Upload
fesquivelc
View
105
Download
0
Tags:
Embed Size (px)
Citation preview
UNIVERSIDAD NACIONAL
PEDRO RUIZ GALLO
FACULTAD DE INGENIERÍA CIVIL DE SISTEMAS Y ARQUITECTURA
ESCUELA PROFESIONAL DE INGENIERÍA DE SISTEMAS
ISO 27001
INTEGRANTES
BACA FLORES VÍCTOR MIGUEL ESQUIVEL CUENCA FRANCIS QUISPE DÁVILA JUAN CARLOS SÁNCHEZ MEDINA PIERRE SAMIR
CURSO
AUDITORÍA DE SISTEMAS INFORMÁTICOS
DOCENTE
ING. CELI AREVALO ERNESTO
Lambayeque, Setiembre de 2013
ISO 27001 Septiembre 2013
Contenido
INTRODUCCIÓN .................................................................................................................... 3
ESTRUCTURA ........................................................................................................................... 4
ORIGEN ................................................................................................................................... 5
MODELO APLICADO A LOS PROCESOS SGSI ............................................................... 6
ALCANCE ............................................................................................................................... 7
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN .................................... 8
START: ARRANQUE DEL PROYECTO .................................................................................. 9
PLAN: ESTABLECER EL SGSI ............................................................................................... 10
DO: IMPLEMENTAR Y OPERAR EL SGSI .......................................................................... 12
CHECK: MONITOREAR Y REVISAR EL SGSI .................................................................... 13
ACT: MANTENER Y MEJORAR EL SGSI ............................................................................ 15
REQUERIMIENTOS DE DOCUMENTACIÓN .................................................................... 16
RESPONSABILIDAD DE LA GERENCIA ............................................................................ 18
AUDITORÍAS INTERNAS SGSI ............................................................................................. 19
REVISIÓN GERENCIAL SGSI ............................................................................................... 20
MEJORAMIENTO DEL SGSI ................................................................................................ 21
11 DOMINIOS DE SEGURIDAD ......................................................................................... 22
FACTORES DE ÉXITO ........................................................................................................... 36
RIESGOS ................................................................................................................................ 36
BENEFICIOS ........................................................................................................................... 37
CONSEJOS BÁSICOS .......................................................................................................... 38
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na 2
ISO 27001 Septiembre 2013
ISO 27001 INTRODUCCIÓN
Hoy en día se sabe que la información es un activo vital para el éxito y continuidad en
el mercado de cualquier organización. Así que el aseguramiento de dicha información
y de los sistemas que la procesan debe ser uno de los principales objetivos de las
Empresas.
Para la adecuada gestión de la seguridad de la información, es necesario implantar un
sistema que aborde esta tarea de una forma metódica, documentada y basada en
unos objetivos claros de seguridad y una evaluación de los riesgos a los que está
sometida la información de la organización.
ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por
ISO (International Organization for Standardization) e IEC (International Electrotechnical
Commission), que proporcionan un marco de gestión de la seguridad de la información
utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
Este estándar internacional ha sido preparado para proporcionar un modelo para
establecer, implementar, operar, monitorear, revisar, mantener y mejorar un Sistema de
Gestión de Seguridad de la Información (SGSI). La adopción de un SGSI debe ser una
decisión estratégica para una Organización. Su diseño e implementación es
influenciado por las necesidades y objetivos, requerimientos de seguridad, procesos
empleados, tamaño y estructura de la Organización.
Un enfoque de proceso para la gestión de la seguridad de la información fomenta que
sus usuarios enfaticen la importancia de:
- Entender los requerimientos de seguridad de información de su organización, y
la necesidad de establecer políticas y objetivos para dicha seguridad.
- Implementar y operar controles para manejar los riesgos asociados.
- Monitorear y revisar el desempeño y la efectividad del SGSI.
- Mejoramiento en base a la medición del objetivo.
Este estándar proporciona un modelo sólido para implementar los principios en aquellos
lineamientos que gobiernan la evaluación del riesgo, diseño e implementación de
seguridad, gestión y re-evaluación de la seguridad.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na 3
ISO 27001 Septiembre 2013
ESTRUCTURA
ISO 27001:2005
Introducción: generalidades e introducción al método PDCA.
Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el
tratamiento de exclusiones.
Normas para consulta: otras normas que sirven de referencia.
Términos y definiciones: breve descripción de los términos más usados en la norma.
Sistema de gestión de la seguridad de la información: cómo crear, implementar,
operar, supervisar, revisar, mantener y mejorar el SGSI; requisitos de documentación y
control de la misma.
Responsabilidad de la dirección: en cuanto a compromiso con el SGSI, gestión y
provisión de recursos y concienciación, formación y capacitación del personal.
Auditorías internas del SGSI: cómo realizar las auditorías internas de control y
cumplimiento.
Revisión del SGSI por la dirección: cómo gestionar el proceso periódico de revisión del
SGSI por parte de la dirección.
Mejora del SGSI: mejora continua, acciones correctivas y acciones preventivas.
Objetivos de control y controles: anexo normativo que enumera los objetivos de
control y controles que se encuentran detallados en la norma ISO 27002:2005.
Relación con los Principios de la OCDE: anexo informativo con la correspondencia
entre los apartados de la ISO 27001 y los principios de buen gobierno de la OCDE.
Correspondencia con otras normas: anexo informativo con una tabla de
correspondencia de cláusulas con ISO 9001 e ISO 14001.
Bibliografía: normas y publicaciones de referencia.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na 4
ISO 27001 Septiembre 2013
ORIGEN
Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British
Standards Institution, la organización británica equivalente a AENOR en España) es
responsable de la publicación de importantes normas.
La norma BS 7799 de BSI aparece por primera vez en 1995, con objeto de proporcionar
a cualquier empresa -británica o no- un conjunto de buenas prácticas para la gestión
de la seguridad de su información.
La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas, para la que
no se establece un esquema de certificación. Es la segunda parte (BS 7799-2), publicada
por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de
la información (SGSI) para ser certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por
ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. En 2002, se revisó BS 7799-
2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.
En 2005, con más de 1700 empresas certificadas en BS7799-2, este esquema se publicó
por ISO como estándar ISO 27001, al tiempo que se revisó y actualizó ISO17799. Esta
última norma se renombra como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el
contenido así como el año de publicación formal de la revisión.
En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó la
BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na 5
ISO 27001 Septiembre 2013
MODELO APLICADO A LOS PROCESOS SGSI
PLAN: Establecer el SGSI
- Establecer políticas, objetivos, procesos y procedimientos SGSI relevantes para el
manejo de riesgos y mejorar la seguridad de la información, con el fin de
entregar resultados que concuerden con las políticas y objetivos generales de la
Organización.
DO: Implementar y operar el SGSI
- Implementar y operar las políticas, controles, procesos y procedimientos del SGSI.
CHECK: Monitorear y revisar el SGSI
- Evaluar, y si es aplicable medir el desempeño del proceso en comparación con
las políticas, objetivos. A fin de reportar los resultados a la gerencia para su
revisión correspondiente.
ACT: Mantener y mejorar el SGSI
- Tomar acciones correctivas y preventivas, basadas en los resultados de la
auditoría interna SGSI y otra información relevante (como las revisiones
gerenciales), para lograr el mejoramiento continuo del SGSI.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na 6
ISO 27001 Septiembre 2013
ALCANCE
Este Estándar Internacional abarca todo tipo de organizaciones (empresas comerciales,
agencias gubernamentales, organizaciones sin fines de lucro). El cual especifica los
requerimientos para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar un SGSI documentado dentro del contexto de los riesgos comerciales,
actividades que son básicas para los propósitos de la existencia de la organización.
Un SGS está diseñado para proporcionar controles de seguridad que protejan los activos
de la información y den confianza a las partes interesadas.
APLICACIÓN
Los requerimientos establecidos en este estándar internacional son genéricos y están
diseñados para ser aplicables a todas las organizaciones, sin importar tipo, tamaño o
naturaleza.
Si se hacen exclusiones de los controles, se debe justificar la aceptación del riesgo por
las personas responsables, además de proporcionar evidencia que lo contraste.
REFERENCIA NORMATIVA
ISO/IEC 17799:2005, Tecnología de Información – Técnicas de seguridad – Código de
práctica para la gestión de la seguridad de la información.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na 7
ISO 27001 Septiembre 2013
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN
REQUERIMIENTOS GENERALES
La organización debe establecer, implementar, operar, monitorear, mantener y mejorar
continuamente un SGSI documentado dentro del contexto de las actividades
comerciales generales de la organización y los riesgos que enfrentan. Para propósitos
de este Estándar Internacional, los procesos utilizados se basan en el modelo PDCA que
se muestra a continuación, modelo establecido por Edwards Deming, como estrategia
de mejora continua de la calidad en la administración en una organización.
PLAN DO
CHECK ACT
START
Definir alcance del SGSI. Definir política de seguridad. Metodología de evaluación de riesgos. Inventario de activos. Identificar amenazas y vulnerabilidades. Identificar impactos. Análisis y evaluación de riesgos. Selección de controles y SOA
Definir plan de tratamiento de riesgos.
Implantar plan de tratamiento de riesgos.
Implementar los controles Formación y
concienciación. Operar el SGSI.
Revisar el SGSI Medir eficacia de los
controles. Revisar riesgos residuales Realizar auditorías internas
del SGSI. Registrar acciones y
eventos.
Implantar mejoras. Acciones correctivas. Acciones preventivas. Comprobar eficacia de las
acciones.
Compromiso de la Dirección.
Planificación Fechas Responsables.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na 8
ISO 27001 Septiembre 2013
START: ARRANQUE DEL PROYECTO
Compromiso de la Dirección: una de las bases fundamentales sobre las
que iniciar un proyecto de este tipo es el apoyo claro y decidido de la
Dirección de la organización. No sólo por ser un punto contemplado de
forma especial por la norma sino porque el cambio de cultura y
concienciación que lleva consigo el proceso hacen necesario el impulso
constante de la Dirección.
Planificación, fechas, responsables: como en todo proyecto de
envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican
sus efectos positivos sobre el resto de fases.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na 9
ISO 27001 Septiembre 2013
PLAN: ESTABLECER EL SGSI
Definir alcance del SGSI: en función de características del negocio,
organización, localización, activos y tecnología, definir el alcance y los
límites del SGSI (es recomendable empezar por un alcance limitado).
Definir política de seguridad: que incluya el marco general y los objetivos
de seguridad de la información de la organización, tenga en cuenta los
requisitos de negocio, legales y contractuales en cuanto a seguridad,
esté alineada con la gestión de riesgo general, establezca criterios de
evaluación de riesgo y sea aprobada por la Dirección.
Definir el enfoque de evaluación de riesgos: definir una metodología de
evaluación de riesgos apropiada para el SGSI y las necesidades de la
organización, desarrollar criterios de aceptación de riesgos y determinar
el nivel de riesgo aceptable. DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
10
ISO 27001 Septiembre 2013
Inventario de activos: todos aquellos activos de información que tienen
algún valor para la organización y que quedan dentro del alcance del
SGSI. Identificar amenazas y vulnerabilidades: todas las que afectan a los
activos del inventario.
Identificar los impactos: los que podría suponer una pérdida de la
confidencialidad, la integridad o la disponibilidad de cada uno de los
activos.
Análisis y evaluación de los riesgos: evaluar el daño resultante de un fallo
de seguridad (es decir, que una amenaza explote una vulnerabilidad) y
la probabilidad de ocurrencia del fallo; estimar el nivel de riesgo
resultante y determinar si el riesgo es aceptable (en función de los niveles
definidos previamente) o requiere tratamiento.
Identificar y evaluar opciones para el tratamiento del riesgo: el riesgo
puede reducido (mitigado mediante controles), eliminado (p. ej.,
eliminando el activo), aceptado (de forma consciente) o transferido (p.
ej., con un seguro o un contrato de outsourcing).
Selección de controles: seleccionar controles para el tratamiento el
riesgo en función de la evaluación anterior. Utilizar para ello los controles
del Anexo A de ISO 27001 (teniendo en cuenta que las exclusiones
habrán de ser justificadas) y otros controles adicionales si se consideran
necesarios.
Aprobación por parte de la Dirección del riesgo residual y autorización
de implantar el SGSI: hay que recordar que los riesgos de seguridad de la
información son riesgos de negocio y sólo la Dirección puede tomar
decisiones sobre su aceptación o tratamiento. El riesgo residual es el que
queda, aún después de haber aplicado controles (el "riesgo cero" no
existe prácticamente en ningún caso).
Confeccionar una Declaración de Aplicabilidad: la llamada SOA
(Statement of Applicability) es una lista de todos los controles
seleccionados y la razón de su selección, los controles actualmente
implementados y la justificación de cualquier control del Anexo A
excluido. Es, en definitiva, un resumen de las decisiones tomadas en
cuanto al tratamiento del riesgo. DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
11
ISO 27001 Septiembre 2013
DO: IMPLEMENTAR Y OPERAR EL SGSI
Definir plan de tratamiento de riesgos: que identifique las acciones,
recursos, responsabilidades y prioridades en la gestión de los riesgos de
seguridad de la información.
Implantar plan de tratamiento de riesgos: con la meta de alcanzar los
objetivos de control identificados.
Implementar los controles: todos los que se seleccionaron en la fase
anterior.
Formación y concienciación: de todo el personal en lo relativo a la
seguridad de la información.
Desarrollo del marco normativo necesario: normas, manuales,
procedimientos e instrucciones.
Gestionar las operaciones del SGSI y todos los recursos que se le asignen.
Implantar procedimientos y controles de detección y respuesta a
incidentes de seguridad.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
12
ISO 27001 Septiembre 2013
CHECK: MONITOREAR Y REVISAR EL SGSI
Ejecutar procedimientos y controles de monitorización y revisión: para
detectar errores en resultados de procesamiento, identificar brechas e
incidentes de seguridad, determinar si las actividades de seguridad de la
información están desarrollándose como estaba planificado, detectar y
prevenir incidentes de seguridad mediante el uso de indicadores y
comprobar si las acciones tomadas para resolver incidentes de seguridad
han sido eficaces.
Revisar regularmente la eficacia del SGSI: en función de los resultados de
auditorías de seguridad, incidentes, mediciones de eficacia, sugerencias
y feedback de todos los interesados.
Medir la eficacia de los controles: para verificar que se cumple con los
requisitos de seguridad. DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
13
ISO 27001 Septiembre 2013
Revisar regularmente la evaluación de riesgos: los cambios en la
organización, tecnología, procesos y objetivos de negocio, amenazas,
eficacia de los controles o el entorno tienen una influencia sobre los
riesgos evaluados, el riesgo residual y el nivel de riesgo aceptado.
Realizar regularmente auditorías internas: para determinar si los controles,
procesos y procedimientos del SGSI mantienen la conformidad con los
requisitos de ISO 27001, el entorno legal y los requisitos y objetivos de
seguridad de la organización, están implementados y mantenidos con
eficacia y tienen el rendimiento esperado.
Revisar regularmente el SGSI por parte de la Dirección: para determinar
si el alcance definido sigue siendo el adecuado, identificar mejoras al
proceso del SGSI, a la política de seguridad o a los objetivos de seguridad
de la información.
Actualizar planes de seguridad: teniendo en cuenta los resultados de la
monitorización y las revisiones.
Registrar acciones y eventos que puedan tener impacto en la eficacia o
el rendimiento del SGSI: sirven como evidencia documental de
conformidad con los requisitos y uso eficaz del SGSI.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
14
ISO 27001 Septiembre 2013
ACT: MANTENER Y MEJORAR EL SGSI
Implantar mejoras: poner en marcha todas las mejoras que se hayan
propuesto en la fase anterior.
Acciones correctivas: para solucionar no conformidades detectadas.
Acciones preventivas: para prevenir potenciales no conformidades.
Comunicar las acciones y mejoras: a todos los interesados y con el nivel
adecuado de detalle.
Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la
eficacia de cualquier acción, medida o cambio debe comprobarse
siempre.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
15
ISO 27001 Septiembre 2013
REQUERIMIENTOS DE DOCUMENTACIÓN
La documentación debe incluir registros de las decisiones gerenciales, además de
asegurar que las acciones puedan ser monitoreadas y los resultados que se registren
deben ser reproducibles.
La documentación debe incluir:
- Enunciados documentados de la política SGSI y los objetivos.
- El Alcance del SGSI.
- Procedimientos y controles de soporte del SGSI.
- Descripción de la metodología de evaluación del riesgo.
- Reporte de evaluación del riesgo.
- Plan de tratamiento del riesgo.
- Procedimientos documentados (el procedimiento se establece, documenta,
implementa y mantiene) necesarios por la Organización que asegure la
planeación, operación y control de sus procesos de seguridad.
- Registros requeridos por el estándar.
- Enunciado de Aplicabilidad.
La extensión de la documentación SGSI puede diferir de una organización a otra
debido a:
- El tamaño de la organización y el tipo de sus actividades, y
- El alcance y complejidad de los requerimientos de seguridad y el sistema que se
está manejando.
CONTROL DE DOCUMENTOS:
Los documentos requeridos por el SGSI deben ser protegidos y controlados. Se debe
establecer un procedimiento documentado para definir las acciones gerenciales para:
a. Aprobar la idoneidad de los documentos antes de su emisión.
b. Revisar y actualizar los documentos conforme sea necesario y re-aprobar los
documentos.
c. Asegurar que se identifiquen los cambios y el estatus de la revisión actual de los
documentos.
d. Asegurar que las versiones más recientes de los documentos relevantes estén
disponibles en los puntos de uso.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
16
ISO 27001 Septiembre 2013
e. Asegurar que los documentos se mantengan legibles e identificables.
f. Asegurar que los documentos estén disponibles, y sean almacenados y
finalmente eliminados según su clasificación.
g. Asegurar que se identifiquen los documentos de origen externo.
h. Asegurar que se controle la distribución de documentos.
i. Evitar el uso indebido de documentos obsoletos.
j. Aplicarles una identificación adecuada si se van a retener por algún propósito.
CONTROL DE REGISTROS
Se deben establecer y mantener registros para proporcionar evidencia de
conformidad con los requerimientos y la operación efectiva del SGSI. Deben ser
protegidos y controlados. El SGSI debe tomar en cuenta cualquier requerimiento
legal relevante. Los registros deben mantenerse legibles, fácilmente identificables y
recuperables. Se deben documentar e implementar los controles necesarios para la
identificación, almacenaje, protección, recuperación, tiempo de retención y
disposición de los registros.
NOTA: Son ejemplo de registros, los libros de visitantes, registros de auditoría y
solicitudes de autorización de acceso.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
17
ISO 27001 Septiembre 2013
RESPONSABILIDAD DE LA GERENCIA
COMPROMISO DE LA GERENCIA.
La gerencia debe proporcionar evidencia de su compromiso con el
establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y
mejoramiento del SGSI, asegurando que se establezca la política SGSI, objetivos y
planes, además de los roles y responsabilidades, y comunicar a toda la organización
la importancia de lograr los objetivos de seguridad.
GESTIÓN DE RECURSOS
Provisión de recursos.- La organización debe determinar y proporcionar los
recursos necesarios para establecer, implementar, operar, monitorear,
revisar, mantener y mejorar un SGSI, además de mantener una seguridad
adecuada mediante la correcta aplicación de todos los controles
implementados.
Capacitación, conocimiento y capacidad.- La organización debe asegurar
que todo su personal a quien se asignó las responsabilidades definidas en el
SGSI sea competente para realizar las tareas requeridas para determinar las
capacidades necesarias para que el personal realice su trabajo,
proporcione la capacitación o realizar otras acciones (ejemplo; emplear al
personal competente), mantener registros de educación, capacitación,
capacidades, experiencia y calificaciones.
La organización debe asegurarse que todo el personal relevante esté consciente de
la relevancia e importancia de sus actividades de seguridad de la información y
cómo ellos pueden contribuir al logro de los objetivos SGSI.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
18
ISO 27001 Septiembre 2013
AUDITORÍAS INTERNAS SGSI
La organización debe realizar auditorías internas SGSI a intervalos planeados para
determinar si los objetivos de control, controles, procesos, procedimientos del SGSI:
- Cumplen con los requerimientos del estándar y su legislación.
- Cumplen con los requerimientos de seguridad de la información identificados.
- Se implementan y mantienen de manera efectiva.
- Se realizan conforme lo esperado.
Se debe planear un programa de auditoría tomando en consideración el estatus e
importancia de los procesos y áreas a ser auditadas, así como los resultados de
auditorías previas.
Se debe definir el criterio, alcance, frecuencia y métodos de auditoría. La selección
de los auditores y la realización de las auditorías deben asegurar la objetividad e
imparcialidad del proceso de auditoría. Los auditores no deben auditar su propio
trabajo.
Las responsabilidades y requerimientos para la planeación y realización de las
auditorías y para el reporte de resultados y mantenimiento de registros se deben
definir en un procedimiento documentado.
La gerencia responsable para el área siendo auditada debe asegurar que se den
sin demora las acciones para eliminar las no-conformidades detectadas y sus
causas. Las actividades de seguimiento deben incluir la verificación de las acciones
tomadas y el reporte de los resultados de verificación.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
19
ISO 27001 Septiembre 2013
REVISIÓN GERENCIAL SGSI
La gerencia debe revisar el SGSI de la organización a intervalos planeados (1 vez al
año como mínimo) para asegurarse de su continua idoneidad, conveniencia y
efectividad. Esta revisión incluye oportunidades de evaluación para el mejoramiento
y la necesidad de cambios en el SGSI, incluyendo la política de seguridad y objetivos
de seguridad de la información. Los resultados de las revisiones deben
documentarse claramente y se debe haber registros.
INSUMO DE LA REVISIÓN
El insumo para la revisión gerencial debe incluir:
- Resultados de auditorías y revisiones del SGSI.
- Retroalimentación de las partes interesadas.
- Técnicas, productos o procedimientos, que se podrían utilizar en la organización
para mejorar el desempeño y efectividad del SGSI.
- Status de acciones preventivas y correctivas.
- Vulnerabilidades o amenazas no tratadas adecuadamente en la evaluación de
riesgo.
- Cualquier cambio que pudiera afectar el SGSI.
- Recomendaciones para el mejoramiento.
RESULTADO DE LA REVISIÓN
El resultado de la revisión gerencial debe incluir cualquier decisión y acción con:
- Mejoramiento de la efectividad del SGSI.
- Actualización de la evaluación del riesgo y el plan de tratamiento del riesgo.
- Modificación de procedimientos y controles que afectan la seguridad de la
información.
- Necesidades de recursos.
- Mejoramiento de cómo se mide la efectividad de los controles.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
20
ISO 27001 Septiembre 2013
MEJORAMIENTO DEL SGSI
La organización debe mejorar continuamente la efectividad del SGSI a través del uso
de la política de seguridad de la información, objetivos de seguridad de la información,
resultados de auditoría, análisis de eventos monitoreados, acciones correctivas y
preventivas, y la revisión general.
ACCIÓN CORRECTIVA
La organización debe realizar las acciones para eliminar la causa de las no
conformidades en los requerimientos del SGSI para poder evitar que produzcan
nuevamente. El procedimiento documentado para la acción correctiva debe definir los
requerimientos para:
- Identificar las no-conformidades.
- Determinar las causas de las no-conformidades.
- Evaluar la necesidad de acciones para asegurar que dichas no-conformidades
vuelvan a ocurrir.
- Registrar los resultados de la acción tomada.
- Revisar la acción correctiva tomada.
ACCIÓN PREVENTIVA
La organización debe determinar la acción para eliminar la causa de las no-
conformidades potenciales de los requerimientos SGSI a fin de evitar su ocurrencia. Las
acciones preventivas tomadas deben ser apropiadas para el impacto de los problemas
potenciales. El procedimiento documentado para la acción preventiva debe definir los
requerimientos para:
- Identificar las no-conformidades potenciales y sus causas.
- Evaluar la necesidad para la acción de evitar la ocurrencia de no-
conformidades.
- Determinar e implementar la acción preventiva que sea necesaria.
- Registrar los resultados de la acción tomada.
- Revisar la acción preventiva tomada.
La prioridad de las acciones preventivas se debe determinar en base a los resultados de
la evaluación del riesgo.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
21
ISO 27001 Septiembre 2013
11 DOMINIOS DE SEGURIDAD
En la búsqueda del mejor estándar para gestionar la seguridad de la información en
una compañía, generalmente los resultados suelen están alrededor de la serie de
normas ISO 27000 ya que reúne todos los lineamientos en materia de gestión de
seguridad de la información.
Una de las normas más importantes, que además es certificable, es la ISO 27001, la cual
está organizada en 11 dominios:
1. Política de Seguridad de información.
Documento de política de seguridad de la información.
En el cual la gerencia debe aprobarlo y comunicarlo a toda la organización. El
documento debe contener:
Definición de seguridad de información, incluye objetivos globales, alcance
y su importancia como mecanismo para compartir información.
Una estructura para el establecimiento de objetivos de control y controles
realizados, estructura para valorizar los riesgos y manejo de riesgos.
Breve explicación de sus políticas, normas y requisitos más importantes para
la organización.
Incluir un reporte de incidencias de seguridad.
Reglas que los usuarios deberían cumplir.
Se debe realizar una revisión de la política de seguridad de la información en
periodos planificados, y los resultados deben reflejar cambios que afecten a la
valoración inicial de los riesgos en la organización.
2. Organización de Seguridad de la información.
Organización interna.
Se debe establecer una estructura de seguridad de información, de manera que
satisfaga los requerimientos, siendo indispensable la participación de todas las
áreas dentro de la organización. Se debe tener en cuenta:
Comité de gestión de seguridad de información.
o Identifica objetivos de seguridad.
o Formula, revisa y aprueba políticas de seguridad.
o Revisa efectividad de la implementación de políticas.
o Proporciona recursos necesarios para la seguridad.
o Aprueba la asignación de roles y responsabilidades.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
22
ISO 27001 Septiembre 2013
o Inicia planes y programas para mantener el conocimiento de la
seguridad en toda la organización.
Coordinación de la seguridad de información.
o Asegura que las actividades de seguridad sean ejecutadas de
acuerdo a la política de seguridad.
o Manejo de incumplimientos.
o Identifica nuevas amenazas de la información.
o Evalúa la implementación de controles.
o Recomienda acciones en respuesta a incidentes.
Acuerdos de confidencialidad.
o Definir la información a ser protegida.
o Duración del acuerdo, temporal o indefinido.
o Acciones tras finalizar un acuerdo.
o Uso permitido de información confidencial.
o Acciones esperadas en caso se rompa el acuerdo.
Revisión independiente de seguridad de información.
La revisión debe ser llevada por individuos ájenos al área de revisión, deben
poseer habilidades y experiencia. Los resultados deben ser registrados y
reportados a la gerencia. Si durante la revisión se encuentra un mal manejo
de seguridad o no sigue con lo declarado en el documento de política de
seguridad, se deberá tomar acciones correctivas.
Parte externa.
El acceso de terceros a los recursos no debe comprometer la seguridad de
información. Se debe tomar en cuenta:
Qué recursos de información necesita ser accedida.
Qué tipo de acceso necesita los terceros, ejemplo: acceso físico, lógico.
El Valor y sensibilidad de la información involucrada y su criticidad para la
operación del negocio.
Cómo el personal autorizado que tiene acceso puede ser identificado.
El impacto de pérdida o robo de información.
Requerimientos legales y regulatorios que los terceros deben tomar en
cuenta.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
23
ISO 27001 Septiembre 2013
3. Administración de Activos
Responsabilidad para los recursos
Se debe asignar recursos de la organización, propietarios quienes serán
responsables de mantener una protección adecuada. Se debe realizar:
Inventario de activos, la organización debe identificar los activos, su valor e
importancia.
Propiedad de los recursos, Todos los activos deben ser de propiedad de una
parte designada, siendo éste responsable de asegurar su clasificación y
revisar periódicamente el acceso a ellos.
Uso aceptable de recursos, se debe incluir reglas para usar correctamente
los recursos, incluyendo reglas para Internet y correo electrónico, y una guía
para el uso de dispositivos móviles fuera de la organización.
Clasificación de la información
Guías de clasificación, la información debe ser clasificada de acuerdo a su
valor, requerimientos legales, sensibilidad y criticidad en los procesos.
Etiquetado y tratamiento de la información, el formato de marcado de
información puede ser físico o electrónico de acuerdo al esquema de
clasificación adoptado por la organización.
4. Seguridad de los Recursos Humanos.
Seguridad definiendo el trabajo y recursos.
Se debe definir roles y responsabilidades, con el fin de proteger los activos de
accesos no autorización, divulgación modificación, destrucción o
interferencia.
Selección y política de personal, incluyen la comprobación del currículum
vitae, certificaciones académicas y profesionales.
Revisión de términos y condiciones del empleo, como firmar un acuerdo de
confidencialidad o no divulgación antes de concederle acceso a los
recursos de información.
Durante el empleo
Conocimiento, educación y entrenamiento de seguridad de información,
mediante capacitaciones dándole un entrenamiento continuo y una
correcta preparación para el uso de los recursos de información.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
24
ISO 27001 Septiembre 2013
Proceso disciplinario, debe asegurar un tratamiento para empleados que
comprometan la seguridad, según la gravedad del impacto en el negocio.
Terminación del empleo.
Retorno de recursos, si la información se manejase fuera de la organización,
es necesario que al finalizar el empleo, o al despedir a un empleado, éste
devuelva la información relevante a la Organización y la borre de su equipo,
con previa documentación.
Remover el derecho de acceso, si ya no trabajas en la Organización, ya no
tienes permisos para acceder a su información.
5. Seguridad Física y Ambiental
Áreas seguras
Perímetro de seguridad físico, para proteger áreas que contienen
recursos importantes.
Entrada física controlada, solo personal autorizado pueda entrar.
Seguridad en oficinas, despachos y recursos, estando los recursos
aislados del acceso al público. El público no debería acceder fácilmente
a los ambientes y oficinas donde haya información sensible.
Protección contra amenazas externas y ambientales, protección contra
incendios, inundaciones, terremotos, explosiones y otros desastres
causados por la naturaleza y por descuido humano.
Seguridad de equipos
Instalación y protección de equipos.
El equipo debe estar protegido para reducir el riesgo de amenazas del
entorno, así como oportunidades de acceso no autorizado.
Utilidades de apoyo, como electricidad, agua, aire acondicionado debe
ser adecuado para los sistemas que ellos están soportando, en el caso
de los servidores. Las utilidades deben ser inspeccionadas regularmente
y probar que funcionen apropiadamente.
Seguridad de cableado, entre cableado de energía y datos.
Mantenimiento de equipos, asegurando su disponibilidad e integridad.
Seguridad de equipos fuera de la Organización, no se debe dejar
desatendido el equipo en lugares públicos.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
25
ISO 27001 Septiembre 2013
Seguridad en la eliminación de datos, se debe comprobar antes de
reusar o eliminar la información. Se puede utilizar herramientas como
Autopsy.
Remover la propiedad, el equipo no debe estar fuera de lugar sin
autorización.
6. Gestión de Comunicaciones y Operaciones.
Procedimientos y responsabilidades de operación
Documentación de procedimientos operativos.
Estos procedimientos deberían especificar las instrucciones necesarias
para la ejecución detallada de cada tarea y ponerlo al alcance de
todos los usuarios que los necesiten. Incluye:
o Proceso y utilización de la información.
o Instrucciones para manejar errores o excepciones durante la
ejecución.
o Contactos de apoyo en caso de dificultades técnicas.
o Arranque del sistema y procedimientos de recuperación a utilizar.
Control de cambios operacionales, controlar los cambios en equipos,
software o procedimientos para evitar cualquier fallo de seguridad o del
sistema.
Separación de los recursos de desarrollo, prueba y producción, se debe
tener diferentes entornos de trabajo, con el fin de emular la operación
del sistema con datos no sensibles.
Gestión de servicios externos
Establecer un nivel apropiado de seguridad de información y entregar el servicio
de acuerdo con el contratista.
Entrega del servicio, incluyen acuerdos de seguridad, definición de
servicio y aspectos administrativos.
Monitoreo y revisión, debe asegurar que los términos de seguridad y
condiciones de acuerdo se estén cumpliendo. Se realiza regularmente.
Planificación y aceptación del sistema
Garantizar el funcionamiento del sistema, además de brindarle escalabilidad
que permita crecimientos futuros y asegure la continuidad del negocio.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
26
ISO 27001 Septiembre 2013
Planificación de la capacidad, se comprueban las demandas actuales y
proyecciones en requisitos futuros para asegurar la disponibilidad de
procesamiento y almacenamiento adecuados, así evitar los posibles
cuellos de botella que representen una amenaza a la seguridad del
sistema o servicios al usuario final.
Aceptación del sistema, establece criterios de aceptación de versiones
nuevas o mejoradas, se prueba antes de aceptarlo, y dichas versiones
deben estar bien definidas, acordadas, documentadas y probadas.
Protección contra software malicioso
Evita crear agujeros de seguridad mediante la prevención y detección de
software malicioso.
Controles contra software malicioso, se implementa controles para
detección, prevención y recuperación, se considera:
o Políticas que prohíban uso de software no autorizado.
o Políticas contra riesgos asociados a archivos y software
provenientes de redes externas.
o Revisiones regulares de datos contenidos en los sistemas que
soportan procesos críticos de la organización.
o Instalar y actualizar software de detección de código malicioso.
o Preparar planes de continuidad de negocio para recuperarse en
caso de un ataque de virus que incluyan respaldos de datos.
o Recopilar información de nuevos códigos maliciosos e
implementar procedimientos para informarlos.
Gestión interna de respaldo
Garantizar la continuidad del negocio, preservando los servicios del tratamiento
de información y comunicaciones.
Recuperación de información, hacer y probar copias de seguridad de
toda la información esencial del negocio y software de acuerdo con la
política de respaldo, se define un nivel mínimo de respaldo y almacenarlo
en lugares para evitar daños por un desastre.
Gestión de la seguridad de redes
Proteger la información de las redes y tener una infraestructura estable de redes
de comunicaciones.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
27
ISO 27001 Septiembre 2013
Controles de redes, administrar adecuadamente las redes para
mantener intacta la información en circulación.
Seguridad de servicios de red, identificar características de seguridad,
niveles de servicio, administración de requerimientos de todos los
servicios.
Utilización de medios de información
Usar apropiadamente medios de información de tal manera que se minimicen
datos a los activos.
Gestión de medios removibles, como cintas, discos o resultados impresos.
o Se deben borrar, eliminar o almacenar en un entorno seguro.
Eliminación de medios, eliminar los medios de forma segura y sin peligro
cuando ya no se necesiten, si es que existen organizaciones cuyos
servicios son de recolección y eliminación de papel, equipos y medios, se
debe cuidar la selección de proveedores adecuados según experiencia.
Procedimientos de manipulación de la información, se establecen
procedimientos, coherentes con la clasificación de la información para
protegerla de mal uso o divulgación no autorizada.
Seguridad de la documentación de sistemas, se debe almacenar con
seguridad, limitar el acceso a la documentación y proteger si está en una
red pública.
Intercambio de información
Políticas y procedimientos de intercambio de información, controles a ser
seguidos cuando se usa medios de comunicación electrónicos,
protección ante Phishing, uso de comunicaciones inalámbricas, técnicas
criptográficas, o recordar al personal de no divulgar información sensible.
Acuerdos de intercambio, Se deben realizar con el fin de intercambiar
información y software entre la organización y partes externas. Se
consideran condiciones de seguridad como:
o Procedimientos para asegurar identificación y no repudiación.
o Normas para empaquetar y transmitir.
o Responsabilidad para protección de derechos de autor, licencias
de software, protección de datos.
Seguridad en medios en tránsito, mensajeros fiables, comprobación de
identidad de los mensajeros.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
28
ISO 27001 Septiembre 2013
Mensajería electrónica, protección contra acceso no autorizado,
modificación o deniego de servicio, consideraciones legales (firmas
electrónicas).
Servicios de comercio electrónico
Comercio electrónico, información involucrada en comercio electrónico
que pasa sobre una red pública debe ser protegida de actividades
fraudulentas, exigiendo nivel de confidencialidad con la autenticación.
Transacciones en línea, para prevenir transmisiones incompletas, pérdida
de enrutamiento, alteración de mensajes, duplicidad de mensajes.
Publicidad de información disponible, se debe cuidar la integridad de la
información publicidad, a fin de evitar dañar la reputación de la
organización.
Monitorización
Registros de auditoría, registrar las actividades de usuarios, así como
eventos de seguridad que sirva de ayuda en investigaciones futuras. Se
incluye:
o ID de usuario.
o Fecha, Hora y detalles del evento.
o Registrar intento de acceso (exitoso, fracaso)
o Cambios en la configuración.
o Privilegios de usuario.
o Direcciones de red, protocolos.
o Acceso a archivos, tipo de acceso.
o Entre otros.
Monitorizando el uso del sistema, el nivel de monitorización requerido
para recursos individuales debe ser determinado por la valoración de
riesgos, así como la criticidad de los procesos y el valor de la información
sensible.
Registro de administrador y operador, los registros deben incluir:
o Tiempo de ocurrencia del evento.
o Información del evento (ejemplo: Manipulación de archivos)
o Información de la falla (ejemplo: Un error ha ocurrido. Y las
medidas correctivas correspondientes)
o Cuentas involucradas (Administrador, Operador)
o Procesos involucrados.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
29
ISO 27001 Septiembre 2013
Sincronización del reloj, los relojes de información de los sistemas de
información dentro de la organización deben estar sincronizados con una
fuente de tiempo exacta. Dicha sincronización puede estar bajo un
estándar como por ejemplo UTC, Coordinación Universal de Tiempo y
debe haber un procedimiento que verifique y corrija cualquier variación
significante.
7. Sistema de Control de Accesos.
Requisitos de negocio.
Se debe controlar el acceso a la información y los procesos de negocio sobre la
base de los requisitos de seguridad y negocio.
Política de control de accesos, debe estar bien definido y documentado
los requisitos del negocio para el control de acceso, definiéndose de
forma clara las reglas y derechos de cada usuario.
Gestión de acceso de usuarios.
Establecer procedimientos formales para controlar la asignación de derechos de
acceso a los sistemas y servicios.
Registro de usuarios, para el ingreso y salida de usuarios para garantizar y
revocar el acceso a sistemas y servicios de información. Identificador
único para cada usuario, nivel de acceso, y la eliminación cuando deja
la organización.
Gestión de privilegios, según la necesidad de uso de la información.
Gestión de contraseñas de usuario, una contraseña es un medio, para
validad la identidad de un usuario con el fin de acceder a un sistema o
servicio de información. Un proceso de gestión formal debería:
o Firmar un compromiso con los usuarios para mantener secretas sus
contraseñas.
o Proporcionar una contraseña temporal segura para cada usuario
que se cambiará inmediatamente después.
o Procedimientos para verificar la identidad de un usuario antes de
proveerle una contraseña.
o No almacenar las contraseñas en la computadora sin previa
protección.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
30
ISO 27001 Septiembre 2013
Responsabilidades de los usuarios.
Cada usuario debe ser consciente y responsable en el acceso a un sistema.
Uso de contraseñas, los usuarios deben:
o Mantener confidencialidad de las contraseñas.
o Evitar la escritura de la contraseña en papel.
o Cambiar la contraseña si existe indicio de vulnerabilidad.
o Seleccionar contraseña fuerte, de varios caracteres.
o Cambiar contraseñas cada periodo de tiempo.
o No divulgar las contraseñas fuera del negocio ni dentro.
Equipo informático de usuario desatendido.
o Al terminar la jornada laboral, cerrar sesiones activas.
o Proteger el terminal bloqueando el teclado cuando se esté fuera
del puesto de trabajo.
Políticas de limpieza de pantalla y escritorio, quitar información sensible
del negocio del escritorio.
o Dejar protector de pantalla protegido con contraseña al
reactivar.
Control de acceso a la red.
Políticas de uso de servicios de la red, los usuarios solo deberían tener
acceso directo a los servicios para los que estén autorizados de una
forma específica.
Autenticación de usuarios para conexiones externas, utilizar algún
mecanismo de verificación de la dirección del usuario en la red para
asegurarse del origen de las conexiones.
Protección a puertos.
Segregación en las redes, se configura un gateway que controle accesos
y flujos de información entre dominios.
Control de enrutamiento, mediante conversión de direcciones que sirve
para aislar redes y evitar rutas de propagación desde la red.
Control de acceso al sistema operativo
Las prestaciones de seguridad a nivel de sistema operativo se deberían utilizar
para restringir el acceso a los recursos del computador.
• Procedimientos de conexión de terminales.
• Identificación y autenticación del usuario.
• Gestión de contraseñas.
• Desconexión automática de terminales.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
31
ISO 27001 Septiembre 2013
• Limitación del tiempo de conexión.
Control de acceso a las aplicaciones.
Restringir el acceso lógico al software y a la información, solo personal
autorizado.
• Restricción de acceso a la información.
• Aislamiento de sistemas sensibles.
Informática móvil y teletrabajo
• Informática móvil, se debería adoptar especial cuidado para asegurar
que la información no se comprometa cuando se usan dispositivos
móviles, se debe formalizar una política que tenga en cuenta los riesgos.
• Teletrabajo, emplea tecnologías de comunicación para que el personal
pueda trabajar de manera remota desde un lugar fijo ubicado fuera de
la organización, se debe proteger debidamente el lugar de teletrabajo.
8. Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
Requisitos de seguridad de los sistemas.
Todos los requisitos, incluyendo contingencias, infraestructura, aplicaciones de
negocio, deberían ser identificados y justificados en la fase de requisitos de un
proyecto, consensuado y documentado como parte del proceso de negocio
global.
Análisis de especificación de requisitos de seguridad, los requisitos deben
reflejar el valor de los activos de información implicados y el posible daño
a la organización que resultaría de fallos o ausencia de seguridad.
Seguridad de aplicaciones del sistema.
Diseñar medidas de control que incluyan validación de datos de entrada,
tratamiento interno y datos de salida.
Control de proceso interno, incorporar a los sistemas comprobaciones de
validación para detectar corrupción de datos. Aspectos a considerar:
o Restricción del uso de “Anadir” y “Borrar” para cambiar datos.
o Evitar que corra software después del fallo de un proceso.
o Uso de software de recuperación después de fallas.
o Protección contra ataques de desbordamiento de búfer.
Autenticación de mensajes, detecta cambios no autorizados del
contenido de un mensaje transmitido electrónicamente.
Controles criptográficos.
Para proteger la información, cuando otras medidas y controles no ayuden.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
32
ISO 27001 Septiembre 2013
Política de uso de controles criptográficos, gestión de claves, nivel de
protección y normas para adoptar una eficaz implantación.
Gestión de claves.
o Técnicas de clave secreta, dos o más partes comparten clave para
cifrar como para descifrar la información.
o Técnicas de clave pública, cada usuario tiene dos claves, pública y
otra privada.
o El sistema de gestión de claves debe estar basado en normas,
procedimientos y métodos seguros para generar claves para
aplicaciones.
o Definir fechas de activación y desactivación para usar en periodo
limitado.
Seguridad de archivos del sistema.
Su mantenimiento de integridad debería ser responsabilidad del grupo de
desarrollo o del usuario a quien pertenezcan las aplicaciones.
Control de software en producción, controlar la implantación de software
en los sistemas operativos.
Protección de datos de prueba del sistema.
Control de acceso a la librería de programas fuente, librerías fuera del
sistema operativo, informática no debería tener acceso, actualización de
librerías solo por el responsable, y mantener un registro de auditoría de
todos los accesos a las librerías.
Seguridad en procesos de desarrollo y soporte.
Procedimientos de control de cambios.
Revisión técnica de cambios en el S.O.
Restricciones en cambios a paquetes de software.
Canales encubiertos y código troyano, cubrir todos los canales por
donde puede salir información.
Desarrollo externo del software, acuerdos bajo licencia, y derechos de
propiedad intelectual, realizando pruebas antes de la implantación para
detectar código troyano.
Gestión de vulnerabilidad técnica.
Se debe dar la información oportuna sobre vulnerabilidades técnicas de SI que
son utilizados en la organización, y la evaluación de la exposición de la
organización a tales vulnerabilidades.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
33
ISO 27001 Septiembre 2013
9. Administración de Incidentes de Seguridad de la Información
Divulgación de eventos y debilidades de la seguridad de la información.
Divulgación de eventos de SI, establecer procedimientos de divulgación
de la seguridad de la información, junto con una respuesta del incidente
y un procedimiento de escalada, precisando la acción que se realizará.
Divulgación de debilidades de SI, todos los empleados, deben divulgar
cualquier debilidad observada o sospechada de la seguridad en
sistemas o servicios. Siendo este mecanismo fácil, accesible y tan
disponible como sea posible.
Administración de incidentes y mejoras de la seguridad de la información
Responsabilidades y procedimientos, se deben definir para manejar
acontecimientos y debilidades de SI con eficacia una vez que se hayan
divulgado. Un proceso de la mejora continua se debe aplicar a la
respuesta, supervisión, evaluación y administración total de incidentes de
seguridad de información.
Aprendizaje desde incidentes de seguridad de la información, debe
haber mecanismos que permitan la cuantificación y supervisión de
incidentes de SI. La información obtenida de la evaluación de incidentes
se debe utilizar para identificar impactos de incidentes que se repiten.
Colección de evidencia, se deben desarrollar procedimientos internos
para recoger y presentar evidencia.
10. Plan de Continuidad del Negocio.
Debe incluir controles para identificar y reducir riesgos, limitando la
consecuencia de incidencias dañinas y asegurar la reanudación a tiempo de
las principales operaciones. Así como reducir la interrupción causada por
desastres y fallas de seguridad. Debe incluir:
Proceso de gestión de la continuidad del negocio.
o Comprender riesgos desde su impacto.
o Identificar activos envueltos en procesos críticos del negocio.
o Considerar adquisición de seguros adecuados para la
continuidad del negocio.
o Implementar controles de prevención y mitigación.
o Asegurar que la gestión de continuidad del negocio se incorpore
a los procesos y estructura de la organización.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
34
ISO 27001 Septiembre 2013
Desarrollo e implantación de planes de contingencia, es un control
definido para asegurar la disponibilidad de la información en niveles
aceptables y de acuerdo al nivel crítico en el negocio. Se identifica:
o Identificar procedimientos de emergencia.
o Identificar pérdida aceptable de información y servicios.
o Documentar y formar al personal sobre los procedimientos de
emergencia acordados.
o Prueba y actualización de los planes.
Prueba, mantenimiento y reevaluación de los planes, los planes de
continuidad se deberían probar y mantener con ayuda de revisiones y
actualizaciones regulares. Se usan técnicas para proporcionar la
seguridad de que los planes funcionarán en la vida real. Debe incluir:
o Prueba sobre el papel de varios escenarios.
o Simulaciones.
o Pruebas de recuperación técnica y en un lugar alternativo.
o Pruebas de recursos y servicios del proveedor.
11. Cumplimiento
Se busca evitar cualquier incumplimiento con cualquier ley civil o penal, requisito
reglamentario, regulación u obligación contractual y todo requisito de
seguridad.
Se identifica la legislación aplicable, es decir todos los requisitos legales,
regulatorios que sean importantes.
Derechos de propiedad intelectual, se debería implantar procedimientos
apropiados para asegurar el cumplimiento de restricciones legales sobre
el uso de material protegido como derechos de autor y productos de
software propietario.
Salvaguarda de registros de la organización, se debería proteger los
registros importantes frente a su pérdida, destrucción y falsificación.
Protección de datos y privacidad de información personal.
Evitar un mal uso de los recursos, es decir si se emplean en fines no
autorizados o fuera del negocio, si se identifica debe darse a conocer al
gerente responsable para la acción disciplinaria apropiada.
Conformidad con la política de seguridad.
Controles de auditoría de sistemas, buscando maximizar la efectividad y
minimizar las interferencias en los procesos, se establecen salvaguardas
para sistemas operativos y herramientas de auditoría.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
35
ISO 27001 Septiembre 2013
FACTORES DE ÉXITO
La concienciación del empleado por la seguridad. Principal objetivo a
conseguir.
Realización de comités de dirección para acciones de mejora.
Creación de un sistema de gestión de incidencias que recoja notificaciones
continuas por parte de los usuarios (los incidentes de seguridad deben ser
reportados y analizados).
La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.
La seguridad no es un producto, es un proceso.
La seguridad no es un proyecto, es una actividad continua y el programa de
protección requiere el soporte de la organización para tener éxito.
La seguridad debe ser inherente a los procesos de información y del negocio.
RIESGOS
Exceso de tiempos de implantación: con los consecuentes costes
descontrolados, desmotivación, alejamiento de los objetivos iniciales, etc.
Temor ante el cambio: resistencia de las personas.
Discrepancias en los comités de dirección.
Delegación de todas las responsabilidades en departamentos técnicos.
No asumir que la seguridad de la información es inherente a los procesos de
negocio.
Planes de formación y concienciación inadecuados.
Calendario de revisiones que no se puedan cumplir.
Definición poco clara del alcance.
Exceso de medidas técnicas en detrimento de la formación, concienciación y
medidas de tipo organizativo.
Falta de comunicación de los progresos al personal de la organización.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
36
ISO 27001 Septiembre 2013
BENEFICIOS
• Establecimiento de una metodología de gestión de la seguridad clara y
estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los clientes tienen acceso a la información a través medidas de seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de calidad y
confidencialidad comercial.
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del
sistema y las áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001,
OHSAS 18001L).
• Continuidad de las operaciones necesarias de negocio tras incidentes de
gravedad.
• Conformidad con la legislación vigente sobre información personal, propiedad
intelectual y otras.
• Imagen de empresa a nivel internacional y elemento diferenciador de la
competencia.
• Confianza y reglas claras para las personas de la organización.
• Reducción de costes y mejora de los procesos y servicio.
• Aumento de la motivación y satisfacción del personal.
• Aumento de la seguridad en base a la gestión de procesos en vez de en la
compra sistemática de productos y tecnologías.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
37
ISO 27001 Septiembre 2013
CONSEJOS BÁSICOS
Mantener la sencillez y restringirse a un alcance manejable y reducido: un centro
de trabajo, un proceso de negocio clave, un único centro de proceso de datos
o un área sensible concreta; una vez conseguido el éxito y observados los
beneficios, ampliar gradualmente el alcance en sucesivas fases.
Comprender en detalle el proceso de implantación: iniciarlo en base a
cuestiones exclusivamente técnicas es un error frecuente que rápidamente
sobrecarga de problemas la implantación; adquirir experiencia de otras
implantaciones, asistir a cursos de formación o contar con asesoramiento de
consultores externos especializados.
Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados.
La autoridad y compromiso decidido de la Dirección de la empresa (incluso si al
inicio el alcance se restringe a un alcance reducido) evitarán un muro de
excusas para desarrollar las buenas prácticas, además de ser uno de los puntos
fundamentales de la norma.
La certificación como objetivo: aunque se puede alcanzar la conformidad con
la norma sin certificarse, la certificación por un tercero asegura un mejor
enfoque, un objetivo más claro y tangible y, por lo tanto, mejores opciones de
alcanzar el éxito.
No reinventar la rueda: aunque el objetivo sea ISO 27001, es bueno obtener
información relativa a la gestión de la seguridad de la información de otros
métodos y marcos reconocidos.
Servirse de lo ya implementado: otros estándares como ISO 9001 son útiles como
estructura de trabajo, ahorrando tiempo y esfuerzo y creando sinergias; es
conveniente pedir ayuda e implicar a auditores internos y responsables de otros
sistemas de gestión.
Reservar la dedicación necesaria diaria o semanal: el personal involucrado en el
proyecto debe ser capaz de trabajar con continuidad en el proyecto.
Registrar evidencias: deben recogerse evidencias al menos tres meses antes del
intento de certificación para demostrar que el SGSI funciona adecuadamente.
DOCENTE: ING. CELI AREVALO ERNESTO AUDITORÍA DE SI
Pági
na
38