ISO27000.pdf

8/20/2019 ISO27000.pdf

1/208

NORMAS

ISO/IEC 27000

2015

Docente: Ing. Manuel Castillo Fernández

1

8/20/2019 ISO27000.pdf

2/208

INDICE

• MODULO I: Introducción a ISO 27000• MODULO II: Análisis de Riesgos• MODULO III: Sistema de estión de Seguridad

de la In!ormación"• MODULO I#: Auditor$a del Sistema

2

8/20/2019 ISO27000.pdf

3/208

MODULO I: Introducción a ISO 27000

%

8/20/2019 ISO27000.pdf

4/208


&

• Marco legal ' (ur$dico de la Seguridad de la

In!ormación"

• )ormas nacionales e internacionales de ISO27000"

• *once+tos ,ásicos so,re la seguridad de la

in!ormación

Re!erencias:

ISO - ..."iso"org

/SI ROU - ...",sigrou+"com

http://www.iso.org/http://www.bsigroup.com/http://www.bsigroup.com/http://www.iso.org/

8/20/2019 ISO27000.pdf

5/208

Marco legal y jurídico de la Seguridad de la

Inor!ación:

• Le' de rotección de Datos ersonales del er Le'

)3247%%5

• Autoridad )acional de rotección de Datos ersonalesAD5

• Resolución Ministerial )6 2&820078*M9 a+rue,a la )orma

;cnica eruana * 17744:2007 >DI9 ;cnicas de

seguridad9 *ódigo de /uenas rácticas +ara la gestión de

seguridad de la in!ormación" 2a >dición?"

• Resolución Ministerial 124820128*M9 a+rue,a el uso

o,ligatorio de la norma t;cnica +eruana *27001:200@ >DI ecnolo $as de la In!ormación" ;cnicas de


8/20/2019 ISO27000.pdf

6/208

MODULO I: Introducción a ISO 27000Ley de "rotección de Dato#

• D>R>*BOS D> LA >RSO)A: Codos los +eruanos tenemos

dereco a Eue los serFicios in!ormáticos com+utariGados o

no9 +,licos o +riFados no suministren in!ormaciones Eue

a!ecten la intimidad +ersonal ' !amiliarC" *onstitución ol$tica

del er Art$culo 29 )umeral "

• /A)*OS D> DAOS >RSO)AL>S: *ualEuier con(unto de

datos de +ersonas naturales9 +or e(em+lo: las +lanillas9 los

Hles del +ersonal9 los directorios de +roFeedores9 de clientes9

in!ormes m;dicos9 etc"

• O/LIA*IO)>S: Las em+resas +,licas ' +riFadas están

o,ligadas a cum+lir la Le' 247%% a Hn de garantiGar el

dereco !undamental de los eruanos a la rotección de

8/20/2019 ISO27000.pdf

7/208

7

MODULO I: Introducción a ISO 27000Ley de "rotección de Dato#

• AUORIDAD )A*IO)AL D> RO>**IO) D> DAOS

>RSO)AL>S: >l Ministerio de Justicia a traF;s de la Dirección

)acional de Justicia constitu'e la Autoridad )acional de

rotección de Datos ersonales" >sta institución +romueFe el

cum+limiento de la le'9 reci,e las denuncias de losciudadanos9 audita a las instituciones ' llega a sancionar en

caso de incum+limiento asta +or un máKimo de 100 UIs

#er art$culo %4 de la Le'5"

• RAAMI>)O D> DAOS >RSO)AL>S: Las em+resas

+,licas ' +riFadas de,en im+lementar mecanismos +ara:

8 O,tener el consentimiento

8 rans!erir datos +ersonales

8/20/2019 ISO27000.pdf

8/208

@

MODULO I: Introducción a ISO 27000$egla!ento de la Ley 2%7&&

iene el o,(etiFo de garantiGar el dereco !undamental a la

+rotección de los

datos +ersonales ' dis+one Eue el Ministerio de Justicia '

Derecos Bumanos

asuman la Autoridad )acional de rotección de Datos+ersonales"

• Art$culo 10 8 rinci+io de Seguridad: >sta,lece Eue las

*om+a$as de,en ado+tar las medidas de seguridad Eue

resulten necesarias a Hn de eFitar la +;rdida o alteración +or

acción umana o medio t;cnico"

• *a+$tulo # - Medidas de Seguridad: >n el cual se +lantean los

art$culos +ara el tratamiento de in!ormación digital9 gestión

8/20/2019 ISO27000.pdf

9/208

Nor!a# nacionale# e internacionale# de ISO27000'• ISO=I>* 27000 es un con(unto de estándares

desarrollados ' en !ase de desarrollo 8 +or ISOInternational OrganiGation !or StandardiGation5 eI>* International >lectrotecnical *ommission59Eue +ro+orcionan un marco de gestión de laseguridad de la in!ormación utiliGa,le +orcualEuier ti+o de organiGación9 +,lica o +riFada9grande o +eEuea"

4


8/20/2019 ISO27000.pdf

10/208

• u,licada el 1 de Ma'o de 2004 'reFisada con una segunda edición de 01de Diciem,re de 2012" >sta norma

+ro+orciona una Fisión general de lasnormas Eue com+onen la serie 270009una introducción a los Sistemas deestión de Seguridad de la In!ormación"

10


8/20/2019 ISO27000.pdf

11/208

• La amilia ISO 27000 se es+ecialiGa en elSistema de estión de Seguridad de laIn!ormación SSI5"

• ISO 27001 mediante un SSI9 reEuieregarantiGar la continuidad de los +rocesos Euese +rotegerán con!orme al Falor Eue a+ortan

en la em+resa9 +or lo Eue es im+ortanteidentiHcar el m;todo de continuidad Eue sereEuiere con!orme a dicos +rocesos"

11


8/20/2019 ISO27000.pdf

12/208

• >stándares relacionados:

– ISO=I>* 27000 In!ormation securit'management s'stems OFerFie. andFoca,ular'

– ISO=I>* 27001 In!ormation securit'

management s'stems ReEuirements – ISO=I>* 27002 *ode o! +ractice !or in!ormation

securit' management – ISO=I>* 2700% In!ormation securit'

management s'stem im+lementation guidance – ISO=I>* 2700& In!ormation securit'

management Measurement – ISO=I>* 2700 In!ormation securit' risP

management 12


8/20/2019 ISO27000.pdf

13/208

• >stándares relacionados:

– ISO=I>* 2700 ReEuirements !or ,odies+roFiding audit and certiHcation o! in!ormationsecurit' management s'stems

– ISO=I>* 27011 In!ormation securit'

management guidelines !or telecommunicationsorganiGations ,ased on ISO=I>* 27002

– ISO=I>* 270%1 uidelines !or in!ormation andcommunications tecnolog' readiness !or ,usiness

continuit' – ISO=I>* 270%%81 )et.orP securit' oFerFie. and

conce+ts – ISO=I>* 270% Securit' incident management

– ISO 27744 In!ormation securit' management in1%


8/20/2019 ISO27000.pdf

14/208

ORI>)

Desde 14019 ' como +rimera entidad denormaliGación a niFel mundial9 /SI /ritisStandards Institution5 es res+onsa,le de la+u,licación de im+ortantes normas como:8 /S 70" u,licada en 1474" Origen de ISO 4001

8 /S 770" u,licada en 1442" Origen de ISO1&0018 /S @@00" u,licada en 144" Origen de OBSAS1@001

1&


8/20/2019 ISO27000.pdf

15/208

• La norma /S 7744 de /SI a+areció +or +rimera FeG en 144"• La +rimera +arte de la norma /S 7744815 !ue una gu$a de

,uenas +rácticas9 +ara la Eue no se esta,lec$a un esEuema

de certiHcación" >s la segunda +arte /S 77448259 +u,licada+or +rimera FeG en 144@"

• Las dos +artes de la norma /S 7744 se reFisaron en 1444 'la +rimera +arte se ado+tó +or ISO9 sin cam,iossustanciales9 como ISO 17744 en el ao 2000"

• >n 20029 se reFisó /S 774482 +ara adecuarse a la Hloso!$ade normas ISO de sistemas de gestión"

• >n 2009 con más de 1700 em+resas certiHcadas en /S7744829 esta norma se +u,licó +or ISO9 con algunos

cam,ios9 como estándar ISO 27001" Al tiem+o se reFisó 'actualiGó ISO 17744"• >sta ltima norma se renom,ró como ISO 27002:200 el 1

de Julio de 20079 manteniendo el contenido as$ como el aode +u,licación !ormal de la reFisión"

1

8/20/2019 ISO27000.pdf

16/208

CON(ENIDO

>n esta sección se ace un ,reFe resumen delcontenido de las +rinci+ales normas de la serie27000 'a +u,licadas"

1


8/20/2019 ISO27000.pdf

17/208

) ISO*IEC 2700+:u,licada el 1 de Octu,re de 200 " >s la

norma +rinci+al de la serie ' contiene losreEuisitos del sistema de gestión deseguridad de la in!ormación" iene suorigen en la /S 774482:2002 Eue 'a Euedó

anulada5 ' es la norma con arreglo a lacual se certiHcan +or auditores eKternos losSSIs de las organiGaciones"

17

8/20/2019 ISO27000.pdf

18/208

(,cnica# de Seguridad27000 #isión

general '#oca,ulario

27001ReEuisitos

27002 *ódigo deráctica

2700% u$a deIm+lementación

2700&Medición

2700 estiónde Riesgos

2700 ReEuisitos+ara Auditores

27007 L$neasgu$as deAuditor$a

2700@ L$neasgu$as de*ontroles

eneral

27004 ReEuisitos 27010ISM +ara comunicaciones 27011 *ódigo deráctica

2701% Im+lementación27001 Q 2000081

2701& o,ierno

Inter8sectores e Inter8organiGaciones

2701 L$neas gu$ade SerFicio

2701>conom$a de la OrganiGación

inanGas

8/20/2019 ISO27000.pdf

19/208

(,cnica# de Seguridad

27017 *ódigode ráctica

2701@rotección II

*loud

27014 *ontrol derocesos

>nerg$a

27021ReEuisitos

com+etencias

2702% ISO=I>*27001 Fs

27002

270%1*ontinuidad del

negocio

270%2 L$neasgu$as

*i,erseguridad

*om+etencias9 continuidad ' ci,erseguridad

8/20/2019 ISO27000.pdf

20/208


270%%81 #isióngeneral 'conce+tos

270%%82 L$neasgu$a de diseo eim+lementación

270%%8%AmenaGas9

t;cnicas ' control

270%%8&Asegurar con

gate.a's

270%%8Asegurar con

#)

270%%8Asegurar

ireless I

Seguridad deRed

270%&81 #isióngeneral ' *once+tos

270%&82rame.orPnormatiFo

270%&8% estiónseguridad A++s"

Seguridad de A+licaciones

270%&8alidaciónseguridad A++s"

270%&8 rotocolos 'estructura de datos

270%&8 u$a deseguridad A++s"

270%&87arant$a

seguridad A++s"

270%&881>sEuemas ML

8/20/2019 ISO27000.pdf

21/208


270% estiónde incidentes

270%81Incidentes

270%82L$neas gu$a de

res+uestas

270%8% L$neasgu$a

O+eraciones*SIR

estión de incidentes de Seguridad de la In!ormación

270%81 #isióngeneral 'conce+tos

270%82ReEuisitos

270%8%L$neas gu$a

cadenasuministro

270%8& L$neasgu$a serFicios

*loud

estión de relaciones consuministradores

8/20/2019 ISO27000.pdf

22/208


270%7>Fidencia

digital

270%@Redacción

digital

270%4Sistemas de

detección IDS

270&0Seguridad de

Almacenamiento

270&1 M;todoInFestigación

270&2 Análisise

Inter+retación

270&%rinci+ios '+rocesos

270&& estiónde In!o '

eFentos SI>M

>Fidencias e Intrusión

270081 #isióngeneral ' conce+tos

270082

o,ierno 'estión

27008% *ódigo deráctica

Descu,rimiento electrónico27008&

re+aración I*

8/20/2019 ISO27000.pdf

23/208

) ISO*IEC 27002:Desde el 1 de Julio de 20079 es el nueFonom,re de ISO 17744:2009 manteniendo 200como ao de edición" >s una gu$a de ,uenas+rácticas Eue descri,e los o,(etiFos de control 'controles recomenda,les en cuanto a seguridad

de la in!ormación"

) ISO*IEC 2700&:u,licada el 01 de e,rero de 2010" )ocertiHca,le" >s una gu$a Eue se centra en losas+ectos cr$ticos necesarios +ara el diseo eim+lementación con ;Kito de un SSI

2%

8/20/2019 ISO27000.pdf

24/208

) ISO*IEC 2700-:u,licada el 1 de Diciem,re de 2004" )ocertiHca,le" >s una gu$a +ara el desarrollo 'utiliGación de m;tricas ' t;cnicas de medidaa+lica,les +ara determinar la eHcacia de un SSI 'de los controles o gru+os de controles

im+lementados segn ISO=I>* 27001"

) ISO*IEC 2700.:u,licada en segunda edición el 1 de Junio de

2011 +rimera edición del 1 de Junio de 200@5" )ocertiHca,le" ro+orciona directrices +ara la gestióndel riesgo en la seguridad de la in!ormación"

2&

8/20/2019 ISO27000.pdf

25/208

) ISO*IEC 2700/:u,licada en segunda edición el 1 de Diciem,re de

2011 +rimera edición del 1 de MarGo de 20075">s+eciHca los reEuisitos +ara la acreditación deentidades de auditor$a ' certiHcación de sistemas degestión de seguridad de la in!ormación) ISO*IEC 27007:

u,licada el 1& de )oFiem,re de 2011" )o certiHca,le">s una gu$a de auditor$a de un SSI9 comocom+lemento a lo es+eciHcado en ISO 14011" >s unagu$a de auditor$a de los controles seleccionados en el

marco de im+lantación de un SSI") ISO*IEC 270+0:u,licada el 20 de Octu,re de 2012" *onsiste en unagu$a +ara la gestión de la seguridad de la in!ormacióncuando se com+arte entre organiGaciones o sectores"

2

8/20/2019 ISO27000.pdf

26/208

) ISO*IEC 270++:u,licada el 1 de Diciem,re de 200@" >s una

gu$a de inter+retación de la im+lementación 'gestión de la seguridad de la in!ormación enorganiGaciones del sector detelecomunicaciones ,asada en ISO=I>* 27002"

) ISO*IEC 270+&:u,licada el 1 de Octu,re de 2012" >s unagu$a de im+lementación integrada de ISO=I>*) ISO*IEC 270+-:

u,licada en el 201%" *onsistirá en una gu$a dego,ierno cor+oratiFo de la seguridad de lain!ormación"

2

8/20/2019 ISO27000.pdf

27/208

) ISO*IEC ($ 270+.:u,licada el 2% de )oFiem,re de 2012" >s

una gu$a de SSI orientada a organiGacionesdel sector Hnanciero ' de seguros ' comocom+lemento a ISO=I>* 27002") ISO*IEC ($ 270+/:u,licada en el 201%" *onsistirá en una gu$ade Faloración de los as+ectos Hnancieros dela seguridad de la in!ormación"

) ISO*IEC (S 270+7:u,licada en el 201%" *onsistirá en una gu$ade seguridad +ara *loud *om+uting"

27

8/20/2019 ISO27000.pdf

28/208

) ISO*IEC 270+:u,licada en el 201%" *onsistirá en un código de

,uenas +rácticas en controles de +rotección de datos+ara serFicios de com+utación en cloud com+uting") ISO*IEC ($ 270+%:u,licada en el 201%" *onsistirá en una gu$a conre!erencia a ISO=I>* 27002 +ara el +roceso de controlde sistemas es+ec$Hcos al sector de la industria de laenerg$a") ISO*IEC 270&+:u,licada el 01 de MarGo de 2011" )o certiHca,le" >s

una gu$a de a+o'o +ara la adecuación de lastecnolog$as de in!ormación ' comunicación I*5 de unaorganiGación +ara la continuidad del negocio" >ldocumento toma como re!erencia el estándar /S2777"

2@

8/20/2019 ISO27000.pdf

29/208

) ISO*IEC 270&2:u,licada el 1 de Julio de 2012" ro+orciona

orientación +ara la me(ora del estado de seguridadci,ern;tica9 eKtra'endo los as+ectos nicos de esaactiFidad ' de sus de+endencias en otros dominios deseguridad" >sta norma esta,lece una descri+cióngeneral de Seguridad *i,ern;tica") ISO*IEC 270&&:arcialmente desarrollada" )orma dedicada a laseguridad en redes9 consistente en 7 +artes: 270%%819conce+tos generales +u,licada el 1 de Diciem,re de

2004 aseguramiento de las comunicaciones entreredes mediante gate.a's de seguridadT 270%%89aseguramiento de comunicaciones mediante #)s9270%%89 conFergencia I 270%%879 redes inalám,ricas

24

8/20/2019 ISO27000.pdf

30/208

) ISO*IEC 270&-:)orma dedicada la seguridad en a+licacionesin!ormáticas") ISO*IEC 270&.:u,licada el 17 de Agosto de 2011" ro+orciona unagu$a so,re la gestión de incidentes de seguridad enla in!ormación" >n >s+aa9 no está traducida") ISO*IEC 270&/:>n !ase de desarrollo9 con +u,licación +reFista en201%" *onsistirá en una gu$a en cuatro +artes deseguridad en las relaciones con +roFeedores:

270%819 Fisión general ' conce+tosT 270%829reEuisitos comunesT 270%8%9 seguridad en lacadena de suministro I*T 270%8&9 seguridad enoutsourcing eKternaliGación de serFicios5"

%0

8/20/2019 ISO27000.pdf

31/208

) ISO*IEC 270&7:u,licada el 1 de Octu,re de 2012" >s una

gu$a Eue +ro+orciona directrices +ara lasactiFidades relacionadas con la identiHcación9reco+ilación9 consolidación ' +reserFación deeFidencias digitales +otenciales localiGadas

en tel;!onos móFiles9 tar(etas de memoria9dis+ositiFos electrónicos +ersonales9 sistemasde naFegación móFil") ISO*IEC 270&:u,licada en el 201%" *onsiste en una gu$a dees+eciHcación +ara seguridad en la redaccióndigital"

%1

8/20/2019 ISO27000.pdf

32/208

) ISO*IEC 270&%:

u,licada en el 201%" *onsistirá en una gu$a+ara la selección9 des+liegue ' o+eratiFa desistemas de detección ' +reFención deintrusión IDS=IS5"

) ISO*IEC 270-0:u,licada en el 201&" *onsistirá en una gu$a+ara la seguridad en medios dealmacenamiento") ISO*IEC 270-+:u,licada en el 201&" *onsistirá en una gu$a+ara la garantiGar la idoneidad ' adecuación

de los m;todos de inFestigación" %2

8/20/2019 ISO27000.pdf

33/208

) ISO*IEC 270-2:u,licada en el 201&" *onsistirá enuna gu$a con directrices +ara elanálisis e inter+retación de laseFidencias digitales"

) ISO*IEC 270-&:u,licada en el 201&" Desarrollará+rinci+ios ' +rocesos deinFestigación"

%%

8/20/2019 ISO27000.pdf

34/208

) ISO*IEC 270--:u,licada en el 201&" estión de eFentos

' de la seguridad de la in!ormación 8Securit' In!ormation and >FentManagement SI>M5"

) ISO 277%%:u,licada el 12 de Junio de 200@" >s unanorma Eue +ro+orciona directrices +araa+o'ar la inter+retación ' a+licación enel sector sanitario de ISO=I>* 270029 encuanto a la seguridad de la in!ormaciónso,re los datos de salud de los +acientes"

%&

8/20/2019 ISO27000.pdf

35/208

Conce1to# 3#ico# #ore la #eguridad de la inor!ación

ara com+render Eu; es la seguridad de la in!ormación9 en +rimer lugar9de,emos conocer Eue la in!ormación en este área es re!erida a losactiFos de in!ormación es decir9 los datos9 +ero tam,i;n los eEui+os9 lasa+licaciones9 las +ersonas9 Eue se utiliGan +ara crear9 gestionar9 trasmitir' destruir la in!ormación59 Eue tienen un Falor +ara la organiGación"

)o se de,e con!undir la seguridad de la in!ormación con la seguridadin!ormática 'a Eue la seguridad de la in!ormación a,arca mucas más

áreas mientras Eue la seguridad in!ormática se encarga de la +rotecciónde las in!raestructuras I* Eue so+ortan el negocio" or tanto laseguridad de la in!ormación a,arca la seguridad in!ormática"

%


8/20/2019 ISO27000.pdf

36/208


La seguridad de la in!ormación9 +or tanto9 se +uede deHnir comola +rotección de la conHdencialidad9 integridad ' dis+oni,ilidadde los actiFos de in!ormación segn sea necesario +ara alcanGarlos o,(etiFos de negocio de la organiGación"

>stos tres +arámetros ,ásicos de la seguridad se deHnen como: *onHdencialidad: A la in!ormación solo +ueden acceder las+ersonas autoriGadas +ara ello" Integridad: La in!ormación a de estar com+leta ' correcta entodo momento" Dis+oni,ilidad: La in!ormación estará lista +ara acceder a ellao utiliGarse cuando se necesita"

%


8/20/2019 ISO27000.pdf

37/208

%7


8/20/2019 ISO27000.pdf

38/208

Conce1to# 3#ico# #ore la #eguridad de lainor!ación

De+endiendo de los modelos utiliGados9 tam,i;n

son +arámetros a tener en cuenta:• Autenticidad: La in!ormación es lo Eue dice ser

o el transmisor de la in!ormación es Euien

dice ser"• raGa,ilidad: oder asegurar en todo momentoEui;n iGo Eu; ' cuando lo iGo"

%@


8/20/2019 ISO27000.pdf

39/208


Un !allo de seguridad es cualEuier incidente Eue la com+romete9es decir Eue +one en +eligro cualEuiera de los +arámetros conlos Eue se Falora la seguridad: la conHdencialidad9 ladis+oni,ilidad o la integridad de la in!ormación" *on la actualcom+le(idad de los sistemas de in!ormación9 con una econom$a '

un comercio Eue se ,asan en intercam,ios ' comunicaciones alo largo ' anco del mundo9 con un nmero creciente deusuarios Eue no sólo se conectan desde dentro sino tam,i;ndesde !uera de la organiGación9 es !ácil acerse una idea del retoEue +resenta eFitar Eue sucedan cosas como: allos en las comunicaciones" allos en el suministro el;ctrico" allos umanos de usuarios internos9 usuarios eKternos9administradores9 +rogramadores9 etc" allos en los sistemas de in!ormación: redes9 a+licaciones9

eEui+os9 etc" #irus in!ormáticos usanos tro anos etc" ue inundan la red"%4


8/20/2019 ISO27000.pdf

40/208

Conce1to# 3#ico# #ore la #eguridad de lainor!aciónLos !allos de seguridad son ocasionados mucas Feces +orla errónea +erce+ción de Eue si la seguridad !$sica estáraGona,lemente asegurada9 no tiene +or Eu; a,er

+ro,lemas" O Eue +rotegiendo nicamente las a+licaciones' las ,ases de datos 'a está garantiGada la seguridad" *onesos su+uestos se de(an des+rotegidas mucas áreas de laorganiGación9 mucos actiFos de in!ormación Eue +uedenser !ácilmente daados o destruidos9 'a Eue no se an

tenido en cuenta todos los as+ectos de la seguridad de lain!ormación: la seguridad !$sica9 la seguridad lógica ' lasmedidas organiGatiFas"

&0


8/20/2019 ISO27000.pdf

41/208

&1

Estructura de ISO 27001(clausulas de control)

A

d m i n i s t

r a c i ó n

O + e r a c i ó

n

Desarrollo '

Mantenimientode Sistemas

estión de*omunicacion

es 'O+eraciones

4e#tión deContinuidad de

Negocio

Seguridad de RB

*um+limiento

estión deActiFos

OrganiGación dela Seguridad de

In!ormación

*ontrol deAcceso

ol$tica deSeguridad

estión de Incidentes de Seguridad

Seguridad$sica '

Am,iental


8/20/2019 ISO27000.pdf

42/208

&2

27001 - Anexo A.14.1 Continuidad del negocio

A.14.1.1. Incluir a la Seguridad de la Información en el proceso

de administración de ontinuidad del !egocio

A.14.1.2. ontinuidad del !egocio " An#lisis de $iesgos

A.14.1.%. &esarrollo e implementación de 'lanes de

ontinuidad inclu"endo la Seguridad de la Información

A.14.1.4. arco de traa*o de la planeación de la ontinuidad

del !egocio

A.14.1.+. 'rueas, mantenimiento " ree-aluación de los 'lanes

de ontinuidad del !egocio


8/20/2019 ISO27000.pdf

43/208

&%


(, i d S id d O i ió "l

8/20/2019 ISO27000.pdf

44/208

&&

(,cnica# de Seguridad 5 Organi6ación "lanear

LA)>AR - untos de *ontrol de estión*onteKto de

laOrganiGació

n

*om+renderOrganiGación ' *onteKto

>K+ectatiFasde los

interesados

Alcance del

ISMS

ISMS

LideraGgo

LideraGgo '*onHrmació

n

ol$ticas

Roles9res+onsa,ilida

des 'autoridades

laniHcación

AccionesRiesgos '

O+ortunidades

O,(etiFos 'lanes

Seguridadde la

In!ormación

So+orte

Recursos

*om+etencia

*oncientiGación

*omunicación

In!ormacióndocumentad

a

(,cnica# de Seguridad Organi6ación "unto# de Control de

8/20/2019 ISO27000.pdf

45/208

&

(,cnica# de Seguridad 5 Organi6ación 5 "unto# de Control de4e#tión

BA*>R

O+eración

laniHcación' *ontrol

O+eracional

>FaluaciónRiesgos deSeguridad de

laIn!ormación ratamientode Riesgos

de Seguridadde laIn!ormación

>FaluaciónRendimiento

MonitoriGación9 Medición9

Análisis '>Faluación

Auditor$aInterna

ReFisiónAdministratiFa

Me(ora

)ocon!ormidad

es 'Acciones

correctiFasMe(ora

*ontinua

#>RII*AR A*UAR

8/20/2019 ISO27000.pdf

46/208

&

NUE89 ES($UC(U$9 ISO 2700+20+&

8/20/2019 ISO27000.pdf

47/208

La ISO es una !ederación mundial de organismosnacionales de normaliGación alrededor de 10 +a$ses9tra,a(an a niFel de *omit;s ;cnicos ' tienen almenos 149000 estándares +u,licados desde 194&7"La ISO 27001: 201%9 tra,a(a en !unción a @ +rinci+ios

de gestión:1" Orientación al *liente2"LideraGgo%" artici+ación del +ersonal

&" >n!oEue de +rocesos" >n!oEue de Sistemas de estión"Me(ora *ontinua7" >n!oEue de Me(ora *ontinua@" Relación mutuamente ,eneHciosa con el +roFeedor

&7


8/20/2019 ISO27000.pdf

48/208

8/20/2019 ISO27000.pdf

49/208

&4

MODULO I: Introducción a ISO 27000 Do!inio#

8/20/2019 ISO27000.pdf

50/208

0

MODULO I: Introducción a ISO 27000Docu!ento# y regi#tro# nece#ario#

Docu!ento# Ca1ítulo de ISO2700+:20+&Alcance del SSI &"%

ol$ticas ' o,(etiFos de seguridad de lain!ormación

"29 "2

Metodolog$a de eFaluación ' tratamiento deriesgos "1"2

Declaración de a+lica,ilidad "1"% d5

lan de tratamiento del riesgo "1"% e59 "2

In!orme so,re eFaluación ' tratamiento de

riesgos

@"29 @"%

DeHnición de !unciones ' res+onsa,ilidades deseguridad

A"7"1"29A"1%"2"&

InFentario de actiFos A"@"1"1

Uso ace+ta,le de los actiFos A"@"1"%

ol$tica de control de acceso A"4"1"1

8/20/2019 ISO27000.pdf

51/208

1


Docu!ento# Ca1ítulo de ISO2700+:20+&

rinci+ios de ingenier$a +ara sistema seguro A"1&"2"

ol$tica de seguridad +ara +roFeedores A"1"1"1

rocedimiento +ara gestión de incidentes A"1"1"

rocedimientos de la continuidad del negocio A"17"1"2

ReEuisitos legales9 normatiFos ' contractuales A"1@"1"1

8/20/2019 ISO27000.pdf

52/208

2


$egi#tro# Ca1ítulo de ISO2700+:20+&

Registros de ca+acitación9 a,ilidades9eK+eriencia ' caliHcaciones

7"2

Resultados de su+erFisión ' medición 4"1

rograma de auditor$a interna 4"2

Resultados de las auditor$as internas 4"2

Resultados de la reFisión +or +arte de la dirección 4"%

Resultados de acciones correctiFas 10"1

Registros so,re actiFidades de los usuarios9eKce+ciones ' eFentos de seguridad

A"12"&"19A"12"&"%

8/20/2019 ISO27000.pdf

53/208

%

MODULO I: Introducción a ISO 27000Docu!ento# no oligatorio# de u#o recuente

Docu!ento# Ca1ítulo de ISO

2700+:20+&rocedimiento +ara control de documentos 7"

*ontroles +ara gestión de registros 7"

rocedimiento +ara auditor$a interna 4"2

rocedimiento +ara medidas correctiFas 10"1ol$tica rae tu +ro+io dis+ositiFo A""2"1

ol$tica so,re dis+ositiFos móFiles ' tele8tra,a(o A""2"1

ol$tica de clasiHcación de la in!ormación A"@"2"19 A"@"2"29 A"@"2"%

ol$tica de claFes A"4"2"19 A"4"2"29A"4"2"&9 A"4"%"19 A"4"&"%

ol$tica de eliminación ' destrucción A"@"%"29 A"11"2"7

rocedimiento +ara tra,a(o en áreas seguras A"11"1"

8/20/2019 ISO27000.pdf

54/208

&

MODULO I: Introducción a ISO 27000Docu!ento# no oligatorio# de u#o recuente

Docu!ento# Ca1ítulo de ISO

2700+:20+&ol$tica de +antalla ' escritorio lim+io A"11"2"4

ol$tica de gestión de cam,io A"12"1"29 A"1&"2"&

ol$tica de creación de co+ias de seguridad A"12"%"1

ol$tica de trans!erencia de la in!ormación A"1%"2"19 A"1%"2"29A"1%"2"%Análisis del im+acto en el negocio A"17"1"1

lan de +rue,a ' FeriHcación A"17"1"%

lan de mantenimiento ' reFisión A"17"1"%

8/20/2019 ISO27000.pdf

55/208


9lcance del S4SI

>ste documento es9 a,itualmente9 ,astante corto 'se redacta al inicio de la im+lementación de ISO

27001" >n general9 se trata de un documentoinde+endiente9 aunEue +uede ser uniHcado con una+ol$tica de seguridad de la in!ormación"

8/20/2019 ISO27000.pdf

56/208


"olítica# y ojetio# de #eguridad de lainor!ación

La +ol$tica de seguridad de la in!ormación

generalmente es un documento ,reFe ' de alto niFelEue detalla el +rinci+al o,(etiFo del SSI" Los o,(etiFos+ara el SSI9 en general9 se +resentan como undocumento inde+endiente9 +ero tam,i;n +ueden seruniHcados en la +ol$tica de seguridad de lain!ormación" *ontrariamente a la reFisión 200 de ISO270019 'a no se necesitan am,as +ol$ticas ol$tica delSSI ' ol$tica de seguridad de la in!ormación5T soloace !alta una +ol$tica de seguridad de la in!ormación"

8/20/2019 ISO27000.pdf

57/208

7


Metodología e inor!e# de ealuación ytrata!iento de rie#go#

La metodolog$a de eFaluación ' tratamiento del riesgo

es9 a,itualmente9 un documento de & a +áginas 'de,e ser redactado antes Eue se realice la eFaluación' el tratamiento de riesgos" >l in!orme de eFaluación 'tratamiento de riesgos de,e ser redactado una FeGEue se realiGó la eFaluación ' el tratamiento deriesgos9 ' all$ se resumen todos los resultados"

8/20/2019 ISO27000.pdf

58/208

@


Declaración de a1licailidad

La Declaración de a+lica,ilidad o DdA5 se redactaen ,ase a los resultados del tratamiento del riesgoTes un documento claFe dentro del SSI +orEuedescri,e no sólo Eu; controles del AneKo A sona+lica,les9 sino tam,i;n cómo se im+lementarán 'su estado actual" am,i;n de,er$a considerar a laDeclaración de a+lica,ilidad como un documento

Eue descri,e el +erHl de seguridad de su em+resa"

8/20/2019 ISO27000.pdf

59/208

4


"lan de trata!iento del rie#go

>ste es9 ,ásicamente9 un +lan de acción so,re cómoim+lementar los diFersos controles deHnidos +or la

DdA" >ste documento se desarrolla en !unción de laDeclaración de a+lica,ilidad ' se utiliGa ' actualiGaactiFamente a lo largo de toda la im+lementacióndel SSI" A Feces se +uede !usionar con el lan del+ro'ecto"

8/20/2019 ISO27000.pdf

60/208

0


;uncione# y re#1on#ailidade# de #eguridad >l me(or m;todo es descri,ir estas !unciones 'res+onsa,ilidades en todas las +ol$ticas '+rocedimientos de la !orma más +recisa +osi,le">Fite eK+resiones como Cde,er$a acerloCT encam,io9 utilice algo como Cel Je!e de seguridadrealiGará K'G todos los lunes a las GK' orasC"Algunas em+resas +reHeren detallar las !unciones '

res+onsa,ilidades de seguridad en susdescri+ciones del tra,a(oT sin em,argo9 esto +uedegenerar muco +a+eler$o"Las !unciones ' res+onsa,ilidades de seguridad +ara

terceros se deHnen a traF;s de contratos

8/20/2019 ISO27000.pdf

61/208

1

MODULO I: Introducción a ISO 27000Inentario de actio#

Si no conta,a con un inFentario de este ti+o antesdel +ro'ecto ISO 270019 la me(or !orma de acerlo esdirectamente a +artir del resultado de la eFaluación

de riesgos 'a Eue all$9 de todos modos9 se tienen EueidentiHcar todos los actiFos ' sus +ro+ietariosTentonces9 sim+lemente +uede co+iar el resultadodesde ese instrumento"

8/20/2019 ISO27000.pdf

62/208

2


U#o ace1tale de lo# actio# Ba,itualmente9 este documento se con!ecciona,a(o la !orma de una +ol$tica ' +uede cu,rir un

am+lio rango de temas +orEue la norma no deHnemu' ,ien este control" ro,a,lemente9 la me(or!orma de encararlo es la siguiente: 15 d;(elo +arael Hnal de la im+lementación de su SSI ' 25 todaslas áreas ' controles Eue no a'a cu,ierto conotros documentos ' Eue inFolucran a todos losem+leados9 incl'alos en esta +ol$tica"

8/20/2019 ISO27000.pdf

63/208

%


"olítica de control de acce#o

>n este documento usted +uede cu,rir sólo la +artecomercial de la a+ro,ación de acceso a determinada

in!ormación ' sistemas9 o tam,i;n +uede incluir elas+ecto t;cnico del control de acceso" Además9+uede o+tar +or deHnir reglas +ara acceso lógiconicamente o tam,i;n +ara acceso !$sico" De,er$aredactar este documento solamente des+u;s deHnaliGado su +roceso de eFaluación ' tratamiento deriesgos"

8/20/2019 ISO27000.pdf

64/208

&


"rocedi!iento# o1eratio# 1ara ge#tión de (I

uede crear este +rocedimiento como un nicodocumento o como una serie de +ol$ticas '

+rocedimientosT si se trata de una em+resa+eEuea9 de,er$a tener menor cantidad dedocumentos" )ormalmente9 aEu$ +uede a,arcartodas las áreas de las secciones A"12 ' A"1%: gestiónde cam,ios9 serFicios de terceros9 co+ias de

seguridad9 seguridad de red9 códigos maliciosos9eliminación ' destrucción9 trans!erencia dein!ormación9 su+erFisión del sistema9 etc" >stedocumento se de,er$a redactar solamente una FeG

Eue Hnalice su +roceso de eFaluación ' tratamiento

8/20/2019 ISO27000.pdf

65/208


"rinci1io# de ingeniería 1ara #i#te!a #eguro >ste es un nueFo control en ISO 27001:201% 'reEuiere Eue se documenten los +rinci+ios de

ingenier$a de seguridad ,a(o la !orma de un+rocedimiento o norma ' Eue se deHna cómoincor+orar t;cnicas de seguridad en todas las ca+asde arEuitectura: negocio9 datos9 a+licaciones 'tecnolog$a" >stos +rinci+ios +ueden incluir Falidaciónde datos de entrada9 de+uración9 t;cnicas +araautenticación9 controles de sesión segura9 etc"

8/20/2019 ISO27000.pdf

66/208


"olítica de #eguridad 1ara 1roeedore#

>ste tam,i;n es un control nueFo en ISO 27001:201%9' una +ol$tica de este ti+o +uede a,arcar un am+lio

rango de controles: cómo se realiGa la selección de+otenciales contratistas9 cómo se e(ecuta laeFaluación de riesgos de un +roFeedor9 Eu; cláusulasincluir en el contrato9 cómo su+erFisar elcum+limiento de cláusulas contractuales de

seguridad9 cómo modiHcar el contrato9 cómo cerrar elacceso una FeG cancelado el contrato9 etc"

8/20/2019 ISO27000.pdf

67/208

7


"rocedi!iento 1ara ge#tión de incidente# >ste es un +rocedimiento im+ortante Eue deHne cómose in!orman9 clasiHcan ' mane(an las de,ilidades9eFentos e incidentes de seguridad" >ste +rocedimientotam,i;n deHne cómo a+render de los incidentes deseguridad de la in!ormación +ara Eue se +uedan eFitaren el !uturo" Un +rocedimiento de esta clase tam,i;n+uede inFocar al +lan de continuidad del negocio si un

incidente a ocasionado una interru+ción +rolongada

8/20/2019 ISO27000.pdf

68/208

@


"rocedi!iento# de la continuidad del negocio

eneralmente se trata de +lanes de continuidad delnegocio9 +lanes de res+uesta ante incidentes9 +lanesde recu+eración +ara el sector comercial de laorganiGación ' +lanes de recu+eración ante desastres+lanes de recu+eración +ara in!raestructura de I5">stos +rocedimientos se descri,en con ma'or detalleen la norma ISO 22%019 la +rinci+al norma

internacional +ara continuidad del negocio

8/20/2019 ISO27000.pdf

69/208

4

MODULO I: Introducción a ISO 27000$este listado de,e con!eccionarse en la eta+a mástem+rana +osi,le del +ro'ecto +orEue mucosdocumentos tendrán Eue ser desarrollados de acuerdo

a estos datos" >ste listado de,e incluir no sólo lasres+onsa,ilidades +ara el cum+limiento dedeterminados reEuerimientos9 sino tam,i;n los +laGos"

8/20/2019 ISO27000.pdf

70/208

70


$egi#tro# de ca1acitación= >ailidade#=e?1eriencia y cali@cacione#

>s el de+artamento de recursos umanos el Euegeneralmente se encarga de lleFar estos registros" Siusted no tiene un sector de este ti+o9 cualEuier+ersona Eue a,itualmente se encargue de losregistros de los em+leados de,er$a ser Euien realiceeste tra,a(o" /ásicamente9 ser$a suHciente una car+eta

en la Eue se encuentren todos los documentos

8/20/2019 ISO27000.pdf

71/208

71


$e#ultado# de #u1eri#ión y !edición

La !orma más sencilla de descri,ir cómo se miden loscontroles es a traF;s de +ol$ticas ' +rocedimientos

Eue deHnan a cada control" >n general9 estadescri+ción +uede ser realiGada al Hnal de cadadocumento9 ' cada descri+ción tiene Eue deHnir losti+os de I*D indicadores claFe de desem+eo5 Eue es

necesario medir +ara cada control o gru+o decontroles"Una FeG Eue se esta,leció este m;todo de control9usted de,e realiGar la medición en !unción de dicom;todo" >s im+ortante re+ortar los resultados de esta

medición en !orma regular a las +ersonas Eue están a

8/20/2019 ISO27000.pdf

72/208

72

MODULO I: Introducción a ISO 27000"rogra!a de auditoría interna

>l +rograma de auditor$a interna no es más Eue un+lan anual +ara realiGar las auditor$asT +ara lasem+resas más +eEueas9 +uede tratarse solamente

de una auditor$a9 mientras Eue +ara lasorganiGaciones más grandes +uede ser una serie de9+or e(em+lo9 20 auditor$as internas" >ste +rogramade,e deHnir Eui;n realiGará las auditor$as9 los

m;todos Eue se utiliGarán9 los criterios Eue sea+licarán9 etc"

8/20/2019 ISO27000.pdf

73/208

7%


$e#ultado# de la# auditoría# interna#

Un auditor interno de,e generar un in!orme deauditor$a9 Eue inclu'e los resultados de la auditor$a

o,serFaciones ' medidas correctiFas5" >ste in!ormede,e ser con!eccionado dentro de un +ar de d$as luegode realiGada la auditor$a interna" >n algunos casos9 elauditor interno tendrá Eue FeriHcar si todas lasmedidas correctiFas se a+licaron segn lo es+erado"

8/20/2019 ISO27000.pdf

74/208

7&


$e#ultado# de la rei#ión 1or 1arte de ladirección >stos registros se +resentan9 normalmente9 ,a(o la!orma de actas de reunión ' de,en incluir todo elmaterial tratado durante la reunión de la dirección9como tam,i;n todas las decisiones Eue se tomaron">stas actas +ueden ser en +a+el o en !ormato digital"

8/20/2019 ISO27000.pdf

75/208

7


$e#ultado# de accione# correctia#

eneralmente9 estos son incluidos en los !ormularios+ara medidas correctiFas M*5" Sin em,argo9 es

muco me(or agregar estos registros en algunaa+licación Eue 'a est; en uso en la organiGaciónT +ore(em+lo9 la Mesa de a'uda9 +orEue las medidascorrectiFas no son más Eue listas de actiFidades a

realiGar con res+onsa,ilidades9 tareas ' +laGos ,iendeHnidos"

8/20/2019 ISO27000.pdf

76/208

7


$egi#tro# #ore actiidade# de lo# u#uario#=e?ce1cione# y eento# de #eguridad

Ba,itualmente se lleFan de dos !ormas: 15 en

!ormato digital9 generados en !orma automática osemiautomática como registros de diFersas I ' deotros sistemas9 ' 25 en +a+el9 donde cada registro seace manualmente"

8/20/2019 ISO27000.pdf

77/208

77


"rocedi!iento 1ara control de docu!ento#

>n general9 este es un +rocedimiento inde+endiente9de 2 o % +áginas de eKtensión" Si usted 'a

im+lementó alguna otra norma como ISO 40019 ISO1&0019 ISO 22%01 o similar9 +uede utiliGar el mismo+rocedimiento +ara todos estos sistemas de gestión"A Feces es me(or redactar este +rocedimiento como el

+rimer documento de un +ro'ecto"

8/20/2019 ISO27000.pdf

78/208

7@


Controle# 1ara ge#tión de regi#tro# La !orma más sencilla es redactar el control deregistros en cada +ol$tica o +rocedimiento u otro

documento5 Eue reEuiera la generación de unregistro" >stos controles9 normalmente son incluidosacia el Hnal de cada documento ' se con!eccionan,a(o el !ormato de una ta,la Eue detalla dónde se

arciFa el registro9 Eui;n tiene acceso9 cómo se+rotege9 +or cuánto tiem+o se arciFa9 etc"

8/20/2019 ISO27000.pdf

79/208

74


"rocedi!iento 1ara auditoría interna

Ba,itualmente este es un +rocedimientoinde+endiente Eue +uede tener entre 2 ' % +áginas '

Eue tiene Eue ser redactado antes Eue comience laauditor$a interna" >n cuanto al +rocedimiento +aracontrol de documentos9 un +rocedimiento +araauditor$a interna +uede ser utiliGado +ara cualEuiersistema de gestión"

8/20/2019 ISO27000.pdf

80/208

@0


"rocedi!iento 1ara !edida# correctia#

>ste +rocedimiento no de,er$a eKceder las 2 o %+áginas ' +uede ser con!eccionado al Hnal del +ro'ecto

de im+lementación9 aunEue es me(or acerlo antes+ara Eue los em+leados +uedan !amiliariGarse con ;l"

8/20/2019 ISO27000.pdf

81/208

"$INCI"9LES CL98ES "9$9IM"L9N(9$ L9 ISO 2700+

•IdentiHcar los o,(etiFos de negocio

•Seleccionar un alcance adecuado

•Determinar el niFel de madureG ISO 27001

•AnaliGar el retorno de inFersión

8/20/2019 ISO27000.pdf

82/208

Dominios ISO 27002

8/20/2019 ISO27000.pdf

83/208

Dominios ISO 27002

8/20/2019 ISO27000.pdf

84/208

COMO 9D9"(9$SE

8/20/2019 ISO27000.pdf

85/208

8/20/2019 ISO27000.pdf

86/208

MODULO II: 9n3li#i# de $ie#go#

@

8/20/2019 ISO27000.pdf

87/208

@7

• ActiFos de seguridad de la in!ormación"

• Análisis ' Faloración de riesgos"

MODULO II: 9n3li#i# de $ie#go#

MODULO II: 9n3li#i# de $ie#go# 5 "roce#o de Ealuaciónd i

8/20/2019 ISO27000.pdf

88/208

@@

de $ie#go#

IdentiHcación' asación deActiFos

IdentiHcación

deReEuerimientos de

Seguridad

>Faluación dela +osi,ilidad

de Eue lasAmenaGas '

#ulnera,ilidades ocurran

*álculo de losRiesgos deseguridad

Selección deo+ciones de ratamiento

de Riesgoa+ro+iadas

Selección de*ontroles+ara reducirel Riesgo a

)iFelace+ta,le

MODULO II: 9n3li#i# de $ie#go# 5

8/20/2019 ISO27000.pdf

89/208

@4

MODULO II: 9n3li#i# de $ie#go# Identi@cación y (a#ación de 9ctio#

Un actiFo es algo Eue tiene Falor o utilidad +ara la organiGación9

sus o+eraciones ' su continuidad" >l ISO 17744 *ódigo de

ráctica +ara la estión de la Seguridad de In!ormación5

clasiHca los actiFos de la siguiente manera:

1" ActiFos de In!ormación: ,ases de datos ' arciFos de datos9

documentación del sistema9 manuales de usuario9 materiales

de entrenamiento9 +rocedimientos o+eratiFos de a+o'o9

+lanes de continuidad"

2" Documentos im+resos: documentos im+resos9 contratos9

lineamientos9 documentos de la com+a$a9 documentos Eue

contienen resultados im+ortantes del negocio"

%" ActiFos de so!t.are: So!t.are de a+licación9 so!t.are de

MODULO II: 9n3li#i# de $ie#go# 5 Identi@cación y( ió d 9 ti

8/20/2019 ISO27000.pdf

90/208

40

(a#ación de 9ctio#&" ActiFos !$sicos: >Eui+os de comunicación ' com+utación9

medios magn;ticos9 otros eEui+os t;cnicos"" ersonas: ersonal9 clientes9 suscri+tores"

" Imagen ' re+utación de la com+a$a

7" SerFicios: SerFicios de com+utación ' comunicación9 otros

serFicios t;cnicos"

La tasación de actiFos9 ,asados en las necesidades del negocio

de una organiGación9 es un !actor im+ortante en la eFaluación

del riesgo" ara +oder encontrar la +rotección a+ro+iada +aralos actiFos9 es necesario eFaluar su Falor en t;rminos de su

im+ortancia +ara el negocio"

8/20/2019 ISO27000.pdf

91/208

41

$el con(unto nico de +rinci+ios9 o,(etiFos ' reEuerimientos

+ara el +rocesamiento de in!ormación Eue una organiGación

a desarrollado +ara a+o'ar las o+eraciones del negocio ' sus

+rocesos"

MODULO II: 9n3li#i# de $ie#go# 5 Identi@cación de 9!ena6a# y8 l ilid d

8/20/2019 ISO27000.pdf

92/208

42

8ulnerailidade#Los actiFos están su(etos a mucos ti+os de amenaGas" Una amenaGa

tiene el +otencial de causar un incidente no deseado9 el cual +uede

generar dao al sistema9 la organiGación ' a los actiFos" >l dao +uede

ocurrir +or un ataEue directo o indirecto a la in!ormación

organiGacional" Las amenaGas +ueden originarse de !uentes

accidentales o de manera deli,erada" Una amenaGa +ara +oder causar

dao al actiFo9 tendr$a Eue eK+lotar la Fulnera,ilidad del sistema9

a+licación o serFicio"

Las Fulnera,ilidades son de,ilidades asociadas con los actiFos

organiGacionales" Las de,ilidades +ueden ser eK+lotadas +or laamenaGa9 causando incidentes no deseados9 Eue +udieran terminar

causando +;rdidas9 dao o deterioro a los actiFos"

La Fulnera,ilidad como tal9 no causa dao9 es sim+lemente una

condición o con(unto de condiciones Eue +ueden +ermitir Eue una

MODULO II: 9n3li#i# de $ie#go# 5 C3lculo de lo# $ie#go# deS id d

8/20/2019 ISO27000.pdf

93/208

4%

Seguridad

>l o,(etiFo de la eFaluación del riesgo es la de identiHcar '

eFaluar los riesgos" Los riesgos son calculados de unacom,inación de Falores de actiFos ' niFeles de reEuerimientos

de seguridad"

La eFaluación de riesgos enFuelFe la sistemática consideración

de los siguientes as+ectos:

• *onsecuencias"8 >l dao al negocio como resultado de un

incum+limiento de seguridad de in!ormación considerando las

+otenciales consecuencias de +;rdidas o !allas deconHdencialidad9 integridad ' dis+oni,ilidad de in!ormación"

• ro,a,ilidad"8 La real +osi,ilidad de Eue tal incum+limiento

ocurra a la luG del reinado de amenaGas9 Fulnera,ilidades '

controles"

MODULO II: 9n3li#i# de $ie#go# 5 C3lculo de lo# $ie#go# deSeguridad

8/20/2019 ISO27000.pdf

94/208

4&

Seguridad

>s im+ortante acer inca+i; Eue no eKiste unamanera

8/20/2019 ISO27000.pdf

95/208

4

91ro1iada# de (rata!iento del $ie#go

*uando los riesgos an sido identiHcados ' eFaluados9 la +róKima tarea

+ara la organiGación es identiHcar ' eFaluar la acción más a+ro+iadade cómo tratar los riesgos" La decisión de,e ser tomada ,asada en losactiFos inFolucrados ' sus im+actos en el negocio" Otro as+ectoim+ortante a considerar es el niFel de riesgo ace+ta,le Eue a sidoidentiHcado siguiendo la selección de la metodolog$a a+ro+iada deeFaluación"

>l estándar ISO 270019 reEuiere Eue la organiGación en relación altratamiento del riesgo siga cuatro +osi,les acciones: • A+licación de a+ro+iados controles +ara reducir los riesgos" Los

controles tienen Eue ser identiHcados en el aneKo A" Si los controles

no +ueden ser allados en el aneKo A9 la Hrma +uede crearlos 'documentarlos"• Ace+tar o,(etiFamente los riesgos +artiendo del su+uesto Eue

satis!acen la +ol$tica de la organiGación ' su criterio +ara laace+tación del riesgo"

• >Fitar los riesgos

• rans!erir el riesgo asociado a otras +artes"

MODULO II: 9n3li#i# de $ie#go# 5 Selección de O1cione#91ro1iada# de (rata!iento del $ie#go

8/20/2019 ISO27000.pdf

96/208

4

91ro1iada# de (rata!iento del $ie#go

La organiGación +or cada uno de los riesgos9 de,e eFaluar estas o+ciones

+ara identiHcar la más adecuada" Los resultados de esta actiFidad de,en

ser documentados ' luego la Hrma de,e documentar su sta o+ción +uede ser Fistacomo la me(or si es im+osi,le reducir los niFeles del riesgo" >Kisten mucas

alternatiFas a considerar en relación a la estrategia de trans!erencia del

riesgo" La trans!erencia del riesgo +odr$a alcanGarse tomándose una +óliGa

de seguro" Otra +osi,ilidad +odr$a ser la utiliGación de serFicios de

MODULO II: 9n3li#i# de $ie#go# 5 Selección de Controle# 1ara$educir lo# $ie#go# a un Niel 9ce1tale

8/20/2019 ISO27000.pdf

97/208

47

$educir lo# $ie#go# a un Niel 9ce1tale

ara reducir el riesgo eFaluado dentro del alcance del SSI

considerado9 controles de seguridad a+ro+iados ' (ustiHcados de,enser identiHcados ' seleccionados" >stos controles de,en ser

seleccionados del aneKo A del ISO 27001" >l estándar +resenta 11

cláusulas9 %4 o,(etiFos de control ' 1%% controles es+ec$Hcos" >s mu'

im+ortante estar claros so,re el rol del ISO 17744:200" LaorganiGación +uede utiliGar el ISO 17744: como gu$a +ara la

im+lementación de los controles9 +ero de,en ser escogidos del ISO

27001"

La selección de los controles de,e ser sustentada +or los resultados de

la eFaluación del riesgo" Las Fulnera,ilidades con las amenaGas

asociadas indican donde la +rotección +udiera ser reEuerida ' Eue

!orma de,e tener" >s+ecialmente +ara +ro+ósitos de certiHcación9 las

relaciones con la eFaluación del ries o de,en ser documentadas ara

MODULO II: 9n3li#i# de $ie#go# 5 Selección de Controle# 1ara$educir lo# $ie#go# a un Niel 9ce1tale

8/20/2019 ISO27000.pdf

98/208

4@

$educir lo# $ie#go# a un Niel 9ce1tale

*uando se seleccionan controles +ara la im+lementación9 un nmero

de !actores de,en ser considerados9 inclu'endo:

• Uso de controles

• rans+arencia del usuario

• A'uda otorgada a los usuarios +ara desem+ear su !unción• RelatiFa !uerGa de los controles

• i+os de !unciones desem+eadas"

>n t;rminos generales9 un control +odrá satis!acer más de una de

estas !unciones"

MODULO II: 9n3li#i# de $ie#go# 5 $educción del $ie#go y #u9ce1tación

8/20/2019 ISO27000.pdf

99/208

44

9ce1tación

ara todos aEuellos riesgos donde la decisión de

8/20/2019 ISO27000.pdf

100/208

100

MODULO II: 9n3li#i# de $ie#go# $ie#go $e#idual

Des+u;s de identiHcar los controles adecuados +ara reducir un riesgo

es+ec$Hco al niFel considerado ace+ta,le9 de,e eFaluarse cuanto loscontroles9 si se im+lementan reducirán el riesgo" >sta reducción de

riesgo es el denominado

8/20/2019 ISO27000.pdf

101/208

101

MODULO II: 9n3li#i# de $ie#go# $ie#go $e#idual

Des+u;s de la im+lementación de los controles seleccionados9 es

im+ortante estar claros9 Eue siem+re a,rá riesgos eKistentes" >stosucede +or Eue los sistemas de in!ormación en las organiGaciones

nunca +odrán estar a,solutamente seguros" >sta es la raGón +or la cual

es necesario reFisar la im+lementación9 ' los resultados de los

controles +ara Hnalmente eFaluar Eu; tan ,ien los controlesim+lementados están o+erando" >ste es !undamentalmente el

+ro+ósito de las

8/20/2019 ISO27000.pdf

102/208

102

g g

Una matriG de riesgo constitu'e una erramienta de control ' de

gestión normalmente utiliGada +ara identiHcar las actiFidades+rocesos ' +roductos5 más im+ortantes de una em+resa9 el ti+o '

niFel de riesgos inerentes a estas actiFidades ' los !actores eKógenos

' endógenos relacionados con estos riesgos !actores de riesgo5"

Igualmente9 una matriG de riesgo +ermite eFaluar la e!ectiFidad de unaadecuada gestión ' administración de los riesgos Hnancieros Eue

+udieran im+actar los resultados ' +or ende al logro de los o,(etiFos de

una organiGación"

Una e!ectiFa matriG de riesgo +ermite acer com+araciones o,(etiFas

entre +ro'ectos9 áreas9 +roductos9 +rocesos o actiFidades" odo ello

constitu'e un so+orte conce+tual ' !uncional de un e!ectiFo Sistema

Integral de estión de Riesgo

MODULO II: 9n3li#i# de $ie#go# 5 ;a#e#

8/20/2019 ISO27000.pdf

103/208

10%

A +artir de los o,(etiFos estrat;gicos ' +lan de

negocios9 la administración de riesgos de,e

desarrollar un +roceso +ara la

8/20/2019 ISO27000.pdf

104/208

10&

MODULO II: 9n3li#i# de $ie#go# 5 8alori6ación

8/20/2019 ISO27000.pdf

105/208

10

La FaloriGación consiste en asignar a los riesgos caliHcaciones dentro

de un rango9 Eue +odr$a ser +or e(em+lo: de 1 a insigniHcante 159

,a(a 259 media %59 moderada &5 o alta 59 de+endiendo de lacom,inación entre im+acto ' +ro,a,ilidad" >n el siguiente gráHco se

Fe un e(em+lo:

MODULO II: 9n3li#i# de $ie#go# 5 $ie#go re#idual

8/20/2019 ISO27000.pdf

106/208

10

inalmente se calcula el Riesgo )eto o Residual9 Eue resulta de

la relación entre el grado de mani!estación de los riesgos

inerentes ' la gestión de mitigación de riesgos esta,lecida +or

la administración" >n el siguiente cuadro se muestra un e(em+lo+ara calcular el riesgo residual utiliGando escalas num;ricas

de +osición de riesgo:

MODULO II: 9n3li#i# de $ie#go# 5 $ie#go re#idual

8/20/2019 ISO27000.pdf

107/208

107

MODULO II: 9n3li#i# de $ie#go# 5 Conclu#ione#

8/20/2019 ISO27000.pdf

108/208

10@

La im+lementación del ISO 27001 dentro de cierto alcance +reFiamente

determinado en la em+resa9 tiene un reEuerimiento ,ásico9 el cual es

una com+leta +artici+ación de la gerencia" >ste estándar es un sistemade gestión" >sta eco +ara gestionar un sistema de seguridad de

in!ormación" Su +ro+ósito !undamental es el de asegurar Eue la

in!ormación en la Hrma mantenga: conHdencialidad9 integridad '

dis+oni,ilidad"

La gestión del riesgo es el tema central de este nueFo estándar

internacional" Un antiguo aKioma +lantea Eue uno no +uede me(orar lo

Eue no se +uede medir" >sto es cierto +ara la gestión del riesgo" Uno no

+uede gestionar el riesgo si no se +uede medirlo"

La dinámica de este nueFo estándar es ,ien clara en t;rminos de

mitigar la in!ormación del riesgo en la em+resa" La Hrma tiene la

autonom$a de decidir el alcance del estándar" Luego tiene Eue

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad

8/20/2019 ISO27000.pdf

109/208

Modelos de estión de Riesgos

– *O/I "0 – RisP I – MVoVR – MA>RI – )IS S @008%0 – Microso!t reat Modeling – SRID>=DR>AD – RIW> – AS=)XS &%0 – *#SS

– O*A#> – *RAMM – A – A*> eam

104

g

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad 5 COI( .

8/20/2019 ISO27000.pdf

110/208

110

g

*O/I +ermite administrar a las I de manera integral +ara toda la

em+resa9 teniendo en cuenta la totalidad del negocio9 las áreas !uncionales

de res+onsa,ilidad de las I ' los intereses de las +artes interesadas

staPeolders59 internas ' eKternas9 relacionadas con las I"

*O/I +ara la Seguridad de la In!ormación se ,asa en el marco de control*O/I ' +ro+orciona una gu$a más detallada +ara los +ro!esionales en

seguridad de la in!ormación ' los staPeolders a todos los niFeles de la

em+resa"

*O/I inclu'e los siguientes +rocesos:• APO13 Administración de la Seguridad

• DSS0- Gestión de la Continuidad

• DSS0. Gestión de los servicios de seguridad

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad COI( .

8/20/2019 ISO27000.pdf

111/208

111

g

Los +rinci+ales controladores de *O/I +ara la Seguridad de In!ormación

son:

• La necesidad de descri,ir la seguridad de in!ormación en un conteKtoem+resarial"

• Una necesidad de la em+resa cada FeG ma'or de: Mantener los riesgosa un niFel ace+ta,le ' +roteger la in!ormación contra la diFulgación noautoriGada9 modiHcaciones no autoriGadas o accidentales ' +osi,lesintrusionesT la satis!acción del usuario mediante la dis+oni,ilidad de losserFicios de I ' el cum+limiento de le'es ' reglamentos"

• La necesidad de conectarse9 ' alinearse con otros im+ortantes marcos 'estándares en el mercado"

• La necesidad de unir todas las +rinci+ales inFestigaciones de ISA*A conun en!oEue +rinci+al en el Modelo de )egocio de In!ormación deSeguridad

8/20/2019 ISO27000.pdf

112/208

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad $i# I(

8/20/2019 ISO27000.pdf

113/208

11%

g

u,licada en el 2004 +or ISA*A" La gestión del riesgo em+resarial es un

com+onente esencial de la administración res+onsa,le de cualEuier

organiGación" De,ido a su im+ortancia9 los riesgos I de,en ser

entendidos como riesgos claFe +ara el negocio"

>l marco I +ermite a los usuarios:

• Integrar la gestión de riesgos I con el >RM"

• >ntender cómo gestionar el riesgo"

rinci+ios:

• Alineación con los o,(etiFos de negocio

• Alineación de la gestión de riesgos de I con el >RM

• /alancear los costos ' ,eneHcios de la gestión de riesgos de I

• romoFer la comunicación (usta ' a,ierta de los riesgos de I

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad 5 $i# I(

8/20/2019 ISO27000.pdf

114/208

11&

g

>Kisten tres dominios en el marco RisP I:• o,ierno del Riesgo: Asegura de Eue las +rácticas de gestión de

riesgos de I est;n integradas en la em+resa9 con el o,(etiFo detener una ó+tima renta,ilidad" Se ,asa en los siguientes+rocesos: >sta,lecer ' mantener una Fisión comn del riesgo" Integrarlo con el ERM

Bacer una concientiGación del riesgo en las decisiones de laem+resa"

• >Faluación del Riesgo: Asegurar Eue los riesgos I seanidentiHcados '

analiGados" Se ,asa en los siguientes +rocesos:

Reco+ilación de in!ormación Análisis del Riesgo Ma+a de Riesgos

• Res+uesta a los riesgos: Los riesgos de,en ser clasiHcados deacuerdo a

las +rioridades del negocio:

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad Mo$

8/20/2019 ISO27000.pdf

115/208

11

Los +rinci+ales temas Eue a,arca la u$a son:

• rinci+ios MVoVR: Los +rinci+ios están alineados con los descritosen ISO %10009 ' +ara ser más consistente con los +rinci+ios de

otras u$as de estión"

Los +rinci+ios son:

Alineación con los o,(etiFos de la em+resa"

Ada+tación con el conteKto"

*om+romiso de las +artes interesadas" stakeholders5

ro+orcionar una orientación clara" In!ormación de las decisiones tomadas"

Me(ora *ontinua"

*reación de una cultura la cual a+o'e los +rinci+ios"

Lo rar un Falor medi,le"

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad Mo$

8/20/2019 ISO27000.pdf

116/208

11

• >n!oEue MVoVR: >n donde se encuentra toda la documentación

de la estión del Riesgo"

• roceso MVoVR: Ba' un gran ;n!asis a la necesidad de

comunicación a lo largo de las di!erentes !ases del +roceso"

>Kisten & !ases: IdentiHcación

ActiFos

lan

Im+lementación

• ReFisión MVoVR: >ste ca+$tulo a sido reescrito +ara me(orar la

orientación so,re cómo integrar la gestión de riesgos"

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad M94E$I(

8/20/2019 ISO27000.pdf

117/208

• Se trata de una metodolog$a+romoFida +or el *SA> *onse(oSu+erior de administración

electrónica5 Eue +ersigue unaa+roKimación metódica al análisis deriesgos"

• Se trata +or tanto de unametodolog$a +ara auKiliar en tarea detoma de decisiones en entornoscr$ticos" 117

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad M94E$I(

8/20/2019 ISO27000.pdf

118/208

• Los o,(etiFos de la a+licación de este modelo son: – *oncientiGar a los res+onsa,les de los sistemas de in!ormación de la

eKistencia de riesgos ' de la necesidad de ata(arlos a tiem+o – O!recer un m;todo sistemático +ara analiGar tales riesgos – A'udar a descu,rir ' +laniHcar las medidas o+ortunas +ara mantener

los riesgos ,a(o control – A+o'ar la +re+aración a la OrganiGación +ara +rocesos de eFaluación9

auditor$a9 certiHcación o acreditación9 segn corres+onda en cadacaso

• Su a+licación se estructura en cinco niFeles: – Modelo de Falor

– Modelo de riesgos – >stado de los riesgos – In!orme de insuHciencias – lan de seguridad

11@

#eguridad M94E$I(

8/20/2019 ISO27000.pdf

119/208

Modelo#de 4e#tiónde

$ie#go#:Magerit

114

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad NIS( S" 00&0

8/20/2019 ISO27000.pdf

120/208

120

>l )IS National Institute of Standards and Technology 5 a

incluido una metodolog$a Risk Management Guide for Information

Technology Systems5 +ara el análisis ' gestión de riesgos de la

Seguridad de la In!ormación9 alineada ' com+lementaria con el

resto de documentos de la serie"*om+uesta +or tres +rocesos +rinci+ales:

• #aloración del riesgo9

• Mitigación del Riesgo '

• >Faluación del Riesgo"


8/20/2019 ISO27000.pdf

121/208

121

• #aloración del Riesgo: Inclu'e 4 +asos"

aso 1: *aracteriGación del Sistema

aso 2: IdentiHcación de la amenaGa

aso %: IdentiHcación de una Fulnera,ilidad

aso &: Análisis de *ontrol aso : Determinación de la +ro,a,ilidad

aso : Análisis del Im+acto

aso 7: Determinación del Riesgo

aso @: Recomendaciones del *ontrol

aso 4: Resultados de la documentación


8/20/2019 ISO27000.pdf

122/208

122

• Mitigación del Riesgo: Inclu'e +rioriGación9 eFaluación e

im+lementación de los a+ro+iados controles +ara reducir el

riesgo9 recomendados del +roceso +reFio"

• >Faluación del Riesgo: >n esta eta+a se ace inca+i; en la

,uena +ráctica ' la necesidad de una eFaluación continua del

riesgo ' la eFaluación ' los !actores Eue conduGcan a un

+rograma de gestión de riesgos eKitoso"

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad Micro#ot (>reat Modeling

8/20/2019 ISO27000.pdf

123/208

>ste modelo tienecinco +asos:1" IdentiHcar los o,(etiFos de

seguridad2" >Faluar el sistema%" RealiGar la

descom+osición delsistema

&" IdentiHcar las amenaGas" IdentiHcar las

Fulnera,ilidades

12%


8/20/2019 ISO27000.pdf

124/208

• IdentiHcar los O,(etiFos – Los o,(etiFos se +ueden clasiHcar en :

• O,(etiFos de Identidad

• O,(etiFos inancieros• O,(etiFos de re+utación• O,(etiFos de integridad ' conHdencialidad• O,(etiFos de dis+oni,ilidad

12&


8/20/2019 ISO27000.pdf

125/208

• >Faluación del sistema – Una FeG Eue se an declarado los

o,(etiFos se de,e analiGar el diseo del

sistema +ara identiHcar loscom+onentes9 los Yu(os de in!ormación 'los l$mites de conHanGa"

• Descom+oner el sistema – Im+lica identiHcar las caracter$sticas '

los módulos con im+acto en la seguridadEue de,en ser eFaluados"

12


8/20/2019 ISO27000.pdf

126/208

• IdentiHcar las amenaGas – Se +arte del eco de Eue es im+osi,le

identiHcar amenaGas Eue no son

conocidas" or lo tanto9 concentrándoseen los riesgos conocidos9 se realiGa unaidentiHcación ,asada en el em+leo deerramientas de /ugraE"

12


8/20/2019 ISO27000.pdf

127/208

• IdentiHcar las amenaGas – Además de sa,er Eu; ti+o de amenaGa es el

Eue se +uede identiHcar9 es +reciso clasiHcarEui;n es el +osi,le atacante" Se +ro+one la

siguiente clasiHcación:• Descu,rimiento accidental• Mal.are automático• Atacante curioso

• Scri+t Widdies• Atacante MotiFado• *rimen organiGado

127

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad S($IDE

8/20/2019 ISO27000.pdf

128/208

• SRID> es una metodolog$a +araidentiHcar amenaGas conocidas">sta,lece seis categor$as:

– S+ooHng Identit' – am+ering .it Data – Re+udiation –

In!ormation Disclosure – Denial o! serFice – >leFation o! +riFilege

12@


8/20/2019 ISO27000.pdf

129/208

• DR>AD es un modelo Eue +ermiteesta,lecer un grado de riesgo Eue+ermite ordenar los riesgos mediante

la eFaluación de cinco categor$as"• ro+one una eK+resión Eue se

traduce en un $ndice:

124

5

)(

_ ILITY DISCOVERABUSER AFFECTED

ITY EXPLOTABIL BILITY REPRODUCTI DAMAGE

Dread Risk +

+++

=


8/20/2019 ISO27000.pdf

130/208

• Damage Potential Si la amenaGa se materialiGa9 Zcuánto dao+uede causar[ – 0 \ )oting – \ IndiFidual user data is com+romised or a]ected" – 10 \ *om+lete s'stem or data destruction

• Reproducibility Z*ómo de !ácil es re+roducir el eK+loit[ – 0 \ #er' ard or im+ossi,le9 eFen !or administrators o! te a++lication" – \ One or t.o ste+s reEuired9 ma' need to ,e an autoriGed user" – 10 \ Just a .e, ,ro.ser and te address ,ar is su^cient9 .itout

autentication"

• Exploitability Z_u; se necesita +ara materialiGar la amenaGa[ – 0 \ AdFanced +rogramming and net.orPing Pno.ledge9 .it custom or

adFanced attacP tools" – \ Mal.are eKists on te Internet9 or an eK+loit is easil' +er!ormed9 using

aFaila,le attacP tools" – 10 \ Just a .e, ,ro.ser

1%0


8/20/2019 ISO27000.pdf

131/208

• Afected Users Z*uántos usuarios se Fen a!ectados[ – 0 \ )one – \ Some users9 ,ut not all – 10 \ All users

• Discoverability Z*ómo de !acil es descu,rir esta

amenaGa[ – 0 \ #er' ard to im+ossi,leT reEuires source code or

administratiFe access" – \ *an Hgure it out ,' guessing or ,' monitoring net.orP

traces"

– 4 \ Details o! !aults liPe tis are alread' in te +u,lic domain andcan ,e easil' discoFered using a searc engine" – 10 \ e in!ormation is Fisi,le in te .e, ,ro.ser address ,ar or

in a !orm"

1%1

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad ($IFE

8/20/2019 ISO27000.pdf

132/208

• >s un modelo similar al +ro+uesto desdeMicroso!t"

• >Kisten sin em,argo di!erencias" RIW>+ro+one una a+roKimación a la descri+cióndel riesgo Eue no ana los ataEues9 lasamenaGas ' las Fulnera,ilidades"

• Al contrario9 +ermite distinguir unos de

otros constru'endo un sistema eK+erto+ara toma de decisiones"

1%2

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad 5 9S*NGS -&/0

8/20/2019 ISO27000.pdf

133/208

• >l Australian=)e. Xealand Standard es sim+le9mu' YeKi,le e iteratiFo "• ro+orciona una serie de con(untos de ta,las de

riesgos como e(em+los9 +ero +ermite desarrollar

' ada+tar su +ro+io modelo a las organiGaciones"• >l modelo se resume en cinco +untos" – >sta,lecer el conteKto – IdentiHcar los riesgos

– AnaliGar los riesgos – >Faluar los riesgos – Ba,ilitar contramedidas"

1%%

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad C8SS

8/20/2019 ISO27000.pdf

134/208

• >l de+artamento de Bomeland Securit'DBS5 del go,ierno de >>UU esta,lecióEue el denominado gru+o R=**' e/a'"

• Uno de los resultados de este gru+o asido el *#SS - *ommon #ulnera,ilit'Scoring S'stem

1%&


8/20/2019 ISO27000.pdf

135/208

• *#SS no es un modelo en s$9 sino Eue +ermitenormaliGar las notiHcaciones de seguridad asignándoleuna m;trica nica a las amenaGas descu,iertas"

• La deHnición de la m;trica es mu' com+le(a ' sucálculo im+lica tener en cuenta !actores so!t.are ' deentorno"

• La eFaluación de estos !actores o,liga a utiliGar unata,la +ara determinar el grado de criticidad de lasamenaGas conocidas"

• De eco la so,recarga Eue su+one calcular el $ndice*#SS so,re una a+licación determinada aumenta!actorialmente con cada amenaGa Eue se estima"

1%


8/20/2019 ISO27000.pdf

136/208

• *#SS no encuentra ni reduce la su+erHciede ataEue"

• am+oco enumera los riesgos +ara una+rograma determinado"

• Lo Eue +ro+orciona es una a+roKimaciónt;cnica9 estandariGada9 a,ierta ' ordenadade una Fulnera,ilidad es+ec$Hca"

1%

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad OC(98E

8/20/2019 ISO27000.pdf

137/208

• Se trata de un modelo mu' com+le(ooriginario de la *arnagie Mellon UniFersit'en cola,oración con el *>R"

• Se centra en la eFaluación del riesgoorganiGatiFo ' no t;cnico"

• AunEue til en la gestión de grandesorganiGaciones es demasiado costoso ' no

+ro+orciona medidas +ara mitigar lose!ectos de las amenaGas" >s más ,ien undecálogo de ,uenas costum,res"

1%7

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad C$9MM

8/20/2019 ISO27000.pdf

138/208

*RAMM 8 **A *entral *om+uter and elecommunications Agenc'5 RisP Anal'sisand Management Metod5 – ro+uesta creada +or la **A de Reino Unido" – Actualmente está en su Euinta Fersión – >stá estructurada en tres eta+as – *ada eta+a está estructurada +or unos

cuestionarios Eue +ermiten identiHcar 'analiGar los riesgos del sistema" La ltimaeta+a +ro+one contramedidas +ara los riesgos"

1%@=%@


http://en.wikipedia.org/wiki/CCTAhttp://en.wikipedia.org/wiki/CCTA

8/20/2019 ISO27000.pdf

139/208

• >ta+a 1: >sta,lecimiento de o,(etiFos – DeHnir los l$mites del estudio" – IdentiHcar ' Falorar los actiFos del sistema" – Determinar el Falor de los datos del sistema a

traF;s de entreFistas con el +ersonal acercadel +otencial dao em+resarial Eue tendr$a la!alta de dis+oni,ilidad9 su destrucción9 !altade conHdencialidad o su modiHcación"

– IdentiHcar ' Falorar los actiFos so!t.are delsistema"

1%4=%@


8/20/2019 ISO27000.pdf

140/208

• >ta+a 2: >Faluación de riesgos – IdentiHcar ' Falorar el ti+o ' niFel de

amenaGas Eue +odr$an a!ectar al

sistema" – >Faluar la eK+osición del sistema !rentea estas amenaGas"

– *om,inar am,os as+ectos con la

Faloración de los actiFos +aradeterminar una medida del riesgo"

1&0=%@


8/20/2019 ISO27000.pdf

141/208

• >ta+a %: IdentiHcación ' Selección decontramedidas – Se +ro+one una li,rer$a de

contramedidas agru+adas en 70 gru+oslógicos +ara !acilitar su a+licación"

1&1=%@

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad "(9

8/20/2019 ISO27000.pdf

142/208

• >l "ractical (>reat 9naly#i#+ro+one una suite +ara la

ela,oración de modelos de gestiónde riesgos ' +ermite estimar un niFelde seguridad a +artir de la

in!ormación incluida en cada+ro'ecto"

1&2

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad "(9

8/20/2019 ISO27000.pdf

143/208

• La realiGación del modelo conlleFa9 como en casosanteriores una serie de !ases: – >sta,lecer los +rerreEuisitos del modelo – >sta,lecer lista de etiEuetas – IdentiHcar los recursos del sistema – IdentiHcar las Fulnera,ilidades del sistema – IdentiHcar las contramedidas – IdentiHcar a los atacantes +otenciales – IdentiHcar los +otenciales +untos de entrada del sistema"

– *onstruir los escenarios de amenaGas ' los +lanes demitigación

– >studiar los resultados"

1&%

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad 5 9CE (ea!

8/20/2019 ISO27000.pdf

144/208

• >l A*> eam A++lication *onsulting` >ngineering eam5 es +arte deIn!oSec en Microso!t ' los

encargados de desarrollar un modelode gestión de riesgos"

1&&


8/20/2019 ISO27000.pdf

145/208

• Se +ro+one una metodolog$a +ara la eKtracción deun modelo de gestión de riesgos: – IdentiHcar los o,(etiFos de negocio – DeHnir +erHles de usuario – DeHnir datos – DeHnir los controles de acceso a datos – enerar los cases +ara cada usuario – DeHnir com+onentes9 serFicios e identidades – Detallar las llamadas de ' desde el sistema"

– enerar ' eFaluar las amenaGas AttacP Li,rar'5 – IdentiHcar la releFancia de cada com+onente – Remarcar las contramedidas"

1&

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad 9CE (ea!

8/20/2019 ISO27000.pdf

146/208

• AttacP Li,rar' – >sta diseada +ara:

• Dis+oner del m$nimo de in!ormación"

• ransmitir la relación del eK+loit9 la causa ' lacontramedida"

• Ser accesi,le +ara Eue la es+eciHcación deataEues no su+onga la +resencia de un t;cnico

aFanGado en seguridad" – >ntender cómo +ro,ar el eK+loit – >ntender cómo reconocer una Fulnera,ilidad – >ntender cómo im+lementar contramedidas

1&

#eguridad 5 9CE (ea!

8/20/2019 ISO27000.pdf

147/208


8/20/2019 ISO27000.pdf

148/208

•Si!!ing –(>reat - eK+osure o! AM card=account data due to te

+resence o! sPimming deFices on macines9ttac 8SPimming deFice +laced oFer card reader slot

8ulneraility - User cannot tell .en a sPimmingdeFice is +resent

Mitigation - +lace an L*D screenalong edge o! card slot" en user inserts card9 asP user

to enter code dis+la'ed on L*D" I! te user cannot seete L*D9 sPimming deFice +resent9 noti!' ,anP +ersonnel

1&@

MODULO II: 9n3li#i# de $ie#go# Si#te!a# de ealuación de#eguridad 5 Conclu#ione#

8/20/2019 ISO27000.pdf

149/208

• >s necesario deHnir un modelo de eFaluación deriesgos• Los modelos eKistentes sólo +ermiten eFaluar

amenaGas conocidas" >sta eFaluación se +uedeacer de !orma cualitatiFa o cuantitatiFa"

• Una +arte claFe de estos modelos es la deHnición deuna m;trica Eue +ermita eFaluar el niFel deseguridad de un sistema"

• >n la deHnición de esta m;trica es +reciso eFaluar

las Fulnera,ilidades '9 en eso de nueFo9 a' dos+osi,ilidades: una cuantitatiFa más costosa5 ' otracualitatiFa menos +recisa ' o,(etiFa5"

1&4

8/20/2019 ISO27000.pdf

150/208

8/20/2019 ISO27000.pdf

151/208

L I l ió d SSD , l i i

MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación'

8/20/2019 ISO27000.pdf

152/208

La Im+lementación de un SSD se ,asa en los siguientesestándares internacionales:

• /S 10012:2004 Data +rotection - S+eciHcation !or a +ersonalin!ormation management s'stem

• ISO=I>* 27001:201%9 In!ormation tecnolog' - Securit' tecniEues -In!ormation securit' management s'stems - ReEuirements"

• ISO=I>* 27002:201%9 In!ormation tecnolog' - Securit' tecniEues -*ode o! +ractice !or in!ormation securit' controls"

• ISO=I>* 2700:200@9 In!ormation ecnolog'-Securit' tecniEues-In!ormation securit' risP management"

• ISO=I>* 24100:2011 In!ormation tecnolog' - Securit' tecniEues -

riFac' !rame.orP• ISO %1000:20049 RisP management - rinci+les and guidelines• ISO UID> 729 uidelines !or te (ustiHcation and deFelo+ment o!

management s'stems

12

MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación'

8/20/2019 ISO27000.pdf

153/208

La Im+lementación de un SSD se ,asa en los siguientesestándares internacionales:

• ISO UID> 7%9 RisP management - #oca,ular'

• ISO 4000:2009 _ualit' management s'stems 88 undamentals and

Foca,ular'

• )IS S @0081& enerall' Acce+ted rinci+les and ractices !or

Securing In!ormation ecnolog' S'stems

• O>*D uidelines !or te Securit' o! In!ormation S'stems and )et.orPs- o.ards a *ulture o! Securit'"

1%

MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación

8/20/2019 ISO27000.pdf

154/208

1&

• La in!ormación es un actiFo esencial ' es decisiFa +ara la

Fia,ilidad de una organiGación" Ado+ta di!erentes !ormas9im+resa9 escrita en +a+el9 digital9 transmitida +or correo9mostrada en Fideos o a,lada en conFersaciones"

• De,ido a Eue está dis+oni,le en am,ientes cada FeG másinterconectados9 está eK+uesta a amenaGas 'Fulnera,ilidades"

• La seguridad de la in!ormación es la +rotección de lain!ormación contra una am+lia gama de amenaGasT +araminimiGar los daos9 am+liar las o+ortunidades del negocio9

maKimiGar el retorno de las inFersiones ' asegurar lacontinuidad del negocio"

• Se Fa logrando mediante la im+lementación de un con(untoadecuado de +ol$ticas9 +rocesos9 +rocedimientos9

organiGación controles ard.are ' so!t.are ' lo más


8/20/2019 ISO27000.pdf

155/208

1

• ara ISO International OrganiGation !or StandardiGation5 un

sistema de gestión Eueda deHnido +or un +roceso de &eta+as9 creado +or alter 9ndreJ S>eJ>art 1@41 - 1475

' +o+ulariGado +or illia! EdJard# De!ing 1400 -

144%59 laniHcar lan59 Im+lementar Do59 Medir *ecP5 '

Me(orar Act5"

laniHcar

Im+lementar Medir

Me(orar

Conce1to# generale# de un S4SI


8/20/2019 ISO27000.pdf

156/208

1

Conce1to# generale# de un S4SI

• ISO 27001 es un Sistema de estión de la Seguridad de laIn!ormación SSI5"• La seguridad de la in!ormación Eueda deHnida +or tres

atri,utos:a5 *onHdencialidadT

,5 IntegridadTc5 Dis+oni,ilidad"•) La seguridad de la in!ormación SI5 es la +rotección de la

in!ormación contra una am+lia gama de amenaGas res+ectoa: i5 MinimiGar daosT ii5 O+ortunidades del negocioT iii5Retorno de la inFersiónT iF5 *ontinuidad del negocioT F5*ultura ;tica"

•) >l SSI garantiGa la SI mediante una estructura de ,uenas+rácticas9 deHnidas +or: a5 estión de riesgosT ,5 ol$ticasT c5rocesosT d5 rocedimientosT e5 *ontrolesT !5 ReFisionesT g5Me(oras"


8/20/2019 ISO27000.pdf

157/208

17

La Seguridad de la In!ormación consiste en mantener:

• Con@dencialidad: In!ormación dis+oni,leeKclusiFamente a +ersonas autoriGadas"

• Integridad: Mantenimiento de la eKactitud ' FalideG de lain!ormación9 +rotegi;ndola de modiHcaciones oalteraciones no autoriGadas" *ontra la integridad lain!ormación +uede +arecer mani+ulada9 corru+ta oincom+leta"

• Di#1oniilidad: Acceso ' utiliGación de los serFicios sólo' en el momento de ser solicitado +or una +ersonaautoriGada"

La docu!entación

8/20/2019 ISO27000.pdf

158/208

• or e(em+lo9 el alcance del SSI Eueda cu,ierto +or los

MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación 9lcance

8/20/2019 ISO27000.pdf

159/208

14

( + 9 E +

+rocesos de las siguientes áreas:• acilit'

>s+acio !$sicoT energ$a el;ctricaT aire acondicionadoT+rotección contra incendiosT accesos

• Administración MonitoreoT accesos lógicosT ,ases de datosT

a+licatiFos• >K+lotación=Res+aldo

Mallas de +rocesosT almacenamiento de in!ormación• *omunicaciones

Redes de datosT seguridad lógicaT monitoreo eEui+os de

comunicacionesT enlaces• >R SA Administración de sistemas SA"

MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación $oad!a1

8/20/2019 ISO27000.pdf

160/208

10


8/20/2019 ISO27000.pdf

161/208

11

8/20/2019 ISO27000.pdf

162/208

12

8/20/2019 ISO27000.pdf

163/208

1%

• *omit; de seguridad de la In!ormación *SI5 A "1"2 ó A "1"%5

MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación Organi6ación

8/20/2019 ISO27000.pdf

164/208

1&

8/20/2019 ISO27000.pdf

165/208

1

>l *omit; de /asilea II lo deHne como: ste +roceso de riesgo o+eracional es el Eue de,er$a garantiGar la,uena gestión de los riesgos segn los estándaresinternacionales"

Segn el *omit; de /asilea II9 se entiende +or

8/20/2019 ISO27000.pdf

166/208

1

• DeHnir cuáles serán tratados" or e(em+lo9los incidentes ma'ores" *omo se trata de

un tema de cam,io cultural9 la

recomendación es ir desde lo sim+le a lo

com+le(o"5

• rocedimiento de incidentes de SI"• ratamiento"

MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación 5 "lan de continuidad del negocio

8/20/2019 ISO27000.pdf

167/208

17

• Alcance"• estión de riesgo"

• >strategias de continuidad"

• lan de *ontinuidad"

• rue,as"

• Me(oras"

MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación 5 9uditoría# interna#

8/20/2019 ISO27000.pdf

168/208

1@

• re+aración de auditores"• *alendario"

• >(ecución del calendario"

• ratamiento de allaGgos"

• Me(oras"

MODULO III: Si#te!a de 4e#tión de Seguridad de laInor!ación 5 $ei#ione# 4erenciale#

8/20/2019 ISO27000.pdf

169/208

14

• La alta dirección de,e reFisar el SSI9 segn la +laniHcacióndeHnida9 segn conFeniencia9 suHciencia ' e!ectiFidad"• >stado de las acciones9 en !unción de las R anteriores"• Los cam,ios internos ' eKternos releFantes +ara el SSI"• Desem+eo de:

ISO27000.pdf

Documents