ISO 27001-27005

UNIVERSIDAD PERUANA LOS ANDES FACULTAD DE INGENIERIA CARRERA PROFESIONAL DE INGENIERIA DE SISTEMAS Y COMPUTACIÓN

DESARROLLO DE SISTEMAS II:

ISO/27001 - ISO / 27005 AUTOR: PATRICIO PUELLES VICTOR PROFESOR: GERARDO SALAZAR

LIMA-PERÚ-2015

ISO 27001 / IEC DEFINICIÓN:

 Es una norma internacional emitida por la organización internación de normalización ISO  Describe cómo gestionar la seguridad de la información de una empresa

 ISO 27001 puede ser implementada en cualquier tipo de organización con o sin fines de lucro, privada o pública, pequeña o grande  Está redactada por los mejores especialistas del mundo en el tema y proporciona una metodología para implementar la gestión de la seguridad de la información en una organización  Esta norma permite que una empresa sea certificada lo que significa que una entidad de certificación independiente confirma que la seguridad de la información ah sido implementada en la organización en cumplimiento con la norma ISO 27001 FUNCIONAMIENTO

 Protege la confidencialidad, integridad y disponibilidad de la información de la empresa  Las medidas de seguridad que se van a implementar se presentan, por lo general bajo la forma de políticas, procedimientos e implementación técnica como software y equipos IMPORTANCIA

   

Cumplir con los requerimientos legales Obtener una ventaja comercial Menores costos Una mejor organización

ISO / IEC 27001 SE DIVIDE EN 11 SECCIONES MAS EL ANEXO A

 

Sección de 0-3 no son obligatorias para la implementación Sección de 4-10 son obligatorias para la implementación            

Sección 0 – introducción Sección 1 – alcance Sección 2 – referencias normativas Sección 3 – términos y definiciones Sección 4 – contexto de la organización Sección 5 – liderazgo Sección 6 – planificación Sección 7 – apoyo Sección 8 – funcionamiento Sección 9 – evaluación del desempeño Sección 10 – mejora Anexo A – este anexo proporciona un catálogo de 114 controles (medidas de seguridad) distribuidos en 14 secciones (secciones a.5 a a.18).

PARA IMPLEMENTAR LA NORMA ISO 27001 SE TIENE QUE SEGUIR ESTOS 16 PASOS: 1) 2) 3) 4) 5) 6) 7)

Obtener El Apoyo De La Dirección Utilizar Una Metodología Para Gestión De Proyectos Definir El Alcance Del Sgsi Redactar Una Política De Alto Nivel Sobre Seguridad De La Información Definir La Metodología De Evaluación De Riesgos Realizar La Evaluación Y El Tratamiento De Riesgos Redactar La Declaración De Aplicabilidad

8) Redactar El Plan De Tratamiento De Riesgos 9) Definir La Forma De Medir La Efectividad De Sus Controles Y De Su SGSI 10) Implementar Todos Los Controles Y Procedimientos Necesarios 11) Implementar Programas De Capacitación Y Concienciación 12) Realizar Todas Las Operaciones Diarias Establecidas En La Documentación De Su SGSI 13) Monitorear Y Medir Su Sgsi 14) Realizar La Auditoría Interna 15) Realizar La Revisión Por Parte De La Dirección 16) Implementar Medidas Correctivas

ISO 27005 / IEC DEFINICIÓN:  Es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información.  La norma suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001.  Es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los riesgos que puedan complicar la seguridad de la información de su organización.  No recomienda una metodología concreta, dependerá de una serie de factores, como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI), o el sector comercial de la propia industria. ESTABLECIMIENTO DEL CONTEXTO: El punto inicial es establecer el contexto sobre el cual se va llevar a cabo la gestión del riesgo de la seguridad de la información; para lo cual se deberá de agenciarse de toda la documentación necesaria de la organización esta documentación puede incluir registros vitales (procedimientos, políticas, reglamentos, etc.). Establecer el contexto implica, definir los criterios básicos que son necesarios y definir cuál es el propósito de la Gestión del Riesgo de la Seguridad de la Información. El propósito puede ser para:  Apoyar o dar soporte a un SGSI;  Aplicar la ley y evidenciar diligencia debida;

 Preparar un plan para la continuidad del negocio;  Preparar un plan de respuesta a incidentes  Describir los requisitos de seguridad de la información para un producto, un servicio o un mecanismo. Es aconsejable seleccionar o desarrollar un enfoque adecuado para la gestión del riesgo que aborde los criterios básicos tales como: criterios de evaluación del riesgo, criterios de impacto, criterios de aceptación del riesgo. Además, la organización debería evaluar si los recursos necesarios están o no disponibles para:

Realizar una evaluación del riesgo y establecer un plan de tratamiento para el riesgo; Definir e implementar las políticas y los procedimientos, que incluyan la implementación delos controles seleccionados;  Monitorear los controles ;  Monitorear los procesos de gestión del riesgo en la seguridad de la información.  

El establecimiento del contexto debe definir un alcance y un límite de la gestión del riesgo en la seguridad de la información, con el fin de garantizar que todos los activos relevantes se toman en consideración en la valoración del riesgo. El alcance y límite debe basarse en la misión, sus valores, su estructura y su estrategia, sus lugares y el medio ambiente cultural; también debe considerarse las limitaciones presupuestarias, culturales, políticas y técnicas. Se recomienda establecer y mantener la organización, roles y las responsabilidades en el proceso de gestión del riesgo y la seguridad de la información como por ejemplo:

   

 

Desarrollar el proceso de gestión del riesgo en la seguridad de la información que sea adecuado para la organización. Identificar y analizar las partes interesadas. Definir las funciones y las responsabilidades de todas las partes, tanto internas como externas, de la organización. Establecer las relaciones necesarias entre la organización y las partes interesadas, así como las interfaces con las funciones de la gestión del riesgo de alto nivel de la organización (por ejemplo, gestión del riesgo operativo), y las interfaces con otros proyectos o actividades relevantes. Definir las rutas para escalar decisiones. Especificar los registros que se deben conserva

EVALUACION DEL RIESGO EN SEGURIDAD DE LA INFORMACION Consta de un Análisis de Riesgos y Evaluación del Riesgo. El Análisis del Riesgo Es un proceso que consiste en:  Identificar los Riesgos,  Estimación del Riesgo  La Evaluación del Riesgo

TRATAMIENTO DEL RIESGO La organización adopta en base a la evaluación realizada del riesgo el tratamiento aplicado al activo de información, este puede clasificar como una de las siguientes opciones:  Reducir el riesgo: Aplicar controles para disminuir la probabilidad de ocurrencia o el impacto sobre el activo  Aceptar el riesgo: En el caso de que el control sea más costoso que el activo a proteger.  Evitar el riesgo: Cuando se decide cancelar procesos o actividades que generan un riesgo alto.  Transferir el riesgo: Cuando se administra a través de terceros

ACEPTACIÓN DEL RIESGO EN LA SEGURIDAD DE LA INFORMACIÓN En el caso se opte como un tratamiento del riesgo el Aceptar, esta decisión debe ser documentada y registrada por Alta Dirección. COMUNICACIÓN DE LOS RIESGOS La información acerca del riesgo se debería intercambiar y/o compartir entre la persona que toma la decisión y las otras partes involucradas. MONITOREO Y REVISIÓN DEL RIESGO EN LA SEGURIDAD DE LAINFORMACIÓN Los riesgos y sus factores deben ser periódicamente revisado y la información que resulte delas revisiones debe servir como insumo para las siguientes iteraciones del Sistema.