Академический Документы
Профессиональный Документы
Культура Документы
de Implementacin de
la ISO/IEC 27001:2013
Trabajo final de maestra
Sistemas de Gestin de seguridad
1
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
Resumen:
En el presente proyecto, se analiza una empresa Colombiana del sector
agropecuario con ms de 5000 empleados a nivel nacional. Se plantea
a implementacin de un sistema de gestin de seguridad de la
informacin basado en los requerimientos de la norma ISO/IEC
27001:2013 y la planeacin de la implementacin de los controles de la
ISO/IEC 27002:2013. La empresa solo tiene un oficial de seguridad
informtica y no cuenta con una estrategia de seguridad de la
informacin. Se realiza toda la propuesta de implementacin para
sustentar la necesidad de implantar un SGSI a corto plazo.
Absract
2
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
CONTENIDO
1. Introduccin .................................................................................................................................. 5
2. Contextualizacin ......................................................................................................................... 6
2.1. La Empresa ......................................................................................................................... 6
2.2. Alcance del Plan de Seguridad ........................................................................................... 9
3. Objetivos de Seguridad de la Informacin ................................................................................. 10
3.1. Objetivos generales ........................................................................................................... 10
3.2. Objetivos especficos......................................................................................................... 11
4. Anlisis diferencial ..................................................................................................................... 14
4.1. Anlisis GAP para ISO/IEC 27001 .................................................................................... 15
4.2. Anlisis GAP para ISO/IEC 27002:2013 ........................................................................... 17
5. Esquema documental ................................................................................................................ 19
5.1. Introduccin ....................................................................................................................... 19
5.2. Esquema documental ........................................................................................................ 19
Anexo Documental I. Polticas de Seguridad de la Informacin ................................................ 19
Anexo Documental II. Procedimiento de Auditoras Internas .................................................... 19
Anexo Documental III. Procedimiento de Gestin de Indicadores ............................................ 20
Anexo Documental IV. Procedimiento de Gestin de Roles y Responsabilidades ................... 20
Anexo Documental V. Procedimiento de Revisin por la Direccin .......................................... 20
Anexo Documental VI. Declaracin de Aplicabilidad ................................................................. 20
Anexo Documental VII. Metodologa de Anlisis de Riesgos .................................................... 20
6. Anlisis de riesgos ..................................................................................................................... 21
6.1. Inventario de activos.......................................................................................................... 21
6.2. Valoracin de los activos ................................................................................................... 23
6.3. Dimensiones de seguridad ................................................................................................ 23
6.4. Anlisis de amenazas ....................................................................................................... 24
6.5. Anllisis de Impacto Potencial ........................................................................................... 26
6.6. Anlisis de riesgos............................................................................................................. 27
Nivel de riesgo aceptable ........................................................................................................... 28
Ejemplo prctico ......................................................................................................................... 28
6.7. Recomendaciones ............................................................................................................. 29
7. Propuesta de proyectos ............................................................................................................. 32
7.1. Introduccin ....................................................................................................................... 32
7.2. Proyectos ........................................................................................................................... 32
8. Auditora de cumplimento .......................................................................................................... 33
8.1. Introduccin ....................................................................................................................... 33
8.2. Metodologa ....................................................................................................................... 33
8.3. Anlisis de cumplimiento ................................................................................................... 34
3
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
4
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
1. INTRODUCCIN
5
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
2. CONTEXTUALIZACIN
2.1. LA EMPRESA
Es una institucin sin nimo de lucro que de forma democrtica representa nacional e
internacionalmente los intereses del gremio de productores colombianos de caf, de
manera que sean ellos mismos quienes lleguen a consensos necesarios para definir
programas de beneficio comn. Desarrolla polticas y estndares de calidad que
aseguran el futuro del negocio orientando, organizando, fomentando y regulando la
caficultura colombiana. Gestiona programas como la investigacin cientfica para
optimizar costos de produccin y maximizar la calidad del fruto, la asistencia a los
productores con el servicio de tcnicos en el campo de sembrado, la regulacin y
comercializacin del producto para optimizar el precio pagado al productor, promueve la
exportacin y la ejecucin de programas gremiales de carcter econmico, cientfico,
tecnolgico, industrial y comercial, entre otros.
Para llevar a cabo todas estas actividades, la institucin cuenta con unidades de apoyo
que prestan servicios a los cafeteros, como una fundacin, un centro de investigacin y
las cooperativas de caficultores ubicadas en los municipios productores de todo el pas,
agrupados en comits departamentales. A su vez, cuenta filiales que representan sus
Unidades Estratgicas de Negocio, como las tiendas de artculos y comestibles derivados
del caf, y los centros de almacenaje y comercializacin de caf.
6
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
7
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
repositorio centralizado de archivos al cual tienen acceso todos los usuarios de la oficina
central donde residen todas las empresas.
En el siguiente diagrama de red de alto nivel se puede apreciar cmo estn
interconectadas las redes y subredes y como salen a internet.
8
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
Esta infraestructura hasta hace 2 aos, era administrada remotamente por un bestshore1
localizado en Argentina. Actualmente el departamento de TI para aplicaciones e
infraestructura se encuentra en sitio conformado por un equipo multidisciplinario de
especialistas que se encargan de la gestin y por su parte, la gerencia de tecnologa se
encuentra adelantando un proceso de modernizacin de las plataformas y de
implementacin de buenas prcticas de gerencia de TI debido a que no recibi una
documentacin organizada del estado de los sistemas por parte del bestshore que
pudiera plantear una estrategia de TI que evolucionara a corto y mediano plazo con las
necesidades del negocio.
El Plan de Director se desarrollar para los activos informacin que estn a cargo de la
Direccin de Tecnologa de la informacin y que se encuentran en la infraestructura local
de la Oficina Central para los usuarios de institucin que estn ubicados en el edificio de
la Oficina Central y que no pertenezcan o sean administrados por funcionarios de sus
filiales o empresas asociadas. Se limitar a la infraestructura de los sistemas de
informacin que soporten los procesos operativos o de los cules sea responsable por su
funcionamiento exclusivamente la Unidad de Apoyo - Tecnologa de la Informacin de
Oficina Central de acuerdo con la Declaracin de Aplicabilidad, versin 1.0.
1
Bestshoring: mover los procesos o componentes de negocio a localidades o pases que brinden la mejor relacin costo-beneficio. Fuente:
http://en.wikipedia.org/wiki/Bestshoring
9
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
10
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
11
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
12
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
13
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
4. ANLISIS DIFERENCIAL
Tanto los requisitos de la norma IO/IEC27001 como los controles descritos en la ISO/IEC
27002 fueron evaluados con en el Modelo de Madurez de la Capacidad (CMM), resumido
en la siguiente tabla:
% ESTADO DESCRIPCIN
14
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
Clusula Valoracin
4. Contexto de la organizacin Inicial
5. Liderazgo Limitado
6. Planeacin Inicial
7. Soporte Limitado
8. Operacin Inicial
9. Evaluacin de rendimiento No Existe
10. Mejora Inicial
Tabla 2. Valoracin de clusulas de requerimientos ISO/IEC 27001:2013
15
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
16
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
Esta seccin describe la evaluacin a alto nivel del grado de implementacin de los
controles y objetivos de control en los 14 dominios descritos en la ISO/IEC 27002:2013.
PROPORCIN DE
DOMINIOS DE CONTROL
IMPLEMENTACIN
5 POLTICAS DE SEGURIDAD. 55% Definido
ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA
6 67% Definido
INFORMACIN
7 SEGURIDAD LIGADA A LOS RECURSOS HUMANOS. 81% Definido
8 GESTIN DE ACTIVOS. 35% Limitado
9 CONTROL DE ACCESOS. 58% Definido
10 CIFRADO. 30% Limitado
11 SEGURIDAD FSICA Y AMBIENTAL. 84% Definido
12 SEGURIDAD OPERATIVA. 72% Definido
13 SEGURIDAD EN LAS TELECOMUNICACIONES. 89% Definido
ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE LOS
14 81% Definido
SISTEMAS DE INFORMACIN.
15 RELACIONES CON PROVEEDORES. 88% Definido
GESTIN DE INCIDENTES EN LA SEGURIDAD DE LA
16 40% Limitado
INFORMACIN.
ASPECTOS DE SEGURIDAD DE LA INFORMACION EN LA
17 86% Definido
GESTIN DE LA CONTINUIDAD DEL NEGOCIO.
18 CUMPLIMIENTO. 73% Definido
Tabla 3. Proporcin de implementacin de controles por dominio
17
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
18
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
5. ESQUEMA DOCUMENTAL
5.1. INTRODUCCIN
Normativa interna que debe conocer y cumplir todo el personal afectado por el alcance del
Sistema de Gestin de Seguridad de la Informacin. El contenido de la Poltica establece
los lineamientos globales que son detallados en normas y polticas de segundo nivel
definidos en el documento Polticas y Normas de seguridad.
Documento que debe describe el procedimiento para realizar las auditoras que se
llevarn a cabo durante la vigencia de la certificacin y requisitos que se establecern a
los auditores internos. Se anexa la documentacin de los registros de los siguientes
formatos:
19
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
Establece la sistemtica que se seguir para calcular el riesgo, lo cual deber incluir
bsicamente la identificacin y valoracin de los activos, amenazas y vulnerabilidades.
20
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
6. ANLISIS DE RIESGOS
Cdigo Activo
21
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
Cdigo Activo
mbitos de Activos
[D] Datos Datos que materializan la informacin
Servicios auxiliares que se necesitan para poder organizar
[S] Servicios
el sistema
Las aplicaciones informticas (software) que permiten
[SW] Software
manejar los datos.
Los equipos informticos (hardware) y que permiten
[HW] Hardware
hospedar datos, aplicaciones y servicios.
[MEDIA] Soportes de Los soportes de informacin que son dispositivos de
Informacin almacenamiento de datos.
[AUX] Equipamiento El equipamiento auxiliar que complementa el material
Auxiliar informtico.
[COM] Redes de Las redes de comunicaciones que permiten intercambiar
comunicaciones datos.
22
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
mbitos de Activos
Las instalaciones que acogen equipos informticos y de
[L] Instalaciones
comunicaciones.
Las personas que explotan u operan todos los elementos
[P] Personal
anteriormente citados.
Tabla 5. mbitos de activos
Para la valoracin de los activos, se utiliz la escala que propone MAGERIT en su Libro
III (punto 2.1), completndolo con una estimacin cuantitativa representada en trminos
monetarios para la organizacin.
23
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
Tipos de Amenazas
[N] Desastres Sucesos que pueden ocurrir sin intervencin de los seres
naturales humanos como causa directa o indirecta.
Sucesos que pueden ocurrir de forma accidental, derivados de la
[I] De origen
actividad humana de tipo industrial. Estas amenazas puede
industrial
darse de forma accidental o deliberada.
[E] Errores y fallos no
Fallos no intencionales causados por las personas.
intencionados
[A] Ataques
Fallos deliberados causados por las personas.
intencionados
Tabla 8. Tipos de amenazas
24
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
Se valoraron los activos como de importancia Muy Alta, Alta, Media, Baja o
Despreciable a la vez que se le asign a cada activo en cada dimensin una
valoracin siguiendo los siguientes criterios:
En el Anexo B. Anlisis de Riesgos, se encuentran los registros del anlisis realizado por
cada activo.
25
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
El impacto puede resumirse como el tanto por ciento del valor del activo que se pierde en
el caso de que suceda un incidente sobre l. Para el presente ejercicio, se tom la
siguiente escala de valoracin.
26
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
Para la estimacin del riesgo, se realiz una combinacin entre el impacto y la frecuencia,
detallada en la siguiente tabla.
Impacto
RIESGO
MA A M B MB
EF MA MA MA MA MA
MF MA MA A A M
F A A M M B
Frecuencia
PF M M B B MB
MPF B B MB MB MB
D MB MB MB MB MB
Tabla 12. Tabla de estimacin del riesgo
Para efectos de clculo de la matriz de riesgos, la misma tabla puede ser representada en
valores numricos de acuerdo a las escalas definidas de la siguiente manera:
RIESGO Impacto
1 100,00% 80,00% 60,00% 40,00% 20,00%
0,071 7,12% 5,70% 4,27% 2,85% 1,42%
0,016 1,64% 1,32% 0,99% 0,66% 0,33%
Frecuencia
0,005 0,55% 0,44% 0,33% 0,22% 0,11%
0,003 0,27% 0,22% 0,16% 0,11% 0,05%
0,000 0,00% 0,00% 0,00% 0,00% 0,00%
Tabla 13. Tabla del clculo de estimacin del riesgo.
Para efectos prcticos, se utiliz la siguiente escala de valores para la relacin enter
impacto y frecuencia, determinando el nivel de riesgo por cada amenaza para cada activo
en cada dimensin y en la tabla de resumen de impacto potencial por activo.
27
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
Ejemplo prctico
28
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
6.7. RECOMENDACIONES
29
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
30
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
31
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
7. PROPUESTA DE PROYECTOS
7.1. INTRODUCCIN
7.2. PROYECTOS
32
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
8. AUDITORA DE CUMPLIMENTO
8.1. INTRODUCCIN
Llegados a esta fase, conocemos los activos de la empresa y hemos evaluado las
amenazas. Es el momento de hacer un alto en el camino y evaluar hasta qu punto la
empresa cumple con las buenas prcticas en materia de seguridad. La ISO/IEC
27002:2005 nos servir como marco de control del estado de la seguridad.
8.2. METODOLOGA
El estudio debe realizar una revisin de los 133 controles planteados por la norma para
cumplir con los diferentes objetivos de control el nmero de los cuales se indica entre
parntesis para cada uno de los dominios-. Esta estimacin la realizaremos segn el
Modelo de Madurez de la Capacidad (CMM)
33
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
34
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
35
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
36
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
37
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
38
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
9. INFORMES DE RESULTADOS
39
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
10. ANEXOS
40
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
11. REFERENCIAS
http://www.iso27001security.com/
http://www.iso27001standard.com/
http://www.inteco.es/Formacion/SGSI/Conceptos_Basicos/Normativa_SGSI/
http://www.iso27000.es/sgsi_implantar.html
http://video.anetcom.es/editorial/Seguridad_empresa.pdf
https://seguridadinformaticaufps.wikispaces.com/MAGERIT
https://www.ccn-cert.cni.es/publico/herramientas/pilar5/exs/index.html
http://gr2dest.org/metodologia-de-analisis-de-riesgos-magerit/
41
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
42
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
NDICE DE ILUSTRACIONES
Ilustracin 1. Estructura de organizacin por procesos ...................................................................... 7
Ilustracin 2. Diagrama de red de alto nivel ........................................................................................ 8
Ilustracin 3. Cumplimiento de las secciones de requisitos del SGSI .............................................. 15
Ilustracin 4. Proporcin de cumplimiento de los requisitos del SGSI.............................................. 16
Ilustracin 5. Grado de cumplimiento de Dominios de control .......................................................... 18
Ilustracin 6. Proporcin de controles por estado de implementacin ............................................. 18
Ilustracin 7. Comparacin de porcentaje de implementacin ......................................................... 34
Ilustracin 8. Cumplimiento de las secciones de requisitos del SGSI .............................................. 35
Ilustracin 9. Proporcin de cumplimiento de los requisitos del SGSI.............................................. 36
Ilustracin 10. Grado de cumplimiento de Dominios de control ........................................................ 38
Ilustracin 11. Proporcin de controles por estado de implementacin ........................................... 38
43
Elaboracin de un Plan de Implementacin de la ISO/IEC 27001:2013 Ricardo Pulgarn Gmez
NDICE DE TABLAS
Tabla 1. Modelo de Madurez de la Capacidad (CMM) ..................................................................... 14
Tabla 2. Valoracin de clusulas de requerimientos ISO/IEC 27001:2013 ...................................... 15
Tabla 3. Proporcin de implementacin de controles por dominio ................................................... 17
Tabla 4. Inventario de activos ........................................................................................................... 22
Tabla 5. mbitos de activos .............................................................................................................. 23
Tabla 6. Criterios de valoracin de los activos .................................................................................. 23
Tabla 7. Dimensiones de valoracin de los activos .......................................................................... 24
Tabla 8. Tipos de amenazas ............................................................................................................. 24
Tabla 9. Criterios de valoracin de criticidad de los activos ............................................................. 25
Tabla 10. Escala de valoracin de Frecuencia (Vulnerabilidad - Probabilidad de ocurrencia) ........ 25
Tabla 11. Escala de valoracin del impacto degradacin del activo ............................................. 26
Tabla 12. Tabla de estimacin del riesgo ......................................................................................... 27
Tabla 13. Tabla del clculo de estimacin del riesgo. ...................................................................... 27
Tabla 14. Escala de riesgos .............................................................................................................. 27
Tabla 15. Valoracin de clusulas de requerimientos ISO/IEC 27001:2013 .................................... 35
Tabla 16. Proporcin de implementacin de controles por dominio ................................................. 37
44