8/20/2019 ISO27000.pdf
1/208
NORMAS
ISO/IEC 27000
2015
Docente: Ing. Manuel Castillo Fernández
1
8/20/2019 ISO27000.pdf
2/208
INDICE
• MODULO I: Introducción a ISO 27000• MODULO II: Análisis de Riesgos• MODULO III: Sistema de estión de Seguridad
de la In!ormación"• MODULO I#: Auditor$a del Sistema
2
8/20/2019 ISO27000.pdf
3/208
MODULO I: Introducción a ISO 27000
%
8/20/2019 ISO27000.pdf
4/208
MODULO I: Introducción a ISO 27000
&
• Marco legal ' (ur$dico de la Seguridad de la
In!ormación"
• )ormas nacionales e internacionales de ISO27000"
• *once+tos ,ásicos so,re la seguridad de la
in!ormación
Re!erencias:
ISO - ..."iso"org
/SI ROU - ...",sigrou+"com
http://www.iso.org/http://www.bsigroup.com/http://www.bsigroup.com/http://www.iso.org/
8/20/2019 ISO27000.pdf
5/208
Marco legal y jurídico de la Seguridad de la
Inor!ación:
• Le' de rotección de Datos ersonales del er Le'
)3247%%5
• Autoridad )acional de rotección de Datos ersonalesAD5
• Resolución Ministerial )6 2&820078*M9 a+rue,a la )orma
;cnica eruana * 17744:2007 >DI9 ;cnicas de
seguridad9 *ódigo de /uenas rácticas +ara la gestión de
seguridad de la in!ormación" 2a >dición?"
• Resolución Ministerial 124820128*M9 a+rue,a el uso
o,ligatorio de la norma t;cnica +eruana *27001:200@ >DI ecnolo $as de la In!ormación" ;cnicas de
MODULO I: Introducción a ISO 27000
8/20/2019 ISO27000.pdf
6/208
MODULO I: Introducción a ISO 27000Ley de "rotección de Dato#
• D>R>*BOS D> LA >RSO)A: Codos los +eruanos tenemos
dereco a Eue los serFicios in!ormáticos com+utariGados o
no9 +,licos o +riFados no suministren in!ormaciones Eue
a!ecten la intimidad +ersonal ' !amiliarC" *onstitución ol$tica
del er Art$culo 29 )umeral "
• /A)*OS D> DAOS >RSO)AL>S: *ualEuier con(unto de
datos de +ersonas naturales9 +or e(em+lo: las +lanillas9 los
Hles del +ersonal9 los directorios de +roFeedores9 de clientes9
in!ormes m;dicos9 etc"
• O/LIA*IO)>S: Las em+resas +,licas ' +riFadas están
o,ligadas a cum+lir la Le' 247%% a Hn de garantiGar el
dereco !undamental de los eruanos a la rotección de
8/20/2019 ISO27000.pdf
7/208
7
MODULO I: Introducción a ISO 27000Ley de "rotección de Dato#
• AUORIDAD )A*IO)AL D> RO>**IO) D> DAOS
>RSO)AL>S: >l Ministerio de Justicia a traF;s de la Dirección
)acional de Justicia constitu'e la Autoridad )acional de
rotección de Datos ersonales" >sta institución +romueFe el
cum+limiento de la le'9 reci,e las denuncias de losciudadanos9 audita a las instituciones ' llega a sancionar en
caso de incum+limiento asta +or un máKimo de 100 UIs
#er art$culo %4 de la Le'5"
• RAAMI>)O D> DAOS >RSO)AL>S: Las em+resas
+,licas ' +riFadas de,en im+lementar mecanismos +ara:
8 O,tener el consentimiento
8 rans!erir datos +ersonales
8/20/2019 ISO27000.pdf
8/208
@
MODULO I: Introducción a ISO 27000$egla!ento de la Ley 2%7&&
iene el o,(etiFo de garantiGar el dereco !undamental a la
+rotección de los
datos +ersonales ' dis+one Eue el Ministerio de Justicia '
Derecos Bumanos
asuman la Autoridad )acional de rotección de Datos+ersonales"
• Art$culo 10 8 rinci+io de Seguridad: >sta,lece Eue las
*om+a$as de,en ado+tar las medidas de seguridad Eue
resulten necesarias a Hn de eFitar la +;rdida o alteración +or
acción umana o medio t;cnico"
• *a+$tulo # - Medidas de Seguridad: >n el cual se +lantean los
art$culos +ara el tratamiento de in!ormación digital9 gestión
8/20/2019 ISO27000.pdf
9/208
Nor!a# nacionale# e internacionale# de ISO27000'• ISO=I>* 27000 es un con(unto de estándares
desarrollados ' en !ase de desarrollo 8 +or ISOInternational OrganiGation !or StandardiGation5 eI>* International >lectrotecnical *ommission59Eue +ro+orcionan un marco de gestión de laseguridad de la in!ormación utiliGa,le +orcualEuier ti+o de organiGación9 +,lica o +riFada9grande o +eEuea"
4
MODULO I: Introducción a ISO 27000
8/20/2019 ISO27000.pdf
10/208
• u,licada el 1 de Ma'o de 2004 'reFisada con una segunda edición de 01de Diciem,re de 2012" >sta norma
+ro+orciona una Fisión general de lasnormas Eue com+onen la serie 270009una introducción a los Sistemas deestión de Seguridad de la In!ormación"
10
MODULO I: Introducción a ISO 27000
8/20/2019 ISO27000.pdf
11/208
• La amilia ISO 27000 se es+ecialiGa en elSistema de estión de Seguridad de laIn!ormación SSI5"
• ISO 27001 mediante un SSI9 reEuieregarantiGar la continuidad de los +rocesos Euese +rotegerán con!orme al Falor Eue a+ortan
en la em+resa9 +or lo Eue es im+ortanteidentiHcar el m;todo de continuidad Eue sereEuiere con!orme a dicos +rocesos"
11
MODULO I: Introducción a ISO 27000
8/20/2019 ISO27000.pdf
12/208
• >stándares relacionados:
– ISO=I>* 27000 In!ormation securit'management s'stems OFerFie. andFoca,ular'
– ISO=I>* 27001 In!ormation securit'
management s'stems ReEuirements – ISO=I>* 27002 *ode o! +ractice !or in!ormation
securit' management – ISO=I>* 2700% In!ormation securit'
management s'stem im+lementation guidance – ISO=I>* 2700& In!ormation securit'
management Measurement – ISO=I>* 2700 In!ormation securit' risP
management 12
MODULO I: Introducción a ISO 27000
8/20/2019 ISO27000.pdf
13/208
• >stándares relacionados:
– ISO=I>* 2700 ReEuirements !or ,odies+roFiding audit and certiHcation o! in!ormationsecurit' management s'stems
– ISO=I>* 27011 In!ormation securit'
management guidelines !or telecommunicationsorganiGations ,ased on ISO=I>* 27002
– ISO=I>* 270%1 uidelines !or in!ormation andcommunications tecnolog' readiness !or ,usiness
continuit' – ISO=I>* 270%%81 )et.orP securit' oFerFie. and
conce+ts – ISO=I>* 270% Securit' incident management
– ISO 27744 In!ormation securit' management in1%
MODULO I: Introducción a ISO 27000
8/20/2019 ISO27000.pdf
14/208
ORI>)
Desde 14019 ' como +rimera entidad denormaliGación a niFel mundial9 /SI /ritisStandards Institution5 es res+onsa,le de la+u,licación de im+ortantes normas como:8 /S 70" u,licada en 1474" Origen de ISO 4001
8 /S 770" u,licada en 1442" Origen de ISO1&0018 /S @@00" u,licada en 144" Origen de OBSAS1@001
1&
MODULO I: Introducción a ISO 27000
8/20/2019 ISO27000.pdf
15/208
• La norma /S 7744 de /SI a+areció +or +rimera FeG en 144"• La +rimera +arte de la norma /S 7744815 !ue una gu$a de
,uenas +rácticas9 +ara la Eue no se esta,lec$a un esEuema
de certiHcación" >s la segunda +arte /S 77448259 +u,licada+or +rimera FeG en 144@"
• Las dos +artes de la norma /S 7744 se reFisaron en 1444 'la +rimera +arte se ado+tó +or ISO9 sin cam,iossustanciales9 como ISO 17744 en el ao 2000"
• >n 20029 se reFisó /S 774482 +ara adecuarse a la Hloso!$ade normas ISO de sistemas de gestión"
• >n 2009 con más de 1700 em+resas certiHcadas en /S7744829 esta norma se +u,licó +or ISO9 con algunos
cam,ios9 como estándar ISO 27001" Al tiem+o se reFisó 'actualiGó ISO 17744"• >sta ltima norma se renom,ró como ISO 27002:200 el 1
de Julio de 20079 manteniendo el contenido as$ como el aode +u,licación !ormal de la reFisión"
1
8/20/2019 ISO27000.pdf
16/208
CON(ENIDO
>n esta sección se ace un ,reFe resumen delcontenido de las +rinci+ales normas de la serie27000 'a +u,licadas"
1
MODULO I: Introducción a ISO 27000
8/20/2019 ISO27000.pdf
17/208
) ISO*IEC 2700+:u,licada el 1 de Octu,re de 200 " >s la
norma +rinci+al de la serie ' contiene losreEuisitos del sistema de gestión deseguridad de la in!ormación" iene suorigen en la /S 774482:2002 Eue 'a Euedó
anulada5 ' es la norma con arreglo a lacual se certiHcan +or auditores eKternos losSSIs de las organiGaciones"
17
8/20/2019 ISO27000.pdf
18/208
(,cnica# de Seguridad27000 #isión
general '#oca,ulario
27001ReEuisitos
27002 *ódigo deráctica
2700% u$a deIm+lementación
2700&Medición
2700 estiónde Riesgos
2700 ReEuisitos+ara Auditores
27007 L$neasgu$as deAuditor$a
2700@ L$neasgu$as de*ontroles
eneral
27004 ReEuisitos 27010ISM +ara comunicaciones 27011 *ódigo deráctica
2701% Im+lementación27001 Q 2000081
2701& o,ierno
Inter8sectores e Inter8organiGaciones
2701 L$neas gu$ade SerFicio
2701>conom$a de la OrganiGación
inanGas
8/20/2019 ISO27000.pdf
19/208
(,cnica# de Seguridad
27017 *ódigode ráctica
2701@rotección II
*loud
27014 *ontrol derocesos
>nerg$a
27021ReEuisitos
com+etencias
2702% ISO=I>*27001 Fs
27002
270%1*ontinuidad del
negocio
270%2 L$neasgu$as
*i,erseguridad
*om+etencias9 continuidad ' ci,erseguridad
8/20/2019 ISO27000.pdf
20/208
(,cnica# de Seguridad
270%%81 #isióngeneral 'conce+tos
270%%82 L$neasgu$a de diseo eim+lementación
270%%8%AmenaGas9
t;cnicas ' control
270%%8&Asegurar con
gate.a's
270%%8Asegurar con
#)
270%%8Asegurar
ireless I
Seguridad deRed
270%&81 #isióngeneral ' *once+tos
270%&82rame.orPnormatiFo
270%&8% estiónseguridad A++s"
Seguridad de A+licaciones
270%&8alidaciónseguridad A++s"
270%&8 rotocolos 'estructura de datos
270%&8 u$a deseguridad A++s"
270%&87arant$a
seguridad A++s"
270%&881>sEuemas ML
8/20/2019 ISO27000.pdf
21/208
(,cnica# de Seguridad
270% estiónde incidentes
270%81Incidentes
270%82L$neas gu$a de
res+uestas
270%8% L$neasgu$a
O+eraciones*SIR
estión de incidentes de Seguridad de la In!ormación
270%81 #isióngeneral 'conce+tos
270%82ReEuisitos
270%8%L$neas gu$a
cadenasuministro
270%8& L$neasgu$a serFicios
*loud
estión de relaciones consuministradores
8/20/2019 ISO27000.pdf
22/208
(,cnica# de Seguridad
270%7>Fidencia
digital
270%@Redacción
digital
270%4Sistemas de
detección IDS
270&0Seguridad de
Almacenamiento
270&1 M;todoInFestigación
270&2 Análisise
Inter+retación
270&%rinci+ios '+rocesos
270&& estiónde In!o '
eFentos SI>M
>Fidencias e Intrusión
270081 #isióngeneral ' conce+tos
270082
o,ierno 'estión
27008% *ódigo deráctica
Descu,rimiento electrónico27008&
re+aración I*
8/20/2019 ISO27000.pdf
23/208
) ISO*IEC 27002:Desde el 1 de Julio de 20079 es el nueFonom,re de ISO 17744:2009 manteniendo 200como ao de edición" >s una gu$a de ,uenas+rácticas Eue descri,e los o,(etiFos de control 'controles recomenda,les en cuanto a seguridad
de la in!ormación"
) ISO*IEC 2700&:u,licada el 01 de e,rero de 2010" )ocertiHca,le" >s una gu$a Eue se centra en losas+ectos cr$ticos necesarios +ara el diseo eim+lementación con ;Kito de un SSI
2%
8/20/2019 ISO27000.pdf
24/208
) ISO*IEC 2700-:u,licada el 1 de Diciem,re de 2004" )ocertiHca,le" >s una gu$a +ara el desarrollo 'utiliGación de m;tricas ' t;cnicas de medidaa+lica,les +ara determinar la eHcacia de un SSI 'de los controles o gru+os de controles
im+lementados segn ISO=I>* 27001"
) ISO*IEC 2700.:u,licada en segunda edición el 1 de Junio de
2011 +rimera edición del 1 de Junio de 200@5" )ocertiHca,le" ro+orciona directrices +ara la gestióndel riesgo en la seguridad de la in!ormación"
2&
8/20/2019 ISO27000.pdf
25/208
) ISO*IEC 2700/:u,licada en segunda edición el 1 de Diciem,re de
2011 +rimera edición del 1 de MarGo de 20075">s+eciHca los reEuisitos +ara la acreditación deentidades de auditor$a ' certiHcación de sistemas degestión de seguridad de la in!ormación) ISO*IEC 27007:
u,licada el 1& de )oFiem,re de 2011" )o certiHca,le">s una gu$a de auditor$a de un SSI9 comocom+lemento a lo es+eciHcado en ISO 14011" >s unagu$a de auditor$a de los controles seleccionados en el
marco de im+lantación de un SSI") ISO*IEC 270+0:u,licada el 20 de Octu,re de 2012" *onsiste en unagu$a +ara la gestión de la seguridad de la in!ormacióncuando se com+arte entre organiGaciones o sectores"
2
8/20/2019 ISO27000.pdf
26/208
) ISO*IEC 270++:u,licada el 1 de Diciem,re de 200@" >s una
gu$a de inter+retación de la im+lementación 'gestión de la seguridad de la in!ormación enorganiGaciones del sector detelecomunicaciones ,asada en ISO=I>* 27002"
) ISO*IEC 270+&:u,licada el 1 de Octu,re de 2012" >s unagu$a de im+lementación integrada de ISO=I>*) ISO*IEC 270+-:
u,licada en el 201%" *onsistirá en una gu$a dego,ierno cor+oratiFo de la seguridad de lain!ormación"
2
8/20/2019 ISO27000.pdf
27/208
) ISO*IEC ($ 270+.:u,licada el 2% de )oFiem,re de 2012" >s
una gu$a de SSI orientada a organiGacionesdel sector Hnanciero ' de seguros ' comocom+lemento a ISO=I>* 27002") ISO*IEC ($ 270+/:u,licada en el 201%" *onsistirá en una gu$ade Faloración de los as+ectos Hnancieros dela seguridad de la in!ormación"
) ISO*IEC (S 270+7:u,licada en el 201%" *onsistirá en una gu$ade seguridad +ara *loud *om+uting"
27
8/20/2019 ISO27000.pdf
28/208
) ISO*IEC 270+:u,licada en el 201%" *onsistirá en un código de
,uenas +rácticas en controles de +rotección de datos+ara serFicios de com+utación en cloud com+uting") ISO*IEC ($ 270+%:u,licada en el 201%" *onsistirá en una gu$a conre!erencia a ISO=I>* 27002 +ara el +roceso de controlde sistemas es+ec$Hcos al sector de la industria de laenerg$a") ISO*IEC 270&+:u,licada el 01 de MarGo de 2011" )o certiHca,le" >s
una gu$a de a+o'o +ara la adecuación de lastecnolog$as de in!ormación ' comunicación I*5 de unaorganiGación +ara la continuidad del negocio" >ldocumento toma como re!erencia el estándar /S2777"
2@
8/20/2019 ISO27000.pdf
29/208
) ISO*IEC 270&2:u,licada el 1 de Julio de 2012" ro+orciona
orientación +ara la me(ora del estado de seguridadci,ern;tica9 eKtra'endo los as+ectos nicos de esaactiFidad ' de sus de+endencias en otros dominios deseguridad" >sta norma esta,lece una descri+cióngeneral de Seguridad *i,ern;tica") ISO*IEC 270&&:arcialmente desarrollada" )orma dedicada a laseguridad en redes9 consistente en 7 +artes: 270%%819conce+tos generales +u,licada el 1 de Diciem,re de
2004 aseguramiento de las comunicaciones entreredes mediante gate.a's de seguridadT 270%%89aseguramiento de comunicaciones mediante #)s9270%%89 conFergencia I 270%%879 redes inalám,ricas
24
8/20/2019 ISO27000.pdf
30/208
) ISO*IEC 270&-:)orma dedicada la seguridad en a+licacionesin!ormáticas") ISO*IEC 270&.:u,licada el 17 de Agosto de 2011" ro+orciona unagu$a so,re la gestión de incidentes de seguridad enla in!ormación" >n >s+aa9 no está traducida") ISO*IEC 270&/:>n !ase de desarrollo9 con +u,licación +reFista en201%" *onsistirá en una gu$a en cuatro +artes deseguridad en las relaciones con +roFeedores:
270%819 Fisión general ' conce+tosT 270%829reEuisitos comunesT 270%8%9 seguridad en lacadena de suministro I*T 270%8&9 seguridad enoutsourcing eKternaliGación de serFicios5"
%0
8/20/2019 ISO27000.pdf
31/208
) ISO*IEC 270&7:u,licada el 1 de Octu,re de 2012" >s una
gu$a Eue +ro+orciona directrices +ara lasactiFidades relacionadas con la identiHcación9reco+ilación9 consolidación ' +reserFación deeFidencias digitales +otenciales localiGadas
en tel;!onos móFiles9 tar(etas de memoria9dis+ositiFos electrónicos +ersonales9 sistemasde naFegación móFil") ISO*IEC 270&:u,licada en el 201%" *onsiste en una gu$a dees+eciHcación +ara seguridad en la redaccióndigital"
%1
8/20/2019 ISO27000.pdf
32/208
) ISO*IEC 270&%:
u,licada en el 201%" *onsistirá en una gu$a+ara la selección9 des+liegue ' o+eratiFa desistemas de detección ' +reFención deintrusión IDS=IS5"
) ISO*IEC 270-0:u,licada en el 201&" *onsistirá en una gu$a+ara la seguridad en medios dealmacenamiento") ISO*IEC 270-+:u,licada en el 201&" *onsistirá en una gu$a+ara la garantiGar la idoneidad ' adecuación
de los m;todos de inFestigación" %2
8/20/2019 ISO27000.pdf
33/208
) ISO*IEC 270-2:u,licada en el 201&" *onsistirá enuna gu$a con directrices +ara elanálisis e inter+retación de laseFidencias digitales"
) ISO*IEC 270-&:u,licada en el 201&" Desarrollará+rinci+ios ' +rocesos deinFestigación"
%%
8/20/2019 ISO27000.pdf
34/208
) ISO*IEC 270--:u,licada en el 201&" estión de eFentos
' de la seguridad de la in!ormación 8Securit' In!ormation and >FentManagement SI>M5"
) ISO 277%%:u,licada el 12 de Junio de 200@" >s unanorma Eue +ro+orciona directrices +araa+o'ar la inter+retación ' a+licación enel sector sanitario de ISO=I>* 270029 encuanto a la seguridad de la in!ormaciónso,re los datos de salud de los +acientes"
%&
8/20/2019 ISO27000.pdf
35/208
Conce1to# 3#ico# #ore la #eguridad de la inor!ación
ara com+render Eu; es la seguridad de la in!ormación9 en +rimer lugar9de,emos conocer Eue la in!ormación en este área es re!erida a losactiFos de in!ormación es decir9 los datos9 +ero tam,i;n los eEui+os9 lasa+licaciones9 las +ersonas9 Eue se utiliGan +ara crear9 gestionar9 trasmitir' destruir la in!ormación59 Eue tienen un Falor +ara la organiGación"
)o se de,e con!undir la seguridad de la in!ormación con la seguridadin!ormática 'a Eue la seguridad de la in!ormación a,arca mucas más
áreas mientras Eue la seguridad in!ormática se encarga de la +rotecciónde las in!raestructuras I* Eue so+ortan el negocio" or tanto laseguridad de la in!ormación a,arca la seguridad in!ormática"
%
MODULO I: Introducción a ISO 27000
8/20/2019 ISO27000.pdf
36/208
Conce1to# 3#ico# #ore la #eguridad de la inor!ación
La seguridad de la in!ormación9 +or tanto9 se +uede deHnir comola +rotección de la conHdencialidad9 integridad ' dis+oni,ilidadde los actiFos de in!ormación segn sea necesario +ara alcanGarlos o,(etiFos de negocio de la organiGación"
>stos tres +arámetros ,ásicos de la seguridad se deHnen como: *onHdencialidad: A la in!ormación solo +ueden acceder las+ersonas autoriGadas +ara ello" Integridad: La in!ormación a de estar com+leta ' correcta entodo momento" Dis+oni,ilidad: La in!ormación estará lista +ara acceder a ellao utiliGarse cuando se necesita"
%
MODULO I: Introducción a ISO 27000
8/20/2019 ISO27000.pdf
37/208
%7
MODULO I: Introducción a ISO 27000
8/20/2019 ISO27000.pdf
38/208
Conce1to# 3#ico# #ore la #eguridad de lainor!ación
De+endiendo de los modelos utiliGados9 tam,i;n
son +arámetros a tener en cuenta:• Autenticidad: La in!ormación es lo Eue dice ser
o el transmisor de la in!ormación es Euien
dice ser"• raGa,ilidad: oder asegurar en todo momentoEui;n iGo Eu; ' cuando lo iGo"
%@
MODULO I: Introducción a ISO 27000
8/20/2019 ISO27000.pdf
39/208
Conce1to# 3#ico# #ore la #eguridad de la inor!ación
Un !allo de seguridad es cualEuier incidente Eue la com+romete9es decir Eue +one en +eligro cualEuiera de los +arámetros conlos Eue se Falora la seguridad: la conHdencialidad9 ladis+oni,ilidad o la integridad de la in!ormación" *on la actualcom+le(idad de los sistemas de in!ormación9 con una econom$a '
un comercio Eue se ,asan en intercam,ios ' comunicaciones alo largo ' anco del mundo9 con un nmero creciente deusuarios Eue no sólo se conectan desde dentro sino tam,i;ndesde !uera de la organiGación9 es !ácil acerse una idea del retoEue +resenta eFitar Eue sucedan cosas como: allos en las comunicaciones" allos en el suministro el;ctrico" allos umanos de usuarios internos9 usuarios eKternos9administradores9 +rogramadores9 etc" allos en los sistemas de in!ormación: redes9 a+licaciones9
eEui+os9 etc" #irus in!ormáticos usanos tro anos etc" ue inundan la red"%4
MODULO I: Introducción a ISO 27000
8/20/2019 ISO27000.pdf
40/208
Conce1to# 3#ico# #ore la #eguridad de lainor!aciónLos !allos de seguridad son ocasionados mucas Feces +orla errónea +erce+ción de Eue si la seguridad !$sica estáraGona,lemente asegurada9 no tiene +or Eu; a,er
+ro,lemas" O Eue +rotegiendo nicamente las a+licaciones' las ,ases de datos 'a está garantiGada la seguridad" *onesos su+uestos se de(an des+rotegidas mucas áreas de laorganiGación9 mucos actiFos de in!ormación Eue +uedenser !ácilmente daados o destruidos9 'a Eue no se an
tenido en cuenta todos los as+ectos de la seguridad de lain!ormación: la seguridad !$sica9 la seguridad lógica ' lasmedidas organiGatiFas"
&0
MODULO I: Introducción a ISO 27000
8/20/2019 ISO27000.pdf
41/208
&1
Estructura de ISO 27001(clausulas de control)
A
d m i n i s t
r a c i ó n
O + e r a c i ó
n
Desarrollo '
Mantenimientode Sistemas
estión de*omunicacion
es 'O+eraciones
4e#tión deContinuidad de
Negocio
Seguridad de RB
*um+limiento
estión deActiFos
OrganiGación dela Seguridad de
In!ormación
*ontrol deAcceso
ol$tica deSeguridad
estión de Incidentes de Seguridad
Seguridad$sica '
Am,iental
MODULO I: Introducción a ISO 27000
8/20/2019 ISO27000.pdf
42/208
&2
27001 - Anexo A.14.1 Continuidad del negocio
A.14.1.1. Incluir a la Seguridad de la Información en el proceso
de administración de ontinuidad del !egocio
A.14.1.2. ontinuidad del !egocio " An#lisis de $iesgos
A.14.1.%. &esarrollo e implementación de 'lanes de
ontinuidad inclu"endo la Seguridad de la Información
A.14.1.4. arco de traa*o de la planeación de la ontinuidad
del !egocio
A.14.1.+. 'rueas, mantenimiento " ree-aluación de los 'lanes
de ontinuidad del !egocio
MODULO I: Introducción a ISO 27000
8/20/2019 ISO27000.pdf
43/208
&%
MODULO I: Introducción a ISO 27000
(, i d S id d O i ió "l
8/20/2019 ISO27000.pdf
44/208
&&
(,cnica# de Seguridad 5 Organi6ación "lanear
LA)>AR - untos de *ontrol de estión*onteKto de
laOrganiGació
n
*om+renderOrganiGación ' *onteKto
>K+ectatiFasde los
interesados
Alcance del
ISMS
ISMS
LideraGgo
LideraGgo '*onHrmació
n
ol$ticas
Roles9res+onsa,ilida
des 'autoridades
laniHcación
AccionesRiesgos '
O+ortunidades
O,(etiFos 'lanes
Seguridadde la
In!ormación
So+orte
Recursos
*om+etencia
*oncientiGación
*omunicación
In!ormacióndocumentad
a
(,cnica# de Seguridad Organi6ación "unto# de Control de
8/20/2019 ISO27000.pdf
45/208
&
(,cnica# de Seguridad 5 Organi6ación 5 "unto# de Control de4e#tión
BA*>R
O+eración
laniHcación' *ontrol
O+eracional
>FaluaciónRiesgos deSeguridad de
laIn!ormación ratamientode Riesgos
de Seguridadde laIn!ormación
>FaluaciónRendimiento
MonitoriGación9 Medición9
Análisis '>Faluación
Auditor$aInterna
ReFisiónAdministratiFa
Me(ora
)ocon!ormidad
es 'Acciones
correctiFasMe(ora
*ontinua
#>RII*AR A*UAR
8/20/2019 ISO27000.pdf
46/208
&
NUE89 ES($UC(U$9 ISO 2700+20+&
8/20/2019 ISO27000.pdf
47/208
La ISO es una !ederación mundial de organismosnacionales de normaliGación alrededor de 10 +a$ses9tra,a(an a niFel de *omit;s ;cnicos ' tienen almenos 149000 estándares +u,licados desde 194&7"La ISO 27001: 201%9 tra,a(a en !unción a @ +rinci+ios
de gestión:1" Orientación al *liente2"LideraGgo%" artici+ación del +ersonal
&" >n!oEue de +rocesos" >n!oEue de Sistemas de estión"Me(ora *ontinua7" >n!oEue de Me(ora *ontinua@" Relación mutuamente ,eneHciosa con el +roFeedor
&7
MODULO I: Introducción a ISO 27000
8/20/2019 ISO27000.pdf
48/208
8/20/2019 ISO27000.pdf
49/208
&4
MODULO I: Introducción a ISO 27000 Do!inio#
8/20/2019 ISO27000.pdf
50/208
0
MODULO I: Introducción a ISO 27000Docu!ento# y regi#tro# nece#ario#
Docu!ento# Ca1ítulo de ISO2700+:20+&Alcance del SSI &"%
ol$ticas ' o,(etiFos de seguridad de lain!ormación
"29 "2
Metodolog$a de eFaluación ' tratamiento deriesgos "1"2
Declaración de a+lica,ilidad "1"% d5
lan de tratamiento del riesgo "1"% e59 "2
In!orme so,re eFaluación ' tratamiento de
riesgos
@"29 @"%
DeHnición de !unciones ' res+onsa,ilidades deseguridad
A"7"1"29A"1%"2"&
InFentario de actiFos A"@"1"1
Uso ace+ta,le de los actiFos A"@"1"%
ol$tica de control de acceso A"4"1"1
8/20/2019 ISO27000.pdf
51/208
1
MODULO I: Introducción a ISO 27000Docu!ento# y regi#tro# nece#ario#
Docu!ento# Ca1ítulo de ISO2700+:20+&
rinci+ios de ingenier$a +ara sistema seguro A"1&"2"
ol$tica de seguridad +ara +roFeedores A"1"1"1
rocedimiento +ara gestión de incidentes A"1"1"
rocedimientos de la continuidad del negocio A"17"1"2
ReEuisitos legales9 normatiFos ' contractuales A"1@"1"1
8/20/2019 ISO27000.pdf
52/208
2
MODULO I: Introducción a ISO 27000Docu!ento# y regi#tro# nece#ario#
$egi#tro# Ca1ítulo de ISO2700+:20+&
Registros de ca+acitación9 a,ilidades9eK+eriencia ' caliHcaciones
7"2
Resultados de su+erFisión ' medición 4"1
rograma de auditor$a interna 4"2
Resultados de las auditor$as internas 4"2
Resultados de la reFisión +or +arte de la dirección 4"%
Resultados de acciones correctiFas 10"1
Registros so,re actiFidades de los usuarios9eKce+ciones ' eFentos de seguridad
A"12"&"19A"12"&"%
8/20/2019 ISO27000.pdf
53/208
%
MODULO I: Introducción a ISO 27000Docu!ento# no oligatorio# de u#o recuente
Docu!ento# Ca1ítulo de ISO
2700+:20+&rocedimiento +ara control de documentos 7"
*ontroles +ara gestión de registros 7"
rocedimiento +ara auditor$a interna 4"2
rocedimiento +ara medidas correctiFas 10"1ol$tica rae tu +ro+io dis+ositiFo A""2"1
ol$tica so,re dis+ositiFos móFiles ' tele8tra,a(o A""2"1
ol$tica de clasiHcación de la in!ormación A"@"2"19 A"@"2"29 A"@"2"%
ol$tica de claFes A"4"2"19 A"4"2"29A"4"2"&9 A"4"%"19 A"4"&"%
ol$tica de eliminación ' destrucción A"@"%"29 A"11"2"7
rocedimiento +ara tra,a(o en áreas seguras A"11"1"
8/20/2019 ISO27000.pdf
54/208
&
MODULO I: Introducción a ISO 27000Docu!ento# no oligatorio# de u#o recuente
Docu!ento# Ca1ítulo de ISO
2700+:20+&ol$tica de +antalla ' escritorio lim+io A"11"2"4
ol$tica de gestión de cam,io A"12"1"29 A"1&"2"&
ol$tica de creación de co+ias de seguridad A"12"%"1
ol$tica de trans!erencia de la in!ormación A"1%"2"19 A"1%"2"29A"1%"2"%Análisis del im+acto en el negocio A"17"1"1
lan de +rue,a ' FeriHcación A"17"1"%
lan de mantenimiento ' reFisión A"17"1"%
8/20/2019 ISO27000.pdf
55/208
MODULO I: Introducción a ISO 27000
9lcance del S4SI
>ste documento es9 a,itualmente9 ,astante corto 'se redacta al inicio de la im+lementación de ISO
27001" >n general9 se trata de un documentoinde+endiente9 aunEue +uede ser uniHcado con una+ol$tica de seguridad de la in!ormación"
8/20/2019 ISO27000.pdf
56/208
MODULO I: Introducción a ISO 27000
"olítica# y ojetio# de #eguridad de lainor!ación
La +ol$tica de seguridad de la in!ormación
generalmente es un documento ,reFe ' de alto niFelEue detalla el +rinci+al o,(etiFo del SSI" Los o,(etiFos+ara el SSI9 en general9 se +resentan como undocumento inde+endiente9 +ero tam,i;n +ueden seruniHcados en la +ol$tica de seguridad de lain!ormación" *ontrariamente a la reFisión 200 de ISO270019 'a no se necesitan am,as +ol$ticas ol$tica delSSI ' ol$tica de seguridad de la in!ormación5T soloace !alta una +ol$tica de seguridad de la in!ormación"
8/20/2019 ISO27000.pdf
57/208
7
MODULO I: Introducción a ISO 27000
Metodología e inor!e# de ealuación ytrata!iento de rie#go#
La metodolog$a de eFaluación ' tratamiento del riesgo
es9 a,itualmente9 un documento de & a +áginas 'de,e ser redactado antes Eue se realice la eFaluación' el tratamiento de riesgos" >l in!orme de eFaluación 'tratamiento de riesgos de,e ser redactado una FeGEue se realiGó la eFaluación ' el tratamiento deriesgos9 ' all$ se resumen todos los resultados"
8/20/2019 ISO27000.pdf
58/208
@
MODULO I: Introducción a ISO 27000
Declaración de a1licailidad
La Declaración de a+lica,ilidad o DdA5 se redactaen ,ase a los resultados del tratamiento del riesgoTes un documento claFe dentro del SSI +orEuedescri,e no sólo Eu; controles del AneKo A sona+lica,les9 sino tam,i;n cómo se im+lementarán 'su estado actual" am,i;n de,er$a considerar a laDeclaración de a+lica,ilidad como un documento
Eue descri,e el +erHl de seguridad de su em+resa"
8/20/2019 ISO27000.pdf
59/208
4
MODULO I: Introducción a ISO 27000
"lan de trata!iento del rie#go
>ste es9 ,ásicamente9 un +lan de acción so,re cómoim+lementar los diFersos controles deHnidos +or la
DdA" >ste documento se desarrolla en !unción de laDeclaración de a+lica,ilidad ' se utiliGa ' actualiGaactiFamente a lo largo de toda la im+lementacióndel SSI" A Feces se +uede !usionar con el lan del+ro'ecto"
8/20/2019 ISO27000.pdf
60/208
0
MODULO I: Introducción a ISO 27000
;uncione# y re#1on#ailidade# de #eguridad >l me(or m;todo es descri,ir estas !unciones 'res+onsa,ilidades en todas las +ol$ticas '+rocedimientos de la !orma más +recisa +osi,le">Fite eK+resiones como Cde,er$a acerloCT encam,io9 utilice algo como Cel Je!e de seguridadrealiGará K'G todos los lunes a las GK' orasC"Algunas em+resas +reHeren detallar las !unciones '
res+onsa,ilidades de seguridad en susdescri+ciones del tra,a(oT sin em,argo9 esto +uedegenerar muco +a+eler$o"Las !unciones ' res+onsa,ilidades de seguridad +ara
terceros se deHnen a traF;s de contratos
8/20/2019 ISO27000.pdf
61/208
1
MODULO I: Introducción a ISO 27000Inentario de actio#
Si no conta,a con un inFentario de este ti+o antesdel +ro'ecto ISO 270019 la me(or !orma de acerlo esdirectamente a +artir del resultado de la eFaluación
de riesgos 'a Eue all$9 de todos modos9 se tienen EueidentiHcar todos los actiFos ' sus +ro+ietariosTentonces9 sim+lemente +uede co+iar el resultadodesde ese instrumento"
8/20/2019 ISO27000.pdf
62/208
2
MODULO I: Introducción a ISO 27000
U#o ace1tale de lo# actio# Ba,itualmente9 este documento se con!ecciona,a(o la !orma de una +ol$tica ' +uede cu,rir un
am+lio rango de temas +orEue la norma no deHnemu' ,ien este control" ro,a,lemente9 la me(or!orma de encararlo es la siguiente: 15 d;(elo +arael Hnal de la im+lementación de su SSI ' 25 todaslas áreas ' controles Eue no a'a cu,ierto conotros documentos ' Eue inFolucran a todos losem+leados9 incl'alos en esta +ol$tica"
8/20/2019 ISO27000.pdf
63/208
%
MODULO I: Introducción a ISO 27000
"olítica de control de acce#o
>n este documento usted +uede cu,rir sólo la +artecomercial de la a+ro,ación de acceso a determinada
in!ormación ' sistemas9 o tam,i;n +uede incluir elas+ecto t;cnico del control de acceso" Además9+uede o+tar +or deHnir reglas +ara acceso lógiconicamente o tam,i;n +ara acceso !$sico" De,er$aredactar este documento solamente des+u;s deHnaliGado su +roceso de eFaluación ' tratamiento deriesgos"
8/20/2019 ISO27000.pdf
64/208
&
MODULO I: Introducción a ISO 27000
"rocedi!iento# o1eratio# 1ara ge#tión de (I
uede crear este +rocedimiento como un nicodocumento o como una serie de +ol$ticas '
+rocedimientosT si se trata de una em+resa+eEuea9 de,er$a tener menor cantidad dedocumentos" )ormalmente9 aEu$ +uede a,arcartodas las áreas de las secciones A"12 ' A"1%: gestiónde cam,ios9 serFicios de terceros9 co+ias de
seguridad9 seguridad de red9 códigos maliciosos9eliminación ' destrucción9 trans!erencia dein!ormación9 su+erFisión del sistema9 etc" >stedocumento se de,er$a redactar solamente una FeG
Eue Hnalice su +roceso de eFaluación ' tratamiento
8/20/2019 ISO27000.pdf
65/208
MODULO I: Introducción a ISO 27000
"rinci1io# de ingeniería 1ara #i#te!a #eguro >ste es un nueFo control en ISO 27001:201% 'reEuiere Eue se documenten los +rinci+ios de
ingenier$a de seguridad ,a(o la !orma de un+rocedimiento o norma ' Eue se deHna cómoincor+orar t;cnicas de seguridad en todas las ca+asde arEuitectura: negocio9 datos9 a+licaciones 'tecnolog$a" >stos +rinci+ios +ueden incluir Falidaciónde datos de entrada9 de+uración9 t;cnicas +araautenticación9 controles de sesión segura9 etc"
8/20/2019 ISO27000.pdf
66/208
MODULO I: Introducción a ISO 27000
"olítica de #eguridad 1ara 1roeedore#
>ste tam,i;n es un control nueFo en ISO 27001:201%9' una +ol$tica de este ti+o +uede a,arcar un am+lio
rango de controles: cómo se realiGa la selección de+otenciales contratistas9 cómo se e(ecuta laeFaluación de riesgos de un +roFeedor9 Eu; cláusulasincluir en el contrato9 cómo su+erFisar elcum+limiento de cláusulas contractuales de
seguridad9 cómo modiHcar el contrato9 cómo cerrar elacceso una FeG cancelado el contrato9 etc"
8/20/2019 ISO27000.pdf
67/208
7
MODULO I: Introducción a ISO 27000
"rocedi!iento 1ara ge#tión de incidente# >ste es un +rocedimiento im+ortante Eue deHne cómose in!orman9 clasiHcan ' mane(an las de,ilidades9eFentos e incidentes de seguridad" >ste +rocedimientotam,i;n deHne cómo a+render de los incidentes deseguridad de la in!ormación +ara Eue se +uedan eFitaren el !uturo" Un +rocedimiento de esta clase tam,i;n+uede inFocar al +lan de continuidad del negocio si un
incidente a ocasionado una interru+ción +rolongada
8/20/2019 ISO27000.pdf
68/208
@
MODULO I: Introducción a ISO 27000
"rocedi!iento# de la continuidad del negocio
eneralmente se trata de +lanes de continuidad delnegocio9 +lanes de res+uesta ante incidentes9 +lanesde recu+eración +ara el sector comercial de laorganiGación ' +lanes de recu+eración ante desastres+lanes de recu+eración +ara in!raestructura de I5">stos +rocedimientos se descri,en con ma'or detalleen la norma ISO 22%019 la +rinci+al norma
internacional +ara continuidad del negocio
8/20/2019 ISO27000.pdf
69/208
4
MODULO I: Introducción a ISO 27000$este listado de,e con!eccionarse en la eta+a mástem+rana +osi,le del +ro'ecto +orEue mucosdocumentos tendrán Eue ser desarrollados de acuerdo
a estos datos" >ste listado de,e incluir no sólo lasres+onsa,ilidades +ara el cum+limiento dedeterminados reEuerimientos9 sino tam,i;n los +laGos"
8/20/2019 ISO27000.pdf
70/208
70
MODULO I: Introducción a ISO 27000
$egi#tro# de ca1acitación= >ailidade#=e?1eriencia y cali@cacione#
>s el de+artamento de recursos umanos el Euegeneralmente se encarga de lleFar estos registros" Siusted no tiene un sector de este ti+o9 cualEuier+ersona Eue a,itualmente se encargue de losregistros de los em+leados de,er$a ser Euien realiceeste tra,a(o" /ásicamente9 ser$a suHciente una car+eta
en la Eue se encuentren todos los documentos
8/20/2019 ISO27000.pdf
71/208
71
MODULO I: Introducción a ISO 27000
$e#ultado# de #u1eri#ión y !edición
La !orma más sencilla de descri,ir cómo se miden loscontroles es a traF;s de +ol$ticas ' +rocedimientos
Eue deHnan a cada control" >n general9 estadescri+ción +uede ser realiGada al Hnal de cadadocumento9 ' cada descri+ción tiene Eue deHnir losti+os de I*D indicadores claFe de desem+eo5 Eue es
necesario medir +ara cada control o gru+o decontroles"Una FeG Eue se esta,leció este m;todo de control9usted de,e realiGar la medición en !unción de dicom;todo" >s im+ortante re+ortar los resultados de esta
medición en !orma regular a las +ersonas Eue están a
8/20/2019 ISO27000.pdf
72/208
72
MODULO I: Introducción a ISO 27000"rogra!a de auditoría interna
>l +rograma de auditor$a interna no es más Eue un+lan anual +ara realiGar las auditor$asT +ara lasem+resas más +eEueas9 +uede tratarse solamente
de una auditor$a9 mientras Eue +ara lasorganiGaciones más grandes +uede ser una serie de9+or e(em+lo9 20 auditor$as internas" >ste +rogramade,e deHnir Eui;n realiGará las auditor$as9 los
m;todos Eue se utiliGarán9 los criterios Eue sea+licarán9 etc"
8/20/2019 ISO27000.pdf
73/208
7%
MODULO I: Introducción a ISO 27000
$e#ultado# de la# auditoría# interna#
Un auditor interno de,e generar un in!orme deauditor$a9 Eue inclu'e los resultados de la auditor$a
o,serFaciones ' medidas correctiFas5" >ste in!ormede,e ser con!eccionado dentro de un +ar de d$as luegode realiGada la auditor$a interna" >n algunos casos9 elauditor interno tendrá Eue FeriHcar si todas lasmedidas correctiFas se a+licaron segn lo es+erado"
8/20/2019 ISO27000.pdf
74/208
7&
MODULO I: Introducción a ISO 27000
$e#ultado# de la rei#ión 1or 1arte de ladirección >stos registros se +resentan9 normalmente9 ,a(o la!orma de actas de reunión ' de,en incluir todo elmaterial tratado durante la reunión de la dirección9como tam,i;n todas las decisiones Eue se tomaron">stas actas +ueden ser en +a+el o en !ormato digital"
8/20/2019 ISO27000.pdf
75/208
7
MODULO I: Introducción a ISO 27000
$e#ultado# de accione# correctia#
eneralmente9 estos son incluidos en los !ormularios+ara medidas correctiFas M*5" Sin em,argo9 es
muco me(or agregar estos registros en algunaa+licación Eue 'a est; en uso en la organiGaciónT +ore(em+lo9 la Mesa de a'uda9 +orEue las medidascorrectiFas no son más Eue listas de actiFidades a
realiGar con res+onsa,ilidades9 tareas ' +laGos ,iendeHnidos"
8/20/2019 ISO27000.pdf
76/208
7
MODULO I: Introducción a ISO 27000
$egi#tro# #ore actiidade# de lo# u#uario#=e?ce1cione# y eento# de #eguridad
Ba,itualmente se lleFan de dos !ormas: 15 en
!ormato digital9 generados en !orma automática osemiautomática como registros de diFersas I ' deotros sistemas9 ' 25 en +a+el9 donde cada registro seace manualmente"
8/20/2019 ISO27000.pdf
77/208
77
MODULO I: Introducción a ISO 27000
"rocedi!iento 1ara control de docu!ento#
>n general9 este es un +rocedimiento inde+endiente9de 2 o % +áginas de eKtensión" Si usted 'a
im+lementó alguna otra norma como ISO 40019 ISO1&0019 ISO 22%01 o similar9 +uede utiliGar el mismo+rocedimiento +ara todos estos sistemas de gestión"A Feces es me(or redactar este +rocedimiento como el
+rimer documento de un +ro'ecto"
8/20/2019 ISO27000.pdf
78/208
7@
MODULO I: Introducción a ISO 27000
Controle# 1ara ge#tión de regi#tro# La !orma más sencilla es redactar el control deregistros en cada +ol$tica o +rocedimiento u otro
documento5 Eue reEuiera la generación de unregistro" >stos controles9 normalmente son incluidosacia el Hnal de cada documento ' se con!eccionan,a(o el !ormato de una ta,la Eue detalla dónde se
arciFa el registro9 Eui;n tiene acceso9 cómo se+rotege9 +or cuánto tiem+o se arciFa9 etc"
8/20/2019 ISO27000.pdf
79/208
74
MODULO I: Introducción a ISO 27000
"rocedi!iento 1ara auditoría interna
Ba,itualmente este es un +rocedimientoinde+endiente Eue +uede tener entre 2 ' % +áginas '
Eue tiene Eue ser redactado antes Eue comience laauditor$a interna" >n cuanto al +rocedimiento +aracontrol de documentos9 un +rocedimiento +araauditor$a interna +uede ser utiliGado +ara cualEuiersistema de gestión"
8/20/2019 ISO27000.pdf
80/208
@0
MODULO I: Introducción a ISO 27000
"rocedi!iento 1ara !edida# correctia#
>ste +rocedimiento no de,er$a eKceder las 2 o %+áginas ' +uede ser con!eccionado al Hnal del +ro'ecto
de im+lementación9 aunEue es me(or acerlo antes+ara Eue los em+leados +uedan !amiliariGarse con ;l"
8/20/2019 ISO27000.pdf
81/208
"$INCI"9LES CL98ES "9$9IM"L9N(9$ L9 ISO 2700+
•IdentiHcar los o,(etiFos de negocio
•Seleccionar un alcance adecuado
•Determinar el niFel de madureG ISO 27001
•AnaliGar el retorno de inFersión
8/20/2019 ISO27000.pdf
82/208
Dominios ISO 27002
8/20/2019 ISO27000.pdf
83/208
Dominios ISO 27002
8/20/2019 ISO27000.pdf
84/208
COMO 9D9"(9$SE
8/20/2019 ISO27000.pdf
85/208
8/20/2019 ISO27000.pdf
86/208
MODULO II: 9n3li#i# de $ie#go#
@
8/20/2019 ISO27000.pdf
87/208
@7
• ActiFos de seguridad de la in!ormación"
• Análisis ' Faloración de riesgos"
MODULO II: 9n3li#i# de $ie#go#
MODULO II: 9n3li#i# de $ie#go# 5 "roce#o de Ealuaciónd i
8/20/2019 ISO27000.pdf
88/208
@@
de $ie#go#
IdentiHcación' asación deActiFos
IdentiHcación
deReEuerimientos de
Seguridad
>Faluación dela +osi,ilidad
de Eue lasAmenaGas '
#ulnera,ilidades ocurran
*álculo de losRiesgos deseguridad
Selección deo+ciones de ratamiento
de Riesgoa+ro+iadas
Selección de*ontroles+ara reducirel Riesgo a
)iFelace+ta,le
MODULO II: 9n3li#i# de $ie#go# 5
8/20/2019 ISO27000.pdf
89/208
@4
MODULO II: 9n3li#i# de $ie#go# Identi@cación y (a#ación de 9ctio#
Un actiFo es algo Eue tiene Falor o utilidad +ara la organiGación9
sus o+eraciones ' su continuidad" >l ISO 17744 *ódigo de
ráctica +ara la estión de la Seguridad de In!ormación5
clasiHca los actiFos de la siguiente manera:
1" ActiFos de In!ormación: ,ases de datos ' arciFos de datos9
documentación del sistema9 manuales de usuario9 materiales
de entrenamiento9 +rocedimientos o+eratiFos de a+o'o9
+lanes de continuidad"
2" Documentos im+resos: documentos im+resos9 contratos9
lineamientos9 documentos de la com+a$a9 documentos Eue
contienen resultados im+ortantes del negocio"
%" ActiFos de so!t.are: So!t.are de a+licación9 so!t.are de
MODULO II: 9n3li#i# de $ie#go# 5 Identi@cación y( ió d 9 ti
8/20/2019 ISO27000.pdf
90/208
40
(a#ación de 9ctio#&" ActiFos !$sicos: >Eui+os de comunicación ' com+utación9
medios magn;ticos9 otros eEui+os t;cnicos"" ersonas: ersonal9 clientes9 suscri+tores"
" Imagen ' re+utación de la com+a$a
7" SerFicios: SerFicios de com+utación ' comunicación9 otros
serFicios t;cnicos"
La tasación de actiFos9 ,asados en las necesidades del negocio
de una organiGación9 es un !actor im+ortante en la eFaluación
del riesgo" ara +oder encontrar la +rotección a+ro+iada +aralos actiFos9 es necesario eFaluar su Falor en t;rminos de su
im+ortancia +ara el negocio"
8/20/2019 ISO27000.pdf
91/208
41
$el con(unto nico de +rinci+ios9 o,(etiFos ' reEuerimientos
+ara el +rocesamiento de in!ormación Eue una organiGación
a desarrollado +ara a+o'ar las o+eraciones del negocio ' sus
+rocesos"
MODULO II: 9n3li#i# de $ie#go# 5 Identi@cación de 9!ena6a# y8 l ilid d
8/20/2019 ISO27000.pdf
92/208
42
8ulnerailidade#Los actiFos están su(etos a mucos ti+os de amenaGas" Una amenaGa
tiene el +otencial de causar un incidente no deseado9 el cual +uede
generar dao al sistema9 la organiGación ' a los actiFos" >l dao +uede
ocurrir +or un ataEue directo o indirecto a la in!ormación
organiGacional" Las amenaGas +ueden originarse de !uentes
accidentales o de manera deli,erada" Una amenaGa +ara +oder causar
dao al actiFo9 tendr$a Eue eK+lotar la Fulnera,ilidad del sistema9
a+licación o serFicio"
Las Fulnera,ilidades son de,ilidades asociadas con los actiFos
organiGacionales" Las de,ilidades +ueden ser eK+lotadas +or laamenaGa9 causando incidentes no deseados9 Eue +udieran terminar
causando +;rdidas9 dao o deterioro a los actiFos"
La Fulnera,ilidad como tal9 no causa dao9 es sim+lemente una
condición o con(unto de condiciones Eue +ueden +ermitir Eue una
MODULO II: 9n3li#i# de $ie#go# 5 C3lculo de lo# $ie#go# deS id d
8/20/2019 ISO27000.pdf
93/208
4%
Seguridad
>l o,(etiFo de la eFaluación del riesgo es la de identiHcar '
eFaluar los riesgos" Los riesgos son calculados de unacom,inación de Falores de actiFos ' niFeles de reEuerimientos
de seguridad"
La eFaluación de riesgos enFuelFe la sistemática consideración
de los siguientes as+ectos:
• *onsecuencias"8 >l dao al negocio como resultado de un
incum+limiento de seguridad de in!ormación considerando las
+otenciales consecuencias de +;rdidas o !allas deconHdencialidad9 integridad ' dis+oni,ilidad de in!ormación"
• ro,a,ilidad"8 La real +osi,ilidad de Eue tal incum+limiento
ocurra a la luG del reinado de amenaGas9 Fulnera,ilidades '
controles"
MODULO II: 9n3li#i# de $ie#go# 5 C3lculo de lo# $ie#go# deSeguridad
8/20/2019 ISO27000.pdf
94/208
4&
Seguridad
>s im+ortante acer inca+i; Eue no eKiste unamanera
8/20/2019 ISO27000.pdf
95/208
4
91ro1iada# de (rata!iento del $ie#go
*uando los riesgos an sido identiHcados ' eFaluados9 la +róKima tarea
+ara la organiGación es identiHcar ' eFaluar la acción más a+ro+iadade cómo tratar los riesgos" La decisión de,e ser tomada ,asada en losactiFos inFolucrados ' sus im+actos en el negocio" Otro as+ectoim+ortante a considerar es el niFel de riesgo ace+ta,le Eue a sidoidentiHcado siguiendo la selección de la metodolog$a a+ro+iada deeFaluación"
>l estándar ISO 270019 reEuiere Eue la organiGación en relación altratamiento del riesgo siga cuatro +osi,les acciones: • A+licación de a+ro+iados controles +ara reducir los riesgos" Los
controles tienen Eue ser identiHcados en el aneKo A" Si los controles
no +ueden ser allados en el aneKo A9 la Hrma +uede crearlos 'documentarlos"• Ace+tar o,(etiFamente los riesgos +artiendo del su+uesto Eue
satis!acen la +ol$tica de la organiGación ' su criterio +ara laace+tación del riesgo"
• >Fitar los riesgos
• rans!erir el riesgo asociado a otras +artes"
MODULO II: 9n3li#i# de $ie#go# 5 Selección de O1cione#91ro1iada# de (rata!iento del $ie#go
8/20/2019 ISO27000.pdf
96/208
4
91ro1iada# de (rata!iento del $ie#go
La organiGación +or cada uno de los riesgos9 de,e eFaluar estas o+ciones
+ara identiHcar la más adecuada" Los resultados de esta actiFidad de,en
ser documentados ' luego la Hrma de,e documentar su sta o+ción +uede ser Fistacomo la me(or si es im+osi,le reducir los niFeles del riesgo" >Kisten mucas
alternatiFas a considerar en relación a la estrategia de trans!erencia del
riesgo" La trans!erencia del riesgo +odr$a alcanGarse tomándose una +óliGa
de seguro" Otra +osi,ilidad +odr$a ser la utiliGación de serFicios de
MODULO II: 9n3li#i# de $ie#go# 5 Selección de Controle# 1ara$educir lo# $ie#go# a un Niel 9ce1tale
8/20/2019 ISO27000.pdf
97/208
47
$educir lo# $ie#go# a un Niel 9ce1tale
ara reducir el riesgo eFaluado dentro del alcance del SSI
considerado9 controles de seguridad a+ro+iados ' (ustiHcados de,enser identiHcados ' seleccionados" >stos controles de,en ser
seleccionados del aneKo A del ISO 27001" >l estándar +resenta 11
cláusulas9 %4 o,(etiFos de control ' 1%% controles es+ec$Hcos" >s mu'
im+ortante estar claros so,re el rol del ISO 17744:200" LaorganiGación +uede utiliGar el ISO 17744: como gu$a +ara la
im+lementación de los controles9 +ero de,en ser escogidos del ISO
27001"
La selección de los controles de,e ser sustentada +or los resultados de
la eFaluación del riesgo" Las Fulnera,ilidades con las amenaGas
asociadas indican donde la +rotección +udiera ser reEuerida ' Eue
!orma de,e tener" >s+ecialmente +ara +ro+ósitos de certiHcación9 las
relaciones con la eFaluación del ries o de,en ser documentadas ara
MODULO II: 9n3li#i# de $ie#go# 5 Selección de Controle# 1ara$educir lo# $ie#go# a un Niel 9ce1tale
8/20/2019 ISO27000.pdf
98/208
4@
$educir lo# $ie#go# a un Niel 9ce1tale
*uando se seleccionan controles +ara la im+lementación9 un nmero
de !actores de,en ser considerados9 inclu'endo:
• Uso de controles
• rans+arencia del usuario
• A'uda otorgada a los usuarios +ara desem+ear su !unción• RelatiFa !uerGa de los controles
• i+os de !unciones desem+eadas"
>n t;rminos generales9 un control +odrá satis!acer más de una de
estas !unciones"
MODULO II: 9n3li#i# de $ie#go# 5 $educción del $ie#go y #u9ce1tación
8/20/2019 ISO27000.pdf
99/208
44
9ce1tación
ara todos aEuellos riesgos donde la decisión de
8/20/2019 ISO27000.pdf
100/208
100
MODULO II: 9n3li#i# de $ie#go# $ie#go $e#idual
Des+u;s de identiHcar los controles adecuados +ara reducir un riesgo
es+ec$Hco al niFel considerado ace+ta,le9 de,e eFaluarse cuanto loscontroles9 si se im+lementan reducirán el riesgo" >sta reducción de
riesgo es el denominado
8/20/2019 ISO27000.pdf
101/208
101
MODULO II: 9n3li#i# de $ie#go# $ie#go $e#idual
Des+u;s de la im+lementación de los controles seleccionados9 es
im+ortante estar claros9 Eue siem+re a,rá riesgos eKistentes" >stosucede +or Eue los sistemas de in!ormación en las organiGaciones
nunca +odrán estar a,solutamente seguros" >sta es la raGón +or la cual
es necesario reFisar la im+lementación9 ' los resultados de los
controles +ara Hnalmente eFaluar Eu; tan ,ien los controlesim+lementados están o+erando" >ste es !undamentalmente el
+ro+ósito de las
8/20/2019 ISO27000.pdf
102/208
102
g g
Una matriG de riesgo constitu'e una erramienta de control ' de
gestión normalmente utiliGada +ara identiHcar las actiFidades+rocesos ' +roductos5 más im+ortantes de una em+resa9 el ti+o '
niFel de riesgos inerentes a estas actiFidades ' los !actores eKógenos
' endógenos relacionados con estos riesgos !actores de riesgo5"
Igualmente9 una matriG de riesgo +ermite eFaluar la e!ectiFidad de unaadecuada gestión ' administración de los riesgos Hnancieros Eue
+udieran im+actar los resultados ' +or ende al logro de los o,(etiFos de
una organiGación"
Una e!ectiFa matriG de riesgo +ermite acer com+araciones o,(etiFas
entre +ro'ectos9 áreas9 +roductos9 +rocesos o actiFidades" odo ello
constitu'e un so+orte conce+tual ' !uncional de un e!ectiFo Sistema
Integral de estión de Riesgo
MODULO II: 9n3li#i# de $ie#go# 5 ;a#e#
8/20/2019 ISO27000.pdf
103/208
10%
A +artir de los o,(etiFos estrat;gicos ' +lan de
negocios9 la administración de riesgos de,e
desarrollar un +roceso +ara la
8/20/2019 ISO27000.pdf
104/208
10&
MODULO II: 9n3li#i# de $ie#go# 5 8alori6ación
8/20/2019 ISO27000.pdf
105/208
10
La FaloriGación consiste en asignar a los riesgos caliHcaciones dentro
de un rango9 Eue +odr$a ser +or e(em+lo: de 1 a insigniHcante 159
,a(a 259 media %59 moderada &5 o alta 59 de+endiendo de lacom,inación entre im+acto ' +ro,a,ilidad" >n el siguiente gráHco se
Fe un e(em+lo:
MODULO II: 9n3li#i# de $ie#go# 5 $ie#go re#idual
8/20/2019 ISO27000.pdf
106/208
10
inalmente se calcula el Riesgo )eto o Residual9 Eue resulta de
la relación entre el grado de mani!estación de los riesgos
inerentes ' la gestión de mitigación de riesgos esta,lecida +or
la administración" >n el siguiente cuadro se muestra un e(em+lo+ara calcular el riesgo residual utiliGando escalas num;ricas
de +osición de riesgo:
MODULO II: 9n3li#i# de $ie#go# 5 $ie#go re#idual
8/20/2019 ISO27000.pdf
107/208
107
MODULO II: 9n3li#i# de $ie#go# 5 Conclu#ione#
8/20/2019 ISO27000.pdf
108/208
10@
La im+lementación del ISO 27001 dentro de cierto alcance +reFiamente
determinado en la em+resa9 tiene un reEuerimiento ,ásico9 el cual es
una com+leta +artici+ación de la gerencia" >ste estándar es un sistemade gestión" >sta eco +ara gestionar un sistema de seguridad de
in!ormación" Su +ro+ósito !undamental es el de asegurar Eue la
in!ormación en la Hrma mantenga: conHdencialidad9 integridad '
dis+oni,ilidad"
La gestión del riesgo es el tema central de este nueFo estándar
internacional" Un antiguo aKioma +lantea Eue uno no +uede me(orar lo
Eue no se +uede medir" >sto es cierto +ara la gestión del riesgo" Uno no
+uede gestionar el riesgo si no se +uede medirlo"
La dinámica de este nueFo estándar es ,ien clara en t;rminos de
mitigar la in!ormación del riesgo en la em+resa" La Hrma tiene la
autonom$a de decidir el alcance del estándar" Luego tiene Eue
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad
8/20/2019 ISO27000.pdf
109/208
Modelos de estión de Riesgos
– *O/I "0 – RisP I – MVoVR – MA>RI – )IS S @008%0 – Microso!t reat Modeling – SRID>=DR>AD – RIW> – AS=)XS &%0 – *#SS
– O*A#> – *RAMM – A – A*> eam
104
g
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad 5 COI( .
8/20/2019 ISO27000.pdf
110/208
110
g
*O/I +ermite administrar a las I de manera integral +ara toda la
em+resa9 teniendo en cuenta la totalidad del negocio9 las áreas !uncionales
de res+onsa,ilidad de las I ' los intereses de las +artes interesadas
staPeolders59 internas ' eKternas9 relacionadas con las I"
*O/I +ara la Seguridad de la In!ormación se ,asa en el marco de control*O/I ' +ro+orciona una gu$a más detallada +ara los +ro!esionales en
seguridad de la in!ormación ' los staPeolders a todos los niFeles de la
em+resa"
*O/I inclu'e los siguientes +rocesos:• APO13 Administración de la Seguridad
• DSS0- Gestión de la Continuidad
• DSS0. Gestión de los servicios de seguridad
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad COI( .
8/20/2019 ISO27000.pdf
111/208
111
g
Los +rinci+ales controladores de *O/I +ara la Seguridad de In!ormación
son:
• La necesidad de descri,ir la seguridad de in!ormación en un conteKtoem+resarial"
• Una necesidad de la em+resa cada FeG ma'or de: Mantener los riesgosa un niFel ace+ta,le ' +roteger la in!ormación contra la diFulgación noautoriGada9 modiHcaciones no autoriGadas o accidentales ' +osi,lesintrusionesT la satis!acción del usuario mediante la dis+oni,ilidad de losserFicios de I ' el cum+limiento de le'es ' reglamentos"
• La necesidad de conectarse9 ' alinearse con otros im+ortantes marcos 'estándares en el mercado"
• La necesidad de unir todas las +rinci+ales inFestigaciones de ISA*A conun en!oEue +rinci+al en el Modelo de )egocio de In!ormación deSeguridad
8/20/2019 ISO27000.pdf
112/208
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad $i# I(
8/20/2019 ISO27000.pdf
113/208
11%
g
u,licada en el 2004 +or ISA*A" La gestión del riesgo em+resarial es un
com+onente esencial de la administración res+onsa,le de cualEuier
organiGación" De,ido a su im+ortancia9 los riesgos I de,en ser
entendidos como riesgos claFe +ara el negocio"
>l marco I +ermite a los usuarios:
• Integrar la gestión de riesgos I con el >RM"
• >ntender cómo gestionar el riesgo"
rinci+ios:
• Alineación con los o,(etiFos de negocio
• Alineación de la gestión de riesgos de I con el >RM
• /alancear los costos ' ,eneHcios de la gestión de riesgos de I
• romoFer la comunicación (usta ' a,ierta de los riesgos de I
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad 5 $i# I(
8/20/2019 ISO27000.pdf
114/208
11&
g
>Kisten tres dominios en el marco RisP I:• o,ierno del Riesgo: Asegura de Eue las +rácticas de gestión de
riesgos de I est;n integradas en la em+resa9 con el o,(etiFo detener una ó+tima renta,ilidad" Se ,asa en los siguientes+rocesos: >sta,lecer ' mantener una Fisión comn del riesgo" Integrarlo con el ERM
Bacer una concientiGación del riesgo en las decisiones de laem+resa"
• >Faluación del Riesgo: Asegurar Eue los riesgos I seanidentiHcados '
analiGados" Se ,asa en los siguientes +rocesos:
Reco+ilación de in!ormación Análisis del Riesgo Ma+a de Riesgos
• Res+uesta a los riesgos: Los riesgos de,en ser clasiHcados deacuerdo a
las +rioridades del negocio:
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad Mo$
8/20/2019 ISO27000.pdf
115/208
11
Los +rinci+ales temas Eue a,arca la u$a son:
• rinci+ios MVoVR: Los +rinci+ios están alineados con los descritosen ISO %10009 ' +ara ser más consistente con los +rinci+ios de
otras u$as de estión"
Los +rinci+ios son:
Alineación con los o,(etiFos de la em+resa"
Ada+tación con el conteKto"
*om+romiso de las +artes interesadas" stakeholders5
ro+orcionar una orientación clara" In!ormación de las decisiones tomadas"
Me(ora *ontinua"
*reación de una cultura la cual a+o'e los +rinci+ios"
Lo rar un Falor medi,le"
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad Mo$
8/20/2019 ISO27000.pdf
116/208
11
• >n!oEue MVoVR: >n donde se encuentra toda la documentación
de la estión del Riesgo"
• roceso MVoVR: Ba' un gran ;n!asis a la necesidad de
comunicación a lo largo de las di!erentes !ases del +roceso"
>Kisten & !ases: IdentiHcación
ActiFos
lan
Im+lementación
• ReFisión MVoVR: >ste ca+$tulo a sido reescrito +ara me(orar la
orientación so,re cómo integrar la gestión de riesgos"
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad M94E$I(
8/20/2019 ISO27000.pdf
117/208
• Se trata de una metodolog$a+romoFida +or el *SA> *onse(oSu+erior de administración
electrónica5 Eue +ersigue unaa+roKimación metódica al análisis deriesgos"
• Se trata +or tanto de unametodolog$a +ara auKiliar en tarea detoma de decisiones en entornoscr$ticos" 117
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad M94E$I(
8/20/2019 ISO27000.pdf
118/208
• Los o,(etiFos de la a+licación de este modelo son: – *oncientiGar a los res+onsa,les de los sistemas de in!ormación de la
eKistencia de riesgos ' de la necesidad de ata(arlos a tiem+o – O!recer un m;todo sistemático +ara analiGar tales riesgos – A'udar a descu,rir ' +laniHcar las medidas o+ortunas +ara mantener
los riesgos ,a(o control – A+o'ar la +re+aración a la OrganiGación +ara +rocesos de eFaluación9
auditor$a9 certiHcación o acreditación9 segn corres+onda en cadacaso
• Su a+licación se estructura en cinco niFeles: – Modelo de Falor
– Modelo de riesgos – >stado de los riesgos – In!orme de insuHciencias – lan de seguridad
11@
#eguridad M94E$I(
8/20/2019 ISO27000.pdf
119/208
Modelo#de 4e#tiónde
$ie#go#:Magerit
114
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad NIS( S" 00&0
8/20/2019 ISO27000.pdf
120/208
120
>l )IS National Institute of Standards and Technology 5 a
incluido una metodolog$a Risk Management Guide for Information
Technology Systems5 +ara el análisis ' gestión de riesgos de la
Seguridad de la In!ormación9 alineada ' com+lementaria con el
resto de documentos de la serie"*om+uesta +or tres +rocesos +rinci+ales:
• #aloración del riesgo9
• Mitigación del Riesgo '
• >Faluación del Riesgo"
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad NIS( S" 00&0
8/20/2019 ISO27000.pdf
121/208
121
• #aloración del Riesgo: Inclu'e 4 +asos"
aso 1: *aracteriGación del Sistema
aso 2: IdentiHcación de la amenaGa
aso %: IdentiHcación de una Fulnera,ilidad
aso &: Análisis de *ontrol aso : Determinación de la +ro,a,ilidad
aso : Análisis del Im+acto
aso 7: Determinación del Riesgo
aso @: Recomendaciones del *ontrol
aso 4: Resultados de la documentación
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad NIS( S" 00&0
8/20/2019 ISO27000.pdf
122/208
122
• Mitigación del Riesgo: Inclu'e +rioriGación9 eFaluación e
im+lementación de los a+ro+iados controles +ara reducir el
riesgo9 recomendados del +roceso +reFio"
• >Faluación del Riesgo: >n esta eta+a se ace inca+i; en la
,uena +ráctica ' la necesidad de una eFaluación continua del
riesgo ' la eFaluación ' los !actores Eue conduGcan a un
+rograma de gestión de riesgos eKitoso"
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad Micro#ot (>reat Modeling
8/20/2019 ISO27000.pdf
123/208
>ste modelo tienecinco +asos:1" IdentiHcar los o,(etiFos de
seguridad2" >Faluar el sistema%" RealiGar la
descom+osición delsistema
&" IdentiHcar las amenaGas" IdentiHcar las
Fulnera,ilidades
12%
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad Micro#ot (>reat Modeling
8/20/2019 ISO27000.pdf
124/208
• IdentiHcar los O,(etiFos – Los o,(etiFos se +ueden clasiHcar en :
• O,(etiFos de Identidad
• O,(etiFos inancieros• O,(etiFos de re+utación• O,(etiFos de integridad ' conHdencialidad• O,(etiFos de dis+oni,ilidad
12&
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad Micro#ot (>reat Modeling
8/20/2019 ISO27000.pdf
125/208
• >Faluación del sistema – Una FeG Eue se an declarado los
o,(etiFos se de,e analiGar el diseo del
sistema +ara identiHcar loscom+onentes9 los Yu(os de in!ormación 'los l$mites de conHanGa"
• Descom+oner el sistema – Im+lica identiHcar las caracter$sticas '
los módulos con im+acto en la seguridadEue de,en ser eFaluados"
12
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad Micro#ot (>reat Modeling
8/20/2019 ISO27000.pdf
126/208
• IdentiHcar las amenaGas – Se +arte del eco de Eue es im+osi,le
identiHcar amenaGas Eue no son
conocidas" or lo tanto9 concentrándoseen los riesgos conocidos9 se realiGa unaidentiHcación ,asada en el em+leo deerramientas de /ugraE"
12
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad Micro#ot (>reat Modeling
8/20/2019 ISO27000.pdf
127/208
• IdentiHcar las amenaGas – Además de sa,er Eu; ti+o de amenaGa es el
Eue se +uede identiHcar9 es +reciso clasiHcarEui;n es el +osi,le atacante" Se +ro+one la
siguiente clasiHcación:• Descu,rimiento accidental• Mal.are automático• Atacante curioso
• Scri+t Widdies• Atacante MotiFado• *rimen organiGado
127
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad S($IDE
8/20/2019 ISO27000.pdf
128/208
• SRID> es una metodolog$a +araidentiHcar amenaGas conocidas">sta,lece seis categor$as:
– S+ooHng Identit' – am+ering .it Data – Re+udiation –
In!ormation Disclosure – Denial o! serFice – >leFation o! +riFilege
12@
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad S($IDE
8/20/2019 ISO27000.pdf
129/208
• DR>AD es un modelo Eue +ermiteesta,lecer un grado de riesgo Eue+ermite ordenar los riesgos mediante
la eFaluación de cinco categor$as"• ro+one una eK+resión Eue se
traduce en un $ndice:
124
5
)(
_ ILITY DISCOVERABUSER AFFECTED
ITY EXPLOTABIL BILITY REPRODUCTI DAMAGE
Dread Risk +
+++
=
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad S($IDE
8/20/2019 ISO27000.pdf
130/208
• Damage Potential Si la amenaGa se materialiGa9 Zcuánto dao+uede causar[ – 0 \ )oting – \ IndiFidual user data is com+romised or a]ected" – 10 \ *om+lete s'stem or data destruction
• Reproducibility Z*ómo de !ácil es re+roducir el eK+loit[ – 0 \ #er' ard or im+ossi,le9 eFen !or administrators o! te a++lication" – \ One or t.o ste+s reEuired9 ma' need to ,e an autoriGed user" – 10 \ Just a .e, ,ro.ser and te address ,ar is su^cient9 .itout
autentication"
• Exploitability Z_u; se necesita +ara materialiGar la amenaGa[ – 0 \ AdFanced +rogramming and net.orPing Pno.ledge9 .it custom or
adFanced attacP tools" – \ Mal.are eKists on te Internet9 or an eK+loit is easil' +er!ormed9 using
aFaila,le attacP tools" – 10 \ Just a .e, ,ro.ser
1%0
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad S($IDE
8/20/2019 ISO27000.pdf
131/208
• Afected Users Z*uántos usuarios se Fen a!ectados[ – 0 \ )one – \ Some users9 ,ut not all – 10 \ All users
• Discoverability Z*ómo de !acil es descu,rir esta
amenaGa[ – 0 \ #er' ard to im+ossi,leT reEuires source code or
administratiFe access" – \ *an Hgure it out ,' guessing or ,' monitoring net.orP
traces"
– 4 \ Details o! !aults liPe tis are alread' in te +u,lic domain andcan ,e easil' discoFered using a searc engine" – 10 \ e in!ormation is Fisi,le in te .e, ,ro.ser address ,ar or
in a !orm"
1%1
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad ($IFE
8/20/2019 ISO27000.pdf
132/208
• >s un modelo similar al +ro+uesto desdeMicroso!t"
• >Kisten sin em,argo di!erencias" RIW>+ro+one una a+roKimación a la descri+cióndel riesgo Eue no ana los ataEues9 lasamenaGas ' las Fulnera,ilidades"
• Al contrario9 +ermite distinguir unos de
otros constru'endo un sistema eK+erto+ara toma de decisiones"
1%2
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad 5 9S*NGS -&/0
8/20/2019 ISO27000.pdf
133/208
• >l Australian=)e. Xealand Standard es sim+le9mu' YeKi,le e iteratiFo "• ro+orciona una serie de con(untos de ta,las de
riesgos como e(em+los9 +ero +ermite desarrollar
' ada+tar su +ro+io modelo a las organiGaciones"• >l modelo se resume en cinco +untos" – >sta,lecer el conteKto – IdentiHcar los riesgos
– AnaliGar los riesgos – >Faluar los riesgos – Ba,ilitar contramedidas"
1%%
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad C8SS
8/20/2019 ISO27000.pdf
134/208
• >l de+artamento de Bomeland Securit'DBS5 del go,ierno de >>UU esta,lecióEue el denominado gru+o R=**' e/a'"
• Uno de los resultados de este gru+o asido el *#SS - *ommon #ulnera,ilit'Scoring S'stem
1%&
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad C8SS
8/20/2019 ISO27000.pdf
135/208
• *#SS no es un modelo en s$9 sino Eue +ermitenormaliGar las notiHcaciones de seguridad asignándoleuna m;trica nica a las amenaGas descu,iertas"
• La deHnición de la m;trica es mu' com+le(a ' sucálculo im+lica tener en cuenta !actores so!t.are ' deentorno"
• La eFaluación de estos !actores o,liga a utiliGar unata,la +ara determinar el grado de criticidad de lasamenaGas conocidas"
• De eco la so,recarga Eue su+one calcular el $ndice*#SS so,re una a+licación determinada aumenta!actorialmente con cada amenaGa Eue se estima"
1%
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad C8SS
8/20/2019 ISO27000.pdf
136/208
• *#SS no encuentra ni reduce la su+erHciede ataEue"
• am+oco enumera los riesgos +ara una+rograma determinado"
• Lo Eue +ro+orciona es una a+roKimaciónt;cnica9 estandariGada9 a,ierta ' ordenadade una Fulnera,ilidad es+ec$Hca"
1%
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad OC(98E
8/20/2019 ISO27000.pdf
137/208
• Se trata de un modelo mu' com+le(ooriginario de la *arnagie Mellon UniFersit'en cola,oración con el *>R"
• Se centra en la eFaluación del riesgoorganiGatiFo ' no t;cnico"
• AunEue til en la gestión de grandesorganiGaciones es demasiado costoso ' no
+ro+orciona medidas +ara mitigar lose!ectos de las amenaGas" >s más ,ien undecálogo de ,uenas costum,res"
1%7
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad C$9MM
8/20/2019 ISO27000.pdf
138/208
*RAMM 8 **A *entral *om+uter and elecommunications Agenc'5 RisP Anal'sisand Management Metod5 – ro+uesta creada +or la **A de Reino Unido" – Actualmente está en su Euinta Fersión – >stá estructurada en tres eta+as – *ada eta+a está estructurada +or unos
cuestionarios Eue +ermiten identiHcar 'analiGar los riesgos del sistema" La ltimaeta+a +ro+one contramedidas +ara los riesgos"
1%@=%@
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad C$9MM
http://en.wikipedia.org/wiki/CCTAhttp://en.wikipedia.org/wiki/CCTA
8/20/2019 ISO27000.pdf
139/208
• >ta+a 1: >sta,lecimiento de o,(etiFos – DeHnir los l$mites del estudio" – IdentiHcar ' Falorar los actiFos del sistema" – Determinar el Falor de los datos del sistema a
traF;s de entreFistas con el +ersonal acercadel +otencial dao em+resarial Eue tendr$a la!alta de dis+oni,ilidad9 su destrucción9 !altade conHdencialidad o su modiHcación"
– IdentiHcar ' Falorar los actiFos so!t.are delsistema"
1%4=%@
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad C$9MM
8/20/2019 ISO27000.pdf
140/208
• >ta+a 2: >Faluación de riesgos – IdentiHcar ' Falorar el ti+o ' niFel de
amenaGas Eue +odr$an a!ectar al
sistema" – >Faluar la eK+osición del sistema !rentea estas amenaGas"
– *om,inar am,os as+ectos con la
Faloración de los actiFos +aradeterminar una medida del riesgo"
1&0=%@
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad C$9MM
8/20/2019 ISO27000.pdf
141/208
• >ta+a %: IdentiHcación ' Selección decontramedidas – Se +ro+one una li,rer$a de
contramedidas agru+adas en 70 gru+oslógicos +ara !acilitar su a+licación"
1&1=%@
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad "(9
8/20/2019 ISO27000.pdf
142/208
• >l "ractical (>reat 9naly#i#+ro+one una suite +ara la
ela,oración de modelos de gestiónde riesgos ' +ermite estimar un niFelde seguridad a +artir de la
in!ormación incluida en cada+ro'ecto"
1&2
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad "(9
8/20/2019 ISO27000.pdf
143/208
• La realiGación del modelo conlleFa9 como en casosanteriores una serie de !ases: – >sta,lecer los +rerreEuisitos del modelo – >sta,lecer lista de etiEuetas – IdentiHcar los recursos del sistema – IdentiHcar las Fulnera,ilidades del sistema – IdentiHcar las contramedidas – IdentiHcar a los atacantes +otenciales – IdentiHcar los +otenciales +untos de entrada del sistema"
– *onstruir los escenarios de amenaGas ' los +lanes demitigación
– >studiar los resultados"
1&%
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad 5 9CE (ea!
8/20/2019 ISO27000.pdf
144/208
• >l A*> eam A++lication *onsulting` >ngineering eam5 es +arte deIn!oSec en Microso!t ' los
encargados de desarrollar un modelode gestión de riesgos"
1&&
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad 5 9CE (ea!
8/20/2019 ISO27000.pdf
145/208
• Se +ro+one una metodolog$a +ara la eKtracción deun modelo de gestión de riesgos: – IdentiHcar los o,(etiFos de negocio – DeHnir +erHles de usuario – DeHnir datos – DeHnir los controles de acceso a datos – enerar los cases +ara cada usuario – DeHnir com+onentes9 serFicios e identidades – Detallar las llamadas de ' desde el sistema"
– enerar ' eFaluar las amenaGas AttacP Li,rar'5 – IdentiHcar la releFancia de cada com+onente – Remarcar las contramedidas"
1&
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad 9CE (ea!
8/20/2019 ISO27000.pdf
146/208
• AttacP Li,rar' – >sta diseada +ara:
• Dis+oner del m$nimo de in!ormación"
• ransmitir la relación del eK+loit9 la causa ' lacontramedida"
• Ser accesi,le +ara Eue la es+eciHcación deataEues no su+onga la +resencia de un t;cnico
aFanGado en seguridad" – >ntender cómo +ro,ar el eK+loit – >ntender cómo reconocer una Fulnera,ilidad – >ntender cómo im+lementar contramedidas
1&
#eguridad 5 9CE (ea!
8/20/2019 ISO27000.pdf
147/208
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad 5 9CE (ea!
8/20/2019 ISO27000.pdf
148/208
•Si!!ing –(>reat - eK+osure o! AM card=account data due to te
+resence o! sPimming deFices on macines9ttac 8SPimming deFice +laced oFer card reader slot
8ulneraility - User cannot tell .en a sPimmingdeFice is +resent
Mitigation - +lace an L*D screenalong edge o! card slot" en user inserts card9 asP user
to enter code dis+la'ed on L*D" I! te user cannot seete L*D9 sPimming deFice +resent9 noti!' ,anP +ersonnel
1&@
MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad 5 Conclu#ione#
8/20/2019 ISO27000.pdf
149/208
• >s necesario deHnir un modelo de eFaluación deriesgos• Los modelos eKistentes sólo +ermiten eFaluar
amenaGas conocidas" >sta eFaluación se +uedeacer de !orma cualitatiFa o cuantitatiFa"
• Una +arte claFe de estos modelos es la deHnición deuna m;trica Eue +ermita eFaluar el niFel deseguridad de un sistema"
• >n la deHnición de esta m;trica es +reciso eFaluar
las Fulnera,ilidades '9 en eso de nueFo9 a' dos+osi,ilidades: una cuantitatiFa más costosa5 ' otracualitatiFa menos +recisa ' o,(etiFa5"
1&4
8/20/2019 ISO27000.pdf
150/208
8/20/2019 ISO27000.pdf
151/208
L I l ió d SSD , l i i
MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación'
8/20/2019 ISO27000.pdf
152/208
La Im+lementación de un SSD se ,asa en los siguientesestándares internacionales:
• /S 10012:2004 Data +rotection - S+eciHcation !or a +ersonalin!ormation management s'stem
• ISO=I>* 27001:201%9 In!ormation tecnolog' - Securit' tecniEues -In!ormation securit' management s'stems - ReEuirements"
• ISO=I>* 27002:201%9 In!ormation tecnolog' - Securit' tecniEues -*ode o! +ractice !or in!ormation securit' controls"
• ISO=I>* 2700:200@9 In!ormation ecnolog'-Securit' tecniEues-In!ormation securit' risP management"
• ISO=I>* 24100:2011 In!ormation tecnolog' - Securit' tecniEues -
riFac' !rame.orP• ISO %1000:20049 RisP management - rinci+les and guidelines• ISO UID> 729 uidelines !or te (ustiHcation and deFelo+ment o!
management s'stems
12
MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación'
8/20/2019 ISO27000.pdf
153/208
La Im+lementación de un SSD se ,asa en los siguientesestándares internacionales:
• ISO UID> 7%9 RisP management - #oca,ular'
• ISO 4000:2009 _ualit' management s'stems 88 undamentals and
Foca,ular'
• )IS S @0081& enerall' Acce+ted rinci+les and ractices !or
Securing In!ormation ecnolog' S'stems
• O>*D uidelines !or te Securit' o! In!ormation S'stems and )et.orPs- o.ards a *ulture o! Securit'"
1%
MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación
8/20/2019 ISO27000.pdf
154/208
1&
• La in!ormación es un actiFo esencial ' es decisiFa +ara la
Fia,ilidad de una organiGación" Ado+ta di!erentes !ormas9im+resa9 escrita en +a+el9 digital9 transmitida +or correo9mostrada en Fideos o a,lada en conFersaciones"
• De,ido a Eue está dis+oni,le en am,ientes cada FeG másinterconectados9 está eK+uesta a amenaGas 'Fulnera,ilidades"
• La seguridad de la in!ormación es la +rotección de lain!ormación contra una am+lia gama de amenaGasT +araminimiGar los daos9 am+liar las o+ortunidades del negocio9
maKimiGar el retorno de las inFersiones ' asegurar lacontinuidad del negocio"
• Se Fa logrando mediante la im+lementación de un con(untoadecuado de +ol$ticas9 +rocesos9 +rocedimientos9
organiGación controles ard.are ' so!t.are ' lo más
MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación
8/20/2019 ISO27000.pdf
155/208
1
• ara ISO International OrganiGation !or StandardiGation5 un
sistema de gestión Eueda deHnido +or un +roceso de &eta+as9 creado +or alter 9ndreJ S>eJ>art 1@41 - 1475
' +o+ulariGado +or illia! EdJard# De!ing 1400 -
144%59 laniHcar lan59 Im+lementar Do59 Medir *ecP5 '
Me(orar Act5"
laniHcar
Im+lementar Medir
Me(orar
Conce1to# generale# de un S4SI
MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación
8/20/2019 ISO27000.pdf
156/208
1
Conce1to# generale# de un S4SI
• ISO 27001 es un Sistema de estión de la Seguridad de laIn!ormación SSI5"• La seguridad de la in!ormación Eueda deHnida +or tres
atri,utos:a5 *onHdencialidadT
,5 IntegridadTc5 Dis+oni,ilidad"•) La seguridad de la in!ormación SI5 es la +rotección de la
in!ormación contra una am+lia gama de amenaGas res+ectoa: i5 MinimiGar daosT ii5 O+ortunidades del negocioT iii5Retorno de la inFersiónT iF5 *ontinuidad del negocioT F5*ultura ;tica"
•) >l SSI garantiGa la SI mediante una estructura de ,uenas+rácticas9 deHnidas +or: a5 estión de riesgosT ,5 ol$ticasT c5rocesosT d5 rocedimientosT e5 *ontrolesT !5 ReFisionesT g5Me(oras"
MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación
8/20/2019 ISO27000.pdf
157/208
17
La Seguridad de la In!ormación consiste en mantener:
• Con@dencialidad: In!ormación dis+oni,leeKclusiFamente a +ersonas autoriGadas"
• Integridad: Mantenimiento de la eKactitud ' FalideG de lain!ormación9 +rotegi;ndola de modiHcaciones oalteraciones no autoriGadas" *ontra la integridad lain!ormación +uede +arecer mani+ulada9 corru+ta oincom+leta"
• Di#1oniilidad: Acceso ' utiliGación de los serFicios sólo' en el momento de ser solicitado +or una +ersonaautoriGada"
La docu!entación
8/20/2019 ISO27000.pdf
158/208
• or e(em+lo9 el alcance del SSI Eueda cu,ierto +or los
MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación 9lcance
8/20/2019 ISO27000.pdf
159/208
14
( + 9 E +
+rocesos de las siguientes áreas:• acilit'
>s+acio !$sicoT energ$a el;ctricaT aire acondicionadoT+rotección contra incendiosT accesos
• Administración MonitoreoT accesos lógicosT ,ases de datosT
a+licatiFos• >K+lotación=Res+aldo
Mallas de +rocesosT almacenamiento de in!ormación• *omunicaciones
Redes de datosT seguridad lógicaT monitoreo eEui+os de
comunicacionesT enlaces• >R SA Administración de sistemas SA"
MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación $oad!a1
8/20/2019 ISO27000.pdf
160/208
10
MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación
8/20/2019 ISO27000.pdf
161/208
11
8/20/2019 ISO27000.pdf
162/208
12
8/20/2019 ISO27000.pdf
163/208
1%
• *omit; de seguridad de la In!ormación *SI5 A "1"2 ó A "1"%5
MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación Organi6ación
8/20/2019 ISO27000.pdf
164/208
1&
8/20/2019 ISO27000.pdf
165/208
1
>l *omit; de /asilea II lo deHne como: ste +roceso de riesgo o+eracional es el Eue de,er$a garantiGar la,uena gestión de los riesgos segn los estándaresinternacionales"
Segn el *omit; de /asilea II9 se entiende +or
8/20/2019 ISO27000.pdf
166/208
1
• DeHnir cuáles serán tratados" or e(em+lo9los incidentes ma'ores" *omo se trata de
un tema de cam,io cultural9 la
recomendación es ir desde lo sim+le a lo
com+le(o"5
• rocedimiento de incidentes de SI"• ratamiento"
MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación 5 "lan de continuidad del negocio
8/20/2019 ISO27000.pdf
167/208
17
• Alcance"• estión de riesgo"
• >strategias de continuidad"
• lan de *ontinuidad"
• rue,as"
• Me(oras"
MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación 5 9uditoría# interna#
8/20/2019 ISO27000.pdf
168/208
1@
• re+aración de auditores"• *alendario"
• >(ecución del calendario"
• ratamiento de allaGgos"
• Me(oras"
MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación 5 $ei#ione# 4erenciale#
8/20/2019 ISO27000.pdf
169/208
14
• La alta dirección de,e reFisar el SSI9 segn la +laniHcacióndeHnida9 segn conFeniencia9 suHciencia ' e!ectiFidad"• >stado de las acciones9 en !unción de las R anteriores"• Los cam,ios internos ' eKternos releFantes +ara el SSI"• Desem+eo de: