Conceptos de Seguridad de

la Informacin

Curso: Seguridad y Auditoria

de Sistemas

Ing. Yolfer Hernndez, MBA, CIA

 Temario
Normas ISO 27000
Normas ISO 27002
Relacin con modelos de Gobierno TI
 Normas ISO 27000
Seguridad de la Informacin
ISO 27000: Descripcin general y vocabulario de toda la
serie
ISO 27001: Requisitos para el SGSI (Sistemas de
Gestin de Seguridad de la Informacin)
ISO 27002: Gua de objetivos de control y controles
recomendados (antes ISO 17799)
ISO 27003: Gua de implementacin de SGSI
ISO 27004: Gua de medicin de eficiencia y eficacia de
los SGSI
ISO 27005: Gua para la gestin de riesgos de SI
ISO 27006: Gua de acreditacin de auditora y
certificacin de SGSI
 Normas ISO 27002
Permite la implantacin de controles y
medidas de seguridad en TI
Es un paso para establecer un SGSI
Son 11 secciones (dominios) con
recomendaciones de:
Objetivos de Control (39): Resultados a alcanzar
Controles (133): procedimientos, mtodos,
herramientas
 Normas ISO 27002
Secciones:
1. Polticas de seguridad.
Proporcionar las directivas y soporte de la seguridad
de la informacin para toda la organizacin.
De acuerdo a los requerimientos comerciales y las
leyes y regulaciones relevantes.
Contar con el Documento de Polticas de SI y
revisarla con frecuencia planificada
 Normas ISO 27002
2. Organizacin de la Seguridad de la Informacin
Organizacin Interna
Compromiso de la Direccin con la SI.
Coordinacin de la SI.
Asignacin de responsabilidades relativas a la SI.
Proceso de autorizacin de recursos para el tratamiento de la
informacin.
Acuerdos de confidencialidad.
Contacto con las autoridades y grupos de especial inters.
Revisin independiente de la SI.
Terceros
Identificacin de los riesgos derivados del acceso de terceros.
Tratamiento de la seguridad en la relacin con los clientes y
en contratos con terceros.
 Normas ISO 27002
3. Clasificacin y control de activos.
Deber mantenerse la proteccin adecuada de los
activos corporativos y garantizar que los activos
informticos reciban un nivel adecuado de proteccin
Responsabilidad sobre los activos.
Inventario de activos.
Propiedad de los activos.
Uso aceptable de los activos.
Clasificacin de la informacin.
Directrices de clasificacin.
Etiquetado y manipulado de la informacin.
 Normas ISO 27002
4. Seguridad respecto a los RRHH
Reducir el riesgo de error humano, robo, fraude,
abuso de la informacin, sistemas y equipos.
Asegurarse que el personal est consciente de las
amenazas a la informacin y sus implicaciones.
Antes del empleo. En las responsabilidades y
funciones, seleccin (antecedentes) y trminos y
condiciones de contratacin.
Durante el empleo. Supervisin, Formacin y
capacitacin en seguridad de la informacin y
Procedimiento disciplinario.
Cese del empleo o cambio de puesto de
trabajo. Responsabilidad del cese o cambio,
Devolucin de activos y Retirada de los accesos.
 Normas ISO 27002
5. Seguridad fsica y del entorno.
Previene el acceso no autorizado a las instalaciones
para evitar prdida, robo, dao de los bienes o
interrupcin de las actividades productivas
reas seguras: Permetro, controles de entrada;
oficinas, despachos y recursos; proteccin contra
amenazas externas y del entorno; trabajo en reas
seguras; y reas de acceso pblico de carga y
descarga.
Seguridad de los equipos: Instalacin y
proteccin de equipos; suministro elctrico;
Cableado; mantenimiento de equipos; equipos
fuera de los locales; reutilizacin o eliminacin de
equipos; traslado de activos.
 Normas ISO 27002
6. Gestin de Comunicaciones y Operaciones.
Integrar los procedimientos de operacin y controles de seguridad
de la infraestructura TI (propios y provistos por 3ros):
Control de operatividad (funcionamiento)
Gestin de cambios y de configuracin
Gestin de Incidentes y de problemas
Documentacin de los controles de seguridad
Administracin de aceptacin de sistemas: Capacidad de TI
Respaldo de la Informacin
Gestin de la seguridad de las redes, intercambio de informacin
y monitoreo
Controles para mitigar riesgo de fallas en el sistema, incluido el
hardware y software
Supervisin de procesos de administracin y operacin
 Normas ISO 27002
7. Sistemas de control de acceso.
Control del acceso a la informacin; previene los accesos
no autorizados a sistemas de informacin (aplicaciones de
negocios, sistemas operativos, infraestructura, etc.)
Garantiza la proteccin de servicios de red; impide los
accesos no autorizados a las computadoras; detecta
actividades no autorizadas; salvaguarda la informacin
cuando se utiliza cmputo mvil o remoto.
8. Adquisicin, Desarrollo y Mantenimiento de sistemas.
Garantiza que la seguridad del sistema est construida
dentro de la aplicacin para prevenir prdidas, abusos y
modificaciones de los datos, si es necesario usando
controles criptogrficos.
Seguridad en los procesos de desarrollo y mantenimiento
Gestin de la vulnerabilidad tcnica.
 Normas ISO 27002
9. Gestin de incidentes de la seguridad de informacin
Reporte de los eventos y debilidades de la seguridad de la
informacin, gestionando los incidentes y mejoras en la
seguridad de la informacin
10. Plan de continuidad del negocio.
Estar preparado para evitar interrupciones de las
actividades crticas del negocio, en caso se presenten
fallas importantes o desastres en los sistemas de
informacin, asegurando la recuperacin oportuna.
Los PCN deben ser planificados, probados y actualizados
11. Cumplimiento Legal.
Cumplimiento de los requisitos legales, de las polticas y
las normas de seguridad y cumplimiento tcnico, as como
las consideraciones de la auditora de sistemas de
informacin.
 Normas ISO 27002

Incidencias de Seguridad
(2 Objetivo, 5 Controles)
Fuente: ISO 17799
Normas ISO 27002
 Normas ISO 27002
Adoptar las normas incrementa:
La seguridad efectiva de los SI
La Gestin de Seguridad y su planificacin
La garanta de la continuidad de negocios
La confianza de los clientes y socios
La imagen y valor comercial
La seguridad de informacin compete a la alta
gerencia, seguridad informtica al rea tecnolgica.
Las decisiones de seguridad generalmente se toman
en base a los riesgos percibidos, no a riesgos reales
=> Es fundamental hacer Anlisis de Riesgos
Estndares, Regulaciones y mejores prcticas
COSO (Committee of Sponsoring Organizations)
Es el Marco Integrado que proporciona
criterios para evaluar el Control Interno
COBIT (Control Objectives for Information and related
Technology)
Es un Marco de control de TI, que propone
dominios de accin, asociando los recursos de
la empresa con categoras de informacin
ITIL (Information Technology Infrastructure Library)
Es un Marco de trabajo de las mejores
prcticas para facilitar la entrega de los
servicios de TI
ITIL
Modelo ITIL v3.
Modelo ITIL v2.

Planificacin para Implementar la

Gestin de Servicios
L
L A
Gestin de Servicios Gestin
A de la T
E
Infraestructura E
M La Soporte ICT C
perspectiva Servicios N
P Empresarial
(Tecnologa de
R Informacin y O
Comunicacin) L
E
S O
Provisin de
A G
Servicios I
Gestin de
A
Seguridad

Gestin de Aplicaciones

Modelo de Procesos Ciclo de Vida de Servicio

COBIT 5.0
Gobernabilidad de TI en Empresas
Evolucin de Alcances

Gobierno de TI

Val IT 2.0
Gestin (2008)

Control
Risk IT
(2009)
Auditora

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

Marco Integrador
Manejador de valor para los interesados.
Focalizado en negocio y su contexto
Basado en Facilitadores
Estructura separada para Gobierno y Gestin

Fuente: www.isaca.org/cobit5
Estndares, Regulaciones y mejores prcticas
Risk Security
Response Management

Plan Service Acquire

and Delivery / Control
Activities and
Organize Support Implement
Physical
Business and
Continuity Security Policy Personnel
Environmental Security
Management Security
Asset Information
Internal Organizational Classification and
Environment Security and Communications
Control
ISO
ITIL COSO COBiT
27001
Planning to
Objective Implement Application
Monitoring Setting Service Management
Management
Systems
Communications Development
and and Access Control Compliance
Operations Maintenance
Management Define Monitor
and ICT Infrastructure Risk
Assessment and
Support Management Support

Event Business
Identification Perspective
Modelo de Gobierno TI
US Securities
Sarbanes
& Exchange
Oxley
Commission
COSO II-ERM

COBIT 5.0

ISO
Seguridad de la Informacin 27000

CMMI Desarrollo Tecnologa

ISO12207
Explotacin
Aplicaciones y Comuni- ISO 20000
TI
de Negocios caciones - ITIL 2011

Gestin de Servicios
ISO
900x Sistemas de Calidad
PMI
Gestin de Proyectos PMBOK 5th
ITSGA
Planificacin Estratgica TI
ISO
Gestin de Continuidad del Negocio 22301