normativas sgsi iso 27k - isacavalencia.org · derivada (directamente) de iso/iec 17799:2005. iso...

LOGO

COLABORADOR

Charlas Técnicas ISACANormativas SGSI

Renato Aquilino Pujol

Licenciado en Informática, CISA, CISM

[email protected]

1

Normativas SGSI ISO 27k

LOGO

COLABORADOR




[email protected]

2

Auditoría y Consultoría de

Sistemas de Información

SGSI – Normas ISO/IEC 27001 – ISO/IEC 27002.Business Continuity Management – BS 25999, BCI, DRI, NIST.

Business Process Management

Consultoría y Auditoría sobre Adaptación a Marcos

Legislativos.

LOPD + Reglamento RD 1720/2007.

Asesoría Jurídica especializada.

Herramientas automatizadas.

LSSI – CE + Adaptaciones LISI.

LISI Accesibilidad. WAI-W3C. AENOR.

Ley 11/2007 Administraciones Públicas.

LOGO

COLABORADOR




[email protected]

3

Auditoría y Consultoría de

Sistemas de Información

Planes Estratégicos de Sistemas.

Consultoría y auditoría de SW.Calidad de SW ISO 14598, ISO 9126, etc.

Metodologías de desarrollo.

Consultoría / Control / Dirección de proyectos.

Gestión de Servicios.

ISO 20000 + ITIL V2 V3.

Formación.

ISO/IEC 27002. ISO/IEC 27001. Ciclo ISO 27001+27002.

Marcos Legislativos TIC – Empresa / AAPP.

LOGO

COLABORADOR




[email protected]

4

Alicante.

Murcia.

Valencia.

Castellón.

Barcelona.

Almería.

Málaga.

Sevilla.

Madrid.

LOGO

COLABORADOR




[email protected]

5

Nombre Cargo

Renato Aquilino Pujol Director de CESSER Criteria ‖‖ Grupo CESSER. Consultoría y Auditoría de Sistemas de Información.

Datos académicos Licenciado en Informática por la Universitat Politècnica de Catalunya

Acreditaciones Certified Information Systems Auditor (CISA) - ISACA.

Certified Information Security Manager (CISM) - ISACA. Chief Auditor ISO 9001:2000 por IRCA. Peritajes y Dictámenes Informáticos por COIICV.

Asociaciones/Comités Miembro de diferentes grupos de trabajo de ISACA en la actualidad.

Miembro del Certification Board de ISACA desde 2003 a 2007. Miembro fundador del Chapter 182 de ISACA-CV. Vicepresidente del Chapter 182 de ISACA-CV desde su fundación hasta

2006. Miembro fundador del COIICV.

Actividad docente

Publicaciones Profesor del curso “Auditoría de Sistemas de Información” en la Universi-

dad de Alicante – FUNDEUN -. 2004 a 2007. Profesor del Curso “Legislación para las TIC” en la Universidad de Alicante

– FUNDEUN - 2004, 2005. Profesor del curso “Auditoría de Sistemas de Información” en la Universi-

dad Miguel Hernández – Elche -. 2008. Autor de los capítulos “Auditoría de Sistemas de Información” y “Gestión

del Conocimiento” de los textos “Proyecto Alfa” del COIICV. Autor de artículos en diversos medios de comunicación (Economía 3, Dia-

rio Información, Diario Levante) sobre Tecnologías de la Información.

Ponente

LOGO

COLABORADOR



[email protected]


6

1. La Seguridad de los Sistemas de

Información.

2. Normativas actuales.

3. Normativa ISO 27002. Buenas prácticas.

4. Normativa ISO 27001. Requerimientos.

5. El proyecto SGSI.

6. Normas y Marcos adicionales.

LOGO

COLABORADOR



[email protected]


7

Definiciones.

Información.

Todo conjunto de datos organizados en poder de

una entidad y que posean valor para la misma, independientemente de:

La forma en que se guarde o transmita (escrita, en

imágenes, oral, impresa en papel, almacenada

electrónicamente, proyectada, enviada por correo,

fax o e-mail, transmitida en conversaciones, etc.)

Su origen (de la propia organización o de fuentes

externas).

Su fecha de elaboración.

LOGO

COLABORADOR



[email protected]


8

Definiciones.

La Seguridad de la Información es la protección

de la Información contra un amplio conjunto de

amenazas, con el fin de:

Garantizar continuidad de negocio.

Minimizar riesgos de negocio.

Maximizar el retorno de las inversiones y las

oportunidades de negocio.

LOGO

COLABORADOR



[email protected]


9

Seguridad de la información.

Preservación de la:

o Confidencialidad.

o Integridad.

o Disponibilidad de la información.

o En adición también de otras propiedades como:

Autenticación.

Autorización.

Registro de actividad.

No repudio.

Confiabilidad.

+Adecuación+Alineamiento+Eficacia+Eficiencia+Gestión de Servicios+……

LOGO

COLABORADOR



[email protected]


10

Definiciones.

Confidencialidad.

Propiedad por la cual la información NO se deja

disponible ni se divulga a individuos, entidades o

procesos no autorizados.

Integridad.

Propiedad de salvaguardar la exactitud y completitud

de los activos De la Información y de los

procesos que la gestionan.

Disponibilidad.

Propiedad por la cual la información y los sistemas

están disponibles para los usuarios autorizados

cuando éstos los requieran.

LOGO

COLABORADOR



[email protected]


11

Valor estratégico de los SI.

Los Sistemas de Información forman parte de los

activos fundamentales de cualquier Organización,

pública o privada.

El Plan Estratégico de una Organización NO puede

desarrollarse sin estar soportado por sus Sistemas de

Información.

Las TIC entran en los Consejos de Administración.

Nuevas figuras organizativas dentro del concepto

“Gobierno de las TI” (IT Governance”)

• Subconjunto de “Corporate Governance”.

LOGO

COLABORADOR



[email protected]


12

Dependencias.

Toda Organización, pública o privada, hace depender

actualmente sus procesos de negocio y/o servicio de

sus Sistemas de Información.

Los procedimientos manuales alternativos a los

Sistemas de Información no son opciones asumibles

en la mayor parte de los procesos de

negocio/servicio.

Los cuadros de mando corporativos y procesos de

decisión están basados en Sistemas de Información

Gobierno Corporativo.

LOGO

COLABORADOR



[email protected]


13

• Seguridad de Sistemas de Información. Revisión

permanente.

– En su contexto.

• Globalización.

– Mercados universales.

– Horarios de negocio continuos.

• Expansión.

– Diversificación de sectores de negocio/servicio.

– Crecimiento corporativo.

LOGO

COLABORADOR



[email protected]


14


permanente.

– En su contexto.

• Regulación.

– Marcos Legislativos. En continua evolución……

» 21/12/2007 Reglamento LOPD

» 28/12/2007 LISI

– Marcos Normativos y de referencia. En continua

evolución……

» Evolución de COBIT (4.x), ITIL (v3), ….

» Evolución de ISO 27k, BSs, …

LOGO

COLABORADOR



[email protected]


15


permanente.

– En su diseño e implementación.• Orientación a servicios.

– Niveles de servicio IT.

– Monitorización continua.

• Adaptable.

– Organizaciones en cambio continuo.

– Configuraciones en cambio continuo.

• Evolutivo.

– Abierto al Plan de Sistemas.

– Abierto a nuevas Tecnologías.

LOGO

COLABORADOR



[email protected]


16

• Sistemas de Gestión de la Seguridad de la Información.

– Concepto de SGSI en ISO 27001.• Un Sistema de Gestión de la Seguridad de la Información es

la parte de un Sistema de Gestión Global que, basado en un enfoque sobre los riesgos de negocio:

– Establece.

– Implementa.

– Opera.

– Monitoriza.

– Mantiene.

– Mejora.

LOGO

COLABORADOR



[email protected]


17


– Seguridad de la Información en ISO 27002.• La Seguridad de la Información se logra implementando un

conjunto adecuado de controles, incluyendo:

– Políticas.

– Procesos.

– Procedimientos.

– Estructuras Organizativas.

– Funciones hardware y software.

LOGO

COLABORADOR



[email protected]


18


– Controles que deben ser:

Establecidos.

Implementados.

Monitorizados.

Revisados.

Mejorados.

– Para:

Asegurar que los objetivos específicos de seguridad y de

negocio de la Organización son conseguidos.

Plan

Do

Check

ActISO 27001

LOGO

COLABORADOR



[email protected]


19

SGSI. Fundamentos.

Protección de “activos de información”.

Hardware.

Software.

Aplicaciones.

Infraestructuras.

Personal.

Amenazas

Dando soporte, y estando alineados con, los Objetivos

Estratégicos de la Organización.

LOGO

COLABORADOR



[email protected]


20

SGSI. Fundamentos.

Incidentes de Seguridad (ISO 27002). Ejemplos.

Pérdidas de servicio, equipos o infraestructuras.

Problemas o sobrecargas en los Sistemas.

Errores humanos.

Incumplimiento de Políticas y Normas.

Incidentes relacionados con la Seguridad Física.

Cambios no controlados en los Sistemas.

Problemas del hardware y/o del software.

Accesos (o intentos de acceso) no autorizados.

LOGO

COLABORADOR



[email protected]


21

ISO 27000. Términos y Definiciones.

Fecha prevista de publicación es Noviembre de 2008. Su objetivo es proporcionar el conjunto de términos y definiciones aplicable a toda la familia ISO 2700x.

ISO 27001:2005. Certificable.

Publicada en su versión final en Octubre de 2005. Certificable. En Abril 2007 se habilitaron las primeras Empresas

españolas. Derivada de BS 7799-2:2002. Mejora enfoque PDCA y orientación

a procesos. Base de consultoría para certificación = ISO/IEC 27002:2005.

LOGO

COLABORADOR



[email protected]


22

ISO 27002. No certificable. Buenas prácticas.

Disponible. No certificable. Código de “buenas prácticas”. Derivada (directamente) de ISO/IEC 17799:2005.

ISO 27003. Guía de Implementación.

Fecha prevista de publicación es Mayo de 2009. Consistirá en una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requerimientos de sus diferentes fases.

LOGO

COLABORADOR



[email protected]


23

ISO 27004. Métricas y Técnicas de Medida.

o Fecha prevista de publicación - Mayo de 2009. Determinación de la eficacia de un SGSI y de sus controles.

ISO 27005. Gestión de Riesgos.

o Disponible (Junio 2008). Guía de Técnicas para la Gestión de Riesgos de la Seguridad de la Información.

ISO 27006. Guía de acreditación para entidades certificadoras.

o Disponible.

LOGO

COLABORADOR



[email protected]


24

ISO 27007. Guía de auditoría de un SGSI.

o Fecha prevista de publicación - Mayo de 2010.

ISO 27011. Guía de gestión de la seguridad específica para telecomunicaciones.

o Fecha prevista de publicación – 1TR de 2008.

ISO 27031. Continuidad de negocio.

o Fecha prevista de publicación – Mayo de 2010.

LOGO

COLABORADOR



[email protected]


25

ISO 27033. Fecha prevista de publicación entre 2010 y 2011.

Gestión de seguridad de redes.

Arquitectura de seguridad de redes.

Escenarios de redes de referencia.

Acceso remoto.

Aseguramiento de las comunicaciones entre redes mediante gateways.

Acceso remoto, aseguramiento de comunicaciones en redes mediante VPNs.

Diseño e implementación de seguridad en redes.

LOGO

COLABORADOR



[email protected]


26

ISO 27034. Guía de seguridad en aplicaciones.

o Fecha prevista de publicación – Febrero de 2009.

ISO 27799. SGSI para Sector Sanitario.

o Fecha prevista de publicación – 2008.

LOGO

COLABORADOR



[email protected]


27

• Norma ISO 27002. Buenas prácticas.– Evolución ISO/IEC 17799:2005 a ISO/IEC 27002.

– Technical Corrigendum . “ISO/IEC 17799:2005/Cor.1:2007-07-01

- Information technology ― Security techniques ― Code of practicefor information security management”).

ISO/IEC 17799:2005

ISO/IEC 27002

LOGO

COLABORADOR



[email protected]


28

INTRODUCCIÓN

ALCANCE

TERMINOS Y DEFINICIONES

ESTRUCTURA DE ESTA NORMA

Cláusulas

Categorías principales de seguridad

EVALUACION Y TRATAMIENTO DE RIESGO

Evaluar los riesgos de seguridad

Tratamiento de riesgos de seguridad

LOGO

COLABORADOR



[email protected]


29

5. POLÍTICA DE SEGURIDAD

Política de Seguridad de la Información

Documento de política de Seguridad de la Información

Revisión de la política de Seguridad de la Información

LOGO

COLABORADOR



[email protected]

30

4. Normativa ISO 27002 – Buenas Prácticas.

6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

– Terceras partes (entidades externas).

• Identificación de riesgos relacionados con terceras partes.

• Criterios de seguridad en las gestiones con clientes

• Criterios de seguridad en los acuerdos con terceras partes

LOGO

COLABORADOR



[email protected]

31


7. ADMINISTRACION DE ACTIVOS.– Responsabilidades sobre los activos

• Inventario de activos

• Propiedad de los activos

• Uso razonable de los activos– Clasificación de la Información

• Guías de clasificación

• Etiquetado y manejo de Información

LOGO

COLABORADOR



[email protected]

32


8. RECURSOS HUMANOS Y SEGURIDAD.– Antes de la contratación.

• Roles y responsabilidades

• Proceso de selección

• Términos y condiciones de empleo – Durante el desempeño del trabajo

• Gestión de responsabilidades

• Concienciación sobre la Seguridad de la Información, formación y entrenamiento

• Proceso disciplinario

LOGO

COLABORADOR



[email protected]

33


8. RECURSOS HUMANOS Y SEGURIDAD.– Finalización de la relación laboral o cambio de asignación.

• Responsabilidades en el momento del finiquito

• Devolución de activos

• Retirada de derechos de acceso

LOGO

COLABORADOR



[email protected]

34


9. SEGURIDAD FÍSICA Y AMBIENTAL.– Áreas seguras

• Perímetro de seguridad físico

• Controles de entrada físicos

• Seguridad en oficinas, salas e instalaciones

• Protección contra amenazas externas y ambientales

• Trabajar en áreas seguras

• Accesos públicos, áreas de suministro, áreas de carga

LOGO

COLABORADOR



[email protected]

35


10. GESTIÓN DE COMUNICACIONES Y OPERACIONES

– Planificación y aceptación de Sistemas

• Gestión de la capacidad

• Aceptación del sistema– Protección sobre código en dispositivos portátiles y contra

software malicioso

• Controles contra software malicioso

• Controles sobre código en dispositivos portátiles.

LOGO

COLABORADOR



[email protected]

36



– Back-up (Copias de Seguridad).

• Back-up de la Información – Administración de seguridad de la red

• Controles de red

• Seguridad de servicios de red

LOGO

COLABORADOR



[email protected]

37



– Manejo de dispositivos

• Gestión de dispositivos removibles

• Retirada de dispositivos

• Procedimiento de manejo de la Información

• Seguridad de la documentación del sistema.

LOGO

COLABORADOR



[email protected]

38



– Intercambio de información

• Políticas y procedimientos de intercambio de información

• Acuerdos de intercambio

• Seguridad de medios en tránsito

• Correo electrónico

• Sistemas de información de negocio.

LOGO

COLABORADOR



[email protected]

39



– Servicios de comercio electrónico

• Comercio electrónico

• Transacciones en línea

• Información pública disponible.

LOGO

COLABORADOR



[email protected]

40



– Monitorización

• Registros (logs) de auditoría

• Monitorización del uso del sistema

• Protección de los registros (logs)

• Registros (logs) de administrador y de operador

• Registro (log) de averías y problemas– Sincronización de relojes de sistemas

LOGO

COLABORADOR



[email protected]

41


11. CONTROL DE ACCESOS– Requerimientos de negocio para el control de accesos

• Política de control de accesos– Administración de acceso de los usuarios

• Alta de usuarios

• Administración de privilegios

• Administración de contraseñas de usuario

• Revisión de derechos de acceso de usuario

LOGO

COLABORADOR



[email protected]

42


11. CONTROL DE ACCESOS– Responsabilidades del usuario

• Uso de la contraseña

• Equipo de usuario desatendido

• Política de limpieza de escritorio y pantalla – Control de acceso a la red

• Política de uso de servicios de red

• Autenticación de usuario para conexiones externas

• Identificación de los equipos en las redes

LOGO

COLABORADOR



[email protected]

43


11. CONTROL DE ACCESOS– Control de acceso a la red

• Diagnóstico remoto y protección de puertos de configuración

• Segregación en las redes

• Control de conexión de red

• Control del encaminamiento de la red.

LOGO

COLABORADOR



[email protected]

44


11. CONTROL DE ACCESOS– Control de acceso del sistema operativo

• Procedimientos seguros de conexión.

• Identificación y autenticación de usuario

• Sistema de gestión de contraseñas

• Uso de las utilidades del sistema

• Fin de sesión por inactividad (time out).

• Limitación del tiempo de conexión.

LOGO

COLABORADOR



[email protected]

45


11. CONTROL DE ACCESOS– Control de acceso a aplicaciones e información.

• Restricciones de acceso a la información

• Aislamiento de sistemas sensibles– Computación móvil y Teletrabajo.

• Computación y comunicaciones móviles

• Teletrabajo.

LOGO

COLABORADOR



[email protected]

46


12. DESARROLLO Y MANTENIMIENTO DE SISTEMAS.

– Requerimientos de seguridad de los sistemas.

• Análisis y especificaciones de los requerimientos de seguridad.

– Seguridad en las aplicaciones.

• Validación de datos de entrada

• Controles de procesamiento interno.

• Integridad de mensajes

• Validación de los datos de salida.

LOGO

COLABORADOR



[email protected]

47



– Controles criptográficos

• Política de utilización de controles criptográficos.

• Administración de claves.

LOGO

COLABORADOR



[email protected]

48



– Seguridad de los archivos del sistema

• Control del software operativo (en producción)

• Protección de los datos de prueba del sistema

• Control de acceso al código fuente de los programas.

LOGO

COLABORADOR



[email protected]

49



– Seguridad en el desarrollo y procesos de soporte

• Procedimientos de control de cambios

• Revisión técnica de las aplicaciones después de efectuarse cambios en el sistema operativo

• Restricciones de cambios sobre software empaquetado

• Filtración de información

• Desarrollo externo de software.

LOGO

COLABORADOR



[email protected]

50



– Administración de la vulnerabilidad técnica

• Control de vulnerabilidades técnicas

LOGO

COLABORADOR



[email protected]

51


13. GESTIÓN DE INCIDENTES SOBRE LA SEGURIDAD DE LA INFORMACIÓN.

– Informes sobre debilidades y eventos en la Seguridad de la Información

• Informes de eventos en la Seguridad de la Información

• Informes sobre debilidades de la Seguridad de la Información.

LOGO

COLABORADOR



[email protected]

52


13. GESTIÓN DE INCIDENTES SOBRE LA SEGURIDAD DE LA INFORMACIÓN.Gestión de incidentes sobre Seguridad de la Información y mejoras.

• Responsabilidades y procedimientos

• Aprendizaje a partir de los incidentes de Seguridad de la Información

• Obtención de evidencias

LOGO

COLABORADOR



[email protected]

53


14. GESTIÓN DE LA CONTINUIDAD DE NEGOCIO.– Seguridad de la Información y gestión de la continuidad de

negocio.

• Inclusión de la seguridad de la información en los procesos de gestión de la continuidad de negocio.

• Continuidad de negocio y evaluación de riesgos.

LOGO

COLABORADOR



[email protected]

54


14. GESTIÓN DE LA CONTINUIDAD DE NEGOCIO.– Seguridad de la Información y gestión de la continuidad de

negocio.

• Desarrollo e implementación de planes de continuidad incluyendo Seguridad de la Información

• Marco para la planificación de la continuidad de negocio

• Prueba, mantenimiento y reevaluación de los planes de continuidad de negocio.

LOGO

COLABORADOR



[email protected]

55


15. CONFORMIDAD y CUMPLIMIENTO.– Cumplimiento de requisitos legales

• Identificación de la legislación aplicable

• Derechos de propiedad intelectual (DPI)

• Protección de los registros de la organización

• Protección de datos y privacidad de la información personal

• Prevención del uso inadecuado de los recursos de procesamiento de información.

LOGO

COLABORADOR



[email protected]

56


15. CONFORMIDAD y CUMPLIMIENTO.– Cumplimiento de requisitos legales

• Regulación de controles criptográficos– Conformidad con las políticas, normas de seguridad y normas

técnicas

• Cumplimiento de políticas y normas de seguridad

• Verificación de la conformidad técnica.

LOGO

COLABORADOR



[email protected]

57


15. CONFORMIDAD y CUMPLIMIENTO.Consideraciones sobre auditoría de Sistemas de Información

• Controles de auditoría de los Sistemas de Información

• Protección de las herramientas de auditoria de Sistemas de Información.

LOGO

COLABORADOR



[email protected]

58

SGSI bajo ISO 27001

• Requerimientos SGSI. ISO 27001. Certificable.Equivalencias con ISO 9001:2000 .

Asimilable a un Sistema de Gestión de la Calidad de la Seguridad de la Información.

Referencia a ISO 27002 como marco de buenas prácticas.

Anexo A = 133 objetivos de control ISO 27002.

Enfoque orientado a procesos = ISO 9001:2000.

Ciclo PDCA = ISO 9001:2000.

Cuadro de equivalencias con ISO 9001:2000 e ISO 14001:2004 en Anexo C de ISO 27001.

Plan

Do

Check

Act

LOGO

COLABORADOR



[email protected]

59

SGSI bajo ISO 27001

• Actividades del ciclo PDCA.

LOGO

COLABORADOR



[email protected]

60

SGSI bajo ISO 27001

Fase PLAN = Establecer SGSI.

Definición de alcance del SGSI.

Definir Política de Seguridad.

Definir metodología de evaluación del Riesgo.

Desarrollar Gestión de Riesgos.

Desarrollar selección de contramedidas, acciones y controles asociados.

Aprobar por Dirección tanto los riesgos residuales como el propio desarrollo del SGSI.

Definir la Declaración de Aplicabilidad.

LOGO

COLABORADOR



[email protected]

61

SGSI bajo ISO 27001

Gestión de Riesgos.

LOGO

COLABORADOR



[email protected]

62

SGSI bajo ISO 27001

Fase DO = Implementar el SGSI.

Definición e implantación del Plan de Tratamiento de Riesgos.

Implementar los controles.

Implementar métricas.

Formación y concienciación al personal.

Gestión de las operaciones del SGSI.

Gestión de los recursos vinculados al SGSI.

Implantar herramientas de monitorización permanente y gestión de incidentes.

LOGO

COLABORADOR



[email protected]

63

SGSI bajo ISO 27001

Fase CHECK = Monitorizar y revisar el SGSI.

Detectar errores.

Identificar brechas de seguridad.

Comprobar niveles de servicio obtenidos en relación con los esperados.

Medidas de efectividad de los controles preventivos.

Medidas de eficacia / eficiencia de la resolución de problemas.

Auditorías periódicas y por excepción.

Revisar cumplimiento de la Política de Seguridad.

LOGO

COLABORADOR



[email protected]

64

SGSI bajo ISO 27001

CHECK = Monitorizar y revisar el SGSI (II).

Revisión por parte de la Dirección corporativa comprobación de niveles de servicio desde el prisma de Dirección.

Revisar regularmente y por excepción la Gestión de Riesgos.

Revisar y actualizar documentos y planes de Seguridad.

Gestión de cambios y configuraciones, su impacto en el SGSI y actualizaciones subsiguientes.

Revisar y analizar los registros.

LOGO

COLABORADOR



[email protected]

65

SGSI bajo ISO 27001

Fase ACT = Mantener y mejorar el SGSI.

Implantar en el SGSI las mejoras planificadas Deben plantearse mejoras.

Desarrollar acciones preventivas y correctivas. Muy importante incorporar las experiencias obtenidas de los errores e incidentes tratados en el SGSI.

Comunicación adecuada a todas las partes interesadas.

Obtención de sugerencias de mejora.

Obtención / Actualización de directrices y estrategias.

LOGO

COLABORADOR



[email protected]

66

SGSI bajo ISO 27001

Niveles y Documentos.

LOGO

COLABORADOR



[email protected]

67

SGSI bajo ISO 27001

Documentos Norma ISO 27001.– Documentos de Nivel 1

• Manual de seguridad.

– Por analogía con el manual de calidad, aunque el término se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.

– Documentos de Nivel 2

• Procedimientos.– Documentos en el nivel operativo, que aseguran que se realicen de

forma eficaz la planificación, operación y control de los procesos de seguridad de la información.

LOGO

COLABORADOR



[email protected]

68

SGSI bajo ISO 27001

Documentos Norma ISO 27001.– Documentos de Nivel 3

• Instrucciones, checklists y formularios.

– Documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la Seguridad de la Información.

– Documentos de Nivel 4

• Registros.

– Documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI. Están asociados a documentos de los otros tres niveles como datos de salida que demuestran que se ha cumplido lo indicado en los mismos.

LOGO

COLABORADOR



[email protected]

69

Proyecto SGSI ISO 2700x

Aspectos clave.o Definir adecuadamente el alcance del SGSI.

o “Buenas prácticas”. Los 133 controles de la Norma ISO 27002:

No son obligatorios.

No son exhaustivos.

No son excluyentes de otros.

Pueden (y deben) ser desarrollados a niveles mayores de detalle.

Pueden (y deben) utilizarse otros marcos para este despliegue. La propia Norma contiene internamente referencias a varios marcos con este fin.

Constituyen un buen marco para la implementación de las “buenas prácticas”, pero su cumplimiento no garantiza en absoluto la certificación.

LOGO

COLABORADOR



[email protected]

70


Aspectos clave.o Controles clave.

- Política de Seguridad

• Asignación de responsabilidades de seguridad.

• Formación y capacitación para la seguridad.

• Registro de incidencias de seguridad.

• Gestión de continuidad del negocio.

• Protección de datos personales.

• Salvaguarda de registros de la organización.

• Derechos de propiedad intelectual.

LOGO

COLABORADOR



[email protected]

71


Aspectos clave.o La implementación efectiva de un SGSI bajo ISO 27001:

Enfatiza mucho más la Gestión de la Seguridad que las “colecciones” de controles.

La implicación efectiva de la Dirección es clave para la verdadera implementación del SGSI. No es un proyecto técnico.

Cuando ésta se produce, la Organización está en el camino adecuado para:

Subir niveles de madurez en sus procesos y en los SIs que los soportan.

Asumir el “Gobierno de las TI” desde la cúspide de la pirámide organizativa.

Incorporar TI a los Planes Estratégicos.

LOGO

COLABORADOR



[email protected]

72


Aspectos clave.o La implementación efectiva de un SGSI bajo ISO 27001:

Requiere la participación activa del personal.

“Obliga” a dotar de recursos TIC a la Organización, a los niveles que determine un análisis de riesgos exhaustivo, entre otros factores.

Considera la formación del personal como un activo de la Organización y un facilitador de la mejora continua.

Refuerza la necesidad de una documentación adecuada, reglada, mantenida y evolucionada.

Controla el cumplimiento de los marcos legales que afectan a la Organización.

LOGO

COLABORADOR



[email protected]

73


Fases del proyecto.

GAP Analysis

Recomendaciones

Seguimiento y homologación previa

LOGO

COLABORADOR



[email protected]


74

Marcos y Normas adicionales.o Gestión de Riesgos.

MAGERIT V2.

CRAMM.

BS 7799-3.

Referencias en ISO /IEC TR 13335-3.

NIST.

…

o Continuidad del Negocio.

o BS 25999.

o NIST.

o ITIL.

o Fabricantes ….

LOGO

COLABORADOR



[email protected]


75

Marcos y Normas adicionales.o Gestión de Servicios.

ISO 20000-1 / ISO 20000-2.

ITIL V2 – V3.

…

o Test de Seguridad OSSTMM 2.

o Gestión de incidentes.

o ISO / IEC TR 18044.

o ENISA.

o ITIL V2 – V3.

o …

o Marcos IT Governance. COBIT 4.1.

LOGO

COLABORADOR



[email protected]


76

• Seguridad de los Sistemas de Información:

– Territorio de oportunidades para Empresas y profesionales.

– Acreditaciones ISACA entre las más valoradas.

http://www.isaca.org/Template.cfm?Section=CISA_Certification&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=16&ContentID=4526

http://www.isaca.org/Template.cfm?Section=CISM_Certification&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=16&ContentID=4528

http://www.isaca.org/Template.cfm?Section=Certification&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=16&ContentID=36129

LOGO

COLABORADOR



[email protected]


77

Fin de la charla. Gracias por vuestra asistencia y atención. Preguntas ….

normativas sgsi iso 27k - isacavalencia.org · derivada (directamente) de iso/iec 17799:2005. iso...

Documents