IMPLANTACIN DEL ISO 27001:2005

SISTEMA DE GESTIN DE
SEGURIDAD DE INFORMACIN
Alberto G. Alexander, Ph.D, CBCP
Auditor Sistemas de Gestin de Seguridad de Informacin
Certificado IRCA (International Registered of Certified Auditors)
E-mail: aalexan@pucp.edu.pe
www.centrum.pucp.edu.pe/excelncia
Su base de datos est protegida
de manos criminales?
2
Los activos de su empresa Los activos de su empresa
han sido inventariados y han sido inventariados y
tasados? tasados?
INFORMACIN
EN LA
EMPRESA



Un reciente reporte del House Banking Committee de
Estados Unidos, muestra que el sector financiero perdi 2.4
billones de dlares por ataques computarizados en 1998
ms del triple que en 1996. No es sorprendente,
considerando que por da se transfieren electrnicamente 2
trillones de dlares, mucho de lo cual pasa a travs de
lneas que segn el FBI no son muy seguras. (Fortune 500,
2003).
Casi el 80% de los valores intelectuales de las
corporaciones son electrnicos, de acuerdo a la Cmara de
Comercio estadounidense, y un competidor puede subir
hasta las nubes si roba secretos comerciales y listas de
clientes. (Sloan Review, 2003).
Los hackers son expertos en ingeniera social consiguiendo
personas de dentro de las compaas para sacarles
contraseas y claves de invitados. Si te levantas a la
secretaria ganaste, dice Dill Dog. (Famoso hacker).
3
INFORMACIN
EN LA
EMPRESA



El fraude celular no escapa a ninguna compaa telefnica
en el mundo. Telcel y Movilnet en el caso de Venezuela
afirman que en el ao 1997 las prdidas por concepto de
clonacin se ubicaaron en 1,800 millones de dlares, lo que
los ha impulsado a mejorar su sistema de gestin de
seguridad de informacin.
La clonacin ocurre cuando los clonadorescapturan la
transmisin de los nmeros de identificacin (ESN: nmero
asignado), bien sea rastreando los datos o sobornando a un
empleado de la operadora y la copian en otros equipos no
autorizados.
(Cielorojo/computacin 19/01/04).
4
INFORMACIN
EN LA
EMPRESA



La informacin en la empresa es uno de los ms
importantes activos que se poseen.
Las organizaciones tienen que desarrollar mecanismos que
les permitan asegurar la disponibilidad, integridad y
confidencialidad en el manejo de la informacin.
La informacin est sujeta a muchas amenazas, tanto de
ndole interna como externa.
5
ISO 27001:2005
SISTEMA DE
GESTIN DE
SEGURIDAD DE
INFORMACIN



El nuevo estndar internacional, el ISO 27001:2005, est
orientado a establecer un sistema gerencial que permita
minimizar el riesgo y proteger la informacin en las
empresas, de amenazas externas o internas.
HISTORIA
DEL
ESTNDAR
BS 7799
E
ISO 17799
Grupo de trabajo de la industria se establece
en 1993
Cdigo de prctica - 1993
British standard - 1995
BS 7799 parte 1 y parte 2 revisada en 1999
BS 7799 parte 2 - 1998
BS 7799 parte 1 - 1998
BS / ISO / IEC 17799 - 2000
6
ISO 27001:2005-
SISTEMA DE
GESTIN DE
SEGURIDAD DE
INFORMACIN



ISO / IEC 17799 : 2005
Cdigo de prctica de seguridad en la gestin de la
informacin Basado en BS 7799 1 : 2000.
.Recomendaciones para buenas prcticas
No puede ser utilizado para certificacin
ISO 27001:2005
Especificacin para la gestin del sistema de seguridad
de informacin
.Es utilizado para la certificacin
7
INFORMACIN




La informacin es un activo, que tal
como otros importantes activos del
negocio, tiene valor para una
empresa y consecuentemente
requiere ser protegida
adecuadamente .
ISO 17799:2005
8
QU ES
SEGURIDAD DE
INFORMACIN?




Seguridad de informacin es mucho ms que establecer
firewalls, aplicar parches para corregir nuevas
vulnerabilidades en el sistema de software, o guardar en la
bveda los backups.
Seguridad de informacin es determinar qu requiere ser
protegido y por qu, de qu debe ser protegido y cmo
protegerlo.
La seguridad de informacin se caracteriza por la preservacin
de:
a) CONFIDENCIALIDAD : La informacin est protegida
de personas no autorizadas.
b) INTEGRIDAD : La informacin est como se pretende,
sin modificaciones inapropiadas.
c) DISPONIBILIDAD : Los usuarios tienen acceso a la
informacin y a los activos asociados cuando lo requieran.
9
10
NATURALEZA Y DINMICA DEL
ISO 27001:2005
SISTEMA DE GESTIN DE
SEGURIDAD DE INFORMACIN
MODELO PDCA
APLICADO A
LOS PROCESOS
DEL SISTEMA
DE GESTIN DE
SEGURIDAD DE
INFORMACIN
SGSI


11
PARTES
INTERESADAS
REQUERI-
MIENTOS Y
EXPECTATI-
VAS DE LA
SEGURIDAD
DE INFOR-
MACIN
PARTES
INTERESADAS
SEGURIDAD
DE
INFORMA-
CIN
MANEJADA
ESTABLECER
EL SGSI 4.2
IMPLEMENTAR
Y OPERAR EL
EL SGSI 4.2.2
MANTENER Y
MEJ ORAR
EL SGSI 4.2.4
MONITOREAR
Y REVISAR
EL SGSI 4.2.3
PLAN
DO
CHECK
ACT
4.3 Requerimientos de documentacin
4.3.2 Control de documentos
4.3.3 Control de registros
5.0 Responsabilidad de la gerencia
5.1 Compromiso de la gerencia
5.2 Gestin de recursos
5.2.1 Provisin de recursos
5.2.2 Capacitacin, conocimiento y capacidad
6.0 Revisin gerencial
6.4 Auditorias internas
7.0 Mejoramiento del SGSI
7.1 Mejoramiento continuo
7.2 Accin correctiva
7.3 Accin preventiva
Desarrollar,
mantener
y mejorar
el ciclo
HOJA DE RUTA
PARA CUMPLIR
CON EL
ISO 27001:2005



12
a) Definir el alcance del SGSI
b) Definir un sistemtico enfoque para evaluacin
del riesgo
c) Identificar el riesgo
d) Evaluar el riesgo
e) Definir poltica SGSI
f) Identificar y evaluar opciones para el tratamien-
to del riesgo
g) Seleccionar objetivos de control y controles
h) Preparar un enunciado de aplicabilidad
i) Obtener aprobacin de la gerencia
Establecer el SGSI
(Seccin 4.2.1)
ACTIVIDADES
ORGANIZACIONALES
CLUSULAS
HOJA DE RUTA
PARA CUMPLIR
CON EL
BS 7799-2:2002



13
a) Formular un plan para tratamiento del riesgo
b) Implementar el plan de tratamiento del riesgo
c) Implementar todos los objetivos de control y
controles seleccionados
d) Implementar programa de entrenamiento y toma
de conciencia
e) Gestionar operaciones
f) Gestionar recursos
Implementar y operar
el SGSI
(Seccin 4.2.2)
ACTIVIDADES
ORGANIZACIONALES
CLUSULAS
HOJA DE RUTA
PARA CUMPLIR
CON EL
ISO 27001:2005



14
a) Implementar las mejoras identificadas
b) Tomar apropiadas acciones correctivas y
preventivas
c) Comunicar los resultados a todas las partes
interesadas
d) Asegurar que las mejoras alcancen los objetivos
deseados
Mantener y mejorar el
SGSI
(Seccin 4.2.4)
a) Ejecutar procedimientos de monitoreo
b) Efectuar revisiones regulares de la eficacia del
SGSI
c) Revisar el nivel del riesgo residual y del riesgo
aceptable
d) Conducir las auditorias internas del SGSI
e) Registrar todos los eventos que tienen un efecto
en el desempeo del SGSI
Monitorear y revisar el
SGSI
(Seccin 4.2.3)
ACTIVIDADES
ORGANIZACIONALES
CLUSULAS
CICLO
METODOL-
GICO PARA LA
IMPLANTACIN
DEL MODELO
ISO 27001:2000



15
Entendimiento de los
requerimientos del modelo
(1)
Desarrollo de competencias
organizacionales
(5)
Anlisis y evaluacin
del riesgo
(3)
Ejecucin de auditorias
internas
(7)
Determinacin de
la brecha
(2)
Obtencin de la certificacin
internacional
(8)
Elaboracin plan de gestin
de continuidad comercial
(4)
Redaccin del Manual de
Seguridad de Informacin
(6)
METODOLOGA
DETALLADA
PARA
IMPLANTAR EL
SISTEMA DE
GESTIN DE
SEGURIDAD DE
INFORMACIN
ISO 27001:2005


16
PASO I
Determinacin
de la brecha
Efectuar Gap Analysis
Determinar la brecha y
estimar presupuesto y
cronograma
Informe a la
gerencia
PASO II
Entendimiento
de los
requerimientos
del modelo
Taller estratgico con la
gerencia para analizar
requerimientos del
modelo ISO 27001:2005
Definir alcance
del modelo
METODOLOGA
DETALLADA
PARA
IMPLANTAR EL
SISTEMA DE
GESTIN DE
SEGURIDAD DE
INFORMACIN
ISO 27001:2005


17
PASO III
Anlisis y
evaluacin del
riesgo
Efectuar un anlisis y
evaluacin del riesgo
Poltica de
seguridad
Poltica
documentada
Evaluacin
del riesgo
Plan de continuidad
comercial del negocio
Gerencia del riesgo
Plan de trata-
miento del riesgo
Plan de
continuidad
comercial
documentado
Seleccionar controles y
objetivos de control a
implantar
Tabla de
controles
-Amenazas,
-Vulnerabilidades
-Impactos
Enfoque de la
gerencia para
tratar el riesgo
Utilizacin de
Anexo A de la
norma
Elaboracin
Plan de gestin
de continuidad
comercial
PASO IV
18
METODOLOGA
DETALLADA
PARA
IMPLANTAR EL
SISTEMA DE
GESTIN DE
SEGURIDAD DE
INFORMACIN
ISO 27001:2005


PASO V
Desarrollo de
competencias
organizacionales
Entrenamiento en
documentacin de
procedimientos, instruc-
ciones de trabajo
Taller estratgico para
manejo de la accin
correctiva y preventiva
Taller estratgico para
el manejo de la auditoria
interna
Procedimiento
para manejo de
la accin
correctiva
Procedimiento de
auditoria interna
documentado
Elaborar un enunciado
de aplicabilidad
Enunciado de
aplicabilidad
documentado
Enunciado
de aplicabilidad
19
METODOLOGA
DETALLADA
PARA
IMPLANTAR EL
SISTEMA DE
GESTIN DE
SEGURIDAD DE
INFORMACIN
ISO 27001:2005


PASO VII
Ejecucin de
Auditorias Internas
Efectuar auditoria
interna
Informe de la
auditoria
interna
PASO VIII
Obtencin de la
certificacin
internacional
Auditoria de empresa
certificadora
Entrega de
informe
Redaccin
del manual de
Seguridad de
Informacin
Elaboracin del manual
de seguridad de
informacin
Manual de
Seguridad de
Informacin
Documentado
PASO VI
ENFOQUE DE
LAS SEIS
FASES
ESENCIALES
DEL PROCESO
DE
IMPLANTACIN
ISO 27001:2005


20
DEFINIR UNA POLTICA
DE SEGURIDAD DE
INFORMACIN
DEFINIR EL ALCANCE
DEL MODELO
EFECTUAR UN ANLISIS
Y EVALUACIN DEL
RIESGO
DEFINIR OPCIONES DE
TRATAMIENTO DEL
RIESGO
SELECCIONAR
CONTROLES A
IMPLANTAR
PREPARAR UN
ENUNCIADO DE
APLICABILIDAD
21
CASO PRCTICO DE IMPLANTACIN
DEL ISO 27001:2005 EN UNA
ORGANIZACIN FINANCIERA
REA: AHORROS-CAPTACIONES
22
DEFINICIN DEL
ALCANCE DEL
MODELO EN EL
BANCO



En la seccin 4.2 (a) del estndar, se exige como
punto de partida para establecer el SGSI que la
empresa: defina el alcance del SGSI en trminos
de las caractersticas del negocio, la
organizacin, su ubicacin, activos y tecnologa .
IDENTIFICA-
CIN DE
ACTIVOS DE
INFORMACIN



23
Una vez determinado el alcance del modelo en la
empresa, se debe proceder a identificar los
distintos activos de informacin, los cuales se
convierten en el eje principal del modelo.
Es importante mencionar que, en el caso del
banco, se conform un grupo multidisciplinario,
compuesto por los dueos de los subprocesos
que conformaban el proceso escogido en el
alcance. Tambin en el grupo se incluy a los
clientes vitales y proveedores internos de
ahorros/captaciones. Posteriormente, una vez
identificados los activos de informacin, se
incluyeron en el grupo a los dueos de los
activos de informacin. Al grupo
multidisciplinario, se le denomin comit gestor.
ANLISIS Y
EVALUACIN
DEL RIESGO



24
A los activos de informacin se les debe efectuar
un anlisis y evaluacin del riesgo, e identificar los
controles del anexo A del estndar que tendrn
que implementarse para mitigar el riesgo.
Es importante en este punto, clarificar qu es un
activo de informacin en el contexto del ISO
27001:2005. Segn el ISO 17799:2005 (Cdigo de
Prctica para la Gestin de Seguridad de
Informacin) un activo de informacin es: algo a
lo que una organizacin directamente le asigna un
valor y, por lo tanto, la organizacin debe
proteger .
25
ANLISIS Y
EVALUACIN
DEL RIESGO



Los activos de informacin son clasificados por el
ISO 17799:2005 en las siguientes categoras:
-Activos de informacin (datos, manuales,
usuarios, etc.)
-Documentos de papel (contratos)
-Activos de software (aplicacin, software de
sistemas, etc.)
-Activos fsicos (computadoras, medios
magnticos, etc.)
-Personal (clientes, personal)
-Imagen de la compaa y reputacin
-Servicios (comunicaciones, etc.)
26
ALCANCE
DEL SGSI



Al establecer el alcance, en la organizacin
financiera se determin que fuera el rea de
ahorros y captaciones.
Para dicho efecto, se utiliz el mtodo de las
elipses para determinar los activos de informacin.
AHORROS CAPTACIONES
S
T
P
B
C
R
SBS Ministerio
Pblico P
E
R
I
P
L
O
R
E
N
IE
C
C
l
i
e
n
t
e
s
Corresponsales
A
F
P
s
C
l
i
e
n
t
e
s
-Atenc. Y Cons.
-Inscripcin
-Actualizacin
-Definicin Pro.
-Requisitos
-Condiciones
-Recepcin S/ $
-Genera Cta.
-Depsitos
-Retiros
-Transferencias
-OT
-Bloq. Y Desbloq.
-OP (Entrega y recep)
-Renovaciones
-Serv. Cobranzas
-Externos
-Habilitaciones
-Recepcin Doc.
-Autrizacin
-Entrega Efecti vo
-Registro
-FSD (ctas. > 10 aos)
Emisiones
-Consultas
-Reclamos
-Emisin de Ext.
-Emisin de Cartas
-Lavado de Activos
-Anexos SBS
A
d
m
.

d
e

C
r
e
d
.
A
g
e
n
c
ia
s
Ahorros
T
e
s
o
re
ra
S
e
r
v
i
c
i
o
C
l
i
e
n
t
e
A
u
d
.

I
n
t
.
C
o
n
t
a
b
.
S
is
te
m
a
s
Logstica
Crditos
S
e
g
u
rid
a
d
A
s
e
s
. L
e
g
.
A
A
S
Aceptacin
Clientes
Apertura
Nuevos
Clientes
Operaciones Pagos
5 4 5 5 - Servidor de archivos
3 5 2 2 - Lnea dedicada
2 4 2 2 - Equipo de cmputo
2 3 1 2 - Internet
4 4 4 5 - Servidor
5 4 5 5 - Base de datos clientes
4 4 4 4 - Base de datos ahorros
3 3 1 4 - Telfonos
2 5 1 1 - Cmaras de video
4 3 5 5 - Disco duro
3 3 2 4 - Central telefnica
2 5 1 1 - Routers
3 3 2 4 - Lneas telefnicas
2 5 1 1 - Modem
2 5 1 1 - Switchers
4 3 5 5 - Copias de backup
TOTAL DISPONIBILIDAD INTEGRIDAD CONFIDENCIALIDAD ACTIVOS DE INFORMACIN
TASACIN DE ACTIVOS DE INFORMACIN
DISTRIBUCIN DE ACTIVOS Y SUS PROPIETARIOS
AHORROS 12. FORMATO LAVADO ACTIVOS
ADM. DE CRDITOS 11. VOUCHERS
AHORROS 10. FORMATOS
AHORROS 9. REGISTROS DE CLIENTES
SISTEMAS 8. DISCO DURO Y GRAB. (Videos)
SISTEMAS 7. COPIAS DE BACKUP
SISTEMAS 6. SERVIDOR DE ARCHIVOS
AHORROS 5. CLAVES
SISTEMAS 4. BASE DE DATOS AHORROS
AHORROS 3. J EFE DE AHORROS
SISTEMAS 2. SERVIDOR
SERVICIO AL CLIENTE 1. BASE DE DATOS CLIENTES
PROPIETARIOS ACTIVOS DE INFORMACIN
ANLISIS Y EVALUACIN DEL RIESGO
ACTIVOS
DE
INFORMA-
CIN
AMENAZAS
POSIBI-
LIDAD
OCU-
RRENCIA
VULNERA-
BILIDADES
POSIBILI-
DAD QUE
AMENAZA
PENETRE
VULNERA-
BILIDAD
VALOR
DE
ACTIVOS
DE
RIESGOS
POSIBI-
LIDAD
DE OCU-
RRENCIA
DE AME-
NAZA
TOTAL
CRITI-
CIDAD
CRITERIO
PARA
ACEPTAR
EL
RIESGO
OBJETIVOS
DE
CONTROL
CONTRO-
LES
NIVELES DE
ACEPTACION
DEL RIESGO
1. BASE DE
DATOS
AHORROS
3. BASE DE
DATOS
CLIENTES
- Hckers
- Deterioro
fisico
- Errores en
digitacin
2
4
4
- Falta de
anti virus
- Libre acce-
so
- Mala progra
macin
- Mala valida-
cin y prue-
bas
2
5
2
5
4
5
4
4
16
20
C
C
- Verificacin
semanal de ac-
tualizaciones
- El sistema
permite control
automtico
de incidentes
A.5.1 Promocionar direccin
gerencial y apoyo a la S.I.
A.6.1 Seguridad del equipo:
evitar la prdida, dao o
compromiso de los acti vos
y la interrupcin de las ac-
ti vidades comerciales.
A.6.2 Proteger la integridad
del software y la informa-
cin del dao de software
malicioso.
A.7.1Mantener la integridad
y disponibilidad de los ser-
vi cios de procesamiento de
informacin y comunica-
ciones.
A.5.1.1
A.5.1.2
A.7.2.4
A.6.2.1
A.7.1.1
A.7.1.2
A.9.2 Minimizar el riesgo de
fallas en los sistemas.
A.10.1 Asegurar que se in-
corpore seguridad en los
sistemas de informacin.
A.10.2 Evitar la prdida, mo-
dificacin o mal uso de la
data del usuario en los sis-
temas de informacin.
A.10.3 Asegurar que los pro
yectos T.I. y las actividades
de apoyo se reducen de
manera segura.
A.9.2.1
A.9.2.2
A.10.1.1
A.10.2.1
A.10.2.2
A.10.2.3
A.10.3.1
A.10.3.3
- Verificacin
diaria de ac-
tualizaciones
- El sistema
permite regis-
tro e impresin
de incidentes
- Parches de
software
2. SERVI-
DOR
- Virus
- Rayos
2
4
- Software
desactuali-
zado
- Falta para
rayos
3
4
4 4 16 C
A.9.2. Proteger la integridad
del software y la informa-
cin del dao de software
malicioso.
A.9.2.1 - Parches de
software
- Verificacin
semanal de
actualizacio-
nes.
MODELO PDCA
APLICADO A
LOS PROCESOS
DEL SISTEMA
DE GESTIN DE
SEGURIDAD DE
INFORMACIN
SGSI


31
PARTES
INTERESADAS
REQUERI-
MIENTOS Y
EXPECTATI-
VAS DE LA
SEGURIDAD
DE INFOR-
MACIN
PARTES
INTERESADAS
SEGURIDAD
DE
INFORMA-
CIN
MANEJADA
ESTABLECER
EL SGSI 4.2
IMPLEMENTAR
Y OPERAR EL
EL SGSI 4.2.2
MANTENER Y
MEJ ORAR
EL SGSI 4.2.4
MONITOREAR
Y REVISAR
EL SGSI 4.2.3
PLAN
DO
CHECK
ACT
4.3 Requerimientos de documentacin
4.3.2 Control de documentos
4.3.3 Control de registros
5.0 Responsabilidad de la gerencia
5.1 Compromiso de la gerencia
5.2 Gestin de recursos
5.2.1 Provisin de recursos
5.2.2 Capacitacin, conocimiento y capacidad
6.0 Revisin gerencial
6.4 Auditorias internas
7.0 Mejoramiento del SGSI
7.1 Mejoramiento continuo
7.2 Accin correctiva
7.3 Accin preventiva
Desarrollar,
mantener
y mejorar
el ciclo
CICLO
METODOL-
GICO PARA LA
IMPLANTACIN
DEL MODELO
ISO 27001:2005



32
Entendimiento de los
requerimientos del modelo
(1)
Desarrollo de competencias
organizacionales
(5)
Anlisis y evaluacin
del riesgo
(3)
Ejecucin de auditorias
internas
(7)
Determinacin de
la brecha
(2)
Obtencin de la certificacin
internacional
(8)
Elaboracin plan de gestin
de continuidad comercial
(4)
Redaccin del Manual de
Seguridad de Informacin
(6)
33
RESULTADOS
DEL COMPUTER
CRIME AND
SECURITY
SURVEY/ FBI
2005



-Los ataques de virus continan como la principal
fuente de grandes prdidas financieras.
-El uso no autorizado de sistemas de computacin
ha incrementado.
-Los incidentes en los web sites han aumentado
dramticamente.
-El outsourcing de actividades de seguridad de
informacin no ha crecido.
-87% de los encuestados conducen auditorias de
seguridad.
-La mayora de empresas ven el entrenamiento al
usuario como algo muy importante.
34
VISA ACCOUNT
INFORMATION
SECURITY
STANDARDS





Los 15 requerimientos son una lista de chequeo
para lograr conformidad con el estndar.
1. Establecer poltica para la contratacin de
personal.
2. Restringir acceso a datos.
3. Asignar al personal un sistema de
identificacin nico para ser validado al
acceder a datos.
4. Controlar el acceso a datos.
5. Instalar y mantener un firewall network si los
datos son accedidos desde la internet.
6. Encriptar datos mantenidos en bases de datos.
7. Encriptar datos enviados a travs de redes.
8. Proteger sistemas y datos de virus.
35
VISA ACCOUNT
INFORMATION
SECURITY
STANDARDS


9. Mantener al da los parches a software
10. No utilizar passwords para sistemas y otros
parmetros de seguridad proporcionado por
terceros.
11. No dejar desatendidos computadoras, diskettes
con datos.
12. De manera segura, destruir datos cuando ya no
son necesarios.
13. De manera regular verificar el desempeo de
sistemas y procedimientos.
14. Inmediatamente investigar y reportar a VISA
cualquier perdida de cuentas o informacin de
las transacciones.
15. Utilizar slo proveedores de servicios que
cumplan estos requisitos
IMPLANTACIN DEL ISO 27001:2005
SISTEMA DE GESTIN DE
SEGURIDAD DE INFORMACIN
Alberto G. Alexander, Ph.D, CBCP
Auditor Sistemas de Gestin de Seguridad de Informacin
Certificado IRCA (International Registered of Certified Auditors)
E-mail: alexand@terra.com.pe