ISO 27001

CLASE N8
Diciembre 2011

Carlos Lobos Medina

Postitulo en e-Auditora Universidad de Santiago de Chile

Organizacin del Modulo

Introduccin La serie ISO/IEC 27000 ISO/IEC 27001 ISO/IEC 27002

Introduccin

Cul es la importancia de gestionar la seguridad de la informacin?

Para la mayora de las organizaciones, la informacin se ha vuelto en uno de sus activos cada vez ms importantes.(CISA) La informacin se est volviendo rpidamente en el nico factor de la productividad . (Peter Drucker) Gestionar los niveles de seguridad con los cuales se gestiona la informacin es cada vez ms crucial a medida que aumenta la dependencia de la informacin.(CISM) El factor ms critico en la proteccin de los activos de informacin y la privacidad es establecer las base para una gestin efectiva de la seguridad de la informacin. (ISACA) La informacin es un activo que, como otros activos comerciales importantes, es esencial para el negocio de una organizacin y en consecuencia necesita ser protegido adecuadamente. (ISO 27002)
4

Qu deberan hacer las organizaciones para proteger su informacin?

Identificar los activos de informacin que tienen impacto en el negocio. Hacer un anlisis y evaluacin de riesgos. Decidir cuales son las opciones de tratamiento del riesgo a implantar para minimizar las posibilidades de que las amenazas pueden causar dao.

Los pasos antes descrito son las acciones que un Sistema de Gestin de Seguridad de Informacin (SGSI) busca instaurar en una organizacin.

Un sistema de gestin de seguridad se define como: El establecimiento de un sistema que determine qu requiere ser protegido, y por qu, de que debe ser protegido y cmo protegerlo. (Thomas Peltier) La parte del sistema de gestin global, basada en una orientacin a riesgo de negocio, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la informacin. (ISO 27001:2005)

La serie ISO/IEC 27000

Evolucin de la norma
1998
BS 7799-2

1999
BS 7799-2

2002
BS 7799-2

2005
ISO 27001

Para la certificacin

Cdigo de buenas prcticas BS 7799

Revisin conjunta de ambos doctos.

Acercamiento a ISO 9001

Estndar Internacional

Estndar Internacional ISO 17999

Revisin Peridica ISO 17999

Cambio de nombre ISO 27002

BS 7799 -1

1995

1999

2000

2005

2007
8

SERIE DE NORMAS ISO 27000

Estndares Britnicos Normas Relacionadas

BS 7799-1

BS 7799-2

ISO 27003 IMPLEMENTACIN ISO 27004 METRICAS

ISO 17799

ISO 27001 Sistema de gestin

ISO 27005 RIESGO DE TI

ISO 27002

NIST 800-30

ISO 31000

Controles de seguridad de la informacin

GESTIN DE RIESGO SEGURIDAD - ISO 27005

9

ISO 27005:2011
KEY FEATURES AND BENEFITS:
ISO/IEC 27005 provides guidelines for information security risk management. Using the guidelines in this standard will enable you to manage the information security risks within your organization effectively.

THE STANDARD IS NOW FULLY ALIGNED WITH THE INTERNATIONAL STANDARD FOR RISK MANAGEMENT, ISO 31000. USING THE TWO TOGETHER CAN ENHANCE THE WAY RISKS WITHIN YOUR ORGANIZATION ARE MANAGED EFFECTIVELY.
Uses common concepts as conveyed in ISO/IEC 27001 and ISO/IEC 27002. Using this standard with the others in the ISO/IEC 27000 family will provide an effective framework for information security managed to be managed so that any risks are mitigated effectively.
10

 ISO 27001 ISO 27002

ISO 27001:2005
Define los requerimientos para el desarrollo de un Sistema de Gestin de la Seguridad de la Informacin (SGSI)

ISO 17799:2005
Define 134 controles de seguridad agrupados en 11 reas. (ISO 27002: 2007) 11

Detalle de la serie 27000

ISO 27000. Trminos y definiciones. (FCD)
ISO 27001. Sistema de Gestin de Seguridad de la Informacin ISO 27002. Conjunto de buenas prcticas y controles de seguridad. ISO 27003. Guas de implantacin de un SGSI. ISO 27004. Mtricas de seguridad.

ISO 27005. Gestin de riesgos.

ISO 27006. Acreditacin de certificadores de SGSI. ISO 27007. Gua de auditora. (WD)

12

Ms de la serie 27000
ISO 27011. Gua de gestin de seguridad de la informacin especfica para telecomunicaciones
ISO 27031. Gua de continuidad de negocio en cuanto a tecnologas de la informacin y comunicaciones. (FDIS) ISO 27032. Gua relativa a la ciberseguridad. (WD) ISO 27033. Guas de 7 partes relacionadas a la seguridad en redes(WD)

ISO 27034. Gua de seguridad en aplicaciones. (WD)

ISO 27035. Gua para la gestin de incidentes de seguridad. (WD) ISO 27036. Gua de auditora sobre los controles del ISMS. (WD) ISO 27037. Gua para la gestin de evidencia digital. (WD)
13

ISO/IEC 27001

14

La base de la norma Ciclo de Demming

15

Etapas para la implementacin ISO 27003

Obtener la aprobacin de la gerencia para iniciar el proyecto de SGSI

Definicin de limites y alcances del SGSI

Realizacin de anlisis de requerimientos de la seguridad de la informacin

Realizacin de evaluacin de riesgos y plan de tratamiento de riesgos

Diseo del SGSI

Aprobacin de la direccin para el inicio del proyecto de SGSI

Alcance y limites del SGSI

Requerimientos de seguridad de la informacin

Aprobacin formal de la gerencia para el inicio del proyecto de SGSI

Plan de implementacin del proyecto de SGSI final

Poltica del SGSI

Activos de informacin

Plan de tratamiento de riesgo

Resultados desde evaluacin de seguridad de la informacin

Declaracin de aplicabilidad, incluyendo objetivos de control y controles seleccionados

16

Esqueleto para la implementacin de un SGSI

Fuente: http://iso27000.wik.is/Esqueleto_SGSI

17

Alcance
Para determinar el alcance y lmites del SGSI se deber especificar: Caractersticas del negocio Organizacin Ubicacin Activos Tecnologa
Justificacin de cualquier exclusin del alcance. Especifica los requisitos para la implantacin de controles adaptados a las necesidades de la organizacin o partes de las mismas. (clausula 1.2) El objetivo final es tener claro que personas, procesos y sistemas sern partes del SGSI y definir las fronteras del mismo.

18

Poltica de Seguridad
Definir una poltica clara alineada con los objetivos de negocio.
La redaccin de la poltica ha de tener sentido, ser clara y sin ambiguedades.

Posee cuatro grandes objetivos:

Debe asegurar que se establezcan objetivos y planes de seguridad. Establece roles y responsabilidades Alineamiento con el contexto de gestin de riesgo estratgico de la organizacin. Establece criterios de evaluacin de riesgo.

19

Plan de tratamiento de riesgos

La clusula 4.2.2.a del estandar ISO/IEC 27001 requiere que la organizacin "formule un plan de tratamiento de riesgos que identifique la accin de gestin apropiada, los recursos, responsabilidades y prioridades para manejar los riesgos de seguridad de la informacin". Para identificar los riesgos (clusula 4.2.1.d) se deben:
Identificar los activos dentro del alcance as como los responsables de cada activo Identificar las amenazas a estos activos Identificar las vulnerabilidades que podran ser aprovechadas por las amenazas Identificar los impactos sobre los activos identificados en caso de sufrir una prdida de su confidencialidad, integridad y disponibilidad.

20

Plan de tratamiento de riesgos

21

Administracin del riesgo detallada

22

Proceso de gestin de riesgos

23

Tratamiento de riesgo
Evaluacin Satisfactoria

Opciones de Tratamiento

Evitar

Reducir

Transferir

Aceptar

Riesgos Residuales

Tratamiento Satisfactorio
24

Identificacin de activos
La informacin puede existir de muchas formas. Puede ser impresa o escrita en papel, almacenada electrnicamente, transmitida por correo o medios digitales, mostrada en videos o hablada en conversaciones.

Define dos grandes categoras:

Activos primarios Procesos y actividades del negocio Informacin Activos secundarios Hardware Software Redes Personal Datacenter Estructura Organizacional
25

Tasacin de activos
Clasificar en: Procesos y actividades del negocio, Informacin, Hardware, Software, Redes, Personal, Datacenter, Estructura Organizacional.
Activos de informacin Base de Datos alumnos Clasificacin C I D

Proceso de matricula Proceso de desvinculacin

DMZ Acceso Internet Planificacin de proyectos Sitio Web

La clausula 4.2.1 (d) exige que adems se identifiquen propietarios. Anexo B de la norma ISO 27005 proporciona una extensa lista de ejemplos.

26

Identificacin de amenazas
Una posibilidad de violacin de la seguridad, que existe cuando se da una circunstancia, capacidad, accin o evento que pudiera romper la seguridad y causar perjuicio. Es un peligro posible que podra explotar una vulnerabilidad. Clasificacin Dao fsico Eventos naturales Perdida de servicios esenciales Informacin comprometida Fallas tcnicas Acciones no autorizadas Funciones comprometidas

27

Identificacin de amenazas
Clasificar amenazas de acuerdo a Dao fsico, Eventos naturales, Perdida de servicios esenciales, Informacin comprometida, Fallas tcnicas, Acciones no autorizadas, Funciones comprometidas. Intercepcin de informacin en Internet Fallas de equipamiento Fenmenos ssmicos Destruccin de equipamiento Perdida de fuentes de energa Procesamiento ilegal de datos Robo de equipos Copia ilegal de software Software defectuoso Informacin comprometida Fallas tcnicas Eventos naturales Dao fsico Perdida de servicios esenciales Acciones no autorizadas Informacin comprometida Acciones no autorizadas Fallas tcnicas

28

Identificacin de amenazas
Deliberadas (D) Accidentales (A) Ambientales (E) Clasificar las siguiente amenazas: Intercepcin de informacin en Internet Fallas de equipamiento Fenmenos ssmicos Destruccin de equipamiento Perdida de fuentes de energa Procesamiento ilegal de datos Robo de equipos Copia ilegal de software Software defectuoso D A E A, D, E A, D, E A,D D D A

29

Identificacin de vulnerabilidades
Una debilidad de la organizacin, los sistemas computacionales o la red. Es una debilidad de un bien que puede dar lugar a su explotacin. Clasificacin Hardware Software Redes Personal Datacenter Organizacionales

30

Clasificacin de vulnerabilidades
Clasificar vulnerabilidades de acuerdo a: Hardware, Software, Redes, Personal, Datacenter y Organizacional. Lneas de comunicacin sin proteccin Deficiencias en polticas de uso de email Mantencin deficiente de equipamiento Insuficiente testeo de aplicaciones Entrenamiento de seguridad insuficiente Deficiente proteccin fisica en el site Inadecuados procesos de reclutamiento Deficiencia de manuales tcnicos Gestin de password deficientes Proceso de gestin de cambio deficiente Redes inalmbricas desprotegidas Deficiente termino de sesiones Deficiencias en SLAs

Redes Organizacional Hardware Software Personal Datacenter Personal Software Software Organizacional Redes Software Organizacional
31

Declaracin de aplicabilidad
La Declaracin de aplicabilidad describe los objetivos de control y controles relevantes y aplicables al alcance del SGSI de la organizacin

Debe estar en funcin de la poltica y conclusiones del proceso de evaluacin y tratamiento del riesgo.

http://iso27000.wik.is/Esqueleto_SGSI/4._Declaraci%C3%B3n_de_Aplicabilidad

32

Controles operativos
Se deben identificar y explicar las mtricas que la empresa utiliza para determinar la eficacia del SGSI, as como el modo en que se gestionan los incidentes. Junto a sus mtricas temporales asociadas al crear los planes del tratamiento del riesgo se deben incluir procedimientos para la rpida deteccin errores e incidentes.

Un anlisis del incidente en trminos de los parmetros definidos determinar si los controles han funcionado.
Un impacto nos estar probablemente diciendo que el SGSI no est funcionando como estaba previsto. Para verificar si el SGSI est funcionando segn lo previsto se necesita supervisar o monitorizar algo ms: Supervisar los eventos Supervisar los controles 33

Formacin y concientizacin
La organizacin debe asegurarse que todo el personal dentro del alcance del SGSI dispone de responsabilidades asignadas y definidas y que es competente para desempear las tareas requeridas para: Determinar las competencias necesarias del personal que realiza trabajos que afectan el SGSI. Proporcionar formacin o tomar otras acciones para satisfacer dichas necesidades. Evaluar la eficacia de las acciones tomadas y mantener los registros de la educacin, formacin, habilidades, experiencia y calificaciones La organizacin tambin debe asegurarse de que todo el personal relevante es consciente de la importancia de sus actividades en seguridad de la informacin y de cmo contribuyen al logro de los objetivos del SGSI.
34

Deteccin y respuesta de incidente

La organizacin debera actuar de manera temprana y cooperativa para prevenir, detectar y responder a los incidentes de seguridad. Esta es una parte de la actividad de seguimiento de la etapa Check (ver clusula 4.2.3 y de 6 a 7.3) Es tambin una actividad de respuesta de la etapa Act (ver clusulas 4.2.4 y de 8.1 a 8.3). Tambin puede estar cubierto por algunos aspectos da las etapas Plan y Do.

Deben mantenerse los registros del desempeo de los procesos como se muestra en la clusula 4.2 y de todas las ocurrencias de los incidentes de seguridad significativas relacionados con el SGSI.

35

Deteccin y respuesta de incidente

http://iso27000.wik.is/Esqueleto_SGSI/7._Detecci%C3%B3n_y_Respuesta_a_Incidentes

36

Acerca de las auditorias

Carlos Samaniego. Modulo de gestin de riesgos. Seguridad Computacional. DCC. Uchile.

37

Acerca de la mejora Continua

Carlos Samaniego. Modulo de gestin de riesgos. Seguridad Computacional. DCC. Uchile.

38

ISO/IEC 27002

39

 ISO 27002
Define 133 controles de seguridad agrupados en 11 reas. Poltica de seguridad Aspectos organizativos para la seguridad Gestin de activos Seguridad ligada a los recursos humanos Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Gestin de las operaciones y comunicaciones Control de accesos Adquisicin, desarrollo y mantenimiento de sistemas de informacin Gestin de incidentes de seguridad Gestin de continuidad del negocio Cumplimiento

40

La estructura de la norma

Carlos Samaniego. Modulo de gestin de riesgos. Seguridad Computacional. DCC. Uchile.

41

Poltica de Seguridad (A.5)

Documentacin de la poltica de seguridad. Revisin de la poltica de seguridad de la informacin Conocida y aplica en la organizacin.

42

Organizacin de la seguridad de la informacin (A.6)

Compromiso de la gerencia Coordinacin interna

Establecimiento de responsabilidades
Contratos con terceras partes Acuerdos de confidencialidad

43

Inventarios y clasificacin de activos(A.7)

Designacin de dueos de los activos Inventario de activos

Clasificacin de la informacin
Etiquetado y manipulacin Uso aceptable

44

Seguridad de los recursos humanos (A.8)

Seleccin y poltica del personal Acuerdos de confidencialidad

Gestin de responsabilidades
Capacitacin y educacin Procesos disciplinarios Termino de empleo

45

Seguridad fsica y ambiental(A.9)

reas seguras Controles de entrada

Proteccin ambiental
Seguridad en los equipos Mantencin de equipos Eliminacin segura

46

Gestin de las operaciones y comunicaciones (A.10)

Responsabilidades y operaciones Gestin de seguridad en redes Gestin de cambios Gestin de incidentes Gestin de capacidad Proteccin contra software malicioso Backup Seguridad en el comercio electrnico

47

Control de acceso (A.11)

Polticas y reglas de acceso Administracin de roles y perfiles Administracin de contraseas

Autentificacin de usuarios internos y externos

Registros y logs de actividades

Computadores mviles y teletrabajo

48

Adquisicin, desarrollo y mantenimiento de sistemas(A.12)

Requisitos de seguridad Procesamiento correcto Controles criptogrficos

Seguridad en ambientes de prueba y desarrollo

Segregacin de funciones

Seguridad en los archivos del sistema

49

Administracin de incidentes (A.13)

Reporte y registro de eventos
Revisin controles de debilidades en los

Definicin de procedimientos
Aprendizaje Obtencin y conservacin de la evidencia

50

Gestin de la continuidad del negocio(A.14)

Anlisis del impacto del negocio
Desarrollo de planes de continuidad Pruebas y mantencin

51

Cumplimiento(A.15)
Identificacin de legislacin aplicable Derechos de propiedad intelectual Privacidad de la informacin

Acuerdos contractuales con terceros

Cumplimiento de polticas estndares de seguridad y

Auditora informacin

los

sistemas

de

52

carlos.lobos@usach.cl

53