Seminario Iso 27001
Short Description
Download Seminario Iso 27001...
Description
Organización Internacional de Normalización
www.iso.org PR/mo/item ID Date
ISO 27001
1
ISO/IEC 27001 – Sistema de Gestión de la Seguridad de la Información Por Dra. Angelika Plate
Bogota, Colombia, 9-11 de diciembre
PR/mo/item ID Date
ISO 27001
2
La Familia de las Normas 27000 & ISO/IEC 27001
PR/mo/item ID Date
ISO 27001
3
ISO/IEC JTC1 SC 27 WG1 Normas del SGSI Presidente Prof. Ted Humphreys Vicepresidente Angelika Plate
WG4 Servicios de SGSI Presidente Meng-Chow Kang
ISO/IEC JTC1 SC27 Presidente Dr. Walter Fumy Vicepresidente Dr. Marijike de Soete Secretaria Krystyna Passia (DIN)
WG2 Técnicas de Seguridad Presidente Prof. Kenji Namura
PR/mo/item ID Date
WG5 Privacidad, Gestión de ID y Biométrica Presidente -por definirse-
WG3 Evaluación de la Seguridad Presidente Mats Ohlin
ISO 27001
4
PR/mo/item ID Date
Gestión del del riesgo riesgo de de SGSI SGSI Gestión [27005] [27005]
Mediciones de de la la gestión gestión de de Mediciones la seguridad seguridad de de la la la información [27004] [27004] información
Guía de de implementación implementación del del Guía SGSI [27003] [27003] SGSI
Controles de de la la seguridad seguridad de de Controles la información información (ex17799) (ex17799) la [27002] [27002]
Panorama general general & & Panorama terminología del del SGSI SGSI terminología [27000] [27000]
Sistema Sistema de de Gestión Gestión de de la la Seguridad Seguridad de de la la Información Información (SGSI) (SGSI) [27001] [27001] Requisitos Requisitos de de acreditación acreditación para para el el SGSI SGSI [27006] [27006]
Directrices Directrices de de auditoría auditoría del del SGSI SGSI [27007] [27007] PROYECTO PROYECTO NUEVO NUEVO
Acreditación y certificación
Material de orientación y apoyo a 27001 ISO 27001 5
Normas 27000 Norma
Título
Estado
27000
Panorama General y Vocabulario
FDIS
27001
Requisitos para el SGSI
Publicada – actualizada ahora
27002
Código de Práctica para la Gestión de la Seguridad de la Información
Publicada – actualizada ahora
27003
Guía de Implementación del SGSI
FCD
27004
Mediciones de la GSI
2do. FCD
27005
Gestión del Riesgo del SGSI
Publicada
27006
Requisitos de Acreditación para organismos de certificación
Publicada
27007
Directrices de Auditoría del SGSI
WD
PR/mo/item ID Date
ISO 27001
6
Modelo Modelo DCA SGSI PHVAModel
PLANIFICAR
ACTUAR
HACER
VERIFICAR
Implementa ción & operación del SGSI
Seguimiento & revisión del SGSI
Diseño del SGSI
Mantenimiento & mejora del SGSI
Ciclo de Vida del SGSI PR/mo/item ID Date
ISO 27001
7
Information Security Management System (SGSI) Process Model Actualización & Mejora del SGSI (mejorar o implementar nuevos controles, políticas, procedimientos…) Actuar
Seguimiento & Revisión del SGSI (incidente, cambios, reevaluación de los riesgos, hojas de evaluación, auditorías…)
Planificar
PHVA PHVA Verificar
Diseño del SGSI (evaluación del riesgo, tratamiento del riesgo, selección de los controles …)
Hacer Implementación y Utilización del SGSI (implementar y ensayar los controles, políticas, procedimientos, procesos…)
Implementación de procesos de gestión del riesgo para alcanzar un SGSI eficaz mediante un proceso de mejora continua PR/mo/item ID Date
ISO 27001
8
Requisitos del SGSI Puntos sobresalientes y características Enfoque de gestión del riesgo evaluación del riesgo, tratamiento del riesgo, toma de decisiones por parte de la Dirección Modelo de mejora continua Medidas de eficacia Especificación de auditoría (Auditoría interna y externa del SGSI) Está ahora en revisión PR/mo/item ID Date
ISO 27001
9
Norma ISO/IEC 27002 Código de Práctica para la gestión de la Seguridad de la Información Un catálogo de Prácticas Eficaces Sugiere un grupo de controles holísticos No es una norma de certificación o de auditoría Política de seguridad Organización de la seguridad de la información Gestión de activos Seguridad de los recursos humanos Seguridad física & del entorno Gestión de operaciones & comunicaciones Control del acceso Adquisición, desarrollo y mantenimiento de los sistemas de información Gestión de los incidentes de seguridad de la información Gestión de la continuidad del negocio PR/mo/item ID Date
Cumplimiento ISO 27001
10
Código de Práctica para la gestión de la seguridad de la información Desde la primavera de 2007 a la norma ISO/IEC 17799 se le dio nueva numeración como 27002 La norma está ahora en revisión
PR/mo/item ID Date
ISO 27001
11
¿Qué hay en la norma ISO/IEC 27003? Una guía para avanzar en la implementación de los requisitos definidos en la norma 27001 El alcance incluye orientación sobre implementación en: Asesoramiento detallado y ayuda en lo concerniente a los procesos PHVA Alcance y política del SGSI Identificación de activos Implementación de controles seleccionados Seguimiento y revisión y mejora continua PR/mo/item ID Date
ISO 27001
12
¿Qué hay en la norma ISO/IEC 27004? Orientación sobre las mediciones de la gestión de la seguridad de la información para apoyar los requisitos de medición y eficacia definidos en la norma 27001 ¿Qué, cómo y cuándo medir? Desempeño, benchmarking, seguimiento y revisión de la eficacia del SGSI para ayudar en la toma de decisiones empresariales y mejoras al SGSI PR/mo/item ID Date
ISO 27001
13
¿Qué hay en la norma ISO/IEC 27005? Orientación en la gestión del riesgo del SGSI para apoyar la evaluación, tratamiento y gestión del riesgo, y la selección de los requisitos de los controles definidos en la norma 27001 Orientación detallada para los implementadores del SGSI, encargados de la gestión del riesgo, oficiales de seguridad … Publicada
PR/mo/item ID Date
ISO 27001
14
¿Qué hay en la norma ISO/IEC 27006? Requisitos de Acreditación del SGSI Requisitos específicos del SGSI para complementar los requisitos genéricos en la norma ISO 17021-1 Sustituye a EA 7/03 Publicada en enero de 2007
PR/mo/item ID Date
15 ISO 27001
15
NORMA ISO/IEC 27007 Directrices de Auditoría del SGSI Orientación específica del SGSI para complementar la norma ISO 19011 Manejar la orientación a los auditores en temas como: Establecimiento de los rastros de auditoría del SGSI Auditoría de evidencia forense Alcances del SGSI Mediciones
PR/mo/item ID Date
16 ISO 27001
16
Evolución
BS 7799-1:1995 BS 7799-1:1999
BS 7799-2:1999
ISO/IEC 17799:2000
BS 7799-2:2002
ISO/IEC 17799:2005
ISO/IEC 27001:2005
15 junio/05 Código de práctica para la gestión de la seguridad de la información
PR/mo/item ID Date
BS 7799-2:1998
15 Oct/05 Requisitos del SGSI
ISO 27001
17
PR/mo/item ID Date
Recuperación Recuperación de de desastres, desastres, seguridad seguridad de de las las redes redes de de TI, TI, servicios servicios TTP, TTP, IDS, IDS, manejo manejo del del incidente, incidente, aplicaciones aplicaciones de de red, red, gestión gestión de de la la identificación, identificación, ciber ciber ....
Técnicas Técnicas criptográficas, criptográficas, protocolos protocolos de de autenticación, autenticación, técnicas técnicas biométricas, biométricas, tecnologías tecnologías de de privacidad privacidad … … Requisitos para para el el cuidado cuidado de de la la salud salud [270xx/27799] [270xx/27799] Requisitos
Requisitos para para el el transporte transporte [2701x] [2701x] Requisitos
Requisitos para para los los automotores automotores [2701x] [2701x] Requisitos
Requisitos para para las las telecomunicaciones telecomunicaciones [27011] [27011] Requisitos
Gestión del del riesgo riesgo del del SGSI SGSI Gestión [27005] [27005]
Mediciones de de la la gestión gestión de de Mediciones la seguridad seguridad de de la la la información [27004] [27004] información
Guía de de implementación implementación del del Guía SGSI [27003] [27003] SGSI
[27000] [27000] Controles de de la la seguridad seguridad de de Controles la información información (ex17799) (ex17799) la [27002] [27002]
Panorama general general & & Panorama terminología del del SGSI SGSI terminología Sistema Sistema de de Gestión Gestión de de la la Seguridad Seguridad de de la la Información Información (SGSI) (SGSI) [27001] [27001]
Requisitos Requisitos de de Acreditación Acreditación para para el el SGSI SGSI [27006] [27006] Requisitos para para los los sistemas sistemas financieros financieros [2701x] [2701x] Requisitos
Requisitos para para WLA WLA (Asociación (Asociación de de Lotería Lotería Mundial) Mundial) [2701x] [2701x] Requisitos
Requisitos Requisitos de de Acreditación Acreditación [17021] [17021] Directrices Directrices de de auditoría auditoría [19011 [19011 & & 27007] 27007]
Producto Producto sistema sistema evaluación aseguramiento evaluación & & aseguramiento de de la la 18 seguridad seguridad ISO 27001 18
NORMA ISO/IEC 18044 Gestión de manejo de los incidentes de seguridad de la información Apoya los controles de manejo de los incidentes en ISO/IEC 27002 Proporciona patrones y asesoramiento más técnico sobre cómo implementar esquemas para el manejo del incidente Publicada en 2005
ISO/IEC 18044 PR/mo/item ID Date
ISO 27001
19
NORMA ISO/IEC 24762 Servicios de Recuperación de desastres El borrador de trabajo es la Norma de Singapur SS 507 para los proveedores de servicios para la recuperación de desastres. En desarrollo en la nueva WG 4 Publicada PR/mo/item ID Date
ISO 27001
20
SGSI 27001
PR/mo/item ID Date
21 ISO 27001
21
PDCA SGSI SGSI PHVA Model
PLANIFICAR
ACTUAR
HACER
VERIFICAR
Implementación & operación del SGSI
Seguimiento & revisión del SGSI
Diseño del SGSI
Mantenimiento & mejora del SGSI
Ciclo de Vida del SGSI PR/mo/item ID Date
ISO 27001
22
Alcance del SGSI Alcance del SGSI (4.2.1 (a)) Diseño del SGSI
1. Definir el alcance y límites del SGSI 2. Corresponde completamente a la organización definir el alcance del SGSI 3. Se deben identificar las interfaces y dependencias Alcance del SGSI – Toda la Organización Límite
Alcance del SGSI – Parte de la Organización
PR/mo/item ID Date
Límite
ISO 27001
23
Alcance del SGSI Alcance del SGSI (4.2.1 (a)) Diseño del SGSI
1. Definir el alcance y límites del SGSI 2. Corresponde completamente a la organización definir el alcance del SGSI 3. Se deben identificar las interfaces y
dependencias Proveedor de Servicios Externo
Alcance del SGSI
Cliente
PR/mo/item ID Date
Dpto. de Servicio de TI ISO 27001
24
Alcance del SGSI Ejemplos del Alcance del SGSI Diseño del SGSI
PR/mo/item ID Date
1. Departamento de ventas y compras 2. Outsourcing – servicios de gestión de datos 3. Servicios de reembolsos al cliente • Reclamaciones al seguro • Reclamaciones de cobertura médica • Reclamaciones de restitución de mercancías dañadas 4. Banca en línea 5. Servicios organizacionales de TI internos
ISO 27001
25
Política del SGSI Política del SGSI (4.2.1 (b)) Diseño del SGSI
Declaración de Política de Seguridad de la Información Objetivos ……………………………………. ………………………………………………… Definición de seguridad de la información ……......... ................................................................... Requisitos y reglas de la política ……………………………….. ………………………………………………… …………………………………………………
1. Definir la política del SGSI que define un marco para establecer los objetivos y la dirección para la seguridad de la información: • • • •
Tiene en cuenta todos los requisitos aplicables, legales, contractuales y empresariales Se alinea con el contexto global de gestión del riesgo de la organización Establece los criterios para la evaluación del riesgo Ha sido aprobada por la dirección
Firmado y aprobado por …………. Fecha ………………..
PR/mo/item ID Date
ISO 27001
26
Evaluación del Riesgo del SGSI Evaluación del Riesgo (4.2.1 (c)-(e)) Diseño del SGSI
1. Definir el enfoque 2. Identificar y evaluar los riesgos
activo
amenazas
aprovechan
vulnerabilidades
riesgos PR/mo/item ID Date
devaluaciones, daños a, etc.
impactos
• Activos y sus valores • Amenazas y vulnerabilidades • Riesgos e impactos Ejemplo A: Activo – registros del cliente – la sensibilidad y el valor comercial son altos en términos financieros Amenazas – acceso, fuga y modificación no autorizados Vulnerabilidades – Control del acceso carente o inapropiado, falta de control de autenticación, falta de control sobre el procesamiento de la información Riesgo – alto Impacto - alto ISO 27001
27
Tratamiento del riesgo del SGSI Tratamiento del riesgo (4.2.1 (f)) Diseño del SGSI
1. Opciones •
Reducir el riesgo – implementar controles
•
Aceptar el riesgo – el impacto con
el cual la compañía puede vivir financieramente • Transferir el riesgo – seguros o mediante contratos • Evitar el riesgo – no comprometerse en un proyecto que pueda originar el riesgo 2. Toma de decisiones de la dirección • Criterios de aceptación del riesgo y riesgos residuales • Requisitos empresariales • Costo y recursos PR/mo/item ID Date
ISO 27001
28
Selección de los controles del SGSI Selección de los controles (4.2.1 (g)) Diseño del SGSI
1. Los controles se seleccionan primordialmente del Anexo A con base en los resultados de la evaluación del riesgo (los controles de otras listas/normas pueden complementar lo que no se encuentre en el Anexo A) y la decisión tomada durante la fase de tratamiento del riesgo 2. Para la selección se necesitarán los criterios de la compañía para aceptar el riesgo 3. Al realizar la selección se debe tomar en cuenta otros requisitos, como los legales Continuación del Ejemplo A: • •
PR/mo/item ID Date
Implementar mejores mecanismos de autenticación y acceso en los sistemas de TI que contienen los registros del cliente ¿Cuáles controles del Anexo A pueden ser aplicables? ISO 27001
29
Aprobación de la dirección Aprobación de la dirección Diseño del SGSI
(4.2.1 (h)-(i)) Aprobación de los riesgos residuales Aprobación y autorización para implementar los controles del SGSI
PR/mo/item ID Date
ISO 27001
30
Declaración de Aplicabilidad Declaración de Aplicabilidad (4.2.1 (j)) Diseño del SGSI
Lista de los controles seleccionados para implementacion, más aquellos controles actualmente implementados y los controles no implementados (exclusiones)
�
con justificación/razones del por qué
los controles han o no han sido implementados Flujo de desarrollo del SGSI Riesgos identificados y evaluados PR/mo/item ID Date
Decisión de tratamiento del riesgo
Implementación de controles
Revisión y verificación de auditoría del SGSI
ISO 27001
31
Tratamiento del Riesgo del SGSI Tratamiento del Riesgo (4.2.2 (a)-(c)) 1. Formular plan para el tratamiento del riesgo • • Implementación & operación del SGSI
El objetivo es manejar los riesgos a través de la acciones identificadas en la fase de PLANIFICACIÓN Identificar acciones, prioridades, recursos, responsabilidades de la Dirección
2. Implementar el plan de tratamiento del riesgo 3. Implementar los controles seleccionados • • • • • PR/mo/item ID Date
Políticas Procedimientos Control de los recursos humanos Controles de los proveedores de servicios, contratos, SLA (Acuerdos de nivel de servicios) Controles técnicos ISO 27001
32
Medición de la Eficacia Eficacia (4.2.2 (d))
Implementación & operación del SGSI
1. Definir un grupo de mediciones y adoptar un conjunto de métodos para la medición de la eficacia de los controles implementados – luego de la implementación y en períodos regulares de ahí en adelante • • •
PR/mo/item ID Date
Especificar cómo medir la eficacia de los controles o de los grupos de controles seleccionados Especificar cómo estas mediciones se utilizarán para evaluar la eficacia de los controles Asegurar resultados comparables y reproducibles
ISO 27001
33
Acciones de la Dirección del SGSI Acciones de la Dirección (4.2.2 (f)(h)) 1.
Implementación & operación del SGSI
PR/mo/item ID Date
2.
Gestionar los recursos y operaciones para la operación efectiva de los controles del SGSI Asegurar un grupo efectivo de procedimientos y recursos que estén disponibles para el manejo de incidentes
ISO 27001
34
Seguimiento y Revisión del SGSI Seguimiento & Revisiones (4.2.3)
Seguimiento & revisión del SGSI
1. Medir el desempeño, realizar benchmarking, etc., para verificar la eficacia de los controles 2. Ejecutar procedimientos de seguimiento y revisión para determinar que todo funciona como se espera, que incluyen: • • • • • •
PR/mo/item ID Date
Intentos de acceso Uso de los procedimientos Detección de errores Detección de intentos de violación e incidentes Eficacia Resultados de la evaluación del riesgo
ISO 27001
35
Seguimiento y Revisión del SGSI Seguimiento & Revisiones (4.2.3) 3. Rastrear los cambios • • • Seguimiento & revisión del SGSI
• •
Riesgos, amenazas Maneras de hacer negocios, nuevas empresas del mercado, nuevos proyectos Cambios en la mano de obra, base de clientes, sociedades de negocios Tecnología Leyes y reglamentaciones
4. Emprender revisiones regulares (revisiones de la dirección) y auditorías (internas y externas) del SGSI, teniendo en cuenta: • • • • • PR/mo/item ID Date
Informes de gestión de incidentes Mediciones de la eficacia Sugerencias y retroalimentación Informes de auditoría Acciones de la Dirección y su conclusión ISO 27001
36
Seguimiento y Revisión del SGSI Seguimiento & Revisiones (4.2.3) 5. Actualizar toda la documentación pertinente
Seguimiento & revisión del SGSI
PR/mo/item ID Date
• • • • •
Políticas Procedimientos Planes Programación de ensayos Revisión y auditoría de manuales
ISO 27001
37
Mejoras del SGSI Actualización & mejora (4.2.4 y 8.1Mejoras del SGSI
8.3) 1. Implementar las mejoras identificadas en la fase de VERIFICACIÓN 2. Emprender acciones correctivas y preventivas (consultar más en el artículo 8 del SGSI Mejora) 3. Comunicar las acciones y mejoras a todas las partes interesadas 4. Asegurarse de que las mejoras funcionen como se espera 5. Capacitar de nuevo al personal
PR/mo/item ID Date
ISO 27001
38
Documentación del SGSI
Diseño del SGSI
Documentación Mejora del SGSI
Ciclo de Vida del SGSI Implementación & Operación del SGSI
PR/mo/item ID Date
Seguimiento & Revisión del SGSI
Alcance y Declaración de Política del SGSI Informe de Evaluación del Riesgo Plan de Tratamiento del Riesgo Declaración de Aplicabilidad Procedimientos del SGSI Manuales del SGSI Manuales de Auditoría
�
ISO 27001
39
Documentación del SGSI Controles (4.3.2) Controlar y proteger los documentos, utilizando procedimientos para: Aprobación, revisión, actualización y reaprobación Control de versiones y cambios Diseño del SGSI
Mejora del SGSI
Ciclo de Vida del SGSI Implementación & Operación del SGSI
Seguimiento & Revisión del SGSI
Asegurar que los documentos sean válidos y accesibles Asegurar la disponibilidad para todo el que tenga derecho al acceso Identificar el origen y la distribución Impedir el uso no previsto Aplicar la identificación y etiquetado adecuados
�
PR/mo/item ID Date
ISO 27001
40
Registros del SGSI
Diseño del SGSI
Registros Mejora del SGSI
Ciclo de Vida del SGSI Implementación & Operación del SGSI
PR/mo/item ID Date
Seguimiento & Revisión del SGSI
Registro del manejo de incidentes Registros del personal Registros de capacitaciones Registros de contratos, ventas y entregas a los clientes Registros de ventas Registros financieros Registros de ensayos Registros de Benchmarking
�
ISO 27001
41
Registros del SGSI Controles (4.3.3) Se deben establecer registros para suministrar evidencia de la conformidad con la norma Diseño del SGSI
Implementación & Operación del SGSI
Mejora del SGSI
Seguimiento & Revisión del SGSI
Para fines de certificación, el SGSI debe haber estado en operación por al menos 4-6 meses para tener la evidencia suficiente Los registros deben protegerse de la misma manera que toda la documentación Los requisitos para la documentación y los registros son los mismos que para otros sistemas de gestión
�
PR/mo/item ID Date
ISO 27001
42
Compromiso de la Dirección La Dirección debe estipular su compromiso al: Establecer la política, objetivos y planes del SGSI Establecer roles y responsabilidades para la seguridad de la información Comunicar la importancia de la seguridad de la información Proporcionar los recursos suficientes para el SGSI Decidir los criterios para la aceptación del riesgo Asegurar las auditorías internas del SGSI Realizar revisiones por parte de la Dirección PR/mo/item ID Date
ISO 27001
43
Provisión de Recursos La organización debe determinar y suministrar los recursos necesarios para: Establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI Garantizar que la seguridad de la información brinda apoyo a los requisitos del negocio Identificar y atender los requisitos legales y reglamentarios y las obligaciones de seguridad contractuales Mantener la seguridad adecuada mediante la aplicación correcta de todos los controles implementados PR/mo/item ID Date
Llevar a cabo revisiones y mejorar la eficacia del SGSI donde se requiera. ISO 27001
44
Formación, Toma de Conciencia & Competencia La organización debe asegurar personal competente mediante: La determinación de las competencias necesarias para el personal en el SGSI El suministro de formación o la realización de otras acciones (por ej. la contratación de personal competente) para satisfacer estas necesidades La evaluación de la eficacia de las acciones emprendidas El mantenimiento de registros de la educación, formación, habilidades, experiencia y calificaciones Asegurar la toma de conciencia del personal en el SGSI PR/mo/item ID Date
ISO 27001
45
Auditorías Internas del SGSI La organización debe llevar a cabo auditorías internas del SGSI a intervalos planificados para asegurar que el SGSI: Cumple los requisitos de la norma ISO/IEC 27001 y de la legislación y reglamentaciones pertinentes; Cumple los requisitos identificados de seguridad de la información; Los procesos y controles del SGSI son implementados y mantenidos eficazmente y su desempeño es acorde con lo esperado
PR/mo/item ID Date
ISO 27001
46
Auditorías Internas del SGSI Se debe planificar el programa de auditorías Se deben definir los criterios, el alcance, la frecuencia y los métodos de la auditoría Se debe asegurar la imparcialidad e independencia de los auditores Se deben definir las responsabilidades para la planificación y realización de la auditoría y para el reporte La Dirección es responsable del seguimiento de las acciones apropiadas para reaccionar a cualquier noconformidad que se identifique PR/mo/item ID Date
ISO 27001
47
Revisión del SGSI por la Dirección Revisión del SGSI por la Dirección (7.1-7.3) Diseño del SGSI
Mejora del SGSI
Implementación & operación del SGSI Seguimiento & revisión del SGSI
Revisión por la Dirección 1. Por lo menos una vez al año 2. Verificación para asegurar la conveniencia, suficiencia y eficacia continuas del SGSI 3. Oportunidades de mejoras 4. Actualización de las políticas, procedimientos, planes, objetivos … 5. La revisión da como resultado documentos y acciones de reuniones que deben registrarse PR/mo/item ID Date
ISO 27001
48
Revisión del SGSI por la Dirección Revisión del SGSI por la Dirección (7.1-7.3) Diseño del SGSI
Mejora del SGSI
Implementación & operación del SGSI Seguimiento & revisión del SGSI
Entradas para la revisión 1. Resultados de revisiones, auditorías, mediciones de la eficacia, reportes de incidentes, registros operacionales 2. Retroalimentación desde el personal, clientes, socios de negocios, proveedores 3. Perfiles de amenaza, vulnerabilidad y riesgo 4. Controles, tecnología, procedimientos para mejora del SGSI nuevos o adicionales 5. Acciones de seguimiento – que incluyen el estado de las acciones correctivas y preventivas PR/mo/item ID Date
ISO 27001
49
Revisión del SGSI por la Dirección Revisión del SGSI por la Dirección (7.1-7.3) Diseño del SGSI
Implementación & operación del SGSI
Mejora del SGSI
Seguimiento & revisión del SGSI
Salidas de la Revisión 1. 2. 3. 4. 5.
Definición de las mejoras del SGSI Objetivos de eficacia y mejoras a los métodos y medidas Actualizaciones de la evaluación del riesgo y los planes de tratamiento Actualizaciones de políticas, procedimientos, planes Reformulación de las necesidades de recursos, re-operación y definición de roles y responsabilidades
PR/mo/item ID Date
ISO 27001
50
Mejoras del SGSI La organización debe mejorar continuamente la eficacia del SGSI Acciones correctivas Identificar las no-conformidades y sus causas Determinar e implementar las acciones correctivas Acciones Preventivas Identificar las no-conformidades potenciales Determinar e implementar las acciones preventivas Todas las acciones deben registrarse y revisarse PR/mo/item ID Date
ISO 27001
51
Conformidad & Certificación
PR/mo/item ID Date
52 ISO 27001
52
Certificación Partes interesadas Organismos de acreditación, Organismos de Certificación y Usuarios Finales Documentos y normas de certificación Proceso de Acreditación Proceso de Certificación Auditores Todos los certificados registrados en la actualidad pueden consultarse en www.iso27001certificates.com PR/mo/item ID Date
ISO 27001
53
Acreditación Certificación
Organismo de Acreditación (OA) Asesores
Auditorías atestiguadas
Evaluación de los sistemas/procesos de alta calidad del organismo de certificación para llevar a cabo y administrar las certificaciones
Organismo de Certificación (OC) Auditores
Auditorías de certificación del SGSI • Auditoría inicial • Auditorías de seguimiento (cada 6-12 meses) • Auditorías de re-certificación (cada 3 años)
SGSI
PR/mo/item ID Date
Organización
ISO 27001
54
Documentos y Normas de Certificación Norma de Certificación ISO/IEC 27001:2005 (antes BS 7799 Parte:2002) Directrices para Acreditación ISO/IEC 17021 (antes Guía ISO 62/EN 45012) ISO/IEC 27006 (antes EA 7/03), ISO 19011 Documentos de apoyo ISO/IEC 27002
PR/mo/item ID Date
ISO 27001
55
Acreditación Certificación
Organismo de Acreditación (OA) Asesores
Documentos empleados: (a) ISO/IEC 17021 (b) ISO 19011 (c) ISO/IEC 27006
Evaluación de los sistemas/procesos de alta calidad del organismo de certificación para Auditorías atestiguadas llevar a cabo y administrar las certificaciones
Organismo de Certificación (OC) Auditores
Documentos empleados: (d) ISO/IEC 27001:2005 (c) ISO/IEC 27006
Auditorías de certificación del SGSI • Auditoría inicial • Auditorías de seguimiento (cada 6-12 meses) • Auditorías de re-certificación (cada 3 años)
SGSI
PR/mo/item ID Date
Organización
ISO 27001
56
Proceso de Auditoría del SGSI
La realización de la auditoría inicial de dos etapas – tiene como intención el otorgamiento del certificado
Auditoría Inicial de Certificación Acciones correctivas para manejar las noconformidades
desaprueba desaprueba El cliente decide no Aprueba/desaprueba seguir Aprueba – otorgamiento del certificado Acciones correctivas para manejar las noconformidades
Auditorías de seguimiento Típicamente cada 6-9 meses durante los tres años de período de validación de la certificación
El cliente solicita la re-certificación
no
El cliente decide no seguir
Auditoría de Re-certificación sí PR/mo/item ID Date
Tres años después del otorgamiento del certificado ISO 27001
57
Proceso de Auditoría del SGSI Típicamente el proceso inicial de auditoría involucra dos etapas: Etapa 1 de la Auditoría Revisión de los documentos del SGSI …
Etapa 2 de la Auditoría Visita en el sitio Reuniones con el equipo de la Dirección y entrevistas con el personal Observación y evaluación del SGSI en funcionamiento Revisión y discusión de los hallazgos, documentos, registros, informes … Recopilación de la evidencia objetiva PR/mo/item ID Date
ISO 27001
58
Auditorías del SGSI – Etapa 1 Etapa 1 de la Auditoría En esta etapa de la auditoría, el organismo de certificación debe obtener la documentación sobre el diseño del SGSI abarcando la documentación requerida en el Artículo 4.3.1 de la norma ISO/IEC 27001. El objetivo de la etapa 1 de la auditoría es suministrar un enfoque para la planificación de la etapa 2 de la auditoría, al obtener una comprensión del SGSI en el contexto de las políticas y objetivos del SGSI de la organización del cliente, y, en particular, del estado de preparación para la auditoría por parte de la organización del cliente. La etapa 1 de la auditoría incluye la revisión de documentación, pero no debe restringirse sólo a ella. El organismo de certificación debe acordar con la organización del cliente cuándo y dónde debe realizarse la revisión de la documentación. En todo caso, la revisión debe completarse antes del inicio de la etapa 2 de la auditoría. Los resultados de la etapa 1 de la auditoría deben documentarse en un informe escrito. El organismo de certificación debe revisar el informe de la etapa 1 de la auditoría antes de proseguir con la etapa 2 y para seleccionar el equipo de miembros para la etapa 2 de la auditoría con la competencia necesaria. El organismo de certificación debe hacer que la organización del cliente se entere de los tipos de información y registros adicionales que pueden requerirse para una revisión detallada durante la etapa 2 de la auditoría. PR/mo/item ID Date
ISO 27001
59
Auditorías del SGSI – Etapa 2 Etapa 2 de la Auditoría •
Los objetivos de esta auditoría son: Confirmar que la organización del cliente se ajusta a sus propias políticas, objetivos y procedimientos; Confirmar que el SGSI cumple con todos los requisitos de la norma ISO/IEC 27001 y que satisface los objetivos de la organización.
PR/mo/item ID Date
•
Esta auditoría siempre se lleva a cabo en las instalaciones de la organización.
•
El organismo de certificación elabora un borrador de plan de auditoría para esta etapa 2 de la auditoría con base en los hallazgos de la etapa 1. ISO 27001
60
Auditorías del SGSI – Etapa 2 La auditoría debería enfocarse hacia los siguientes aspectos de la organización Evaluación de la seguridad de la información y riesgos relacionados y que dicha evaluación produzca resultados comparables y reproducibles Selección de objetivos de control y controles con base en la evaluación del riesgo y los procesos de tratamiento del riesgo Revisiones de la efectividad del SGSI y mediciones de la eficacia de los controles de seguridad de la información, realizando el reporte y la revisión contra los objetivos del SGSI Correspondencia entre los controles seleccionados e implementados, la Declaración de Aplicabilidad y los resultados de la evaluación del riesgo y el proceso de tratamiento del riesgo, y la política y los objetivos del SGSI Programas, procesos, procedimientos, registros, auditorías internas y revisiones de la eficacia del SGSI para garantizar que sean trazables a las decisiones de la Dirección y la política y objetivos del SGSI
PR/mo/item ID Date
ISO 27001
61
Proceso de Auditoría del SGSI
Rastro de auditoría
Política del SGSI, objetivos, requisitos empresariales y objetos
Riesgos identificados y evaluados
Decisión sobre el tratamiento del riesgo para reducir los riesgos identificados Controles selecionados con base en la decisión sobre el tratamiento del riesgo Controles para implementación
PR/mo/item ID Date
resultados de evaluacónes del riesgo de la seguridad de la información
Decisiones de tratamiento del riesgo
Declaración de Aplicabilidad
ISO 27001
62
Acreditación Certificación
Organismo de acreditación (OA) Evaluadores
Equipo de Dirección del OC Reporte de los equipos de auditoría
Equipo auditor
Organismo de Certificación (OC)
Hallazgos de auditoría verificados y aprobados
Si: certificado otorgado SGSI
PR/mo/item ID Date
Organización
No: acción de seguimiento emprendida
ISO 27001
63
Calificaciones del auditor de SGSI ISO/IEC 19011 (Directrices de la auditoría) (www.iso.org) Educación Experiencia industrial Formación Experiencia en auditoría
Auditores certificados IRCA (www.irca.org) Auditor provisional Auditor Auditor líder
Se están desarrollando más aspectos de la certificación personal para SGSI PR/mo/item ID Date
ISO 27001
64
2000 - 2006 EA7/03 de EA
PR/mo/item ID Date
2006 FDIS de ISO/IEC 27006
Enero/Feb 2007
Publicación planeada de ISO/IEC 27006 ISO 27001
65
ISO/IEC 27006 ISO/IEC 27006 es la norma de “Requisitos para la acreditación de organismos que ofrecen certificación deSGSI” Iniciativa conjunta de ISO, IAF yCASCO Con base en ISO/IEC 17021 ISO/IEC 27001
PR/mo/item ID Date
ISO 27001
66
Uso of „Debe“ y„Debería“ ISO/IEC 27006 contiene requisitos No existen requisitos para auditotías generales adicionales a ISO/IEC 17021 “Debe” se emplea para indicar requisitos obligatorios de ISO/IEC 17021, ISO/IEC 27001, o los resultantes de combinar las dos “Debería” tiene que ver con orientación, aunque presenta un método reconocido para el cumplimiento de los requisitos
PR/mo/item ID Date
ISO 27001
67
Estructura de ISO/IEC 27006 ISO/IEC 27006 sigue la estructura de ISO/IEC 17021 Declaración de alto nivel del contenido de los numerales de ISO/IEC 17021 Orientación SGSI – si existe orientación adicional necesaria para el SGSI, ésta se incluye aquí.
PR/mo/item ID Date
ISO 27001
68
Structure of ISO/IEC 27006 - Example
PR/mo/item ID Date
ISO 27001
69
¿Qué incluye ISO/IEC 27006? Sección 5 “Requisitos generales” Orientación especifica del SGSI en relación con la imparcialidad Listado del trabajo que pudiera estar en conflicto Inclusión de una lista de todas las actividades que se pueden realizar out Sección 6 “Estructura organizacional” No hay orientación especifica de SGSI, ISO/IEC 17021 se aplica PR/mo/item ID Date
ISO 27001
70
¿Qué incluye ISO/IEC 27006? Sección 7 “Requisitos de los recursos” 7.1 Orientación específica de SGSI en relación con la competencia de la Dirección 7.2 Orientación específica de SGSI en relación con la competencia del personal del OC Capacitación, niveles de educación, experiencia laboral pre-requeridos, etc. 7.3 Orientación específica de SGSI en relación con la subcontratación
PR/mo/item ID Date
ISO 27001
71
¿Qué incluye ISO/IEC 27006? Sección 8 “Requisitos de información” 8.1 Orientación específica de SGSI para otorgar mantener,… suspender certificados 8.2 Orientación específica de SGSI para documentos de certificación El certificado debe hacer referencia a la versión de la Declaración de Aplicabilidad Cierta orientación más específica de SGSI en relación con 8.4 Uso de sellos 8. 5 Confidencialidad PR/mo/item ID Date
ISO 27001
72
¿Qué incluye ISO/IEC 27006? Sección 9 “Requisitos del proceso” 9.1.1 Orientación específica de SGSI sobre requisitos generales de auditoría de SGSI para: Criterios de auditoría de certificación Políticas y procedimientos Equipo auditor
9.1.2 Orientación específica de SGSI en relación con el alcance El OC debe garantizar que el alcance se defina según se requiera en la norma ISO/IEC 27001 El OC debe garantizar que la evaluación del riesgo refleje el alcance Énfasis especial en las interfaces y la necesidad de manejarlas.
PR/mo/item ID Date
ISO 27001
73
¿Qué incluye ISO/IEC 27006? Sección 9 “Requisitos del proceso” 9.1.3 Orientación específica de SGSI sobre el tiempo de la auditoría Sin especificar un marco temporal en particular Listado de factores que pueden influir en el tiempo requerido para la auditoría Complejidad del SGSI, dimensión del alcance, tipo y diversidad de empresa, número de sitios,… Referencia al Anexo A.3 PR/mo/item ID Date
ISO 27001
74
¿Qué incluye ISO/IEC 27006? Sección 9 “Requisitos del proceso” 9.1.4 Sitios múltiples La orientación específica de SGSI contiene la información habitual Muestreo representativo, en parte aleatorio y en parte basado en el riesgo Se audita cada sitio con riesgos significativos antes de la certificación El programa de seguimiento debería cubrir eventualmente todos los sitios PR/mo/item ID Date
ISO 27001
75
¿Qué incluye ISO/IEC 27006? Sección 9 “Requisitos del proceso” El resto de la Sección 9 comprende el proceso típico de auditoría La competencia del equipo auditor se ha actualizado con las normas ISO/IEC 17021 e ISO/IEC 27001 Énfasis especial en evaluación del riesgo, selección del control, efectividad, documentación, auditorías y revisiones Requisitos específicos de SGSI: Conformidad reguladora Integración con otros sistemas de gestión PR/mo/item ID Date
ISO 27001
76
¿Qué incluye ISO/IEC 27006? Tres anexos nuevos – todos informales Anexo A.1 Análisis de Complejidad Valoración de la complejidad de un SGSI Anexo A.2 Ejemplo de Áreas de Competencia del Auditor Competencia requerida para las diferentes áreas de control y el SGSI Anexo A.3 Tiempo de la auditoría Descripción del proceso para determinar el tiempo de la auditoría Ejemplo de cálculos con base en IAFGD 2, más días adicionales para SGSI/controles Anexo A.4 Orientación sobre la revisión de los controles del Anexo A
PR/mo/item ID Date
ISO 27001
77
ISO/IEC 27001 Evaluación del Riesgo & Gestión del Riesgo PR/mo/item ID Date
78 ISO 27001
78
Enfoques de Gestión del Riesgo ISO/IEC 27001 no especifica el enfoque de evaluación/gestión del riesgo que se debe usar Depende de la organización especificar qué usar (de acuerdo con el numeral 4.2.1 c)) ISO/IEC 27001 presenta el marco e ISO/IEC 27005, cierta información de mayor utilidad
PR/mo/item ID Date
ISO 27001
79
ISO/IEC 27005 ISO/IEC 27005 – Gestión del riesgo de seguridad de la información Ofrece orientación para la gestión del riesgo de seguridad de la información como se plantea en la norma ISO/IEC 27001 Es aplicable para todas las organizaciones (tamaño, tipo de empresa, etc.) que requieran administrar los riesgos de seguridad de la información
PR/mo/item ID Date
ISO 27001
80
ModelISO/IEC 27005
ESTABLECER CONTEXTO
ANÁLISIS DEL RIESGO IDENTIFICACIÓN DEL RIESGO
VALORACIÓN DEL RIESGO
EVALUACIÓN DEL RIESGO
DECISIÓN SOBRE EL RIESGO PUNTO 1 Evaluación satisfactoria
Si
SEGUIMIENTO Y REVISIÓN DEL RIESGO
EVALUACIÓN DEL RIESGO
COMUNICACIÓN DEL RIESGO
Proceso de gestión del riesgo en ISO/IEC 27005
TRATAMIENTO DEL RIESGO
DECISIÓN SOBRE EL RIESGO PUNTO 2 Aceptar riesgos Si
ACEPTACIÓN DEL RIESGO FIN DE LAS ITERACIONES PRIMERAS O SUBSIGUIENTES
PR/mo/item ID Date
ISO 27001
81
ISO/IEC 27005 - Contenido La norma ISO/IEC 27005 no especifica un enfoque “correcto” de evaluación/gestión del riesgo Considera análisis cualitativos y cuantitativos En la actualidad se concentra en la evaluación del riesgo y su tratamiento Aún se requieren adiciones sobre seguimiento y revisión del riesgo
PR/mo/item ID Date
ISO 27001
82
ISO/IEC 27005 - Anexos ISO/IEC 27005 contiene numerosos anexos útiles Valoración del activo Evaluación del impacto Ejemplo de listas de amenazas Ejemplo de listas de vulnerabilidades, relacionadas con áreas específicas de seguridad de la información Análisis de varios enfoques de evaluación del riesgo Mucha información acerca de la selección de controles (con base en la antigua ISO/IEC 13335-4) PR/mo/item ID Date
ISO 27001
83
Dominios de riesgo
Aplicaciones Información
Servicios Entorno físico
Procesos empresariales TCI Personas Conexiones en red
PR/mo/item ID Date
ISO 27001
84
Activos en el SGSI Se deberían identificar todos los activos dentro de los límites del SGSI A fin de comprender los activos y su función en el SGSI, resulta útil identificarlos como parte de las subdivisiones del SGSI Esto debería incluir Activos relacionados con el SGSI vía interfaces Dependencias a fin de garantizar la protección constante
PR/mo/item ID Date
ISO 27001
85
Activos del SGSI SGSI activos
Imagen corporativa Personas Personas Información /sistemas de información Procesos Información Productos/servicios Aplicaciones TCI Procesos Entorno físico empresariales Servicios
Aplicaciones TCI
directorio de activos
PR/mo/item ID Date
Entorno físico
ISO 27001
86
Importancia de la medición del activo ¿Cuál es el activo más importante su organización? Factores que influyen en la importancia: ¿Qué sucede si se daña el activo? ¿El activo es útil para la organización, qué tan difícil resulta realizar negocios sin éste? ¿El activo se relaciona con aplicaciones, recursos críticos, etc.?
PR/mo/item ID Date
ISO 27001
87
¿Cómo medir? ‘Valores’ diferentes de un activo Dinero (por ej. costos de reposición) Valor que expresa la calidad de crítico Valores que expresan el impacto potencial y el daño a la empresa por una perdida de Confidencialidad Integridad Disponibilidad Valores asociados con otras clasificaciones (por ej. Violación de las leyes) PR/mo/item ID Date
ISO 27001
88
Escala de valoración del activo ¿Cuántos niveles 3, 4 ó 5 .... ó ¿cuántos? La diferencia entre los niveles debe ser fácil de explicar El significado de estos niveles diferentes debería expresarse en palabras en cuanto a Confidencialidad Integridad Disponibilidad Otros criterios potenciales PR/mo/item ID Date
ISO 27001
89
Identificación de requisitos Identificación de requisitos para los activos Obligaciones legales y contractuales que el activo (o su ambiente) debe cumplir Requisitos empresariales que se relacionan con el activo Información de entrada necesaria para la valoración Ejemplo: información con el requisito de cumplir la Ley de Protección de Datos, Data Protection Act Alta valoración de la confidencialidad e integridad PR/mo/item ID Date
ISO 27001
90
Requisitos legales/contractuales Identificar toda la legislación y regulación aplicable para el SGSI y sus activos Véase también la norma ISO/IEC 27002, Sección 12.1 Identificar las obligaciones contractuales Considerar todos los contratos existentes e identificar las obligaciones allí contempladas. Acuerdos en el nivel de servicios Conformidad con las políticas y procedimientos de seguridad Derechos para auditar en contratos de terceros Requisitos IPR (Derechos de Propiedad Intelectual) … PR/mo/item ID Date
ISO 27001
91
Requisitos empresariales Identificar todos los requisitos empresariales aplicables para el SGSI y sus activos, resultantes de Aplicaciones específicas tales como la Internet, Comercio electrónico, etc. Asuntos empresariales tales como joint ventures, requisitos para el correcto procesamiento empresarial, requisitos para entrega oportuna, etc. Requisitos de disponibilidad para la información y los servicios, por ej. los resultantes de los requisitos del cliente PR/mo/item ID Date
ISO 27001
92
Escala de valoración del activo Requisitos de confidencialidad (C)
Valor del activo
Clase
Descripción
1 - BAJO
Disponible al público
La información no sensible y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles para el público.
Para uso interno exclusivamente o uso restringido solamente
La información no sensible está restringida para uso interno exclusivamente, es decir, no está disponible para el público o la información restringida y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles dentro de la organización con restricciones variadas con base en las necesidades de la empresa.
Confidencial o Estrictamente confidencial
La información sensible y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles sólo sobre la base de la necesidad del conocimiento, o
2 - MEDIANO
3 - ALTO
La información sensible y las instalaciones de procesamiento de la información y los recursos del sistema están disponibles sólo sobre la base de la necesidad estricta del conocimiento
PR/mo/item ID Date
ISO 27001
93
Escala de valoración del activo Requisitos de integridad (I)
Valor del activo 1 - BAJO
Clase
Descripción
Baja integridad
2 - MEDIANO
Integridad mediana
3 - ALTO
Integridad alta o muy alta
El daño o modificación no autorizada no es crítico para las aplicaciones empresariales y el impacto en la empresa es insignificante o menor. El daño o modificación no autorizada no es crítico pero si es notorio para las aplicaciones empresariales y el impacto en la empresa es significativo. El daño o modificación no autorizada es crítica para las aplicaciones empresariales y el impacto en la empresa es importante y podría conllevar a falla grave o total de la aplicación empresarial
PR/mo/item ID Date
ISO 27001
94
Escala de valoración de activos Requisitos de disponibilidad (A) Valor del activo Clase
1 - BAJO
Descripción
Se puede tolerar que el activo (información, sistema de procesamiento de la información, recursos del sistema/ servicios de red, personas, etc.) no esté disponible por más de un día 2 - MEDIANO Disponibilidad Se puede tolerar que el activo (información, sistema de mediana procesamiento de la información, recursos del sistema/ servicios de red, personas, etc.) no esté disponible por máximo de medio día a un día. 3 - ALTO Alta No se puede tolerar que el activo (información, sistema disponibilidad de procesamiento de la información, recursos del sistema/ servicios de red, personas, etc.) no esté disponible por más de unas cuantas horas, o incluso menos.
PR/mo/item ID Date
Baja disponibilidad
ISO 27001
95
Activos - Resumen La protección de los activos es el objetivo de la seguridad de la información y la gestión del riesgo Cada activo debería Identificarse y valorarse para permitir la adecuada protección Se debe identificar un propietario/custodio Y se debería producir una lista/inventario, que incluya Clasificación, almacenamiento y fecha de entrada/actualización Propietario, ubicación, tipo de activo, donde se emplea… PR/mo/item ID Date
ISO 27001
96
Controles existentes Se deben identificar todos los controles ya implementados o planificados Esto es necesario para Identificar amenazas y vulnerabilidades en un contexto realista Verificar si estos controles son realmente necesarios o, de lo contrario, retirarlos Identificar durante el proceso de evaluación de riesgos dónde funcionan correctamente o deben mejorarse estos controles Seleccionar controles nuevos que se ajusten a los ya existentes PR/mo/item ID Date
ISO 27001
97
Identificación de controles Los controles existentes se pueden identificar fácilmente empleando un análisis de brechas, que sirve para: Colocar los controles existentes en relación con los de ISO/IEC 27002 Se puede ajustar en detalle, como se requiera Se puede realizar mediante Tablas de verificación/P&R Entrevistas Recorrido Análisis de mesa redonda PR/mo/item ID Date
ISO 27001
98
Grados de conformidad Grados … Si – implementada por completo
NO Parcial
como se describe en ISO/IEC 27002
Si Parcial – desde casi completa hasta cuando existen muchas brechas entre la implementación real y la norma ISO/IEC 27002 NO – sin implementarse en absoluto NO SE APLICA– no es adecuada para la organización, por ej., técnicamente no es factible implementarla.
PR/mo/item ID Date
ISO 27001
99
Tabla de análisis de brechas de alto nivel Control
Pregunta
S/P/ N/NA
Comentarios
Política de Seguridad de la Información 5.1.1
¿Se ha publicado el documento de la política?, ¿ha sido aprobado por la Dirección y se encuentra disponible para todos los usuarios responsables de la seguridad de la información?
Parcial
5.1.2
¿La política publicada se revisa de manera regular y es apropiada?
No
Pero se hará después de que se haya publicado
Si
La Dirección apoya por completo las iniciativas ISO/IEC 27001.
Ha sido producido y aprobado por la Dirección, pero aún no se ha publicado – véase CISP/001/v1.0.
Organización interna 6.1.1
¿La Dirección está comprometida con la seguridad de la información y ofrece instrucción clara y apoyo para las iniciativas de seguridad?
6.1.2
¿Las iniciativas y las medidas de seguridad están coordinadas por medio de un foro funcional transversal?
No se aplica
Esta es una pequeña empresa y esto de puede manejar en un nivel de trabajo diario.
6.1.3
¿Están bien definidas las responsabilidades para la protección de activos individuales y la realización de procesos específicos?
Parcial
Aún se requiere asignar responsabilidades adicionales en línea con la política de seguridad.
PR/mo/item ID Date
ISO 27001
100
Tabla detallada de análisis de brechas Pregunta
S/P/ N/NA
Comentarios
Control 5.1.1 – Documento de política de seguridad de la información
¿Se ha implementado la política de seguridad?
Si
Ha sido publicada y se emprenderán acciones adicionales para la comunicación en el mes. siguiente
¿La política está aprobada por la Dirección?
Si
Si, ha sido aprobada por la Dirección.
Parcial
Ha sido publicada para todos los empleados, pero aún no externamente
¿Se ha publicado y comunicado la política a todos los empleados y partes externas pertinentes? ¿Todos entienden la política de seguridad, su propósito e implicaciones?
No
No todavía, pero se brindará capacitación especial para lograrlo el mes siguiente.
¿La política contiene todos los asuntos pertinentes mencionados en Control 5.1.1?
Si
Se ha desarrollado la política por completo en línea con la norma 27002.
Parcial
Existe una política de control de acceso y directrices de manejo de incidentes, pero en la actualidad no hay política de la Internet.
¿La política de seguridad está poyada por políticas más detalladas (por ej, software o la Internet)?
PR/mo/item ID Date
ISO 27001
101
Threats & vulnerabilidades Las vulnerabilidades son debilidades, por ej. debilidades de seguridad en el sistema Las amenazas son cualquier cosa que pudiera causar daño, perjurio o pérdida a los activos de una organización por medio de la explotación de las vulnerabilidades de estos activos Se necesita la conjunción de vulnerabilidades y amenazas para originar un riesgo
PR/mo/item ID Date
ISO 27001
102
Las amenazas pueden originarse de … Ataques del exterior, por ej. Intento de intrusión en las redes o predios de una organización Hackers, spam Ataques desde el interior usando el conocimiento y las oportunidades brindadas por el empleado Ejemplo: un banco en Alemania donde desparecieron 8 millones de € Accidentalmente debido a fallas del sistema o factores geográficos Inundaciones, huracanes, terremotos Sobrecarga del sistema PR/mo/item ID Date
ISO 27001
103
Ejemplos de amenazas Acceso no autorizado Código malicioso Hurto, por empleados o no empleados Mal uso de los sistemas de procesamiento de la información Fraude Falla del sistema Negación del servicio Errores del usuario Desastres …… PR/mo/item ID Date
ISO 27001
104
Identificación de amenazas ¿Qué podría amenazar este activo? Empleados o no empleados Fallas del sistema o desastres Identificación de las amenazas ¿Quién o qué causa la amenaza? ¿Quién podría beneficiarse de iniciar la amenaza? ¿Qué ha ocurrido en el pasado? ¿Qué probabilidad hay de que esto ocurra (de nuevo)?
PR/mo/item ID Date
ISO 27001
105
Las vulnerabilidades están allí … Debido a inadecuados controles de personal, de dirección y administrativos En relación con políticas, procedimientos y directrices En relación con la conformidad En software de computador o equipo de comunicaciones, en redes, sistemas/aplicaciones En el ambiente físico
PR/mo/item ID Date
ISO 27001
106
Ejemplos de vulnerabilidad Falta de concientización Falta de responsabilidades claras Clasificación errónea de la información Incapacidad de proporcionar evidencia Falta de control de cambio o versión Falta de mantenimiento Identificación y autenticación inapropiada Falta de seguridad de los medios Falta de protección física …… PR/mo/item ID Date
ISO 27001
107
Identificación de vulnerabilidades Identificación de vulnerabilidades del activo ¿Cuáles son los problemas de seguridad de este activo ? ¿Faltan controles para este activo? ¿Hay defectos en los mecanismos de protección actuales?
Identificación de vulnerabilidades en el ambiente? ¿Cuál es la apariencia del ambiente técnico? ¿Qué pasa con las conexiones, redes, etc.? ¿Qué tan seguro es el ambiente físico? ¿Está bien capacitado el personal? ¿es consciente de la seguridad y cumple con los controles? PR/mo/item ID Date
ISO 27001
108
Incidentes Las amenazas y vulnerabilidades sólo causan riesgos si se reúnen y causan incidentes La evaluación en conjunto sirve para Facilitar el proceso de evaluación del riesgo Hacer la evaluación menos teórica y más realista No se deben combinar todas las amenazas y vulnerabilidades identificadas sin analizar Se deben tener en cuenta los controles existentes
PR/mo/item ID Date
ISO 27001
109
Fuentes de información Recursos internos de la empresa Informes de incidentes de seguridad Resultados de auditorías del sistema & revisiones de seguridad Observación de procesos empresariales & condiciones de trabajo/operacionales, Charla con los propietarios & usuarios de los activos/el sistema Internet CERT SANS … PR/mo/item ID Date
ISO 27001
110
Escala de valoración Cuántos niveles 3, 4 .... ó cuantos? La diferencia entre los niveles debe ser fácil de explicar El significado de estos niveles diferentes debería expresarse en palabras, explicando las diferencias en la probabilidad de ocurrencia de los incidentes
PR/mo/item ID Date
ISO 27001
111
Valoración ¿Qué probabilidad hay que ocurra una combinación de amenaza/vulnerabilidad? ¿Qué tanto podría sentirse atraído un atacador posible? ¿Con qué frecuencia ha ocurrido esto en el pasado? ¿Qué tan fácil es explotar las vulnerabilidades? ¿Qué tan buenos son los controles implementados?
PR/mo/item ID Date
ISO 27001
112
Valoración A/V Amenazas 1 – baja probabilidad 2 – probabilidad media 3 – es probable que ocurra
Vulnerabilidad 1 - Dificultad de explotación, buena protección 2 – Posibilidad de explotación 3 – Facilidad de explotación, poca protección PR/mo/item ID Date
ISO 27001
113
Riesgo de exposición
Vulnerabilidades
Activos
Imagen corporativa Personal Información/sistemas de información Procesos Productos/servicios Applicaciones TIC Físicos
Amenazas Bajas Altas Bajas
Altas
PR/mo/item ID Date
1
2
3
2
RE 3
4
3
4
5
Riesgo de Exposición (RdE) 1 Exposición baja 2 Exposición media 3 Exposición significativa 4 Exposición alta 5 Exposición intolerable
ISO 27001
114
Matriz de riesgo
RIESGO DE EXPOSICIÓN IMPACTO
BAJO
MEDIO
ALTO
Bajo
1
3
5
Medio
2
4
6
Alto
3
5
7
Muy alto
4
6
8
1 (bajo)
2
3
4
5
6
7
8 (muy alto)
Incremento en la severidad del riesgo
PR/mo/item ID Date
ISO 27001
115
Matriz de riesgo
RIESGO DE EXPOSICIÓN IMPACTO
BAJO
MEDIO
ALTO
Alto
1 2 3
3 4 5
5 6 7
Muy alto
4
6
8
Bajo Medio
PR/mo/item ID Date
ISO 27001
116
Nivel de riesgo RE
Impacto
1
2
Nivel de riesgo
3
2
Nivel 3
5
de riesgo 5
6 6
7
1 Tolerable/insignifi. 2 } Menor 3 4 Significativo 5 } Mayor 6 7 Intolerable
IMPACTO EN EL NEGOCIO Bajo (insignificante, sin consecuencias, trivial, insignificante) Bajo-Medio (notable, considerable pero no importante) Medio (significante, importante) Medio-Alto (daño serio, potencialmente desastroso) Alto (daño devastador, daño total, cierre completo) PR/mo/item ID Date
ISO 27001
117
Números relacionados con el riesgo La escala de riesgo tiene que estar relacionada con su negocio, ya que éste es el que enfrenta los riesgos. Los números 1 a 8 del ejemplo (y usados en la matriz de riesgo) pueden tener muchos sentidos e interpretaciones. Antes de poder decidir cómo reducir y manejar el riesgo, su negocio debe especificar qué significa cada número en el contexto de su negocio, por ejemplo, 6 se podría interpretar como una pérdida de £100,000 para un negocio, y de £700,000 para otro. RIESGO DE EXPOSICIÓN
IMPACTO
PR/mo/item ID Date
BAJO
MEDIO
ALTO
Bajo
1
3
5
Medio
2
4
6
Alto
3
5
7
muy Alto
4
6
8
ISO 27001
118
Tratamiento del riesgo Diferentes tratamientos del riesgo
Riesgo de exposición (RE)
Impacto en el negocio Nivel de riesgo
PR/mo/item ID Date
Límite de aceptación del riesgo
Activo Retención del riesgo - Se aceptan los riesgos con conocimiento y objetivamente Reducción del riesgo - Reducción mediante aplicación de una selección apropiada de controles - Reducción del riesgo de exposición - Minimizar el impacto Transferencia del riesgo - Transferencia mediante contrato - Transferencia mediante un seguro Evitar el riesgo - No comprometiéndose en actividades que generan riesgo - Abandonar la actividad - Cambiar de ubicación - Cambiar/modificar el proceso ISO 27001
119
Límite de riesgo
Activo riesgo
Impacto en el negocio
riesgo REGISTRO REGISTRO DE DE RIESGOS RIESGOS {riesgos {riesgos identificados} identificados}
Nivel de riesgo
Riesgo de exposición (RE)
riesgo
riesgo riesgo
riesgo Límite de aceptación del riesgo
Nivel de riesgo
PR/mo/item ID Date
ISO 27001
120
Reducción del riesgo
Impacto en el negocio
Controles para reducción del riesgo
Nivel de riesgo
Riesgo de exposición (RE)
Riesgos identificados
Activo
riesgo
riesgo riesgo
Nivel de riesgo
PR/mo/item ID Date
riesgo Límite de aceptación del riesgo riesgo riesgo
ISO 27001
121
Reducción del riesgo mediante controles Los riesgos identificados se deberían reducir a un nivel aceptable Reducción de riesgos por medio de: reducción de la vulnerabilidad. Por ejemplo, mejorar la identificación y procedimientos de autenticación de los usuarios reducción de la amenaza. Por ejemplo, barreras contra fuego bien configurada y manejada para protección contra los ataques del exterior Protección contra los efectos del riesgo. Por ejemplo, usando encriptación para proteger contra cualquier ataque que pudiera ocurrir PR/mo/item ID Date
ISO 27001
122
Reducción del riesgo Nivel de riesgo reducido Nivel de riesgo calculado
Niveles de riesgo
3 (Bajo)
44
5
6
7
88
9 (muy Alto)
Implementación de un conjunto de controles
Por ejemplo, esta reducción puede haber sido posible por medio de la combinación de mejoras en los procedimientos operativos, formación para su uso, y mejores mecanismos técnicos de control de acceso PR/mo/item ID Date
ISO 27001
123
Reducción del riesgo – ¿Cómo funciona? La reducción del riesgo siempre es difícil de evaluar Los controles ayudan a reducir el riesgo ¿En qué grado un control particular reduce la probabilidad de que ocurra la combinación amenaza/vulnerabilidad? La ISO/IEC 27001 exige que se considere la reducción del riesgo La mejor forma de hacerlo es identificar en el tiempo si los controles manejan adecuadamente los riesgos
PR/mo/item ID Date
ISO 27001
124
Selección de controles Es necesario seleccionar los objetivos y controles apropiados Del Anexo A de la ISO/IEC 27001 De cualquier otra fuente, cuando sea necesario La selección de los objetivos de control y de los controles se debería justificar con base en: Los resultados del proceso de valoración del riesgo Las conclusiones del proceso de tratamiento del riesgo Es necesario que los controles existentes y los seleccionados formen un sistema de controles y que trabajen conjuntamente PR/mo/item ID Date
ISO 27001
125
Declaración de aplicabilidad La declaración de aplicabilidad debería contener: Los objetivos de control y los controles seleccionados, y las razones para su selección Todos los controles implementados actualmente (véanse los resultados del análisis de brecha) Cualquier exclusión de los objetivos de control o controles de la ISO/IEC 27001 Anexo A, y la razón para su exclusión
PR/mo/item ID Date
ISO 27001
126
Declaración de aplicabilidad – Ejemplo Objetivo de control y control
S/T/ N/NS
Comentarios y razones
Política de Seguridad de la Información A.5.1
Brindar a la dirección orientación y apoyo en lo relativo a seguridad de la información …
Sí
Necesita implementarse para todo el SGSI (ver IVR página 4).
A.5.1.1
Documento de la Política de Seguridad de la Información
Sí
Es necesario que la política esté completa de manera que comprenda todos los elementos, como se indica en la ISO/IEC 27002, 5.1.1.
A.5.1.2
Revisión de la información de la Política de Seguridad de la Información
Sí
La política será revisada de acuerdo con el procediento de revisión de la PSI.
Organización interna A.6.1
Manejar la seguridad de la información dentro de la organización
Sí
Necesita implementarse para todo el SGSI (véase RAR página 6).
A.6.1.1
…
…
…
IVR = Informe de valoración del riesgo PR/mo/item ID Date
ISO 27001
127
Control de riesgos personas 100 80
físicos
sistemas de informació
40
Ene-02 Jun-02 Ene-03
20 0
TIC
aplicaciones
PR/mo/item ID Date
60
procesos
productos/servicios
ISO 27001
128
Herramientas de valoración del riesgo Hay muchas herramientas disponibles para valoración y gestión del riesgo Para seleccionar una herramienta se debería considerar lo siguiente La herramienta necesita abarcar el proceso de valoración del riesgo/gestión del riesgo, como se indica en la ISO/IEC 27001 La herramienta debería ser adecuada para la organización La herramienta debería abarcar todas las áreas de control de la ISO/IEC 27002
PR/mo/item ID Date
ISO 27001
129
RA2 arte del riesgo RA2 arte del riesgo ha sido diseñado especialmente para la ISO/IEC 27001 y la ISO/IEC 27002 Pasa por el todo el proceso de valoración del riesgo, desde la identificación del alcance del SGSI a la declaración de la aplicabilidad Incluye todos los controles de ISO/IEC 27002:2000 y ISO/IEC 27002:2005
PR/mo/item ID Date
ISO 27001
130
ISO/IEC 27002 Código de Práctica Para Gestión de Seguridad de la Información PR/mo/item ID Date
131 ISO 27001 131
ISO/IEC 27002 – Desarrollo en el tiempo
1995-1998 BS 7799 Parte 1 Código de Práctica BS 7799 Parte 2 especificación SGSI PR/mo/item ID Date
1999 Publicación de las actualización de las partes 1y2
2000 BS 7799 Parte 1 publicada como ISO/IEC 17799
Junio 15 de 2005 Primera actualización de la ISO/IEC 17799 ISO 27001
132
Anterior - Nueva Edición 2000
Edición de 2005
Política de seguridad
Política de seguridad
Organización de la seguridad
Organización de Seguridad de la Inform.
Control y clasificación de activos
Gestión de activos
Seguridad del personal
Seguridad de los recursos humanos
Seguridad física y ambiental
Seguridad física y ambiental
Gestión de comunicaciones y operaciones
Gestión de comunicaciones y operaciones
Control de acceso
Control de acceso
Desarrollo y mantenimiento de sistemas
Adquisición, desarrollo y mantenimiento de sistemas de información Gestión de incidentes de seguridad de la información
Gestión de continuidad del negocio
Gestión de continuidad del negocio
cumplimiento
Cumplimiento
PR/mo/item ID Date
ISO 27001
133
Numeral 4 Valoración y tratamiento del riesgo Introducción a la valoración y tratamiento de riesgos de seguridad de la Información Alineación con la ISO/IEC 27001 y la ISO/IEC 27005 (versión actualizada de la ISO/IEC 13335) Inclusión de la valoración del riesgo en el alcance Énfasis en la importancia de la valoración del riesgo
PR/mo/item ID Date
ISO 27001
134
5.1 Política de seguridad de la Información 5.1 1 Documento de la política de seguridad de la información La dirección debería aprobar un documento de la política de seguridad de la información, y lo debería publicar y comunicar a todos los empleados y partes externas interesadas.
5.1.2 Revisión de la política de seguridad de la información La Política de Seguridad de la Información se debería revisar a intervalos planificados o si ocurren cambios significativos, para asegurar su conveniencia, suficiencia y eficacia continuas.
PR/mo/item ID Date
ISO 27001
135
Lista de verificación de la política (1) Marco para establecer objetivos, dirección y principios de seguridad de la información Establece el compromiso de la dirección Considera los requisitos comerciales y legales y las obligaciones de seguridad contractuales Se alinea con el contexto de gestión estratégica de riesgo de la organización Establece criterios contra los cuales se evaluará el riesgo
PR/mo/item ID Date
ISO 27001
136
Lista de chequeo de la política (2) Establece una definición de seguridad de la información Explicación acerca de las políticas y principios importantes de seguridad de la información Formación y toma de conciencia Consecuencias de violaciones a la seguridad Referencias a otras políticas más detalladas Definición de las responsabilidades de seguridad de la información Aprobada por la Dirección, publicada y comunicada a todos los empleados PR/mo/item ID Date
ISO 27001
137
6.1 Organización interna 6.1.1 Compromiso de la dirección con la seguridad de la Información La dirección debería apoyar activamente la seguridad dentro de la organización por medio de un rumbo claro, el compromiso demostrado, una asignación explícita y el conocimiento de las responsabilidades de la seguridad de la información.
6.1.2 Coordinación de la seguridad de la Información Las actividades de seguridad de la información deberían ser coordinadas por representantes de la organización con roles y funciones pertinentes.
6.1.3 Asignación de responsabilidades para la seguridad de la información Se deberían definir claramente todas las responsabilidades en cuanto a seguridad de la información. PR/mo/item ID Date
ISO 27001
138
6.1 Organización interna 6.1.4 Proceso de autorización para los servicios de procesamiento de la información 6.1.5 Acuerdos sobre confidencialidad 6.1.6 Contacto con las autoridades 6.1.7 Contacto con grupos de interés especiales 6.1.8 Revisión independiente de la seguridad de la información PR/mo/item ID Date
ISO 27001
139
6.2 Partes externas 6.2.1 Identificación de los riesgos relacionados con las partes externas 6.2.2 Abordar la seguridad cuando se trata con clientes 6.2.3 Abordar la seguridad en acuerdos con terceras partes
PR/mo/item ID Date
ISO 27001
140
7 Gestión de activos Responsabilidad por los activos 7.1.1 Inventario de activos 7.1.2 Propiedad de los activos 7.1.3 Uso aceptable de los activos Clasificación de la información 7.2.1 Directrices de clasificación 7.2.2 Etiquetado y manejo de la información PR/mo/item ID Date
ISO 27001
141
Ejemplo de inventario de activos Valor Identif. activo
Tipo de activo
XS1
Sistema operativo A
XS2
Sistema operativo B
XS3
Aplicación S/W y utilidades …
…
XH1
Servidor
XH2
Computadores …
C
Propietario y ubicación
…
…
XIS1
Sistema de información A
Jefe de recursos humanos
XIS2
Sistema de información B
Jefe del grupo de finanzas
XC1
… Equipo de comunicaciones.
… XP1
… CCTV
…
PR/mo/item ID Date
A
Administrador del sistema …
…
I
… Gerente de comunicaciones … Jefe de gestión de propiedad y oficina
…
…
ISO 27001
142
8 Seguridad de los recursos humanos antes, durante y al terminar el contrato laboral 8.1 Antes de la contratación laboral 8.1.1 Roles y responsabilidades 8.1.2 Selección 8.1.3 Términos y condiciones laborales 8.2 Durante la vigencia del contrato laboral 8.2.1 Responsabilidades de la dirección 8.2.2 Educación, formación y concientización sobre seguridad de la información 8.2.3 Proceso disciplinario 8.3 Terminación o cambio del contrato laboral 8.3.1 Responsabilidades en la terminación 8.3.2 Devolución de activos 8.3.3 Retiro de los derechos de acceso
PR/mo/item ID Date
ISO 27001
143
9 Seguridad física Áreas seguras 9.1.1 Perímetro de seguridad física 9.1.2 Controles de acceso físico 9.1.3 Seguridad de oficinas, recintos e instalaciones 9.1.4 Protección contra amenazas externas y ambientales 9.1.5 Trabajo en áreas seguras 9.1.6 Áreas de carga, despacho y acceso público
PR/mo/item ID Date
ISO 27001
144
9 Seguridad física Seguridad de los equipos 9.2.1 Ubicación y protección de los equipos 9.2.2 Servicios de soporte 9.2.3 Seguridad del cableado 9.2.4 Mantenimiento de los equipos 9.2.5 Seguridad de los equipos fuera de las instalaciones 9.2.6 Seguridad en la reutilización o eliminación de los equipos 9.2.7 Retiro de activos PR/mo/item ID Date
ISO 27001
145
10.2 Gestión de la prestación del servicio por terceras partes 10.2.1 Prestación del servicio 10.2.2 Monitoreo y revisión de los servicios por terceros 10.2.3 Gestión de los cambios en los servicios por terceras partes Basado en BS 15000/ISOIEC 20000
PR/mo/item ID Date
ISO 27001
146
10.3 Planificación y aceptación del sistema y 10.4 Códigos maliciosos Planificación y aceptación del sistema 10.3.1 Gestión de la capacidad 10.3.2 Aceptación del sistema
Protección contra códigos maliciosos y móviles 10.4.1 Controles contra códigos maliciosos 10.4.2 Controles contra códigos móviles
PR/mo/item ID Date
ISO 27001
147
Respaldo, gestión de redes y manejo de la información 10.5 Respaldo 10.5.1 Respaldo de la información 10.6 Gestión de redes 10.6.1 Controles de redes 10.6.2 Seguridad de los servicios de redes 10.7 Manejo de la información 10.7.1 Gestión de medios removibles 10.7.2 Eliminación de los medios 10.7.3 Procedimientos para el manejo de la información 10.7.4 Seguridad de la documentación del sistema
PR/mo/item ID Date
ISO 27001
148
10.8 Intercambio de la información 10.8.1 Políticas y procedimientos para el intercambio de información 10.8.2 Acuerdos para el intercambio 10.8.3 Medios físicos en tránsito 10.8.4 Mensajería electrónica 10.8.5 Sistemas de información del negocio
PR/mo/item ID Date
ISO 27001
149
10.9 Servicios de comercio electrónico
10.9.1 Comercio electrónico 10.9.2 Transacciones en línea 10.9.3 Sistemas disponibles públicamente
PR/mo/item ID Date
ISO 27001
150
10.10 Monitoreo 10.10.1 Registro de auditorías 10.10.2 Monitoreo del uso del sistema 10.10.3 Protección de la información del registro 10.10.4 Registros del administrador y el operador 10.10.5 Registro de fallas 10.10.6 Sincronización de relojes
PR/mo/item ID Date
ISO 27001
151
11.1 Requisitos del negocio para control del acceso 11.1.1 Política de control de acceso Se debería establecer, documentar y revisar la política de control de acceso con base en los requisitos del negocio y de la seguridad para el acceso
Política de control de acceso
Derechos y privilegios Cuentas de usuario Registro de usuarios Responsabilidades de usuarios
Redes y servicios
Información y aplicaciones
Sistemas operativos
PR/mo/item ID Date
ISO 27001
152
11.2 Gestión del acceso de usuarios 11.2.1 Registro de usuarios 11.2.2 Gestión de privilegios 11.2.3 Gestión de contraseñas para usuarios 11.2.4 Revisión de los derechos de acceso de los usuarios
PR/mo/item ID Date
ISO 27001
153
11.3 Responsabilidades de los usuarios 11.3.1 Uso de contraseñas 11.3.2 Equipo no atendido por usuarios 11.3.3 Política de escritorio y pantalla despejados
PR/mo/item ID Date
ISO 27001
154
11.4 Control de acceso a las redes 11.4.1 Política sobre uso de servicios en red 11.4.2 Autenticación de usuarios para conexiones externas 11.4.3 Identificación de los equipos en las redes 11.4.4 Protección de los puertos de configuración y diagnóstico remoto 11.4.5 Separación en las redes 11.4.6 Control de conexión a las redes 11.4.7 Control del enrutamiento en la red PR/mo/item ID Date
ISO 27001
155
11.5 Control de acceso al sistema operativo 11.5.1 Procedimientos de registro de inicio seguro 11.5.2 Identificación y autenticación de usuarios 11.5.3 Sistema de gestión de contraseñas 11.5.4 Uso de las utilidades del sistema 11.5.5 tiempo de la inactividad de la sesión 11.5.6 Limitación del tiempo de conexión
PR/mo/item ID Date
ISO 27001
156
11.6 Control de acceso a las aplicaciones y a la información
11.6.1 Restricción del acceso a la información 11.6.2 Aislamiento de sistemas sensibles
PR/mo/item ID Date
ISO 27001
157
11.7 Computación móvil y trabajo remoto 11.7.1 Computación y comunicaciones móviles 11.7.2 Trabajo remoto
network
PR/mo/item ID Date
ISO 27001
158
12.1 Requisitos de seguridad de los sistemas de información
12.1.1 Análisis y especificación de los requisitos de seguridad
PR/mo/item ID Date
ISO 27001
159
12.2 Procesamiento correcto en las aplicaciones 12.2.1 Validación de los datos de entrada 12.2.2 Control de procesamiento interno 12.2.3 Integridad del mensaje 12.2.4 Validación de datos de salida
PR/mo/item ID Date
ISO 27001
160
12.3 Controles criptográficos 12.3.1 Política sobre el uso de controles criptográficos Encriptación Firmas digitales Servicios de no repudio 12.3.2 Gestión de claves
PR/mo/item ID Date
ISO 27001
161
12.4 Seguridad de los archivos del sistema 12.4.1 Control del software operativo 12.4.2 Protección de los datos de prueba del sistema 12.4.3 Control de acceso al código fuente de los programas
PR/mo/item ID Date
ISO 27001
162
12.5 Seguridad en los procesos de desarrollo y soporte 12.5.1 Procedimientos de control de cambios 12.5.2 Revisión técnica de las aplicaciones después de los cambios en el sistema operativo 12.5.3 Restricciones en los cambios a los paquetes de software 12.5.4 Fuga de información 12.5.5 Desarrollo de software contratado externamente PR/mo/item ID Date
ISO 27001
163
12.6 Gestión de la vulnerabilidad técnica 12.6.1 Control de las vulnerabilidades técnicas Identificar las vulnerabilidades Definir cómo reaccionar a esas vulnerabilidades Ensayar cuidadosamente antes de instalar parches Hacer seguimiento y auditar lo que se ha hecho
PR/mo/item ID Date
ISO 27001
164
12.6 Gestión de la vulnerabilidad técnica Reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas ¿Está actualizado para enfrentar la siguiente invasión de ataques? Explotaciones el día cero
Días hasta la explotación
Gestión de la vulnerabilidad Slammer
Nachi Blaster 2002
PR/mo/item ID Date
2003
Sasser 2004
ISO 27001
165
Enlaces a la ISO/IEC 18044 Al alinear con las definiciones de la ISO/IEC 18044, se establece la diferencia entre
Evento de seguridad de la Información – se
identifica la ocurrencia de cualquier situación pertinente de seguridad de la información
Incidente de seguridad de la información –
sólo se aplica a aquellos eventos que tienen una probabilidad significativa de causar un problema de seguridad
PR/mo/item ID Date
ISO 27001
166
13.1 Reporte sobre los eventos y debilidades de la seguridad de la información 13.1.1 Reporte sobre los eventos de seguridad de la información 13.1.2 Reporte sobre las debilidades en la seguridad
PR/mo/item ID Date
ISO 27001
167
13.2 Gestión de los incidentes y las mejoras en la seguridad de la información 13.2.1 Responsabilidades y procedimientos 13.2.2 Aprendizaje debido a los incidentes de seguridad de la información 13.2.3 Recolección de evidencias
PR/mo/item ID Date
ISO 27001
168
14 Gestión de la continuidad del negocio 14.1.1 Inclusión de la seguridad de la información en el proceso de gestión de la continuidad del negocio 14.1.2 Continuidad del negocio y evaluación del impacto 14.1.3 Desarrollo e implementación de planes de continuidad que incluyan la seguridad de la información 14.1.4 Estructura para la planificación de la continuidad del negocio 14.1.5 Pruebas, mantenimiento y reevaluación de los planes de continuidad del negocio
PR/mo/item ID Date
ISO 27001
169
Continuidad del negocio y Seguridad de la Información
Continuidad General Del negocio
Proceso Estructura para continuidad del negociode gestión de la Procesos de gestión del riesgo Desarrollo de planes, directrices y políticasseguridad de la Implementación de estos planes Información Pruebas y revisión de los planes
PR/mo/item ID Date
ISO 27001
170
15 Cumplimiento 15.1 Cumplimiento de los requisitos legales 15.1.1 Identificación de la legislación aplicable 15.1.2 Derechos de propiedad intelectual (DPI) 15.1.3 Protección de los registros de la organización 15.1.4 Protección de los datos y privacidad de la información personal 15.1.5 Prevención del uso inadecuado de los servicios de procesamiento de información 15.1.6 Reglamentación de los controles criptográficos PR/mo/item ID Date
ISO 27001
171
15 Cumplimiento 15.2 Cumplimiento de las políticas y las normas de seguridad y cumplimiento técnico 15.2.1 Cumplimiento de las políticas y normas de seguridad 15.2.2 Verificación del cumplimiento técnico
15.3 Consideraciones de la auditoría de los sistemas de información 15.3.1 Controles de auditoría de los sistemas de información 15.3.2 Protección de las herramientas de auditoría de los sistemas de información PR/mo/item ID Date
ISO 27001
172
Más acerca de la Familia de Normas 27000
PR/mo/item ID Date
173 ISO 27001 173
ISO/IEC 27003 – Visión general Decisión reciente: concentrarse sólo en el tema de la “implementación” , sin discusión sobre la fase de VERIFICAR y ACTUAR del SGSI Acuerdos de diseño: No se especifica el contenido mínimo ni se definen requisitos para la implementación No hay formas particulares de implementar un SGSI Ejemplos, estudios de casos
PR/mo/item ID Date
ISO 27001
174
Factores de éxito críticos Compromiso de la dirección Buen gobierno dentro de la organización Consideraciones financieras Consideraciones específicas de un sector/industria Consideración de la situación de riesgo global Cooperación con otras organizaciones Reconocimiento de la necesidad de cambios y actualizaciones PR/mo/item ID Date
ISO 27001
175
Aspectos relacionados Integración con otros sistemas de gestión Identificación de los elementos comunes, por ejemplo, en la parte de “sistema de gestión” Responsabilidad por los otros sistemas de gestión Identificación clara de toda la documentación del SGSI (exigida en la ISO/IEC 27006) Cumplimiento de leyes y reglamentos Importante para identificar todas las leyes y reglamentos aplicables Inclusión en los requisitos en la etapa “planificar” PR/mo/item ID Date
ISO 27001
176
Estructura de los capítulos Todos los capítulos que abordan la implementación del flujo de trabajo tienen la misma estructura Visión general Objetivos Precondiciones Organización del trabajo ¿A quién involucrar? ¿Cómo se hace? Resultados PR/mo/item ID Date
ISO 27001
177
Fase Planificar La fase Planificar tiene varios pasos que se deberían seguir para la implementación de este proceso. Cada paso brinda entradas al paso siguiente, en un flujo lógico. Este procedimiento paso a paso se ejemplifica en esta sección mediante diagramas de flujo. Cada paso se describe de manera que una organización que no esté familiarizada con seguridad de la información y/o normas de gestión de la ISO pueda entender lo que se pretende.
Área de navegación
Hacer análisis del negocio
Hacer análisis de brecha 7.3
Hacer valoración del riesgo
Redactar la política de seguridad de inform.
Establecer la declaración de aplicabilidad
Requisitos para proteger los activos de las organizaciones
Controles apropiados
Declaración de aplicabilidad
Figura 7.1 Proceso para la fase de planificación PR/mo/item ID Date
ISO 27001
178
Análisis del negocio Recolectar información para establecer el SGSI Definir el alcance y los límites del SGSI Interfaces y dependencias Definir la política del SGSI Planificación de las estructuras organizacionales Compromiso de la dirección Identificación del enfoque global a la seguridad de la información
PR/mo/item ID Date
ISO 27001
179
Estructura organizacional
Dirección • Elaborar una carta de designación • Respaldar Comité de seguridad de la información • Ajustar • Respaldar
Equipo de planificación de seguridad de la información
Miembros con roles exclusivos, Consultores permanentes
PR/mo/item ID Date
Asesorar
Depto. de sistemas
Depto. de Recursos Humanos
Depto. Contabilidad
Depto. auditoría
Depto. Administrativo
Depto. gestión edificio e instalaciones
ISO 27001
180
Análisis de brecha Identificación del nivel de actividades y controles de seguridad existentes Basado en ISO/IEC 27001 para procesos del sistema de gestión ISO/IEC 27002 para controles de Seguridad de la Información Determinación de los grados de implementación Entrevistas, discusiones, cuestionarios, recorridos Hablar a diferentes niveles de personal en la organización PR/mo/item ID Date
ISO 27001
181
Valoración del riesgo Son pre-condiciones necesarias el establecimiento del contexto del negocio y la realización de un análisis de brecha La ISO/IEC 27005 explica más acerca de cómo hacer una valoración del riesgo ¿A quién involucrar? Alta dirección Gerencias Dueños del proceso y Usuarios “normales” PR/mo/item ID Date
ISO 27001
182
Política de Seguridad de la Información Desarrollo de una Política de Seguridad de la Información Con base en los resultados previos El contenido como se describe en la ISO/IEC 27002 El alcance de la Política de Seguridad de la Información podría ser el mismo que para el SGSI, o más grande Tamaño recomendado: 2-4 páginas Se debería hacer referencia a documentación más detallada Ona forma: hipervínculos PR/mo/item ID Date
ISO 27001
183
Declaración de aplicabilidad La declaración de aplicabilidad incluye Todos los controles seleccionados (con referencia al Anexo A de la ISO/IEC 27001) y las razones para su selección Todos los controles existentes (se recomienda también relacionarlos con los riesgos identificados) Todos los controles del Anexo A de la ISO/IEC 27001 que no han sido seleccionados y una justificación para no seleccionarlos Se pueden incluir controles de otras fuentes (se recomienda también relacionarlos con los riesgos identificados) PR/mo/item ID Date
ISO 27001
184
Fase HACER La fase Hacer tiene varios pasos que se deberían seguir para la implementación de este proceso. Cada paso brinda entradas al paso siguiente, en un flujo lógico. Este procedimiento paso a paso se ejemplifica en esta sección mediante diagramas de flujo. Cada paso se describe de manera que una organización que no esté familiarizada con seguridad de la información y/o normas de gestión de la ISO pueda entender lo que se pretende.
Área de navegación
Política de SGSI
Declaración de aplicabilidad
Normas y proced. de seguridad de la información 8.2
Implementac. Controles de SGSI
Implementac. de programas de formación y concientización
8.4
Gestión de recursos para el SGSI 8.5
SGSI en operación
Controles apropiados
PR/mo/item ID Date
ISO 27001
185
ISO/IEC 27004 Alcance Brindar orientación sobre el desarrollo y uso de medidas para evaluar la eficacia de sus procesos, objetivos de control y controles de SGSI, como se especifica en la ISO/IEC 27001 Introducción en la que se explican las partes principales del programa de medición Visión general de la gestión para facilitar su comprensión, especialmente para las pymes
PR/mo/item ID Date
ISO 27001
186
Programa de medición Autoridad para el programa de SGSI
Establecimiento del programa de GSI Objetivos y modelo de medición (numeral 5) Responsabilidades de gestión (numeral 6) Recursos, formación, toma de conciencia y competencia Medidas y desarrollo de mediciones (numeral 7)
Planificar
[4.2.2.e]
Implementar modificaciones (numeral 10.4)
Actuar
Basado en las decisiones y acciones de los resultados de la revisión por la dirección (7.3)
Implementación del programa de GSI Programación de mediciones evaluación y selección del personal de medición dirección de las actividades de medición mantenimiento de registros [4.2.3]
Monitoreo y revisión del programa de GSI (numeral 10) Monitoreo y revisión Identificar necesidades de acciones correctivas y preventivas
Hacer
Actividades de medición Operación de medición (numeral 8) análisis y reporte de mediciones (numeral 9)
Verificar
Identificar oportunidades de mejora PR/mo/item ID Date
ISO 27001
187
Modelo de medición Medidas básicas Resultan de aplicar métodos de medición a atributos de objetos de medición Medidas derivadas Se definen mediante la aplicación de la función de medición a una o más medidas de bases Indicadores Se obtienen mediante la aplicación de un modelo analítico a las medidas derivadas Resultados de las mediciones Se evalúan mediante la interpretación de indicadores aplicables con base en criterios de definición definidos PR/mo/item ID Date
ISO 27001
188
Medidas básicas Objeto de la medición: bases de datos de empleados Atributo: registros de los empleados Método de medición: Búsqueda en la base de datos, para extraer el número de empleados de la base de datos de seguimiento a la concientización y formación en seguridad Medida básica: Número de empleados que recibieron concientización y formación en seguridad
PR/mo/item ID Date
ISO 27001
189
Medida derivada Medida básica: Número de empleados que recibieron concientización y formación en seguridad, y que firmaron acuerdos de usuario Función de medición: Se divide el número de empleados que recibieron formación y concientización en seguridad y que firmaron acuerdos de usuario, por el número de empleados que firmaron acuerdos de usuario, y se multiplica por el 100% Medida derivada: Porcentaje de empleados que recibieron concientización y formación en seguridad y que firmaron acuerdos de usuario
PR/mo/item ID Date
ISO 27001
190
Indicadores Medida derivada: Porcentaje de empleados que recibieron concientización y formación en seguridad y que firmaron acuerdos de usuario. Modelo analítico: se definen los niveles porcentuales a los cuales el indicador toma un color ROJO, AMARILLO, VERDE Ejemplo: 95% o más - VERDE 90% o más – AMARILLO Menos de 90 % - ROJO PR/mo/item ID Date
ISO 27001
191
Resultados de la medición Indicadores: Verde, Amarillo o Rojo, dependiendo de los resultados de la medida derivada Criterios de decisión: Describe el límite para emprender acciones – dependiendo de la medida usada, esto puede variar Resultado de la medición: La situación no requiere cambios La situación se debería considerar para revisión La situación debería mejorar
PR/mo/item ID Date
ISO 27001
192
Desarrollo de medidas Identificar una necesidad de información Identificación del objeto de medición Desarrollo de la medición Método y función de la medición Selección y validación de atributos Modelo analítico Indicadores y formatos de reporte Criterios de decisión Validación de la medición Recolección, análisis y reporte de datos Documentación PR/mo/item ID Date
ISO 27001
193
Ejemplo: Calidad de las contraseñas (1) Control 11.3.1 “Se espera que los usuarios seleccionen contraseñas adecuadas” Propósito: Evaluar la calidad de las contraseñas seleccionadas por los usuarios Objeto y atributo de la medición: Cuentas de los empleados y contraseñas individuales
PR/mo/item ID Date
ISO 27001
194
Ejemplo: Example Calidad : Quality de of lasPasswords contraseñas (1)(1) Medidas básicas: Número de contraseñas descifrables Número total de registros de cuentas de empleados Tiempo que toma “romper” la contraseña Métodos de medición: Correr herramientas de desciframiento de contraseñas Hacer la búsqueda en los registros de cuentas de los empleados Medir el tiempo que toma descifrar la contraseña PR/mo/item ID Date
ISO 27001
195
Ejemplo: Calidad de contraseñas (4) – Indicadores Descripción y muestra de indicadores (como en la 27004): Línea de tendencias que describe la descifrabilidad de las contraseñas para todos los registros ensayados, con líneas superpuestas producidas durante ensayos anteriores Mi sugerencia: 1% o menos – VERDE 10% o menos – AMARILLO Más del 10% - ROJO
PR/mo/item ID Date
ISO 27001
196
Ejemplo: Calidad de las contraseñas (4) – Criterios de decisión y acciones Acciones por tomar si se descifra alguna contraseña; esta medición necesita hacerse de nuevo en 30 días VERDE: contactar a los individuos e incrementar la concientización AMARILLO: Instalar un juego de computador que despierte la conciencia y enfatice la importancia, y asegurar que lo jueguen ROJO: Iniciar la formación de concientización para todos los empleados
PR/mo/item ID Date
ISO 27001
197
Ejemplo Hoja de medición (1) Métrica:
Totalidad y corrección del inventario de activos
Alcance de la métrica:
Esta métrica brinda una medida de lo correcto, completo y actualizado que está el registro de activos. La métrica se aplica en toda la organización.
Propósito y
El objetivo de esta métrica es asegurar la gestión correcta de un inventario de activos.
objetivos: Método de medición:
La medición funciona acumulando un punto menos para cada uno de los activos que se han encontrado y que no están en el registro de activos, o activos que siguen estando en el registro aunque ya hayan salido de la organización. El valor ideal es 100, y para cada activo que no está o que está incorrectamente en el inventario, se resta 1 del valor ideal. La misma medición se aplica para la corrección de la entrada, y se resta 1 punto del valor ideal, por cualquier entrada incorrecta encontrada.
PR/mo/item ID Date
ISO 27001
198
Ejemplo Hoja de medición (2) Frecuencia de la medición:
Esta medición se realiza una vez cada tres meses – una frecuencia menor sería muy dispendiosa, y está a tiempo para el informe trimestral que se presenta a la organización principal.
Procedimientos para las fuentes de datos y recolección de datos:
Completos y actualizados hasta la fecha: El inventario de activos corrientes se examina, se examinan de nuevo todos los otros inventarios, es decir, los de hardware y de software. Verificaciones puntuales; se selecciona una división en cada verificación y se examina cuidadosamente si hay activos en esa división que no están en el inventario. Se verifican los protocolos desde el punto de entrega, para asegurar que los activos que entran al sitio han sido incluidos en el registro de activos. Los protocolos de los activos que salen del sitio se cotejan contra el registro de activos. Los protocolos de disposición de activos se cotejan contra el registro de activos.
PR/mo/item ID Date
ISO 27001
199
Ejemplo Hoja de medición (3) Procedimientos para las fuentes de datos y recolección de datos:
Fuente de datos para determinar que las entradas son correctas: Se verifica que los activos bajo revisión tengan un dueño asignado a ellos, y que sea el dueño correcto de ese activo. Se verifica que la ubicación y descripción del activo estén incluidos correctamente en el inventario de activos. Los valores de los activos en el inventario de activos (expresando el daño a un negocio por una pérdida de confidencialidad, integridad y/o disponibilidad) se discuten con el dueño del activo para verificar que son correctos. Se pregunta a los dueños de los activos acerca del procedimiento para actualizar las entradas de sus activos en el inventario de activos, y se verifican los registros de las últimas actualizaciones.
PR/mo/item ID Date
ISO 27001
200
Ejemplo Hoja de medición (4) Indicadores:
Indicador de metas: los resultados de las mediciones indican los siguientes grados de cumplimiento de la meta de lograr un registro de activos completo, correcto y actualizado: 100 – 98: bueno – significa que el registro de activos es correcto, con 2 desviaciones máximo. 97 – 93: aceptable – significa que se deberían hacer algunas mejoras en el futuro; la acción de seguimiento exacta depende de las causas de los errores. Menos de 93: no es aceptable – es necesario corregir el registro de activos y se deberían tomar acciones preventivas para evitar que este mal resultado ocurra nuevamente. Indicador de impacto: Se deberían examinar los activos cuya entrada no se encuentre en el inventario de activos o sea incorrecta; si al menos uno de los valores de los activos (incorrectos) es “alto”, esto indica que se debería examinar más a fondo. En todos los otros casos son suficientes las metas de desempeño normales y no se necesitan otros indicadores de impacto.
PR/mo/item ID Date
ISO 27001
201
Guía ISO 27001
PR/mo/item ID Date
ISO 27001
202
Normas específicas para sectores
PR/mo/item ID Date
203 ISO 27001 203
Telecomunicaciones El grupo de normas UIT-T, Cuestión 7/17, desarrolló la norma X.1051 “Information security management guidelines for telecommunications based on ISO/IEC 27002” El objetivo es apoyar la implementación de la ISO/IEC 27002 en el sector de las telecomunicaciones
PR/mo/item ID Date
ISO 27001
204
Telecomunicaciones La norma contiene: Una visión general que presenta la estructura dentro de la que opera Versiones ampliadas de los controles de la ISO/IEC 27002 para el tema de las telecomunicaciones Esta norma ha sido adoptada por el SC 27 como ISO/IEC 27011 (en proceso de publicación) PR/mo/item ID Date
ISO 27001
205
Salud El comité TC 215 de normas sobre salud está desarrollando una norma que está basada en la ISO/IEC 27001 y la ISO/IEC 27002 (en etapa DIS) “Health informatics -- Security management in health using ISO/IEC 27002” Contiene una mezcla de requisitos y directrices de ambas normas del SGSI
PR/mo/item ID Date
ISO 27001
206
Desarrollos en el SC 27 SC 27/WG 1 (el que desarrolla la serie 27000) ha trabajado normas de SGSI para sectores específicos, para Gobierno de TI Infraestructuras críticas Sector financiero ….
PR/mo/item ID Date
ISO 27001
207
¿Por qué manejar los incidentes? No importa qué tan bueno sea el SGSI – se presentan errores… No importa lo perfectos que sean los controles – nuevas amenazas o tecnologías podrían llegar antes de usted pueda reaccionar No hay 100% de seguridad
Î ¡Siempre ocurrirán incidentes!
PR/mo/item ID Date
ISO 27001
208
¿Por qué manejar los incidentes? Por tanto, una organización necesita contar con un proceso implementado para: Detección y reporte de incidentes Valorar el incidente y reaccionar de acuerdo con esto Identificar qué salió mal y por qué ocurrió el incidente Limitar el daño Implementar controles para mejorar o prevenir
PR/mo/item ID Date
ISO 27001
209
Ejemplo de incidente – Negación de servicio Ataque distribuido de negación de servicio Gusano similar al Código Rojo Alrededor de 40.000 servidores en Asia fueron desconectados Se utilizó la vulnerabilidad al “MS SQL server” Se conocía la vulnerabilidad y había un parche disponible No se instalaron los parches Las descargas e instalaciones anti-pánico causaron incluso más problemas en la red PR/mo/item ID Date
ISO 27001
210
Concientización Información técnica acerca de incidentes CERT FIRST Microsoft Varias organizaciones de software de seguridad Información orientada a los técnicos y a la dirección NIST SANS Encuestas DTI sobre Violaciones a la Seguridad de la Información PR/mo/item ID ISO 27001 Date
211
ISO/IEC 18044 Manejo de incidentes de seguridad de la Información Apoya los controles para manejo de incidentes, de la ISO/IEC 17799 ISO/IEC 18048 Incluye plantillas y más asesoría técnica sobre cómo implementar programas de manejo de incidentes Publicada desde el año 2005
PR/mo/item ID Date
ISO 27001
212
Proceso de gestión de incidentes
Existe un proceso para la gestión de incidentes de seguridad de la información Se ajusta bien al modelo PHVA descrito en la ISO/IEC 27001
PR/mo/item ID Date
Planificar y Preparar
Usar la gestión de incidentes
Mejorar el proceso
revisar los incidentes
ISO 27001
213
Planificar y preparar (1) Obtener el compromiso de la alta dirección y cualquier otra parte interesada importante Desarrollar una política de gestión de incidentes Desarrollar un programa de gestión de incidentes para apoyar la política, que incluya: Herramientas de detección y formatos de reporte Procedimientos para evaluar incidentes y tomar decisiones Procedimientos para responder a incidentes Detalles de una escala de severidad de los incidentes PR/mo/item ID Date
ISO 27001
214
Planificar y preparar (2) Actualizar todos los otros documentos (políticas, procedimientos) que deberían hacer referencia a la política de gestión de incidentes Establecer una estructura organizacional para apoyar la gestión de incidentes, por ejemplo: Equipo de Respuesta a Incidentes de Seguridad de la Información (ERISI) Todos los roles y responsabilidades necesarios Puntos de contacto en caso de un incidente Implementar para todos formación en concientización Poner a prueba el programa de gestión de incidentes PR/mo/item ID Date
ISO 27001
215
Usar la gestión de incidentes (1) Detectar y reportar cualquier ocurrencia de eventos de seguridad de la información Recolectar toda la información pertinente acerca de eventos de seguridad de la información Evaluar si el evento es realmente un incidente Responder a todos los incidentes lo más rápido posible y limitar el daño, si es posible, por ejemplo, Reiniciar sistemas Iniciar reparaciones o actualizaciones Instalar respaldos Comenzar procedimientos de recuperación de desastres
PR/mo/item ID Date
ISO 27001
216
Utilizar la gestión de incidentes (2) Si no es posible responder exitosamente a un incidente, iniciar actividades de crisis (tales como un plan de continuidad del negocio) Comunicar el incidente y cualquier detalle necesario a las personas y organizaciones pertinentes Incluir a las autoridades externas, si es necesario Recolectar toda la información importante para realizar los análisis Generar registros de todas las actividades Cerrar el incidente PR/mo/item ID Date
ISO 27001
217
Revisar los incidentes Realizar análisis forenses si se necesita más información Identificar las lecciones aprendidas de los incidentes Identificar acciones de mejora Identificar cualquier mejora necesaria para el programa de gestión de incidentes, por ejemplo, para: Procedimientos o procesos Formas de respuesta a eventos o incidentes Estructuras organizacionales PR/mo/item ID Date
ISO 27001
218
Mejorar el proceso Revisar la política y el programa de gestión de incidentes con base en Re-valoraciones de los riesgos Revisiones por la dirección o auditorías internas Cualquier otra revisión que muestre necesidad de mejoras Hacer todas las mejoras identificadas Asegurar que las mejoras logran sus objetivos Importante: ¡los procesos de gestión de incidentes son iterativos! PR/mo/item ID Date
ISO 27001
219
Implementación del ERISI (1) El tamaño y la estructura dependen de la organización Equipo virtual o real Con o sin participación directa de la alta dirección Un conjunto típico de miembros son Operaciones comerciales TI/Telecomunicaciones Seguridad de la Información Recursos humanos Auditoría PR/mo/item ID Date
ISO 27001
220
Implementación del ERISI (2) Asegurar que los puntos de contacto y los miembros del equipo estén disponibles cuando sea necesario El ERISI debería tener: La autoridad para tomar decisiones sobre cómo hacer frente a los incidentes Línea de reporte directa con la dirección El conjunto de habilidades y conocimientos requeridos Procedimientos implementados para asignar tareas a los miembros más competentes del equipo PR/mo/item ID Date
ISO 27001
221
Beneficios de la gestión de seguridad de la información Mejoras a la Seguridad de la Información Reducción de daño por incidentes Reducción de recurrencia de los incidentes Recolección de evidencia Contribución a toma de decisiones posteriores, por ejemplo, sobre prioridades o presupuestos Mejoras a los resultados de la valoración del riesgo Obtención de material realista para formacion en concientización PR/mo/item ID Date
ISO 27001
222
Aspectos claves de éxito (1) El compromiso de la dirección con la gestión de incidentes (como parte del compromiso general de la organización con el SGSI) Concientización de todos en la organización Cómo reportar eventos A quién contactar en caso de eventos Por qué es importante reportar Beneficios de reportar los eventos
PR/mo/item ID Date
ISO 27001
223
Aspectos claves de éxito (2) Cumplimiento de todos los requisitos legales, reglamentarios y contractuales Identificación de toda la legislación pertinente Protección de datos y aspectos sobre privacidad Monitoreo legalmente correcto Cumplimiento de requisitos contractuales Contacto con los organismos que velan por el cumplimiento de la ley Abordar adecuadamente los temas de responsabilidad Mantenimiento de registros organizacionales Hacer acuerdos de confidencialidad ejecutables PR/mo/item ID Date
ISO 27001
224
Aspectos claves de éxito (3) El anonimato, por ejemplo, en relación con la información que se aporta para el proceso de gestión de incidentes Confidencialidad de cualquier información delicada involucrada en el proceso de gestión de incidentes Respuesta oportuna que mantiene informadas a las personas Operación creíble y fidedigna
PR/mo/item ID Date
ISO 27001
225
¡Gracias por su atención !
http://www.iso.org PR/mo/item ID Date
ISO 27001
226
View more...
Comments
