INTRODUCCINALA

GESTINDELASEGURIDAD
DELAINFORMACIN
INTERNET: Datos interesantes
Internethapasadodetenermilesdeusuariosen1983amsde800millonesde
usuariosenelmundoenel2004y1000millonesenel2005.
PROGRESIONDEUSUARIOSENELMUNDO:
AO NUsuarios
1990 0,71milln
2000 300400millones
2002 400500millones
2003 500600millones
2004 800millones
2005 1.000millones
Fuente:AngusReidGroup
CASO REAL:
1. Aproximadamentealas15:00horasempezadistribuirseunvirusenlasinstalacionesdeunaempresa,a
travsdeuncorreoelectrnicoquelellegalreadeventas.
2. Ladistribucinconsistadetomarlaslistasdedistribucindelosmiembros.
3. Todalacompaaquedsincomunicaciones,yaqueelpoderosoviruscongestionlaRedcompleta,porel
lapsodetreshoras,quedandoprcticamentefueradelnea,sinbrindarningnservicio.Lafacturacindela
empresaesalrededorde2,000,000,000.00dedlaresanuales.
4. 2,000,000,000 sedividenpor4380horasdetrabajoalaoysemultiplicapor3horasperdidas,loquenos
arrojauntotalde$1'369,863.01USD.
Impacto de un incidente de seguridad:
QU ES LA SEGURIDAD DE LA INFORMACION?
Lainformacinesunactivoimportanteparaelnegocio(igualquecualquierotro
activo)ynecesitaserprotegidadeformaadecuada.
Laseguridaddeinformacinesprotegerlainformacindeunampliorangode
amenazasparagarantizarlacontinuidaddelnegocio,minimizarlosriesgosy
maximizarelretornodelasinversionesenlasoportunidadesdenegocio.
6
InformacinaProteger
Culeslainformacinmsvaliosaquegestionamos?
Lainformacinasociadoanuestrosclientes.
Lainformacinasociadoanuestrasventas.
Lainformacinasociadaanuestropersonal.
Lainformacinasociadaanuestrosproductos.
Lainformacinasociadaanuestrasoperaciones.
PRIMERA SESION
InstitucionesNormalizadoras
Objetivo:
Identificar las organizaciones normalizadoras asociadas a la seguridad de la
informacin y, las normas y estndares que estas instituciones promueven.
Contenido de la sesin:
1. Institucionesnormalizadorasinternacionales
2. Institucionesnormalizadorasperuanas
3. Normasinternacionalesdeevaluacinycertificacin
4. NormaTcnicaPeruanaNTPISO/IEC17799
1
InstitucionesNormalizadorasInternacionales
Instituciones Normalizadoras Internacionales:
ITU-T
ISO/IEC
CEN/CENELEC
ETSI (Europa)
ITUT:
ElSectordeNormalizacindelasTelecomunicacionesdelaUIT (UITT)eselrganopermanentedelaUnin
InternacionaldeTelecomunicaciones(UIT)queestudialosaspectostcnicos,deexplotacinytarifarios.
Publicanormativaconvistaalanormalizacindelastelecomunicacionesanivelmundial.Consedeen
Ginebra(Suiza).
Funcinprincipal
LasnormasproducidasporelUITTsonconocidascomo"Recomendaciones.DadoqueelUITTespartela
UIT,lacualesunorganismodelaOrganizacindelasNacionesUnidas(ONU),susnormasgozandemayor
reconocimientointernacionalquelasquepublicanotrasorganizacionestcnicasenformasimilar.
UITT:
ElUITTdividesutrabajonormativoencategoras,cadaunadelascualesvieneidentificadaporunaletra
queseconocecomoserie.LasRecomendacionesestnnumeradasdentrodecadaserie,porejemploV.90.
LasseriesdelasRecomendacionesdelUITTyeltemaaqueaplicansonlassiguientes:
SerieAOrganizacindeltrabajodelUITT.
SerieBMediosdeexpresin:definiciones,smbolos,clasificacin.
SerieCEstadsticasgeneralesdetelecomunicaciones.
SerieDPrincipiosgeneralesdetarificacin.
SerieEExplotacingeneraldelared,serviciotelefnico,explotacindelservicioyfactoreshumanos.
SerieFServiciosdetelecomunicacinnotelefnicos.
SerieGSistemasymediosdetransmisin,sistemasyredesdigitales
SerieHSistemasaudiovisualesymultimedia.
SerieIReddigitaldeserviciosintegrados(RDSI).
SerieJTransmisionesdesealesradiofnicas,detelevisinydeotrassealesmultimedios.
SerieKProteccincontralasinterferencias.
UITT:
Serie L Construccin, instalacin y proteccin de los cables y otros elementos de planta exterior.
Serie M Red de Gestin de las Telecomunicaciones (RGT) y mantenimiento de redes: sistemas de transmisin,
circuitos telefnicos, telegrafa, facsmil y circuitos arrendados internacionales.
Serie N Mantenimiento: circuitos internacionales para transmisiones radiofnicas y de televisin.
Serie O Especificaciones de los aparatos de medida.
Serie P Calidad de transmisin telefnica, instalaciones telefnicas y redes locales.
Serie Q Conmutacin y sealizacin.
Serie R Transmisin telegrfica.
Serie S Equipos terminales para servicios de telegrafa.
Serie T Terminales para servicios de telemtica.
Serie U Conmutacin telegrfica.
Serie V Comunicacin de datos por la red telefnica.
Serie X Redes de datos y comunicacin entre sistemas abiertos y seguridad.
Serie Y Infraestructura mundial de la informacin, aspectos del protocolo Internet y Redes de la prxima
generacin.
Serie Z Lenguajes y aspectos generales de soporte lgico para sistemas de telecomunicacin.
ISO/IEC:
LaOrganizacinInternacionalparalaEstandarizacin oiso (delgriego,(isos),'igual',ycuyonombreen
inglsesInternationalOrganizationforStandardization),eselorganismoencargadodepromoverel
desarrollodenormasinternacionalesdefabricacin,comercioycomunicacinparatodaslasramas
industrialesaexcepcindelaelctricaylaelectrnica.Sufuncinprincipalesladebuscarlaestandarizacin
denormasdeproductosyseguridadparalasempresasuorganizacionesanivelinternacional.
LaISOesunareddelosinstitutosdenormasnacionalesde160pases,sobrelabasedeunmiembropor
pas,conunaSecretaraCentralenGinebra(Suiza)quecoordinaelsistema.LaOrganizacinInternacionalde
Normalizacin(ISO),consedeenGinebra,estcompuestapordelegacionesgubernamentalesyno
gubernamentalessubdivididosenunaseriedesubcomitsencargadosdedesarrollarlasguasque
contribuirnalmejoramientoambiental.
ISO/IEC:
LasnormasdesarrolladasporISOsonvoluntarias,comprendiendoqueISOesunorganismono
gubernamentalynodependedeningnotroorganismointernacional,porlotanto,notieneautoridadpara
imponersusnormasaningnpas.
Estcompuestaporrepresentantesdelosorganismosdenormalizacin(ON)nacionales,queproduce
normasinternacionalesindustrialesycomerciales.DichasnormasseconocencomonormasISO ysu
finalidadeslacoordinacindelasnormasnacionales,enconsonanciaconelActaFinaldelaOrganizacin
MundialdelComercio,conelpropsitodefacilitarelcomercio,elintercambiodeinformacinycontribuir
connormascomunesaldesarrolloyalatransferenciadetecnologas.
http://www.iso.org
CEN/CENELEC:
CEN (COMITEUROPEOdeNORMALIZACIN)
CENELEC (COMITEUROPEOdeNORMALIZACINELECTROTCNICA)
ETSI (INSTITUTOEUROPEODENORMASDETELECOMUNICACIN)
ETSI:
2
InstitucionesNormalizadorasPeruanas
Instituciones Normalizadoras Peruanas:
ONGEI
INDECOPI
ONGEI:
INDECOPI:
PCMatravsdelaOficinaNacionaldeGobiernoElectrnicoeInformtica ONGEIencoordinacinconel
InstitutoNacionaldeDefensadelaCompetenciaydelaProteccindelaPropiedadIntelectual INDECOPI,
recomiendalaaplicacinyusoobligatoriodelaNormaTcnicaPeruanaNTPISO/IEC17799:2004EDI.
TecnologadelaInformacin.Cdigodebuenasprcticasparalagestindelaseguridaddela
informacin,entodaslasentidadesintegrantesdelSistemaNacionaldeInformtica.
ElGobiernoatravsdelaPresidenciadeConsejodeMinistrosmedianteRESOLUCINMINISTERIALN224
2004PCM,decretasuobligatoriedadenlaadministracinpblica.
3
NormasInternacionalesdeEvaluaciny
Certificacin
Normas Internacionales de Evaluacin y Certificacin:
TCSEC
ITSEC/ITSEM
ISO/IEC 27000
TCSEC (Libro Naranja):
ElLibroNaranjaesconsecuenciadelacrecienteconcienciadelaseguridadporpartedelGobiernodelos
EstadosUnidosdeNorteamricaydesuindustria.
Definecuatrodivisionesjerrquicasdeseguridadparalaproteccindeinformacin.
Enordencrecientedeconfiabilidadsetienenlassiguientesdivisiones:
D Proteccinmnima
C Proteccindiscrecional
B Proteccinobligatoria
A Proteccincontrolada
TCSEC TrustedComputerSystemsEvaluationCriteria
ITSEC/ITSEM
ITSEC (InformationTechnologySecurityEvaluationCriteria)
EselequivalenteeuropeodelLibroNaranja,peromsmodernoyconmayoralcancequeaqul.Seconoce
comnmentecomoLibroBlanco.
HasurgidodelaarmonizacindevariossistemaseuropeosdecriteriosdeseguridadenTI.Tieneun
enfoquemsamplioqueTCSEC.
ITSEM (InformationTechnologySecurityEvaluationManual)
ManualdeevaluacindelaseguridaddeTIqueformapartedelITSECversin1.2ycuyamisinesdescribir
cmoaplicarloscriteriosdeevaluacindelITSEC.
Contienemtodosyprocedimientosdeevaluacinsuficientementedetalladosparaseraplicadosa
evaluacionesdeseguridadrealizadastantoenelsectorprivadocomoenelpblico.
ISO/IEC 27000
Familiadenormasparalagestindelaseguridaddelainformacin.
Proporcionaunavisingeneraldelossistemasdegestindelainformacindeseguridad,queconstituyenel
objetodelafamiliadenormasdelsistemadegestindelaseguridaddelainformacin(SGSI),ydefinelos
trminosrelacionados.
INTRODUCCINALA
GESTINDELASEGURIDAD
DELAINFORMACIN
SEGUNDA SESION
Introduccin:
La tendencia hacia un mercado global y sus correspondientes desafos hace que
muchas organizaciones, especialmente sus sistemas de informacin y redes de
trabajo, se vean enfrentadas a continuas
amenazas de seguridad.
Uno de los mayores desafos de las empresas actuales (independientemente de su
tamao o sector) es la implantacin de Sistemas de Gestin de Seguridad de la
Informacin (SGSIs) que garantice que el principal activo de cualquier empresa, la
INFORMACIN, se encuentra protegido.
Proteger la informacin no basta, las empresas buscan desarrollar su actividad
empresarial de la manera ms segura posible y, a la vez, explotar su informacin con
el objetivo de crecer en el mercado y ser una empresa competitiva.
Introduccin:
LacertificacinbajolanormaISO27001garantiza
queunaempresatieneimplantadounSGSIy
refuerzasuimagendemarca.
Introduccin:
Nuestropasnoesajenoalaevolucindelasociedaddelainformacin,talesasque,cuenta
conunPlanparaelDesarrollodelaSociedaddelaInformacinelaboradaporlaComisin
MultisectorialparaelDesarrollodelaSociedaddelaInformacin(CODESI),plasmadaenla
llamadaAgendaDigitalPeruanaunadecuyasmesasdetrabajoeslamesa5:Gobierno
Electrnico,cuyoobjetivoes:
Acercar la administracin del Estado y sus procesos a la ciudadana y a
las empresas en general, proveyendo servicios de calidad, accesibles,
seguros, transparentes y oportunos,a travs del uso intensivo de las
TICs(CODESI, 2005)
Introduccin:
Unadelasestrategiasparaellogrodeesteobjetivoconsisteendesarrollarunplande
seguridaddelainformacinenelsectorpblico(CODESI,2005),comounodeloscomponentes
fundamentalesparalacreacindelainfraestructuradeGobiernoElectrnico.
Paraconsolidaryestandarizarlasdiferentesiniciativasenelsector,atravsdelaPCMse
decretlaobligatoriedaddelaimplantacindelaNormaNTPISO/IEC17799cdigode
buenasprcticasparalagestindelaseguridaddelainformacinenelsectorpblico,apartir
del23deJuliode2004porresolucinministerialdelaPresidenciadeConsejodeMinistros
(RMN2242004PCM,2004),encargandolasupervisindelcumplimientodesu
implementacinalaPCMatravsdelaOficinaNacionaldeGobiernoElectrnicoeInformtica
ONGEI.(NTP/ISO17799,2007).
Origen :
Desde 1901, y como primera entidad de normalizacin a nivel mundial, BSI (British Standards
Institution, la organizacin britnica equivalente a AENOR en Espaa) es responsable de la
publicacin de importantes normas como:
1979: Publicacin BS 5750 ahora ISO 9001
1992: Publicacin BS 7750 ahora ISO 14001
1996: Publicacin BS 8800 ahora OHSAS 18001
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar a
cualquier empresa britnica o no un conjunto de buenas prcticas para la gestin de la
seguridad de su informacin.
Origen :
Laprimerapartedelanorma(BS77991)esunaguadebuenasprcticas,paralaquenose
estableceunesquemadecertificacin.Eslasegundaparte(BS77992),publicadaporprimera
vezen1998,laqueestablecelosrequisitosdeunsistemadeseguridaddelainformacin(SGSI)
parasercertificableporunaentidadindependiente.
LasdospartesdelanormaBS7799serevisaronen1999ylaprimeraparteseadoptporISO,
sincambiossustanciales,comoISO17799enelao2000.
En2002,serevisBS77992paraadecuarsealafilosofadenormasISOdesistemasde
gestin.
Origen :
En2005,conmsde1700empresascertificadasenBS77992,esteesquemasepublicporISO
comoestndarISO27001,altiempoqueserevisyactualizISO17799.Estaltimanormase
renombracomoISO27002:2005el1deJuliode2007,manteniendoelcontenidoascomoel
aodepublicacinformaldelarevisin.
La serie 27000 :
A semejanza de otras normas ISO, la 27000 es realmente una serie de estndares. Los rangos
de numeracin reservados por ISO van de 27000 a 27019 y de 27030 a
27044.
ISO 27000: Contiene trminos y definiciones que se emplean en toda la serie 27000. La
aplicacin de cualquier estndar necesita de un vocabulario claramente definido, que evite
distintas interpretaciones de conceptos tcnicos y de gestin. Esta norma est previsto que sea
gratuita, a diferencia de las dems de la serie, que tendrn un coste.
La serie 27000 :
ISO 27001: Es la norma principal de la serie y contiene los requisitos del sistema de gestin de
seguridad de la informacin. Tiene su origen en la BS 77992:2002 y es la norma con arreglo a
la cual se certifican por auditores externos los SGSI de las organizaciones.
ISO 27002: Es el nuevo nombre de ISO 17799:2005. Es una gua de buenas prcticas que
describe los objetivos de control y controles recomendables en cuanto a seguridad de la
informacin. No es certificable.
Beneficios:
El hecho de certificar un SGSI segn la norma ISO/IEC 27001 puede aportar las siguientes ventajas a la
organizacin:
Demuestra la garanta independiente de los controles internos y cumple los requisitos de gestin
corporativa y de continuidad de la actividad comercial.
Demuestra independientemente que se respetan las leyes y normativas que sean de aplicacin.
Proporciona una ventaja competitiva al cumplir los requisitos contractuales y demostrar a los clientes que
la seguridad de su informacin es primordial.
Beneficios: (cont.)
Verifica independientemente que los riesgos de la organizacin estn correctamente identificados,
evaluados y gestionados al tiempo que formaliza unos procesos, procedimientos y documentacin de
proteccin de la informacin.
Demuestra el compromiso de la cpula directiva de su organizacin con la seguridad de la informacin.
El proceso de evaluaciones peridicas ayuda a supervisar continuamente el rendimiento y la mejora.
Nota: las organizaciones que simplemente cumplen la norma ISO/IEC 27001 o las recomendaciones de la
norma del cdigo profesional, ISO/IEC 17799 no logran estas ventajas.
Contenido de la sesin:
1. DirectricesdelaISO/IEC27001 I
Objetoycampodeaplicacin
Trminosydefiniciones
Estructuradelestndar
Evaluacinytratamientodelriesgo
Polticadeseguridad
2. DirectricesdelaISO/IEC27001 II
Aspectosorganizativosdelaseguridad
Gestindeactivos
Seguridadenrecursoshumanos
Seguridadfsicaydelentorno
Gestindecomunicacionesyoperaciones
3. DirectricesdelaISO/IEC27001 III
Controldeaccesos
Adquisicin,desarrolloymantenimientodesistemas
Gestindeincidentesenlaseguridaddeinformacin
Gestindecontinuidaddelnegocio
Cumplimiento
1.OBJETOYCAMPODEAPLICACIN
OBJETOYCAMPODEAPLICACIN
Seofrecenrecomendacionesparalagestindelaseguridaddeinformacin.
Buscaproporcionarunabasecomnparadesarrollarnormasdeseguridadenlas
organizaciones.
Puedeservircomoguaprcticaparadesarrollarestndaresdeseguridad.
2.TRMINOSYDEFINICIONES
TRMINOSYDEFINICIONES
Activo:Algoquetengavalorparalaorganizacin.
Control:Herramientadelagestinderiesgo,incluidopolticas,pautas,estructurasorganizacionales,quepuedenser
denaturalezaadministrativa,tcnica,gerencialolegal.
Seguridaddeinformacin:Preservacindelaconfidencialidad,integridadydisponibilidaddelainformacin,as
mismo,otraspropiedadescomolaautenticidad,norechazo,contabilidadyconfiabilidadtambinpuedenser
consideradas.
Incidentedeseguridaddeinformacin:Esindicadoporunaavariasseriesdeincidentesinesperadosynodeseados
quetieneunagranprobabilidaddecomprometerlasoperacionesdenegociosydeamenazarlaseguridadde
informacin.
TRMINOSYDEFINICIONES(cont.)
Poltica:Direccingeneralyformalexpresadaporlagerencia.
Riesgo:Combinacindelaprobabilidaddeuneventoysusconsecuencias.
Gestinderiesgos:Actividadescoordinadasparadirigirycontrolarunaorganizacinconsiderandoelriesgo.
Amenaza:Causapotencialdeunincidentenodeseadoquepuederesultarendaoalsistemauorganizacin.
Vulnerabilidad:Debilidaddeunactivoogrupodeactivosquepuedenserexplotadosporunaomsamenazas.
3.ESTRUCTURADELESTNDAR
ESTRUCTURADELESTNDAR
Clusulas:
11
Categorasprincipalesdeseguridad:
Descripcindelobjetivodecontrol
Controlesquedebenaplicarse.
4.EVALUACINYTRATAMIENTODELRIESGO
EVALUACINYTRATAMIENTODELRIESGO
Evaluacinderiesgosdeseguridad:
Identificar,cuantificarypriorizad.
Tratamientoderiesgosdeseguridad:
Reducir,aceptar,evitar,transferir.
5.POLTICADESEGURIDAD
POLTICADESEGURIDAD
5.1.Polticadeseguridaddelainformacin
5.1.1DocumentodepolticadeSeguridaddelaInformacin
5.1.2RevisindelapolticadeSeguridaddelaInformacin
6.ASPECTOSORGANIZATIVOSDELASEGURIDAD
ASPECTOSORGANIZATIVOSDELASEGURIDAD
6.1.OrganizacinInterna
6.1.1Compromisodelagerenciaconlaseguridaddelainformacin
6.1.2CoordinacindelaSeguridaddelaInformacin
6.1.3DefinicindelasresponsabilidadesdeSeguridaddelaInformacin
6.1.4Procesosdeautorizacinparaelusodelainfraestructuradeinformacin
6.1.5Acuerdosdeconfidencialidad
6.1.6Contactoconautoridades
6.1.7Contactocongruposdeinters
6.1.8RevisinIndependientedelaSeguridaddelaInformacin
6.2.Partesexternas
6.2.1Identificacinderiesgosasociadosaterceraspartes
6.2.2Enfoquedelaseguridadalinteractuarconclientes
6.2.3Enfoquedelaseguridadenacuerdosconterceraspartes
7.GESTINDEACTIVOS
GESTINDEACTIVOS
7.1.Responsabilidaddelosactivos
7.1.1Inventariodeactivos
7.1.2Propiedaddeactivos
7.1.3Usoadecuadodeactivos
7.2.Clasificacindelainformacin
7.2.1Guaparalaclasificacin
7.2.2Identificacinymanejodelainformacin
8.SEGURIDADENRECURSOSHUMANOS
SEGURIDADENRECURSOSHUMANOS
8.1.Previoalempleo
8.1.1Funcionesyresponsabilidades
8.1.2Seleccinyverificacindecandidatos
8.1.3Trminosycondicionesdelempleo
8.2.Duranteelempleo
8.2.1Responsabilidadesdelagerencia
8.2.2Concientizacin,educacinyentrenamientoenlaseguridaddelainformacin
8.2.3Procesodisciplinario
8.3.Finalizacinocambiodeempleo
8.3.1Finalizacinderesponsabilidades
8.3.2Devolucindeactivos
8.3.3Retirodelospermisosdeacceso
9.SEGURIDADFSICAYDELENTORNO
SEGURIDADFSICAYDELENTORNO
9.1.reasseguras
9.1.1Controlesdeseguridadfsica
9.1.2Controlesfsicosdeentrada
9.1.3Seguridadenoficinas,cuartosyedificios
9.1.4Proteccincontraamenazasexternasyambientales
9.1.5Trabajoenreasseguras
9.1.6reasdeaccesopblica,cargayentrega
9.2.Seguridaddelosequipos
9.2.1Ubicacinyproteccindeequipamiento
9.2.2Suministrosdesoporte
9.2.3Seguridadenelcableado
9.2.4Mantenimientodeequipos
9.2.5Seguridaddelosequiposfueradelasinstalaciones
9.2.6Desechoorehsosegurodelosequipos
9.2.7Retirodepropiedad
10.GESTINDECOMUNICACIONESYOPERACIONES
GESTINDECOMUNICACIONESYOPERACIONES
10.1.Responsabilidadesyprocedimientosoperacionales
10.1.1Procedimientosoperacionalesdocumentados
10.1.2Administracindecambios
10.1.3Segregacindefunciones
10.1.4Separacindeambientes
10.2.Gestindeserviciosporterceraspartes
10.2.1Entregadeservicios
10.2.2Monitoreoyrevisindelosserviciosdeterceros
10.2.3Administracindecambiosenlosserviciosdeterceros
10.3.Planificacinyaceptacindelsistema
10.3.1GestindelaCapacidad
10.3.2Aceptacindesistemas
GESTINDECOMUNICACIONESYOPERACIONES
10.4.Proteccincontracdigomvilymalicioso
10.4.1Controlescontrasoftwaremalicioso
10.4.2Controlescontracdigomvil
10.5.Respaldo
10.5.1Copiaderespaldodeinformacin
10.6.Gestindeseguridadenlared
10.6.1Controlesdered
10.6.2Seguridaddeserviciosdered
10.7.Gestindesoportes
10.7.1Gestindelosmediosremovibles
10.7.2Eliminacindemedios
10.7.3Procedimientosparaelmanejodeinformacin
10.7.4Seguridaddeladocumentacindelossistemas
GESTINDECOMUNICACIONESYOPERACIONES
10.8.Intercambiodeinformacin
10.8.1Polticasyprocedimientosdeintercambiodeinformacin
10.8.2Acuerdosdeintercambio
10.8.3Mediosfsicosentransito
10.8.4Mensajeraelectrnica
10.8.5Sistemasdeinformacindenegocio
10.9.Serviciosdecomercioelectrnico
10.9.1Comercioelectrnico
10.9.2Transaccionesenlnea
10.9.3Informacindeaccesopublico
GESTINDECOMUNICACIONESYOPERACIONES
10.10.Monitoreo
10.10.1Registrodeeventos
10.10.2Monitoreodelusodelossistemas
10.10.3Proteccindelainformacinderegistros
10.10.4Registrosdeladministradoryoperador
10.10.5Registrodefallas
10.10.6Sincronizacinderelojes
11.CONTROLDEACCESO
CONTROLDEACCESO
11.1.Requerimientosdenegocioparaelcontroldelacceso
11.1.1Polticadecontroldeacceso
11.2.Gestindeaccesosdeusuarios
11.2.1Registrodeusuarios
11.2.2Gestindeprivilegios
11.2.3Gestindecontraseasdeusuarios
11.2.4Revisindelosderechosdeaccesodelosusuarios
11.3.Responsabilidadesdeusuario
11.3.1Usodecontraseas
11.3.2Equiposdeusuariosdesatendidos
11.3.3Polticadeescritorioypantallalimpia
CONTROLDEACCESO
11.4.Controldeaccesoaredes
11.4.1Polticaparaelusodeserviciosdered
11.4.2Autenticacindeusuariosparaconexionesexternas
11.4.3Identificacindeequiposenlasredes
11.4.4Proteccindepuertodediagnsticoyconfiguracinremota
11.4.5Segregacinenredes
11.4.6Controldeconexionesalared
11.4.7Controldeenrutamientoenlared
11.5.Controldeaccesoalsistemaoperativo
11.5.1Procedimientosdeiniciosegurodesesin
11.5.2Identificacinyautenticacindeusuarios
11.5.3Sistemadegestindecontraseas
11.5.4Usodelasutilidadesdelsistema
11.5.5Controldetiempoparaterminales
11.5.6Limitacineneltiempodeconexin
CONTROLDEACCESO
11.6.Controldeaccesoalainformacinylasaplicaciones
11.6.1Restriccindeaccesoalainformacin
11.6.2Aislamientodelossistemassensibles
11.7.Informticamvilyteletrabajo
11.7.1Computacinycomunicacionesmviles
11.7.2Teletrabajo
12.ADQUISICIN,DESARROLLOYMANTENIMIENTODE
SISTEMAS
ADQUISICIN,DESARROLLOYMANTENIMIENTODESISTEMAS
12.1.Requerimientos de seguridad de los sistemas de informacin
12.1.1Anlisis y especificaciones de los requerimientos de seguridad
12.2.Procesamiento correcto en las aplicaciones
12.2.1Validacin de los datos de entrada
12.2.2Control del procesamiento interno
12.2.3Integridad de mensajes
12.2.4Validacin de datos de salida
12.3.Controles criptogrficos
12.3.1Poltica en el uso de controles de cifrado
12.3.2Administracin de llaves
ADQUISICIN,DESARROLLOYMANTENIMIENTODESISTEMAS
12.4.Seguridad de los archivos del sistema
12.4.1Control del software operacional
12.4.2Proteccin de los datos de prueba del sistema
12.4.3Control de acceso al cdigo fuente de programas
12.5.Seguridad en el desarrollo y soporte de procesos
12.5.1Procedimientos de control de cambios
12.5.2Revisin tcnica de aplicaciones despus de cambios al sistema operativo
12.5.3Restricciones en los cambios a los paquetes de software
12.5.4Fuga de informacin
12.5.5Desarrollo de software en outsourcing
12.6.Gestin de vulnerabilidades tcnicas
12.6.1Control de vulnerabilidades tcnicas
13.GESTINDEINCIDENTESENLASEGURIDADDE
INFORMACIN
GESTINDEINCIDENTESENLASEGURIDADDEINFORMACIN
13.1.Informes de los eventos de seguridad de la informacin y vulnerabilidades
13.1.1Reporte de eventos de seguridad de la informacin
13.1.2Reporte de debilidades de seguridad
12.3.Gestin de incidentes y mejoras de seguridad de la informacin
13.2.1Responsabilidades y procedimientos
13.2.2Aprender de los incidentes de seguridad de la informacin
13.2.3Recoleccin de evidencia
14.GESTINDECONTINUIDADDELNEGOCIO
GESTINDECONTINUIDADDELNEGOCIO
14.1.Gestindelosaspectosdeseguridaddelacontinuidaddelnegocio
14.1.1Inclusindeseguridaddeinformacinengestindecontinuidaddelnegocio
14.1.2Continuidaddelnegocioyevaluacinderiesgos
14.1.3Desarrollodeplanesdecontinuidadincluyendoseguridaddelainformacin
14.1.4Modeloparalaplaneacindelacontinuidaddelnegocio
14.1.5Prueba,mantenimientoyreevaluacindeplanesdecontinuidaddenegocio
15.CUMPLIMIENTO
CUMPLIMIENTO
15.1.Cumplimientodelosrequerimientoslegales
15.1.1Identificacindelalegislacinaplicable
15.1.2Derechosdepropiedadintelectual(IPR)
15.1.3Proteccindelosregistrosdelaorganizacin
15.1.4Proteccinyprivacidaddelainformacinpersonal
15.1.5Prevencindelmalusodelainfraestructuradeprocesamiento
15.1.6Regulacindecontrolesdecifrado
15.2.Cumplimientodepolticasyestndares,ycumplimientotcnico
15.2.1Cumplimientodepolticasyestndaresdeseguridad
15.2.2Verificacindelcumplimientotcnico
15.3.Consideracionesdeauditoriadesistemasdeinformacin
15.3.1Controlesdeauditoradelossistemasdeinformacin
15.3.2Proteccindelasherramientasdeauditoriadelossistemasdeinformacin
Beneficios:
Establecimientodeunametodologadegestindelaseguridadclarayestructurada.
Reduccindelriesgodeprdida,roboocorrupcindeinformacin.
Losclientestienenaccesoalainformacinatravsmedidasdeseguridad.
Losriesgosysuscontrolessoncontinuamenterevisados.
Confianzadeclientesysociosestratgicosporlagarantadecalidadyconfidencialidad
comercial.
Lasauditorasexternasayudancclicamenteaidentificarlasdebilidadesdelsistemaylasreas
amejorar.
Posibilidaddeintegrarseconotrossistemasdegestin(ISO9001,ISO14001,OHSAS18001L).
Beneficios:
Continuidaddelasoperacionesnecesariasdenegociotrasincidentesdegravedad.
Conformidadconlalegislacinvigentesobreinformacinpersonal,propiedadintelectualy
otras.
Imagendeempresaanivelinternacionalyelementodiferenciadordelacompetencia.
Confianzayreglasclarasparalaspersonasdelaorganizacin.
Reduccindecostesymejoradelosprocesosyservicio.
Aumentodelamotivacinysatisfaccindelpersonal.
Aumentodelaseguridadenbasealagestindeprocesosenvezdeenlacomprasistemtica
deproductosytecnologas.
Beneficios:
Establecimientodeunametodologadegestindelaseguridadclarayestructurada.
Reduccindelriesgodeprdida,roboocorrupcindeinformacin.
Losclientestienenaccesoalainformacinatravsmedidasdeseguridad.
Losriesgosysuscontrolessoncontinuamenterevisados.
Confianzadeclientesysociosestratgicosporlagarantadecalidadyconfidencialidad
comercial.
Lasauditorasexternasayudancclicamenteaidentificarlasdebilidadesdelsistemaylas
reasamejorar.
INTRODUCCINALA
GESTINDELASEGURIDAD
DELAINFORMACIN
TERCERA SESION
Marco ISO/IEC 27001
Cmo implementar?
1.INICIODELPROYECTO
Inicio del proyecto
Compromiso de la Direccin: una de las bases fundamentales sobre las que iniciar un
proyecto de este tipo es el apoyo claro y decidido de la Direccin de la organizacin.
Planificacin, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el
esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.
2.PLANIFICACIN
Planificacin
DefiniralcancedelSGSI:enfuncindecaractersticasdelnegocio,organizacin,localizacin,
activosytecnologa,definirelalcanceyloslmitesdelSGSI.Notieneporquabarcartodala
organizacin;dehecho,esrecomendableempezarporunalcancelimitado.
Definirpolticadeseguridad:queincluyaelmarcogeneralylosobjetivosdeseguridaddela
informacindelaorganizacin,tengaencuentalosrequisitosdenegocio,legalesy
contractualesencuantoaseguridad,estalineadaconlagestinderiesgogeneral,establezca
criteriosdeevaluacinderiesgoyseaaprobadaporlaDireccin.
Planificacin
Definir el enfoque de evaluacin de riesgos: definir una metodologa de evaluacin de riesgos
apropiada para el SGSI y las necesidades de la organizacin, desarrollar criterios de aceptacin
de riesgos y determinar el nivel de riesgo aceptable. El riesgo nunca es totalmente eliminable
ni sera rentable hacerlo, por lo que es necesario definir una estrategia de aceptacin de
riesgo.
Inventario de activos: todos aquellos activos de informacin que tienen algn valor para la
organizacin y que quedan dentro del alcance del SGSI.
Planificacin
Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario.
Identificar los impactos: los que podra suponer una prdida de la confidencialidad, la
integridad o la disponibilidad de cada uno de los activos.
Anlisis y evaluacin de los riesgos: evaluar el dao resultante de un fallo de seguridad (es
decir, que una amenaza explote una vulnerabilidad) y la probabilidad de ocurrencia del fallo;
estimar el nivel de riesgo resultante y determinar si el riesgo es aceptable (en funcin de los
niveles definidos previamente) o requiere tratamiento.
Planificacin
Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo puede reducido
(mitigado mediante controles), eliminado (p. ej., eliminando el activo), aceptado (de forma
consciente) o transferido (p. ej., con un seguro o un contrato de outsourcing).
Seleccin de controles: seleccionar controles para el tratamiento el riesgo en funcin de la
evaluacin anterior.
Aprobacin por parte de la Direccin del riesgo residual y autorizacin de implantar el SGSI:
hay que recordar que los riesgos de seguridad de la informacin son riesgos de negocio y slo
la Direccin puede tomar decisiones sobre su aceptacin o tratamiento.
Planificacin
Confeccionar una Declaracin de Aplicabilidad: la llamada SOA (Statement of Applicability) es
una lista de todos los controles seleccionados y la razn de su seleccin, los controles
actualmente implementados y la justificacin de cualquier control excluido.
3.IMPLANTACIN
Implantacin
Definir plan de tratamiento de riesgos: que identifique las acciones, recursos,
responsabilidades y prioridades en la gestin de los riesgos de seguridad de la informacin.
Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control
identificados.
Implementar los controles: todos los que se seleccionaron en la fase anterior.
Formacin y concienciacin: de todo el personal en lo relativo a la seguridad de la
Informacin.
Implantacin
Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones.
Gestionar las operaciones del SGSI y todos los recursos que se le asignen.
Implantar procedimientos y controles de deteccin y respuesta a incidentes de seguridad.
4.SEGUIMIENTO
Seguimiento
Ejecutar procedimientos y controles de monitorizacin y revisin: para detectar errores en
resultados de procesamiento, identificar brechas e incidentes de seguridad, determinar si las
actividades de seguridad de la informacin estn desarrollndose como estaba planificado,
detectar y prevenir incidentes de seguridad mediante el uso de indicadores y comprobar si las
acciones tomadas para resolver incidentes de seguridad han sido eficaces.
Revisar regularmente la eficacia del SGSI: en funcin de los resultados de auditoras de
seguridad, incidentes, mediciones de eficacia, sugerencias y retroalimentacin de todos los
interesados.
Medir la eficacia de los controles: para verificar que se cumple con los requisitos de seguridad.
Seguimiento
Revisar regularmente la evaluacin de riesgos: los cambios en la organizacin, tecnologa,
procesos y objetivos de negocio, amenazas, eficacia de los controles o el entorno tienen una
influencia sobre los riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado.
Realizar regularmente auditoras internas: para determinar si los controles, procesos y
procedimientos del SGSI mantienen la conformidad con los requisitos de ISO 27001, el
entorno legal y los requisitos y objetivos de seguridad de la organizacin, estn
implementados y mantenidos con eficacia y tienen el rendimiento esperado.
Seguimiento
Revisar regularmente el SGSI por parte de la Direccin: para determinar si el alcance definido
sigue siendo el adecuado, identificar mejoras al proceso del SGSI, a la poltica de seguridad o a
los objetivos de seguridad de la informacin.
Actualizar planes de seguridad: teniendo en cuenta los resultados de la monitorizacin y las
revisiones.
Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del
SGSI: sirven como evidencia documental de conformidad con los requisitos y uso eficaz del
SGSI.
5.MEJORACONTINUA
Mejora continua
Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase
anterior.
Acciones correctivas: para solucionar no conformidades detectadas.
Acciones preventivas: para prevenir potenciales no conformidades.
Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle.
Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier
accin, medida o cambio debe comprobarse siempre.
6.FACTORESDEXITO
Factores de xito
Laconcienciacindelempleadoporlaseguridad.Principalobjetivoaconseguir.
Realizacindecomitsdedireccincondescubrimientocontinuodenoconformidadeso
accionesdemejora.
Creacindeunsistemadegestindeincidenciasquerecojanotificacionescontinuasporparte
delosusuarios(losincidentesdeseguridaddebenserreportadosyanalizados).
Laseguridadabsolutanoexiste,setratadereducirelriesgoanivelesasumibles.
Factores de xito
Laseguridadnoesunproducto,esunproceso.
Laseguridadnoesunproyecto,esunaactividadcontinuayelprogramadeproteccinrequiere
elsoportedelaorganizacinparatenerxito.
Laseguridaddebeserinherentealosprocesosdeinformacinydelnegocio.
FIN