Sistemas de Gestin de Seguridad de la Informacin

Docente

Frano Capeta Mondoedo

Ing. De Sistemas CIP 43684 / MBA
Auditor ISMS - IRCA, Auditor BCMS - IRCA, CGEIT, CRISC, C|CISO, ITIL Expert, Prince2 Practitioner ,
Data Center Design Certified
fcapeta@esan.edu.pe
Dominios de la ISO 27002:2013
A5. Poltica de Seguridad de la informacin
A6. Organizacin de Seguridad de la informacin
A7. Seguridad de los Recursos Humanos
A8. Gestin de Activos
A9. Control de Accesos
A10. Criptografa
A11. Seguridad Fsica y Ambiental
A12. Seguridad de las operaciones
A13. Seguridad de las comunicaciones
A14. Adquisicin, Desarrollo y Mantenimiento de Sistemas
A 15. Relaciones con proveedores
A16. Gestin de Incidentes de Seguridad de la Informacin
A17. Aspectos de seguridad de la informacin en la gestin de Continuidad
del Negocio
A18.Cumplimiento
Clausulas de la ISO 27001:2013
A5. Poltica de Seguridad de la informacin
A6. Organizacin de Seguridad de la informacin
A7. Seguridad de los Recursos Humanos
A8. Gestin de Activos
A9. Control de Accesos
A10. Criptografa
A11. Seguridad Fsica y Ambiental
A12. Seguridad de las operaciones
A13. Seguridad de las comunicaciones
A14. Adquisicin, Desarrollo y Mantenimiento de Sistemas
A 15. Relaciones con proveedores
A16. Gestin de Incidentes de Seguridad de la Informacin
A17. Aspectos de seguridad de la informacin en la gestin de Continuidad
del Negocio
A18. Cumplimiento
A.5 Polticas de Seguridad

A.5.1 Polticas de Seguridad de la Informacin

Objetivo: Proporcionar direccin y apoyo gerencial para brindar seguridad de la
informacin en concordancia con los requerimientos comerciales y las leyes y
regulaciones relevantes.

A.5.1.1 Documento de polticas de SI

A.5.1.2 Revisin de la poltica de SI

A.6 Organizacin de Seguridad de la informacin

A.6.1 Organizacin Interna

Objetivo: Establecer un marco de gestin para iniciar y controlar la implementacin y
operacin de seguridad de la informacin dentro de la organizacin.

A.6.1.1 Funciones de seguridad de informacin, roles y

responsabilidades

A.6.1.2 Separacin de deberes

A.6.1.3 Contacto con autoridades

A.6.1.4 Contacto con grupos de inters especiales

A.6.1.5 Seguridad de informacin en gerencia de proyectos

A.6 Organizacin de Seguridad de la informacin

A.6.2 Dispositivos mviles y teletrabajo

Objetivo: Garantizar la seguridad del teletrabajo y el uso de dispositivos mviles.

A.6.2.1 Poltica de dispositivo mvil

A.6.2.2 Teletrabajo
A.7 Seguridad de los Recursos Humanos

A.7.1 Previo a la contratacin

Objetivo: Asegurar que los empleados y contratistas entiendan sus
responsabilidades y sean adecuados para las funciones para las que son
consideradas.

A.7.1.1 Evaluacin

A.7.1.2 Trminos y condiciones

 A.7 Seguridad de los Recursos Humanos

A.7.2 Durante el empleo

Objetivo: Asegurar que los empleados y contratistas conozcan y cumplan con sus
responsabilidades de seguridad de la informacin.

A.7.2.1 Responsabilidades de gestin

A.7.2.2 Conciencia de seguridad de informacin, educacin y capacitacin

A.7.2.3 Proceso disciplinario

A.7 Seguridad de los Recursos Humanos

A.7.3 Finalizacin o Cambio de empleo

Objetivo: Proteger los intereses de la organizacin como parte del proceso de
cambio o trmino del empleo.

A.7.3.1 Trmino o cambio de las responsabilidades de empleo

A.8 Gestin de activos

A.8.1 Responsabilidad Sobre los activos

Objetivo: Identificar los activos de la organizacin y definir las responsabilidades de
proteccin adecuadas.

A.8.1.1 Inventario de Activos

A.8.1.2 Propiedad de activos

A.8.1.3 Uso aceptable de activos

A.8.1.4 Retorno de activos

A.8 Gestin de activos

A.8.2 Clasificacin de la Informacin

Objetivo: Asegurar que la informacin reciba un nivel adecuado de proteccin de
acuerdo con su importancia para la organizacin.

A.8.2.1 Clasificacin de informacin

A.8.2.2 Etiquetado de informacin

A.8.2.3 Manejo de activos

A.8 Gestin de activos

A.8.3 Manejo de medios

Objetivo: Evitar la divulgacin no autorizada, modificacin, eliminacin o destruccin
de la informacin almacenada en los medios.

A.8.3.1 Gestin de medios removibles

A.8.3.2 Desecho de los medios

A.8.3.3 Transferencia de medios fsicos

A.9 Control de accesos

A.9.1 Requerimientos de negocio para el control de accesos

Objetivo: Limitar el acceso a la informacin y las instalaciones de procesamiento de
informacin.

A.9.1.1 Poltica de control de acceso

A.9.1.2 Acceso a redes y servicios de red

A.9 Control de accesos

A.9.2 Administracin de accesos de usuarios

Objetivo: Garantizar el acceso de usuarios autorizados y evitar el acceso no autorizado a
los sistemas y servicios.

A.9.2.1 Registro y cancelacin de registro de usuarios

A.9.2.2 Provisin del acceso de usuario

A.9.2.3 Gestin de derechos de acceso privilegiados

A.9.2.4 Gestin de la informacin de autentificacin secreta de los usuarios

A.9.2.5 Revisin de derecho de acceso de usuarios

A.9.2.6 Eliminacin o ajuste de derechos de acceso

A.9 Control de accesos

A.9.3 Responsabilidades del usuario

Objetivo: Hacer que los usuarios sean responsables de salvaguardar su informacin de
autenticacin.

A.9.3.1 Uso de informacin de autenticacin secreta

A.9 Control de accesos

A.9.4 Control de acceso de aplicacin y sistema

Objetivo: Evitar el acceso no autorizado a los sistemas y aplicaciones.

A.9.4.1 Restriccin de acceso a la informacin

A.9.4.2 Procedimientos seguros de inicio de sesin

A.9.4.3 Sistema de gestin de contrasea

A.9.4.4 Uso de programas de utilidad privilegiada

A.9.4.5 Control de acceso al cdigo de fuente del programa

A.10 Criptografa

A.10.1 Controles criptogrficos

Objetivo: Asegurar el uso adecuado y eficaz de la criptografa para proteger la
confidencialidad, autenticidad y / o integridad de la informacin.

A.10.1.1 Poltica sobre el uso de controles criptogrficos

A.10.1.2 Gestin de claves

A.11 Seguridad fsica y ambiental

A.11.1 reas seguras

Objetivo: Evitar el acceso fsico no autorizado, daos e interferencia a la
informacin de la organizacin e instalaciones de procesamiento de informacin.

A.11.1.1 Permetro de Seguridad Fsica

A.11.1.2 Controles de entrada fsica

A.11.1.3 Seguridad de oficinas, salas e instalaciones

A.11.1.4 Proteccin contra amenazas externas y ambientales

A.11.1.5 Trabajo en zonas seguras

A.11.1.6 Zonas de entrega y de carga

A.11 Seguridad fsica y ambiental
A.11.2 Equipos
Objetivo: Evitar la prdida, dao, robo o el compromiso de los activos y la
interrupcin de las operaciones de organizacin.

A.11.2.1 Ubicacin y proteccin de los equipos

A.11.2.2 Servicios pblicos de apoyo

A.11.2.3 Seguridad de cableado

A.11.2.4 Mantenimiento de los equipos

A.11 Seguridad fsica y ambiental
A.11.2 Equipos
Objetivo: Evitar la prdida, dao, robo o el compromiso de los activos y la
interrupcin de las operaciones de organizacin.

A.11.2.5 Retiro de los activos

A.11.2.6 Seguridad de los equipos y de los activos fuera de las instalaciones

A.11.2.7 Eliminacin segura o re-uso de equipos

A.11.2.8 Equipos de usuarios no atendidos

A.11.2.9 Poltica de escritorio y pantalla limpia

A.12 Seguridad de operaciones

A.12.1 Procedimientos operativos y responsabilidades

Objetivo: Garantizar el funcionamiento correcto y seguro de las instalaciones de
procesamiento de informacin..

A.12.1.1 Procesos operativos documentados

A.12.1.2 Gestin de cambios

A.12.1.3 Gestin de capacidad

A.12.1.4 Separacin de ambientes de desarrollo y entornos operacionales

A.12 Seguridad de operaciones

A.12.2 Proteccin contra malware

Objetivo: Asegurar que las instalaciones de procesamiento de informacin y la
informacin estn protegidos contra el malware.

A.12.2.1 Control contra malware

A.12 Seguridad de operaciones

A.12.3 Backup
Objetivo: Evitar la prdida de datos.

A.12.3.1 Respaldo de informacin

A.12 Seguridad de operaciones

A.12.4 Registro y monitoreo

Objetivo: Registrar eventos y generar evidencia.

A.12.4.1 Registro de eventos

A.12.4.2 Proteccin de informacin de registro

A.12.4.3 Registros de administrador y operador

A.12.4.4 Sincronizacin de reloj

A.12 Seguridad de operaciones

A.12.5 Control del software operativo

Objetivo: Garantizar la integridad de sistemas operacionales.

A.12.5.1 Instalacin de software en sistemas operacionales

A.12 Seguridad de operaciones

A.12.6 Gestin de vulnerabilidad tcnica

Objetivo: Garantizar la integridad de sistemas operacionales.

A.12.6.1 Gestin de vulnerabilidades tcnicas

A.12.6.2 Restricciones en la instalacin de software

A.12 Seguridad de operaciones

A.12.7 Consideraciones de auditoria de sistemas de informacin

Objetivo: Minimizar el impacto de las actividades de auditora en los sistemas
operativos.

A.12.7.1 Controles de auditora de sistemas de informacin

A.13 Seguridad de comunicaciones

A.13.1 Gestin de seguridad de redes

Objetivo: garantizar la proteccin de la informacin en las redes y sus instalaciones
de procesamiento de informacin.

A.13.1.1 Controles de redes

A.13.1.2 Seguridad de los servicios de redes

A.13.1.3 Separacin en redes

A.13 Seguridad de comunicaciones

A.13.2 Transferencia de informacin

Objetivo: Mantener la seguridad de informacin que se transfiere dentro de una
organizacin y con alguna entidad externa.

A.13.2.1 Procedimientos y polticas de transferencia de

informacin

A.13.2.2 Acuerdos sobre transferencia de informacin

A.13.2.3 Mensajera electrnica

A.13.2.4 Acuerdos de confidencialidad o de no divulgacin

A.14 Adquisicin, desarrollo y mantenimiento de sistemas
A.14.1 Requisitos de seguridad de los sistemas de informacin
Objetivo: Asegurar que la seguridad de la informacin sea una parte integral de los
sistemas de informacin a travs de todo el ciclo de vida. Esto tambin incluye los
requisitos para los sistemas de informacin que proporcionan los servicios a travs
de redes pblicas.

A.14.1.1 Anlisis y especificaciones de los requisitos de seguridad de la

informacin

A.14.1.2 Asegurar los servicios de aplicaciones en redes pblicas

A.14.1.3 Proteccin de las transacciones de servicios de aplicaciones

A.14 Adquisicin, desarrollo y mantenimiento de sistemas

A.14.2 Seguridad en los procesos de desarrollo y procesos de soporte

Objetivo: Asegurar que se disee e implemente la seguridad de la informacin en el
ciclo de vida de desarrollo de los sistemas de informacin.

A.14.2.1 Poltica de desarrollo seguro

A.14.2.2 Procedimientos de control de cambios de sistema
A.14.2.3 Revisin tcnica de las aplicaciones despus de los cambios de la
plataforma de operacin
A.14.2.4 Restricciones a los cambios en los paquetes de software
A.14 Adquisicin, desarrollo y mantenimiento de sistemas

A.14.2 Seguridad en los procesos de desarrollo y procesos de soporte

Objetivo: Asegurar que se disee e implemente la seguridad de la informacin en el
ciclo de vida de desarrollo de los sistemas de informacin.

A.14.2.5 Principios de ingeniera de sistemas seguros

A.14.2.6 Entorno de desarrollo seguro
A.14.2.7 Desarrollo de externalizacin
A.14.2.8 Pruebas de seguridad del sistema
A.14.2.9 Pruebas de aceptacin del sistema
A.14 Adquisicin, desarrollo y mantenimiento de sistemas

A.14.3 Datos de pruebas

Objetivo: garantizar la proteccin de los datos utilizados para las pruebas.

A.14.3.1 Proteccin de datos de prueba

A.15 Relaciones con proveedores

A.15.1 Seguridad de la informacin en la relacin con los proveedores

Objetivo: Garantizar la proteccin de los activos de la organizacin accesible por parte
de los proveedores.

A.15.1.1 Poltica de seguridad de informacin para la relacin con los

proveedores

A.15.1.2 Abordar la seguridad dentro de acuerdos con proveedores

A.15.1.3 Cadena de suministro de tecnologa de informacin y

comunicaciones
A.15 Relaciones con proveedores

A.15.2 Gestin de la prestacin de servicios de proveedor

Objetivo: Mantener un nivel acordado de seguridad de informacin y prestacin de
servicios en lnea con los acuerdos de proveedores.

A.15.2.1 Monitoreo y revisin de los servicios de proveedores

A.15.2.2 Gestin de cambios de los servicios del proveedor

 A.16 Gestin de incidentes de seguridad de informacin

A.16.1 Gestin de incidentes de seguridad de la informacin y mejoras

Objetivo: Garantizar un enfoque coherente y eficaz para la gestin de incidentes de
seguridad de la informacin, incluyendo la comunicacin de eventos de seguridad y
debilidades.

A.16.1.1 Responsabilidades y procedimientos

A.16.1.2 Informes de eventos de seguridad de informacin
A.16.1.3 Informes debilidades de seguridad de informacin
 A.16 Gestin de incidentes de seguridad de informacin

A.16.1 Gestin de incidentes de seguridad de la informacin y mejoras

Objetivo: Garantizar un enfoque coherente y eficaz para la gestin de incidentes de
seguridad de la informacin, incluyendo la comunicacin de eventos de seguridad y
debilidades.

A.16.1.4 Evaluacin y decisin sobre los eventos de seguridad de informacin

A.16.1.5 Respuesta a los incidentes de seguridad de informacin
A.16.1.6 Aprendiendo de los incidentes de seguridad de la informacin
A.16.1.7 Recoleccin de evidencia
A.17 Aspectos de seguridad de la informacin de gestin de la continuidad del
negocio

A.17.1 Continuidad de la seguridad de informacin

Objetivo: Se integrar la continuidad de seguridad de informacin en sistemas de
gestin de continuidad de negocio de la organizacin.

A.17.1.1 Planeando la continuidad de seguridad de informacin

A.17.1.2 Implementacin de la continuidad de seguridad de informacin
A.17.1.3 Verificar, revisar y evaluar la continuidad de seguridad de la
informacin
A.17 Aspectos de seguridad de la informacin de gestin de la continuidad del
negocio

A.17.2 Redundancias
Objetivo: Asegurar la disponibilidad de instalaciones de procesamiento de
informacin.

A.17.2.1 Planeando la continuidad de seguridad de informacin

A.18 Cumplimiento

A.18.1 Cumplimiento de los requisitos legales y contractuales

Objetivo: Evitar el incumplimiento de las obligaciones legales, estatutarias,
reglamentarias o contractuales relacionadas a la seguridad de la informacin y
cualquiera de los requisitos de seguridad.

A.18.1.1 Identificacin de la legislacin aplicable y los requisitos contractuales

A.18.1.2 Derechos de propiedad intelectual
A.18.1.3 Proteccin de registros
A.18.1.4 Privacidad y proteccin de datos personales
A.18.1.5 Regulacin de controles criptogrficos
A.18 Cumplimiento

A.18.2 Revisiones de seguridad de informacin

Objetivo: Asegurar que la seguridad de la informacin se aplique y opere de acuerdo
con las polticas y procedimientos de la organizacin.

A.18.2.1 Revisin independiente de seguridad de la informacin

A.18.2.2 Cumplimiento de las polticas y normas de seguridad

A.18.2.3 Revisin de cumplimiento tcnico