Professional Documents
Culture Documents
ISO/IEC 27000
2015
Docente: Ing. Manuel Castillo Fernndez
1
INDICE
MODULO I: Introduccin a ISO 27000
MODULO II: Anlisis de Riesgos
MODULO III: Sistema de Gestin de Seguridad
de la Informacin.
MODULO IV: Auditora del Sistema
Resolucin
Ministerial
129-2012-PCM,
aprueba
el
uso
AUTORIDAD
NACIONAL
DE
PROTECCION
DE
DATOS
de
la ley,
recibe
las denuncias de
los
TRATAMIENTO
DE
DATOS
PERSONALES:
Las
empresas
la
Autoridad
Nacional
de
Proteccin
de
Datos
personales.
10
ORIGEN
Desde 1901, y como primera entidad de
normalizacin a nivel mundial, BSI (British
Standards Institution) es responsable de la
publicacin de importantes normas como:
- BS 5750. Publicada en 1979. Origen de ISO 9001
- BS 7750. Publicada en 1992. Origen de ISO
14001
- BS 8800. Publicada en 1996. Origen de OHSAS
18001
14
16
ISO/IEC 27001:
Publicada el 15 de Octubre de 2005 . Es la
norma principal de la serie y contiene los
requisitos del sistema de gestin de
seguridad de la informacin. Tiene su
origen en la BS 7799-2:2002 (que ya qued
anulada) y es la norma con arreglo a la
cual se certifican por auditores externos los
SGSIs de las organizaciones.
17
Genera
l 27000 Visin
Tcnicas de Seguridad
27001
Requisitos
general y
Vocabulario
27005 Gestin
de Riesgos
27006 Requisitos
para Auditores
Inter-sectores e Interorganizaciones
27009 Requisitos
27002 Cdigo de
Prctica
27003 Gua de
Implementacin
27007 Lneas
guas de
Auditora
27010
ISM para comunicaciones
27013 Implementacin
27001 + 20000-1
27008 Lneas
guas de
Controles
27011 Cdigo de
Prctica
27014 Gobierno
Finanzas
27016
Economa de la Organizacin
27004
Medicin
Tcnicas de Seguridad
Cloud
27017 Cdigo
de Prctica
27018
Proteccin PII
Energa
27019 Control de
Procesos
27032 Lneas
guas
Ciberseguridad
Tcnicas de Seguridad
Seguridad de
27033-1
Visin
Red
general y
conceptos
27033-4
Asegurar con
gateways
Seguridad de Aplicaciones
27034-1 Visin
general y Conceptos
27034-5 Protocolos y
estructura de datos
27033-2 Lneas
gua de diseo e
implementacin
27033-5
Asegurar con
VPN
27033-3
Amenazas,
tcnicas y control
27033-6
Asegurar
Wireless IP
27034-2
Framework
normativo
27034-3 Gestin
seguridad Apps.
27034-4
Validacin
seguridad Apps.
27034-6 Gua de
seguridad Apps.
27034-7
Garanta
seguridad Apps.
27034-5-1
Esquemas XML
Tcnicas de Seguridad
27035-1
Incidentes
27035-2
Lneas gua de
respuestas
27035-3 Lneas
gua
Operaciones
CSIRT
Tcnicas de Seguridad
Evidencias e Intrusin
27037
27038
Evidencia
Redaccin
digital
digital
27041 Mtodo
Investigacin
27042 Anlisis
e
Interpretacin
Descubrimiento electrnico
27050-1 Visin
general y conceptos
27050-2
Gobierno y
Gestin
27039
Sistemas de
deteccin IDPS
27043
Principios y
procesos
27040
Seguridad de
Almacenamient
o
27044 Gestin
de Info y
eventos SIEM
27050-3 Cdigo de
Prctica
27050-4
Preparacin TIC
ISO/IEC 27002:
Desde el 1 de Julio de 2007, es el nuevo
nombre de ISO 17799:2005, manteniendo 2005
como ao de edicin. Es una gua de buenas
prcticas que describe los objetivos de control y
controles recomendables en cuanto a seguridad
de la informacin.
ISO/IEC 27003:
Publicada el 01 de Febrero de 2010. No
certificable. Es una gua que se centra en los
aspectos crticos necesarios para el diseo e
implementacin con xito de un SGSI
23
ISO/IEC 27004:
Publicada el 15 de Diciembre de 2009. No
certificable. Es una gua para el desarrollo y
utilizacin de mtricas y tcnicas de medida
aplicables para determinar la eficacia de un SGSI y
de los controles o grupos de controles
implementados segn ISO/IEC 27001.
ISO/IEC 27005:
Publicada en segunda edicin el 1 de Junio de
2011 (primera edicin del 15 de Junio de 2008). No
certificable. Proporciona directrices para la gestin
del riesgo en la seguridad de la informacin.
24
ISO/IEC 27006:
Publicada en segunda edicin el 1 de Diciembre de
2011 (primera edicin del 1 de Marzo de 2007).
Especifica los requisitos para la acreditacin de
entidades de auditora y certificacin de sistemas de
gestin de seguridad de la informacin
ISO/IEC 27007:
Publicada el 14 de Noviembre de 2011. No certificable.
Es una gua de auditora de un SGSI, como
complemento a lo especificado en ISO 19011. Es una
gua de auditora de los controles seleccionados en el
marco de implantacin de un SGSI.
ISO/IEC 27010:
Publicada el 20 de Octubre de 2012. Consiste en una
gua para la gestin de la seguridad de la informacin
cuando se comparte entre organizaciones o sectores.
25
ISO/IEC 27011:
Publicada el 15 de Diciembre de 2008. Es una
gua de interpretacin de la implementacin y
gestin de la seguridad de la informacin en
organizaciones
del
sector
de
telecomunicaciones basada en ISO/IEC 27002.
ISO/IEC 27013:
Publicada el 15 de Octubre de 2012. Es una
gua de implementacin integrada de ISO/IEC
ISO/IEC 27014:
Publicada en el 2013. Consistir en una gua de
gobierno corporativo de la seguridad de la
informacin.
26
ISO/IEC TR 27015:
Publicada el 23 de Noviembre de 2012. Es
una gua de SGSI orientada a organizaciones
del sector financiero y de seguros y como
complemento a ISO/IEC 27002.
ISO/IEC TR 27016:
Publicada en el 2013. Consistir en una gua
de valoracin de los aspectos financieros de
la seguridad de la informacin.
ISO/IEC TS 27017:
Publicada en el 2013. Consistir en una gua
de seguridad para Cloud Computing.
27
ISO/IEC 27018:
Publicada en el 2013. Consistir en un cdigo de
buenas prcticas en controles de proteccin de datos
para servicios de computacin en cloud computing.
ISO/IEC TR 27019:
Publicada en el 2013. Consistir en una gua con
referencia a ISO/IEC 27002 para el proceso de control
de sistemas especficos al sector de la industria de la
energa.
ISO/IEC 27031:
Publicada el 01 de Marzo de 2011. No certificable. Es
una gua de apoyo para la adecuacin de las
tecnologas de informacin y comunicacin (TIC) de una
organizacin para la continuidad del negocio. El
documento toma como referencia el estndar BS
25777.
28
ISO/IEC 27032:
Publicada el 16 de Julio de 2012. Proporciona
orientacin para la mejora del estado de seguridad
ciberntica, extrayendo los aspectos nicos de esa
actividad y de sus dependencias en otros dominios de
seguridad. Esta norma establece una descripcin
general de Seguridad Ciberntica.
ISO/IEC 27033:
Parcialmente desarrollada. Norma dedicada a la
seguridad en redes, consistente en 7 partes: 27033-1,
conceptos generales (publicada el 15 de Diciembre de
2009 aseguramiento de las comunicaciones entre
redes mediante gateways de seguridad; 27033-5,
aseguramiento de comunicaciones mediante VPNs,
27033-6, convergencia IP 27033-7, redes inalmbricas
29
ISO/IEC 27034:
Norma dedicada la seguridad en aplicaciones
informticas.
ISO/IEC 27035:
Publicada el 17 de Agosto de 2011. Proporciona una
gua sobre la gestin de incidentes de seguridad en
la informacin. En Espaa, no est traducida.
ISO/IEC 27036:
En fase de desarrollo, con publicacin prevista en
2013. Consistir en una gua en cuatro partes de
seguridad en las relaciones con proveedores:
27036-1, visin general y conceptos; 27036-2,
requisitos comunes; 27036-3, seguridad en la
cadena de suministro TIC; 27036-4, seguridad en
outsourcing (externalizacin de servicios).
30
ISO/IEC 27037:
Publicada el 15 de Octubre de 2012. Es una
gua que proporciona directrices para las
actividades relacionadas con la identificacin,
recopilacin, consolidacin y preservacin de
evidencias digitales potenciales localizadas
en telfonos mviles, tarjetas de memoria,
dispositivos electrnicos personales, sistemas
de navegacin mvil.
ISO/IEC 27038:
Publicada en el 2013. Consiste en una gua de
especificacin para seguridad en la redaccin
digital.
31
ISO/IEC 27039:
Publicada en el 2013. Consistir en una gua
para la seleccin, despliegue y operativa de
sistemas de deteccin y prevencin de
intrusin (IDS/IPS).
ISO/IEC 27040:
Publicada en el 2014. Consistir en una gua
para
la
seguridad
en
medios
de
almacenamiento.
ISO/IEC 27041:
Publicada en el 2014. Consistir en una gua
para la garantizar la idoneidad y adecuacin
de los mtodos de investigacin.
32
ISO/IEC 27042:
Publicada en el 2014. Consistir en
una gua con directrices para el
anlisis e interpretacin de las
evidencias digitales.
ISO/IEC 27043:
Publicada en el 2014. Desarrollar
principios
y
procesos
de
investigacin.
33
ISO/IEC 27044:
Publicada en el 2014. Gestin de eventos
y de la seguridad de la informacin Security
Information
and
Event
Management (SIEM).
ISO 27799:
Publicada el 12 de Junio de 2008. Es una
norma que proporciona directrices para
apoyar la interpretacin y aplicacin en
el sector sanitario de ISO/IEC 27002, en
cuanto a la seguridad de la informacin
sobre los datos de salud de los pacientes.
34
35
36
37
40
Poltica de
Seguridad
Organizacin de
la Seguridad de
Informacin
Gestin de
Activos
Control de
Acceso
Cumplimiento
Gestin de
Seguridad de RH
Continuidad de
Desarrollo y
Negocio
Mantenimien
Gestin de
to
Comunicacion
Seguridad
de Sistemas
es y
Fsica y
Operaciones
Ambiental
Gestin de Incidentes de Seguridad
Operaci
n
Administ
racin
41
43
Liderazgo
Comprender
Organizaci
n y Contexto
Liderazgo y
Confirmaci
n
Expectativas
de los
interesados
Polticas
Alcance del
ISMS
ISMS
Roles,
responsabilida
des y
autoridades
Planificacin
Acciones
Riesgos y
Oportunidad
es
Objetivos y
Planes
Seguridad
de la
Informacin
Soporte
Recursos
Competenci
a
Concientizac
in
Comunicaci
n
Informacin
documentad
a 44
Planificacin
y Control
Operacional
Evaluacin
Riesgos de
Seguridad de
la
Informacin
Tratamiento
de Riesgos
de Seguridad
de la
Informacin
Evaluacin
Rendimiento
Mejora
Monitorizaci
n, Medicin,
Anlisis y
Evaluacin
No
conformidad
es y
Acciones
correctivas
Auditora
Interna
Mejora
Continua
Revisin
Administrativa
45
46
49
Documentos
Alcance del SGSI
Polticas y objetivos de seguridad de la
informacin
Captulo de ISO
27001:2013
4.3
5.2, 6.2
6.1.2
Declaracin de aplicabilidad
6.1.3 d)
8.2, 8.3
A.7.1.2,
A.13.2.4
Inventario de activos
A.8.1.1
A.8.1.3
A.9.1.1
50
Documentos
Principios de ingeniera para sistema seguro
Poltica de seguridad para proveedores
Captulo de ISO
27001:2013
A.14.2.5
A.15.1.1
A.16.1.5
A.17.1.2
A.18.1.1
51
Registros
Captulo de ISO
27001:2013
7.2
9.1
9.2
9.2
9.3
10.1
A.12.4.1,
A.12.4.3
52
7.5
7.5
9.2
10.1
A.6.2.1
A.6.2.1
Poltica de claves
Poltica de eliminacin y destruccin
A.9.2.1, A.9.2.2,
A.9.2.4, A.9.3.1, A.9.4.3
A.8.3.2, A.11.2.7
A.11.1.5
53
A.11.2.9
A.12.1.2, A.14.2.4
A.12.3.1
A.13.2.1, A.13.2.2,
A.13.2.3
A.17.1.1
A.17.1.3
A.17.1.3
54
55
57
58
59
61
62
63
65
66
67
68
69
70
72
73
74
75
76
77
78
79
80
COMO ADAPTARSE
86
87
Clculo de los
Riesgos de
seguridad
Identificacin
de
Requerimient
os de
Seguridad
Evaluacin de
la posibilidad
de que las
Amenazas y
Vulnerabilidad
es ocurran
Seleccin de
opciones de
Tratamiento
de Riesgo
apropiadas
Seleccin de
Controles
para reducir
el Riesgo a
Nivel
aceptable
88
90
91
por
un
organizacional.
ataque
Las
directo
amenazas
indirecto
pueden
la
originarse
informacin
de
fuentes
consecuencias
de
prdidas
fallas
de
93
94
La organizacin por cada uno de los riesgos, debe evaluar estas opciones
para identificar la ms adecuada. Los resultados de esta actividad deben
ser documentados y luego la firma debe documentar su plan de
tratamiento del riesgo.
Hay dos opciones en la identificacin y evaluacin del riesgo que requieren
mayor explicacin. Las alternativas son: evitar el riesgo y transferencia
del riesgo. (a) Evitar el riesgo. Describe cualquier accin donde los activos
son transferidos de las reas riesgosas. Cuando se evala la posibilidad de
evitar el riesgo esto debe sopesarse entre las necesidades de la empresa
y las monetarias. (b) Transferencia del riesgo. Esta opcin puede ser vista
como la mejor si es imposible reducir los niveles del riesgo. Existen muchas
alternativas a considerar en relacin a la estrategia de transferencia del
riesgo. La transferencia del riesgo podra alcanzarse tomndose una pliza
de seguro. Otra posibilidad podra ser la utilizacin de servicios96 de
Para
reducir
el
riesgo
evaluado
dentro
del
alcance
del
SGSI
identificados
seleccionados.
Estos
controles
deben
ser
estar
claros
sobre
el
rol
del
ISO
17799:2005.
La
97
Uso de controles
Transparencia del usuario
Ayuda otorgada a los usuarios para desempear su funcin
Relativa fuerza de los controles
Tipos de funciones desempeadas.
98
99
de
cuanto
los
controles
reducen
el
nivel
de
los
100
para
implementados
propsito
de
finalmente
estn
evaluar
operando.
las
qu
Este
revisiones
tan
es
bien
los
controles
fundamentalmente
gerenciales
el
para
101
normalmente
utilizada
para
identificar
las
actividades
102
la
administracin
de
riesgos
debe
103
104
105
de posicin de riesgo:
106
107
COBIT 5.0
Risk IT
M_o_R
MAGERIT
NIST SP 800-30
Microsoft Threat Modeling
STRIDE/DREAD
TRIKE
AS/NZS 4360
CVSS
OCTAVE
CRAMM
PTA
ACE Team
109
111
115
Modelo de valor
Modelo de riesgos
Estado de los riesgos
Informe de insuficiencias
Plan de seguridad
118
Modelos
de Gestin
de
Riesgos:
Magerit
119
120
122
4.
5.
Objetivos
Objetivos
Objetivos
Objetivos
Objetivos
de Identidad
Financieros
de reputacin
de integridad y confidencialidad
de disponibilidad
124
Descomponer el sistema
Implica identificar las caractersticas y
los mdulos con impacto en la seguridad
que deben ser evaluados.
125
126
Descubrimiento accidental
Malware automtico
Atacante curioso
Script Kiddies
Atacante Motivado
Crimen organizado
127
Establecer el contexto
Identificar los riesgos
Analizar los riesgos
Evaluar los riesgos
Habilitar contramedidas.
133
136
141/38
El
Practical
Threat
Analysis
propone
una
suite
para
la
elaboracin de modelos de gestin
de riesgos y permite estimar un nivel
de seguridad a partir de la
informacin
incluida
en
cada
proyecto.
142
144
Attack Library
Esta diseada para:
Disponer del mnimo de informacin.
Transmitir la relacin del exploit, la causa y la
contramedida.
Ser accesible para que la especificacin de
ataques no suponga la presencia de un tcnico
avanzado en seguridad.
Entender cmo probar el exploit
Entender cmo reconocer una vulnerabilidad
Entender cmo implementar contramedidas
146
Skimming
Threat exposure of ATM card/account data due to the
presence of skimming devices on machines
Attack-Skimming device placed over card reader slot
148
150
Objetivos y conceptos.
Procesos y actividades.
Gestin del servicio.
Implementacin, pautas y metodologa
151
en los siguientes
en los siguientes
153
Confidencialidad:
Informacin
exclusivamente a personas autorizadas.
Integridad: Mantenimiento de
informacin,
protegindola
alteraciones no autorizadas.
informacin puede parecer
incompleta.
disponible
la exactitud y validez de
de
modificaciones
Contra la integridad
manipulada, corrupta
la
o
la
o
157
160
161
162
163
164
165
Conclusin: La gestin de riesgo" es un proceso esencial en la
tema
de
cambio
cultural,
la
Alcance.
Gestin de riesgo.
Estrategias de continuidad.
Plan de Continuidad.
Pruebas.
Mejoras.
167
168
169
170
Los
mbitos
Predisponen (para bien o para mal)
Relacionan y mezclan niveles.
Que sean armnicos y no disonantes
Los procesos
Procedimientos
171
QU ES CERTIFICAR?
El proceso de Certificacin es la Generacin de
un INFORME Firmado por parte de un TERCERO
(ajeno a la organizacin) que define que, de
acuerdo con su CRITERIO PROFESIONAL, dicha
Organizacin CUMPLE o NO CUMPLE con los
Requerimientos establecidos en la Normativa.
PORQUE CERTIFICAR?
Para poder Mostrar al Mercado que la
Organizacin tiene un adecuado SISTEMA DE
GESTION
DE
LA
SEGURIDAD
DE
LA
INFORMACIN.
Una empresa CERTIFICADA no implica que NO
TIENE MAS RIESGOS DE SEGURIDAD DE LA
INFORMACION, sino que tienen un adecuado
Sistema de Gestin de dichos Riesgos y Proceso
de MEJORA CONTINUA.
QUE
ORGANIZACIONES
CERTIFICAR?
PUEDEN
CERTIFICACION?
Cualquier Agente ajeno a la Organizacin
(Profesional Independiente o Compaa) puede
Firmar el Informe antes mencionado.
Pero dado que la Certificacin adems de un valor
Interno de Asegurarse de Cumplir con la Normativa,
tiene un fin principal de poder Mostrar dicha
Certificacin al Mercado Externo, generalmente se
recurre a Organizaciones que estn Tcnicamente
Aceptadas
y
adems
reconocidas
INTERNACIONALMENTE para efectuar dicho trabajo.
Por ello se recurre a Organizaciones que estn
ACREDITADAS (este es el trmino tcnico utilizado)
en el Organismo Internacional de Acreditacin.
Ejemplo de este tipo de Organizaciones son el
PERDER
LA
INDECOPI
TELEFONICA DEL PERU
HERMES
PMC LATAM
182
BENEFICIOS
Establecimiento de una metodologa de gestin de la
seguridad clara y estructurada.
Reduccin del riesgo de prdida, robo o corrupcin de
informacin.
Los clientes tienen acceso a la informacin a travs
medidas de seguridad.
Los riesgos y sus controles son continuamente
revisados.
Confianza de clientes y socios estratgicos por la
garanta de calidad y confidencialidad comercial.
Las auditoras externas ayudan cclicamente a identificar
las debilidades del sistema y las reas a mejorar.
Posibilidad de integrarse con otros sistemas de gestin
(ISO 9001, ISO 14001, OHSAS 18001).
BENEFICIOS
Continuidad de las operaciones necesarias de negocio
tras incidentes de gravedad.
Conformidad con la legislacin vigente sobre
informacin personal, propiedad intelectual y otras.
Imagen de empresa a nivel internacional y elemento
diferenciador de la competencia.
Confianza y reglas claras para las personas de la
organizacin.
Reduccin de costes y mejora de los procesos y
servicio.
Aumento de la motivacin y satisfaccin del personal.
Aumento de la seguridad en base a la gestin de
procesos en vez de en la compra sistemtica de
productos y tecnologas.
185
186
188
189
190
191
195
197
198
Revisin
documental,
entrevistas,
observaciones e inspeccin fsica
Control tcnico
Medir la efectividad mediantes system
testing
o
mediante
herramientas
de
audit/reporting
System testing
199
Inspeccin visual
200
201
Complejidad de la organizacin
Dependiendo de la complejidad de la organizacin:
Determinaremos el equipo auditor
Determinaremos el tiempo de auditora (junto con
otros factores)
La
complejidad
la
determinan
diversas
circunstancias de la organizacin que determinarn
un nivel (riesgo potencial)
Alto
Medio
Bajo
202
203
204
205
206
207
GRACIAS