27001

Seguridad
orientada al
Negocio
Objetivo de la Norma ISO 27001
Bases de la Norma ISO 27001
Actualizacin a ISO 27001:2013
Estructura de la Norma
Compromiso y alcance
Dominios de control
Soporte y operacin
Declaracin de Aplicabilidad
Negocio y otros Frameworks
La certificacin
Familia de Normas ISO 27000
ISO 27001
2005 2013
Este estndar fue desarrollado para proveer un modelo para el
establecimiento, implementacin, operacin, monitorizacin, revisin,
mantenimiento y mejora del SGSI teniendo en cuenta la poltica,
estructura organizativa, las normas, procedimientos y los recursos de la
empresa.
El SGSI de la ISO 27001 permite prevenir o reducir eficazmente el
nivel de riesgo mediante la implantacin de los controles
adecuados, preparando a la Organizacin ante posibles
emergencias, garantizando la continuidad del negocio.
Objetivo
La norma ISO 27.001 le brinda a la Organizacin los objetivos de control, de los cuales surgen las
medidas de seguridad que adopta y adeca a su cultura y entorno para la proteccin de la
informacin ms sensible y las aplicaciones ms crticas para cada rea de negocio establecidos.
La Seguridad deja de ser slo una cuestin tcnica para ser parte del
Plan de Negocio
Aplica a todos los niveles de la Organizacin.
Introduce el Anlisis de Riesgo y un sistema de gestin orientado a la
proteccin de la informacin (SGSI).
Define un conjunto de controles que no deja nada librado al azar.
Asocia Gobernabilidad con la Seguridad de la Informacin, mostrando
un valor agregado de Calidad a los resultados del Negocio
POLITICA DE SEGURIDAD DE LA INFORMACIN
Bases de la 27001
Requerimientos
legales,
reglamentarios
y expectativas
de seguridad de
la informacin
Clientes
Proveedores
Usuarios
Accionistas
Socios
Seguridad de la
informacin
Gestionada
Clientes
Proveedores
Usuarios
Accionistas
Socios
Disponer de una gestin que asegure los
procesos de negocio y el tratamiento de los
datos propios o de terceros permite una
Bases de la 27001
27001:2013
Pone ms nfasis en la medicin y evaluacin del SGSI
Nueva seccin sobre la contratacin externa, la cual
refleja el hecho de que muchas organizaciones
dependen de terceros para la prestacin de algunos
aspectos de las TI.
No enfatiza en el ciclo Plan-Do-Check-Act
explicitamente, presta ms atencin al contexto de
Seguridad de la Informacin en la Organizacin
La 27001:2013 fue diseada para ajustarse mejor a
otras normas de gestin como ISO 9000 e ISO 20000
SEGURIDAD
PROCESOS FUNCIONALES
PROCESOS TECNOLGICOS
GOBERNABILIDAD
CALIDAD
NEGOCIO
ISO 27014 Gobierno de Seguridad de la Informacin
ISO 20000 Gestin de Servicios de TI
Conceto clave
1. mbito de aplicacin de la norma
2. Alcance
3. Trminos y definiciones de la ISO / IEC 27000
4. Contexto organizacional y de las partes interesadas
5. Liderazgo en seguridad de la informacin y apoyo de alto nivel para la
poltica
6. Planificacin de un sistema de gestin de seguridad de la informacin;
evaluacin de riesgos; tratamiento de riesgos
7. Apoyar un sistema de gestin de seguridad de la informacin
8. Hacer un sistema de gestin de seguridad de informacin operativa
9. Revisar el funcionamiento del sistema
10. Acciones correctivas
Anexo A:
Lista de los controles y sus objetivos.
Est!"ct"!a de la No!#a
En la actualidad hay 114 controles en 14 grupos
El viejo estndar tena 133 controles en 11 grupos
Est!"ct"!a de la No!#a
Propone un marco genrico para cualquier sistema de gestin, a partir
del cual toda norma ISO de sistema de gestin converja en una misma
estructura comn y con el mismo contenido salvo en su apartado 8.-
Operacin que ser en el que, tras un primer apartado tambin comn
(8.1, de planificacin y control operacional) cada norma desarrollar
sus requisitos especficos (de seguridad, de continuidad, de gestin
energtica o de lo que sea).
ANEXO SL
(ex Gua ISO 83)
Facilita la integracin
entre Normas
4. Sistema de Gestin de
Seguridad de la Informacin
4.3 Requisitos de la
Documentacin
4.1 Generalidades
4.2 Implementacin y
gerenciamiento del SGSI
5. Responsabilidades de la
Direccin
6. Auditora interna del SGSI
7. Revisin del SGSI por parte
de la Direccin
8. Mejora del SGSI
4. Contexto organizacional
7. Soporte
5. Liderazgo
6. Planificacin
8. Operacin
9. Evaluacin de
funcionamiento del SGSI
10. Mejoras y acciones
correctivas
Introduccin, Alcance, Referencias Normativas, Trminos y definiciones
Est!"ct"!a de la No!#a
200$ 2013
A
C
%
C
&
E
C
'
D
O
(
L
A
N
4. Contexto organizacional
7. Soporte
5. Liderazgo
6. Planificacin
8. Operacin
9. Evaluacin de
funcionamiento del SGSI
10. Mejoras y acciones
correctivas
Entendimiento de la Organizacin y su contexto
Expectativas de las partes interesadas
Alcances del ISMS
Liderazgo y compromiso de la Alta Direccin
Polticas
Organizacin de los roles, responsables y autoridades
Como abordar riesgos y oportunidades
Recursos, competencias, concientizacin,
comunicacin, informacin documentada
Plan de tratamiento de riesgos
Implementar el plan y documentar los resultados
Plan de seguimiento, medicin, anlisis y evaluacin
Planear y realizar auditoras internas del SGSI
Revisiones regulares de la Alta Direccin
No conformidad y acciones correctivas
Mejora continua del SGSI
Est!"ct"!a de la No!#a ) (DCA
Est!"ct"!a de la No!#a
(ol*tica de +e,"!idad
O!,ani-aci.n de la se,"!idad
Gesti.n de activos
Cont!ol de accesos
Con/o!#idad
+e,"!idad del e!sonal
+e,"!idad del ento!no
/*sico
+e,"!idad del ento!no
tecnol.,ico
Gesti.n de incidentes de
se,"!idad
Gesti.n de
oe!aciones
Gesti.n de
co#"nicaciones 0
oe!aciones
Gesti.n de contin"idad
de ne,ocio
+e,"!idad O!,ani-ativa
+e,"!idad l.,ica
+e,"!idad /*sica
+e,"!idad le,al
%
1
c
t
i
c
o
O

e
!
a
t
i
v
o
E
s
t
!
a
t
2
,
i
c
o
Est!"ct"!a de la No!#a
ENTORNO = RIESGOS
CUMPLIMIENTO
Leyes, Regulaciones, Polticas Internas
Asociar las reas Legales,
Auditora y Seguridad con
las reas Funcionales y
Tecnolgicas
GOBIERNO
Establecer procesos
funcionales y de servicio
tecnolgico protegidos,
compliance y pensados para
El Negocio
Reconocer los diferentes
riesgos y metodologa para
su gestin
Est!"ct"!a de la No!#a
Lo primero que debe reconocer la Organizacin es la importancia de uno de
sus principales activos: LA INFORMACIN, y en funcin de ello podr
descubrir no solo los riesgos que enfrenta a diario (los 365 das del ao) sino
tambin el INTERES de aquellos agentes internos y externos en violarla, ya
sea en su Integridad, como Confidencialidad y Disponibilidad.
La Direccin debe reconocer que lo que se plantea es la
implementacin de un esquema de seguridad orientada al negocio, y
toda Norma de Seguridad es una herramienta de que dispone (como marco
normativo) para implantar la poltica y objetivo de Seguridad de la
Informacin.
Este Sistema proporciona mecanismos para la salvaguarda:
De los Activos de Informacin.
De los Sistemas que los procesan.
Co#!o#iso 0 alcance
Objetivos de mejora en su gestin que busca alcanzar la Organizacin:
De gobierno, estructura organizativa, funciones y responsabilidades
Polticas, los objetivos y las estrategias que estn en marcha para
alcanzarlos
Las capacidades, entendidas en trminos de recursos y de
conocimiento (por ejemplo, capital, tiempo, personas, procesos,
sistemas y tecnologas)
Sistemas de informacin, flujos de informacin y procesos de toma
de decisiones (tanto formales como informales)
Relacin con las percepciones y valores de los interesados internos:
Cultura de la organizacin
Normas, directrices y modelos adoptados por la organizacin
Forma y el alcance de las relaciones contractuales.
Co#!o#iso 0 alcance
3!eas de Ne,ocio
(!oceso 4"ncional
(!oceso de +e!vicios %ecnol.,icos 0 de +e,"!idad al Ne,ocio
Le0es 0 Re,"laciones del
Ne,ocio
Adoci.n del est1nda!
(ol*ticas5 No!#as 0
(!ocedi#ientos
Re,ist!os 0 Cont!oles Re,ist!os 0 Cont!oles
Co#!o#iso 0 alcance
Do#inios de cont!ol 6Ane7o A8
Cont!oles 27002:2013
Segn lo que establezca como alcance la Compaa a travs de su Poltica
de Seguridad, cada rea de negocios participa en la gestin de:
El Negocio
Gestin de la Seguridad
Gestin de Informacin
Gestin con Terceras Partes
Medios de Comunicacin
El Personal
Funciones y responsabilidades
Confidencialidad y contraseas
Uso de hardware
Uso de software y aplicaciones
Concientizacin y Educacin
Los sistemas de Informacin
Seguridad Fsica del entorno
Seguridad Fsica de los soportes
Seguridad Lgica en los sistemas
Manejo de incidentes
La Revisin del Sistema
Control de registros
Auditoras de Sistemas
Seguimiento del Cumplimiento
Para aportar resultados y conocimientos para el control de:
+oo!te
Conocer su responsabilidad en cuanto a
la Seguridad de la Informacin y lo que se
espera de l.
Entrenamiento inicial y continuo a sus
colegas de rea, y aporte en el
mantenimiento activo de la
documentacin y los controles
Conocer las polticas organizacionales,
haciendo hincapi en el cumplimiento de
la Poltica de Seguridad.
Incrementar la conciencia de la necesidad de proteger la
informacin y a entrenar a los usuarios en la utilizacin de la
misma para que ellos puedan llevar a cabo sus funciones en
forma segura, minimizando la ocurrencia de errores y prdidas.
+oo!te
Nivel 9 : REGI+%RO+
(!oo!ciona las !"ebas objetivas del c"#li#iento
Nivel 3 : IN+%R;C%I<O+ = C&EC'LI+% = 4OR>;LARIO+
Desc!ibe las actividades 0 ta!eas esec*/icas 5 indicando co#o se !eali-an
Nivel 2 : (ROCEDI>IEN%O+
Desc!ibe !ocesos 6?"25 ?"ien5 c"ando5 donde8
Nivel 1 : >AN;AL DE +EG;RIDAD
(ol*ticas5 alcance5 eval"aci.n de !ies,os5 decla!aci.n de alicabilidad
Un Marco Normativo sobre estas bases permite contar con la certeza
sobre la Informacin de respaldo y pruebas objetivas para el control y
desarrollo de la Seguridad de la Informacin.
+oo!te
RIESGOS
NEGOCIO
Definir tipos de riesgos
Identificar riesgos asociados
Establecer parmetros de
medicin
Elegir una metodologa de
tratamiento
Analizar y evaluar riesgos
Crear un Plan de Mitigacin
Identificar procesos
Analizar entorno
regulatorio
Analizar cultura interna
Analizar madurez
operativa
Analizar entorno
documental
MATRIZ DE RIESGO
DIRECTORIO
(!ea!ando la Oe!aci.n
Matriz de anlisis y Evaluacin del Riesgo, o Mapa de riesgo, en el
cual se presentan la totalidad de los riesgos.
Plan de Tratamiento del Riesgo o Plan de accin, en el cual se
detallan todos aquellos riesgos para los cuales la respuesta al riesgo
residual es distinta de se asume y por consiguiente se ha especificado
un plan de accin con los controles/actividades tendientes a mitigar el
riesgo.
Administracin de Riesgos (Actualizacin al DD/MM/AAAA),
Detalle de nuevos riesgos y factores incorporados
Detalle de riesgos y factores dados de baja, con la
correspondiente justificacin de esta accin
Detalle de riesgos para los cuales se registran cambios en la
evaluacin, incluyendo la evaluacin anterior, la evaluacin
actual y la justificacin del cambio realizado
(!ea!ando la Oe!aci.n
Evaluacin y tratamiento de riesgos de seguridad
(lani/icaci.n de
Ad#inist!aci.n
de Ries,os
Alcance
Metodologa
Identi/icaci.n de
Ries,os
Activos
Amenazas
Vulnerabilidades
An1lisis de
Ries,os
Riesgos
Costos / Beneficios
(lan de Acci.n
Tratamiento
Aceptar riesgo residual
>onito!eo de los
Ries,os
Mitigar
Controles
Transferir
Seguros
Proveedores
Aceptar
No hacer nada
Evitar
Cesar la actividad que
lo origina
(!ea!ando la Oe!aci.n
Un Anlisis de Riesgo puede ser desarrollado con cualquier tipo
de metodologa, siempre y cuando sea completa y metdica.
El resultado final de un anlisis de riesgo, es:
Clara identificacin, definicin y descripcin de los activos.
El impacto que podra ocasionar un problema sobre cada
uno.
Conjunto de acciones que pueden realizarse (agrupadas).
Propuesta varios cursos de accin posibles.
Finalmente: Eleccin y Aprobacin de un curso de accin por
parte de la Direccin. Es decir, el compromiso que asume en
virtud de su propia estrategia (Costo/beneficio/Negocio), para
tratar las acciones de ese curso de accin y ASUMIR el
riesgo residual que quedar con lo que no est dispuesto a
abordar (..o en definitiva a pagar..).
(!ea!ando la Oe!aci.n
Decla!aci.n de alicabilidad
Consiste en un documento que relaciona los controles que se
aplican en el sistema de gestin.
De la relacin de los controles que la norma ISO/IEC 27001 indica
en su anexo A, una Organizacin debe seleccionar aquellos que
debe implantar y mantener en su sistema.
El resultado de la eleccin de los controles forma parte del Plan de
Tratamiento de riesgos, de modo que ste tiene como salida la
Declaracin de Aplicabilidad.
Inte!!etaci.n
+e,"!idad
Inte!!etaci.n
3!eas de
Ne,ocio
Inte!!etaci.n
%ecnolo,*a
Decla!aci.n de alicabilidad
Objetivos de
cont!ol
Ries,os
identi/icados
(lanes de
t!ata#iento de
!ies,os
I#lantaci.n
de cont!oles
Decla!aci.n de alicabilidad
Decla!aci.n de alicabilidad
Para asegurar la gestin de Seguridad
de la informacin debemos
necesariamente conocer cules son
los procesos de nuestra Organizacin
y como se trata la informacin en cada
uno de ellos para de esta forma
establecer cules son los alcances
respecto de su Ciclo de Vida y que
actividades vamos a establecer para
la gestin de cada uno de los Activos
de Informacin. Esto nos ayudar a
entender cul es la cadena de
informacin y as poder establecer los
medios tecnolgicos para tratarla en
cada uno de sus estados en el paso
de cada uno de los diferentes
procesos.
27001 0 ot!os /!a#e@o!As
Para satisfacer los objetivos del negocio, la informacin necesita
concordar con ciertos criterios a los que CObIT hace referencia como
requerimientos de negocio para la informacin. Al establecer la
lista de requerimientos, CObIT combina los principios contenidos en
los modelos referenciales existentes y conocidos:
Requerimientos de calidad
Calidad
Costo
ntrega !de servicio"
Requerimientos #iduciarios
!Administraci$n de patrimonio
terceros ba%o su
responsabilidad" & C'('
fectividad ) eficiencia de
operaciones
Confiabilidad de la informaci$n
Cumplimiento de las le*es )
regulaciones
Requerimientos de (eguridad
Confidencialidad
+ntegridad
,isponibilidad
27001 0 ot!os /!a#e@o!As
27001 0 ot!os /!a#e@o!As
Las diferente reas y dominios COBIT 5 estn cubiertas por las ISO/IEC 27000:
Procesos de seguridad y relativos al riesgo en los dominios EDM, APO y DSS.
Varias actividades relacionadas con la seguridad dentro de procesos en otros dominios.
Actividades de supervisin y evaluacin de seguridad
27001 0 ot!os /!a#e@o!As
ISO 27001 e ITIL son complementarios. La mayora de los controles de seguridad
identificados en la norma ISO 27001 ya son parte de la gestin del servicio. Tanto ITIL como
ISO 27001 identifican la necesidad de construir la seguridad en todos los aspectos del
servicio con el fin de gestionar eficazmente los riesgos en la infraestructura
27001 0 ot!os /!a#e@o!As
Los ocBo lib!os de I%IL 0 s"s te#as son:
1C Gesti.n de +e!vicios de %I
2C >ejo!es !1cticas a!a la (!ovisi.n de +e!vicio
3C >ejo!es !1cticas a!a el +oo!te de +e!vicio
Ot!as ,"*as oe!ativas
9C Gesti.n de la in/!aest!"ct"!a de %I
$C Gesti.n de la se,"!idad
DC (e!sectiva de ne,ocio
7C Gesti.n de alicaciones
EC Gesti.n de activos de so/t@a!e
27001 0 ot!os /!a#e@o!As
-a norma +('/+C .////&0 especifica los siguiente
procesos de gesti$n de servicio relacionados entre s1
Procesos de Entrega de Servicios
Procesos de Control
Procesos
de Versiones
Procesos
de Relaciones
Procesos
de Resolucin
Gestin de Configuraciones
Gestin de Cambios
Gestin de Niveles
de Servicio
Informes de Servicio
Gestin de Incidentes
Gestin de Problemas
Gestin de Relaciones
de Negocio
Gestin de
Proveedores
Gestin de Versiones
Gestin de
Seguridad de
la Informacin
Presupuestacin
y Contabilizacin
de
Servicios de TI
Gestin de
Capacidad
Gestin de
Continuidad y
Disponibilidad
de Servicio
27001 0 ot!os /!a#e@o!As
La Ce!ti/icaci.n
(!e)A"dito!*a 6ocional8
2istencia * alcance apropiado del (3(+
A"dito!*a de Ce!ti/icaci.n
#ase 0 4 Revisi$n de la documentaci$n
#ase . 4 5rocesos * control
Ce!ti/icaci.n
misi$n del certificado
+e,"i#iento an"al
Me%ora continua
La Ce!ti/icaci.n
Informacin documentada requerida para la certificacin :
1. Alcance del Sistema de Gestin de Seguridad de la Informacin (ISMS) (clusula 4.3)
2. Poltica de seguridad de la Informacin (clusula 5.2)
3. Proceso de evaluacin de riesgos (clusula 6.1.2)
4. Proceso de tratamiento de riesgos (clusula 6.1.3)
5. Objetivos de seguridad de la Informacin (clusula 6.2)
6. Evidencia de la competencia de las personas que trabajan en SI (clusula 7.2)
7. Otros documentos relacionados con el SGSI considerados necesarios en la Organizacin
( 7.5.1b clusula )
8. Documentos de planificacin y control operacional (clusula 8.1)
9. Resultados de las evaluaciones de riesgos (clusula 8.2)
10. Decisiones con respecto al tratamiento del riesgo (clusula 8.3)
11. Evidencia del seguimiento y medicin de seguridad de la informacin (clusula 9.1)
12. Programa de auditora interna sobre el SGSI y sus resultados (clusula 9.2)
13. Evidencia de las principales revisiones a la gestin del SGSI (clusula 9.3)
14. Evidencia de las no conformidades identificadas y acciones correctivas que surjan
(clusula 10.1)
15. Otra informacin documentada; uso aceptable de los activos, poltica de control de
acceso, acuerdos de confidencialidad, desarrollo seguro, poltica de relaciones con los
proveedores, procedimientos de cumplimiento de leyes, regulaciones y obligaciones
contractuales, procedimientos de continuidad
La Ce!ti/icaci.n
La Ce!ti/icaci.n
ISO/IEC 27000: Define el vocabulario estndar empleado en la familia 27000 (definicin de trminos y
conceptos)
ISO/IEC 27001: Especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las
normas 27000. Define cmo es el SGSI, cmo se gestiona y cales son las resposabilidades de los
participantes.
Sigue un modelo PDCA (Plan-Do-Check-Act) - Puntos clave: Gestin de riesgos + Mejora contnua
ISO/IEC 27002:
Cdigo de buenas prcticas para la gestin de la seguridad. Recomendaciones sobre qu medidas
tomar para asegurar los sistemas de informacin de una organizacin. Describe los objetivos de control
(aspectos a analizar para garantizar la seguridad de la informacin) y especifica los controles
recomendables a implantar (medidas a tomar). Antes ISO 17799, basado en estndar BS 7799 (en
Espaa norma UNE-ISO 17799)
ISO/IEC 27003: Gua de implementacin de SGSI e informacin acerca del uso del modelo PDCA
(Plan-Do-Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente de
publicacin)
ISO/IEC 27004: Especifica las mtricas y las tcnicas de medida aplicables para determinar la eficacia
de un SGSI y de los controles relacionados (en desarrollo, pendiente de publicacin) medicin de los
componentes de la fase Do (Implementar y Utilizar) del ciclo PDCA.
http://www.iso27000.es/iso27000.html#section3c
4a#ilia de No!#as I+O=IEC 27000
ISO/IEC 27005: Gestin de riesgos de seguridad de la informacin (recomendaciones, mtodos y tcnicas
para evaluacin de riesgos de seguridad)
ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC
27001. Requisitos para la acreditacin de las entidades de auditoria y certificacin
ISO/IEC 27007: gua de actuacin para auditar los SGSI conforme a las normas 27000
ISO/IEC 27011: gua de gestin de seguridad de la informacin especfica para telecomunicaciones (en
desarrollo) elaborada conjuntamente con la ITU (Unin Internacional de Telecomunicaciones)
ISO/IEC 27031: gua de continuidad de negocio en lo relativo a tecnologas de la informacin y
comunicaciones (en desarrollo)
ISO/IEC 27032: gua relativa a la ciberseguridad
ISO/IEC 27033: Norma dedicada a la seguridad en redes (en desarrollo)
ISO/IEC 27034: gua de seguridad en aplicaciones (en desarrollo)
ISO/IEC 27035: Proporciona una gua sobre la gestin de incidentes de seguridad en la informacin.
ISO/IEC 27036: Consistir en una gua en cuatro partes de seguridad en las relaciones con proveedores
(en desarrollo)
4a#ilia de No!#as I+O=IEC 27000
ISO/IEC 27037: Es una gua que proporciona directrices para las actividades relacionadas con la identificacin,
recopilacin, consolidacin y preservacin de evidencias digitales potenciales.
ISO/IEC 27038: Consistir en una gua de especificacin para seguridad en la redaccin digital. (en desarrollo)
ISO/IEC 27039: Consistir en una gua para la seleccin, despliegue y operativa de sistemas de deteccin y
prevencin de intrusin (IDS/IPS). (en desarrollo)
ISO/IEC 27040: Consistir en una gua para la seguridad en medios de almacenamiento. (en desarrollo)
ISO/IEC 27041: Consistir en una gua para la garantizar la idoneidad y adecuacin de los mtodos de
investigacin. (en desarrollo)
ISO/IEC 27042: Consistir en una gua con directrices para el anlisis e interpretacin de las evidencias
digitales. (en desarrollo)
ISO/IEC 27043: Desarrollar principios y procesos de investigacin. (en desarrollo)
ISO/IEC 27044: Gestin de eventos y de la seguridad de la informacin - Security Information and Event
Management (SIEM). (en desarrollo)
ISO 27799: Es una norma que proporciona directrices para apoyar la interpretacin y aplicacin en el sector
sanitario de ISO/IEC 27002, en cuanto a la seguridad de la informacin sobre los datos de salud de los
pacientes.
4a#ilia de No!#as I+O=IEC 27000
Pg. 6-45
Director Certificado en Seguridad de la Informacin (Univeridad C!"C"#
Auditoria y Control en Seguridad de la Informacin
ITIL V3 Certified - ISO 20000 Internal Audit Certified
Celular (5$11# 15 332%&'%5(
)tt*+,,ar-lin.edin-com,in,fa/iandecal0o
)tt*+,,m1/i0card-co,fa/ian-decal0o-12'2%0