interconexión con otros negocios.
¿Ejemplos?
23. AI04 27001
AI04 23
Índice
1.Introducción
1.1 Conceptos básicos sobre la Seguridad de la
Información (SGSI-01)
1.2 La seguridad y su justificación desde el punto
de vista el negocio (SGSI-02)
1.3 Marco legal y jurídico de la seguridad.
Normativas de Seguridad (SGSI-03)
1.4 Estándares de gestión de la Seguridad de la
Información: familia ISO/IEC 27000 (SGSI-04)
24. AI04 27001
AI04 24
Índice
1.3 Marco legal y jurídico de la seguridad. Normativas
de Seguridad (SGSI-03)
Introducción.
LOPD y LSSIyCE.
LGT, LFE y LPI.
LAECSP, sector agrario y bancario.
Delito informático.
25. AI04 27001
AI04 25
Introducción
Marco legal y normativo.
Protege el intercambio y tratamiento de la
información.
Al implantar un SGSI hay que cumplir con la
normativa legal.
Se persigue:
1. Aumentar la seguridad.
2. Mejorar la confianza de los clientes.
3. No incurrir en nuevos costes por incumplimientos.
¿Ejemplos?
26. AI04 27001
AI04 26
LOPD y LSSIyCE
1.Ley 15/1999 LOPD y RD 1720
1. Proteger datos de carácter personal (DCP).
2. Evitar tratamientos y cesiones inadecuadas.
3. Obligaciones para persona física o jurídica que
maneje DCP.
2.Ley 34/2002 de Servicios de la Sociedad de la
Información y Comercio Electrónico, LSSIyCE,
1. Regular prestadores de servicios TIC.
2. Regular el comercio electrónico.
3. Regular la publicidad electrónica mediante uso
de las TIC, por ej. correo electrónico o SMS.
27. AI04 27001
AI04 27
LGT, LFE y LPI
3. Ley 32/2003 General de Telecomunicaciones.
a) Regular telecomunicaciones, red y servicios.
b) Competencia efectiva.
4.Ley 59/2003 Firma electrónica.
a) Eficacia jurídica de la firma y prestación servicios.
b) Firma: identifica persona, garantiza si el contenido se ha
modificado y garantiza el origen.
5.RD 1/1996 Ley de Propiedad Intelectual.
a) Propiedad del autor por crear la obra.
b) Tiene derecho exclusivo a la obra.
c) Ley protege la propiedad de la obra independientemente
del soporte de la obra.
d) En el concepto de obra está incluidas las aplicaciones,
programas y BD. ¿es.creativecommons.org?
28. AI04 27001
AI04 28
LAECSP, sector agrario y bancario
6. Ley 11/2007 LAECSP. Derecho ciudadanos a
relacionarse por medios electrónicos con AAPP.
1.Uso medios TIC en relación C2A y A2A.
2.RD 3/2010 Esquema Nacional de Seguridad.
3.RD 4/2010 Esquema Nacional de
Interoperabilidad.
7.Sector agrario.
1.Gestión de fondos agrícolas: ISO/IEC 27002.
8.Sector bancario.
1.Regulaciones propias.
2.Transacciones electrónicas.
3.Seguridad en tarjetas. PCI DSS y PA DSS
29. AI04 27001
AI04 29
Delito informático
Delito informático: aquel delito que usa las TIC para
su ejecución.
1.Contra la intimidad y tratamiento ilegal de DCP.
a. Cesión no autorizada de DCP.
b. Transferencia internacional sin autorización.
2.Contra el contenido.
a. Difusión contenidos ilegales.
b. Por ejemplo pornografía infantil.
3.Económico.
a. Acceso no autorizado a sistemas.
b. Suplantación.
c. Phishing.
4.Propiedad intelectual.
a. Piratería de programas informáticos.
b. Derechos autor.
30. AI04 27001
AI04 30
Índice
1.Introducción
1.1 Conceptos básicos sobre la Seguridad de la
Información (SGSI-01)
1.2 La seguridad y su justificación desde el punto
de vista el negocio (SGSI-02)
1.3 Marco legal y jurídico de la seguridad.
Normativas de Seguridad (SGSI-03)
1.4 Estándares de gestión de la Seguridad de la
Información: familia ISO/IEC 27000 (SGSI-04)
31. AI04 27001
AI04 31
Índice
1.4 Estándares de gestión de la Seguridad de la
Información: familia ISO/IEC 27000 (SGSI-04)
Introducción
ISO e IEC
Familia ISO/IEC 27000
32. AI04 27001
AI04 32
Introducción
La información que da valor a nuestros negocios se
puede ver afectada por:
1. Riesgos.
2. Amenazas.
Mediante un SGSI se puede:
1. Analizar riesgos.
2. Proteger los activos.
3. Establecer medidas de seguridad.
4. Valorar la eficacia de las medidas.
33. AI04 27001
AI04 33
¿Qué es la ISO y la IEC?
La Organización Internacional de
Normalización o ISO es el organismo encargado de
promover el desarrollo de normas internacionales de
fabricación, comercio y comunicación para todas las
ramas industriales a excepción de la eléctrica y la
electrónica.
Su función principal es la de buscar la
estandarización de normas de productos y
seguridad para las empresas u organizaciones a nivel
internacional. (www.wikipedia.org)
¿Ejemplos?
34. AI04 27001
AI04 34
¿Qué es la ISO y la IEC?
La Comisión Electrotécnica Internacional (CEI
o IEC por sus siglas en inglés, International
Electrotechnical Commission) es una organización
de normalización en los
campos eléctrico, electrónico y tecnologías
relacionadas. Numerosas normas se desarrollan
conjuntamente con la ISO (normas ISO/IEC).
(www.wikipedia.org)
¿Ejemplos?
35. AI04 27001
AI04 35
¿Qué es la ISO y la IEC?
Normas ISO dirigidas a:
1. Productos.
2. Servicios.
3. TIC.
4. Calidad (ISO 9001 e ISO 14001).
Normas son de carácter voluntario.
Normativas legales las pueden hacer obligatorias. Ej.
ISO/IEC 27002 en Organismos pagadores Fondos.
Normas familia ISO/IEC 27000: para implementar un
SGSI.
36. AI04 27001
AI04 36
Familia ISO/IEC 27000
ISO/IEC 27000: definiciones, introducción y PDCA.
ISO/IEC 27001: cualquier organización. Establecer,
implementar, operar, supervisar, revisar, mantener y
mejorar un SGSI. Elementos, documentos y registros
que evidencian el buen funcionamiento del sistema.
www.aenor.es
ISO/IEC 27002: buenas prácticas con medidas de
seguridad. 11 dominios o áreas, 39 Objetivos de
Control o aspectos de cada área y 133 controles.
(ISO/IEC 17799 – BS 7799)
37. AI04 27001
AI04 37
Familia ISO/IEC 27000
ISO/IEC 27003: son directrices para la
implementación de un SGSI. Es el soporte de la
norma ISO/IEC 27001.
ISO/IEC 27004: son métricas para la gestión de
seguridad de la información.
ISO/IEC 27005: Trata la gestión de riesgos en
seguridad de la información. Es la que proporciona
recomendaciones métodos y técnicas de evaluación
de riesgos de Seguridad en la Información, como
soporte del proceso de gestión de riesgos de la
norma ISO/IEC 27001. Magerit y Pilar
38. AI04 27001
AI04 38
Familia ISO/IEC 27000
ISO/IEC 27006:2007: Requisitos para la acreditación
de las organizaciones que proporcionan la
certificación de los sistemas de gestión de la
seguridad de la información.
ISO/IEC 27007: Guía para auditar al SGSI. Amplía la
ISO 19011
ISO 27011: Guía de gestión de seguridad de la
información específica para telecomunicaciones.(ITU)
ISO 27031: guía de continuidad de negocio en
cuanto a tecnologías de la información y
comunicaciones. (BS 25999)
39. AI04 27001
AI04 39
Familia ISO/IEC 27000
ISO/IEC 27799:2008: Guía para implementar la
ISO/IEC 27002 en la industria de la salud.
ISO 27032: Guía relativa a la ciberseguridad.
ISO 27033: Guía relativa a la seguridad de redes de
comunicaciones.
ISO 27034: Guía de seguridad en aplicaciones.
ISO/IEC 27001 + ISO/IEC 27002 + ISO/IEC 27007
40. AI04 27001
AI04 40
Índice
1. Introducción
2.SGSI: UNE-ISO/IEC 27001
2.1 Implantación de un SGSI 27001 (SGSI-05)
2.2 Definición políticas, organización y alcance
(SGSI-06)
3. Análisis de riesgos
4. Gestión de los riesgos: UNE-ISO/IEC 27002
5. Seguimiento SGSI
6. Auditoría y certificación SGSI
7. Bibliografía
41. AI04 27001
AI04 41
Índice
2. SGSI: UNE-ISO/IEC 27001
2.1 Implantación de un SGSI 27001 (SGSI-05)
Introducción
Modelo PDCA
Fases del modelo
SGSI: documentación
2.2 Definición políticas, organización y alcance
(SGSI-06)
42. AI04 27001
AI04 42
Introducción
Implantar un SGSI es una decisión estratégica,
debe ser apoyada y dirigida por la dirección.
Objetivos y estructura de la empresa: alcance de la
implantación del SGSI = áreas o departamentos
implicados.
Tiempo de implantación depende de:
1. El tamaño de la empresa.
2. Estado inicial de la seguridad.
3. Recursos destinados.
4. 6 meses – 1 año.
43. AI04 27001
AI04 43
Modelo PDCA o Ciclo de Deming
Fases PDCA
1. Plan (Planificación)
2. Do (Ejecución)
3. Check (Seguimiento)
4. Act (Mejora)
Solución sencilla del SGSI: es la más fácil de
implantar y mantener.
44. AI04 27001
AI04 44
Modelo PDCA o Ciclo de Deming
Condición previa.
1. Compromiso de la dirección.
(Plan) Planificación.
1. Alcance del SGSI
2. Estudio situación actual de seguridad.
3. Estimar medidas de seguridad según necesidades
detectadas.
4. Para ello es necesario un Análisis de Riesgos.
a. Valore activos.
b. Analice vulnerabilidades a las que están
expuestas los activos.
45. AI04 27001
AI04 45
Modelo PDCA o Ciclo de Deming
(Do) Ejecución.
1. Gestión de Riesgos: reducir riesgos con una
selección de controles de seguridad.
2. Implantación de controles de seguridad.
3. Concienciación y formación del personal de la
empresa.
(Check) Seguimiento.
1. Evalúa eficacia y éxito de controles.
2. Se utilizan registros e indicadores.
46. AI04 27001
AI04 46
Modelo PDCA o Ciclo de Deming
(Act) Mejora
Mantenimiento del sistema mediante medidas:
1. Correctoras.
2. Preventivas.
3. Mejora.
Nuevo ciclo PDCA. Cada ciclo abarca un año
condicionado por las certificaciones anuales.
47. AI04 27001
AI04 47
Modelo PDCA o Ciclo de Deming
PREVIO
Compromiso de la dirección
Planificación
Fechas
Responsable
PLAN
Alcance
Políticas
Metodología AR
AR
Activos
Amenazas
Vulnerabilidades
Impactos
Selección de controles y
SOA
DO
Definir plan de gestión de
riesgos
Implantar plan de gestión
de riesgos
Implementar controles
Formación y concienciación
Operar SGSI
CHECK
Revisar SGSI
Medir eficacia controles
Revisar riesgos residuales
del Realizar auditorías
internas SGSI
Registrar acciones y
eventos
ACT
Implantar mejoras
Acciones correctivas
Acciones preventivas
Comprobar eficacia de las
acciones
48. AI04 27001
AI04 48
SGSI: documentación
Políticas.
1. Bases de la gestión de la seguridad.
2. Líneas generales para conseguir objetivos.
3. Definen y asignan responsabilidades.
4. Ej. Un objetivo puede ser el salvaguardar la
información o la formación y concienciación.
Procedimientos.
1. Desarrollan objetivos y como alcanzarlos.
2. Ej. Procedimiento salvaguardia o backup.
49. AI04 27001
AI04 49
SGSI: documentación
Instrucciones.
1. Desarrollan los procedimientos.
2. Descripciones técnicas.
3. Ej. Cómo ejecutar una salvaguardia.
Registros.
1. Evidencian la implantación del sistema.
2. Métricas e indicadores para evaluar el
funcionamiento de las medidas de seguridad y la
consecución de objetivos.
3. Ej. Resultado de la salvaguardia.
50. AI04 27001
AI04 50
Índice
2. SGSI: UNE-ISO/IEC 27001
2.1 Implantación de un SGSI 27001 (SGSI-05)
2.2 Definición políticas, organización y alcance
(SGSI-06)
Introducción
Política de Seguridad
Organización de la Seguridad
Dinámica
Cultura de seguridad
Dinámica: ejemplo de Política de Seguridad
51. AI04 27001
AI04 51
Introducción
Aspectos fundamentales en el diseño del SGSI.
1. Alcance del sistema.
2. Política de Seguridad.
3. Organización de la seguridad.
4. Programas de concienciación y formación.
Alcance del SGSI.
1. Áreas o procesos de la organización.
2. Recursos.
3. Definir procesos críticos.
52. AI04 27001
AI04 52
Política de Seguridad
1. Directrices generales.
2. Compromiso de la dirección.
3. Legislación vigente.
4. Normativa sectorial.
5. Qué se va a proteger, por qué y de quién o de
qué.
6. Identificar riesgos.
7. Pautas ante incidentes.
8. Responsabilidades.
53. AI04 27001
AI04 53
Política de Seguridad
Requisitos a cumplir por la política.
1. Redactada de forma accesible para todo el
personal: breve.
2. Aprobada por la dirección.
3. Consulta y distribución libre en la organización.
4. Referente para resolución conflictos.
5. Quién está autorizado a acceder a la
información.
6. Se protege a las personas, información e imagen
(reputación)
7. Personalizada para cada organización.
8. Reglas, normas y medidas de seguridad.
54. AI04 27001
AI04 54
Política de Seguridad
Contenido de la Política.
1. Definición de seguridad de la información.
a. Objetivos.
b. Alcance.
2. Declaración de la dirección apoyando objetivos
de la seguridad de la información.
3. Definición de responsabilidades: roles no
personas. Ej. Documento de Seguridad de la
LOPD.
4. Breve explicación políticas sectoriales.
5. Referencias a documentación que sustenta
política.
55. AI04 27001
AI04 55
Política de Seguridad
Actualización y revisión continua.
1. Ante incidentes de seguridad.
2. Ante cambios importantes.
a. De estructura de la organización.
b. Nuevos sistemas de información.
c. Fusiones.
d. Tras auditorías sin éxito.
¿Ejemplos?
56. AI04 27001
AI04 56
Organización de la Seguridad
Organización de la seguridad con asignación de
responsabilidades.
Actores principales:
1. Comité dirección.
1. Tiene máximas responsabilidades.
2. Aprueba decisiones de alto nivel.
2. Responsable seguridad: coordinada seguridad.
3. Comité gestión.
1. Desarrolla las decisiones de alto nivel.
2. Coordina la implantación de la seguridad.
3. Representación de diferentes departamentos.
4. Propietarios de la información.
5. Usuarios.
57. AI04 27001
AI04 57
Organización de la Seguridad
Acuerdos de confidencialidad.
1. Identificar riesgos.
2. Personal interno.
3. Personal externo.
4. Clientes.
Concienciación y formación del personal: cultura de
seguridad.
¿Contenido?
58. AI04 27001
AI04 58
Cultura de seguridad
1. Si no lo hacen ellos, yo tampoco. Uno de los
primeros aspectos a tener en cuenta, de cara a
conseguir el buen uso de los recursos e
infraestructuras, es que todos los empleados tienen
que cumplir, desde el gerente o el responsable, hasta
el administrativo.
2. Formación e información. En muchas ocasiones, el
empleado, realiza un uso inadecuado por
desconocimiento o falta de información.
3. Hábitos, usos y responsabilidad. Por pequeña que
sea la empresa u organización, es necesario contar
con una guía de buenas prácticas.
4. Soluciones de seguridad y medios técnicos.
(www.inteco.es)
59. AI04 27001
AI04 59
Dinámica
Política de Seguridad de la Información
Generalidades
La información …
… cumplimiento de los objetivos …
… cultura organizacional.
… compromiso …
Objetivo
Proteger los recursos …
Alcance
Esta Política se aplica en todo el Organismo ...
Responsabilidad
… obligatoria para todo el personal …
… incumplimiento de la Política …
POLÍTICA SEGURIDAD
60. AI04 27001
AI04 60
Índice
1. Introducción
2. SGSI: UNE-ISO/IEC 27001
3.Análisis de riesgos
3.1 Los activos de Seguridad de la Información
(SGSI-07)
3.2 Análisis y valoración de riesgos. Metodologías
(SGSI-08)
4. Gestión de los riesgos: UNE-ISO/IEC 27002
5. Seguimiento SGSI
6. Auditoría y certificación SGSI
7. Bibliografía
61. AI04 27001
AI04 61
Índice
3.1 Los activos de Seguridad de la Información
(SGSI-07)
Introducción
Activos
Inventario y propietario
Dependencias
Valor y ACID
62. AI04 27001
AI04 62
Introducción
Activo (www.rae.es)
9. m. Econ. Conjunto de todos los bienes y derechos
con valor monetario que son propiedad de una
empresa, institución o individuo, y que se reflejan en
su contabilidad.
Activos (Magerit)
Recursos del sistema de información o relacionados
con éste, necesarios para que la Organización
funcione correctamente y alcance los objetivos
propuestos por su dirección.
¿Ejemplos?
¿Ejemplos?
63. AI04 27001
AI04 63
Activos
¿Qué activos debemos proteger?
Información: núcleo del sistema
Servicios: procesos de negocio que se ofrecen al
exterior (e-comercio) o internos (nóminas).
Aplicaciones software.
Equipos informáticos.
Redes comunicaciones: para el movimiento de la
información.
1. Propias.
2. Contratadas.
64. AI04 27001
AI04 64
Activos
¿Qué activos debemos proteger?
Soportes de información: USB, discos, correos
electrónicos, etc.
Equipamiento auxiliar: soporte a equipos de
proceso, destrucción documentación, climatización,
detección y extinción de incendios.
Instalaciones: oficinas, CPD, vehículos, etc.
Intangibles: reputación, imagen y confianza.
Personal: activo principal. Internos y externos.
65. AI04 27001
AI04 65
Inventario y propietario
Inventario de activos.
1. Identificación.
2. Clasificación.
3. Valoración
4. Definición del propietario.
Propietario.
Define valor y nivel de seguridad necesario.
No es quién gestiona el activo.
Ej. BD empleados es propiedad de Dirección de
Personas, es gestionada por sistemas y es accedida
por los usuarios. ¿Quién autoriza el acceso a la
información? Propietario de la información
66. AI04 27001
AI04 66
Dependencias
Análisis de dependencias entre activos
Quién o qué depende de quién o de qué.
Ej. Si falla activo X, ¿qué otros activos se ven
perjudicados?
Árbol de activos: dependencias entre activos.
Servicio + Aplicación + SGBD+S.O. + Ordenadores +
Electricidad +CPD+¿Personas?+Oficinas+ ¿Imagen?
Valor de un activo
Valoración de activos según relevancia e impacto si
son atacados.
¿Ejemplos?
67. AI04 27001
AI04 67
Valor y ACID
Valoración activos según dimensiones ACID
Disponibilidad: ¿qué perjuicio causaría no tener el
sistema o servicio disponible o no poder utilizarlo?
Confidencialidad: ¿qué daño causaría que la
información la conociera quien no debe?
Integridad: ¿qué perjuicio causaría que estuviera
dañada o corrupta la información?
Autenticidad: ¿qué perjuicio causaría no saber
exactamente quien es realmente quien accede al
servicio o a la información? ¿Dependencias?
68. AI04 27001
AI04 68
Valor y ACID
TRAZABILIDAD
AUTENTICIDAD
INTEGRIDAD
CONFIDENCIALIDAD
DISPONIBILIDAD
69. AI04 27001
AI04 69
Valor
Valoración de un activo
1. Cualitativa (1-10 o B/M/A) con criterio
homogéneo para comparar.
2. Cuantitativa: valor económico del activo.
¿Qué impacto hay si alguien accede a la BD de
clientes y modifica la información sin permiso? ACIDT
Bajo: valor del activo es (B) bajo o 2 unidades.
Medio : valor del activo es (M) medio o 5 unidades.
Alto: valor del activo es (A) alto 9 unidades.
Técnicas
Entrevista y encuesta: localizar y definir activos.
70. AI04 27001
AI04 70
Índice
3.2 Análisis y valoración de riesgos. Metodologías
(SGSI-08)
Definiciones
Características
Proceso de análisis
Metodologías
71. AI04 27001
AI04 71
Definiciones
Análisis de riesgos: proceso sistemático para
estimar la magnitud de los riesgos a que está
expuesta una Organización.
Riesgo: estimación del grado de exposición de un
activo a que una amenaza se materialice sobre uno o
más activos aprovechando una vulnerabilidad
causando daños o perjuicios a la Organización. Qué
le podría pasar a los activos si no se protegen
adecuadamente.
72. AI04 27001
AI04 72
Definiciones
Amenaza: Eventos que pueden desencadenar un
incidente en la Organización, produciendo daños
materiales o pérdidas inmateriales en sus activos.
“Cosas que ocurren que afectan a los activos”.
Vulnerabilidades: Debilidad de un activo o
estimación de la exposición efectiva de un activo a
una amenaza.
Impacto: Consecuencia que sobre un activo tiene la
materialización de una Amenaza.
73. AI04 27001
AI04 73
Definiciones
Riesgo intrínseco: Posibilidad de que se produzca
un impacto en un activo.
Salvaguarda: Procedimiento o mecanismo
tecnológico que reduce el riesgo. Disminuye el
impacto o la probabilidad de que una amenaza se
manifieste aprovechando una vulnerabilidad.
Riesgo residual: Riesgo remanente en el sistema
tras la implantación de las salvaguardas
determinadas en el plan de seguridad de la
información.
74. AI04 27001
AI04 74
Definiciones
Análisis de riesgos: Proceso sistemático para
Identificar activos y riesgos, determinar su
magnitud, identificar áreas afectadas y seleccionar
salvaguardias. Impacto económico de un fallo de
seguridad y la probabilidad de que ocurra. Tiene en
cuenta los recursos económicos y el personal siendo
la inversión proporcional al riesgo.
Ej. Servidor con datos de carácter personal de nivel
básico (dcp) con medidas de protección de coste
elevado (Cifrado). ¿Es desproporcionado?
75. AI04 27001
AI04 75
Análisis de riesgos
Características
1. Proteger activos, en particular los críticos.
2. Apoyar la toma de decisiones.
3. Participación de todas las áreas para evitar que
el propietario del activo no sea objetivo. Ej. Mi
aplicación es muy crítica.
4. Usar criterios definidos que se puedan usar de
forma reiterada. Esto ayuda a poder comparar
situaciones en el tiempo y comparar activos entre
sí según sus valores. Ej. Valoración cualitativa.
5. Uso racional de recursos.
76. AI04 27001
AI04 76
Proceso de Análisis de Riesgos
1.Determinar el inventario de activos. Si es extenso,
reducirlo a los activos críticos. Determinar para
cada activo:
a)Dependencias.
b)Dimensiones ACID.
c)Valoración.
d)Vulnerabilidades.
2.Identificar y valorar las posibles amenazas sobre
los activos.
a)Frecuencia con que pueden ocurrir.
b)Degradación que producen en lo activos.
¿Ejemplos?
77. AI04 27001
AI04 77
Proceso de Análisis de Riesgos
3. Determinan el impacto para cada activo.
a) Acumulado: Es el calculado sobre un activo teniendo
en cuenta:
i. Su valor acumulado (el propio mas el acumulado de
los activos que dependen de él).
ii. Las amenazas a que está expuesto.
b) Repercutido: Es el calculado sobre un activo teniendo
en cuenta:
i. Su valor propio.
ii. Las amenazas a que están expuestos los activos de
los que depende.
¿Ejemplos?
78. AI04 27001
AI04 78
Proceso de Análisis de Riesgos
4. Determinar riesgos conociendo:
a) El impacto de las amenazas sobre los activos.
b) Frecuencia de las amenazas.
5. Salvaguardias.
a) Análisis de salvaguardias ya implantadas.
b) Selección de salvaguardias.
6. Impacto residual: determinar de nuevo el riesgo.
4. Riesgo residual: asumir el riesgo residual por
parte de la dirección. ¿Ejemplos?
79. AI04 27001
AI04 79
Metodologías AR
Usar herramienta AR.
1. Propia: definida internamente.
2. Magerit: Organismos públicos.
3. ISO/IEC 27005
4. OCTAVE del SEI.
5. NIST SP 800-30.
Dinámicas
AR Micro Pilar.
AR Kanban.
81. AI04 27001
AI04 81
Índice
1. Introducción
2. SGSI: UNE-ISO/IEC 27001
3. Análisis de riesgos
4.Gestión de los riesgos
4.1 ISO/IEC 27002 (SGSI-09)
4.2 Planes de continuidad de negocio (SGSI-11)
5. Seguimiento SGSI
6. Auditoría y certificación SGSI
7. Bibliografía
82. AI04 27001
AI04 82
Índice
4.1 ISO/IEC 27002 (SGSI-09)
1. Introducción
2. Opciones para afrontar el riesgo
3. ISO/IEC 27002
4. SOA
5. Dinámica
83. AI04 27001
AI04 83
Introducción
Gestión de riesgos: selección e implantación de
salvaguardas para conocer, prevenir, impedir,
reducir o controlar los riesgos identificados.
¿Dónde seleccionamos las salvaguardias?
ISO/IEC 27002
Conjunto de buenas prácticas para la seguridad de
los sistemas de información.
84. AI04 27001
AI04 84
Opciones para afrontar riesgos
1. Eliminar riesgo.
a) Eliminar activos.
b) Costoso para la organización.
2. Transferir riesgos.
a) Subcontratación o seguros.
b) Activo confidencial: no subcontratar.
c) ¿El valor del activo es superior al del seguro?
3. Asumir el riesgo.
a) No se toman medidas.
b) Asumido por la dirección.
4. Mitigar el riesgo mediante la implantación de:
a) Medidas
b) Controles.
c) Salvaguardias.
¿…?
85. AI04 27001
AI04 85
ISO/IEC 27002
Riesgo residual tras implantar salvaguardias y
realizar un nuevo AR: aceptado por dirección.
ISO/IEC 27002
1. Buenas practicas con guía de controles.
2. 11 dominios o áreas funcionales de seguridad.
3. 39 Objetivos de control.
4. 133 controles o medidas de seguridad.
Dominio OC controles.
OC: qué se quiere conseguir en cada dominio.
Control: su objetivo es mitigar el riesgo para que
esté por debajo del riesgo asumido.
87. AI04 27001
AI04 87
ISO/IEC 27002
Política de Seguridad
Organización de la
Seguridad
Gestión de activos Control de accesos
Cumplimiento legal
Seguridad
Física
Seguridad
RRHH
Gestión
incidentes
Continuidad
de negocio
Gestión
comunicac.
Sistemas de
Información
Seguridad organizativa
Seguridad lógica
Seguridad física
Seguridad legal
88. AI04 27001
AI04 88
ISO/IEC 27002
A.6 Organización de la
Seguridad de la
Información
A.6.1 Organización Interna.
A.6.1.1 Compromiso de
la gerencia con la
seguridad de la
información.
A.6.1.2 - A.6.1.7
A.6.1.8 Revisión
independiente de la
seguridad de la
información.
A.6.2 Entidades
externas.
A.6.2.1 Identificación
de riesgos
relacionados con
entidades externas.
A.6.2.2 – A.6.2.3
89. AI04 27001
AI04 89
ISO/IEC 27002
Naturaleza del control
1. Técnico.
a) Antivirus o cortafuegos.
b) Documentados en procedimientos.
2. Organizativo. Documentados en:
a) Procedimientos.
b) Normativas.
c) Políticas de seguridad.
¿Ejemplos?
¿Ejemplos?
90. AI04 27001
AI04 90
ISO/IEC 27002
SOA (Statement of Applicability)
1. Controles seleccionados o que aplican.
a) Objetivos a conseguir con la implantación del
control.
b) Documentación en el que se explica su
implantación (procedimientos o normativas).
2. Controles que no aplican.
a) Por qué no aplican de forma detallada y
razonada.
¿Ejemplos?
91. AI04 27001
AI04 91
ISO/IEC 27002
Seleccionar control.
1. Coste control frente al coste del activo a proteger.
2. Disponibilidad control.
3. Qué controles existen.
Implantar controles.
1. Recursos económicos y humanos necesarios.
Revisión de controles para comprobar que funcionan
por parte del propietario de forma periódica.
1. Auditorías internas y externas.
2. Objetivos e indicadores del control (Métricas)
para la revisión.
¿Ejemplos de métricas?
92. AI04 27001
AI04 92
Dinámica ISO/IEC 27002
Bibliografía: ISO 27002 PERU
Pág. 19: 5. POLÍTICA DE SEGURIDAD
Pág. 19: 5.1 Política de seguridad de la información
Pág. 22: 6. ASPECTOS ORGANIZATIVOS PARA LA
SEGURIDAD
Pág. 31: 6.2 Seguridad en los accesos de terceras partes
Pág. 35: 6.2.3 Requisitos de seguridad en contratos de
outsourcing.
Pág. 110: 11. CONTROL DE ACCESOS
Pág. 107: 11.2 Gestión de acceso de usuarios
Pág. 110: 11.2.3 Gestión de contraseñas de usuario
93. AI04 27001
AI04 93
Índice
4.2 Planes de continuidad de negocio (SGSI-11)
Introducción
Plan de Contingencia Informático (PCI)
Plan de Continuidad de Negocio (PCN)
Fases del desarrollo de un PCN
Ejemplo PCI
94. AI04 27001
AI04 94
Introducción
1. El negocio de una empresa depende de la
información y los sistemas que la soportan.
2. Existen situaciones imposibles de evitar ya que es
costoso proteger el 100% los activos.
¿Ejemplos?
3. Tratar que las actividades de las empresas no
queden interrumpidas.
4. Fallos eléctricos causan el 90% de incendios: uso
material no adecuado, mal dimensionamiento del
sistema o electricistas sin preparación adecuada.
95. AI04 27001
AI04 95
Introducción
1. De las empresas que sufren un desastre:
a) 43% empresas sufren desastres de las que no se
recuperan.
b) 51% sobrevive pero tarda 2 años en volver al mercado.
c) 6% mantiene negocio a largo plazo.
2. 30 % de copias y 50% restauraciones fallan.
3. Causas principales de paradas no planificadas superiores
a 30 minutos
1. 32% (errores humanos)
2. 44% (errores en HW y SW)
3. 7% (virus informáticos)
4. 3% (desastres naturales)
5. 14% (otros) Fuente: OnTrack Data Int, 2001
96. AI04 27001
AI04 96
Introducción
1. Más de la mitad de las pequeñas empresas del
Reino Unido, Francia y Alemania están operando
sin un plan formal de recuperación ante fallos
informáticos.
2. 58% de las pequeñas empresas (50-250
empleados) no tiene un plan formal de
recuperación ante desastres.
3. Casi una quinta parte de las empresas medianas
(250 – 1.000 empleados) está en la situación
anterior.
(Fuente: Quest Software España)
97. AI04 27001
AI04 97
Introducción
4. Una de cada cinco pymes nombra la protección
de datos como una de sus principales prioridades
en los planes de gastos de TI.
5. 92% sigue usando el backup y la recuperación
tradicional.
6. “La planificación ante los fallos no debe ser un
elemento secundario o que se pase por alto por
cualquier organización, independientemente de su
tamaño. La información es esencial para el éxito
de toda organización y las empresas deben hacer
más para mantener protegido su activo más
importante”.
(Fuente: Quest Software España)
99. AI04 27001
AI04 99
Plan de Contingencia Informático (PCI)
Plan de Continuidad de Negocio (PCN)
vs
Plan de Contingencia Informático (PCI)
PCI o DRP (Plan para la Recuperación antes Desastres)
1. Objetivo: Impedir que el servicio informático se interrumpa.
2. Se dispone de un centro informático o infraestuctura de respaldo.
Alternativas:
1. Propio: grandes empresas.
2. Housing: alquilar un espacio físico de un centro de datos para
que el cliente coloque ahí su propio ordenador. La empresa le
da la corriente y la conexión a Internet, pero el servidor lo
elige completamente el cliente, incluso el hardware.
3. Hosted: alquilar una infraestructura física y lógica completa
donde se ejecuten nuestras aplicaciones.
100. AI04 27001
AI04 100
Plan de Continuidad de Negocio
Plan para la Recuperación antes Desastres
+
Plan para el Restablecimiento del Negocio
=
Plan de Continuidad de Negocio
Objetivos del PCN:
1. Impedir que la actividad de la empresa se interrumpa.
2. Tiempo de inactividad sea el mínimo dependiendo de
cada organización (horas o días).
3. Mantener nivel de servicio.
4. Recuperar situación inicial de servicios y procesos según
la criticidad de los mismos.
5. Ofrecer servicio al cliente y mantener la imagen.
101. AI04 27001
AI04 101
Plan de Continuidad de Negocio
El PCN está formado por:
1. El plan de respaldo. Contempla las contramedidas
preventivas antes de que se materialice una amenaza. Su
finalidad es evitar dicha materialización. Incluye el PCI.
2. El plan de emergencia. Contempla las contramedidas
necesarias durante la materialización de una amenaza, o
inmediatamente después. Su finalidad es paliar los efectos
adversos de la amenaza.
3. El plan de recuperación. Contempla las medidas
necesarias después de materializada y controlada la
amenaza. Su finalidad es restaurar el estado de las cosas
tal y como se encontraban antes de la materialización de la
amenaza.
102. AI04 27001
AI04 102
Fases del desarrollo de un PCN
1. Definición: objetivos, alcance y escenarios posibles.
2. Análisis de impacto en el negocio, BIA (Business Impact
Analysis)
a) Análisis de riesgos.
b) Evaluar el impacto económico y de cualquier tipo.
c) Procesos y activos críticos.
d) Tiempo objetivo de recuperación.
e) Evaluar coberturas de seguros y contratos.
3. Selección de estrategias
a) Recursos disponibles.
b) Evaluar salvaguardas.
c) Evaluar solución interna o externa.
d) Evaluar estrategias y seleccionar la más conveniente.
103. AI04 27001
AI04 103
Fases del desarrollo de un PCN
4. Desarrollo de los planes mediante procedimientos.
a) Plan de respaldo.
b) Plan de emergencia.
c) Plan de recuperación.
5. Pruebas de forma periódica y mantenimiento para incluir
actualizaciones.
a) Restauración de copias.
b) Coordinación del personal y departamentos.
c) Verificar conectividad de los datos.
d) Rendimiento de los sistemas alternativos.
e) Verificación para la notificación de incidencias.
f) Procedimiento de vuelta a la situación inicial.
g) Prueba y simulación de los planes.
104. AI04 27001
AI04 104
Práctica PCI - Supuesto
Pequeña compañía que se dedica a la producción de prendas
textiles. Un análisis de riesgos identificaría :
Activos e interdependencias: Oficinas centrales → Centro
de proceso de datos → Ordenadores y almacenamiento →
Información de pedidos y facturación → Servicio de negocio
de ventas → Imagen corporativa
Este análisis demuestra que una amenaza materializada en
las oficinas centrales podría llegar a afectar al proceso de
negocio dedicado a la venta. Aunque esto no impida a la
compañía seguir comercializando productos, supondría una
interrupción temporal de las ventas. Además afectaría
negativamente a la imagen corporativa provocando la
pérdida de clientes. www.wikipedia.org
105. AI04 27001
AI04 105
Práctica PCI - Amenaza Impactos
Amenaza: Incendio. (los activos afectados son los anteriores).
Impactos
1. Perdida de un 10% de clientes.
2. Imposibilidad de facturar durante un mes.
3. Imposibilidad de admitir pedidos durante un mes.
4. Reconstrucción manual de pedidos y facturas a partir de
otras fuentes.
5. Sanciones por accidente laboral.
6. Inversiones en equipamiento y mobiliario.
7. Rehabilitación del local.
Todas estas consecuencias (impactos) pueden valorarse en
términos monetarios, que junto a la probabilidad de
materialización ofrecen una estimación del riesgo. www.wikipedia.org
106. AI04 27001
AI04 106
Práctica PCI – Medidas
1. Medidas técnicas:
1. Extintores contra incendios.
2. Detectores de humo.
3. Salidas de emergencia.
4. Equipos informáticos de respaldo.
2. Medidas organizativas:
1. Seguro de incendios.
2. Precontrato de alquiler de equipos informáticos y ubicación
alternativa.
3. Procedimiento de copia de respaldo.
4. Procedimiento de actuación en caso de incendio.
5. Contratación servicio de auditoría de riesgos laborales.
3. Medidas humanas:
1. Formación para actuar en caso de incendio.
2. Designación de un responsable de sala.
3. Asignación de roles y responsabilidades para la copia de
respaldo. www.wikipedia.org
107. AI04 27001
AI04 107
Práctica PCI – Planes
1. Plan de respaldo:
1. Revisión de extintores.
2. Simulacros de incendio.
3. Realización de copias de respaldo.
4. Custodia de las copias de respaldo (por ejemplo, en la caja fuerte
de un banco).
5. Revisión de las copias de respaldo.
2. Plan de emergencia:
1. Activación del precontrato de alquiler de equipos informáticos.
2. Restauración de las copias de respaldo.
3. Reanudación de la actividad.
3. Plan de recuperación:
1. Evaluación de daños.
2. Traslado de datos desde la ubicación de emergencia a la habitual.
3. Reanudación de la actividad.
4. Desactivación del precontrato de alquiler.
5. Reclamaciones a la compañía de seguros. www.wikipedia.org
108. AI04 27001
AI04 108
Índice
1. Introducción
2. SGSI: UNE-ISO/IEC 27001
3. Análisis de riesgos
4. Gestión de los riesgos: UNE-ISO/IEC 27002
5.Seguimiento SGSI (SGSI-10)
6. Auditoría y certificación SGSI
7. Bibliografía
110. AI04 27001
AI04 110
Introducción
Revisión periódica del SGSI para comprobar que se
cumplen objetivos.
Seguimiento usando indicadores o métricas para
cada control.
Basado en información y datos (métricas) que se
almacenan en registros.
Revisión gerencial del SGSI: ciclo PDCA.
Resultado: mejora continua del SGSI.
111. AI04 27001
AI04 111
Métricas
Ej. Indicador: nº de incidentes de seguridad graves.
13.2 Gestión de incidentes de seguridad de la
información. Pág. 158
1. Número y gravedad de incidentes; evaluaciones
de los costes de analizar, detener y reparar los
incidentes y cualquier pérdida tangible o intangible
producida.
2. Porcentaje de incidentes de seguridad que han
causado costes por encima de umbrales
aceptables definidos por la dirección.
112. AI04 27001
AI04 112
Métricas
Ej. Indicadores relativos a copias de seguridad.
10.5 Copias de seguridad. Pág 79
1. Porcentaje de operaciones de backup exitosas.
2. Porcentaje de recuperaciones de prueba
exitosas.
3. Tiempo medio transcurrido desde la recogida de
los soportes de backup de su almacenamiento
fuera de las instalaciones hasta la recuperación
exitosa de los datos en la ubicación principal.
4. Porcentaje de backup y archivos con datos
sensibles o valiosos que están cifrados.
113. AI04 27001
AI04 113
Revisión de la dirección
1. Auditorías internas o externas del SGSI.
Pág 176 (15.2)
2. Informes del comité de gestión al comité de
dirección: estado del sistema y acciones a tomar
por la dirección.
3. Informes de los diversos actores.
4. Resumen de incidencias detectadas y soluciones
propuestas.
5. Resumen de mediciones basadas en métricas.
6. Revisión de objetivos y grado de cumplimiento.
7. Cambios en el SGSI. ¿Ejemplos?
8. Nuevas evaluaciones de riesgos.
114. AI04 27001
AI04 114
Revisión de la dirección
Tras la revisión de la dirección
1. Plan de acción.
a) Mejoras a llevar a cabo.
b) Repercusiones económicas y laborales.
c) Prioridades.
2. Actualizar análisis de riesgos.
3. Actualizar SOA.
4. Actualizar procedimientos y controles.
5. Mejoras en la métricas de los controles.
6. Ciclo de mejora continua: fase “actuar” del ciclo
PDCA.
115. AI04 27001
AI04 115
Mejoramiento continuo
1. Acciones correctivas.
a) Identificar no conformidades.
b) Determinar las causas de la no conformidades.
c) Definir e implementar las acciones correctivas.
d) Revisar resultados.
¿Ejemplos?
2. Acciones preventivas.
a) Identificar no conformidades potenciales.
b) Determinar las causas de la no conformidades.
c) Definir e implementar las acciones correctivas.
d) Revisar resultados.
¿Ejemplos?
117. AI04 27001
AI04 117
Índice
1. Introducción
2. SGSI: UNE-ISO/IEC 27001
3. Análisis de riesgos
4. Gestión de los riesgos: UNE-ISO/IEC 27002
5. Seguimiento SGSI
6.Auditoría y certificación SGSI
6.1 Auditoría ISO/IEC 27007
6.2 Certificación (SGSI-12)
6.3 Caso práctico
7. Bibliografía
118. AI04 27001
AI04 118
Índice
6.1 Auditoría ISO/IEC 27007
Introducción
ISO 19011
Fases del proceso de auditoría
Fase 0
Fase 1
Fase 2
Fase 3
119. AI04 27001
AI04 119
Introducción
Auditoría. (www.rae.es)
f. Revisión sistemática de una actividad o de una
situación para evaluar el cumplimiento de las reglas
o criterios objetivos a que aquellas deben
someterse.
Origen ISO/IEC 27007
1. ISO 19011 Directrices para la auditoría de
Sistemas de Gestión de la calidad/ambiental.
2. ISO/IEC 27001 SGSI.
120. AI04 27001
AI04 120
Auditoría (ISO 19011)
Proceso sistemático, independiente y documentado
para obtener evidencias y evaluarlas de una manera
objetiva con el fin de determinar la extensión en que
se cumplen los criterios del referente utilizado.
(norma legal o estándar).
Proceso (www.rae.es)
3. m. Conjunto de las fases sucesivas de un
fenómeno natural o de una operación artificial.
Independiente (www.rae.es)
3. adj. Dicho de una persona: Que sostiene sus
derechos u opiniones sin admitir intervención ajena.
121. AI04 27001
AI04 121
Auditoría (ISO 19011)
Proceso sistemático, independiente y documentado para
obtener evidencias y evaluarlas de una manera objetiva con
el fin de determinar la extensión en que se cumplen los
criterios del referente utilizado. (norma legal o estándar).
Evidencias (ISO 19011)
Registros, declaraciones de hecho o cualquier otra
información que son pertinentes según el referente
de auditoría y que son verificables.
Referente
1. Término modélico de referencia. (www.rae.es)
2. Noma legal o estándar cuyo cumplimiento se
desea verificar.
122. AI04 27001
AI04 122
Fases del proceso de auditoría
1. Fase 0.
a) Actividades previas internas.
b) Actividades previas externas.
2. Fase 1.
a) Revisión documentación.
b) Preparación de las actividades de auditoría in
situ.
3. Fase 2.
a) Presentación auditoría.
b) Realización de las actividades de auditoría in
situ.
4. Fase 3.
a) Informes.
b) Actividades posteriores.
123. AI04 27001
AI04 123
Fase 0 Proceso Auditoría
1. Designación auditor jefe.
2. Objetivos, alcance y referente.
a) Objetivos.
I. Definidos por el cliente.
II. ¿Qué se quiere conseguir con la auditoría?
Ejemplos:
i. Grado de conformidad del SGSI con el
referente.
ii. Evaluar eficacia del SGSI.
iii. Identificar áreas de mejora.
b) Alcance: áreas, departamentos o sistemas de la
empresa a auditar.
c) Referente: criterios a cumplir.(UNE-ISO/IEC
27001)
124. AI04 27001
AI04 124
Fase 0 Proceso Auditoría
1. Viabilidad de la auditoría. Depende de:
1. Documentación e información suficiente.
2. Disponibilidad de cooperación.
3. Disponibilidad de tiempo y recursos.
2. Equipo auditor.
1. Competencia.
2. Independencia.
3. Habilidades sociales y de diálogo.
4. Apoyados por expertos técnicos.
3. Contacto inicial con el auditado.
1. Definir canales de comunicación.
2. Definir interlocutor principal.
3. Acordar planificación y reglas de diálogo.
4. Acordar guías de auditoría.
5. Solicitar documentación.
125. AI04 27001
AI04 125
Fase 1 Proceso Auditoría
1.Revisión documentación.
a) Políticas.
b) Procedimientos.
c) Instrucciones o normas técnicas.
d) Registros.
e) Evidencias iniciales.
2.Evidencias documentales.
3.Evaluar viabilidad del proceso de auditoría.
126. AI04 27001
AI04 126
Fase 1 Proceso Auditoría
2. Preparación de las actividades de auditoría in situ.
a) Plan de auditoría.
I. Objetivos, alcance y referente.
II. Fechas y lugares.
III. Detalle de actividades del “trabajo de campo”.
IV. Funciones de los miembros del equipo auditor.
V. Recursos logísticos.
VI. Interlocutor.
VII. Estructura del informe.
VIII.Confidencialidad.
b) Asignación tareas al equipo auditor.
c) Documentos de trabajo.
I. Listas de verificación.
II. Registros de hallazgos y evidencias.
127. AI04 27001
AI04 127
Fase 2 Proceso Auditoría
Realización de las actividades de auditoría in situ.
1. Reunión de apertura.
I. Presentación equipo auditoría.
II. Confirmar objetivos, alcance y referente.
III. Técnicas de auditoría.
IV. Acordar método de comunicación.
V. Recursos e instalaciones necesarias.
VI. Disponibilidad de guías.
VII.Acciones posteriores a fase 2.
2. Comunicación durante la auditoría.
3. Funciones de guías y observadores.
4. Recopilación y verificación de la información.
1. Fuente de información.
2. Evidencia: información verificada. ¿Ejemplos?
3. Hallazgo: evidencia contrastada con el referente.
5. Conclusiones
6. Reunión de cierre.
128. AI04 27001
AI04 128
Fase 3 Proceso Auditoría
1.Informe provisional.
2.Alegaciones.
1.Desacuerdos de la organización auditada.
2.Auditor estudia las alegaciones:
a) Asume la alegación y modifica el informe.
b) Argumenta la no modificación del informe.
3.Informe definitivo.
a) Evidencias.
b) Recomendaciones.
4.Plan de acción.
a) Acciones de mejora.
b) Planificación y asignación.
5.Auditoría de revisión.
129. AI04 27001
AI04 129
Índice
6.2 Certificación (SGSI-12)
Introducción
Entidad de acreditación
Entidad de certificación
Proceso de certificación
Sellos certificación
130. AI04 27001
AI04 130
Introducción
Un tercero (entidad de certificación) de confianza
certifica que la empresa gestiona la seguridad de
forma correcta.
Razones: Por imagen, porque lo demandan sus
clientes o por qué es bueno para su funcionamiento
interno.
Sistema implantado y funcionando y hay evidencias
que lo demuestran.
131. AI04 27001
AI04 131
Entidad de acreditación
Entidades de certificación son acreditadas por ENAC
(www.enac.es) u otras en el mundo. ENAC valida las
entidades acreditadas por otras entidades de
acreditación de fuera de España para que puedan
operar en España.
BSI no está acreditada por ENAC sino por UKAS
(www.ukas.com).
ENAC ha reconocido a UKAS.
BSI puede certificar en España.
132. AI04 27001
AI04 132
Entidad de certificación
www.aenor.es
AENOR, entidad española, privada, independiente, sin ánimo
de lucro, reconocida en los ámbitos nacional, comunitario e
internacional, contribuye, mediante el desarrollo de las
actividades de normalización y certificación (N+C), a
mejorar la calidad en las empresas, sus productos y
servicios, así como proteger el medio ambiente y, con ello, el
bienestar de la sociedad.
www.bsigroup.es
www.applus.com/
www.bureauveritas.es
133. AI04 27001
AI04 133
Proceso de certificación
1. Fase 0: Se pide oferta a entidad de certificación.
2. Fase 1: Auditoría documental: revisión documentación:
1. Política.
2. Alcance certificación.
3. AR.
4. SOA.
5. Revisión de la documentación de los controles
seleccionados.
6. Conclusiones iniciales.
3. Fase 2: Auditoría in-situ.
1. Revisar controles y registros.
2. Confirmar que la organización cumple sus políticas y
procedimientos.
3. SGSI es conforme a la norma.
4. SGSI consigue objetivos definidos.
134. AI04 27001
AI04 134
Proceso de certificación
4. Informe de auditoría
1.Todo OK.
2.Observaciones sin mucha relevancia
3.No conformidades menores Plan de acciones
correctivas.
4.No conformidades mayores No certificación y
tienen que ser subsanadas, auditoria
extraordinaria.
5.Certificado: 3 años con revisiones anuales.
6.3 años: auditoría de revisión. +1 y +2 auditorías de
seguimiento.
136. AI04 27001
AI04 136
AI04.3 Caso práctico auditoría
Teniendo como referente de auditoría la UNE-
ISO/IEC 27002, analizar para cada evidencia (AI04
Evidencias a analizar.pdf):
¿Constituye HALLAZGO de auditoría?
En caso afirmativo: ¿con qué CRITERIO de
auditoría se relaciona?
En caso negativo, ¿por qué no es HALLAZGO?
¿Da lugar a una CONCLUSIÓN de auditoría?
En caso afirmativo, ¿qué se recomendaría?