1/71

Sistemas de gestin
de seguridad de la informacin
ISO 27001
2/71
INTRODUCCIN
3/71
Introduccin
Your
Your
Network
Network
F
O
R
M
A
C
I

N
HERRAMIENTAS
AUDITORAS
SNOC
LOPD / LSSI
SISTEMA GESTION
DE LA SEGURIDAD
DE LA INFORMACION
(SGSI)
BS 7799
MANTENIMIENTO
4/71
Introduccin
70 %
Incidentes
internos
Incidentes seguridad externos
Virus
Incidentes seguridad internos
Errores de usuario
Otros
Incidentes de seguridad: Quien es quien
5/71
Introduccin
Impacto de incidentes de seguridad en el negocio:
6/71
ISO 17799 1
TRANSPOSICIN LITERAL
BS 7799 1
CDIGO BUENAS PRCTICAS
ISO 27001 (Octubre 2005)
BS 7799 2
IMPLEMENTACION SGSI Y
CERTIFICACION
IMPLEMENTACIN
INTEGRACIN BS7799 / ISO 9000 / ISO 14000
CERTIFICACIN
Introduccin
7/71
Introduccin
ISO 27001 BS 7799-2 (2005)
BS 7799-2:2002 BS 7799 2
ISO 27002 ISO 17799 (2005)
ISO 17799 (2000) BS 7799 1
Ao
2007
Ao
2006
(Enero)
Ao
2005
(Junio)
Ao
2000 2002
Ao
1999
UNE 71502
+ ISO 27004 Indicadores y Cuadros de mando (2007)
BS 7799 Evolution
BS
ISO
8/71
Cambios / Mejoras en ISO 27001
This is possibly the biggest change in
that as well as implementing and
operating the ISMS, it is now required
to define how to measure the
effectiveness of controls or groups of
controls, and that it shall be specified
how these measurements are to be
used to assess control effectiveness to
produce comparable and reproducible
results. This could cause some
major problems for clients.
Item d)
Define how to
measure the
effectiveness
has been
added
4.2.2
Implement
and operate
the ISMS
4.2.2
Implement
and operate
the ISMS
9/71
A.6 Mejora en las relaciones con terceras partes
10/71
A.8 Mejoras en el control sobre las personas
11/71
A.8 Mejoras en el control sobre las personas
12/71
A.8 Mejoras en el control sobre las personas
13/71
A.13 Mejoras en el registro de incidentes / debilidades
14/71
A.13 Mejoras en el registro de incidentes / debilidades
15/71
A.14 Mejoras en la gestin de continuidad de negocio
16/71
A.14 Mejora en la gestin de continuidad de negocio
17/71
Control y clasificacin de activos
Organizacin de la Seguridad
Direccin de operaciones y comunicaciones
Poltica de Seguridad
Evaluacin de riesgos
Seguridad del personal
Desarrollo y mantenimiento de sistemas
Direccin de Planes de Contingencia
Cumplimiento con la legislacin
Introduccin
18/71
Activos de informacin SGSI:
Soportes digitales
Papel
Personas
Componentes SGSI:
Anlisis+Trabajo tcnico
Documentacin
Personas
rganos gestin SGSI:
Comit de seguridad
Responsable Seguridad
Auditor interno
La seguridad es tan fuerte como el eslabn ms dbil de la cadena
PERSONAS
Introduccin
19/71
FORMACIN DIFUSIN
Creacin de una Cultura de la Seguridad
dentro de la empresa
Cmo protejo la parte ms dbil del SGSI ?
PERSONAS
Introduccin
20/71
FORMACION:
Plan de formacin
Para TODOS los empleados
Todos aportan
DIFUSION:
Herramientas existentes: News
Herramientas especificas: Proteus / Cramm /
Cobra / ...
Controles y evaluacin de cumplimiento
Introduccin
21/71
FORMACION + DIFUSION:
Conseguir que las personas sean la base de un SGSI
Informado
Formado
Concienciado
Aceptacin
Proactivo
TIEMPO
COMPORTAMIENTO
Introduccin
22/71
REA
SEGURIDAD
PROCESO IMPLEMENTACION GLOBAL
ISO 9000 / 14000 ISO 17799 / BS 7799
PROCESOS COMUNES
Revisin BS 7799-2:2002
Revision BS 7799-2:2005
ISO 27001
REA CALIDAD
Introduccin
23/71
LA SEGURIDAD ES UN PROCESO = SGSI
SGSI = PROCESO SEGURIDAD + CALIDAD GLOBAL
BS 7799: ESQUEMA DE IMPLEMENTACION Y CERTIFICACIN
DE SGSI RECONOCIDO (INTERNACIONAL)(ISO 27001)
SGSI = ISO 27001, CONTINUIDAD, CONTROL y EVALUACION DE
EFECTIVIDAD DE PROCESO DE SEGURIDAD
AUNQUE NO EXISTE SEGURIDAD TOTAL, S ES UN SISTEMA CON
SEGURIDAD RAZONABLE
Implementacin
24/71
IMPLEMENTACIN
25/71
Definir la poltica
Definir el alcance
del SGSI
Anlisis de riesgos
Gestionar el riesgo
Seleccionar
objetos de control
y controles a
implementar
Preparar una
declaracin de
aplicabilidad
Fase 1
Fase 2
Fase 3
Fase 4
Fase 5
Fase 6
Riesgos,
amenazas y
vulnerabilidades
Gestin de riesgos
desde el punto de vista
organizacional
Grado de
aseguramiento
requerido
Seccin 3 de la BS
7799, objetos de
control y controles
Controles adicionales
que no sean de BS
7799

Documento de la
poltica
Alcance del SGSI
Activos de Informacion
Anlisis de riesgo
Resultados y conclusiones
Controles seleccionados
Objetos de control y controles
seleccionados
Declaracin de aplicabilidad
Introduccin
26/71
La importancia de la informacin
Cunto tiempo sobrevivira nuestra empresa sin el acceso a
la informacin?
Hasta que punto estamos preparados para responder a un
incidente de seguridad?
Cumplimos la LOPD, LSSICE y los derechos de propiedad
intelectual?
Los SGSI certificados dan una respuesta a la creciente demanda
de seguridad global
Implementacin
27/71
Tipos de informacin
Impresa o escrita en papel
Guardada en formato electrnico
Transmitida por correo o por va electrnica
Verbal hablada en conversaciones
cualquier forma que la informacin adopte, o procesos
por los cuales sea compartida o guardada, deber ser
siempre adecuadamente protegida
(ISO/IEC 17799: 2000)
Implementacin
28/71
Gestin de la seguridad de la informacin
El objetivo del SGSI es salvaguardar la:
- Confidencialidad
- Integridad
- Disponibilidad
de la informacin escrita, hablada o procesada por los
ordenadores.
Implementacin
29/71
Compromiso de la direccin
Intencin
Requisitos
Herramientas y tcnicas
Metodologa
Estndares,
normas, leyes...
Guas y modelos
Procedimientos
Polticas
Evidencias
Registros y trazas
Implementacin
30/71
Evolucin de los sistemas de gestin
Sistemas Sistemas
Propietarios Propietarios
Sistemas Sistemas
normalizados normalizados
Sistemas Sistemas
certificados certificados
- Sistemas nicos y personalizados
- Sistemas que tienen en cuenta
ciertas normas y que se orientan a
estndares
- Sistemas auditados y certificados
que se rigen por estndares
aprobados y reconocidos
Implementacin
31/71
Sistemas Sistemas
Propietarios Propietarios
Sistemas Sistemas
normalizados normalizados
Sistemas
Sistemas
certificados
certificados
Seguridad propietaria
(Principio de oscuridad)
Evolucin de los sistemas SGSI
Sistemas basados en normas:
ISO 71501, NIST 800 42, ISECOM, ISO
17799-1
Sistemas auditables basados en:
ISO 17799 / BS 7799 2 : 2002
UNE 71502
Implementacin
32/71
Secciones de la BS7799-1 (ISO17799)
Alcance
Trminos y definiciones
Poltica de seguridad
Seguridad corporativa
Clasificacin y control de activos
Seguridad del personal
Seguridad fsica y medioambiental
Gestin de las operaciones y comunicaciones
Control de accesos
Mantenimiento y desarrollo de sistemas
Gestin de la continuidad del negocio
Cumplimiento
Implementacin
33/71
Secciones de BS7799-2:2002
Alcance
Referencias normativas
Trminos y definiciones
Sistema de gestin de la seguridad de la informacin
(SGSI)
Responsabilidades de la direccin
Revisin del SGSI
Mejora del SGSI
Implementacin
34/71
Implantacin de un SGSI basado en la norma BS
7799-2
Implementacin
Definir la poltica
Definir el alcance
del SGSI
Anlisis de riesgos
Gestionar el riesgo
Seleccionar
objetos de control
y controles a
implementar
Preparar una
declaracin de
aplicabilidad
Fase 1
Fase 2
Fase 3
Fase 4
Fase 5
Fase 6
Riesgos,
amenazas y
vulnerabilidades
Gestin de riesgos
desde el punto de vista
organizacional
Grado de
aseguramiento
requerido
Seccin 3 de la BS
7799, objetos de
control y controles
Controles adicionales
que no sean de BS
7799

Documento de la
poltica
Alcance del SGSI
Activos de Informacion
Anlisis de riesgo
Resultados y conclusiones
Controles seleccionados
Objetos de control y controles
seleccionados
Declaracin de aplicabilidad
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la poltica y el alcance del SGSI
Seleccin de controles
Declaracin de aplicabilidad
Implementacin
Responsibilidades y recursos
Gestin del riesgo
Registro de activos y anlisis de riesgos
Implementacin
36/71
Revisin inicial
Revisin de la seguridad de la informacin dentro del marco
establecido por los requerimientos de la BS 7799-2 utilizando
las guas proporcionadas por el cdigo de buenas prcticas
ISO/IEC17799:2000
Tener la ISO 9000 ayuda (Ver tabla equiv.)
Existe DML y documentacin asociada?
Es consistente con el alcance?
Implementacin
37/71
C Comit de seguridad 1,0 Registro de incidentes de seguridad 016 000
G Responsable de seguridad 1,0 Manual bsico de seguridad 015 000
C Comit de seguridad 1,0 Plan de continuidad de negocio 014 000
G Comit de seguridad 1,0 Procedimiento de control de activos 013 000
R Comit de seguridad 2,0 Registro de activos 012 000
R Comit de seguridad 2,0 Plan de tratamiento de riesgos (PTR) 011 000
P Comit de seguridad 2,0 Declaracin de aplicabilidad (DdA) 010 000
R Comit de seguridad 1,0 Procedimiento de gestin de riesgos 009 000
R Comit de seguridad 1,0 Procedimiento de anlisis de riesgos 008 000
G Controlador de docs 1,0 Modelo de cambio de documentacin 007 000
G Controlador de docs 1,0 Procedimiento de control de docs 006 000
R Responsable de seguridad 2,5 Manual de seguridad de admins 005 000
G Responsable de seguridad 3,0 Manual de seguridad de usuario 004 000
C Responsable de seguridad 1,0 Poltica de seguridad 003 000
P Responsable de seguridad 1.0 Alcance 002 000
R Controlador de docs 2,0 Document Master List 001 000
Ubicacin Clase Propietario Rev. Descripcin No. Tipo
DML
Implementacin
38/71
Compras
Dpto.
Financiero
Dpto.
produccin
Dpto
I.T.
Administracin
Marketing
RRHH
ISPs
Outsourcing
Proveedores de
suministro
elctrico
Necesidades
del Cliente
Mnto.
Satisfaccin del
Cliente
Contratos, SLAs y
MOUs
Ejemplo de
revisin del
alcance
Implementacin
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la poltica y el alcance del SGSI
Seleccin de controles
Declaracin de aplicabilidad
Implementacin
Responsibilidades y recursos
Gestin del riesgo
Registro de activos y anlisis de riesgos
Implementacin
40/71
Comit de seguridad de la informacin
Es un comit/forum de gestin.
Su actividad se basa en:
Revisin y aceptacin de la poltica.
Monitorizacin de los cambios y la exposicin de los activos a las
amenazas ms importantes.
Revisin y monitorizacin de los riesgos de los activos de
informacin.
Implementacin
41/71
Responsable del proyecto de SGSI
Apoyar al comit de seguridad
Gestionar y mantener el SGSI
Planificar auditoras internas
Gestin de los incidentes de seguridad
Trabajo conjunto con los propietarios de los procesos
Mantener el proceso de mejora continua
Implementacin
42/71
Propietarios de los procesos
Los propietarios de los procesos son:
Responsables de registrar sus activos
e implementar el SGSI en sus procesos
Responsables de reportar al comit de seguridad y colaborar
con el responsable del SGSI
Implementacin
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la poltica y el alcance del SGSI
Seleccin de controles
Declaracin de aplicabilidad
Implementacin
Responsibilidades y recursos
Registro de activos y anlisis de riesgos
Gestin del riesgo
Implementacin
44/71
Registro de activos
Requisito de BS7799-2:2002
Identificar los activos, los propietarios, su ubicacin y su valor
asociado dentro del alcance del SGSI
Implementacin
45/71
Amenazas
Una amenaza tiene el potencial de poder causar incidentes
indeseados que pueden derivar en daos a un sistema, una
empresa o sus activos.
Vulnerabilidades
Una vulnerabilidad es una condicin o conjunto de
circunstancias que pueden permitir a una amenaza afectar a
un activo. No obstante en s misma no causa el dao.
Implementacin
46/71
Identificacin de riesgos
Las vulnerabilidades son debilidades asociadas a los activos
de informacin.
Estas debilidades pueden ser explotadas por una amenaza
causando una ruptura en la seguridad que puede derivar en la
prdida o dao de estos activos.
Implementacin
47/71
1. Identificacin de procesos
2. Identificacin de activos:
Papel, sw, hw, dependencias, personal, contratos, ...
3. Valor de los activos de informacin
4. Identificacin de las amenazas y las vulnerabilidades
5. Identificacin de los riesgos y niveles aceptables
6. Identificacin de los controles, objetivos y medidas
7. Generacin de informes para el comit de seguridad
8. Monitorizacin y revisin
Procedimiento de anlisis de riesgos
Implementacin
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la poltica y el alcance del SGSI
Seleccin de controles
Declaracin de aplicabilidad
Implementacin
Responsibilidades y recursos
Gestin del riesgo
Registro de activos y anlisis de riesgos
Implementacin
49/71
Gestin del riesgo
El comit de seguridad deber ser el encargado de establecer
el nivel de riesgo aceptable y ser consciente de los riesgos
residuales remanentes despus de aplicar los controles
apropiados.
Elaboracin y revisin del plan de continuidad de negocio y del
proceso de gestin de incidentes de seguridad.
Implementacin
50/71
Riesgo residual
Ningn control puede ofrecernos seguridad absoluta, y
siempre tendremos un remanente de riesgo residual.
La direccin de la empresa, una vez definido el nivel de
confianza requerido, debe de aceptar ese riesgo residual y
registrarlo.
El anlisis de riesgo debe de realizarse peridicamente y el
riesgo residual tambin debe de ser revisado y validado en la
misma forma.
Implementacin
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la poltica y el alcance del SGSI
Seleccin de controles
Declaracin de aplicabilidad
Implementacin
Responsibilidades y recursos
Gestin del riesgo
Registro de activos y anlisis de riesgos
Implementacin
52/71
Anexo A BS 7799-2:2002
Poltica de seguridad
Seguridad organizacional
Control y clasificacin de activos
Seguridad del personal
Seguridad fsica y medioambiental
Gestin de comunicaciones y operaciones
Control de accesos
Desarrollo y mantenimiento de sistemas
Plan de continuidad de negocio
Cumplimiento de la legislacin y normas aplicables
Implementacin
53/71
Controles de BS7799-2:2002 Anexo A
Controles obligatorios de la norma:
A.3 A.7, A.11 y A.12
Aprox. 127 controles necesarios
Implementacin
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la poltica y el alcance del SGSI
Seleccin de controles
Declaracin de aplicabilidad
Implementacin
Responsibilidades y recursos
Gestin del riesgo
Registro de activos y anlisis de riesgos
Implementacin
55/71
Declaracin de aplicabilidad
Se trata de un documento, aprobado por el comit de
seguridad, en el que se representan todos los controles
aplicados en el SGSI de acuerdo con la norma BS7799 como
resultado del anlisis de riesgos realizado.
Implementacin
Fase 1:
Fase 2:
Fase 3:
Fase 4:
Fase 7:
Fase 5:
Fase 6:
Definir la poltica y el alcance del SGSI
Seleccin de controles
Declaracin de aplicabilidad
Implementacin
Responsibilidades y recursos
Gestin del riesgo
Registro de activos y anlisis de riesgos
Implementacin
57/71
Revisin de la direccin
El Security Forum o Comit de Seguridad debe reunirse
peridicamente para evaluar;
Los resultados de las auditoras internas
Cambios en el SGSI
Reporte de incidentes y acciones derivadas
Implementacin
58/71
Gestin RRHH
- Definicin de perfiles profesionales
- Anlisis previos a incorporacin
- Control durante desempeo
- Controles despus de salida
- Procedimiento punitivo
Implementacin
59/71
Gestin de la continuidad de negocio
- Plan de contingencias
- Plan de continuidad de negocio
- Prueba del plan de continuidad de negocio
Implementacin
60/71
Auditoras
Son necesarias auditoras internas/externas peridicas
planificadas y documentadas para garantizar que el SGSI est
implementado de forma efectiva.
El cumplimiento de la norma implementa un modelo de
mejora continua de procesos. (PDCA)
Implementacin
61/71
Certificacin
62/71
Qui Qui n es la entidad certificadora ? n es la entidad certificadora ?
BSI (British Standards Institution) www.bsi-global.com
Fundada en 1901 para coordinar las normas nacionales en el
Reino Unido.
Con una plantilla integrada por un total de 4.200 personas en
todo el mundo
Es la entidad de certificacin nmero uno a nivel mundial
Actualmente existen ms de 50.000 empresas certificadas.
Certificacin
65/71
Una auditoria de seguridad es una fuente clave de
informacin para el conocimiento de una empresa.
Demuestra un compromiso inequvoco de los rganos
de Direccin de la empresa con el Sistema de Gestin
de la Seguridad de la Informacin.
Promover la implicacin, participacin y motivacin
del personal de la empresa en la seguridad de la
informacin de esta.
Proporciona la oportunidad de una mejora continua.
Incrementara la operatividad de la empresa.
Certificacin
66/71
Conclusiones
67/71
Los SGSI basados en la norma BS 7799 nos hacen entender la
seguridad de la informacin como un proceso y no como un
producto.
A travs de la certificacin se obtienen garantas de que el SGSI
est correctamente implantado y de que se est gestionando el
riesgo pero no se obtiene la seguridad absoluta.
Conclusiones
68/71
Modelo PDCA
Conclusiones
69/71
Documentacin relacionada
UNE 71501-3 Tcnicas para la gestin de le Seguridad de TI AENOR. Asociacin Espaola de Normalizacin y Certificacin
UNE 71501-2 Gestin y Planificacin de la Seguridad de TI AENOR. Asociacin Espaola de Normalizacin y Certificacin
UNE 71501-1 Conceptos y modelos para la Seguridad de TI AENOR. Asociacin Espaola de Normalizacin y Certificacin
UNE ISO 17799 Cdigo buenas practicas AENOR. Asociacin Espaola de Normalizacin y Certificacin
HB 231 Information Security Risk Management Guidelines STANDARDS AUSTRALIA
AS 4360 Risk Management STANDARDS AUSTRALIA
ISO GUIDE 73. Risk Management. Vocabulary. Guidelines for use in
standards ISO. International Standard Organitation
ISO GUIDE 73. Risk Management. Vocabulary. Guidelines for use in
standards ISO. International Standard Organitation
ISO 2859-4 Procedures for assessment of declared quality levels ISO. International Standard Organitation
Conclusiones
70/71
Documentacin relacionada (II)
PD 3005 Guide on the selection of BS 7799-2 Controls BSI. British Standards Institution
PD 3004 Guide to the implementation and auditing of BS 7799 controls BSI. British Standards Institution
PD 3003 Are you ready for a BS 7799-2 Audit ? BSI. British Standards Institution
PD 3002 Guide to BS 7799 Risk Assessment BSI. British Standards Institution
PD 3001 Preparing for BS 7799-2 Certification BSI. British Standards Institution
BS 15000-2 IT Service Management. Part. 2 Code of practice for service
mng BSI. British Standards Institution
BS 7799-2 Information Security Management Systems. Specifications BSI. British Standards Institution
Conclusiones
GRACIAS