1

SISTEMA DE GESTION DE LA

SEGURIDAD DE LA INFORMACION

(ISO/IEC 27001)

Ing. Raúl Alberto Rojas Reátegui

2

Conceptos Fundamentales

¿De que información estamos hablando?

¿Qué tan expuestos estamos?

3

Información a Proteger

• ¿Cual es la información más valiosa que manejamos?

– La información asociado a nuestros clientes.

– La información asociado a nuestras ventas.

– La información asociada a nuestro personal.

– La información asociada a nuestros productos.

– La información asociada a nuestras operaciones.

4

¿Riesgos?

• Pero si nunca paso nada!!.

– Esto no real.

– Lo que sucede es que hoy sabemos muy poco.

• La empresa necesita contar con información sobre la cual tomardecisiones a los efectos de establecer controles necesarios yeficaces.

5

Password cracking

Man in the middle

Exploits

Denegación de servicio

Escalamiento de privilegios

Hacking de Centrales Telefónicas

Keylogging Port scanning

Instalaciones default

Puertos vulnerables abiertos

Servicios de log inexistentes o que no son chequeados

Desactualización

Backups inexistentes

Últimos parches no instalados

Amenazas

Violación de la privacidad de los empleados

Fraudes informáticos

Destrucción de equipamiento

6

Captura de PC desde el exteriorViolación de contraseñas

Interrupción de los servicios

Intercepción y modificación y violación de e-mails

VirusMails anónimos con agresiones

Incumplimiento de leyes y regulaciones

Robo o extravío de notebooks, palms

empleados deshonestos

Robo de información

Destrucción de soportes documentales

Acceso clandestino a redes

Intercepción de comunicaciones voz y wireless

Programas “bomba, troyanos”

Acceso indebido a documentos impresosPropiedad de la información

Agujeros de seguridad de redes conectadasFalsificación de información

para terceros

Indisponibilidad de información clave

Spamming

Ingeniería social

Más Amenazas!!

7

Vulnerabilidades Comunes

• Inadecuado compromiso de la dirección.

• Personal inadecuadamente capacitado y concientizado.

• Inadecuada asignación de responsabilidades.

• Ausencia de políticas/ procedimientos.

• Ausencia de controles

– (físicos/lógicos)

– (disuasivos/preventivos/detectivos/correctivos)

• Ausencia de reportes de incidentes y vulnerabilidades.

• Inadecuado seguimiento y monitoreo de los controles.

8

Seguridad de la Información

ISO17799

Communications

and

Operations

Management

Organizational

Security

Security Policy

Asset

Classification

and

Control

Business

Continuity

Management

Access Control

Physical

and

Environmental

Security

Personnel

Security

Systems

Development

and

Maintenance

Compliance

COBiT

Monitor

and

Support

Acquire

and

Implement

Plan

and

Organize

Define

and

Support

COSO

Monitoring

Internal

Environment

Risk

Assessment

Control

Activities

Information

and

Communications

ITIL

ICT Infrastructure

Management

Service

Delivery /

Support

Business

Perspective

Planning to

Implement

Service

Management

Application

Management

Security

Management

Objective

Setting

Risk

Response

Event

Identification

Estandares de seguridad IT

La evolución de los estándares

ISO27001

• Sistema de Gestión de la Seguridad de la Información (SGSI)

• Adopta la metodologia PDCA,

PDCA Model

En la actualidad

• La serie ISO 27000 reemplazara a ISO 17799 y a UNE 71502:

– 27000: Definiciones y términos (draft)

– 27001: Implantación del SGSI (Certificable) evolución de BS-7799-2 y equivale a UNE 71502

– 27002: Transcripción de ISO 17799:2005, catalogo de buenas practicas.

– 27003: Guía de implementación (draft).

– 27004: Indicadores y metricas (draft).

– 27005: Gestión y evaluación de riesgos (draft).

ISO27001

1) Define un marco para el establecimiento de objetivos y establece las directrices y principios de accion en lo referente a seguridad de la información

2) Tiene en cuenta requerimientos legales, de negocio y contractuales

3) Se alinea el contexto estrategico de gestión del riesgo de la organizacion en el que se desarrolla el SGSI

4) Establece los criterios de evaluación del riesgo

ISO 27002

• Con origen en la norma británica BS7799-1, constituye un código de buenas prácticas para la Gestión de la Seguridad de la Información.

• Establece la base común para desarrollar normas de seguridad dentro de las organizaciones.

• Define diez dominios de control que cubren por completo la Gestión de la Seguridad de la Información.

• 36 objetivos de control y 127 controles.

Dominios ISO 27002

1. Política de Seguridad

2. Organización de Seguridad

3. Clasificación y Control de Activos

4. Aspectos humanos de la seguridad

5. Seguridad Física y Ambiental

6. Gestión de Comunicaciones y Operaciones

7. Sistema de Control de Accesos

8. Desarrollo y Mantenimiento de Sistemas

9. Plan de Continuidad del Negocio

10. Cumplimiento Legal

ISO/IEC 17799:2005 vs LOPD/RMS

20

Seguridad de la Información

21

¿Seguridad de la Información ?

• La información es un activo que como otros activos importantestiene valor y requiere en consecuencia una protección adecuada.

• La información puede estar:

• Impresa o escrita en papel.

• Almacenada electrónicamente.

• Trasmitida por correo o medios electrónicos

• Mostrada en filmes.

• Hablada en conversación.

• Debe protegerse adecuadamente cualquiera que sea la forma quetome o los medios por los que se comparte o almacene.

22

¿Seguridad de la Información ?

• La seguridad de la información se caracteriza aquí como lapreservación de:

– su confidencialidad, asegurando que sólo quienes estén autorizadospueden acceder a la información;

– su integridad, asegurando que la información y sus métodos de procesoson exactos y completos.

– su disponibilidad, asegurando que los usuarios autorizados tienenacceso a la información y a sus activos asociados cuando lo requieran.

23

Normas Internacionalmente reconocidas

Reconocimiento internacional

24

Normas aplicables

• Entre los distintos organismos relacionados comercial y/o

institucionalmente con los temas de Seguridad de la Información,

podemos encontrar los siguientes:

– ISACA: COBIT

– British Standards Institute: BSI

– International Standards Organization: Normas ISO

– Departamento de Defensa de USA: Orange Book / Common Criteria

– ITSEC – Information Technology Security Evaluation Criteria:

White Book

– Sarbanes Oxley Act, HIPAA

25

¿Cómo establecer los requisitos?

• Es esencial que la Organización identifique sus requisitos de seguridad.

• Existen tres fuentes principales.

• La primer fuente procede de la valoración de los riesgos de la Organización. Con ella:

- Se identifican las amenazas a los activos,

- Se evalúa la vulnerabilidad y la probabilidad de su ocurrencia.

- Se estima su posible impacto.

26

¿Cómo establecer los requisitos?

• La segunda fuente es el conjunto de requisitos legales,

estatutarios, regulatorios y contractuales que debe satisfacer:

- la Organización,

- sus socios comerciales,

- los contratistas

- los proveedores de servicios.

• La tercera fuente está formada por los principios, objetivos y

requisitos que la Organización ha desarrollado para apoyar sus

operaciones.

27

¿Las normas ISO/IEC 17799, ISO/IEC 27001?

¿Quien es quien?

28

Origen de la normativa

• Grupo de trabajo – enero 1993

• Emisión de código – Septiembre 1993

• Publicación de BS 7799-1 Febrero 1995

• Publicación de BS 7799-2 Febrero 1998

• Publicación BS7799: 1999 1 y 2 Abril 1999

• ISO 17799 (BS 7799-1) – Diciembre 2000

• BS 7799-2 - Publicado en Septiembre 2002.

• ISO 17799 - Publicado Julio 2005

• ISO 27001 – Publicado Noviembre 2005.

29

¿ISO/IEC 27001 – ISO/IEC 17799?

• British Standard 7799 Parte 1 – Es un código de mejores prácticas

que se sugieren: “....deberían...”

• ISO/IEC 17799-2000 – Basado en la BS 7799 Parte 1.

– No hay una certificación.

– 10 Áreas de Control

– 36 Objetivos de Control

– 127 Controles

30

¿ISO/IEC 27001 – ISO/IEC 17799?

• British Standard 7799 Parte 2 – Aporta conceptos de implantaciónobligatorios para certificar: “...deben...”

– Requisitos para Sistemas de Gestión de Seguridad de la información.

– Vinculada con la BS 7799-1 (ISO/IEC 17799)

– Proceso de Evaluación para Certificación.

– Obsoleta.

• ISO/IEC 27001.

– Basada en la BS 7799:2

• Versiones actuales:

– ISO/IEC 17799:2005 / ISO/IEC 27001: 2005

31

ISO/IEC 17799:2000

• 10 Áreas de Control– Política de Seguridad

– Aspectos organizativos para la seguridad

– Clasificación y control de los activos

– Seguridad ligada al personal

– Seguridad física y del entorno

– Gestión de comunicaciones y operaciones

– Control de accesos

– Desarrollo y mantenimiento de sistemas

– Gestión de continuidad del negocio

– Conformidad

32

ISO/IEC 17799:2005

• 11 Áreas de Control– Política de Seguridad

– Organización de la Seguridad de la Información

– Gestión de Activos

– Seguridad en los Recursos Humanos

– Seguridad física y del entorno

– Gestión de comunicaciones y operaciones

– Control de accesos

– Adquisición, desarrollo y mantenimiento de sistemas de información

– Gestión de incidentes de seguridad

– Gestión de continuidad del negocio

– Conformidad

33

Certificados BS 7799-2 / ISO/IEC 27001

• 2800 Empresas Certificadas a nivel mundial.

– 1800 en Japón.

– 415 Reino Unido

– 11en Brasil.

– 3 en Argentina.

– ¿Uruguay?

• Certificación ISO/IEC 27001.

– Implica la misma certificación, por parte de organismos locales a nivel

mundial.

– Es razonable considerar un crecimiento equiparable al de normas ISO ya

existentes.

34

Relación entre Normas

BS 7799 - 1

BS 7799 - 2

ISO/IEC 17799 UNIT/ISO/IEC 17799

UNIT 17799:2

(2005)

BSI ISO/IEC UNIT (Ej. Uruguay)

35

Nuevas Versiones ISO/IEC

ISO/IEC 17799

(2000)

ISO/IEC

ISO/IEC 17799

(2005)

ISO/IEC

BSI

BS 7799 - 2ISO/IEC 27001

(2005)

36

SGSI - Modelo P-H-V-A

Metodología de la ISO/IEC 27001

37

SGSI

• El sistema de gestión de la seguridad de la información (SGSI) esla parte del sistema de gestión de la empresa, basado en unenfoque de riesgos del negocio, para:

– establecer,

– implementar,

– operar,

– monitorear,

– mantener y mejorar la seguridad de la información.

• Incluye.

– Estructura, políticas, actividades, responsabilidades, prácticas,procedimientos, procesos y recueros.

38

(Planificar /Hacer /Verificar /Actuar)

• Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI.

Planificar

VerificarHacer

Actuar

Partes

Interesadas

Implementar y

operar el SGSI

Monitorear

el SGSI

Mantener y

Mejorar el SGSI

Establecer

el SGSI

Partes

Interesadas

Requisitos y

expectativas Seguridad

Gestionada

39

(Planificar /Hacer /Verificar /Actuar)

• El SGSI adopta el siguiente modelo:

PHVA

Planificar

Verificar

Hacer

Actuar

Definir la política de seguridad

Establecer el alcance del SGSI

Realizar los análisis de riesgos

Seleccionar los controles

Implantar el plan de gestión de riesgos

Implantar el SGSI

Implantar los controles.

Implantar indicadores.

Revisiones del SGSI por parte de

la Dirección.

Realizar auditorías internas del SGSI

Adoptar acciones correctivas

Adoptar acciones preventivas

40

Establecer el SGSI (Plan)

• Establecer la política de seguridad, objetivos, metas, procesos y procedimientosrelevantes para manejar riesgos y mejorar la seguridad de la información paragenerar resultados de acuerdo con una política y objetivos marco de laorganización.

• Definir el alcance del SGSI a la luz de la organización.

• Definir la Política de Seguridad.

• Aplicar un enfoque sistémico para evaluar el riesgo.

– No se establece una metodología a seguir.

41

Establecer el SGSI (Plan)

• Identificar y evaluar opciones para tratar el riesgo

– Mitigar, eliminar, transferir, aceptar

• Seleccionar objetivos de Control y controles a implementar (Mitigar).

– A partir de los controles definidos por la ISO/IEC 17799

• Establecer enunciado de aplicabilidad

42

Implementar y operar (Do)

• Implementar y operar la política de seguridad, controles, procesos y

procedimientos.

• Implementar plan de tratamiento de riesgos.

– Transferir, eliminar, aceptar

• Implementar los controles seleccionados.

– Mitigar

• Aceptar riesgo residual.

– Firma de la alta dirección para riesgos que superan el nivel definido.

43

Implementar y operar (Do)

• Implementar medidas para evaluar la eficacia de los controles

• Gestionar operaciones y recursos.

• Implementar programas de Capacitación y concientización.

• Implementar procedimientos y controles de detección y respuesta a incidentes.

44

Monitoreo y Revisión (Check)

• Evaluar y medir la performance de los procesos contra la política de seguridad,los objetivos y experiencia practica y reportar los resultados a la dirección parasu revisión.

– Revisar el nivel de riesgo residual aceptable, considerando:

• Cambios en la organización.

• Cambios en la tecnologías.

• Cambios en los objetivos del negocio.

• Cambios en las amenazas.

• Cambios en las condiciones externas (ej. Regulaciones, leyes).

– Realizar auditorias internas.

– Realizar revisiones por parte de la dirección del SGSI.

45

Monitoreo y Revisión (Check)

• Se debe establecer y ejecutar procedimientos de monitoreo para:

• Detectar errores.

• Identificar ataques a la seguridad fallidos y exitosos.

• Brindar a la gerencia indicadores para determinar la adecuación de los controles y el logro de los objetivos de seguridad.

• Determinar las acciones realizadas para resolver brechas a la seguridad.

• Mantener registros de las acciones y eventos que pueden impactar al SGSI.

• Realizar revisiones regulares a la eficiencia del SGSI.

46

Mantenimiento y mejora del SGSI (Act)

• Tomar acciones correctivas y preventivas, basadas en los resultados de la

revisión de la dirección, para lograr la mejora continua del SGSI.

– Medir el desempeño del SGSI.

– Identificar mejoras en el SGSI a fin de implementarlas.

– Tomar las apropiadas acciones a implementar en el ciclo en cuestión

(preventivas y correctivas).

– Comunicar los resultados y las acciones a emprender, y consultar con todas

las partes involucradas.

– Revisar el SGSI donde sea necesario implementando las acciones

seleccionadas.

47

MANUAL DE

SEGURIDAD

Contenido de los documentos

Describe el sistema de gestión de la seguridad

PROCEDIMIENTOS

DOCUMENTADOS

EXIGIDOS POR LA

NORMA

Describe los procesos y las actividades

REGISTROS

Son evidencias objetivas de la ejecuciónde procesos, actividades o tareas

OTROS DOCUMENTOS DEL SGSI

(INSTRUCCIONES DE TRABAJO,

FORMULARIOS, ESPECIFICACIONES Y

OTROS)

Describe tareas y requisitos

Documentación del SGSI

48

Requisitos de Certificación del SGSI

• La norma establece requisitos para Establecer, Implementar y

Documentar un SGSI.

– Definir el alcance del SGSI (fronteras)

– Definir una política de seguridad

– Identificar activos

– Realizar el análisis de riesgos de activos.

– Identificar las áreas débiles de los activo

– Tomar decisiones para manejar el riesgo

– Seleccionar los controles apropiados

– Implementar y manejar los controles seleccionados

– Elaborar la declaración de aplicabilidad

49

Objetivos de auditoria

• Para obtener la certificación.

• Revisar conformidad con la norma (ISO/IEC 27001)

• Revisar grado de puesta en práctica del sistema

• Revisar la eficacia y adecuación en el cumplimiento de:

– Política de seguridad

– Objetivos de seguridad

• Identificar las fallas y debilidades en la seguridad

• Proporcionar una oportunidad para mejorar el SGSI

• Cumplir requisitos contractuales.

• Cumplir requisitos regulatorios.

50

Certificación del SGSI

• La certificación no implica que la organización a obtenido determinadoniveles de seguridad de la información para sus productos y/o servicios.

• Las organizaciones certificadas pueden tener mayor confianza es sucapacidad para gestionar la seguridad de la información, y por endeayudara a asegurar a sus socios, clientes, y accionistas con quien hacennegocios.

• Procesos análogos a los de las normas ISO 9001 e ISO 14000.

• Certificado con duración de 3 años.

51

Certificación del SGSI

• En cada País

– Actualmente en proceso de homologación por las instituciones locales.

– Opciones:

• (Ej. Uruguay) UNIT/ISO/IEC 27001:2006

• (Ej. España) AENOR UNE 71502

• ISO/IEC 27001.

• Internacionalmente

– El más amplio reconocimiento.

– Ampliamente reconocida a nivel profesional.

– Estándar de la industria.

– Requerida por importantes empresas a sus Proveedores.

52

Finalizando

53

Comencemos el proceso

• Reporte cualquier Incidente, evento, debilidad, etc. que a su entender

afecte a la seguridad (disponibilidad, integridad, confidencialidad)

• No divulgue información sensible.

• Destruya adecuadamente la información sensible.

• Siga los lineamientos, políticas y procedimientos que se le distribuirán.

• Haga preguntas.

54

Comencemos el camino.

• Mantenga su contraseña confidencial.

• Sea conciente de los riesgos que están asociados a una acción o recurso.

• Las medidas implementadas tienen un motivo.

– Lo no prohibido NO esta expresamente permitido.

• Nuestra seguridad depende de usted.

• La obtención de la certificación también.