05. la fase planificar

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Fundamentos de la Norma ISO

27001 para la Gestión de la

Seguridad de la Información

Módulo 5 – La fase Planificar

Expositor: Víctor Reyna Vargas

Ingeniero de Sistemas

[email protected]

1



Agenda

Mike conoce la fase Planificar.

Alcance del SGSI.

Política del SGSI.

Enfoque de Evaluación de Riesgos.

Evaluación de Riesgos.

Análisis de Riesgos de nivel MACRO.

Análisis de Riesgos de nivel MICRO.

Enunciado de Aplicabilidad.

2



Mike está preparándose para una reunión…

3

Hola Mike. Se te ve

ocupado. Hola, ha pasado

tiempo. Sí, he estado

ocupado tratando de

estructurar un camino

para empezar la

implementación de la

ISO 27001.

Ayúdame a recordar,

qué era el modelo

PHVA?

PHVA significa

Planificar, Hacer,

Verificar-Actuar.

Recuerda lo que te

dije antes…la ISO

27001 sigue el

modelo PHVA.

Gracias. Me puedes

decir cómo puedo

utilizar el modelo

PHVA para la ISO

27001?



Recordando la ISO 27001 y el modelo PHVA…(1)

4

Hola Mike. Se te ve

ocupado.

Déjame explicarte el

modelo PHVA.

En la fase

PLANFICAR usamos

los hallazgos del

Análisis de Brechas y

damos inicio a la ISO

27001.

Parece bastante

trabajo.

Bueno, no es tan

difícil como podría ser

pero sí, la fase

PLANIFICAR es la

más importante de las

4 fases. Es por eso

que toma más tiempo

inicialmente.

Esto involucra la

definición del alcance

de la implementación,

la identificación de los

activos de información

críticos y la ejecución

de un análisis de

riesgos.

Sí, la planificación

debe ser apropiada.



Recordando la ISO 27001 y el modelo PHVA…(2)

5

Ok. Suena lógico y

tiene un flujo

apropiado. Así es. Déjame

contarte acerca de la

fase PLANIFICAR.

En la fase HACER

mitigamos los riesgos.

En la fase

VERIFICAR vemos

que tan efectivas han

sido las estrategias de

mitigación de riesgos.

En la fase ACTUAR

corregimos y

afinamos las

estrategias de

mitigación.



Mike y la fase PLANIFICAR

6

Gracias. Ahora tengo

una idea global. Me

puedes explicar la

fase PLANIFICAR en

detalle?

Así es. Y lo importante,

con el Análisis de

Brechas que haz hecho

ya haz iniciado el

proceso.

Claro. La fase

PLANIFICAR consiste:

1. Identificar el alcance

de la implementación

del SGSI.

2. Definir el Enfoque de

Tratamiento de

Riesgos.

3. Ejecutar el Análisis

de Riesgos.

4. Crear el Plan de

Tratamiento de

Riesgos y obtener la

aprobación de la

Gerencia.

5. Crear el Enunciado

de Aplicabilidad.

Eso no lo sabía.

Suena interesante.



Agenda


Alcance del SGSI.

Política del SGSI.






7



Modelo PHVA

8

SGSI

P

V

H A

1. Definir el Alcance del SGSI.

2. Definir la Política del SGSI.

3. Definir el Enfoque de Evaluación

de Riesgos de la organización.

4. Identificar los riesgos.

5. Analizar las opciones para tratar

los riesgos.

6. Seleccionar los controles y los

objetivos de control para el

tratamiento de los riesgos.

7. Obtener de la Alta Gerencia la

aprobación y la autorización para

el tratamiento de riesgos y

riesgos residuales.

8. Preparar la “Declaración de

Aplicabilidad”.



Primera GRAN decisión en la implementación de un SGSI

El alcance determina exactamente lo que se va a proteger.

El enunciado del alcance es un documento público, es decir, es

visible a tus clientes, tus socios, tus empleados, el Gobierno y otras

partes interesadas.

Asegúrate de definir el alcance con cuidado.

9



Qué comunica el Alcance?

Cuáles son las funciones del

negocio que son importantes

para tu organización.

Cuáles son los sistemas de

información e información que

van a ser protegidas para

ejecutar estas funciones del

negocio.

Las ubicaciones geográficas

donde se aplica el alcance.

Las exclusiones (cuáles son los

sistemas de información que no

serán protegidos).

10



El Alcance es MUY importante…

11

El alcance será

impreso en el

certificado ISO 27001

de tu organización.



Características de un buen alcance (1)

Considera la naturaleza del

negocio de la organización.

Protege los procesos más

estratégicos del negocio.

Por ejemplo:

Una agencia de publicidad podría

escoger proteger sus diseños

creativos y los datos de los clientes.

Un BPO podría escoger proteger la

TI y los Sistemas de Información

asociados.

12




Las ubicaciones específicas que

están cubiertas por el alcance.

Por ejemplo, si la organización

tiene 10 sucursales y una oficina

principal, el alcance debería

mencionar claramente si:

Sólo la oficina principal será cubierta.

La oficina principal y todas las

sucursales serán cubiertas.

La oficina principal y algunas sucursales

serán cubiertas.

Sólo algunas sucursales serán

cubiertas.

Etc…

13




Los procesos del negocio y los

sistemas de información asociados

que no estarán cubiertos.

El motivo por el que están

excluidos.

Nota. No es obligatorio mencionar

las exclusiones en el enunciado del

alcance pero debe estar

documentado en algún lugar para

mostrarlas a los auditores o partes

interesadas.

14



Cómo decidir qué incluir o excluir?

Puedes incluir una función del negocio si es

muy importante.

15

Puedes excluir una función del negocio si no es

importante o si tienes una razón válida (falta de

recursos, tiempo, recién inaugurada, etc.)



Ejemplo – Enunciado del Alcance 1

16

El Enunciado del Alcance

El Sistema de Gestión de la Seguridad de la Información se

despliega para proteger la información del negocio utilizada

para la fabricación y venta de televisores. Esta información

es utilizada por las divisiones de Finanzas, Recursos

Humanos, Investigación y Desarrollo, Ventas y Marketing de

ACME Inc., #1, North Block, Race Course Drive, New Delhi,

India.

Nombre de la organización – ACME Inc., New Delhi, India

Tipo de negocio – Fabricación y venta de televisores




17


Para la protección de la información y los sistemas de

información utilizados para el procesamiento de datos,

almacenamiento de datos, administración de redes y

sistemas para la entrega de los servicios de TI de

ProSolutions, Ho Chi Minh City, Vietnam.

Nombre de la organización – ProSolutions, Ho Chi Minh City,

Vietnam

Tipo de negocio – Empresa de Servicios TI




18


Creative Media ha desplegado el Sistema de Gestión de la

Seguridad de la Información para proteger la información

licenciada y con derechos de autor utilizada por el

departamento de “Diseño & Productos” para la creación de

publicidad para nuestros clientes. El Sistema de Gestión de

la Seguridad de la Información está en Creative Media, New

Drive, Boston, USA.

Nombre de la organización – Creative Media, Boston, USA

Tipo de negocio – Empresa de Consultoría en Publicidad




19


City Hospital, London, UK ha desplegado el Sistema de

Gestión de la Seguridad de la Información para proteger los

registros de salud de los paciones de la divulgación y

modificación no autorizada.

Nombre de la organización – City Hospital, London, UK

Tipo de negocio – Hospital Médico



Alcance pictórico

20

Exclusiones (Qué NO es

parte del alcance?)

Inclusiones (Qué es parte

del alcance?)

Nombre de la

organización



Ventajas de un Alcance pictórico

Ayuda a visualizar el alcance antes de colocarlo en palabras.

Explica claramente las “Exclusiones” y las “Inclusiones”.

Fácil de explicar a la Alta Gerencia, Clientes y Auditores.

21



Caso de Estudio 1: Escribiendo el alcance de un SGSI

para una organización de Servicios de TI (1)

Paso 1 – Identificar las principales funciones del negocio y decir qué

excluir y qué incluir.

22

Función del

Negocio Propósito

Excluir o

Incluir Motivo

Servicios del

Centro de Datos

Proporcionar almacenamiento y

transferencia de datos.

Incluir Servicio principal

Recursos

Humanos

Contratar y gestionar al personal necesario

para operar los servicios.

Incluir

Servicio esencial

Finanzas y

Contabilidad

Facturar a los clientes, gestionar el flujo de

fondos, pagar facturas y salarios, etc.

Incluir

Servicio esencial

Administración Mantener y dar mantenimiento a las

instalaciones.

Incluir

Servicio esencial

Marketing Proporcionar información acerca de los

servicios.

Excluir Actualmente

tercerizado, será

incluido el siguiente

año

Ventas Vender servicios principales. Incluir Servicio esencial





Paso 2 – Dibujar el alcance pictórico basándose en los datos

recolectados en el Paso 1.

23

Exclusiones

Marketing

Inclusiones

Servicios del

Centro de Datos

Ventas

Administración

Recursos

Humanos

Finanzas y

Contabilidad

ProSolutions

Servicios TI





Paso 3 – Escribir el Alcance.

24

ProSolutions Servicios TI ha diseñado e implementado el

Sistema de Gestión de la Seguridad de la Información para

proteger la información utilizada para proporcionar servicios

de TI esenciales. El SGSI se aplica a la oficina principal de

ProSolutions Servicios TI en #1, South Drive, New Jersey,

USA.





Paso 4 – Explicar claramente las exclusiones.

25

La función del negocio de Marketing ha sido tercerizada a

“M-outsourcing Inc.”. ProSolutions Servicios TI actualmente

está en el proceso de explicar y entrenar a “M-outsourcing

Inc.” en las políticas de seguridad de la información a seguir

por ProSolutions. Una vez que este se complete, “M-

outsourcing Inc.” tendrá un período de 6 meses para

cumplir con las políticas de seguridad de la información de

ProSolutions. Luego de esto, la función del negocio de

Marketing será adicionada al Alcance del SGSI.



Cuando excluyes algo del

alcance, no te olvidas de esto

sino que haces todo lo posible

para protegerlo lo mejor posible.

No es necesario que las

“Exclusiones” tengan que ser

publicadas.

Pero deberían estar

documentadas y explicadas in

caso de consultas de los

gerentes, clientes, auditores y/u

otras partes interesadas.

Importante

26




para una organización e-Learning (1)

27

Paso 1 – Identificar las principales funciones del negocio y decir qué

excluir y qué incluir.

Función del

Negocio Propósito

Excluir o

Incluir Motivo

Desarrollo de

Contenidos

Generar contenido e-Learning. Incluir Servicio principal

Control de

Calidad

Revisar que el contenido sea exacto,

utilizable, etc.

Incluir Servicio esencial

Finanzas y

Contabilidad

Gestionar el sistema en-línea de facturación

y pagos.


Alojamiento de

Servidores de

Contenido E-

Learning

Dar mantenimiento a los servidores e-

Learning.

Excluir Alojado por un

proveedor externo

Marketing Crear folletos, brochures y videos acerca del

contenido.






28

Paso 1 – Dibujar el alcance pictórico basándose en los datos

recolectados en el Paso 1.

Exclusiones Alojamiento de Servidores de

Contenido E-Learning

Inclusiones

Desarrollo de

Contenidos

Marketing Control de

Calidad

Finanzas y

Contabilidad

Genesis e-

Learning Inc.





Paso 3 – Escribir el Alcance.

29

Para proteger la información y los activos de información

que se utilizan para crear, entregar y gestionar los servicios

e-Learning de Genesis e-Learning Inc., North-West Drive,

Michigan, USA.





Paso 4 – Explicar claramente las exclusiones.

30

La función del negocio “Alojamiento de Contenido” ha sido

tercerizada a “Excellent Hosting Services”. Genesis e-

Learning Inc. tiene control limitado sobre la infraestructura

de seguridad de la información de “Excellent Hosting

Services”. A pesar de esto, Genesis ha tomado las

siguientes medidas en los servidores que alojan el

contenido e-Learning. Estas medidas son: endurecer el

servidor, alojar un firewall interno en el servidor, conducir

pruebas de penetración mensual, parchar y actualizar

regularmente. Además de esto, Genesis ha firmado un

AND (Acuerdo de No Divulgación) con “Excellent Hosting

Services”.



Agenda


Alcance del SGSI.

Política del SGSI.






31



Modelo PHVA

32

SGSI

P

V

H A







los riesgos.







riesgos residuales.


Aplicabilidad”.



Definiciones

Política. Plan de acción que guía las decisiones y que logra los

objetivos.

Política de Seguridad de la Información. Documento que establece

por escrito “por qué” y “cómo” una organización planea proteger su

información y sus activos de información

Procedimiento. Instrucciones paso a paso de cómo implementar la

política.

Guía. Versiones amigables de un procedimiento que hace fácil para

una persona normal entender e implementar los procedimientos.

Nota. Algunas veces, las personas utilizan los términos

“Procedimiento y Guía” de manera intercambiable.

33



Colocando todo junto…

Política.

Te dice que hacer.

Ejemplo: Los sistemas del negocio contienen información sensible. Todos los

sistemas sensibles tendrán controles de acceso adecuados.

Procedimiento.

Te dice cómo hacerlo.

Ejemplo: El control de acceso por defecto deberá ser contraseña con un mínimo de

8 caracteres alfa numéricos.

Guía.

Proporciona instrucciones amigables para ejecutar el procedimiento.

Ejemplo: Consejos y trucos para escoger una contraseña fuerte utilizando 8

caracteres alfa numéricos.

34



Importancia de la Política del SGSI

La política del SGSI es la ventana a través de la cual el mundo ve tu

SGSI.

La política del SGSI demuestra la visión y el compromiso de la

organización hacia la protección de la información y los activos de

información.

La política del SGSI establece el ritmo a seguir por el resto de la

organización para proteger la información y los activos de información

del negocio.

35



Estructura Jerárquica

36

Política Principal de Seguridad de la

Información (Manual del SGSI)

Políticas específicas al usuario final

Guías y

procedimientos

Políticas específicas a la función del negocio

Guías y

procedimientos

Políticas técnicas

Guías y

procedimientos

Enunciado de

la Política



Política Principal o Manual del SGSI

1. Introducción. Explica por qué la organización implementa un SGSI y

el compromiso hacia el SGSI.

2. Razón para la adopción de la ISO 27001 como estándar del SGSI.

3. El Enunciado del Alcance.

4. El Equipo de Gestión de la Seguridad de la Información (o el FGSI).

5. El modelo de implementación del SGSI (el enfoque PHVA).

6. La lista de política y procedimientos específicos para apoyar el

SGSI.

7. Frecuencia de la revisión de la política.

8. Resumen.

37



Enunciado de la Política

Un enunciado de la Política es una versión breve y resumida de la

política de Seguridad de la Información.

El enunciado de la Política se utiliza usualmente para publicarla en el

sitio web de la organización, mostrarla en ubicaciones estratégicas

como el salón de recepción de visitantes o la publicidad de la

empresa.

El enunciado de la Política es firmada usualmente por el Gerente

General de la organización.

El enunciado de la Política es una buena herramienta de marketing

así como de construcción de confianza.

38



Políticas Específicas

Las políticas específicas son un sub-conjunto de la Política Principal.

Existen para apoyar la Política Principal.

Por ejemplo:

La Política Principal especifica que todos los sistemas sensibles tendrán habilitados

los controles de accesos.

Para apoyar esto, nosotros creamos una “Política de Control de Accesos”.

La Política de Control de Accesos cubrirá “Gestión de Contraseñas, Gestión de

Tarjetas de Acceso, Bio-Métricas, Controles de Acceso Físico como cerraduras y

llaves, etc”.

39



Ejemplo – Estructura de una Política de Control de Acceso

1. Sección 1. Objetivo de la política – Para asegurar que todos los

sistemas sensibles se protejan de accesos no autorizados.

2. Sección 2. Políticas Específicas.

1. Política de Contraseñas – Explica el propósito de utilizar y proteger las

contraseñas para el acceso a los sistemas de computación.

2. Política de Tarjetas de Acceso – Explica el propósito de utilizar y proteger las

tarjetas de acceso electrónicas para ingresar a las instalaciones.

3. Controles de Acceso Físico – Explica el propósito de utilizar y proteger las

cerraduras y llaves utilizadas para cerrar las cabinas y cuartos.

40



Procedimientos y Guías

Explica al usuario de una manera amigable cómo lograr los objetivos

establecidos por una determinada política.

Ejemplo:

Procedimientos y guías para escoger contraseñas fuertes.

Procedimientos y guías para proteger las tarjetas de acceso electrónico de un mal

uso.

Procedimientos y guías para proteger las dispositivos de computación móviles.

41



Taller 04: Alcance del SGSI

42



Agenda


Alcance del SGSI.

Política del SGSI.






43



Nota!!!

44

Utilizaremos los términos

“Evaluación de Riesgos” y “Análisis

de Riesgos” de manera

intercambiable. Ambos significan lo

mismo en el contexto de este curso.



Modelo PHVA

45

SGSI

P

V

H A



3. Definir el Enfoque de

Evaluación de Riesgos de la

organización.



los riesgos.







riesgos residuales.


Aplicabilidad”.



Definiciones

Activo (de Información). Información de valor que es poseída y/o

utilizada por una organización (Nota. Utilizaremos el término Activo

en el resto de este curso).

Vulnerabilidad. Una debilidad en el activo que puede ser explotada.

Amenaza. Un agente o evento que puede explotar la vulnerabilidad.

Impacto. La consecuencia (daño) si la amenaza explota la

vulnerabilidad.

Probabilidad de ocurrencia. La posible cantidad de veces que la

amenaza puede explotar la vulnerabilidad en un período de tiempo.

Riesgo. El impacto final expresado en términos matemáticos que

combina:

El valor del activo.

La probabilidad de ocurrencia (amenaza explotando la vulnerabilidad).

El impacto de la amenaza explotando la vulnerabilidad.

46



Las definiciones en términos prácticos…

47

Amenaza: Un ladrón

en el vecindario Activo: Automóvil Vulnerabilidad: La

cerradura de la puerta no

funciona apropiadamente

y no hay una alarma

Impacto: Pérdida financiera, tensión mental,

pérdida de tiempo

Probabilidad de ocurrencia: Una vez en 5 años

Riesgo: Valor del Activo * Impacto * Probabilidad de Ocurrencia



Otro ejemplo…

48

Amenaza: Malware

como gusanos,

virus, troyanos

Activo: Computadora que

almacena información del

negocio

Vulnerabilidad: El anti-

virus no se actualiza

constantemente

Impacto: Pérdida de datos, pérdida financiera,

tensión mental, pérdida de tiempo

Probabilidad de ocurrencia: Una vez en 2 años

Riesgo: Valor del Activo * Impacto * Probabilidad de Ocurrencia



Definición de la Evaluación de Riesgos

49

El proceso de identificación de

riesgos utilizando un

“enfoque” predefinido.

En este caso, utilizaremos un

“enfoque” predefinido para

identificar los riesgos a la

seguridad de la información.



El Enfoque de Evaluación de Riesgos

50

Enfoque: Evaluación

de riesgos basada

en los activos

Ventaja: Lograr un

entendimiento

específico de los

riesgos que afectan

los activos

individuales. Personas Activos de

Información

Funciones del Negocio: Ventas, RRHH,

Soporte, Control de Calidad, etc.

Evaluar los riesgos de los activos de información en

cada departamento dentro del alcance.



Cómo hacer la Evaluación de Riesgos “basada en los

Activos”?

1. Identificar las funciones del negocio dentro del alcance.

2. Listar e identificar el valor de los activos en cada función del negocio.

3. Identificar las amenazas que pueden afectar al activo.

4. Identificar las vulnerabilidades que puede ser explotadas por las

amenazas.

5. Identificar el impacto.

6. Identificar la probabilidad de ocurrencia.

7. Calcular el riesgo.

51



El enlace entre del Análisis de Brechas, el Análisis de

Riesgos y el Tratamiento de Riesgos

52

Plan de Tratamiento de

Riesgos

Informe del Análisis

de Brechas Informe del Análisis

de Riesgos



Ventaja del Análisis de Brechas

53

Obtener un entendimiento

global de los riesgos a la

seguridad de la información

que impactan a la

organización como un todo.

Ejemplo: Terremoto, falla

eléctrica, ataque informático.

Organización



El Análisis de Brechas y el Análisis de Riesgos

54

Organización Personas Activos de

Información

Funciones del Negocio: Ventas, RRHH,

Soporte, Control de Calidad, etc.

La combinación “Análisis de Brechas + Análisis de Riesgos” nos da

un saludable análisis de riesgos.



Agenda


Alcance del SGSI.

Política del SGSI.






55



Modelo PHVA

56

SGSI

P

V

H A







los riesgos.







riesgos residuales.


Aplicabilidad”.



La herramienta: Una hoja de cálculo para el Análisis de

Riesgos

57

Activo

Valor del

Activo

Amenaza

Vulnerabilidad

Impacto

Probabilidad

Riesgo

Componentes



1. Identificar las funciones del negocio dentro del alcance

58


El Sistema de Gestión de la

Seguridad de la Información se

despliega para proteger la

información del negocio

utilizada para proporcionar los

servicios de alojamiento web

de “We Host” Inc., Drive #1,

North Heights, Illinois, USA

Funciones del Negocio

dentro del alcance

TI

RRHH

Administración



Creamos una hoja de cálculo para estas funciones del

negocio

59



2. Listar e identificar el valor de los activos en cada

función del negocio

Un “Activo” en el contexto de la ISO 27001 puede ser definido como:

Algo que almacena información (disco duro / cinta de la copia de seguridad).

Algo que procesa información (computadora).

Algo que transmite información (ancho de banda).

Algo que muestra información (monitor / impresora).

Por facilidad, se puede utilizar la siguiente clasificación:

Hardware: servidores, laptops, computadoras, switches, routers.

Software / Aplicación: sistemas operativos, cliente e-mail, anti-virus, firewall.

Papel: Memos, notas, manuales de instalación, acuerdos legales.

Electrónico: Fax, teléfono, etc.

Servicio: Ancho de banda, servicio de actualización de anti-virus, servicio de

alojamiento web.

Personas: Gerente General, Jefe de TI, Gerencia de RRHH, etc.

Activos Físicos: cabina de almacenamiento de información, gabetas, etc.

60



Así listamos los activos…

61



Identificar el propietario del activo

El propietario es usualmente:

La persona directamente responsable del activo.

La persona quien usa el activo casi todo el tiempo.

También puedes utilizar el término “Guardián” pero no es obligatorio.

Propietario vs. Guardián:

El propietario es el único responsable de un activo. Por ejemplo: el Jefe de TI.

El propietario asigna el activo a un guardián para su uso. Por ejemplo: el Jefe de TI

asigna una computadora a un ejecutivo del negocio.

Nota: Cuando se trata de “activos humanos” o “empleados”, el

propietario es usualmente la persona a quien reportan.

62



Así listamos a los propietarios…

63



Determinar el valor del activo

Un “Activo” es valorado utilizando 3 criterios:

Confidencialidad (Confidentiality).

Integridad (Integrity).

Disponibilidad (Availability).

Confidencialidad. Asegura que la información es accedida sólo por

aquellos quienes tienen acceso autorizado.

Integridad. Asegura que la información es modificada sólo por


Disponibilidad. Asegura que la información es accedida y utilizada por


La protección de la información esencialmente significa la protección

de la “Confidencialidad, Integridad y Disponibilidad” de la Información.

A este se le llama la “Tríada CIA”.

Calculamos el valor del activo (de información) utilizando los

principios de Confidencialidad, Integridad y Disponibilidad.

64



Midiendo la “Confidencialidad”

Primero, medir la “Confidencialidad” del activo (de información).

Calificamos la “Confidencialidad” en una escala de 0 a 3.

0 – No es válido o no confidencial.

1 – Baja confidencialidad, el activo (de información) es accedido por muchas

personas.

2 – Mediana confidencialidad, el activo (de información) es accedido por un grupo

selecto de personas.

3 – Alta confidencialidad, el activo (de información) es accedido sólo por el

propietario o un conjunto limitado de personas.

Consejos. Pregúntate lo siguiente:

Cuántas personas deben tener acceso a este activo?

A cuántas personas este activo debe relevar información?

Cuán secreta es la información almacenada y procesada por este activo?

65



Ejemplo: Midiendo la “Confidencialidad”

66

Activo Pregunta Respuesta Calificación

Servidor

Email

Cuántas personas debe

tener acceso al servidor?

Todos los empleados pero

nadie más. Almacena

información sensible del

negocio.

3 – Alta

Sitio web de

la empresa

Cuán secreta es la

información almacenada y

procesada por este activo?

La información es accedida

por todos los visores.

1 – Baja

Gerente de

RRHH

A cuántas personas este

activo debe relevar

información?

(o)

Cuán secreta es la

información almacenada y

procesada por este activo?

Almacena y procesa los

registros de los empleados y

la información salarial que

tiene algunas

preocupaciones de

privacidad.

2 - Media



El valor de la “Confidencialidad” se captura en la hoja

67



Midiendo la “Integridad”

Segundo, medir la “Integridad” del activo (de información).

Calificamos la “Integridad” en una escala de 0 a 3.

0 – No es válido o la información es modificada por todos.

1 – Baja integridad, la información es modificada por muchas personas.

2 – Mediana integridad, la información es modificada por un grupo selecto de

personas.

3 – Alta integridad, la información es modificada sólo por el propietario o un

conjunto limitado de personas.


Cuántas personas pueden modificar este activo?

Cuán modificable es la información utilizada por este activo?

Cuál es el nivel de “honestidad” y “diligencia” esperado por este activo mientras se

modifica la información?

68



Ejemplo: Midiendo la “Integridad”

69


Servidor

Email

Cuántas personas pueden

modificar el activo?

Nadie. Una vez que se envía

un e-mail, este no debería

ser modificado.

3 – Alta

Sitio web de

la empresa

Cuán modificable es la

información utilizada por este

activo?

Modificable solo por el

administrador y nadie más.

El administrador puede

hacer modificaciones solo

después de la aprobación.

3 – Alta

Gerente de

RRHH

Cuál es el nivel de

“honestidad” y “diligencia”

esperado por este activo

mientras se modifica la

información?

Muy alto ya que el Gerente

de RRHH maneja la

información personal y

salarial de los empleados.

3 - Alta



El valor de la “Integridad” se captura en la hoja

70



Midiendo la “Disponibilidad”

Tercero, medir la “Disponibilidad” del activo (de información).

Calificamos la “Disponibilidad” en una escala de 0 a 3.

0 – No existen requerimientos para una disponibilidad continua.

1 – Baja disponibilidad, largos períodos de indisponibilidad son tolerables.

2 – Mediana disponibilidad, cortos períodos de indisponibilidad son tolerables, el

activo debe estar disponible la mayor parte del tiempo.

3 – Alta disponibilidad, la información debe estar disponible el mayor grado posible

(cerca a 99.99%).


Cuál es el %de tiempo que el activo debe estar disponible?

Cuán tolerable es el tiempo de inactividad para este activo?

Es necesario un activo alterno si este activo no está disponible?

71



Ejemplo: Midiendo la “Disponibilidad”

72


Servidor

Email

Cuál es el %de tiempo que el

activo debe estar disponible?

La mayor parte del tiempo ya

que mucha de la

comunicación del negocio se

realiza a través del email.

3 – Alta

Sitio web de

la empresa

Cuán tolerable es el tiempo

de inactividad para este

activo?

Ligeramente tolerable ya que

el sitio web de la empresa es

para un propósito

informativo. Pero un tiempo

de inactividad afecta la

imagen de la empresa.

2 – Media

Gerente de

RRHH

Es necesario un activo

alterno si este activo no está

disponible?

Sí ya que el Gerente de

RRHH es clave para el

reclutamiento y la gestión de

procesos de empleados.

3 - Alta



El valor de la “Disponibilidad” se captura en la hoja

73



Finalmente, calculamos el “Valor Neto” del activo

74

Valor neto del activo – C + I + A



3. Identificar las amenazas que pueden afectar al activo

Amenaza: Un agente o un evento que puede explotar una

vulnerabilidad.

Consejo: Mantener una lista simple y clara de amenazas:

Destrucción.

Corrupción.

Bajo rendimiento.

Antigüedad.

Indisponibilidad.

Por qué una lista de amenazas tan simple?

Para tener una hoja de Evaluación de Riesgos ORDENADA y SIMPLE.

Para permitir CLARIDAD de pensamiento.

Para evaluar más efectivamente las vulnerabilidades.

75



Cómo aplicamos las categorías de amenazas a un activo?

1ra pregunta inteligente que debes hacer: Existe una “amenaza”

de…?

Destrucción, corrupción, bajo rendimiento, antigüedad, indisponibilidad?

2da pregunta inteligente que debes hacer: Cuál podría ser la razón

de…?

Destrucción? (Accidente Físico).

Corrupción? (Caída del disco duro).

Bajo rendimiento? (Mal funcionamiento).

Antigüedad? (Pobre mantenimiento).

Indisponibilidad? (Robo).

En lugar de llegar la hoja de cálculo con mucha información, la

mantienes simple.

76



Ejemplo: Amenazas simples

77

Descripción de la amenaza Categoría

Brote de influenza, los empleados están indispuestos. Indisponibilidad

Caída del disco duro en el servidor, algunos datos se han

perdido, el servidor no está disponible por un tiempo.

Indisponibilidad

Eliminación accidental de datos por un empleado. Destrucción

Los documentos de gestión de la configuración no están

actualizados.

Antigüedad

Pobre ancho de banda. Bajo rendimiento



Esta es una lista simple de amenazas…

78



4. Identificar las vulnerabilidades que pueden ser

explotadas por las amenazas

Amenaza: Una debilidad en un activo que puede ser explotada por

una amenaza.

Cómo identificar vulnerabilidades?

Paso 1: Tomar la lista de “Activos” y “Amenazas”.

Paso 2: Pregúntate cuáles son las vulnerabilidades que pueden ser explotadas por

las amenazas?

Consejo: Por facilidad, puedes dividir las vulnerabilidades en 4

categorías.

Técnicas.

Procedimentales.

Humanas.

Físicas.

79



Ejemplo de los 4 tipos de vulnerabilidad

Activo:

Servidor de correo.

Amenazas:

Indisponibilidad.

Corrupción.

Bajo rendimiento.

Vulnerabilidad:

Falla en el disco duro (técnica).

Eliminación accidental por el administrador (humana).

Mantenimiento inapropiado (procedimental).

Ausencia de un extinguidor de fuego (física).

80



Capturamos la Vulnerabilidad en la hoja

81



Pero, cómo hacemos que las personas entiendan?

82



5. Identificar el impacto

Impacto: Es la severidad del daño causado cuando la amenaza

explota la vulnerabilidad.

Escala de medición del impacto:

0 – Insignificante, no hay impacto.

1 – Menor, apagado temporal del activo, pequeño esfuerzo adicional requerido

para restaurar el activo.

2 – Mayor, apagado extendido del activo, considerable esfuerzo y recursos (tiempo,

dinero, personas) requeridos para restaurar el activo.

3 – Severo, apagado casi total del activo, significativo esfuerzo y recursos (tiempo,

dinero, personas) requeridos para restaurar el activo.

Determina el impacto utilizando tu juicio!

Paso 1 – Considerar el valor del activo.

Paso 2 – Considerar la severidad de la “amenaza” y “vulnerabilidad”.

Paso 3 – Utilizar tu juicio para calificar el impacto.

83



Capturamos el Impacto en la hoja

84



6. Identificar la probabilidad de ocurrencia

Probabilidad de Ocurrencia. La cantidad de veces que un evento

puede ocurrir en un intervalo de tiempo.

En este caso, el evento es la “amenaza” explotando la

“vulnerabilidad”.

Escala de medición de la probabilidad:

0 – Improbable de ocurrir.

1 – Ocurre una vez cada 2-3 años.

2 – Ocurre una vez cada año.

3 – Ocurre más de una vez cada año.

Nota: La escala de probabilidad puede ser personalizada por

requerimientos específicos de la organización.

Determina la “probabilidad de ocurrencia”.

Cuán frecuentemente la “amenaza” explotará la “vulnerabilidad”?

Ejemplo: cuán frecuentemente puede caerse el disco duro del servidor de correos

debido a un pobre mantenimiento?

85



Capturamos la Probabilidad en la hoja

86



7. Calcular el riesgo

Riesgo: El impacto final, expresado en términos matemáticos que

combina:

El valor del activo.

La probabilidad de ocurrencia (amenaza explotando la vulnerabilidad).

El impacto de la amenaza explotando la vulnerabilidad.

Existen numerosas definiciones de riesgo. Para nuestro propósito, la

definición actual será suficiente porque:

1. Estamos considerando el valor del activo.

2. Estamos considerando las amenazas y vulnerabilidades y el subsecuente impacto.

3. Estamos considerando la probabilidad de ocurrencia.

4. La fórmula del análisis de riesgo final utiliza los datos de los puntos 1, 2 y 3.

87



Calculamos el Riesgo

88

Riesgo = Valor del activo * Impacto * Probabilidad de ocurrencia



Puedes crear tu propia fórmula…

Pero debes asegurarte que satisface requerimientos lógicos básicos.

Enfrentemos nuestra fórmula actual versus los requerimientos

básicos:

Riesgo = Valor del activo * Probabilidad * Impacto

89

Requerimiento lógico La fórmula satisface

el requerimiento?

Si el valor del activo se incrementa, el riesgo debe incrementarse. Sí

Si la probabilidad se incrementa, el riesgo debe incrementarse. Sí

Si el impacto se incrementa, el riesgo debe incrementarse. Sí

Revisa tu fórmula con los criterios mencionados antes de usarla.



Taller 05: Análisis de Riesgos

90



Agenda


Alcance del SGSI.

Política del SGSI.






91



La herramienta

Puede ser utilizada para realizar el análisis de riesgo de nivel macro o

una evaluación inicial de brechas.

Proporciona una visión global de donde nos encontramos en términos

de la implementación y la gestión del SGSI.

Hay 4 hojas de cálculos en esta herramienta y las hojas 2, 3 y 4 son

automáticas, es decir, existe un cálculo sencillo utilizado desde la

hoja 1 para generar valores en las siguientes hojas.

Las hojas 2 y 3 muestran el nivel de conformidad basado en los

objetivos de control y cada dominio respectivamente de acuerdo a lo

mencionado en el estándar ISO27001.

92



Hoja de cálculo 1 – Lista de verificación de conformidad (1)

93



Hoja de cálculo 1 – Lista de verificación de conformidad (2)

Esta hoja lista los 133 controles en el estándar ISO27001.

Sirva para averiguar el nivel de conformidad para cada control.

Si no deseas implementar un control lo puedes ignorar.

Esta es la única hoja en la que necesitas trabajar. El resto se

completará automáticamente.

94



Hoja de cálculo 2 – Conformidad por objetivo de control (1)

95



Hoja de cálculo 2 – Conformidad por objetivo de control (2)

Cada control se agrupa bajo un objetivo de control

Por ejemplo:

Bajo el dominio “Human Resources Security” existen 3 objetivos de control.

Bajo el objetivo de control “Prior to Employment” existen 3 controles.

Aquí podemos obtener el porcentaje de la implementación del SGSI

basado en los objetivos de control.

96



Hoja de cálculo 3 – Conformidad por dominio (1)

97



Hoja de cálculo 3 – Conformidad por dominio (2)

Existen 11 dominios en el estándar ISO27001 y esta hoja mostraría la

conformidad por dominio.

Ayuda a entender las áreas débiles y a mejorar o acelerar la

implementación del SGSI en dichas áreas.

98



Hoja de cálculo 4 – Representación gráfica (1)

99



Hoja de cálculo 4 – Representación gráfica (2)

Muestra una ilustración gráfica de la conformidad por dominio.

Este hoja junto con la hoja 3 (Conformidad por dominio) son las que

la alta gerencia quisiera ver y entender.

Estas dos juntos pueden ser utilizadas en el análisis de riesgos de

nivel macro o el informe de análisis de brechas que enviarías a los

interesados relacionados.

100



Cómo usar la hoja 1? (1)

La evaluación de cada uno de los controles se basa en 4 parámetros.

Para algunos controles podrían no ser requeridos todos ellos.

1. Políticas y procedimientos. Si el control tiene una política documentada o un

procedimiento para manejarlo (en algunos casos ambos). Se ha definido esta

política o procedimiento apropiadamente y sí es lo suficientemente detallada y

bien documentado.

2. Implementación. Según la política o procedimiento documentado. Debes evaluar

este control revisando que tan bien el control trabajo, recolectando algunas

pruebas de muestra o informes de prueba o cualquier otro medio apropiado.

3. Monitoreo. Una vez que el control ha sido implementado, necesitamos revisar si

existe algún mecanismo de monitoreo para revisar y asegurar que el control está

trabajando apropiadamente y logra los resultados deseados.

4. Auditoría. Lo que significa que el control debería tener algunas evidencias

generados que puedan mostrar a los auditores que el control ha sido

implementado, es monitoreado periódicamente y está saludable.

101



Cómo usar la hoja 1? (2)

Tomando como referencia estos 4 puntos de evaluación, podemos

distribuir un máximo de 25% de conformidad para cada parámetro y si

todos ellos se cumplen entonces ese control será 100% conforme.

Además de los parámetros antes mencionados, proporcionamos

algunas preguntas que podrías hacerte o utilizarlas en tu evaluación

para llegar a un valor de la implementación.

102



Veamos un ejemplo (1)

Tomemos el primer dominio y el primer control como ejemplo.

Dominio: Política de Seguridad.

Objetivo de control: Política de seguridad de la información.

Control: Documentos de política de seguridad de la información.

Veamos lo que el control nos exige hacer según la ISO27001:

Un documento de política de seguridad de la información deberá ser aprobado por

la gerencia y publicado y comunicado a todos los empleados y las partes externas

interesadas.

Si ves las preguntas, establecen claramente el estado de este control.

1. Existe una política de seguridad de la información, la cual es aprobada por la

gerencia, publicada y comunicada a todos los empleados.

2. La política establece el compromiso de la gerencia y el enfoque organizacional para

gestionar la seguridad de la información.

La pregunta 1 cubre la adecuación definida de la política y la

implementación de dicha política. Si tu respuesta es “Sí” proporciona

50% de conformidad.

103




Consideremos los parámetros que hemos discutido antes y

determinemos el nivel de conformidad. Necesitamos encontrar si lo

mismo es monitoreado y auditable.

Para esto podemos hacer lo siguiente:

1. Revisar cómo el documento “Política de Seguridad de la Información” ha sido

circulado a la organización, si hay un mecanismo para revisar si todos los

empleados han leído y entendido la política. Esto cubrirá la parte de monitoreo.

2. Si la evidencia, como la firma del usuario en el documento “Política de Seguridad

de la Información” o un test para medir el nivel de conciencia de la “Política de

Seguridad de la Información” de la organización, cubrirá tu parámetro de auditoría.

Ahora, viendo el escenario digamos que el control está implementado

y monitoreado pero no existe evidencia para que se lleven a cabo

auditorías. En este caso colocaríamos un 75% de conformidad y

adicionamos una observación indicando lo que es requiere para

lograr el 100% de conformidad.

104




Observa la segunda pregunta, es un escenario Si o No. Para esta

pregunta no tenemos que evaluar los 4 parámetros. Si tu respuesta

es “Si” se indica 100% de conformidad. Si es “No” se indica 0% de

conformidad.

Conforme te muevas a las otras hojas, se te mostrará una ilustración

de la conformidad por objetivo de control y por dominio. Una vez que

hayas poblado todos los controles, tendrás una visión más realista de

donde está tu organización en términos de la implementación de

controles de Seguridad de la Información con respecto a la

ISO27001y qué acciones se debe llevar a cabo para lograr la

conformidad a un nivel aceptable.

105



Agenda


Alcance del SGSI.

Política del SGSI.






106



La herramienta (1)

Ayuda a determinar el CIA y valores de riesgo así como la captura de

riesgos y pasos para mitigarlos.

Se usa una hoja diferente para departamentos o áreas diferentes

considerados en el Análisis de Riesgos.

Un Análisis de Riesgos se puede llevar a cabo de diferentes formas,

puede estar basado en activos o en procesos.

El Análisis de Riesgos basado en Activos se basa en suposiciones y

varía de caso en caso.

107




Los activos se listan de acuerdo a su categorización.

Personas.

Hardware.

Servicios.

Papel.

Electrónicos.

El activo Personas.

El activo identificado es el Gerente de Información y el propietario sería la persona

a quien reporta y ese sería el Gerente General.

Los valores C-I-A se valoraron en 3-3-2. Esto debido a que el Gerente de

Información tendrá la información de todas las actividades relacionadas a TI,

incluyendo las estrategias organizacionales, información relacionada a

presupuestos, la cual es crítica a la organización y es altamente confidencial. La

disponibilidad (A) del Gerente de Información ha sido valorado en 2 porque no

requerimos que esté disponible todo el tiempo. El valor neto es de 8.

Como puedes ver, la disponibilidad del Jefe de TI está valorada en 3 y el valor del

activo en 9. Esto significa que las operaciones diarias son más criticas para la

organización y por ese se le requiere más.

109




Considerando la amenaza como “Indisponibilidad” y la vulnerabilidad como

“Ausencia del trabajo” (debido a enfermedad), el impacto de no disponibilidad del

Gerente de Información se valora en 3 y la probabilidad de ocurrencia es baja y se

valora en 1.

Habiendo determinado estos valores, el valor total del riesgo es de 24.

Basándose en el apetito de riesgos de tu organización, puedes aceptar, transferir

y/o mitigar los riesgos. En este caso, se ha decidido “tratar” el riesgo.

Se ha mencionado que el “Gerente de Finanzas” manejará temporalmente sus

responsabilidades. Esto significa que durante la ausencia del Gerente de

Información, el Gerente de Finanzas asumirá y llevará a cabo las tareas

requeridas. Para ello, también hay que revisar lo que viene a continuación.

1. Existen Políticas y Procedimientos relevantes para llevar a cabo el rol del

Gerente de Información.

2. Se han llevado a cabo entrenamientos Cruzados Internos entre los dos roles.

3. Las responsabilidades del Gerente de Información han sido definidas, las cuales

pueden ser referidas al Gerente de Finanzas.

4. Las responsabilidades del Gerente de Finanzas han sido definidas, las que

también establecen que el Gerente de Finanzas actuará como contingencia del

Gerente de Información en su ausencia.

110




5. Se ha llevado a cabo cualquier entrenamiento externo requerido para llevar a

cabo el rol del Gerente de Información.

El control ISO27001 relacionado será A.8.1.1 – Roles y Responsabilidades de la

Seguridad de la Información.

Necesitamos saber qué nivel del riesgo se mitiga por el reemplazo del Gerente de

Información con el Gerente de Finanzas. Debido a que el Gerente de Finanzas

tiene sus propias responsabilidades, el rol de Gerente de Información es un

adicional. Por lo tanto el grado de aseguramiento de que ese riesgo sea mitigado

será solo de 50%, lo que nos dice que el riesgo no se elimina completamente y

existe una cantidad de riesgo, a lo cual se le denomina “riesgo residual”.

La decisión de la gerencia de bien aprobar o rechazar la implementación del control

sugerido puede ser mencionada en la herramienta. En este caso es “aprobar”.

111



Agenda


Alcance del SGSI.

Política del SGSI.






112



El Enunciado de Aplicabilidad

Es el primer documento de referencia para cualquier persona que

desee ver la implementación del SGSI en tu organización.

Lista todos los controles bajo el estándar ISO27001 y resalta la

cantidad de controles que se han implementado en tu organización.

A pesar del número de controles implementados esto no significa que

tu organización es efectiva o que tan segura es, pero es el primer

nivel de proyección para una verificación de la implementación del

SGSI.

También es un documento que se puede compartir con otras

personas que lo requieran.

113



La herramienta (1)

114



La herramienta (2)

La hoja de cálculo tiene solo tres columnas:

El número del control ISO27001.

Si un control particular ha sido implementado (Sí o No).

La referencia para satisfacer el control.

Si alguno de esos controles no han sido implementados o

considerados para su implementación en tu organización, se te

requerirá que proporciones una justificación adecuada para su no

consideración.

Por ejemplo, en algunas organizaciones podría no existir el control de teletrabajo o

la instalación de teletrabajo. Entonces el control 1.A.11.7.2 Teleworking no aplicará

porque la organización no utiliza teletrabajo para sus empleados.

O por ejemplo el control 2.A.12.5.5 – Outsourced software development no se ha

implementado ya sea porque no se hacen actividades de desarrollo de software en

tu organización O las actividades de desarrollo de software no se han tercerizados.

También se puede proporcionar referencias que satisfacen los

controles.

115



La herramienta (3)

No es obligatorio que todos los controles necesiten ser manejados

con una política individual. Un documento simple que diga “Manual

del SGSI” también puede considerar todas las políticas que

satisfagan los controles. En este caso se puede mencionar a dicho

manual como documento de referencia.

También, para algunos controles se pueden mencionar directamente

las herramientas que se han utilizado junto con la referencia de la

política.

Por ejemplo:

Control 1.A.10.4.1 Control against malicious code. Junto con la referencia a la

política también podemos mencionar la referencia a tecnología (“McAfee antivirus

edición empresarial”).

Control 2.A.10.8.4 Electronic Messaging. Junto con la política de intercambio de

información también podemos mencionar “Las transmisiones de e-mail se encriptan

utilizando PGP”.

Control 3.A.11.4.2 User authentication for external connections. También se puede

mencionar la tecnología implementada diciendo “Conectividad Checkpoint VPN”.

116



Taller 06: Análisis de Brechas

117



Fin de la Presentación

118

05. la fase planificar

Documents