Академический Документы
Профессиональный Документы
Культура Документы
INFORMATION
SYSTEM SECURITY
ADVISOR
Firmado por: YANAPTI SRL
Motivo: Responsable de
elaboracin
Fecha y hora: 31.07.2013
10:04:00
www.yanapti.com
INTRODUCCION AL SGSI
HISTORIA DE LA NORMA
2013
Draft 27005:2013
Finales 2005
Julio Agosto 2005
Junio 2005
Noviembre 2003
Septiembre 2002
1999
1998
1995
NB 17799:2005
ISO/IEC 17799:2005
Adopcin como NB
2001
Diciembre 2000
Revisin de BS 7799-2
Estndar Sueco SS 62 77 99 Parte 1 y 2
ISO/IEC
17799:2000
Nueva versin de BS 7799 Parte 1 y 2
BS 7799 Parte 2
BS 7799 Parte 1
www.yanapti.com
ISO/IEC
Descripcin
27000
Vocabulario y definiciones
27001
27002
27003
Gua de implementacin
27004
Mtricas y medidas
27005
27006
27035
Gestin de Incidentes
27031
Pruebas de Continuidad
27032
Ciberseguridad
www.yanapti.com
FAMILIA 27000
www.yanapti.com
Procesos
Politica
Modelo de Seguridad
Arquitectura de seguridad
y estandares tcnicos
Guias y Procedimientos
administrativos y de usuario final
Proceso de
Reforzamiento
Proceso de
Monitoreo
Proceso de
Recuperacion
PREGUNTA
Cuales serian los beneficios para el Negocio
Con la implementacin de un SGSI
Con la Certificacin ISO 27001
www.yanapti.com
ANTE LOS
CLIENTES
Afianza la posicin
de su organizacin
Factor competitivo
Aumenta
satisfaccin
Imagen de marca
GESTIN
ORGANIZACIN
Conocimiento y
depuracin procesos
internos
Mejor gestin de
recursos
Mejor comunicacin
Permite superar
barreras tcnicas
Favorece el
desarrollo
Mejora continua
Nuevos clientes
gracias a las
garantas en la
prestacin de
servicios
Procesos de
negocio ms
seguros
MODELO CONCEPTUAL
www.yanapti.com
Elementos de la Norma
Poltica de
seguridad
Cumplimiento
Organizacin de
la Seguridad
Administracin de
Clasificacin y
la continuidad
integridad
Confidencialidad
Informacin
Gestin
de Incidentes
Seguridad
del personal
Desarrollo y
disponibilidad
mantenimiento
Control de accesos
Seguridad fsica
y ambiental
Gestin de
comunicaciones
y operaciones
11
PROCESO DE
CERTIFICACION
El Camino de la Certificacin.
Tiempo
Efectividad
Cumplimiento
con la Norma
Requerimientos de
Partes Interesadas
www.yanapti.com
El Camino de la Certificacin.
Certificado
Acuerdo de
Confidencialidad
Pre-Estudio/
Implementacin
Implementadores
ISMS
Certificado
ISMS
PreAuditora
Auditora Inicial
Seguimiento
Auditoras
Peridicas
Auditores
Creacin de Valor
www.yanapti.com
Paso 1
Presentacin del
reporte de Revisin
Documental
Evaluacin Tcnica
Inicial
Paso 2
Presentacin del el
reporte del Paso 1
Implementacin de
ISMS para ser
evaluado
Validacin de la
conformidad con los
requerimientos
Resultados
Reporte
Resultado
Reporte
Non-conformidades, a
ser cerradas antes que
el Paso 2 inicie
Resultado
Reporte
No-Conformidades,
deben cerrarse previo
a la emisin del
certificado
Recomendacin para la
Certificacin
www.yanapti.com
Metodologa de Auditora.
Los auditores verifican que el SGSI
Sea EFECTIVO
www.yanapti.com
El auditor verifica:
Como la implementacin de los
controles y objetivos estan conformes
dentro de la organizacin
La selecciones realizadas
El auditor evala:
El Anlisis de Riesgos
El Nivel de Seguridad
Muestreo y juicio objetivo
www.yanapti.com
El auditor verifica:
Compromiso Gerencial.
Que la poltica de seguridad
sea conocida.
Cumplimiento.
- Provee direccin
- Demuestra
compromiso
Registros disponibles?
Anlisis de Riesgo
Plan de Continuidad del Negocio
Poltica
Declaracin de Aplicabilidad SoA
Adecuados y
relevantes?
Conocidos y
Probados?
Comunicados?
www.yanapti.com
Registros disponibles?
Seguridad en las descripciones de Puestos y recursos
de la Direccin
Capacitacin a usuarios
Control de Virus
Proteccin de acciones y registros importantes
Proteccin de Datos
www.yanapti.com
Registros Disponibles?
Revisiones Peridicas?
REVISIN GERENCIAL
Compromiso?
Recomendaciones de Mejora?
www.yanapti.com
CERTIFICACIN
Los certificados tienen una validez de 3 aos.
Se requieren auditoras de evaluacin, que van
desde los peridica de 6 hasta los 12 meses
despus de efectuada la primera auditora.
A partir de la publicacin del estndar ISO
27001, BS7799 queda anulado.
www.yanapti.com
METRICAS
www.yanapti.com
Conjunto de Mtricas
Proceso de Medicin
Medicion
del
Desempeo
Evaluacin
Independiente
Proceso de Anlisis
Proceso de medicin manual o
automtico. Incremental - PMI
Accin emergente
Plan de Accin
C, M o Largo Plazo
Modelo de Madurez
Mtricas de Gobierno
Mtricas de Gestin
Mtricas de Administracin
Mtricas Operativas
27
MONITOREO PREDICTIVO
29
www.yanapti.com
31
Gobierno
Corporativo
Gestin
Ejemplo de implementacion
33
Ejemplo de implementacin
Estratgica
Cuantitativa
Interpretativa
Efectiva (costo)
Verificable
Significativa
til
Indivisible
Clara
Repetible
Oportuna
Pertinente
Implementacin de mtricas
36
ESTRUCTURA JERARQUICA
37
38
AUDITORIA E
IMPLEMENTACIN DE PNP
www.yanapti.com
Ventajas PNPs
Fuente permanente y formal
Evitan discusiones subjetivas sobre aspectos
procedimentales
Aseguran la continuidad y coherencia de los
procedimientos
Permiten delegar funciones
Limitaciones PNPs
De redaccin
De costo en su produccin y mantenimiento
De actualizacin y efectividad
De alcance formal dejando aspectos informales
pero importantes
De contenido: Sintetizados en exceso pierden
su utilidad. Abundantes en detalles son
complicados de usar
Elaboracin de PNPs
Recopilacin de informacin
Investigacin documental, observacin, cuestionario
y entrevista.
Procesamiento de informacin
Borrador esquemtico, definicin de forma,
uniformidad y consenso de criterios (verbos, tiempos,
persona)
Datos dinmicos en anexos
Redaccin de borrador
Lenguaje, estilo y tiempo a insumir
Elaboracin de PNPs
Formato y Composicin
Numeracin de pginas: correlativo, por secciones,
por documentos
Composicin: mrgenes, sangras, espacios
Encabezado y pie de pagina
Hoja de revisin y aprobacin
Recomendaciones
Revisin de estndares de referencia
Familia 27000
Recomendaciones
El proyecto de PNPs:
Alcance, definicin, responsabilidades, equipo del
proyecto, revisores, plazos
Difusin al negocio
Islas de Poder y zonas grises
RECOMENDACIONES
La norma o reglamento NO recomienda, sino
impone
Se escribe en 3era persona
No hay ETC.
www.yanapti.com
Cartula
Control de Revisin
Propiedad intelectual
ADVERTENCIA!
MATERIAL REGISTRADO COMO PROPIEDAD
LITERARIA
NO COPIE SIN EL PERMISO CORRESPONDIENTE
Se considera este material clasificado como de uso
RESERVADO, debiendo esto significar que no puede
ser de conocimiento por personas ajenas a la
institucin, en forma total o parcial; la violacin de esta
condicin significar una infraccin al Reglamento
Interno en caso de empleados de YANAPTI y una
violacin Legal de Propiedad Intelectual si son personas
ajenas a la Entidad, dejando a discrecin y derecho del
Negocio la prosecucin de las correspondientes
acciones legales para cubrir todos los daos causados.
Encabezado
NORMA
Emisin
Plan de Contingencias
Pgina
4 de 10
Vigencia :
Modificado :
Aprobado por:
Pie de Pgina
Elabor:
Versin 1.0
Revis:
Clasificacin Reservada
Autoriz:
Pgina 2 de 22
Normas usuarias
Normas de D&M
Normas de Produccion
Normas de Gestion
Mesa de
Ayuda
Uso de PC
Mantenimi
ento
Desarrollo
Cambios
Respaldos
Proyectos
Riesgos
Correo
electrnico
Antivirus
Seguridad
Ambientes
Cintotecas
Seguridad
de Redes
Contratos
Planificacin
estratgica
Contrase
as
Intranet /
Internet
Calidad
CPD
Operacion
es
SLA
Licencias
Superusua
rios
Telkey
Adquisicin
Presupuestos
Problemas
incidentes
Dispositivos
Uso de la
Red
Guas usuarias
Guas de D&M
Guas de Produccin
Guas de Gestin
Mesa de
Ayuda
Uso de PC
Mantenimi
ento
Desarrollo
Cambios
Respaldos
Proyectos
Riesgos
Correo
electrnico
Antivirus
Seguridad
Ambientes
Cintotecas
Seguridad
de Redes
Contratos
Planificacin
estratgica
Contrase
as
Intranet /
Internet
Calidad
CPD
Operacion
es
SLA
Licencias
Superusua
rios
Telkey
Adquisicin
Presupuestos
Problemas
incidentes
Dispositivos
Uso de la
Red
GESTION DE RIESGOS
www.yanapti.com
GESTIN DE RIESGOS
GESTION DE RIESGOS
Mitigacin
Anlisis cualitativo y cuantitativo
Matriz de Riesgo. Priorizacion
Evaluacin
Amenazas externas e internas. Causa Efecto.
Categorizacin de Riesgos
Identificacin
Apetito al riesgo
Filosofa de Direccin
Contexto
56
POLTICA DE SEGURIDAD
Aspectos de Forma
Aspectos de Fondo
Difusin
Revisin
Propietario
www.yanapti.com
Normas usuarias
Normas de D&M
Normas de Produccion
Normas de Gestion
Mesa de
Ayuda
Uso de PC
Mantenimi
ento
Desarrollo
Cambios
Respaldos
Proyectos
Riesgos
Correo
electrnico
Antivirus
Seguridad
Ambientes
Cintotecas
Seguridad
de Redes
Contratos
Planificacin
estratgica
Contrase
as
Intranet /
Internet
Calidad
CPD
Operacion
es
SLA
Licencias
Superusua
rios
Telkey
Adquisicin
Presupuestos
Problemas
incidentes
Dispositivos
Uso de la
Red
Estructura de procedimientos
Cliente
Mesa de Ayuda
D&M
PRODUCCION
GERENCIA TI
NEGOCIO
Cambios?
Inicio
Si
Atencin de
Solicitud
PROAMA
Comunicacin
del Cliente
Cambios en
Produccin
PROACP
Registro de
la Solicitud
Confirmacin?
Si
Problemas
e Incidentes
PROAPI
Seguridad?
Solucionado?
Plan de
Continuidad del
Negocio
NEGPCN
Si
A
A
Problemas e
Incidentes?
Si
Registro de
la Solicitud
Seguridad
PROASI
Si
Contratos?
Final
Tipo de Solicitud?
Critica
Telecom y
Redes?
B
Normal - A Produccion
No
Desarrollo
mantenimiento
PROADM
Contratos
PROACT
Si
Requiere
Coordinacin?
Normal - Corresponde a DM
Si
Telecom y
Redes
PROATR
Plan de
Contingencias?
Soporte
Tecnico?
Si
Si
Soporte
Tcnico
PROAST
Plan de
Contingencia
PROAPC
Concluido?
Produccin?
Si
Implementa
cin
PROADM
Si
Produccin
PROAPD
Plan de
Continuidad?
Si
Guas usuarias
Guas de D&M
Guas de Produccin
Guas de Gestin
Mesa de
Ayuda
Uso de PC
Mantenimi
ento
Desarrollo
Cambios
Respaldos
Proyectos
Riesgos
Correo
electrnico
Antivirus
Seguridad
Ambientes
Cintotecas
Seguridad
de Redes
Contratos
Planificacin
estratgica
Contrase
as
Intranet /
Internet
Calidad
CPD
Operacion
es
SLA
Licencias
Superusua
rios
Telkey
Adquisicin
Presupuestos
Problemas
incidentes
Dispositivos
Uso de la
Red
ESTRUCTURA DE PNPS
Dominio:
Comprende las principales reas, unidades,
funciones o procesos de la unidad de sistemas
Proceso:
Comprende las principales actividades en cada
dominio
Objetivo de Control
Comprende los subprocesos
Tarea
Actividades puntuales
Ejemplo 1
Dominio:
Administracin del Procesamiento de Datos
Proceso:
Backups y restauracion
Objetivo de Control
Inventario de medios
Tarea
Conteo fsico
Evaluacin del estado
Ejemplo 2
Dominio:
Administracin del Desarrollo y Mantenimiento
Proceso:
Pruebas
Objetivo de Control
Pistas de auditoria
Tarea
Registro de nombre, ip, accin
Ejemplo 3
Dominio:
Administracin del Soporte Tcnico
Proceso:
Alta de Dispositivos
Objetivo de Control
Prueba de Funcionamiento
Tarea
Encendido
DECLARACION DE APLICABILIDAD
www.yanapti.com
DECLARACION DE
APLICABILIDAD
www.yanapti.com
INVENTARIO DE ACTIVOS
Datos Generales
Componentes de Hardware y Software
Con costo de activacin
Con ficha de riesgos
Con ficha de mantenimientos
Costo del mantenimiento
ISO 19011
E1:POLTICA DE SEGURIDAD
POLTICA DE SEGURIDAD DE LA
INFORMACIN
1.1 Documento de la poltica de seguridad de
Informacin
1.2 Revisin de la poltica de seguridad de la
informacin
www.yanapti.com
70
Practica N 1
Para el siguiente elemento defina preguntas
que puede hacer para evaluar el cumplimiento
de los controles.
Preguntas abiertas
Preguntas cerradas
Preguntas sugestivas
www.yanapti.com
1 ORGANIZACIN INTERNA
1.1 Compromiso de la Direccin con la seguridad de la informacin
1.2 Coordinacin de seguridad de Informacin
1.3 Asignacin de responsabilidades de seguridad de la informacin
1.4 Proceso de autorizacin para instalaciones de informtica
1.5 Acuerdos de confidencialidad
1.6 Contacto con autoridades
1.7 Contacto con grupos de inters especiales
1.8 Revisin independiente de seguridad de la informacin
2 TERCERAS PARTES
2.1 Identificacin de riesgos relacionados con terceras partes
2.2 Direccin de seguridad en contratos con clientes
2.3 Direccin de seguridad en acuerdos de terceros
72
Practica 2
Para el siguiente elemento defina beneficios de
tener los controles sugeridos por la norma.
Asuma que su entrevistado considera que este
elemento no es muy necesario y ha adoptado
una posicin negativa
www.yanapti.com
74
Practica 3
Usted sabe por fuentes de terceros que la
empresa ha tenido un problema de
desvinculacin de un funcionario hace 2 meses.
Durante la entrevista trate de llegar a ese punto
de manera indirecta.
Su entrevistado tratara de negarlo o
minimizarlo.
www.yanapti.com
76
Practica 4
Para el siguiente punto, se ha definido efectuar
una visita por las instalaciones del entrevistado
Elabore una lista de puntos que deber prestar
especial atencin durante su recorrido.
Recuerde que son visitas guiadas
www.yanapti.com
1 REAS SEGURAS
1.1 Permetro de seguridad fsica
1.2 Controles de entrada fsica
1.3 Asegurando oficinas, espacios, e instalaciones
1.4 Proteccin contra amenazas externas y ambientales
1.5 Funcionamiento en reas seguras
1.6 Acceso pblico, entrega, y reas de carga y descarga
2 SEGURIDAD DE EQUIPO
2.1 Ubicacin de equipo y proteccin
2.2 Utilidades de soporte
2.3 Seguridad del cableado
2.4 Mantenimiento de equipo
2.5 Seguridad de equipo fuera de ambientes
2.6 Disposicin segura o reutilizacin de equipo
2.7 Retiro de bienes
78
Practica 5
Tomar un control para desarrollarlo sugiriendo
ejemplos de riesgos en:
www.yanapti.com
80
9 SERVICIOS DE COMERCIO
ELECTRNICOS
9.1 Comercio electrnico
9.2 Transacciones En lnea
9.3 Informacin pblicamente
disponible
10 SUPERVISIN
10.1 logs de auditora
10.2 Empleo de sistema de
supervisin
10.3 Proteccin de informacin de
LOGS
10.4 Administrador y LOGS de
operador
10.5 Logs de error
10.6 Sincronizacin de reloj
81
Practica
Plantee diferentes riesgos y amenazas ante:
www.yanapti.com
83
E7:CONTROL DE ACCESOS
V2005
5 Control de acceso al sistema operativo
5.1 Procedimientos de conexin de terminales
5.2 Identificacin y autenticacin de los usuarios
5.3 Sistema de administracin de contraseas
5.4 Uso de utilitarios de sistema
5.5 Desconexin de terminales por tiempo muerto
5.6 Limitacin del horario de conexin
6 Control de acceso a las aplicaciones
6.1 Restriccin del acceso a la informacin
6.2 Aislamiento de sistemas sensibles
7 Computacin mvil y trabajo remoto
7.1 Computacin mvil
7.2 Trabajo remoto
84
Practica
Para el siguiente punto elabore la evaluacin de
brechas y riesgos. En funcin de los resultados
obtenidos de mayor riesgo, elabore
recomendaciones para minimizar la brecha.
Utilice las recomendaciones de la ISO para
formularlas.
www.yanapti.com
86
87
Practica
Para el elemento de incidentes, relate un
incidente de seguridad que tenga en la
memoria (prepare el mismo) e ilustre cada
punto de la norma
Incidente de virus
Incidente de intrusin / extrusin
Incidente de interrupcin de telecomunicaciones
www.yanapti.com
89
Practica
Para el elemento Continuidad del Negocio,
ilustre cada punto asumiendo la repeticin de
hechos pasados notables
Octubre Negro (La Paz)
Septiembre Negro (Santa Cruz)
Guerra del agua (Cbba)
www.yanapti.com
1 Aspectos de la administracin de la
91
Practica
Ilustre el siguiente punto relatando el riesgo de:
No tener registros de Propiedad Intelectual en el
software desarrollado
Tener problemas de Propiedad intelectual por el uso
de material propietario: software, imgenes, videos o
msica.
Usar en la empresa servicios webmail y mensajeria
www.yanapti.com
E11:CUMPLIMIENTO V2005
1 Cumplimiento de requisitos legales
93
Practica
En funcin del caso de practica, determine:
Que elementos deben tomarse en cuenta
Que Objetivos de Control son mas apropiados dentro
cada elemento.
www.yanapti.com
GRACIAS!!!
www.yanapti.com