presentacion standard 27001_2013

8/12/2019 Presentacion Standard 27001_2013

http://slidepdf.com/reader/full/presentacion-standard-270012013 1/45

27001

Seguridad

orientada al

Negocio



• Objetivo de la Norma ISO 27001

• Bases de la Norma ISO 27001

• Actualización a ISO 27001:2013• Estructura de la Norma

• Compromiso y alcance

• Dominios de control• Soporte y operación

• Declaración de Aplicabilidad

• Negocio y otros Frameworks• La certificación

• Familia de Normas ISO 27000

ISO 27001

2005 → 2013



Este estándar fue desarrollado para proveer un modelo para elestablecimiento, implementación, operación, monitorización, revisión,

mantenimiento y mejora del SGSI teniendo en cuenta la política,

estructura organizativa, las normas, procedimientos y los recursos de laempresa.

El SGSI de la ISO 27001 permite prevenir o reducir eficazmente elnivel de riesgo mediante la implantación de los controlesadecuados, preparando a la Organización ante posiblesemergencias, garantizando la continuidad del negocio.

Objetivo



La norma ISO 27.001 le brinda a la Organización los objetivos de control, de los cuales surgen lasmedidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de lainformación más sensible y las aplicaciones más críticas para cada área de negocio establecidos.

• La Seguridad deja de ser sólo una cuestión técnica para ser parte delPlan de Negocio

• Aplica a todos los niveles de la Organización.

• Introduce el Análisis de Riesgo y un sistema de gestión orientado a laprotección de la información (SGSI).

• Define un conjunto de controles que no deja nada librado al azar.

• Asocia Gobernabilidad con la Seguridad de la Información, mostrandoun valor agregado de Calidad a los resultados del Negocio

POLITICA DE SEGURIDAD DE LA INFORMACIÓN

Bases de la 27001



Requerimientos

legales,reglamentariosy expectativas

de seguridad dela información

Clientes

ProveedoresUsuarios

AccionistasSocios

Seguridad de lainformaciónGestionada

Clientes

ProveedoresUsuarios

AccionistasSocios

Disponer de una gestión que asegure losprocesos de negocio y el tratamiento de losdatos propios o de terceros permite una…

Bases de la 27001



27001:2013• Pone más énfasis en la medición y evaluación del SGSI

• Nueva sección sobre la contratación externa, la cualrefleja el hecho de que muchas organizacionesdependen de terceros para la prestación de algunos

aspectos de las TI.• No enfatiza en el ciclo Plan-Do-Check-Act

explicitamente, presta más atención al contexto de

Seguridad de la Información en la Organización

• La 27001:2013 fue diseñada para ajustarse mejor aotras normas de gestión como ISO 9000 e ISO 20000



SEGURIDAD

PROCESOS FUNCIONALES

PROCESOS TECNOLÓGICOS

GOBERNABILIDAD

CALIDAD

NEGOCIO

ISO 27014 – Gobierno de Seguridad de la InformaciónISO 20000 – Gestión de Servicios de TI

Conceto clave



1. Ámbito de aplicación de la norma2. Alcance3. Términos y definiciones de la ISO / IEC 27000

4. Contexto organizacional y de las partes interesadas5. Liderazgo en seguridad de la información y apoyo de alto nivel para lapolítica

6. Planificación de un sistema de gestión de seguridad de la información;evaluación de riesgos; tratamiento de riesgos

7. Apoyar un sistema de gestión de seguridad de la información8. Hacer un sistema de gestión de seguridad de información operativa9. Revisar el funcionamiento del sistema10.Acciones correctivas

Anexo A:Lista de los controles y sus objetivos.

Est!"ct"!a de la No!#a

En la actualidad hay 114 controles en 14 grupos

El viejo estándar tenía 133 controles en 11 grupos




Propone un marco genérico para cualquier sistema de gestión, a partirdel cual toda norma ISO de sistema de gestión converja en una misma

estructura común y con el mismo contenido salvo en su apartado 8.-

Operación que será en el que, tras un primer apartado también común(8.1, de planificación y control operacional) cada norma desarrollará

sus requisitos específicos (de seguridad, de continuidad, de gestiónenergética o de lo que sea).

ANEXO SL

(ex Guía ISO 83)

Facilita la integraciónentre Normas



4. Sistema de Gestión deSeguridad de la Información

4.3 Requisitos de laDocumentación

4.1 Generalidades

4.2 Implementación ygerenciamiento del SGSI

5. Responsabilidades de laDirección

6. Auditoría interna del SGSI7. Revisión del SGSI por parte

de la Dirección

8. Mejora del SGSI

4. Contexto organizacional

7. Soporte

5. Liderazgo

6. Planificación

8. Operación

9. Evaluación defuncionamiento del SGSI

10. Mejoras y acciones

correctivas

Introducción, Alcance, Referencias Normativas, Términos y definicionesEst!"ct"!a de la No!#a

200$ 2013



A

C %

C & E C '

D O

( L A N

4. Contexto organizacional

7. Soporte

5. Liderazgo

6. Planificación

8. Operación

9. Evaluación defuncionamiento del SGSI

10. Mejoras y acciones

correctivas

Entendimiento de la Organización y su contextoExpectativas de las partes interesadasAlcances del ISMS

Liderazgo y compromiso de la Alta Dirección

PolíticasOrganización de los roles, responsables y autoridades

Como abordar riesgos y oportunidades

Recursos, competencias, concientización,comunicación, información documentada

Plan de tratamiento de riesgosImplementar el plan y documentar los resultados

Plan de seguimiento, medición, análisis y evaluaciónPlanear y realizar auditorías internas del SGSIRevisiones regulares de la Alta Dirección

No conformidad y acciones correctivas

Mejora continua del SGSI

Est!"ct"!a de la No!#a ) (DCA



(ol*tica de +e,"!idad

O!,ani-aci.n de la se,"!idad

Gesti.n de activos Cont!ol de accesos

Con/o!#idad

+e,"!idad del e!sonal+e,"!idad del ento!no

/*sico+e,"!idad del ento!no

tecnol.,ico

Gesti.n de incidentes dese,"!idad

Gesti.n deco#"nicaciones

oe!aciones

Gesti.n de contin"idadde ne,ocio

+e,"!idad O!,ani-ativa

+e,"!idad l.,ica

+e,"!idad /*sica

+e,"!idad le,al

% 1 c t i c o

O e! a t i v

o

E s t ! a t 2 ,i c o




ENTORNO = RIESGOS

CUMPLIMIENTOLeyes, Regulaciones, Políticas Internas

Asociar las áreas Legales,

Auditoría y Seguridad conlas áreas Funcionales yTecnológicas

GOBIERNOEstablecer procesos

funcionales y de serviciotecnológico protegidos,

compliance y pensados paraEl Negocio

Reconocer los diferentes

riesgos y metodología parasu gestión




Lo primero que debe reconocer la Organización es la importancia de uno desus principales activos: LA INFORMACIÓN, y en función de ello podrá

descubrir no solo los riesgos que enfrenta a diario (los 365 días del año) sinotambién el INTERES de aquellos agentes internos y externos en violarla, yasea en su Integridad, como Confidencialidad y Disponibilidad.

La Dirección debe reconocer que lo que se plantea es la

implementación de un esquema de seguridad orientada al negocio, ytoda Norma de Seguridad es una herramienta de que dispone (como marconormativo) para implantar la política y objetivo de Seguridad de laInformación.

Este Sistema proporciona mecanismos para la salvaguarda:• De los Activos de Información.• De los Sistemas que los procesan.

Co#!o#iso alcance



Objetivos de mejora en su gestión que busca alcanzar la Organización:

• De gobierno, estructura organizativa, funciones y responsabilidades• Políticas, los objetivos y las estrategias que están en marcha para

alcanzarlos• Las capacidades, entendidas en términos de recursos y de

conocimiento (por ejemplo, capital, tiempo, personas, procesos,sistemas y tecnologías)• Sistemas de información, flujos de información y procesos de toma

de decisiones (tanto formales como informales)• Relación con las percepciones y valores de los interesados internos:

• Cultura de la organización• Normas, directrices y modelos adoptados por la organización• Forma y el alcance de las relaciones contractuales.

Co#!o#iso alcance



!eas de Ne,ocio

(!oceso 4"ncional

(!oceso de +e!vicios %ecnol.,icos de +e,"!idad al Ne,ocio

Lees Re,"laciones delNe,ocio

Adoci.n del estnda!

(ol*ticas5 No!#as (!ocedi#ientos

Re,ist!os Cont!olesRe,ist!os Cont!oles

Co#!o#iso alcance



Do#inios de cont!ol 6Aneo A8



Cont!oles 27002:2013



Según lo que establezca como alcance la Compañía a través de su Políticade Seguridad, cada área de negocios participa en la gestión de:

El NegocioGestión de la SeguridadGestión de Información

Gestión con Terceras PartesMedios de Comunicación

El PersonalFunciones y responsabilidadesConfidencialidad y contraseñas

Uso de hardwareUso de software y aplicaciones

Concientización y Educación

Los sistemas de InformaciónSeguridad Física del entorno

Seguridad Física de los soportesSeguridad Lógica en los sistemas

Manejo de incidentes

La Revisión del SistemaControl de registros

Auditorías de SistemasSeguimiento del Cumplimiento

Para aportar resultados y conocimientos para el control de:

+oo!te



Nivel 9 REGI+%RO+(!oo!ciona las !"ebas objetivas del c"#li#iento

Nivel 3 IN+%R;C%I<O+ = C&EC'LI+% = 4OR>;LARIO+

Desc!ibe las actividades ta!eas esec*/icas 5 indicando co#o se !eali-an

Nivel 2 (ROCEDI>IEN%O+Desc!ibe !ocesos 6?"5 ?"ien5 c"ando5 donde8

Nivel 1 >AN;AL DE +EG;RIDAD(ol*ticas5 alcance5 eval"aci.n de !ies,os5 decla!aci.n de alicabilidad

Un Marco Normativo sobre estas bases permite contar con la certezasobre la Información de respaldo y pruebas objetivas para el control ydesarrollo de la Seguridad de la Información.

+oo!te



RIESGOS NEGOCIO• Definir tipos de riesgos

• Identificar riesgos asociados• Establecer parámetros demedición

• Elegir una metodología detratamiento

• Analizar y evaluar riesgos

• Crear un Plan de Mitigación

• Identificar procesos

• Analizar entornoregulatorio

• Analizar cultura interna• Analizar madurez

operativa• Analizar entorno

documental

MATRIZ DE RIESGO

DIRECTORIO

(!ea!ando la Oe!aci.n



“Matriz de análisis y Evaluación del Riesgo”, o Mapa de riesgo, en elcual se presentan la totalidad de los riesgos.

“Plan de Tratamiento del Riesgo” o Plan de acción, en el cual sedetallan todos aquellos riesgos para los cuales la respuesta al riesgoresidual es distinta de “se asume” y por consiguiente se ha especificadoun plan de acción con los controles/actividades tendientes a mitigar elriesgo.

“Administración de Riesgos (Actualización al DD/MM/AAAA)”,• Detalle de nuevos riesgos y factores incorporados

• Detalle de riesgos y factores dados de baja, con lacorrespondiente justificación de esta acción• Detalle de riesgos para los cuales se registran cambios en la

evaluación, incluyendo la evaluación anterior, la evaluaciónactual y la justificación del cambio realizado




Evaluación y tratamiento de riesgos de seguridad

(lani/icaci.n deAd#inist!aci.nde Ries,os•Alcance•Metodología

Identi/icaci.n deRies,os•Activos

•Amenazas•Vulnerabilidades

Anlisis deRies,os•Riesgos

•Costos / Beneficios

(lan de Acci.n•Tratamiento•Aceptar riesgo residual

>onito!eo de losRies,os

Mitigar• Controles

Transferir• Seguros• Proveedores

Aceptar• No hacer nada

Evitar• Cesar la actividad que

lo origina




Un Análisis de Riesgo puede ser desarrollado con cualquier tipode metodología, siempre y cuando sea completa y metódica.

El resultado final de un análisis de riesgo, es:• Clara identificación, definición y descripción de los activos.• El impacto que podría ocasionar un problema sobre cada

uno.

• Conjunto de acciones que pueden realizarse (agrupadas).• Propuesta varios cursos de acción posibles.• Finalmente: Elección y Aprobación de un curso de acción por

parte de la Dirección. Es decir, el compromiso que asume envirtud de su propia estrategia (Costo/beneficio/Negocio), paratratar las acciones de ese curso de acción y ASUMIR elriesgo residual que quedará con lo que no esté dispuesto aabordar (…..o en definitiva a pagar…..).




Decla!aci.n de alicabilidad

Consiste en un documento que relaciona los controles que seaplican en el sistema de gestión.

De la relación de los controles que la norma ISO/IEC 27001 indicaen su anexo A, una Organización debe seleccionar aquellos que

debe implantar y mantener en su sistema.

El resultado de la elección de los controles forma parte del Plan deTratamiento de riesgos, de modo que éste tiene como salida la

Declaración de Aplicabilidad.



Inte!!etaci.n+e,"!idad

Inte!!etaci.n!eas deNe,ocio

Inte!!etaci.n%ecnolo,*a


Objetivos decont!ol

Ries,osidenti/icados

(lanes det!ata#iento de

!ies,os

I#lantaci.nde cont!oles



Para asegurar la gestión de Seguridadde la información debemos

necesariamente conocer cuáles sonlos procesos de nuestra Organizacióny como se trata la información en cadauno de ellos para de esta formaestablecer cuáles son los alcances

respecto de su “Ciclo de Vida” y queactividades vamos a establecer parala gestión de cada uno de los Activosde Información. Esto nos ayudará aentender cuál es la “cadena deinformación” y así poder establecer losmedios tecnológicos para tratarla encada uno de sus estados en el pasode cada uno de los diferentesprocesos.

27001 ot!os /!a#e@o!s



Para satisfacer los objetivos del negocio, la información necesitaconcordar con ciertos criterios a los que CObIT hace referencia comorequerimientos de negocio para la información . Al establecer la

lista de requerimientos, CObIT combina los principios contenidos enlos modelos referenciales existentes y conocidos:

Requerimientos de calidad• Calidad• Costo

• ntrega !de servicio"

Requerimientos #iduciarios!Administraci$n de patrimonioterceros ba%o su

responsabilidad" & C'('

• fectividad ) eficiencia deoperaciones

• Confiabilidad de la informaci$n• Cumplimiento de las le*es )

regulaciones

Requerimientos de (eguridad• Confidencialidad• +ntegridad• ,isponibilidad

27001 ot!os /!a#e@o!s



27001 ot!os /!a#e@o!s



Las diferente áreas y dominios COBIT 5 están cubiertas por las ISO/IEC 27000:• Procesos de seguridad y relativos al riesgo en los dominios EDM, APO y DSS.• Varias actividades relacionadas con la seguridad dentro de procesos en otros dominios.

• Actividades de supervisión y evaluación de seguridad

27001 ot!os /!a#e@o!s



ISO 27001 e ITIL son complementarios. La mayoría de los controles de seguridadidentificados en la norma ISO 27001 ya son parte de la gestión del servicio. Tanto ITIL comoISO 27001 identifican la necesidad de construir la seguridad en todos los aspectos delservicio con el fin de gestionar eficazmente los riesgos en la infraestructura

27001 ot!os /!a#e@o!s



Los oco lib!os de I%IL s"s te#as son:

1 Gesti.n de +e!vicios de %I

2 >ejo!es !cticas a!a la (!ovisi.n de +e!vicio3 >ejo!es !cticas a!a el +oo!te de +e!vicio

Ot!as ,"*as oe!ativas9 Gesti.n de la in/!aest!"ct"!a de %I

$ Gesti.n de la se,"!idad (e!sectiva de ne,ocio7 Gesti.n de alicaciones Gesti.n de activos de so/t@a!e

27001 ot!os /!a#e@o!s



-a norma +('/+C .&0 especifica los siguienteprocesos de gesti$n de servicio relacionados entre sí1

Procesos de Entrega de Servicios

Procesos de Control

Procesosde Versiones

Procesosde Relaciones

Procesosde Resolución

Gestión de ConfiguracionesGestión de Cambios

Gestión de Nivelesde Servicio

Informes de Servicio

Gestión de Incidentes

Gestión de Problemas

Gestión de Relacionesde Negocio

Gestión deProveedores

Gestión de Versiones

Gestión deSeguridad dela Información

Presupuestacióny Contabilización

deServicios de TI

Gestión deCapacidad

Gestión de

Continuidad yDisponibilidadde Servicio

27001 ot!os /!a#e@o!s



La Ce!ti/icaci.n



(!e)A"dito!*a 6ocional8

2istencia * alcance apropiado del (3(+

A"dito!*a de Ce!ti/icaci.n

#ase 0 4 Revisi$n de la documentaci$n

#ase . 4 5rocesos * control

Ce!ti/icaci.n

misi$n del certificado

+e,"i#iento an"al

Me%ora continua

La Ce!ti/icaci.n



Información documentada requerida para la certificación :

1. Alcance del Sistema de Gestión de Seguridad de la Información (ISMS) (cláusula 4.3)2. Política de seguridad de la Información (cláusula 5.2)3. Proceso de evaluación de riesgos (cláusula 6.1.2)

4. Proceso de tratamiento de riesgos (cláusula 6.1.3)5. Objetivos de seguridad de la Información (cláusula 6.2)6. Evidencia de la competencia de las personas que trabajan en SI (cláusula 7.2)7. Otros documentos relacionados con el SGSI considerados necesarios en la Organización

( 7.5.1b cláusula )

8. Documentos de planificación y control operacional (cláusula 8.1)9. Resultados de las evaluaciones de riesgos (cláusula 8.2)10. Decisiones con respecto al tratamiento del riesgo (cláusula 8.3)11. Evidencia del seguimiento y medición de seguridad de la información (cláusula 9.1)12. Programa de auditoría interna sobre el SGSI y sus resultados (cláusula 9.2)13. Evidencia de las principales revisiones a la gestión del SGSI (cláusula 9.3)14. Evidencia de las no conformidades identificadas y acciones correctivas que surjan

(cláusula 10.1)15. Otra información documentada; uso aceptable de los activos, política de control de

acceso, acuerdos de confidencialidad, desarrollo seguro, política de relaciones con losproveedores, procedimientos de cumplimiento de leyes, regulaciones y obligaciones

contractuales, procedimientos de continuidad

La Ce!ti/icaci.n



La Ce!ti/icaci.n



ISO/IEC 27000: Define el vocabulario estándar empleado en la familia 27000 (definición de términos yconceptos)

ISO/IEC 27001: Especifica los requisitos a cumplir para implantar un SGSI certificable conforme a lasnormas 27000. Define cómo es el SGSI, cómo se gestiona y cúales son las resposabilidades de losparticipantes.Sigue un modelo PDCA (Plan-Do-Check-Act) - Puntos clave: Gestión de riesgos + Mejora contínua

ISO/IEC 27002:Código de buenas prácticas para la gestión de la seguridad . Recomendaciones sobre qué medidastomar para asegurar los sistemas de información de una organización. Describe los objetivos de control(aspectos a analizar para garantizar la seguridad de la información) y especifica los controlesrecomendables a implantar (medidas a tomar). Antes ISO 17799, basado en estándar BS 7799 (enEspaña norma UNE-ISO 17799)

ISO/IEC 27003: Guía de implementación de SGSI e información acerca del uso del modelo PDCA

(Plan-Do-Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente depublicación)

ISO/IEC 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficaciade un SGSI y de los controles relacionados (en desarrollo, pendiente de publicación) medición de loscomponentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.

http://www.iso27000.es/iso27000.html#section3c

4a#ilia de No!#as I+O=IEC 27000



ISO/IEC 27005: Gestión de riesgos de seguridad de la información (recomendaciones, métodos y técnicaspara evaluación de riesgos de seguridad)

ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC27001. Requisitos para la acreditación de las entidades de auditoria y certificación

ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000

ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones (endesarrollo) elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones)

ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías de la información ycomunicaciones (en desarrollo)

ISO/IEC 27032: guía relativa a la ciberseguridad

ISO/IEC 27033: Norma dedicada a la seguridad en redes (en desarrollo)

ISO/IEC 27034: guía de seguridad en aplicaciones (en desarrollo)

ISO/IEC 27035: Proporciona una guía sobre la gestión de incidentes de seguridad en la información.

ISO/IEC 27036: Consistirá en una guía en cuatro partes de seguridad en las relaciones con proveedores(en desarrollo)




ISO/IEC 27037: Es una guía que proporciona directrices para las actividades relacionadas con la identificación,recopilación, consolidación y preservación de evidencias digitales potenciales.

ISO/IEC 27038: Consistirá en una guía de especificación para seguridad en la redacción digital. (en desarrollo)

ISO/IEC 27039: Consistirá en una guía para la selección, despliegue y operativa de sistemas de detección yprevención de intrusión (IDS/IPS). (en desarrollo)

ISO/IEC 27040: Consistirá en una guía para la seguridad en medios de almacenamiento. (en desarrollo)

ISO/IEC 27041: Consistirá en una guía para la garantizar la idoneidad y adecuación de los métodos deinvestigación. (en desarrollo)

ISO/IEC 27042: Consistirá en una guía con directrices para el análisis e interpretación de las evidenciasdigitales. (en desarrollo)

ISO/IEC 27043: Desarrollará principios y procesos de investigación. (en desarrollo)

ISO/IEC 27044: Gestión de eventos y de la seguridad de la información - Security Information and EventManagement (SIEM). (en desarrollo)

ISO 27799: Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sectorsanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de lospacientes.




Pág. 6-45

Director Certificado en Seguridad de la Información (Univeridad C!"C"#

Auditoria y Control en Seguridad de la Información

ITIL V3 Certified - ISO 20000 Internal Audit Certified

Celular (5$11# 15 332%&'%5

)tt*+,,ar-lin.edin-com,in,fa/iandecalo

)tt*+,,m/icard-co,fa/ian-decalo-12'2%0

presentacion standard 27001_2013

Documents