Este documento presenta los parámetros fundamentales para la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) según la norma ISO 27001:2005. Explica la estructura y cláusulas de la norma, los objetivos de control y controles del Anexo A, y los beneficios de implementar un SGSI. El documento analiza conceptos clave como activos, amenazas, vulnerabilidades, riesgos y controles, y describe el proceso de establecer, implementar, operar, monitorear, revisar y mejor
Normas ISO 27000.
Seguridad Informática. SGSI. Qué son? Quiénes conforman la familia ISO 27000? Qué ventajas brinda? En qué organizaciones se pueden aplicar? Cómo se aplican?
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
Con la creciente importancia de las tecnologías de la información, hay una necesidad urgente de adoptar medidas adecuadas de seguridad de la información. Un sistema de gestión de seguridad de la información (SGSI) es una de las iniciativas más importantes para la gestión de TI [1]. Ya que al menos los informes acerca de privacidad y brechas de seguridad, las prácticas contables fraudulentas, y los ataques a los sistemas de TI. Las organizaciones han reconocido la importancia y la urgente necesidad de incorporar la seguridad de la información, para proteger y garantizar la privacidad y los derechos de la organización. Las normas de seguridad se pueden utilizar como guía o marco para desarrollar y mantener un sistema de gestión de seguridad de la información (SGSI) adecuada. Las normas ISO/IEC 27001 y 27002 son normas internacionales que están recibiendo cada vez mayor reconocimiento y adopción para la seguridad de la información [2]. Con la norma ISO/IEC 27001 Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma.
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN DEL DECANATO DE CIENCIAS Y TECNOLOGÍA - UCLA
Conoce cuáles son los factores del ciclo que se deben cumplir para contar con un Sistemas de Gestión de Seguridad de la Información (SGSI) eficiente en la empresa.
Normas ISO 27000.
Seguridad Informática. SGSI. Qué son? Quiénes conforman la familia ISO 27000? Qué ventajas brinda? En qué organizaciones se pueden aplicar? Cómo se aplican?
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
Con la creciente importancia de las tecnologías de la información, hay una necesidad urgente de adoptar medidas adecuadas de seguridad de la información. Un sistema de gestión de seguridad de la información (SGSI) es una de las iniciativas más importantes para la gestión de TI [1]. Ya que al menos los informes acerca de privacidad y brechas de seguridad, las prácticas contables fraudulentas, y los ataques a los sistemas de TI. Las organizaciones han reconocido la importancia y la urgente necesidad de incorporar la seguridad de la información, para proteger y garantizar la privacidad y los derechos de la organización. Las normas de seguridad se pueden utilizar como guía o marco para desarrollar y mantener un sistema de gestión de seguridad de la información (SGSI) adecuada. Las normas ISO/IEC 27001 y 27002 son normas internacionales que están recibiendo cada vez mayor reconocimiento y adopción para la seguridad de la información [2]. Con la norma ISO/IEC 27001 Las organizaciones pueden obtener la certificación para demostrar que cumplen con todos los puntos obligatorios de la norma.
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN DEL DECANATO DE CIENCIAS Y TECNOLOGÍA - UCLA
Conoce cuáles son los factores del ciclo que se deben cumplir para contar con un Sistemas de Gestión de Seguridad de la Información (SGSI) eficiente en la empresa.
Conceptos básicos de la gestión de riesgosITM Platform
¿Qué es el riesgo? ¿Qué es la gestión de riesgos? Veamos cuales son los conceptos básicos de la gestión de riesgos.
Más información en:
http://itmplatform.com/es/blog/2012/07/09/conceptos-basicos-de-la-gestion-de-riesgos
Bull QualityMaster® es una Solución de Gestión Integral de la Calidad, que adopta los principales estándares y modelos de gestión de calidad y cualquier modelo o metodología: EFQM, ISO9001, ISO14001, ISO 20000, ISO 27001, ISO 15504, ISO 18001 (OSHAS), ITIL, PMI. ISO 45001 (PRL), Metrica, Sollution Selling, GPDR, etc..
Bull QualityMaster® gestiona de forma integral los Procesos y la Calidad en la Organización, incluyendo la gestión de reclamaciones, sugerencias, no conformidades, acciones de mejora, auditorías internas y externas, certificaciones, revisiones, aprobaciones, comunicaciones, indicadores, alertas, que permite realmente a las organizaciones implantar planes de calidad y de mejora contínua, controlar y comunicar sus procesos y abordar certificaciones con garantías de éxito, lo que la convierte en la mejor opción para la implantación de herramientas de Gestión de la Calidad en las organizaciones.
En el marco del I Foro de gestión de pequeñas y medianas factorías de software, José Angel Valderrama Anton, Gerente de Nuevas Tecnologías en Aenor, presenta los dispositivos de calidad que las pequeñas y medianas factorías de software pueden usar.
20_05_2010
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario Ureña
Gestion de continuidad de las Tecnologias de informacion y comunicaciones utilizando el estándar ISO 27031 (antes BS 25777) presentada por Mario Ureña Cuate en el Congreso Internacional de Infraestructura TIC 2011.
[WEBINAR] Nuevos retos en PCI ¿Cuál es su aplicación en BYOD y Cloud Computing?Grupo Smartekh
Este webinar tiene como objetivo principal dar a conocer como puedes aprovechar los mecanismos en seguridad base en cuanto a los requerimientos en PCI-DSS, así mismo aprenderás a asegurar recursos sensibles apegados a Normas como PCI-DSS, de esta forma conocerás todo lo que puede ganar tu organización, solo por cumplir normas como PCI. Contestaremos las preguntas más recurrentes al hablar de BYOD y Cloud Computing.
El temario que se engloba es el siguiente:
Conocer el escenario en cuanto Normatividad o Compliance.
Como la Normatividad contribuye en las organizaciones.
Identificar los retos y cambios en el entorno BYOD y Cloud Computing.
Requerimientos PCi-DSS y como llevarlo a cabo con los controles de seguridad.
Webinar impartido por Víctor Pacheco y Miguel Chávez, el 24 de Enero del 2013 a las 12 hrs.
En este documento analizamos ciertos conceptos relacionados con la ficha 1 y 2. Y concluimos, dando el porque es importante desarrollar nuestras habilidades de pensamiento.
Sara Sofia Bedoya Montezuma.
9-1.
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta in...espinozaernesto427
Las lámparas de alta intensidad de descarga o lámparas de descarga de alta intensidad son un tipo de lámpara eléctrica de descarga de gas que produce luz por medio de un arco eléctrico entre electrodos de tungsteno alojados dentro de un tubo de alúmina o cuarzo moldeado translúcido o transparente.
lámparas más eficientes del mercado, debido a su menor consumo y por la cantidad de luz que emiten. Adquieren una vida útil de hasta 50.000 horas y no generan calor alguna. Si quieres cambiar la iluminación de tu hogar para hacerla mucho más eficiente, ¡esta es tu mejor opción!
Las nuevas lámparas de descarga de alta intensidad producen más luz visible por unidad de energía eléctrica consumida que las lámparas fluorescentes e incandescentes, ya que una mayor proporción de su radiación es luz visible, en contraste con la infrarroja. Sin embargo, la salida de lúmenes de la iluminación HID puede deteriorarse hasta en un 70% durante 10,000 horas de funcionamiento.
Muchos vehículos modernos usan bombillas HID para los principales sistemas de iluminación, aunque algunas aplicaciones ahora están pasando de bombillas HID a tecnología LED y láser.1 Modelos de lámparas van desde las típicas lámparas de 35 a 100 W de los autos, a las de más de 15 kW que se utilizan en los proyectores de cines IMAX.
Esta tecnología HID no es nueva y fue demostrada por primera vez por Francis Hauksbee en 1705. Lámpara de Nernst.
Lámpara incandescente.
Lámpara de descarga. Lámpara fluorescente. Lámpara fluorescente compacta. Lámpara de haluro metálico. Lámpara de vapor de sodio. Lámpara de vapor de mercurio. Lámpara de neón. Lámpara de deuterio. Lámpara xenón.
Lámpara LED.
Lámpara de plasma.
Flash (fotografía) Las lámparas de descarga de alta intensidad (HID) son un tipo de lámparas de descarga de gas muy utilizadas en la industria de la iluminación. Estas lámparas producen luz creando un arco eléctrico entre dos electrodos a través de un gas ionizado. Las lámparas HID son conocidas por su gran eficacia a la hora de convertir la electricidad en luz y por su larga vida útil.
A diferencia de las luces fluorescentes, que necesitan un recubrimiento de fósforo para emitir luz visible, las lámparas HID no necesitan ningún recubrimiento en el interior de sus tubos. El propio arco eléctrico emite luz visible. Sin embargo, algunas lámparas de halogenuros metálicos y muchas lámparas de vapor de mercurio tienen un recubrimiento de fósforo en el interior de la bombilla para mejorar el espectro luminoso y reproducción cromática. Las lámparas HID están disponibles en varias potencias, que van desde los 25 vatios de las lámparas de halogenuros metálicos autobalastradas y los 35 vatios de las lámparas de vapor de sodio de alta intensidad hasta los 1.000 vatios de las lámparas de vapor de mercurio y vapor de sodio de alta intensidad, e incluso hasta los 1.500 vatios de las lámparas de halogenuros metálicos.
Las lámparas HID requieren un equipo de control especial llamado balasto para funcionar
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
1. Portada
www.nexusasesores.com
Parámetros fundamentales para la implantación de un
Sistema de Gestión de Seguridad de la
Información
según
ISO 27001:2005
22 de junio de 2006
Por José Manuel Fernández Domínguez Grupo Nexus Consultores y Auditores
2. Índice
www.nexusasesores.com
INTRODUCCI ÓN
Necesidades de un SGSI y estructura normativa
ESTRUCTURA DE LA NORMA
Cláusulas de ISO 27001:2005 y comentarios
OBJETIVOS DE CONTROL Y CONTROLES
Anexo A de ISO 27001:2005 y comentarios
BENEFICIOS DE UN SGSI
Resumen de algunos beneficios y comentarios
3. Índice
www.nexusasesores.com
INTRODUCCI ÓN
Necesidades de un SGSI y estructura normativa
ESTRUCTURA DE LA NORMA
Cláusulas de ISO 27001:2005 y comentarios
OBJETIVOS DE CONTROL Y CONTROLES
Anexo A de ISO 27001:2005 y comentarios
BENEFICIOS DE UN SGSI
Resumen de algunos beneficios y comentarios
4. Introducción
www.nexusasesores.com
Vulnerabilidades reportadas (Fuente: www.cert.org)
Año 98 99 00 01 02 03 04 05 1C06
Vulnerabilidades
262 417 1090 2437 4129 3784 3780 5990 1597
reportadas
Total de vulnerabilidades reportadas (1998-1C06): 23.486
Notas sobre vulnerabilidades publicadas (Fuente: www.cert.org)
Año 98 99 00 01 02 03 04 05 1C06
Notas sobre vulnerabilidades
8 3 47 326 375 255 341 285 66
publicadas
Notas sobre vulnerabilidades publicadas (1998-1C06): 1.706
Ernst & Young pierde 4 portátiles con información sensible de clientes
(Fuente: http://delitosinformaticos.com/protecciondatos/noticias/114113977812654.shtml - 28-02-06)
Virus revela por segunda vez documentos secretos de central eléctrica japonesa
(Fuente: http://www.laflecha.net/canales/seguridad/noticias/200605242 - 24-05-06)
Detenido hacker que logró transferir 328.400 dólares a su cuenta personal
(Fuente: http://www.maestrosdelweb.com/actualidad/2320 - 26/07/05)
5. Introducción
www.nexusasesores.com
Top Vulnerabilidades en Sistemas Top Vulnerabilidades en Aplicaciones
Windows Cross-Platform
W1. Servicios de Windows C1. Software de Backup
W2. Internet Explorer C2. Software Antivirus
W3. Librerías de Windows C3. Aplicaciones basadas en PHP
W4. Microsoft Office y Outlook Express C4. Software para Base de Datos
W5. Debilidades de Configuración de Windows C5. Aplicaciones para Compartir Ficheros
C6. Software DNS
Top Vulnerabilidades en Sistemas UNIX C7. Reproductores de Media
U1. Debilidades en la configuración UNIX C8. Aplicaciones de Mensajería Instantánea
U2. Mac OS X C9. Navegadores Mozilla y Firefox
C10. Otras aplicaciones Cross-Platform
Top Vulnerabilidades en productos de red
N1. Cisco IOS y otros productos no-IOS
N2. Juniper, CheckPoint y Productos Symantec
N3. Debilidades de Configuración de Dispositivos Cisco TOP 20 Vulnerabilidades
Fuente: SANS Institute
6. Introducción
www.nexusasesores.com
Consecuencias
PRODUCTIVIDAD Y
IMAGEN VOLUMEN DE NEGOCIO
PRESTACIÓN DEL SERVICIO
Disminución rendimiento laboral Pérdida de imagen respecto de clientes Pérdida de ingresos / facturación
Interrupciones en procesos productivos Pérdida de imagen respecto a proveedores Posibles indemnizaciones a terceros
Retrasos en entregas Pérdida de imagen respecto a otras partes Posibles sanciones
Cese de transacciones Ventajas de los competidores Pérdida de oportunidades de negocio
Enfado de los empleados Incidencia sobre Stakeholders Pérdida de contratos / caída acciones
Etc. Etc. Etc.
Consecuencias que no pueden ocurrir en nuestras empresas ni en ningún
entorno competitivo en estos días
Sistemas de Información Actuales
7. Introducción
www.nexusasesores.com
Algunas definiciones importantes
Seguridad de la Información (SI).- Preservación de la confidencialidad, integridad y
disponibilidad de la información; adicionalmente autenticidad, responsabilidad, no repudio y
confiabilidad.
Confidencialidad.- Aseguramiento de que la información es accesible sólo a autorizados.
Integridad.- Garantía de exactitud y completitud de información y métodos de procesado.
Disponibilidad.- Aseguramiento de que los autorizados tengan acceso cuando lo necesiten
a la información y los activos asociados.
SGSI.- La parte del Sistema de Gestión Global, basada en una orientación a riesgo de
negocio, para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar la
seguridad de la información
Activo.- Algo que tiene valor para la organización (ISO/IEC 13335-1:2004).
Amenaza.- Evento que puede provocar un incidente en la organización produciendo daños o
pérdidas materiales y/o inmateriales.
Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias externas.
9. Introducción
www.nexusasesores.com
Familia ISO 27000 en los próximos años
ISO 27000 (2007) Vocabulario y Definiciones
ISO 27001 (2005) Estándar Certificable ya en Vigor
ISO 27002 (2007) Código de Buenas Prácticas relevo de ISO 17799
ISO 27003 (2008) Guía para la Implantación
ISO 27004 (2008) Métricas e Indicadores
ISO 27005 (2008) Gestión de Riesgos (BS 7799-3:2006)
ISO 27006 (2007) Requisitos para Acreditación de Entidades de Certificación
10. Índice
www.nexusasesores.com
INTRODUCCI ÓN
Necesidades de un SGSI y estructura normativa
ESTRUCTURA DE LA NORMA
Cláusulas de ISO 27001:2005 y comentarios
OBJETIVOS DE CONTROL Y CONTROLES
Anexo A de ISO 27001:2005 y comentarios
BENEFICIOS DE UN SGSI
Resumen de algunos beneficios y comentarios
11. Estructura de ISO 27001:2005
www.nexusasesores.com
ISO 27001:2005
Desarrollado como modelo para el establecimiento, implementación, operación, monitorización,
revisión, mantenimiento y mejora de un SGSI para cualquier tipo de organización.
El diseño e implantación de un SGSI se encuentra influenciado por las necesidades, objetivos,
requisitos de seguridad, los procesos, los empleados , el tamaño, los sistemas de soporte y la
estructura de la organización.
Situación simple Solución simple para el SGSI
Orientación a procesos:
Otras
consideraciones
Gestión
de Gestión
Feedback
Salidas
Operaciones
Entradas
internas
Medida
Recursos
12. Estructura de ISO 27001:2005
www.nexusasesores.com
El ciclo Plan – Do – Check – Act (PDCA de Deming)
Partes Partes
Interesadas: Interesadas:
Establecimiento
del SGSI
Stakeholders Stakeholders
Clientes PLAN Clientes
Proveedores Proveedores
Usuarios Usuarios
Accionistas Accionistas
Implementación Mejora Continua
Socios Socios
del SGSI del SGSI
Otros Otros
DO ACT
Requisitos y
Expectativas Monitorización y Seguridad
para la Revisión del SGSI de la
Seguridad Información
de la CHECK Gestionada
Información
Alineado con las guías y principios de la OECD - Organisation for Economic Co-operation
and Development: conocimiento, responsabilidad, respuesta, gestión del riesgo, diseño de
seguridad e implementación, gestión de seguridad, revisión
13. Estructura de ISO 27001:2005
www.nexusasesores.com
Cadena de actuaciones Definición de Política Política
Objetivos PLAN
y Objetivos
DO
CHECK
Determinación del ACT
Alcance Alcance
Amenazas/Vulnerabilidades
Probabilidad/Impacto Resultados
Análisis de Activos Análisis
Resultados
Análisis de Riesgos Análisis
Gestión Organizacional Planificación
Grado de Aseguramiento Gestión de Riesgos Tratamiento
Controles ISO
Selección de Objetivos Objetivos
de Control y Controles Controles
Controles adicionales
Políticas Statement of
Applicability S.O.A.
Objetivos
Procesos
Procedimientos
Instrucciones
Controles Acciones correctivas
Implantación y Acciones preventivas
Otros
Operación Práctica
Indicadores Monitorización y Mantenimiento y
Auditorías Revisión Mejora Continua
Revisión
14. Estructura de ISO 27001:2005
www.nexusasesores.com
0.- Introducción 5.- Responsabilidad de la Dirección
1.- Alcance 5.1.- Compromiso de la Dirección
2.- Referencias normativas 5.2.- Gestión de los recursos
3.- Términos y definiciones 5.2.1.- Provisión de recursos
Exclusiones:
4.- Sistema de Gestión de Seguridad de laFormación, toma de conciencia y competencia
5.2.2.- Información
4.1.- Requisitos generales Auditorías internas del SGSI
6.-
No son permitidas en las cláusulas que
4.2.- Establecimiento y gestión del SGSI la Dirección del 8.
especifican requisitos de la 4 a la SGSI
7.- Revisión por
4.2.1.- Establecimiento 7.1.- Generalidades
del SGSI
4.2.2.- Implementación7.2.- Entradas de la revisión
y operación del SGSI
Sólo aceptables en controles de Anexo A
4.2.3.- Monitorización y7.3.- Salidas SGSI adecuada
y con justificación revisión
revisión del de la
4.2.4.- Mantenimiento y mejora delSGSI
8.- Mejora del SGSI
4.3.- Requisitos de la documentación
8.1.- Mejora continua
4.3.1.- General 8.2.- Acción correctiva
4.3.2.- Control de documentos
8.3.- Acción preventiva
4.3.3.- Control de registros A – Objetivos de Control y Controles
ANEXO
15. Estructura de ISO 27001:2005
www.nexusasesores.com
4.- Sistema de Gestión de Seguridad de la Información
4.1.- Requisitos generales
4.2.- Establecimiento y gestión del SGSI
4.2.1.- Establecimiento del SGSI
Alcance Características del negocio
Características de la organización: localización, activos, tecnología
Incluir detalles y justificaciones de exclusiones
Política del SGSI Características del negocio
Características de la organización: localización, activos, tecnología
Marco para Objetivos relacionados con Seguridad de la Información
Requisitos de negocio, legales, reglamentarios, contractuales y otros
Alineada con el contexto de la estrategia de Gestión de Riesgos
Establecimiento de criterios de evaluación de riesgos
Aprobada por la Alta Dirección
Status superior a las políticas de SI de bajo nivel
16. Estructura de ISO 27001:2005
www.nexusasesores.com
Metodología de Identificación de metodología: Magerit, CRAMM, Cobra, otros …
Análisis de Riesgos
Criterios aceptación de riesgos: niveles de riesgo aceptables (NRA)
Debe producir resultados comparables y reproducibles
Identificación de Identificar los activos dentro del alcance del SGSI
Riesgos
Identificar los propietarios de dichos activos
Identificar las amenazas para esos activos
Identificar las vulnerabilidades que pueden explotar las amenazas
Identificar los impactos de pérdidas de C-I-D en dichos activos
Análisis y Considerar impacto de fallos de seguridad (pérdidas de C-I-D)
Evaluación de
Considerar probabilidad realista de que el fallo ocurra
Riesgos
Considerar controles ya en funcionamiento o implantados
Estimar niveles de riesgo
Determinar cuando el riesgo es aceptable o requiere tratamiento
17. Estructura de ISO 27001:2005
www.nexusasesores.com
Opciones para el Aplicación de los controles apropiados (Anexo A y otros)
Tratamiento de
Conociendo Nivel de Riesgo Aceptable
Riesgos
Evitando riesgos
Transfiriendo riesgos: aseguradoras, proveedores, otras partes
Selección de Seleccionados e implantados en función del Risk Assessment
Objetivos de
Considerando resultados de Risk Assessment y Risk Treatment
Control y Controles
Cumpliendo la totalidad de requisitos del SGSI
Tomados el ANEXO A y otros aportados por la organización
El ANEXO A es un ‘starting point’ para selección de controles
Aceptación de Aceptado de forma fehaciente por la Alta Dirección
Riesgo Residual
Cuidado con las firmas de aceptación de niveles de riesgo residual
Obtención por escrito y en documento parte del SGSI
18. Estructura de ISO 27001:2005
www.nexusasesores.com
Autorización de la De forma previa a actividades de implantación y operación
Alta Dirección
Por escrito y en documento parte del SGSI
Integrada en otro documento o de forma independiente
Estado de Incluir Objetivos de Control y Controles seleccionados
Aplicabilidad (SOA)
Incluir los Objetivos de Control y Controles preexistentes
Incluir las razones para la selección de los mismos
Incluir exclusiones de OC y Controles del Anexo A
Incluir justificación para dichas exclusiones
4.2.2.- Implementación y Operación del SGSI
Risk Treatment Acciones de gestión y control a desarrollar
Plan (RTP)
Recursos asignados y responsabilidades
Prioridades a la hora de gestionar los riesgos
Implantación del RTP para alcanzar los Objetivos de Control
19. Estructura de ISO 27001:2005
www.nexusasesores.com
Implantación de Los controles anteriormente seleccionados deben ser implantados
Controles
Implantación física del Plan de Tratamiento de Riesgos (RTP)
Respetando las responsabilidades previamente definidas
Métricas e Debemos medir la efectividad de los controles seleccionados
Indicadores
Determinar cómo vamos a realizar el análisis de los datos
Mediante los datos obtenidos, tenemos que gestionar controles
El feedback es necesario para la gestión de los controles
Los resultados de estos indicadores deben proporcionar resultados:
- Comparables
- Reproducibles
Formación y Toma Implantación programas formativos para competencia de RRHH
de Conciencia
El ámbito humano de la organización debe ser competente
La toma de conciencia es factor vital (agujeros de seguridad)
20. Estructura de ISO 27001:2005
www.nexusasesores.com
Implementación de Procedimientos, técnicos, no técnicos, …
controles
Para pronta detección de incidentes contra la seguridad
Para pronta respuesta ante incidentes contra la seguridad
4.2.3.- Monitorización y revisión del SGSI
Monitorización y Para detectar lo antes posible errores en procesos
revisión del SGSI
Para detectar lo antes posible brechas de seguridad e incidentes
- Intentos (nos han lanzado x ataques contra nuestra IP)
- Logros (nos han hackeado la web 2 veces este año)
Para determinar que las prácticas se desarrollan de forma correcta
Para ayudar a tomar decisiones utilizando indicadores
Para determinar cuando las acciones correctivas han sido eficaces
Revisiones Incluyendo Política, Objetivos, controles, resultados de auditorías
regulares previas, incidentes, medidas de efectividad, sugerencias y
feedback de otras partes interesadas
21. Estructura de ISO 27001:2005
www.nexusasesores.com
Revisión del A intervalos planificados
Análisis de Riesgos
Incluyendo nivel de riesgo aceptable y residual
Teniendo en cuenta: organización, tecnología, objetivos de negocio
y procesos, amenazas identificadas, efectividad de los controles
implantados y eventos externos (cambios de legislación, contratos,
etc.)
Auditoría Interna A intervalos planificados para determinar:
si el SGSI es conforme a ISO 27001
si el SGSI es conforme con otros requisitos
si el SGSI está implantado y mantenido de forma efectiva
Si el SGSI funciona según lo esperado
Revisión por la De forma regular para garantizar:
Dirección
que el alcance sigue siendo adecuado
que las mejoras del SGSI han sido debidamente identificadas
22. Estructura de ISO 27001:2005
www.nexusasesores.com
Auditoría Interna A intervalos planificados para determinar:
si el SGSI es conforme a ISO 27001
si el SGSI es conforme con otros requisitos
si el SGSI está implantado y mantenido de forma efectiva
Si el SGSI funciona según lo esperado
A tener en cuenta Actualizaciones de planes de seguridad en función del feedback
Análisis de logs y eventos con impacto significativo en el SGSI
4.2.4.- Mantenimiento y mejora del SGSI
Mantenimiento y Las opciones de mejora deben ser implantadas
mejora
Deben tomarse acciones correctivas y preventivas
Tener en cuenta experiencias propias o de otras organizaciones
Comunicar acciones y mejoras a todas las partes interesadas
Asegurar que las mejoras alcanzar los objetivos buscados
23. Estructura de ISO 27001:2005
www.nexusasesores.com
4.3.- Requisitos de la documentación
4.3.1.- Generalidades
¿Qué debe incluir la documentación?
-Política y Objetivos del SGSI
-Alcance (Scope)
-Procedimientos y controles
-Descripción metodología Risk Assessment
-Reportes del Risk Assessment
-Plan de Tratamiento de Riesgos (RTP)
-Los registros requeridos por ISO 27001
-El Estado de Aplicabilidad (SOA)
24. Estructura de ISO 27001:2005
www.nexusasesores.com
4.3.2.- Control de los documentos
Deben ser debidamente protegidos y controlados. Es necesario un procedimiento
documentado según ISO 27001. Debe incluir criterios para:
-Aprobación de documentos antes de su emisión
-Revisión y actualización y necesidad de re-aprobación
-Identificación de cambios y versiones en vigor
-Garantizar que las versiones aplicables se encuentren en los puntos de uso
-Garantizar que los documentos permanecen legibles y fácilmente identificables
-Garantizar que están a disposición de las personas que los necesitan
-Garantizar que son transferidos, almacenados y destruidos según lo establecido en el SGSI
-Garantizar que se identifican los documentos de origen externo
-Garantizar que se controla la distribución e documentos
-Prevenir el uso no intencionado de documentos obsoletos
-Identificar los obsoletos caso de que sean retenidos por algún motivo
25. Estructura de ISO 27001:2005
www.nexusasesores.com
4.3.3.- Control de los registros
Muestran evidencias de la conformidad del sistema con sus requisitos
Deben ser debidamente protegidos y controlados
Es necesario un documentar los controles necesarios para su:
- identificación (rápidamente identificables)
- almacenamiento (fácilmente recuperables)
- protección (permanezcan legibles)
- período de retención
- disposición de registros
26. Estructura de ISO 27001:2005
www.nexusasesores.com
5.- Responsabilidad de la Dirección
5.1.- Compromiso de la Dirección
La Alta Dirección debe proveer evidencia de su compromiso con el proyecto
-Estableciendo la Política del SGSI
-Asegurando que se establecen Objetivos para el SGSI y que se planifica su consecución
-Estableciendo roles y responsabilidades
-Comunicando la importancia de logar los Objetivos y estableciendo la Política del SGSI
-Comunicando responsabilidades y la necesidad de la búsqueda de la mejora continua
-Suministrando recursos
-Decidiendo criterios de aceptación de riesgos y Niveles de Riesgo Aceptables
-Asegurándose de que se realizan Auditorías Internas
-Realizando Revisiones por la Dirección del SGSI
5.2- Gestión de Recursos
5.2.1.- Provisión de recursos
Recursos
Dirección Correcto devenir del SGSI
27. Estructura de ISO 27001:2005
www.nexusasesores.com
5.2.2.- Formación, Toma de Conciencia y Competencia
Personal con responsabilidades
Personal competente
definidas en el SGSI
1) Determinar competencias para el personal alcanzado por el SGSI
2) Si no se tienen ‘in-house’ ? Formación o reclutamiento
3) Si se hacen acciones de formación ? Evaluar su eficacia
4) Hay que mantener registros de educación, formación, habilidades,
experiencia y cualificación
La organización debe garantizar que el personal relevante afectado por el SGSI sea
consciente de la importancia de sus actividades y de cómo pueden contribuir a la
consecución de los Objetivos.
28. Estructura de ISO 27001:2005
www.nexusasesores.com
6.- Auditoría Interna del SGSI
A intervalos previamente planificados en un Programa de Auditorías.
En función de la importancia de los procesos y áreas a auditar.
En función de resultados de auditorías previas.
Debe definirse: - Criterios de auditoría y Alcance
- Frecuencia y Metodología (ISO 19011 Guía)
La selección de auditores y el desarrollo de la auditoría deben garantizar la total
imparcialidad y objetividad del proceso de auditoría. Un auditor no debe auditar nunca
su propio trabajo.
Es preciso un procedimiento documentado según ISO 27001 que plasme las
responsabilidades y requisitos para la planificación y realización de auditorías y para la
forma en que se reportan los resultado y se mantienen registros.
Dirección Área
No conformidades Acciones correctivas sin demora
29. Estructura de ISO 27001:2005
www.nexusasesores.com
7.- Revisión por la Dirección del SGSI
7.1.- Generalidades
A intervalos planificados y como mínimo 1 al año
Debe incluir oportunidades de mejora y necesidad de cambios en el SGSI
Analizar posibles cambios en la Política y en los Objetivos
Los resultados de la RxD deben estar documentados manteniendo registro
7.2.- Entradas de la revisión
Resultados de auditorías y RxD previas
Feedback de partes interesadas
Estado de acciones correctivas/preventivas
Técnicas, productos o procedimientos que pueden ser usados para mejora del SGSI
Amenazas y vulnerabilidades no determinadas de forma correcta en el Risk Assessment
Resultados de medidas de efectividad (métricas)
Seguimiento de actuaciones derivadas de RxD previas
Cambios que pudieran afectar al SGSI
Recomendaciones de mejora
30. Estructura de ISO 27001:2005
www.nexusasesores.com
7.3.- Salidas de la Revisión
Mejora de la eficacia del SGSI
Actualización del Risk Assessment y del Risk Treatment Plan
Modificación de procedimientos y controles necesarios, incluyendo cambios en:
- Requerimientos de negocio
-Requerimientos de seguridad
-Procesos de negocio
-Requisitos legales o regulatorios
-Obligaciones contractuales
-Niveles de riesgo y/o criterios de aceptación de riesgo
Necesidad de recursos
Mejora de los métodos de medida de la eficacia de los controles
31. Estructura de ISO 27001:2005
www.nexusasesores.com
8.3.- Acción preventiva
8.- Mejora del SGSI
8.1.- Mejora continua €€€
8.2.- Acción correctiva
Acción preventiva
Acción correctiva Eliminar causa de
Eliminar causa de No conformidades
potenciales
No conformidades
Procedimiento AAPP
-Identificar No Conformidades Potenciales
Procedimiento AACC
-Determinar sus causas
-Identificar No Conformidades
-Evaluar necesidad de actuación preventiva
-Determinar sus causas
-Determinar AAPP necesarias
-Evaluar necesidad de actuación
-Registrar resultados de las acciones
-Determinar AACC necesarias
-Revisar las AAPP tomadas
-Registrar resultados de las acciones
-Revisar las AACC tomadas Su prioridad irá en función del Risk Assessment
32. Índice
www.nexusasesores.com
INTRODUCCI ÓN
Necesidades de un SGSI y estructura normativa
ESTRUCTURA DE LA NORMA
Cláusulas de ISO 27001:2005 y comentarios
OBJETIVOS DE CONTROL Y CONTROLES
Anexo A de ISO 27001:2005 y comentarios
BENEFICIOS DE UN SGSI
Resumen de algunos beneficios y comentarios
33. Objetivos de Control y Controles
www.nexusasesores.com
Gestión de Organización de Gestión de
Continuidad de Conformidad Política de Seguridad de la Activos de
Seguridad
Negocio Información Información
Disponibilidad Confidencialidad
Gestión de Seguridad
Información
Incidentes de Ligada al
Seguridad Personal
Integridad No repudio
Adquisición, Desarrollo Gestión de
y Mantenimiento de Control de Operaciones y Seguridad Física y
Sistemas de Información Accesos Comunicaciones del Entorno
Alineados con ISO 17799:2005 Clá usulas 5 a 15
34. Objetivos de Control y Controles
www.nexusasesores.com
A.5.- Política de Seguridad
A.5.1.- Documento de Política de Seguridad de la Información
A.5.2.- Revisión de la Política de Seguridad de la Información
A.6.- Organización de la Seguridad de la Información
A.6.1.- Organización Interna
A.6.1.1.- Compromiso de la Dirección con la Seguridad de la Información
A.6.1.2.- Coordinación de la Seguridad de la Información
A.6.1.3.- Asignación de responsabilidades para Seguridad de la Información
A.6.1.4.- Proceso de autorización para instalaciones de procesado de información
A.6.1.5.- Compromisos de Confidencialidad
A.6.1.6.- Contacto con las Autoridades
A.6.1.7.- Contacto con Grupos Especiales de Interés
A.6.1.8.- Revisión independiente de la Seguridad de la Información
A.6.2.- Partes Externas
A.6.2.1.- Identificación de riesgos asociados a partes externas
A.6.2.2.- Seguridad en el trato con clientes
A.6.2.3.- Seguridad en contratos con tercera parte (SLA)
35. Objetivos de Control y Controles
www.nexusasesores.com
A.7.- Gestión de Activos
A.7.1.- Responsabilidad de los activos Inventario
de activos
A.7.1.1.- Inventario de Activos
A.7.1.2.- Propiedad de los Activos
A.7.1.3.- Uso aceptable de los Activos
A.7.2.- Clasificación de la Información
A.7.2.1.- Guía para la clasificación Reglas para
uso de
A.7.2.2.- Etiquetado y posesión de información activos
Información restringida
Información clasificada
Información no clasificada
Información bajo licencia
Label
Otros …
36. Objetivos de Control y Controles
www.nexusasesores.com
Esquema del Dominio A.8 según ISO 27001:2005 - Human Resources Security
Fuente: Nextel, S. A.
37. Objetivos de Control y Controles
www.nexusasesores.com
Perímetro f ísico Controles f ísicos Securización de Trabajo en áreas
de seguridad de entrada oficinas, habitaciones seguras
e instalaciones
Protección
contra amenazas
externas y del Acceso público,
entorno áreas de entrega
Dominio A.9 y recepción
Seguridad física y del entorno
Seguridad del
cableado
A.9.1 A.9.2
Securización de áreas Seguridad de equipos Retiro de
propiedades off-
site
Seguridad de
equipos off-site
Utilidades soporte Localización de Securización de Mantenimiento
(SAI, …) equipos y protección equipos reutilizados de equipos
38. Objetivos de Control y Controles
www.nexusasesores.com
Dominio A.10
Gestión de Comunicaciones y Operaciones
A.10.1 A.10.6
Procedimientos de operación y responsabilidades Gestión de la seguridad en red
A.10.2 A.10.7
Gestión de prestación de servicios tercera parte Posesión de medios
A.10.3 A.10.8
Planificación de sistemas y aceptación Intercambio de información
A.10.4 A.10.9
Protección contra código malicioso y móvil Servicios de comercio electrónico
A.10.5 A.10.10
Copias de respaldo (Back Up) Monitorización (gestión de logs)
39. Objetivos de Control y Controles
www.nexusasesores.com
Dominio A.11
Control de acceso
A.11.1 A.11.5
Requisitos para control de acceso Control de acceso al sistema operativo
A.11.2 A.11.6
Gestión de acceso de usuarios Control de acceso a aplicaciones e información
A.11.3 A.11.7
Responsabilidades de los usuarios Computación móvil y teletrabajo
A.11.4
Control de acceso a red
Dominio A.12
Adquisición, desarrollo y mantenimiento de Sistemas de Información
A.12.1 A.12.4
Análisis y especificación requisitos de seguridad Seguridad de ficheros de sistema
A.12.2 A.12.5
Procesado correcto en aplicaciones Seguridad en procesos de desarrollo y soporte
A.12.3 A.12.6
Controles criptográficos Gestión de vulnerabilidades técnicas
40. Objetivos de Control y Controles
www.nexusasesores.com
Esquema del dominio A.13 – Gestión de incidentes contra SI
Fuente: Nextel, S. A.
41. Objetivos de Control y Controles
www.nexusasesores.com
Dominio A.14 - Gestión de continuidad de negocio (BCM)
A.14.1.- Aspectos de SI para la BCM
A.14.1.1.- Introducción de la Seguridad de la Información en el proceso de BCM
A.14.1.2.- Continuidad de Negocio y Risk Assessment
A.14.1.3.- Desarrollo e implementación de planes de continuidad incluyendo SI
A.14.1.4.- Marco para la planificación de la continuidad de negocio
A.14.1.5.- Test, mantenimiento y revisión de planes de continuidad de negocio
42. Objetivos de Control y Controles
www.nexusasesores.com
Protección de Datos y
Identificación de Derechos de Protección de registros
legislación aplicable Propiedad Intelectual de la organización privacidad de la
información personal
A.15.1
Conformidad con
requisitos legales
Dominio A.15
Conformidad
Controles A.15.2 Prevención de uso
de Auditoría Conformidad con Políticas de erróneo de la
de infraestructura de
Seguridad y normas, y
sistemas procesado de
de Información cumplimiento técnico información
A.15.3
Consideraciones sobre
Auditoría de SI
Protección de herramientas Comprobación de Cumplimiento con Regulación de
de auditoria de sistemas de Políticas de controles
cumplimiento técnico
información Seguridad y normas criptográficos
43. Índice
www.nexusasesores.com
INTRODUCCI ÓN
Necesidades de un SGSI y estructura normativa
ESTRUCTURA DE LA NORMA
Cláusulas de ISO 27001:2005 y comentarios
OBJETIVOS DE CONTROL Y CONTROLES
Anexo A de ISO 27001:2005 y comentarios
BENEFICIOS DE UN SGSI
Resumen de algunos beneficios y comentarios
44. Beneficios de un SGSI
www.nexusasesores.com
- Disponer armas de gestión para particulares usualmente olvidados
- Conocer realmente de qué activos disponemos (control y clasificación)
- Involucrar a la Alta Dirección en la Seguridad de la Información
- Desarrollar Políticas formales de obligado cumplimiento
- Cumplir con la legislación vigente ligada al proyecto
- Realizar análisis de riesgos para el desarrollo del negocio
- Introducción de contratos de niveles de servicio (SLA)
- Reforzar la seguridad ligada al personal
- Disponer planes de contingencia ante incidentes
- Disponer planes de continuidad de negocio y recuperación ante desastres
- Desarrollo de indicadores de desempeño del SGSI
- Disminución de riesgos a niveles aceptables …………………………….. ETC
45. Conclusiones
www.nexusasesores.com
CONCLUSIONES FUNDAMENTALES
La Seguridad de la Información es un PROCESO.
La Seguridad de la Información se basa en PERSONAS.
La Seguridad de la Información debe orientarse al RIESGO.
Un buen SGSI es un sistema RENTABLE para la organización.
NO EXISTE la seguridad absoluta. El SGSI AYUDA a la gestión.
Hay que definir ESTRATEGIAS DE NEGOCIO y huir de actuaciones puntuales
sin criterios de interconexión.
Un proyecto SGSI requiere un equipo de trabajo MULTICONOCIMIENTO.
La implantación de un SGSI tiene BONDADES INHERENTES y es un
DIFERENCIADOR DE LA COMPETENCIA.
46. Agradecimientos
www.nexusasesores.com
Muchas gracias por su
atención
José Manuel Fernández Domínguez
jmfernandez@nexusasesores.com
www.nexusasesores.com
Esta presentación se encuentra sometida a Licencia Creative Commons:
Reconocimiento – No comercial – Compartir bajo la misma licencia