iso27001 norma e implantacion sgsi 091123204749 phpapp02

5/21/2018 Iso27001 Norma e Implantacion Sgsi 091123204749 Phpapp02

1/46

www.nexusasesores.com

Parmetros fundamentales para la implantacin de un

Sistema de Gestin de Seguridad de laInformacin

segn

ISO 27001:2005

22 de junio de 2006

Por Jos Manuel Fernndez Domnguez Grupo Nexus Consultores y Auditores

Portada


2/46


INTRODUCCIINTRODUCCINN

Necesidades de un SGSI y estructura normativaNecesidades de un SGSI y estructura normativa

ndice

ESTRUCTURA DE LA NORMAESTRUCTURA DE LA NORMA

ClClusulas de ISO 27001:2005 y comentariosusulas de ISO 27001:2005 y comentarios

OBJETIVOS DE CONTROL Y CONTROLESOBJETIVOS DE CONTROL Y CONTROLES

Anexo A de ISO 27001:2005 y comentariosAnexo A de ISO 27001:2005 y comentarios

BENEFICIOS DE UN SGSIBENEFICIOS DE UN SGSI

Resumen de algunos beneficios y comentariosResumen de algunos beneficios y comentarios


3/46


INTRODUCCIINTRODUCCINN

Necesidades de un SGSI y estructura normativaNecesidades de un SGSI y estructura normativa

ndice

ESTRUCTURA DE LA NORMAESTRUCTURA DE LA NORMAESTRUCTURA DE LA NORMA

ClClClusulas de ISO 27001:2005 y comentariosusulas de ISO 27001:2005 y comentariosusulas de ISO 27001:2005 y comentarios

OBJETIVOS DE CONTROL Y CONTROLESOBJETIVOS DE CONTROL Y CONTROLESOBJETIVOS DE CONTROL Y CONTROLES

Anexo A de ISO 27001:2005 y comentariosAnexo A de ISO 27001:2005 y comentariosAnexo A de ISO 27001:2005 y comentarios

BENEFICIOS DE UN SGSIBENEFICIOS DE UN SGSIBENEFICIOS DE UN SGSI

Resumen de algunos beneficios y comentariosResumen de algunos beneficios y comentariosResumen de algunos beneficios y comentarios


4/46


Vulnerabilidades reportadas (Fuente: www.cert.org)

662853412553753264738Notas sobre vulnerabilidadespublicadas

1C060504030201009998Ao

Notas sobre vulnerabilidades publicadas (1998-1C06): 1.706

1597599037803784412924371090417262Vulnerabilidadesreportadas

1C060504030201009998Ao

Total de vulnerabilidades reportadas (1998-1C06): 23.486

Notas sobre vulnerabilidades publicadas (Fuente: www.cert.org)

Detenido hacker que logr transferir 328.400 dlares a su cuenta personal(Fuente: http://www.maestrosdelweb.com/actualidad/2320 - 26/07/05)

Virus revela por segunda vez documentos secretos de central elctrica japonesa(Fuente: http://www.laflecha.net/canales/seguridad/noticias/200605242 - 24-05-06)

Ernst & Young pierde 4 porttiles con informacin sensible de clientes

(Fuente: http://delitosinformaticos.com/protecciondatos/noticias/114113977812654.shtml - 28-02-06)

Introduccin


5/46


Top Vulnerabilidades en SistemasWindows

W1. Servicios de Windows

W2. Internet Explorer

W3. Libreras de Windows

W4. Microsoft Office y Outlook Express

W5. Debilidades de Configuracin de Windows

Top Vulnerabilidades en Aplicaciones

Cross-Platform

C1. Software de Backup

C2. Software Antivirus

C3. Aplicaciones basadas en PHP

C4. Software para Base de Datos

C5. Aplicaciones para Compartir FicherosC6. Software DNS

C7. Reproductores de Media

C8. Aplicaciones de Mensajera Instantnea

C9. Navegadores Mozilla y Firefox

C10. Otras aplicaciones Cross-Platform

Top Vulnerabilidades en Sistemas UNIX

U1. Debilidades en la configuracin UNIX

U2. Mac OS X

Top Vulnerabilidades en productos de redN1. Cisco IOS y otros productos no-IOS

N2. Juniper, CheckPoint y Productos Symantec

N3. Debilidades de Configuracin de Dispositivos Cisco

Fuente: SANS Institute

TOP 20 Vulnerabilidades

Introduccin


6/46


Consecuencias

Prdida de ingresos / facturacin

Posibles indemnizaciones a terceros

Posibles sanciones

Prdida de oportunidades de negocio

Prdida de contratos / cada acciones

Etc.

Prdida de imagen respecto de clientes

Prdida de imagen respecto a proveedores

Prdida de imagen respecto a otras partes

Ventajas de los competidores

Incidencia sobre Stakeholders

Etc.

Disminucin rendimiento laboral

Interrupciones en procesos productivos

Retrasos en entregas

Cese de transacciones

Enfado de los empleados

Etc.

VOLUMEN DE NEGOCIOIMAGENPRODUCTIVIDAD YPRESTACINDEL SERVICIO

Consecuencias que no pueden ocurrir en nuestras empresas ni en ningnentorno competitivo en estos das

Sistemas de Informacin Actuales

Introduccin


7/46


Introduccin

Seguridad de la Informacin (SI).- Preservacin de la confidencialidad, integridad ydisponibilidad de la informacin; adicionalmente autenticidad, responsabilidad, no repudio yconfiabilidad.

Confidencialidad.- Aseguramiento de que la informacin es accesible slo a autorizados.

Integridad.- Garanta de exactitud y completitud de informacin y mtodos de procesado.

Disponibilidad.- Aseguramiento de que los autorizados tengan acceso cuando lo necesitena la informacin y los activos asociados.

SGSI.- La parte del Sistema de Gestin Global, basada en una orientacin a riesgo denegocio, para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar laseguridad de la informacin

Activo.- Algo que tiene valor para la organizacin (ISO/IEC 13335-1:2004).

Amenaza.- Evento que puede provocar un incidente en la organizacin produciendo daos oprdidas materiales y/o inmateriales.

Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias externas.

Algunas definiciones importantes


8/46


Evolucin normativa

1995 BS 7799-1:1995 (Norma britnica)

1999 BS 7799-2:1999 (Norma britnica)

1999 Revisin BS 7799-1:1999

2000 ISO/IEC 17799:2000 (Norma internacional cdigo de prcticas)2002 Revisin BS 7799-2:2002

2004 UNE 71502 (Norma espaola)

2005 Revisin ISO/IEC 17799:2005

2005 Revisin BS 7799-2:2005

2005 ISO/IEC 27001:2005 (Norma internacional certificable)

Introduccin


9/46


Familia ISO 27000 en los prximos aos

ISO 27000 (2007) Vocabulario y Definiciones

ISO 27001 (2005) Estndar Certificable ya en Vigor

ISO 27002 (2007) Cdigo de Buenas Prcticas relevo de ISO 17799

ISO 27003 (2008) Gua para la Implantacin

ISO 27004 (2008) Mtricas e Indicadores

ISO 27005 (2008) Gestin de Riesgos (BS 7799-3:2006)

ISO 27006 (2007) Requisitos para Acreditacin de Entidades de Certificacin

Introduccin


10/46


INTRODUCCIINTRODUCCIINTRODUCCINNNNecesidades de un SGSI y estructura normativaNecesidades de un SGSI y estructura normativaNecesidades de un SGSI y estructura normativa

ndice

ESTRUCTURA DE LA NORMAESTRUCTURA DE LA NORMA

ClClusulas de ISO 27001:2005 y comentariosusulas de ISO 27001:2005 y comentarios






11/46


ISO 27001:2005

Desarrollado como modelo para el establecimiento, implementacin, operacin, monitorizacin,revisin, mantenimiento y mejora de un SGSI para cualquier tipo de organizacin.

El diseo e implantacin de un SGSI se encuentra influenciado por las necesidades, objetivos,requisitos de seguridad, los procesos, los empleados , el tamao, los sistemas de soporte y laestructura de la organizacin.

Situacin simple Solucin simple para el SGSI

Orientacin a procesos:

Recursos

OperacionesinternasEntradas

Salidas

GestinFeedback

Otrasconsideraciones

de Gestin

Medida

Estructura de ISO 27001:2005


12/46


El ciclo Plan Do Check Act (PDCA de Deming)

Alineado con las guas y principios de la OECD - Organisation for Economic Co-operationand Development: conocimiento, responsabilidad, respuesta, gestin del riesgo, diseo de

seguridad e implementacin, gestin de seguridad, revisin

PartesInteresadas:

StakeholdersClientesProveedoresUsuariosAccionistasSociosOtros

Requisitos yExpectativaspara laSeguridadde laInformacin

Establecimientodel SGSI

PLAN

Implementacindel SGSI

DO

Mejora Continuadel SGSI

ACT

Monitorizacin yRevisin del SGSI

CHECK

PartesInteresadas:

StakeholdersClientesProveedoresUsuariosAccionistasSociosOtros

Seguridadde laInformacinGestionada



13/46


Definicin de Polticay Objetivos

Determinacin delAlcance

Anlisis de Riesgos

Gestin de Riesgos

Seleccin de Objetivosde Control y Controles

Statement ofApplicability

PolticaObjetivos

Alcance

Anlisis de Activos

ResultadosAnlisis

Amenazas/VulnerabilidadesProbabilidad/Impacto Resultados

Anlisis

Gestin OrganizacionalGrado de Aseguramiento

PlanificacinTratamiento

Controles ISOControles adicionales

ObjetivosControles

S.O.A.

Implantacin yOperacin Prctica

Cadena de actuaciones

PolticasObjetivosProcesos

ProcedimientosInstrucciones

ControlesOtros

Monitorizacin yRevisin

Mantenimiento yMejora Continua

IndicadoresAuditorasRevisin

Acciones correctivasAcciones preventivas

PLAN

DOCHECK

ACT



14/46


0.- Introduccin1.- Alcance

2.- Referencias normativas

3.- Trminos y definiciones

4.- Sistema de Gestin de Seguridad de la Informacin

4.1.- Requisitos generales

4.2.- Establecimiento y gestin del SGSI

4.2.1.- Establecimiento del SGSI

4.2.2.- Implementacin y operacin del SGSI

4.2.3.- Monitorizacin y revisin del SGSI

4.2.4.- Mantenimiento y mejora del SGSI

4.3.- Requisitos de la documentacin

4.3.1.- General

4.3.2.- Control de documentos

4.3.3.- Control de registros

5.- Responsabilidad de la Direccin5.1.- Compromiso de la Direccin

5.2.- Gestin de los recursos

5.2.1.- Provisin de recursos

5.2.2.- Formacin, toma de conciencia y competencia

6.- Auditoras internas del SGSI

7.- Revisin por la Direccin del SGSI

7.1.- Generalidades

7.2.- Entradas de la revisin

7.3.- Salidas de la revisin

8.- Mejora del SGSI

8.1.- Mejora continua

8.2.- Accin correctiva

8.3.- Accin preventiva

ANEXO A Objetivos de Control y Controles

Exclusiones:

No son permitidas en las clusulas queespecifican requisitos de la 4 a la 8.

Slo aceptables en controles de Anexo Ay con justificacin adecuada



15/46


4.- Sistema de Gestin de Seguridad de la Informacin

4.1.- Requisitos generales4.2.- Establecimiento y gestin del SGSI

4.2.1.- Establecimiento del SGSI

Alcance Caractersticas del negocio

Caractersticas de la organizacin: localizacin, activos, tecnologa

Incluir detalles y justificaciones de exclusiones

Poltica del SGSI Caractersticas del negocio

Caractersticas de la organizacin: localizacin, activos, tecnologa

Marco para Objetivos relacionados con Seguridad de la Informacin

Requisitos de negocio, legales, reglamentarios, contractuales y otros

Alineada con el contexto de la estrategia de Gestin de Riesgos

Establecimiento de criterios de evaluacin de riesgos

Aprobada por la Alta Direccin

Status superior a las polticas de SI de bajo nivel



16/46


Metodologa deAnlisis de Riesgos

Identificacin de metodologa: Magerit, CRAMM, Cobra, otros

Criterios aceptacin de riesgos: niveles de riesgo aceptables (NRA)

Debe producir resultados comparables y reproducibles

Identificacin deRiesgos

Identificar los activos dentro del alcance del SGSI

Identificar los propietarios de dichos activos

Identificar las amenazas para esos activos

Identificar las vulnerabilidades que pueden explotar las amenazas

Identificar los impactos de prdidas de C-I-D en dichos activos

Anlisis yEvaluacin de

Riesgos

Considerar impacto de fallos de seguridad (prdidas de C-I-D)

Considerar probabilidad realista de que el fallo ocurraConsiderar controles ya en funcionamiento o implantados

Estimar niveles de riesgo

Determinar cuando el riesgo es aceptable o requiere tratamiento



17/46


Opciones para elTratamiento deRiesgos

Aplicacin de los controles apropiados (Anexo A y otros)

Conociendo Nivel de Riesgo Aceptable

Evitando riesgos

Transfiriendo riesgos: aseguradoras, proveedores, otras partes

Seleccin de

Objetivos deControl y Controles

Seleccionados e implantados en funcin del Risk Assessment

Considerando resultados de Risk Assessment y Risk Treatment

Cumpliendo la totalidad de requisitos del SGSI

Tomados el ANEXO A y otros aportados por la organizacin

El ANEXO A es un starting point para seleccin de controles

Aceptacin deRiesgo Residual Aceptado de forma fehaciente por la Alta DireccinCuidado con las firmas de aceptacin de niveles de riesgo residual

Obtencin por escrito y en documento parte del SGSI



18/46


Autorizacin de la

Alta Direccin

De forma previa a actividades de implantacin y operacin

Por escrito y en documento parte del SGSI

Integrada en otro documento o de forma independiente

Estado deAplicabilidad (SOA)

Incluir Objetivos de Control y Controles seleccionados

Incluir los Objetivos de Control y Controles preexistentes

Incluir las razones para la seleccin de los mismosIncluir exclusiones de OC y Controles del Anexo A

Incluir justificacin para dichas exclusiones

4.2.2.- Implementacin y Operacin del SGSI

Risk TreatmentPlan (RTP) Acciones de gestin y control a desarrollarRecursos asignados y responsabilidades

Prioridades a la hora de gestionar los riesgos

Implantacin del RTP para alcanzar los Objetivos de Control



19/46


Implantacin deControles Los controles anteriormente seleccionados deben ser implantadosImplantacin fsica del Plan de Tratamiento de Riesgos (RTP)

Respetando las responsabilidades previamente definidas

Mtricas eIndicadores

Debemos medir la efectividad de los controles seleccionados

Determinar cmo vamos a realizar el anlisis de los datos

Mediante los datos obtenidos, tenemos que gestionar controles

El feedback es necesario para la gestin de los controles

Los resultados de estos indicadores deben proporcionar resultados:

- Comparables

- Reproducibles

Formacin y Tomade Conciencia

Implantacin programas formativos para competencia de RRHH

El mbito humano de la organizacin debe ser competente

La toma de conciencia es factor vital (agujeros de seguridad)



20/46


Implementacin decontroles Procedimientos, tcnicos, no tcnicos, Para pronta deteccin de incidentes contra la seguridad

Para pronta respuesta ante incidentes contra la seguridad

4.2.3.- Monitorizacin y revisin del SGSI

Monitorizacin y

revisin del SGSI

Para detectar lo antes posible errores en procesos

Para detectar lo antes posible brechas de seguridad e incidentes

- Intentos (nos han lanzado x ataques contra nuestra IP)

- Logros (nos han hackeado la web 2 veces este ao)

Para determinar que las prcticas se desarrollan de forma correcta

Para ayudar a tomar decisiones utilizando indicadores

Para determinar cuando las acciones correctivas han sido eficaces

Revisionesregulares

Incluyendo Poltica, Objetivos, controles, resultados de auditorasprevias, incidentes, medidas de efectividad, sugerencias yfeedback de otras partes interesadas



21/46


Revisin delAnlisis de Riesgos

A intervalos planificados

Incluyendo nivel de riesgo aceptable y residual

Teniendo en cuenta: organizacin, tecnologa, objetivos de negocioy procesos, amenazas identificadas, efectividad de los controlesimplantados y eventos externos (cambios de legislacin, contratos,etc.)

Auditora Interna A intervalos planificados para determinar:si el SGSI es conforme a ISO 27001

si el SGSI es conforme con otros requisitos

si el SGSI est implantado y mantenido de forma efectiva

Si el SGSI funciona segn lo esperado

Revisin por laDireccin

De forma regular para garantizar:

que el alcance sigue siendo adecuado

que las mejoras del SGSI han sido debidamente identificadas



22/46


Auditora Interna A intervalos planificados para determinar:

si el SGSI es conforme a ISO 27001

si el SGSI es conforme con otros requisitos

si el SGSI est implantado y mantenido de forma efectiva

Si el SGSI funciona segn lo esperado

A tener en cuenta Actualizaciones de planes de seguridad en funcin del feedbackAnlisis de logs y eventos con impacto significativo en el SGSI

4.2.4.- Mantenimiento y mejora del SGSI

Mantenimiento ymejora

Las opciones de mejora deben ser implantadas

Deben tomarse acciones correctivas y preventivasTener en cuenta experiencias propias o de otras organizaciones

Comunicar acciones y mejoras a todas las partes interesadas

Asegurar que las mejoras alcanzar los objetivos buscados



23/46


4.3.- Requisitos de la documentacin

4.3.1.- GeneralidadesQu debe incluir la documentacin?

-Poltica y Objetivos del SGSI

-Alcance (Scope)

-Procedimientos y controles

-Descripcin metodologa Risk Assessment

-Reportes del Risk Assessment

-Plan de Tratamiento de Riesgos (RTP)

-Los registros requeridos por ISO 27001

-El Estado de Aplicabilidad (SOA)



24/46


4.3.2.- Control de los documentos

Deben ser debidamente protegidos y controlados. Es necesario un procedimientodocumentado segn ISO 27001. Debe incluir criterios para:

-Aprobacin de documentos antes de su emisin

-Revisin y actualizacin y necesidad de re-aprobacin

-Identificacin de cambios y versiones en vigor

-Garantizar que las versiones aplicables se encuentren en los puntos de uso

-Garantizar que los documentos permanecen legibles y fcilmente identificables

-Garantizar que estn a disposicin de las personas que los necesitan

-Garantizar que son transferidos, almacenados y destruidos segn lo establecido en el SGSI

-Garantizar que se identifican los documentos de origen externo

-Garantizar que se controla la distribucin e documentos

-Prevenir el uso no intencionado de documentos obsoletos

-Identificar los obsoletos caso de que sean retenidos por algn motivo



25/46


4.3.3.- Control de los registros

Muestran evidencias de la conformidad del sistema con sus requisitos

Deben ser debidamente protegidos y controlados

Es necesario un documentar los controles necesarios para su:

- identificacin (rpidamente identificables)

- almacenamiento (fcilmente recuperables)

- proteccin (permanezcan legibles)

- perodo de retencin

- disposicin de registros



26/46


5.- Responsabilidad de la Direccin

5.1.- Compromiso de la DireccinLa Alta Direccin debe proveer evidencia de su compromiso con el proyecto

-Estableciendo la Poltica del SGSI

-Asegurando que se establecen Objetivos para el SGSI y que se planifica su consecucin

-Estableciendo roles y responsabilidades

-Comunicando la importancia de logar los Objetivos y estableciendo la Poltica del SGSI

-Comunicando responsabilidades y la necesidad de la bsqueda de la mejora continua

-Suministrando recursos

-Decidiendo criterios de aceptacin de riesgos y Niveles de Riesgo Aceptables

-Asegurndose de que se realizan Auditoras Internas

-Realizando Revisiones por la Direccin del SGSI

5.2- Gestin de Recursos

5.2.1.- Provisin de recursos

Direccin Correcto devenir del SGSIRecursos



27/46


5.2.2.- Formacin, Toma de Conciencia y Competencia

Personal con responsabilidadesdefinidas en el SGSI Personal competente

1) Determinar competencias para el personal alcanzado por el SGSI2) Si no se tienen in-house ? Formacin o reclutamiento

3) Si se hacen acciones de formacin ? Evaluar su eficacia

4) Hay que mantener registros de educacin, formacin, habilidades,experiencia y cualificacin

La organizacin debe garantizar que el personal relevante afectado por el SGSI seaconsciente de la importancia de sus actividades y de cmo pueden contribuir a la

consecucin de los Objetivos.



28/46


6.- Auditora Interna del SGSI

A intervalos previamente planificados en un Programa de Auditoras.

En funcin de la importancia de los procesos y reas a auditar.

En funcin de resultados de auditoras previas.

Debe definirse: - Criterios de auditora y Alcance

- Frecuencia y Metodologa (ISO 19011 Gua)

La seleccin de auditores y el desarrollo de la auditora deben garantizar la totalimparcialidad y objetividad del proceso de auditora. Un auditor no debe auditar nuncasu propio trabajo.

Es preciso un procedimiento documentado segn ISO 27001 que plasme lasresponsabilidades y requisitos para la planificacin y realizacin de auditoras y para la

forma en que se reportan los resultado y se mantienen registros.

No conformidades Acciones correctivas sin demoraDireccin rea



29/46


7.- Revisin por la Direccin del SGSI

7.1.- Generalidades

A intervalos planificados y como mnimo 1 al ao

Debe incluir oportunidades de mejora y necesidad de cambios en el SGSI

Analizar posibles cambios en la Poltica y en los Objetivos

Los resultados de la RxD deben estar documentados manteniendo registro

7.2.- Entradas de la revisinResultados de auditoras y RxD previas

Feedback de partes interesadas

Estado de acciones correctivas/preventivas

Tcnicas, productos o procedimientos que pueden ser usados para mejora del SGSI

Amenazas y vulnerabilidades no determinadas de forma correcta en el Risk Assessment

Resultados de medidas de efectividad (mtricas)

Seguimiento de actuaciones derivadas de RxD previas

Cambios que pudieran afectar al SGSI

Recomendaciones de mejora



30/46


7.3.- Salidas de la Revisin

Mejora de la eficacia del SGSI

Actualizacin del Risk Assessment y del Risk Treatment Plan

Modificacin de procedimientos y controles necesarios, incluyendo cambios en:

- Requerimientos de negocio

-Requerimientos de seguridad-Procesos de negocio

-Requisitos legales o regulatorios

-Obligaciones contractuales

-Niveles de riesgo y/o criterios de aceptacin de riesgo

Necesidad de recursosMejora de los mtodos de medida de la eficacia de los controles



31/46


8.- Mejora del SGSI

8.1.- Mejora continua

8.2.- Accin correctiva

8.3.- Accin preventiva

Accin correctiva

No conformidades

Eliminar causa de

Accin preventiva

No conformidadespotenciales

Eliminar causa de

Procedimiento AACC

-Identificar No Conformidades

-Determinar sus causas

-Evaluar necesidad de actuacin-Determinar AACC necesarias

-Registrar resultados de las acciones

-Revisar las AACC tomadas

Procedimiento AAPP

-Identificar No Conformidades Potenciales

-Determinar sus causas

-Evaluar necesidad de actuacin preventiva

-Determinar AAPP necesarias

-Registrar resultados de las acciones

-Revisar las AAPP tomadas

Su prioridad ir en funcin del Risk Assessment



32/46



ndice



OBJETIVOS DE CONTROL Y CONTROLESOBJETIVOS DE CONTROL Y CONTROLES

Anexo A de ISO 27001:2005 y comentariosAnexo A de ISO 27001:2005 y comentarios




33/46


Disponibilidad Confidencialidad

Integridad No repudio

Informacin

Poltica deSeguridad

Organizacin de

Seguridad de laInformacin

Gestin de

Activos deInformacin

SeguridadLigada alPersonal

Seguridad Fsica ydel Entorno

Gestin deOperaciones y

Comunicaciones

Control deAccesos

Adquisicin, Desarrolloy Mantenimiento de

Sistemas de Informacin

Gestin deIncidentes de

Seguridad

Gestin de

Continuidad deNegocio

Conformidad

Alineados con ISO 17799:2005 Clusulas 5 a 15

Objetivos de Control y Controles


34/46


A.5.- Poltica de Seguridad

A.5.1.- Documento de Poltica de Seguridad de la InformacinA.5.2.- Revisin de la Poltica de Seguridad de la Informacin


A.6.- Organizacin de la Seguridad de la Informacin

A .6 . 1 .- O r g a n iz a ci n I n t e r n a

A.6.1.1.- Compromiso de la Direccin con la Seguridad de la Informacin

A.6.1.2.- Coordinacin de la Seguridad de la Informacin

A.6.1.3.- Asignacin de responsabilidades para Seguridad de la Informacin

A.6.1.4.- Proceso de autorizacin para instalaciones de procesado de informacin

A.6.1.5.- Compromisos de Confidencialidad

A.6.1.6.- Contacto con las Autoridades

A.6.1.7.- Contacto con Grupos Especiales de Inters

A.6.1.8.- Revisin independiente de la Seguridad de la Informacin

A .6 . 2 .- P ar t e s E x t e r n a s

A.6.2.1.- Identificacin de riesgos asociados a partes externas

A.6.2.2.- Seguridad en el trato con clientes

A.6.2.3.- Seguridad en contratos con tercera parte (SLA)


35/46



A.7.- Gestin de Activos

A . 7 .1 . - R es p o n s a b i l i d a d d e l o s a c t i v o s A.7.1.1.- Inventario de Activos

A.7.1.2.- Propiedad de los Activos

A.7.1.3.- Uso aceptable de los Activos

A . 7 . 2 . - Cl a s if i c a ci n d e la I n f o rm a c i n

A.7.2.1.- Gua para la clasificacin

A.7.2.2.- Etiquetado y posesin de informacin

Reglas parauso deactivos

Inventariode activos

Label

Informacin restringida

Informacin clasificada

Informacin no clasificada

Informacin bajo licencia

Otros


36/46



Fuente: Nextel, S. A.

Esquema del Dominio A.8 segn ISO 27001:2005 - Human Resources Security


37/46



Dominio A.9

Seguridad fsica y del entorno

Permetro fsicode seguridad Controles fsicosde entrada Securizacin deoficinas, habitacionese instalaciones

Proteccincontra amenazas

externas y delentorno

Trabajo en reasseguras

Acceso pblico,reas de entrega

y recepcin

A.9.1Securizacin de reas

A.9.2Seguridad de equipos

Localizacin deequipos y proteccin

Utilidades soporte(SAI, )

Seguridad delcableado

Mantenimientode equipos

Seguridad deequipos off-site

Securizacin deequipos reutilizados

Retiro depropiedades off-

site


38/46



Dominio A.10Gestin de Comunicaciones y Operaciones

A.10.1Procedimientos de operacin y responsabilidades

A.10.2Gestin de prestacin de servicios tercera parte

A.10.3Planificacin de sistemas y aceptacin

A.10.4Proteccin contra cdigo malicioso y mvil

A.10.5Copias de respaldo (Back Up)

A.10.6Gestin de la seguridad en red

A.10.7Posesin de medios

A.10.8Intercambio de informacin

A.10.9Servicios de comercio electrnico

A.10.10Monitorizacin (gestin de logs)


39/46



Dominio A.12Adquisicin, desarrollo y mantenimiento de Sistemas de Informacin

A.12.1Anlisis y especificacin requisitos de seguridad

A.12.2Procesado correcto en aplicaciones

A.12.3Controles criptogrficos

A.12.4Seguridad de ficheros de sistema

A.12.5Seguridad en procesos de desarrollo y soporte

A.12.6Gestin de vulnerabilidades tcnicas

Dominio A.11

Control de accesoA.11.1

Requisitos para control de acceso

A.11.2Gestin de acceso de usuarios

A.11.3Responsabilidades de los usuarios

A.11.4Control de acceso a red

A.11.5Control de acceso al sistema operativo

A.11.6Control de acceso a aplicaciones e informacin

A.11.7Computacin mvil y teletrabajo


40/46



Esquema del dominio A.13 Gestin de incidentes contra SI

Fuente: Nextel, S. A.


41/46



Dominio A.14 - Gestin de continuidad de negocio (BCM)

A.14.1.- Aspectos de SI para la BCM

A.14.1.1.- Introduccin de la Seguridad de la Informacin en el proceso de BCM

A.14.1.2.- Continuidad de Negocio y Risk Assessment

A.14.1.3.- Desarrollo e implementacin de planes de continuidad incluyendo SI

A.14.1.4.- Marco para la planificacin de la continuidad de negocio

A.14.1.5.- Test, mantenimiento y revisin de planes de continuidad de negocio

Obj i d C l C l


42/46



Dominio

A.15

Conform

idad

A.15.1Conformidad conrequisitos legales

A.15.2Conformidad con Polticas de

Seguridad y normas, ycumplimiento tcnico

A.15.3Consideraciones sobre

Auditora de SI

Identificacin de

legislacin aplicable

Derechos de

Propiedad Intelectual

Proteccin de registros

de la organizacin

Proteccin de Datos y

privacidad de lainformacin personal

Prevencin de uso

errneo de lainfraestructura de

procesado deinformacin

Regulacin decontroles

criptogrficos

Cumplimiento conPolticas de

Seguridad y normas

Comprobacin decumplimiento tcnico

Controles

de Auditorade

sistemasde Informacin

Proteccin de herramientasde auditoria de sistemas de

informacin

di


43/46



ndice





BENEFICIOS DE UN SGSIBENEFICIOS DE UN SGSIResumen de algunos beneficios y comentariosResumen de algunos beneficios y comentarios

Beneficios de un SGSI


44/46


Beneficios de un SGSI

- Disponer armas de gestin para particulares usualmente olvidados

- Conocer realmente de qu activos disponemos (control y clasificacin)

- Involucrar a la Alta Direccin en la Seguridad de la Informacin

- Desarrollar Polticas formales de obligado cumplimiento

- Cumplir con la legislacin vigente ligada al proyecto

- Realizar anlisis de riesgos para el desarrollo del negocio

- Introduccin de contratos de niveles de servicio (SLA)

- Reforzar la seguridad ligada al personal

- Disponer planes de contingencia ante incidentes

- Disponer planes de continuidad de negocio y recuperacin ante desastres

- Desarrollo de indicadores de desempeo del SGSI

- Disminucin de riesgos a niveles aceptables .. ETC

Conclusiones


45/46


Conclusiones

CONCLUSIONES FUNDAMENTALES

La Seguridad de la Informacin es un PROCESO.

La Seguridad de la Informacin se basa en PERSONAS.

La Seguridad de la Informacin debe orientarse al RIESGO.

Un buen SGSI es un sistema RENTABLE para la organizacin.

NO EXISTE la seguridad absoluta. El SGSI AYUDA a la gestin.

Hay que definir ESTRATEGIAS DE NEGOCIO y huir de actuaciones puntualessin criterios de interconexin.

Un proyecto SGSI requiere un equipo de trabajo MULTICONOCIMIENTO.

La implantacin de un SGSI tiene BONDADES INHERENTES y es unDIFERENCIADOR DE LA COMPETENCIA.

Agradecimientos


46/46


Agradecimientos

Muchas gracias por suatencin

Jos Manuel Fernndez Domnguez

[email protected]


Esta presentacin se encuentra sometida a Licencia Creative Commons:Reconocimiento No comercial Compartir bajo la misma licencia

iso27001 norma e implantacion sgsi 091123204749 phpapp02

Documents