Introduccion iso27001

Introducción a la ISO27001

GERENCIA ESTRATÉGICA DE
SEGURIDAD DE LA
INFORMACIÓN

Que es Seguridad de la
Información

Aspecto 1: Confidencialidad
• Uno no quiere que otra persona se gaste el dinero
de uno, o al menos no alguien que no tenga el
permiso de hacerlo.
• Esto quiere decir que se limite el acceso al
dinero, o considerar el dinero como algo
confidencial.

Aspecto 2: Disponibilidad
• Uno quiere gastar el dinero cuando uno quiere
hacerlo.
• Esto quiere decir que uno valora la disponibilidad
del dinero y no solo eso, se necesita que este
disponible en un formato que se pueda usar.

Aspecto 3: Integridad
• Cuando uno recoge el dinero, a uno le gusta saber
que su dinero se pueda asegurar que no es falso.

Resumiendo…
• Así como en el dinero, la valoración de la información
depende de estos tres aspectos, los cuales están
intrínsecamente relacionados con la seguridad.
• Las organizaciones que desean manejar sus acuerdos
de seguridad de la información deben introducir una
serie de políticas y procedimientos que les
proporcionarán aseguramiento de estos tres aspectos.
• Esto es lo que genéricamente se describe como un
sistema de gestión de seguridad de la información
(SGSI).

Y esto que importa?
• Dada la definición de seguridad de la información, es fácil determinar cual
es su importancia para las personas, compañías privadas o entes
gubernamentales.
• La seguridad de la información no es solo algo que se relaciona con el
manejo, almacenamiento o transporte de la misma.
• Las personas quieren que la información sea manejada y protegida de
forma apropiada. Robo de identidad, tarjetas de crédito son solo algunos
de los problemas que involucran la seguridad y que deben ser entendidos.
• Las compañías son manejadas por los requisitos de sus clientes y socios y
requieren permanecer competitivas. No solo están afectadas por
estándares de seguridad y regulaciones de cumplimiento, la seguridad de
la información es una ventaja competitiva.
• Un SGSI le puede proporcionar a las empresas las bases para fundamentar
una estrategia de manejo de la información que le permitirá entender el
verdadero valor que tiene la información para sus empresas.

ISO 27001 y los requisitos de administración

INTRODUCCIÓN A LA
ISO27001

Requisitos de Administración del
Sistema
• Este estándar define un proyecto de aproximación para ayudar al
diseño y la implementación de un SGSI, y usa el muy reconocido
modelo P-H-V-A para estructurar las tareas requeridas para
introducir un sistema efectivo de SGSI.
• El ciclo P-H-V-A puede ser resumido como:
– Planear lo que se requiere hacer para lograr el objetivo (el cual incluye
cual es el objetivo).
– Hacer lo que se ha planeado
– Verificar que lo que se ha hecho cumple con lo que se ha planeado
lograr e identificar las brechas y defectos (p.e. verificar que se ha
cumplido con los objetivos).
– Actuar con base en los hallazgos de la fase de planeación para atender
las brechas y/o mejorar la eficiencia y la efectividad de lo que se ha
puesto en marcha.

Requisitos del SGSI
• Hay un número de requisitos para que el sistema
de administración opere que son aplicables al SGSI
así como a cualquier otro sistema de
administración, e incluyen:
– Control de Documentación
– Control de registros
– Auditoría Interna
– Revisión Administrativa

Control de Documentación
– Esto es un acuerdo para el manejo de la disponibilidad de
documentos dentro del SGSI, los cuales típicamente incluyen:
• Las políticas a nivel corporativo,
• Los procedimientos operativos los cuales describen los procesos que
soportan la política y explican el como, cuando, donde y porque de los
mismos,
• Instrucciones de trabajo que detallan al detalle como se deben conducir
ciertas tareas, y
• Formas de captura de información que son esenciales para los propósitos
de revisión y como evidencia de lo que ha ocurrido.
– El objetivo principal del procedimiento de control de
documentación es el de asegurar que todos estos documentos
que han sido escritos y aprobados por el personal indicado y que
solo las últimas versiones aprobadas están disponibles a
aquellos que necesitan tener ingreso a ellos, y seguirlos.

Control de Registros
• Esto significa proteger la
confidencialidad, integridad y disponibilidad con el
objeto de asegurar que solo pueden ser
recuperados por el personal adecuado (autorizado)
cuando se requieren y que son legibles y no se han
modificado.

Auditoría Interna
• La auditoría interna es comisionada por la organización, para
la organización, y proporciona una oportunidad para revisar
el nivel de cumplimiento del SGSI mediante el examen de lo
que ocurre con ejemplos de eventos y procesos y
comparándolos con lo que describe el sistema de
administración de documentos.
• El proceso de auditoría interna debería también informar la
mejora continua del SGSI; sin embargo, esto típicamente
solo empieza a ser un objetivo de auditoría una vez el SGSI
es embebido dentro de la organización.

Revisión Administrativa
• La revisión administrativa típicamente es conducida
una vez cada seis o doce meses y esta diseñada para
revisar la precisión de los objetivos alcanzados.
• Típicamente se deben preparar un número de reportes
para las reuniones, los cuales cubren los indicadores
clave de cómo esta operando el SGSI.
• Esta revisión también debe incluir el examen de
cualquier medida de efectividad que haya sido
desarrollada.

Introducción a la iso27001
Activos de Información y la Evaluación de Riesgos de la Seguridad de la
Información

Activos de Información
• El valor de cada activo es estimado por sus tres
atributos de seguridad:
– Confidencialidad
– Integridad
– Disponibilidad
• El valor asignado a cada activo refleja el costo total a la
organización si cada atributo es comprometido para el
activo relacionado, desde el costo de reemplazo, hasta
las consecuencias en los procesos que este
involucra, a el impacto en la reputación de la
organización.

Matriz de Evaluación de
Riesgos

Evaluación de Riesgos
• El objetivo principal de un SGSI es el de manejar
todos los riesgos para tener un nivel consistente de
control, y determinar donde se requiere que nivel
de riesgo es aceptable.
• Los riesgos evaluados que caen en la categoría de
nivel de riesgo aceptable se consideran y se toman
decisiones de que hacer con cada uno.

Metodología de Respuesta de
Riesgos
1. Aplicación de controles que reduzcan el riesgo
2. Aceptar el riesgo; esto es determinado normalmente por el criterio de aceptación del
riesgo, pero puede ser aplicado ocasionalmente aún si el nivel de riesgo esta por debajo
de lo aceptable.
3. Evitar el riesgo identificando métodos de eliminación del riesgo.
4. Transferir el riesgo del negocio a un asegurador o proveedor.
• A medida que se seleccionan diferentes decisiones y controles para la aplicación a varios
riesgos, la evaluación de riesgos es re-estimada y este proceso continua hasta que los
riesgos evaluados caen dentro de un criterio de riesgo aceptable.
• Para efectuar el nivel requerido de aseguramiento contra los riesgos de seguridad de la
información, el SGSI necesita asegurarse de que los controles seleccionados durante el
proceso de evaluación de riesgos se encuentran ubicados y aplicados a los activos
apropiados de manera efectiva.
• Mediante el informe de la selección de los controles de seguridad de la información
mediante la aproximación de la evaluación de riesgos una organización puede asegurarse
de que se esta maximizando su efectividad de gastos en materia de seguridad de la
información, y que no está dejando ninguna área de riesgo abierta a la explotación al costo
de un alto nivel inconsistente de controles en algún otra área.

Controles de Seguridad de la Información

Estructura de la Norma
• En el estándar hay un total de 130 controles
divididos en 11 categorías, pero para el propósito
de familiarizarse con la norma, la vamos a dividir en
6 grupos.
– Organización, estructura y recursos humanos
– Activos, clasificación y control de acceso
– Acceso físico
– Desastres y Continuidad
– Cumplimiento y Auditoría Interna

Organización, Estructura y
Recursos Humanos
• Hay una necesidad para el nivel corporativo de las políticas de seguridad
de la información, las cuales son una declaración de los compromisos de la
organización y los objetivos relacionados con seguridad de la información.
• Estos necesitan estar disponibles para todos aquellos a quienes afecta, los
cuales incluyen proveedores, aliados de negocios, clientes y personal.
• Existe una necesidad de definir en donde existen las necesidades para
asegurar la información de la organización y para los foros requeridos y
cuerpos de evaluación para que estos cumplan con las necesidades del
SGSI.
• Los recursos humanos requeridos para realizar todas las tareas
relacionadas y que afectan la seguridad de la organización necesitan ser
identificadas y manejadas apropiadamente.

Activos, Clasificación y Control de
Acceso
• Hay un control que sugiere que los activos deben estar clasificados mediante un sistema de marcado, y la
clasificación indicará el nivel de protección requerido y aquel que tiene los permisos de acceso a él.
• El control de acceso también se relaciona con el aseguramiento de que solo aquellos con el acceso aprobado
a los activos pueden en realidad acceder a estos, y que esto esta sujeto tanto a barreras físicas como lógicas.
• Las contraseñas y las cuentas de usuarios de TI son controles de acceso típicos, y son por supuesto tan
robustos como las prácticas que los manejan. La erradicación de prácticas pobres de seguridad tales como
escribir contraseñas en papeles, o usar secuencias que son fácilmente deducibles debe ser fuertemente
desalentado.
• Donde se presentan asuntos de acceso que están evaluados los riesgos que requieren un nivel mas alto de
aseguramiento, relacionado con el acceso a un sistema o aplicación remotamente, existe la posibilidad de
habilitar autenticación de dos factores.
• Este es en el cual cada usuario único tiene que realizar la combinación de tanto una llave física (token) y de
una clave lógica (contraseña) para que se le garantice el acceso.
• Existen otros controles que pueden ser desplegados como tiempo de espera de la sesión, que requiere que el
usuario re ingrese el criterio de autenticación a menudo y coacción de alarmas que consisten en series
predeterminadas de golpes de teclas aparentemente inocuos los cuales alertan a la red o a los monitores del
sistema de un problema.

Acceso Físico
• El acceso físico es, por supuesto, un problema para
la seguridad de la información.
• Cualquiera que tenga acceso a equipos o medios
en los cuales la información está almacenada
puede potencialmente salir de la organización con
el activo y la información almacenada en este.

Redes y TI
• La mas larga categoría de controles se relaciona
con las operaciones de TI y la administración de la
red.
• Estos cubren asuntos que incluyen la planeación y
pruebas de nuevos desarrollos antes de ser
implementados, la planeación de la capacidad para
todos los aspectos de la red y los sistemas, la
segregación, el diseño de la red y administración de
las vulnerabilidades técnicas.

Cuando las cosas salen mal
(BC/DR)
• Hay varias categorías que tratan el manejo de problemas, eventos y/o incidentes.
• La severidad de las brechas de seguridad de la información pueden variar
masivamente, si el problema probablemente signifique un desafío a la ejecución
normal de las actividades u operaciones es deseable que se invoque alguna forma
de continuidad de negocios.
• Por supuesto, no todos los incidentes de seguridad requieren de una respuesta
dramática, pero el grado de reacción y el método para determinar su escalamiento
debe estar definido.
• Todos estos asuntos son áreas clave para las campañas de sensibilización en
seguridad de la información, así como las organizaciones deberían estar en la
posición de beneficiarse de la notificación de un problema potencial tan pronto
como sea posible.
• Esto entonces significa que las necesidades de prevención deben ser elevadas y
mantenidas en todas las partes relacionadas, incluyendo proveedores, aliados de
negocios, clientes y personal.

Auditoría Interna y
Cumplimiento
• Esta categoría es relativamente auto-explicativa: se
refieren al cumplimiento legal y técnico.
• La organización necesita estar al tanto de ellas, y
cumplir con sus obligaciones legales.

Certificación

Proceso de Certificación
• Las compañías que desean usar este estándar
para demostrar la robustez en sus acuerdos de
manejo de seguridad de la información necesitan
estar sujetos a una auditoría externa.
• Para que sea reconocido el aseguramiento
proporcionado por el costo de la auditoría, la
auditoría debe ser conducida en cumplimiento con
el esquema reconocido; el cual es, el ‘esquema de
acreditación certificado’.

Auditoría de Cumplimiento
• Las auditorías son realizadas por cuerpos acreditados; aquellos que buscan
demostrar cumplimiento con el estándar se convierten en certificados, no
acreditados.
• El esquema habilita a las organizaciones a demostrar un grado de aseguramiento
en relación con sus prácticas de seguridad de la información.
• La integridad de este esquema significa que los clientes pueden confiar en la
certificación en lugar de insistir en enviar sus propios auditores para proporcionar
el aseguramiento requerido por sus propios directores, inversionistas y clientes.
• Para lograr la certificación, la organización necesita cumplir con la ISO27001, lo
que significa que debe tener un alcance definido de la extensión de su SGSI (o al
menos la extensión que debe ser certificada de su SGSI) y la declaración de
aplicabilidad (SoA) que define que controles están aplicados a cuales aspectos del
SGSI.
• Son estos dos documentos, en conjunto, con el certificado de acreditación que
proporciona la evidencia del nivel de aseguramiento que la administración del
SGSI proporciona en relación con sus prácticas de seguridad de la información.

Introduccion iso27001

Más contenido relacionado

La actualidad más candente (19)

Similar a Introduccion iso27001 (20)

Último (20)

Introduccion iso27001