You are on page 1of 55

Fundamentos de la Norma ISO

27001 para la Gestin de la


Seguridad de la Informacin
Mdulo 3 Visin General del SGSI y la
Norma ISO 27001

Expositor: Vctor Reyna Vargas


Ingeniero de Sistemas
vreynav@gmail.com
2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

Agenda

Introduccin de Mike al SGSI e ISO 27001.


El SGSI y la ISO 27001.
Estructura de la ISO 27001.
Visin general de una implementacin ISO 27001.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

Mike y los primeros pasos(1)


Bueno, empezar a
trabajar en la hoja de
ruta.

Deseara hablar con


alguien que haya
hecho esto antes.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

Mike y los primeros pasos(2)


Oh, oh!!!
Hay alguna fiesta de
disfraces hoy en la
oficina?

Como lo sabesy
quin eres?

Ests bromeando? Y
que tipo de mal sueo
es este?

Creo que s.
Definitivamente puedo
utilizar alguna ayuda.

Ok, creo que asumir


el riesgoquien sea
que fueres.

Hola Mike.

Ocupado con el
problema de
seguridad de la
informacin?

Soy SECUREMAN y
ayudo a las personas
con la gestin de la
seguridad de la
informacin.

Tmalo como quieras


Mike pero s que
tienes un duro reto
con el despliegue de
la seguridad de la
informaciny quiero
ayudarte. Ests listo?
Te voy a llevar, paso
por paso, a travs de
la implementacin
completa de un
SGSI.
2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

SECUREMAN y lo suyo(1)
Por favor, me puedes
explicar qu es un
SGSI?

Mike, la respuesta a
tu problema es la
creacin de un SGSI.

Claro!!! Escuchar
cuidadosamente.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

SECUREMAN y lo suyo(2)

Un Sistema de Gestin de la
Seguridad de la Informacin es un
marco de trabajo para evaluar
continuamente los riesgos de
seguridad de la informacin y tomar
acciones razonables para protegerla.

Los expertos en Seguridad muchas


veces se refieren a un Sistema de
Gestin de la Seguridad de la
Informacin como SGSI.
Tal como otros buenos sistemas de
gestin, un SGSI es un proceso
continuo de por eso debe repetirse
regularmente.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

Detallando ms
Gracias. Por favor me
podras decir en qu
consiste un SGSI?

Wow! Suena
exactamente a lo que
necesito.

Pero por qu dices


que un SGSI es un
proceso continuo?

Cierto. Qu tonto que


soy. Debera saberlo.

Buena pregunta. Un SGSI consiste de


una serie de procesos los que te
permiten:
1. Identificar la informacin a ser
protegida.
2. Determinar el valor de la
informacin a ser protegida.
3. Identificar los riesgos de seguridad
de la informacin.
4. Determinar las soluciones para
reducir el riesgo.
5. Priorizar las soluciones a ser
implementadas basndose en
tiempo, dinero y recursos que se
posea.
6. Y lo ms importante, poder repetir
este proceso.
As es. Necesitas un SGSI para
solucionar el problema de la gestin de
la seguridad de tu informacin.
Ya pues Mike! Tu sabes muy bien que
todos los das aparecen nuevas
amenazas para la seguridad. Por eso
debes evaluar continuamente los
riesgos de tu informacin.
2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

Y an ms
Entonces, existe un libro
o documento que pueda
comprar para entender
los diferentes procesos
en un SGSI e
implementarlo?

Buenohay algo
mucho mejor Mike.
Existes estndares
internacionalmente
aceptados para un
SGSI.

Como cules..?

Bueno, el ms popular
y ampliamente utilizado
es la norma ISO
270001.
La ISO 27001?
S. De hecho, te
ensear a disear e
implementar un SGSI
utilizando la ISO
27001.

Wow. Hay mucha


informacin acerca de
un SGSI.

Pero, para expandir y


ampliar tu
conocimiento, tambin
puedes ver el ISM3
(Information Security
Management Maturity
Model) o COBIT.
As es y ahora
empecemos a
2012 VRV (Contacto: vreynav@gmail.com)
enfocarnos
en la 8ISO
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del
autor.
27001.

Agenda

Introduccin de Mike al SGSI e ISO 27001.


El SGSI y la ISO 27001.
Estructura de la ISO 27001.
Visin general de una implementacin ISO 27001.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

Definicin de un SGSI

P
Un SGSI es un marco de
trabajo de gestin para
identificar informacin
importante, evaluar
continuamente los riesgos de
seguridad a dicha informacin
importante y tomar acciones
razonables para protegerla.

SGSI

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

10

El SGSI como un proceso continuo

y que permanece durante toda la vida del negocio.


Un buen sistema de gestin siempre se mejora as mismo.
El espacio ms grande en el mundo es el espacio para mejorar.
La mejora es un proceso sin trmino.
Un SGSI siempre trata de mejorar mediante la reduccin de riesgos
en la informacin importante del negocio.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

11

Recuerdano existe la Seguridad al 100%

Es imposible lograr una seguridad de 100%.


Lo que se debe hacer es reducir continuamente la brecha entre el
100% de perfeccin (o el 100% de seguridad) y el nivel actual de
seguridad proporcionado por el SGSI.
Por ejemplo, supongamos que tu SGSI es 99% perfectote
esforzars por estar a 99.9%...y luego en 99.99%...y luego en
99.999%...y as ser hasta que reduzcas la brecha entre la
perfeccin absoluta y el nivel actual en el que ests.
Con el fin de lograr la perfeccin, se mejorar y repetir el ciclo del
SGSI.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

12

Pasos de un SGSIEl modelo PHVA

P Planificar.

H Hacer.

Implementar el plan de tratamiento de riesgos.

V Verificar.

Identificar la informacin a proteger.


Analizar los riesgos de la informacin.
Definir un plan de tratamiento de riesgos.

Revisar y evaluar el rendimiento del SGSI mediante la revisin de la efectividad


del plan de tratamiento de riesgos.

A Actuar.

Hacer las correcciones necesarias.


Continuar con el proceso.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

13

Ms del modelo PHVA

El modelo PHVA es un modelo


internacionalmente aceptado y
utilizado por muchos
estndares y sistemas de
gestin conocidos.
El modelo PHVA tambin es
llamado el Ciclo de Deming.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

14

Qu hay de la ISO 27001?

La ISO 27001 es un estndar internacional que proporciona un


modelo para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar un SGSI.
Es decir, utilizars la ISO 27001 para crear y gestionar tu SGSI.
Es una referencia o una herramienta o una gua para tu SGSI.
El nombre completo del estndar es ISO / IEC 27001 : 2005.
La ISO 27001 se adhiere al modelo PHVA y es probablemente el
estndar ms utilizado para la implementacin de un SGSI a nivel
mundial.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

15

Por qu es popular la ISO 27001?

Es un estndar certificable.
Una organizacin puede
implementar un SGSI conforme
con la ISO 27001 y certificarse a
travs de un Cuerpo de
Certificacin Acreditado.
La certificacin ISO 27001
mejorar el perfil y la imagen de
una organizacin.
La certificacin ISO 27001
proporciona confianza a los
clientes ya que se protege la
informacin valiosa del negocio.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

16

Historia y evaluacin de la ISO 27001

1992 El Departamento de Comercio e Industria del Reino Unido


publica el Cdigo de Prctica para la Gestin de la Seguridad de la
Informacin.
1995 Modificado y re-publicado por el Instituto de Estndares
Britnicos como la BS7799.
1999 1ra revisin importante de la BS7799.
2000 La BS7799 se transforma en la ISO 17799, la cual es un cdigo
de prctica.
2002 Se publica la BS7799-2. Era una Especificacin para el Sistema
de Gestin de Seguridad de la Informacin y se poda certificar.
2005 Se publica una nueva versin de la ISO 17799.
2005 La BS7799-2 se transforma en la ISO 27001.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

17

La familia de estndares de la ISO 27000


Estndar

Descripcin

ISO/IEC 27000

Proporciona una visin global e introductoria a los


estndares de la ISO27K.

ISO/IEC 27001:2005

Proporciona los requerimientos (especificacin) de


un Sistema de Gestin de Seguridad de la
Informacin.

ISO/IEC 27002:2005

Proporciona el cdigo de prctica para la Gestin de


la Seguridad de la Informacin, antes conocida como
ISO 17799.

ISO/IEC 27003

Proporciona una gua para la implementacin de la


ISO/IEC 27001.

ISO/IEC 27004

Proporciona un estndar para medir la Gestin de la


Seguridad de la Informacin.

ISO/IEC 27005:2008

Proporciona un estndar para la Gestin de Riesgos


de Seguridad de la Informacin.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

18

ISO 27001 SGSI - PHVA

P
El proceso de Implementacin
de la ISO 27001 se adhiere a
los pasos para la
implementacin de un SGSI tal
como lo discutimos antes.

SGSI

Existen guas bien definidas


para cada fase PHVA.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

19

La fase Planificar Establecer el SGSI


1.
2.
3.
4.
5.
6.

7.

8.

Definir el Alcance del SGSI.


Definir la Poltica del SGSI.
Definir el Enfoque de Evaluacin de Riesgos de la organizacin.
Identificar los riesgos.
Analizar las opciones para tratar los riesgos.
Seleccionar los controles y los objetivos de control para el
tratamiento de los riesgos.
Obtener de la Alta Gerencia la aprobacin y la autorizacin para el
tratamiento de riesgos y riesgos residuales.
Preparar la Declaracin de Aplicabilidad.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

20

La fase Hacer Implementar y operar el SGSI


1.
2.
3.
4.
5.
6.
7.

Definir e implementar un Plan de Tratamiento de Riesgos.


Seleccionar los controles apropiados.
Definir cmo medir la efectividad de los controles.
Implementar los programas de concientizacin y entrenamiento.
Gestionar la operacin del SGSI.
Gestionar los recursos para la operacin del SGSI.
Implementar la deteccin de incidentes de seguridad y los
procedimientos de respuesta.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

21

La fase Verificar Monitorear y revisar el SGSI


1.
2.
3.
4.
5.
6.

7.

Ejecutar el monitoreo y revisar los procedimientos.


Medir la efectividad de los controles.
Revisar las evaluaciones de riesgos y revisar los riesgos residuales.
Conducir auditorias internas al SGSI.
Comprometer a la Alta Gerencia a la revisin del SGSI.
Actualizar los planes de seguridad basndose en las revisiones y
hallazgos.
Registrar las acciones y eventos que podran tener un impacto en el
rendimiento del SGSI.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

22

La fase Actuar Mantener y mejorar el SGSI


1.
2.
3.
4.

Implementar las mejoras identificadas del SGSI.


Tomar las acciones correctivas y preventivas apropiadas.
Comunicar las acciones y la mejoras a todas las partes relevantes.
Asegurar que las mejoras logren los objetivos previstos.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

23

Agenda

Introduccin de Mike al SGSI e ISO 27001.


El SGSI y la ISO 27001.
Estructura de la ISO 27001.
Visin general de una implementacin ISO 27001.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

24

Divide y vencers

Para propsitos de aprendizajes, dividamos la ISO 27001 en dos


secciones Seccin 1 y Seccin 2.
La Seccin 1 consiste de un conjunto de requerimientos obligatorios
que explican cmo construir el SGSI con el Modelo PHVA. En el
estndar ISO 27001 estas son las Partes 4, 5, 6, 7 y 8.
La Seccin 2 consiste de los Objetivos de Control y los Controles. En
el estndar ISO 27001 este es el Anexo A.

Control. Es esencialmente una salvaguarda de seguridad de la informacin. Por


ejemplo: un antivirus, un programa de entrenamiento en Seguridad de la
Informacin o un proceso de Gestin de Cambios.
Objetivo de Control. Especifica el fin del uso de un control o conjunto de controles.
La ISO 27001 proporciona un conjunto de 133 controles que puedes utilizar para
construir tu SGSI.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

25

Importante!!!

Existe una relacin muy simple entre la Seccin 1 y la Seccin 2.


La Seccin 1 nos dice cmo construir el SGSI basndonos en el
modelo PHVA.
La Seccin 2 nos proporciona un conjunto de controles que podemos
utilizar para construir el SGSI.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

26

Seccin 1 Requerimientos Obligatorios

Planificar
Seccin 4

Actuar
Seccin 8

Hacer
Seccin 5

Verificar
Seccin 6 y 7

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

27

Seccin 2 Objetivos de Control y Controles

La Seccin 2 proporciona una


lista de Controles y Objetivos
de Control que pueden ser
utilizados para construir un
SGSI, segn lo especificado en
la Seccin 1.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

28

Ejemplo 1 Relacin entre la Seccin 1 y Seccin 2

Seccin 1: Parte 4.2 del


estndar
Definir una poltica de
SGSI en trminos de
las caractersticas del
negocio,

se implementa
con

Seccin 2: Anexo A
A.5.1 del estndar
Documento de poltica
de Seguridad de la
Informacin.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

29

Ejemplo 2 Relacin entre la Seccin 1 y Seccin 2

Seccin 1: Parte 5.1 del


estndar
Compromiso de la Alta
Gerencia

se implementa
con

Seccin 2: Anexo A
A.6.1.1 del estndar
Compromiso de la Alta
Gerencia a la
Seguridad de la
Informacin

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

30

Importante

La Seccin 1 es
obligatoria para
obtener la
Certificacin ISO
27001

La Seccin 2,
algunos de los
controles son
obligatorios, otros no

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

31

No todos los controles aplicarn en tu organizacin


No hay
disponibilidad de
tiempo, dinero y
recursos

Hay disponibilidad
de arreglos
alternativos

La Alta Gerencia de
la organizacin ha
decido aceptar el
riesgo

Factores geogrficos
y otras razones
vlidas o
justiticables

Criterios
para evitar
ciertos
controles

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

32

En resumen

Existen 133 Controles en la ISO 27001.


Estn divididos en 11 dominios.
Veremos ms en los captulos de Anlisis de Riesgos y Tratamiento
de Riesgos.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

33

Agenda

Introduccin de Mike al SGSI e ISO 27001.


El SGSI y la ISO 27001.
Estructura de la ISO 27001.
Visin general de una implementacin ISO 27001.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

34

Implementacin de un SGSI PHVA en 8 pasos

1.
2.

3.
4.

5.
6.

7.
8.

Anlisis de Brechas (opcional).


Foro de Gestin de la
Seguridad de la Informacin.
Alcance del SGSI.
Activos identificados y
clasificados.
Anlisis de Riesgos.
Gestin de Riesgos.
Auditoria Internas.
Auditoria para la Certificacin.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

35

Grficamente

Analizar las
brechas

Definir el
alcance del
SGSI

Identificar y
clasificar los
activos

Realizar auditoria
internas

Analizar los
riesgos

Gestionar los
riesgos

Realizar auditoria
para Certificacin

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

36

Paso 1 Analizar las brechas

Un Anlisis de Brechas es una examinacin de las prcticas actuales


de Gestin de la Seguridad de la Informacin de tu organizacin y
una comparacin contra los controles de la ISO 27001.
Beneficios:

Aclara la idea del nivel de seguridad de la informacin actual de la organizacin y lo


que se necesita para ser conformes con la ISO 27001.
Muestra los controles de seguridad de la informacin pobres o la falta de ellos.
El posible impacto de estos controles de seguridad pobres o la falta de ellos.
Cunto costar (en trminos de dinero, tiempo y personas) implementar un SGSI
con los controles necesarios.

Plan de Accin:

Priorizar las debilidades de seguridad de la informacin para ser corregidas en


primer lugar.
Utilizar la lista de priorizacin como una entrada para el resto de la
implementacin del SGSI.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

37

Paso 2 Foro de Gestin de la Seguridad de la Informacin

Definicin: Un equipo de gestin de alto nivel que protege la


implementacin, el mantenimiento y la mejora del SGSI.
Otros nombres:

Comit de Revisin de la Seguridad de la Informacin.


Equipo de Gestin de la Seguridad de la Informacin.

El FGSI es responsable de la revisin y la aprobacin de diversas


actividades del SGSI.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

38

Organizacin del Foro

Presidente del
FGSI

Oficial Jefe de
Seguridad de
Informacin (CISO)

Representante de
la Funcin del
Negocio 1

Representante de
la Funcin del
Negocio 2

Representante del
equipo de Auditoria

Representante de
la Funcin del
Negocio n

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

39

Paso 3 Alcance del SGSI

La definicin del alcance es el paso en el que se especificar


exactamente lo que ser protegido por el SGSI.
Esto usualmente incluye las funciones del negocio, los activos de
informacin en las funciones del negocio y la ubicacin geogrfica
bajo la jurisdiccin del programa del SGSI.
Se tiene la libertad de definir el alcance que mejor le convenga a tu
organizacin.

Puedes incluir a una funcin del negocio si es muy importante.


Puedes excluir a una funcin del negocio si no es importante o si tiene una razn
vlida (falta de recursos, etc).

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

40

Ejemplo Enunciado del Alcance

El Sistema de Gestin de la Seguridad de la Informacin se


despliega para proteger la informacin del negocio utilizada
por las funciones de negocios Finanzas, Recursos
Humanos, Investigacin y Desarrollo, Ventas y Marketing;
las cuales pertenecen a ACME Inc., #1, North Block, Race
Course Drive, New Delhi, India.

Nota: Un alcance siempre est ligado a una localizacin


geogrfica.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

41

Paso 4 Activos identificados y clasificados

Identificar todos los activos de informacin que estn bajo el alcance


de, listarlos y clasificarlos basndose en su valor.
Activo de Informacin: Informacin que tiene valor para una
organizacin.
Ejemplos:

Informacin (por s misma): cdigo fuente.


Componentes que ingresan informacin: teclados, escner.
Componentes que almacenan informacin: disco duro, cinta de seguridad.
Componentes que procesan informacin: computadoras, aplicaciones de software,
firewalls.
Componentes que transmiten informacin: cables de red, wireless, bluetooth.
Componentes que entregan/generan informacin: monitores, teclados.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

42

Tipos de activos de Informacin

Personas

Papel

Electrnico

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

43

Principales sub pasos

Identificacin de Activos:
Listar todos los activos de
informacin importantes en
la organizacin de acuerdo
al alcance.
Clasificacin de Activos:

Clasificar los activos en


trminos de:
Confidencialidad
Integridad
Disponibilidad

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

44

Ejemplo Clasificacin de Activos

Confidencialidad Cun
sensible/secreta es la informacin en
esta laptop? Cuntas personas estn
autorizadas a VER esta informacin?
Integridad Cuntas personas estn
autorizadas a CAMBIAR esta
informacin.
Disponibilidad Cunta es la
duracin de TIEMPO que la laptop
debe estar disponible para ser
accedida por las personas
autorizadas?

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

45

Paso 5 Anlisis de Riesgos

El Anlisis de Riesgos de Seguridad de la Informacin es el proceso


que determina la probabilidad de que un activo de informacin est
comprometido (robado, destruido, corrupto, etc).
Es uno de los pasos ms significativos en la implementacin de un
SGSI.
Terminologa en Anlisis de Riesgos:

Activo de Informacin. Un componente de informacin de valor. Por ejemplo: una


computadora utilizada para almacenar la informacin del negocio.
Amenaza. Algo que puede comprometer el activo de informacin. Por ejemplo:
virus.
Vulnerabilidad. Una debilidad que puede ser explotada por la Amenaza. Por
ejemplo: ausencia de una actualizacin apropiada de un Anti-Virus.
Probabilidad. Posibilidad de que la Amenaza explote la Vulnerabilidad. Por ejemplo:
una vez cada dos aos.

El Riesgo se mide mediante la asignacin de un valor numrico


cualitativo a estos 4 componentes.
2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

46

Paso 6 Gestin de Riesgos

La Gestin de Riesgos de Seguridad de la Informacin es el proceso


que despliega contramedidas (controles) apropiados para reducir los
riesgos de seguridad de la informacin y proteger los activos de
informacin.
Las contramedidas (controles) incluyen:

Tcnicas. Firewalls, encriptacin, contraseas, etc.


Fsicas. Cerraduras y llaves, salidas de emergencia, etc.
Procedimentales/Legales. Leyes, reglas, polticas, guas, etc.
Conocimiento. Entrenamiento.

La ISO 27001 nos da un lista comprensible de 133 controles para


mitigar los Riesgos de Seguridad de la Informacin. Estos controles
cubren las contramedidas tcnicas, fsicas, procedimentales/legales
as como las de conocimiento.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

47

Paso 7 Auditoria Interna

La Auditoria Interna es una inspeccin pre-certificacin del SGSI


realizada por la misma organizacin.
Esencialmente es una serie de auditorias realizadas por la
organizacin antes de la auditoria de Certificacin.
El propsito de una Auditoria Interna es revisar la implementacin
total del SGSI y la efectividad de la misma.
La Auditoria Interna debera realizarse de la misma forma que la
Auditoria de Certificacin.
Se debe tener listo lo siguiente:

Anlisis de Brechas. Informes del anlisis de brechas.


Alcance. Enunciado del alcance.
Activos identificados y clasificados. Lista de activos con la clasificacin.
Anlisis de Riesgos. Informes del anlisis de riesgos.
Gestin de Riesgos. Pruebas lista de controles, polticas, evidencia y controles
fsicos, prueba de revisiones como actas de reuniones.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

48

Beneficios de la Auditoria Interna

Conocer si la organizacin est preparada para la certificacin o no.


Conocer cunto ha mejorado el SGSI.
Conocer los cambios de ltimo minuto a realizar.
Estar ms confiados.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

49

Paso 8 Auditoria para la Certificacin

La Auditoria para la Certificacin es el proceso por el cual un Cuerpo


de Certificacin externo e independiente revisa el SGSI para evaluar
la compatibilidad con la ISO 27001.
Si se encuentra que el SGSI es compatible, el Cuerpo de Certificacin
recomienda al Cuerpo de Acreditacin que firme el certificado ISO
27001 para la organizacin.
Trminos y terminologas:

Cuerpo de Certificacin: La organizacin que ejecuta la auditoria para la


certificacin.
Cuerpo de Acreditacin: La organizacin que firma el certificado ISO 27001 basado
en las recomendaciones del Cuerpo de Certificacin.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

50

Pasos de la Auditoria para la Certificacin

Etapa 1. Revisin de todos los informes, polticas, alcance, etc y una


auditoria inicial del SGSI. Se enva una lista inicial de hallazgos y
correcciones recomendadas.
Etapa 2. Verificacin de las correcciones de los hallazgos en la Etapa
1, una segunda ronda de auditorias del SGSI y, si es vlido, se
recomienda a la organizacin para la certificacin.
La brecha entre ambas etapas es de uno a dos meses.
Los documentos que deben estar listos son similares a los de la
Auditoria Interna:

Anlisis de Brechas. Informes del anlisis de brechas.


Alcance. Enunciado del alcance.
Activos identificados y clasificados. Lista de activos con la clasificacin.
Anlisis de Riesgos. Informes del anlisis de riesgos.
Gestin de Riesgos. Pruebas lista de controles, polticas, evidencia y controles
fsicos, prueba de revisiones como actas de reuniones.
Enunciado de Aplicabilidad.
2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

51

Enunciado de Aplicabilidad

Lista de todos los 133 Controles de la ISO 27001.


Indicacin de s se ha utilizado un control.
En caso afirmativo, por qu? En caso negativo, por qu no?
Evidencia de su uso.
Control

Estado

Justificacin

Evidencia

A.5.1.1 Documento
de Poltica de
Seguridad de la
Informacin

Si

Para establecer la hoja


de ruta del SGSI de la
organizacin.

Documento de poltica
de seguridad de la
informacin publicada en
la organizacin.

A.10.9.1 Comercio
Electrnico

No

La organizacin no tiene
ninguna transaccin va
comercio electrnico.

No aplica.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

52

La Certificacin

Cuando se concluye exitosamente la Auditoria de Certificacin y


luego de la aprobacin del Cuerpo de Acreditacin, la organizacin
recibe un Certificado ISO 27001.

La Certificacin ISO 27001 es un


proceso continuo y la organizacin
debe someterse a 2 auditorias
adicionales en los siguientes 3 aos.
Luego de 3 aos, la organizacin
debe someterse a un proceso de recertificacin.

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

53

Taller 02: Visin General de la


Implementacin de un SGSI

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

54

Fin de la Presentacin

2012 VRV (Contacto: vreynav@gmail.com)


Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.

55