ISO 27001:2013 Ing. Yango Alexander Colmenares| Instituto Politécnico Nacional -Maestría en
Ingeniería en Seguridad y Tecnologías de la Información - México 2014
Objetivos de la Sesión
•Entender las diferencias claves de la versión ISO 27001:2005 a la versión 2013
•Indicar los nuevos requerimientos de la versión 2013
•Mostrar los nuevos Controles y Dominios Agregados en la ISO 27001:2013
2
Lo recuerdas?
Es una federación mundial de organismos nacionales de normalización alrededor de 160 países, trabajan a nivel de Comités Técnicos.
(Source: iso.org) 3
Necesidad del Proyecto ISO 27001:2013
Causas: Los estándares ISO se revisan cada 4 o 5 años. Los controles de la ISO 27002 muchos son obsoletos. La necesidad de integrar los sistemas de gestión (Anexo SL, PAS 99).
El proyecto nace con la aprobación de un articulo en el New Work Item (NWI) el 19 de mayo 2009.
Los primeros 3 borradores de trabajo conservan la estructura de 1ra edición.
La estructura común y el texto básico actual aplican al draft 4 en oposición de varios organismos nacionales.
El 15 de Febrero del 2012, el Consejo de Gestión Técnica de ISO (TMB) decidió que la norma ISO 27001 tiene que seguir la nueva estructura, unificado, pero que las desviaciones justificadas se admiten.
La alianza para dejar caer la Declaración de aplicabilidad falló.
Los intentos para terminar el proyecto hasta el final fracasaron.
4
Revisión por: • NCC (Centro Nacional de
Computación) • Consorcio usuarios
1993
Estándar nacional británico
1995
Estándar Internacional (Fast Track)
1999 2000
Revisión periódica (5 años)
2005
Nuevo estándar nacional certificable
Estándar Internacional
1998 2002
Revisión conjunta de las partes 1 y 2
Revisión y acercamiento a: • ISO 9001 • ISO 14001 • OCDE
1999 2005
Centro de Seguridad de Informática Comercial del Reino Unido (CCSC/DTI)
1989
Revisión conjunta de las partes 1 y 2
■ Certificable
Código de prácticas para usuarios
■ PD0003 Código de prácticas para la gestión de la seguridad de la información
■ BS 7799
■ BS 7799-1 :1999
■ ISO/IEC 17799
:2000
■
ISO/IEC 17799 :2005 ■
BS 7799-2 :2002 ■
BS 7799-2 ■
BS 7799-2 :1999 ■
ISO/IEC 27001 :2005 ■
Historia de ISO 27001 e ISO 17799
■ No certificable
2013
ISO/IEC 27001 :2013 ■
2013
Cambios de Estructura en las Normas
1. Introducción
2. Objeto
3. Referencias Normativas
4. Contexto de la Organización
5. Liderazgo
6. Planificación
7. Soporte
8. Operación
9. Evaluación del desempeño
10. Mejora
1.Introducción
2. Objeto
3. Referencias Normativas
4. Sistema de Gestión de la Seguridad de la Información
4.1 General 4.2 SGSI 4.2.1 Establecer 4.2.2 Implementar y Operar
4.2.3 Monitorear y Revisar 4.2.4 Mantener y Mejorar 4.3
Documentar
5. Responsabilidad de la Dirección
6. Auditoría Interna
7. Revisión de la Dirección
8. Mejora
VERSIÓN ISO 27001: 2005 VERSIÓN ISO 27001: 2013
6
Entregas
9. Evaluación del desempeño
VERSIÓN 2005 VERSIÓN 2013
ANEXO A Objetivos de control y Controles
ANEXO B OECD Principios y estándares Internacionales
ANEXOC Correspondencia entre ISO:9001:2000, ISO
14001:2004 y la este estándar internacional.
ANEXO A Objetivos de control y Controles
7
Nuevos conceptos ISO 27002:2013 Clausula 8.1 Activos relacionados con las instalaciones de procesamiento de información deben ser identificados y un inventario de los activos deberá estar documentado y actualizado.
Activo
Activo Primario
Información Procesos
Activo de Soporte
Infraestructura, Hardware y Software
8
Nuevos Conceptos 6.Planeacíon 8.Operación 6.1 Actions to address risks and opportunities
ISO 27001:2013 Clausulas 6.1.2 y 8.2 Evaluación de los riesgos de la seguridad de la información.
(Source: Isaca)
8.2The organization shall retain documented information of the results of the information security risk assessments.
ISO 31000:2009 CRISC-Isaca
9
Nuevos Conceptos: 5.Liderazgo
La alta dirección debe asegurarse de que las responsabilidades y las funciones pertinentes a la seguridad de información se asignen y se comuniquen.
Tareas/actividades
Procedimientos
Herramientas/tecnología
Procesos de control de cambios del proyecto
Roles de la Organización responsabilidades y autoridades
5.3 Note:Top management may also assign responsibilities and authorities for reporting performance of the information security management system within the organization.
10
ISO 27002:2005 Vs ISO 27002:2013
5. Política de Seguridad de la Información 6. Organización de la Seguridad de la Información
7. Seguridad de los Recursos Humanos
8. Gestión de activos
9. Control de acceso
10. Criptografía Política y Gestión de Clave
11. Seguridad física y del entorno
12. Seguridad en la operaciones
13. Seguridad de las comunicaciones
14. Adquisición, desarrollo y mantenimiento de los sistemas 15. Relación con los proveedores
16. Gestión de incidentes de S.I.
17. Los aspectos de la S.I. en la G.C.N.
18. Cumplimiento
5. Política de Seguridad de la Información 6. Organización de la Seguridad de la Información
7. Gestión de activos
8. Seguridad de los Recursos Humanos
11. Control de acceso
10. Gestión de comunicaciones y operaciones
12. Adquisición, desarrollo y mantenimiento en sistemas de información 13. Gestión de incidentes de S.I. 14. Gestión de continuidad de negocio
15. Cumplimiento
9. Seguridad física y del entorno
ISO 27002:2005 ISO 27002:2013
11
En resumen:
ISO 27002:2005 ISO 27002:2013
11 Dominiosde seguridad de la información. 14 Dominios de seguridad de la información.
39 Objetivos de Control 35 Objetivos de Control
133 Controles 111 Controles
21 Controles Borrados 14 Nuevos Controles
No poseía el concepto de seguridad de la Información
Revisión y fusión de Controles
SGSI (ISMS) Establecer, Implementar, Operar, Revisar, Mantener, Hacer Seguimiento y Mejorar la seguridad de la información.
Fortalece el concepto de la seguridad de la información (SI) en la preservación de las 3 Propiedades de la información.
12
Controles Eliminados: ISO 27002:2005 ISO 27002:2005
A.6.1.1 Compromiso de la Gerencia con la seguridad de la información
A 11.4.2 Autenticación del usuario para conexiones externas
A.6.1.2Cordinación de la seguridad de la información A 11.4.3 Identificación del equipo en red
A 6.1.4 Proceso de autorización para los medios de procesamiento
A 11.4.4 Protección del puerto de diagnostico remoto
A 6.2.1 Identificación de Riesgos relacionados con entidades externas
A 11.4.6 Control conexión de redes
A 6.2.2 Tratamiento de la seguridad cuando se trabaja con clientes
A 11.4.7 Control de 'routing' de redes
A 10.2.1 Entrega de servicio A 10.8.5 Sistemas de información comercial
A 10.7.4 Seguridad de documentación del sistema A 11.6.2 Aislamiento del sistema sensible
A 10.10.2 Uso del sistema de monitoreo A 12.2.4 Validación de data de output
A 10.10.5 Registro de fallas (faulth logging) A 15.3.2 Protección de las herramientas de auditoria de los sistemas de información
13
Nuevos Controles : ISO 27002:2013 ISO 27002:2013
A.6.1.5 Seguridad de la información en la administración de proyectos
A 16.1.5 Respuesta a incidentes de seguridad de la información
A.12.6.2 Restricciones en la instalación de software A 17.2.1 Disponibilidad de instalaciones del procesamiento de la información
A 14.2.1 Políticas de desarrollo seguro
A 14.2.5 Principios de ingeniería para sistemas seguros
A 14.2.6 Entorno para desarrollo seguro
A 14.2.8 Pruebas de seguridad en los sistemas (testing)
A 15.1.1 Política de seguridad de la información para las relaciones con proveedores
A 15.1.3 Tecnologías de la información en la cadena de suministros
A 16.1.4 Evaluación y decisión sobre los eventos de la seguridad de la información.
14
Países con mayores Certificados en IS0 27001:2005
(Source: iso.org)
15
Países con Certificados en IS0 27001:2005
0 €
1.000 €
2.000 €
3.000 €
4.000 €
5.000 €
6.000 €
7.000 €
8.000 €
Japón India China España Alemania Usa México Colombia
Certificados obtenidos al 2012
(Source: iso.org)
16
Países Latinos con Certificados en IS0 27001:2005
México Colombia Brasil Argentina Chile Peru Ecuador
Certificados Obtenidos 75 58 53 33 23 7 3
0 €
10 €
20 €
30 €
40 €
50 €
60 €
70 €
80 €
Nú
me
ro d
e C
ert
ific
ad
os
Certificados Obtenidos
(Source: iso.org)
17
Conclusiones Los conceptos que debemos reforzar: Partes interesadas, Liderazgo, Sensibilización, Comunicación, Capacidades, Propietario del riesgo, Activos, Gestión de Riesgos y Oportunidades.
La ISO 27002:2013 tiene menos controles en cantidad y en método hay menos controles tecnológicos, adicionalmente se cuentan con políticas de control mas claras.
ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y 114 CONTROLES
Los Requisitos de evaluación de riesgos deben alinearse con la norma ISO 31000
18
Referencias y Bibliografía.
Information technology — Security techniques — Information security management systems — Requirements ISO/IEC 27001:2013
Survey World distribution of ISO/IEC 27001 certificates in 2012
ISACA.Org
ISO 27001:2005
Procesos de control ISO tools.org
Msi. Ing. Darío Medina Ramírez, Cátedra- Análisis de Riesgos
19
Gracias por su atención…
Desarrollado por: Ing.Yango Alexander Colmenares Auditor Interno Certificado ISO 27001
20