Su Seguridad es Nuestro Éxito

C. Santander, 101. Edif. A. 2º

E-08030 Barcelona (Spain)

Tel.: +34 93 305 13 18

Fax: +34 93 278 22 48

C. Arequipa, 1

E-28043 Madrid (Spain)

Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96

info@isecauditors.comwww.isecauditors.com

Calle 90 # 12-28,

Cundinamarca - Bogotá

(Colombia)

Tel: +57 (1) 638 68 88

ISO 27001:2013 FastPath

Índice1. Qué es FastPath

2. Historia ISO27001

3. Conceptos Clave: Certificador y Esquema

4. Porqué ISO27001?

5. Estructura de la Norma

6. Preparación de la implantación

7. Justificación de la implantación

8. Grandes Preguntas

9. Cómo implantarla?

10. Recomendaciones FastPath

11. El Anexo A

12. Sólo IT?

13. Roadmap

14. La Certificación

15. CSF

• Análisis de la norma y sus controles

• Aplicación de mejores prácticas de implantación

• Experiencia como consultores implantadores y

auditores

Qué es FastPath?

Implantación rápida, económica y con garantías de éxito

• Origen: Normas inglesas de Seguridad y continuidad de la información BS (British Standard) pasa a ISO con otros nombres (ISO/IEC 17799, con

orígenes en la norma BS 7799-2:2002 (España ISO71502)=>ISO/IEC*

27.001)

• Publicación 2004-2005, revisión 2013

• ISO 27.001.2013– Anexo SL

– Evitar desconocimiento, formar al personal, reforzando toda la cadena de seguridad, desde el Negocio hasta la persona

– Control de Proveedores (orientado a la nube)

– Contemplar la Continuidad del negocio propio como parte del negocio del cliente

– Asegurar la seguridad en las comunicaciones tanto telemáticas como físicas

– Enfoque de riesgo mediante metodología

– Gestionar los eventos de seguridad

– Orientado a la mejora del sistema (de forma continua)

– 114 controles (ISO27002)

– 10 Dominios

Historia ISO27001 y Anexo SL

* Nota: ISO= International Standards Organization, IEC=International Electric Comitee (ambos gestionan las normas técnicas), también aparece la ITU-T (International Telecommunication Union – Telecommunication Standardization Sector)

• Certificadores:

– Mundiales: BSI, TÜV, SGS

– Locales: AENOR, Applus

• Esquemas: ANAB, UKAS, AENOR

Conceptos Clave, certificador y esquema

EEUU

Inglaterra– AsiaCommonwealth

España

Certificador (Auditor) Esquema Certificación

• No es sólo seguridad lógica => Hay que leerla

bien

• No implica únicamente a IT

• La empresa que la cumple demuestra diligencia

debida

• Entorno, es una acción identificada como

mitigadora de riesgo

ISO27001?

Po

nem

on

Inst

itu

teC

ost

of

Cyb

ercr

ime

20

15

The

Glo

bal

Ris

k2

01

5 W

orl

dEc

on

om

icFo

rum

1,2,3 Objeto, Consulta y Definiciones

4. Contexto– Alcance

– SGSI

5. Liderazgo– Política

– Roles

6. Planificación– Objetivos

7. Soporte– Concienciación

8. Operación

– Riesgos

9. Evaluación del desempeño

– Seguimiento

– Auditoría Interna

10. Mejora– No Conformidades

– Mejora Continua

• ANEXO A (ISO27002)– Objetivo15 Proveedores

• 114 Controles (13 Capítulos)

La Norma (10 dominios+1)

Empezar por el final ! Anexo A (ISO27002)

Con el cumplimiento establecer madurez

Análisis de riesgos (conocimiento)

Con la madurez realizar roadmap

Buscar el ok del cliente al roadmap

«No somos la NASA», «No me quiero certificar»,

«Esto para qué sirve», «Es muy caro», «No podré

dedicar mi gente a esto que pides», «Ala!», «No es

nuestra prioridad en este momento»

CSF

Preparación

• Para:

– Estar Preparados en caso de ataque / contingencia

– Demostrar diligencia debida en caso de ataque

– Conseguir contratos (AAPP, Grandes...)

– Estrategia mitigadora de pérdidas!!! Perder menos en

caso de perder No gastar Ganar

– Seriedad

– Ciclo de vida del trabajador,documento/activo Orden

– Roles de Seguridad Orden

– Conocernos a nosotros mismos (Riesgos) para actuar

– Orden, Seriedad, Diligencia (asimetría de la seguridad)

Para qué?

• Cómo implantarla?

• En qué orden?

• Por dónde empiezo?

• Qué es importante y qué no?

• Qué me pedirá el auditor?

• En cuánto tiempo?

• Cuánto me costará?

Las preguntas del millón

Cómo Implantarla? Como lo dice la Norma, así?

4.3 Alcance

4.4 SGSI

5.2 Política

5.3 Roles

6.2 Objetivos

7.3 Concienciación

8.2 Riesgos

9.1 Seguimiento

9.2 AuditoríaInterna

10.1 No Conformi

dades

10.2 Mejora

Continua

Recomendación de Implantación

4.3 Alcance

4.4 SGSI

5.2 Política

5.3 Roles

6.2 Objetivos

7.3 Concienci

ación

8.2 Riesgos

9.1 Seguimiento

9,2 AuditoríaInterna

10.1 No Conformida

des

10.2 Mejora

Continua

Spónsor

Directiva

EmpresaANEXO

A

Co

mp

rom

iso

Y el anexo A?

• Contacto con autoridades

• Trabajadores

• Partes Externas

• Proveedores

• Confidencialidad

• Control de Acceso

• Equipos

• Cambios

• Teletrabajo

• Información

• Código Malicioso

• Backup

• Documentación

• Desarrollo

• Incidentes de Seguridad

• Continuidad

• Legislación

• …

Sólo IT?

Seguridad Lógica

Resto Medidas

Entorno seguro

Resto Medidas

• Mínimo 6 meses Sii (Alcance 1 site):

– Preauditoría hecha + Inversión HW aprobada

– Alcance Acotado (1-2 Servicios 1 site)

– Sponsor alineado y disponible (hits constantes)

– Equipo motivado (1consultor+1help dentro empresa)

– Ubicación en cliente o reuniones semanales de deploy

– Madurez mínima (1)

– Esquema en 3 rondas:

1ª Madurez 1-2 (6 meses)

2ª Madurez 2-3 (6 meses)

3ª Madurez 3 (y recertificación)

Roadmap

PROYECTO DE CAMBIO CULTURAL

• Tras los primeros seis meses se plantea

certificación con cierta garantía (60%-70% en

función del esfuerzo del cliente)

• Coste de la certificación debe estar fuera del

proyecto de consultoría

• Los certificadores suelen ser lentos, hay que

acordar con ellos el calendario y las jornadas con

tiempo suficiente

• ANTES DE CERTIFICAR repasar TODO el

esquema

• TENER EVIDENCIAS o gestión del riesgo

Certificación?

• Factores clave que deben estar en certificación (1ª Ronda):– Política de Seguridad publicada

– Usuarios formados

– Incidentes de Seguridad

– Roles de Seguridad

– Plan de Continuidad

– SGSI

– 1 revisión (6Meses) lo ideal, hacerla y certificar

– Seguridad Física

– Docs internos (Alcance, Liderazgo, …)

– Análisis de Riesgos

– Objetivos de Seguridad Y PROPÓSITO DE REVISIÓN

CSF ISO 27001

EVID

ENC

IAS!

A veces el problema no está en IT

PREGUNTAS

MUCHAS GRACIAS

Carlos Ortiz de Zevallos TorrentsINTERNET SECURITY AUDITORSConsultor de Seguridad

Miembro ITSMFBSI Lead Auditor ISO27001:2013Consultor ISO20000ITIL F/MCP/Scrum Manager…

cortiz@isecauditors.comhttps://www.linkedin.com/in/carlosortizdezevallos

Su Seguridad es Nuestro Éxito

C. Santander, 101. Edif. A. 2º

E-08030 Barcelona (Spain)

Tel.: +34 93 305 13 18

Fax: +34 93 278 22 48

C. Arequipa, 1

E-28043 Madrid (Spain)

Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96

info@isecauditors.comwww.isecauditors.com

Su Seguridad es Nuestro Éxito

C. Santander, 101. Edif. A. 2º

E-08030 Barcelona (Spain)

Tel.: +34 93 305 13 18

Fax: +34 93 278 22 48

C. Arequipa, 1

E-28043 Madrid (Spain)

Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96

info@isecauditors.comwww.isecauditors.com

Calle 90 # 12-28,

Cundinamarca - Bogotá

(Colombia)

Tel: +57 (1) 638 68 88