27001
Seguridad orientada al Negocio
ISO 27001 2005 → 2013
• Obje Objetitivo vo de la Norm Normaa IS ISO O 270 27001 01 • Base Basess de la Norm Normaa ISO ISO 2700 270011 • Actu Actual aliz izac ació iónn a ISO ISO 2700 27001: 1:20 2013 13 • Estr struct uctura ura de la la No Norma • Compr omprom omiiso y alca alcanc ncee • Domi ominios nios de cont contrrol • Soporte y operación • Decl Declar arac ació iónn de de Apli Aplica cabi bililida dadd • Nego Negoci cioo y otro otross Fra Fram mewor eworks ks • La certificación • Fam Familia ilia de Norm Normas as IS ISO O 270 27000 00
ISO 27001 2005 → 2013
• Obje Objetitivo vo de la Norm Normaa IS ISO O 270 27001 01 • Base Basess de la Norm Normaa ISO ISO 2700 270011 • Actu Actual aliz izac ació iónn a ISO ISO 2700 27001: 1:20 2013 13 • Estr struct uctura ura de la la No Norma • Compr omprom omiiso y alca alcanc ncee • Domi ominios nios de cont contrrol • Soporte y operación • Decl Declar arac ació iónn de de Apli Aplica cabi bililida dadd • Nego Negoci cioo y otro otross Fra Fram mewor eworks ks • La certificación • Fam Familia ilia de Norm Normas as IS ISO O 270 27000 00
Objetivo Este estándar fue desarrollado para proveer un modelo para el establecimiento, implementación, operación, monitorización, revisión, mantenimiento y mejora del SGSI teniendo en cuenta la política, estructura organizativa, las normas, procedimientos y los lo s recursos de la empresa.
El SGSI de la ISO 27001 permite prevenir o reducir eficazmente el nivel de riesgo mediante la implantación de los controles adecuados, preparando a la Organización ante posibles emergencias, garantizando la continuidad del negocio.
Bases de la 27001 La norma ISO 27.001 le brinda a la Organización los objetivos de control, de los cuales surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno entor no para la protección de la información más sensible y las aplicaciones más críticas para cada área ár ea de negocio establecidos.
• La Seguridad Seguridad deja de ser ser sólo una cuestión cuestión técnica técnica para ser parte parte del Plan de Negocio • Aplica a todos los niveles de la Organización. • Introduce el Análisis de Riesgo y un sistema de gestión orientado a la protección de la información (SGSI). • Define un conjunto de controles que no deja nada librado al azar azar.. • Asocia Gobernabil Gobernabilidad idad con la Seguridad Seguridad de la Informació Información, n, mostr mostrando ando un valor agregado de Calidad a los resultados del Negocio
POLITICA DE SEGURIDAD DE LA INFORMACIÓN
Bases de la 27001 Requerimientos legales, reglamentarios y expectativas de seguridad de la información
Seguridad de la información Gestionada
Disponer de una gestión que asegure los procesos de negocio y el tratamiento de los datos propios o de terceros permite una… Clientes Clientes Proveedores Proveedores Usuarios Usuarios Accionistas Accionistas Socios Socios
27001:2013 • Pone más énfasis en la medición y evaluación del SGSI • Nueva sección sobre la contratación externa, la cual refleja el hecho de que muchas organizaciones dependen de terceros para la prestación de algunos aspectos de las TI. • No enfatiza en el ciclo Plan-Do-Check-Act explicitamente, presta más atención al contexto de Seguridad de la Información en la Organización • La 27001:2013 fue diseñada para ajustarse mejor a otras normas de gestión como ISO 9000 e ISO 20000
Conceto clave PROCESOS FUNCIONALES
CALIDAD
SEGURIDAD PROCESOS TECNOLÓGICOS GOBERNABILIDAD
ISO 27014 – Gobierno de Seguridad de la Información ISO 20000 – Gestión de Servicios de TI
NEGOCIO
Est!"ct"!a de la No!#a 1. 2. 3. 4. 5.
Ámbito de aplicación de la norma Alcance Términos y definiciones de la ISO / IEC 27000 Contexto organizacional y de las partes interesadas Liderazgo en seguridad de la información y apoyo de alto nivel para la política 6. Planificación de un sistema de gestión de seguridad de la información; evaluación de riesgos; tratamiento de riesgos 7. Apoyar un sistema de gestión de seguridad de la información 8. Hacer un sistema de gestión de seguridad de información operativa 9. Revisar el funcionamiento del sistema 10.Acciones correctivas Anexo A: Lista de los controles y sus objetivos. En la actualidad hay 114 controles en 14 grupos El viejo estándar tenía 133 controles en 11 grupos
Est!"ct"!a de la No!#a
ANEXO SL (ex Guía ISO 83) Propone un marco genérico para cualquier sistema de gestión, a partir del cual toda norma ISO de sistema de gestión converja en una misma estructura común y con el mismo contenido salvo en su apartado 8.Operación que será en el que, tras un primer apartado también común (8.1, de planificación y control operacional ) cada norma desarrollará sus requisitos específicos (de seguridad, de continuidad, de gestión energética o de lo que sea).
Facilita la integración entre Normas
Est!"ct"!a de la No!#a 200$
Introducción, Alcance, Referencias Normativas, Términos y definiciones
2013
4. Sistema de Gestión de Seguridad de la Información
4. Contexto organizacional
4.1 Generalidades
5. Liderazgo
4.2 Implementación y gerenciamiento del SGSI 4.3 Requisitos de la Documentación 5. Responsabilidades de la Dirección 6. Auditoría interna del SGSI
6. Planificación 7. Soporte 8. Operación
7. Revisión del SGSI por parte de la Dirección
9. Evaluación de funcionamiento del SGSI
8. Mejora del SGSI
10. Mejoras y acciones correctivas
Est!"ct"!a de la No!#a ) (DCA 4. Contexto organizacional 5. Liderazgo N A L (
6. Planificación 7. Soporte O D
8. Operación
' C E & C
9. Evaluación de funcionamiento del SGSI
% C A
10. Mejoras y acciones correctivas
Entendimiento de la Organización y su contexto Expectativas de las partes interesadas Alcances del ISMS Liderazgo y compromiso de la Alta Dirección Políticas Organización de los roles, responsables y autoridades Como abordar riesgos y oportunidades Recursos, competencias, concientización, comunicación, información documentada Plan de tratamiento de riesgos Implementar el plan y documentar los resultados Plan de seguimiento, medición, análisis y evaluación Planear y realizar auditorías internas del SGSI Revisiones regulares de la Alta Dirección No conformidad y acciones correctivas Mejora continua del SGSI
Est!"ct"!a de la No!#a
Est!"ct"!a de la No!#a +e,"!idad O!,ani-ativa +e,"!idad l.,ica
+e,"!idad /*sica +e,"!idad le,al % 1 c t i c o
(ol*tica de +e,"!idad O!,ani-aci.n de la se,"!idad
Gesti.n de activos
Cont!ol de accesos
Con/o!#idad +e,"!idad del e!sonal
+e,"!idad del ento!no /*sico
+e,"!idad del ento!no tecnol.,ico
Gesti.n de incidentes de se,"!idad
Gesti.n de co#"nicaciones oe!aciones
Gesti.n de contin"idad de ne,ocio
E s t ! a t 2 , i c o
O e ! a t i v o
Est!"ct"!a de la No!#a ENTORNO = RIESGOS Reconocer los diferentes riesgos y metodología para su gestión
CUMPLIMIENTO Leyes, Regulaciones, Políticas Internas
Asociar las áreas Legales, Auditoría y Seguridad con las áreas Funcionales y Tecnológicas
GOBIERNO Establecer procesos funcionales y de servicio tecnológico protegidos, compliance y pensados para El Negocio
Co#!o#iso alcance Lo primero que debe reconocer la Organización es la importancia de uno de sus principales activos: LA INFORMACIÓN, y en función de ello podrá descubrir no solo los riesgos que enfrenta a diario (los 365 días del año) sino también el INTERES de aquellos agentes internos y externos en violarla, ya sea en su Integridad, como Confidencialidad y Disponibilidad. La Dirección debe reconocer que lo que se plantea es la implementación de un esquema de seguridad orientada al negocio, y toda Norma de Seguridad es una herramienta de que dispone (como marco normativo) para implantar la política y objetivo de Seguridad de la Información. Este Sistema proporciona mecanismos para la salvaguarda: • De los Activos de Información. • De los Sistemas que los procesan.
Co#!o#iso alcance Objetivos de mejora en su gestión que busca alcanzar la Organización: • De gobierno, estructura organizativa, funciones y responsabilidades • Políticas, los objetivos y las estrategias que están en marcha para alcanzarlos • Las capacidades, entendidas en términos de recursos y de conocimiento (por ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologías) • Sistemas de información, flujos de información y procesos de toma de decisiones (tanto formales como informales) • Relación con las percepciones y valores de los interesados internos: • Cultura de la organización • Normas, directrices y modelos adoptados por la organización • Forma y el alcance de las relaciones contractuales.
Co#!o#iso alcance Lees Re,"laciones del Ne,ocio Adoci.n del estnda! (ol*ticas5 No!#as (!ocedi#ientos
Re,ist!os Cont!oles (!oceso 4"ncional (!oceso de +e!vicios %ecnol.,icos de +e,"!idad al Ne,ocio
!eas de Ne,ocio
Do#inios de cont!ol 6Aneo A8
Cont!oles 27002:2013
+oo!te Según lo que establezca como alcance la Compañía a través de su Política de Seguridad, cada área de negocios participa en la gestión de:
El Negocio Gestión de la Seguridad Gestión de Información Gestión con Terceras Partes Medios de Comunicación
El Personal Funciones y responsabilidades Confidencialidad y contraseñas Uso de hardware Uso de software y aplicaciones Concientización y Educación
Para aportar resultados y conocimientos para el control de:
La Revisión del Sistema Control de registros Auditorías de Sistemas Seguimiento del Cumplimiento
Los sistemas de Información Seguridad Física del entorno Seguridad Física de los soportes Seguridad Lógica en los sistemas Manejo de incidentes
+oo!te Incrementar la conciencia de la necesidad de proteger la información y a entrenar a los usuarios en la utilización de la misma para que ellos puedan llevar a cabo sus funciones en forma segura, minimizando la ocurrencia de errores y pérdidas. Conocer su responsabilidad en cuanto a la Seguridad de la Información y lo que se espera de él. Entrenamiento inicial y continuo a sus colegas de área, y aporte en el mantenimiento activo de la documentación y los controles Conocer las políticas organizacionales, haciendo hincapié en el cumplimiento de la Política de Seguridad.
+oo!te Un Marco Normativo sobre estas bases permite contar con la certeza sobre la Información de respaldo y pruebas objetivas para el control y desarrollo de la Seguridad de la Información.
Nivel 1 >AN;AL DE +EG;RIDAD (ol*ticas5 alcance5 eval"aci.n de !ies,os5 decla!aci.n de alicabilidad Nivel 2 (ROCEDI>IEN%O+ Desc!ibe !ocesos 6?"5 ?"ien5 c"ando5 donde8 Nivel 3 IN+%R;C%I;LARIO+ Desc!ibe las actividades ta!eas esec*/icas 5 indicando co#o se !eali-an Nivel 9 REGI+%RO+ (!oo!ciona las !"ebas objetivas del c"#li#iento
(!ea!ando la Oe!aci.n RIESGOS • • • • • •
NEGOCIO
Definir tipos de riesgos Identificar riesgos asociados Establecer parámetros de medición Elegir una metodología de tratamiento Analizar y evaluar riesgos Crear un Plan de Mitigación
• • • • •
MATRIZ DE RIESGO
DIRECTORIO
Identificar procesos Analizar entorno regulatorio Analizar cultura interna Analizar madurez operativa Analizar entorno documental
(!ea!ando la Oe!aci.n “Matriz de análisis y Evaluación del Riesgo”, o Mapa de riesgo, en el cual se presentan la totalidad de los riesgos. “Plan de Tratamiento del Riesgo” o Plan de acción, en el cual se detallan todos aquellos riesgos para los cuales la respuesta al riesgo residual es distinta de “se asume” y por consiguiente se ha especificado un plan de acción con los controles/actividades tendientes a mitigar el riesgo. “Administración de Riesgos (Actualización al DD/MM/AAAA)”, • Detalle de nuevos riesgos y factores incorporados • Detalle de riesgos y factores dados de baja, con la correspondiente justificación de esta acción • Detalle de riesgos para los cuales se registran cambios en la evaluación, incluyendo la evaluación anterior, la evaluación actual y la justificación del cambio realizado
(!ea!ando la Oe!aci.n Evaluación y tratamiento de riesgos de seguridad (lani/icaci.n de Ad#inist!aci.n de Ries,os •Alcance •Metodología
Identi/icaci.n de Ries,os
Anlisis de Ries,os
•Activos •Amenazas •Vulnerabilidades
•Riesgos •Costos / Beneficios
(lan de Acci.n >onito!eo de los Ries,os
•Tratamiento •Aceptar riesgo residual
Mitigar • Controles
Aceptar • No hacer nada
Transferir • Seguros • Proveedores
Evitar • Cesar la actividad que lo origina
(!ea!ando la Oe!aci.n Un Análisis de Riesgo puede ser desarrollado con cualquier tipo de metodología, siempre y cuando sea completa y metódica. El resultado final de un análisis de riesgo, es: • Clara identificación, definición y descripción de los activos. • El impacto que podría ocasionar un problema sobre cada uno. • Conjunto de acciones que pueden realizarse (agrupadas). • Propuesta varios cursos de acción posibles. • Finalmente: Elección y Aprobación de un curso de acción por parte de la Dirección. Es decir, el compromiso que asume en virtud de su propia estrategia (Costo/beneficio/Negocio), para tratar las acciones de ese curso de acción y ASUMIR el riesgo residual que quedará con lo que no esté dispuesto a abordar (…..o en definitiva a pagar…..).
Decla!aci.n de alicabilidad Consiste en un documento que relaciona los controles que se aplican en el sistema de gestión. De la relación de los controles que la norma ISO/IEC 27001 indica en su anexo A, una Organización debe seleccionar aquellos que debe implantar y mantener en su sistema. El resultado de la elección de los controles forma parte del Plan de Tratamiento de riesgos, de modo que éste tiene como salida la Declaración de Aplicabilidad.
Decla!aci.n de alicabilidad Objetivos de cont!ol
Ries,os identi/icados
(lanes de t!ata#iento de !ies,os
Inte!!etaci.n !eas de Ne,ocio
I#lantaci.n de cont!oles
Inte!!etaci.n %ecnolo,*a
Inte!!etaci.n +e,"!idad
Decla!aci.n de alicabilidad
Decla!aci.n de alicabilidad
27001 ot!os /!a#e@o!s Para asegurar la gestión de Seguridad de la información debemos necesariamente conocer cuáles son los procesos de nuestra Organización y como se trata la información en cada uno de ellos para de esta forma establecer cuáles son los alcances respecto de su “Ciclo de Vida” y que actividades vamos a establecer para la gestión de cada uno de los Activos de Información. Esto nos ayudará a entender cuál es la “cadena de información” y así poder establecer los medios tecnológicos para tratarla en cada uno de sus estados en el paso de cada uno de los diferentes procesos.
27001 ot!os /!a#e@o!s Para satisfacer los objetivos del negocio, la información necesita concordar con ciertos criterios a los que CObIT hace referencia como requerimientos de negocio para la información . Al establecer la lista de requerimientos, CObIT combina los principios contenidos en los modelos referenciales existentes y conocidos: Requerimientos de calidad
• Calidad • Costo • ntrega !de servicio" • fectividad ) eficiencia de
Requerimientos #iduciarios !Administraci$n de patrimonio terceros ba%o su responsabilidad" & C'('
operaciones • Confiabilidad de la informaci$n • Cumplimiento de las le*es ) regulaciones
Requerimientos de (eguridad
• Confidencialidad • +ntegridad • ,isponibilidad
27001 ot!os /!a#e@o!s
27001 ot!os /!a#e@o!s
Las diferente áreas y dominios COBIT 5 están cubiertas por las ISO/IEC 27000: • Procesos de seguridad y relativos al riesgo en los dominios EDM, APO y DSS. • Varias actividades relacionadas con la seguridad dentro de procesos en otros dominios. • Actividades de supervisión y evaluación de seguridad
27001 ot!os /!a#e@o!s ISO 27001 e ITIL son complementarios. La mayoría de los controles de seguridad identificados en la norma ISO 27001 ya son parte de la gestión del servicio. Tanto ITIL como ISO 27001 identifican la necesidad de construir la seguridad en todos los aspectos del servicio con el fin de gestionar eficazmente los riesgos en la infraestructura
27001 ot!os /!a#e@o!s Los oco lib!os de I%IL s"s te#as son: 1 Gesti.n de +e!vicios de %I 2 >ejo!es !cticas a!a la (!ovisi.n de +e!vicio 3 >ejo!es !cticas a!a el +oo!te de +e!vicio Ot!as ,"*as oe!ativas 9 Gesti.n de la in/!aest!"ct"!a de %I $ Gesti.n de la se,"!idad (e!sectiva de ne,ocio 7 Gesti.n de alicaciones Gesti.n de activos de so/t@a!e
27001 ot!os /!a#e@o!s -a norma +('/+C .&0 especifica los siguiente procesos de gesti$n de servicio relacionados entre sí1 Procesos de Entrega de Servicios Gestión de Capacidad
Gestión de Niveles de Servicio
Gestión de Continuidad y Disponibilidad de Servicio
Informes de Servicio
Procesos de Versiones Gestión de Versiones
Gestión de Seguridad de la Información
Procesos de Control Gestión de Configuraciones Gestión de Cambios
Procesos de Resolución
Presupuestación y Contabilización de Servicios de TI
Procesos de Relaciones
Gestión de Relaciones de Negocio
Gestión de Incidentes Gestión de Problemas
Gestión de Proveedores
La Ce!ti/icaci.n
La Ce!ti/icaci.n (!e)A"dito!*a 6ocional8 2istencia * alcance apropiado del (3(+
A"dito!*a de Ce!ti/icaci.n #ase 0 4 Revisi$n de la documentaci$n #ase . 4 5rocesos * control
Ce!ti/icaci.n misi$n del certificado
+e,"i#iento an"al Me%ora continua
La Ce!ti/icaci.n Información documentada requerida para la certificación : 1. 2. 3. 4. 5. 6. 7.
Alcance del Sistema de Gestión de Seguridad de la Información (ISMS) (cláusula 4.3) Política de seguridad de la Información (cláusula 5.2) Proceso de evaluación de riesgos (cláusula 6.1.2) Proceso de tratamiento de riesgos (cláusula 6.1.3) Objetivos de seguridad de la Información (cláusula 6.2) Evidencia de la competencia de las personas que trabajan en SI (cláusula 7.2) Otros documentos relacionados con el SGSI considerados necesarios en la Organización ( 7.5.1b cláusula ) 8. Documentos de planificación y control operacional (cláusula 8.1) 9. Resultados de las evaluaciones de riesgos (cláusula 8.2) 10. Decisiones con respecto al tratamiento del riesgo (cláusula 8.3) 11. Evidencia del seguimiento y medición de seguridad de la información (cláusula 9.1) 12. Programa de auditoría interna sobre el SGSI y sus resultados (cláusula 9.2) 13. Evidencia de las principales revisiones a la gestión del SGSI (cláusula 9.3) 14. Evidencia de las no conformidades identificadas y acciones correctivas que surjan (cláusula 10.1) 15. Otra información documentada; uso aceptable de los activos, política de control de acceso, acuerdos de confidencialidad, desarrollo seguro, política de relaciones con los proveedores, procedimientos de cumplimiento de leyes, regulaciones y obligaciones contractuales, procedimientos de continuidad
La Ce!ti/icaci.n
4a#ilia de No!#as I+O=IEC 27000 http://www.iso27000.es/iso27000.html#section3c ISO/IEC 27000: Define el vocabulario estándar empleado en la familia 27000 (definición de términos y conceptos)
ISO/IEC 27001: Especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000. Define cómo es el SGSI, cómo se gestiona y cúales son las resposabilidades de los participantes. Sigue un modelo PDCA (Plan-Do-Check-Act) - Puntos clave: Gestión de riesgos + Mejora contínua ISO/IEC 27002: Código de buenas prácticas para la gestión de la seguridad . Recomendaciones sobre qué medidas tomar para asegurar los sistemas de información de una organización. Describe los objetivos de control (aspectos a analizar para garantizar la seguridad de la información) y especifica los controles recomendables a implantar (medidas a tomar). Antes ISO 17799, basado en estándar BS 7799 (en España norma UNE-ISO 17799) ISO/IEC 27003: Guía de implementación de SGSI e información acerca del uso del modelo PDCA (Plan-Do-Check-Act) y de los requerimientos de sus diferentes fases (en desarrollo, pendiente de publicación) ISO/IEC 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles relacionados (en desarrollo, pendiente de publicación) medición de los componentes de la fase “Do” (Implementar y Utilizar) del ciclo PDCA.
4a#ilia de No!#as I+O=IEC 27000 ISO/IEC 27005: Gestión de riesgos de seguridad de la información (recomendaciones, métodos y técnicas para evaluación de riesgos de seguridad) ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001. Requisitos para la acreditación de las entidades de auditoria y certificación ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000 ISO/IEC 27011: guía de gestión de seguridad de la información específica para telecomunicaciones (en desarrollo) elaborada conjuntamente con la ITU (Unión Internacional de Telecomunicaciones) ISO/IEC 27031: guía de continuidad de negocio en lo relativo a tecnologías de la información y comunicaciones (en desarrollo) ISO/IEC 27032: guía relativa a la ciberseguridad ISO/IEC 27033: Norma dedicada a la seguridad en redes (en desarrollo) ISO/IEC 27034: guía de seguridad en aplicaciones (en desarrollo) ISO/IEC 27035: Proporciona una guía sobre la gestión de incidentes de seguridad en la información. ISO/IEC 27036: Consistirá en una guía en cuatro partes de seguridad en las relaciones con proveedores (en desarrollo)
4a#ilia de No!#as I+O=IEC 27000 ISO/IEC 27037: Es una guía que proporciona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales. ISO/IEC 27038: Consistirá en una guía de especificación para seguridad en la redacción digital. (en desarrollo) ISO/IEC 27039: Consistirá en una guía para la selección, despliegue y operativa de sistemas de detección y prevención de intrusión (IDS/IPS). (en desarrollo) ISO/IEC 27040: Consistirá en una guía para la seguridad en medios de almacenamiento. (en desarrollo) ISO/IEC 27041: Consistirá en una guía para la garantizar la idoneidad y adecuación de los métodos de investigación. (en desarrollo) ISO/IEC 27042: Consistirá en una guía con directrices para el análisis e interpretación de las evidencias digitales. (en desarrollo) ISO/IEC 27043: Desarrollará principios y procesos de investigación. (en desarrollo) ISO/IEC 27044: Gestión de eventos y de la seguridad de la información - Security Information and Event Management (SIEM). (en desarrollo) ISO 27799: Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes.
