Presentacion Iso 27000 Jun12

ISO/IEC 27000.
Gestin e Implementacin de la Seguridad de la Informacin
Gestin de la Seguridad de Informacin

ISO/IEC 27000
IT Service Management
Principales preocupaciones empresariales
SYMANTEC, 2010. State of enterprise security 2010.

Symantec Corporation, Mt View.
New Horizons Barcelona 1

ISO/IEC 27000. Gestin e Implementacin de la Seguridad de la Informacin
Empresas que experimentan ataques frecuentes
SYMANTEC, 2010. State of enterprise security 2010.

Symantec Corporation, Mt View.
Incidencias de seguridad en el Reino Unido
BERR, 2008. 2008 Information security breaches

survey. Technical report. Department for business,
enterprises & regulatory reform. UK

Lo absurdo de la seguridad
9 de cada 10 empresas
norteamericanas han sufrido un
ataque online entre 2004 y 2005
(2005 FBI/CSI Computer Crime
and Security Survey)
Cada da, 27000 personas

reportan el robo de alguno de sus
datos confidenciales (FBI)
14% de los usuarios habituales de

banca por Internet ha dejado de
hacerlo por dudas respecto a la
seguridad, y 30% han cambiado su
forma de utilizarlo (Gartner)
Algo est muy mal
Y la dependencia se incrementa

As, algunos riesgos se resisten
De las empresas encuestadas:
13% han detectado intrusos

dentro de su red
9% han identificado
correos-e falsos (phishing)
solicitando informacin a
sus clientes
9% han descubierto la
suplantacin clientes (p.ej.,
luego de un robo de
identidad)
6% han sufrido una

violacin de
confidencialidad
BERR, 2008. 2008 Information security breaches

survey. Technical report. Department for business,
enterprises & regulatory reform. UK
Principios de Seguridad

Normas ISO/IEC 27000
ISO/IEC 27000 Vocabulario y definiciones

ISO/IEC 27001:2005 Requisitos del Sistema de
Gestin de Seguridad de Informacin
ISO/IEC 27002:2005 Cdigo de Prctica para la
ISO/IEC 27003 Directrices de Implantacin
ISO/IEC 27004 Mtricas y mediciones
ISO/IEC 27005 Gestin de Riesgos
ISO/IEC 27006 Requisitos para Organizaciones
Auditoras y Certificadoras sobre los Sistemas de
Sistema de Gestin de la Seguridad de Informacin
Segn ISO/IEC 27001, el SGSI es
Aquella parte del sistema general de gestin, basada

en un enfoque de riesgo comercial, para establecer,
implantar, operar, monitorizar, revisar, mantener y
mejorar la seguridad de la informacin.
El SGSI incluye la estructura organizacional, polticas,

actividades de planificacin, responsabilidades,
prcticas, procedimientos, procesos y recursos.

Modelo PDCA y los procesos SGSI
1. Definir el alcance del Sistema de Gestin de Seguridad de Informacin (SGSI)

2. Definir la poltica de seguridad de informacin
3. Definir un enfoque sistemtico para la evaluacin de riesgos y criterios de aceptacin de
riesgo
4. Realizar una evaluacin de riesgos para identificar, dentro del contexto de la poltica y el
alcance del SGSI, los activos de informacin relevantes de la organizacin y sus riesgos.
5. Identificar y evaluar opciones para el tratamiento de dichos riesgos, seleccionando los
objetivos de control y los controles a ser implantados
6. Preparar la declaracin de aplicabilidad
Integracin con el sistema de calidad
ISO/IEC 27000
ISO/IEC 14000
ISO/IEC 9000
Caractersticas comunes entre normas de gestin

Todas fundamentados en el compromiso Acciones correctivas y preventivas
de la gerencia Utilizacin del modelo PDCA para la
Definicin de responsabilidades implementacin y operacin
Control de documentos Procesos de Auditora
Esquema de evaluacin para la acreditacin
Gestin de registros
(ISO 19011:2002)
Formacin / Entrenamiento Requisitos basados en normas similares
Revisin de la Gestin Cuerpo certificador responsable de verificar
Auditora interna la competencia del auditor

Documentos
En el apartado 4.3.1 de ISO/IEC 27001 se describe la documentacin mnima a

incluir en el SGSI. Se mencionan documentos como:
Poltica de seguridad de informacin, Alcance del SGSI, Evaluacin de Riesgo,

Objetivos de Control y Enunciado de Aplicabilidad (ncleo del Manual de SGSI)
Evidencia de acciones tomadas (minutas y actas de las reuniones)
Descripcin del Esquema de Gestin (Junta Directiva, etc.)
Plan de Gestin de Riesgo y los procedimientos que lo soportan
Procedimientos para la gestin y revisin del SGSI
Gestin del Cambio
Ideas adicionales
Estado Actual
Estado Futuro
Plan de Transicin

Comunicacin
5 Responsabilidad de la Gerencia Componentes clave:
ISO/IEC 27001
5.1 Compromiso de la Gerencia
La gerencia debe proporcionar Transmisin top-down de la visin
evidencia de su compromiso con el
establecimiento, implantacin, Reuniones breves acerca del progreso
operacin, monitorizacin, revisin, Mecanismo para garantizar la consulta
mantenimiento y mejora del SGSI al: e implicacin de personal clave
Mecanismo de feed-back
a) establecer una poltica SGSI;
Sistema de informacin compartida

d) comunicar a la organizacin la
importancia de lograrlos objetivos de
seguridad de la informacin y
cumplir la poltica de seguridad de
informacin, sus responsabilidades
bajo la ley y la necesidad de una
mejora continua;

Mtricas y Mejora Continua
Definicin
Las mtricas de seguridad deben ser mediciones objetivas y cuantificables
respecto a ciertos objetivos especficos que permitan evaluar la efectividad de la
seguridad de informacin en una organizacin.
Razones para utilizar mtricas de seguridad

exponer la efectividad y eficiencia de la seguridad de informacin,
demostrar conformidad legal y regulatoria,
justificar el valor de la seguridad de informacin
Acciones
SGSI
AccionesPreventivas
Preventivas
Acciones
AccionesCorrectivas
Correctivas Mejora
Mejora
Proceso
Procesode
deRevisin
Revisin Continua
Continua
Estructura
Estructurade
deAuditora
AuditoraInterna
Interna

Organizacin para la Seguridad de Informacin
ISO/IEC 27001: Tabla A.1 Objetivos de control y controles (extracto)
A.6 Organizacin de la seguridad de la informacin

A.6.1 Organizacin interna
Objetivo: Gestionar la seguridad de la informacin dentro de la
organizacin.
A.6.1.1 Compromiso de la Control
gerencia con la La gerencia debe apoyar activamente
seguridad de la la seguridad dentro de la
informacin organizacin a travs de una
direccin clara, compromiso
demostrado, asignacin explcita y
reconocimiento de las
responsabilidades de la seguridad de
la informacin
No se especifica una estructura organizacional
Responsabilidades
Direccin, Legal, Acordar roles y responsabilidades

Operaciones, TI, especficas respecto a SI
Seguridad, etc. Acordar mtodos y procedimientos
especficos para implantar la poltica de SI
Apoyar y aprobar iniciativas
Equipo Garantizar que el proceso de planificacin
Inter-disciplinario corporativa contemple la SI
(Grupo de Trabajo) Evaluar y coordinar la implantacin de
controles especficos para sistemas nuevos
Gobierno Revisar incidencias de seguridad
Arbitraje
Garantizar la sensibilizacin de toda la
organizacin respecto a la SI
CISO, ISO, Desarrollar la poltica de SI Registrar y procesar las

incidencias de seguridad
ISM, SPO, Definir el alcance del SGSI
DPO Informar al GdeT sobre
Informar al GdeT acerca de amenazas y el progreso de la
vulnerabilidades y acciones tomadas implantacin del SGSI
Realizar la evaluacin de riesgos inicial Realizar revisiones
Gestor de
Seguridad de Identificar cambios en los riesgos y tomar Monitorizar conformidad
las acciones apropiadas
Informacin Tomar acciones
Garantizar la gestin de riesgos segn lo preventivas
acordado con direccin
Trabajo diario de las Seleccionar los objetivos y controles
operaciones SGSI
Redactar el enunciado de aplicabilidad

Grupo de proyecto para ISO 27001
Habilidades de liderazgo
Director
Enfoque pragmtico
No pertenecer a TI
Gestin de Calidad / Procesos Poseer amplia
Miembros
TI responsabilidad gerencial
Gestin de Instalaciones
RRHH / Formacin
Gestor de Seg. Info.
Experto en Seg. Info. En el epgrafe 6.1.3, ISO
Responsabilidades
Ventas 27002 seala que todas
Asignacin de
Operaciones las responsabilidades en
seguridad de informacin
Administracin
deben estar claramente
identificadas
Frecuencia quincenal (al Gestor de SI
Reuniones
inicio), mensual (fase de

Propietarios individuales
implantacin), trimestral
para cada activo de
(proyecto completado)
Revisin de minutas al final
Evaluacin y aprobacin de adquisiciones
Instalaciones para el Procesamiento

de Informacin
Sistema de software
Centro de Datos
Ordenador (workstation/servidor)
Componente de software
Utilidad de software
Apoyo para la
Evaluacin
Proceso de Autorizacin
de adquisiciones
Aprobacin por parte de para Garantizar
Gestor de Unidad de Negocio Flexibilidad

Organizacin de TI vs
Gestor de Seguridad Nivel de Seguridad

Mantener contactos apropiados
Prepararse
Prepararseparaparalas
las
Autoridades externas: emergencias,
emergencias,incluyendo
incluyendoaa
Cuerpos de Seguridad quin
quincontactar
contactarenenelelcaso
casodede
presentarse
presentarseuna.
una.Incluir
Incluiruna
una
Departamento de Bomberos revisin
revisindedelos
loscontactos
contactosen en
revisin
revisinperidica
peridicade delos
los
Organismos regulatorios planes
planesdedepreparacin
preparacinpara para
Proveedores de Servicios de Internet emergencias
emergencias(continuidad
(continuidad
empresarial,
empresarial,recuperacin
recuperacin
Operadores de Telecomunicaciones ante
antedesastres,
desastres,continuidad
continuidad
del
delplan
plande
deoperaciones,
operaciones,etc.)etc.)
Grupos/Organizaciones de Inters Especial:

Aprovechar
Aprovecharlaslas
Fuentes de asesoramiento lecciones
leccionesaprendidas
aprendidas
Foros de seguridad por
pormuchos,
muchos,tanto
tanto
dentro
dentrocomo
comofuera
fueradede
Asociaciones profesionales lalaorganizacin.
organizacin.
Evaluaciones y auditoras independientes
La gerencia debe iniciar una revisin peridica independiente del

programa de seguridad de la informacin, as como la obtencin de
instantneas (snapshots) de la situacin actual de la seguridad.
La revisin por parte de terceros es muy valiosa.
Tambin pueden haber requisitos legales para la revisin independiente

de las prcticas de seguridad.
En ISO 27000, independiente no necesariamente implica externo

Establecimiento del SGSI
Refleja la conviccin por parte de la gerencia de que la organizacin

puede verse afectada si la informacin no est segura
Escrita en trminos sencillos (minimizar siglas y argot especializado)
Corto en extensin y conciso
Disponible para todos los empleados y asociados
Poltica de Seguridad de Informacin
Documento nico titulado

Poltica del Sistema de Gestin
de Seguridad de Informacin
Contiene:
Marco referencial (objetivos y
direccin general)
Considera todos los requisitos de
Inicialmente seguridad relevantes desde el punto
Inicialmente de vista empresarial, legal, regulatorio
y contractual
Enunciado
Enunciadobreve breve(2
(2pginas
pginasmx.)
mx.)
Establece un contexto estratgico
Responder
Responderaalas laspreguntas
preguntasQuin?,
Quin?, para SGSI
Dnde?(alcance),
Dnde? (alcance),Qu?
Qu?yyPorqu?
Porqu? Criterios y estructura para la
Utilizar iteracin para su confeccin evaluacin de riesgos
Utilizar iteracin para su confeccin
Aprobacin

Enunciado preliminar para la poltica
Tanto la directiva como la gerencia de la organizacin Y, que se

desenvuelve en el sector Z (o en la actividad comercial Z, etc.), ubicada en
[ ], est comprometida con la preservacin de la confidencialidad,
integridad y disponibilidad de todos los activos de informacin fsicos y
electrnicos en toda la organizacin con la idea de mantener su posicin
competitiva, flujo de efectivo, rentabilidad, conformidad legal y
contractual y su imagen comercial. La informacin y los requisitos de
seguridad de informacin se mantendrn en lnea con los objetivos de la
organizacin y el SGSI ser un mecanismo adecuado para el intercambio
de informacin en operaciones electrnicas, comercio electrnico y para
reducir los riesgos relacionados con la informacin a niveles aceptables.
Todos los empleados de la organizacin deben cumplir con esta poltica y
atender el SGSI que implanta esta poltica. Ciertos terceros, definidos en
el SGSI, tambin deben cumplirla. Esta poltica ser revisada cada vez
que se requiera y, al menos, una vez al ao.
Costes y seguimiento del progreso
Revisin:
1. Al completar la Declaracin de
Aplicabilidad (SoA)
2. Luego de implantar el conjunto de
procedimientos iniciales
3. Al finalizar el primer ciclo de
auditora
4. Anualmente, como parte habitual
de la revisin del SGSI

Requisitos de seguridad y gestin de riesgos
Fuentes para establecer los Gestin de Riesgos

requisitos:
Disciplina que trata con los riesgos
noespeculativos (permanentes o
1. Riesgos enfrentados por la puros)
organizacin
2. Requisitos legales, reguladores,
Objetivos:
estatutarios y contractuales
3. El conjunto particular de principios, 1. Eliminar los riesgos
objetivos y requerimientos 2. Reducir a nivel aceptable aquellos
comerciales para el procesamiento
de la informacin que una que no puedan eliminarse
organizacin ha desarrollado para 3. Convivir con ellos, aplicando
sostener sus operaciones controles para mantenerlos a nivel
(ISO/IEC 27002, Epgrafe 0.3)
aceptable
4. Transferirlos a otra organizacin
Riesgo: Posible dao o prdida de informacin.
Evaluacin de riesgo
Estudio sistemtico de activos de informacin,

amenazas, vulnerabilidades e impactos para determinar la
probabilidad y consecuencias de los riesgos
Proceso formal (planificado y documentado) Consejo:
Consejo:La Laevaluacin
evaluacin
de
deriesgo
riesgoinicial
inicialdebe
debeser
ser
Resultados comparables y reproducibles realizada
realizadapor
poralguien
alguiencon
con
amplia
ampliacalificacin
calificacinyy
experiencia
experiencia

Anlisis cuantitativo de riesgo
Se basa en el clculo de un monto segn
Problemas:
Incertidumbre de probabilidad
Imprecisin en la estimacin
de los posibles costes (prdidas)
Otros conceptos:
Annual Loss Expentancy (ALE)

Estimated Annual Cost (EAC)
Anlisis cualitativo de riesgo
Se basa sobre escenarios y situaciones
Es el enfoque sealado en el Epgrafe 4.2.1.d (ISO/IEC 27001)
Slo se utilizan estimaciones sobre posibles prdidas y/o costes
La mayora de los mtodos utilizan una serie de elementos interrelacionados

que, presentados en forma de tablas, identifican a el/los propietario(s),
amenaza(s), vulnerabilidad(es) e impacto(s) vinculados a cada activo.

Identificacin de activos
Activos Activos de Informacin

Cualquier cosa que tenga
valor para la organizacin Puede incluir funciones empresariales,
(ISO/IEC 13335-1:2004) personal, informacin (en medios
electrnicos o escritos), tecnologa de
informacin y activos fsicos.
Incluye todos los activos de

informacin determinados en
la Poltica (qu?) y el
Alcance (dnde?) del SGSI.
Indicar por escrito qu
individuo/departamento es el
propietario de cada uno de
estos activos
Identificacin de amenazas
Definicin
Causa potencial de un
incidente no-deseado, el
cual puede resultar en
dao a un sistema u
organizacin
(ISO/IEC 13335-1:2004)
Siempre existirn amenazas para cada activo

Identificacin de vulnerabilidades
Definicin
Mtodos de Identificacin:
Debilidad de un activo o
Fuentes de vulnerabilidad
grupo de activos que
puede ser explotada por Pruebas de seguridad
una o ms amenazas.
Herramienta automtica de escaneo
(ISO/IEC 13335-1:2004)
de vulnerabilidades
Prueba y evaluacin de seguridad
Pruebas de penetracin (pen--test)
Desarrollo de una lista de verificacin de
requisitos de seguridad
Identificacin de impactos
Impacto: Consecuencia negativa (directa o indirecta) ocasionada por una

amenaza que aprovecha una vulnerabilidad sobre la integridad, confidencialidad
y/o disponibilidad de los activos.
Annual Loss Expectancy (ALE)

Single Loss Expectancy (SLE)

Evaluacin y estrategia de riesgo
Apetito de Riesgo
Cantidad y tipo de riesgo que
una organizacin est dispuesta
a asumir, mantener o adoptar.
(ISO/IEC 31000)
Estrategias de riesgo
Aceptacin
Neutralizacin
Evasin
Transferencia
Identificacin de los lmites
Es esencial decidir los

lmites de lo que ser
protegido.
Los lmites deben ser
identificados en trminos
de (parte de) la
organizacin que ser
protegida, qu redes, qu
los datos y en qu
ubicaciones geogrficas.
El primer paso es
identificar qu (parte de
la) organizacin est
dentro del alcance del
SGSI.
La organizacin que se
encuentra dentro del
alcance debe ser capaz
de separarse fsica y/o
lgicamente de terceros y
de otras organizaciones
dentro de un grupo.

Identificacin de activos de informacin
Los activos clave suelen ser sistemas de informacin que estn

conformados por diferentes componentes
Los componentes pueden incluir Sistemas de TI:
Software
Hardware
Telecomunicaciones
Sistemas de archivo
Cada activo posee un propietario (responsable)
Criticidad: Relacin entre activos y objetivos
Objetivos Empresariales Clave
Mensurables Comerciales
Alcanzables
Relevantes Contractuales
Temporales
Especficos Legales
digitales o no

Categorizacin de prdidas
Ninguna
Ninguna prdidas
prdidas 1.000
1.000
Secundaria
Secundaria 1.000
1.000 < prdidas 10.000
< prdidas 10.000
Media
Media 10.000
10.000 < prdidas 100.000
< prdidas 100.000
Alta
Alta 100.000
100.000 << prdidas
prdidas 1.000.000
1.000.000
Muy
Muy alta
alta 1.000.000
1.000.000 < prdidas 10.000.000
< prdidas 10.000.000
Extrema
Extrema La
La viabilidad financiera de
viabilidad financiera de la
la
empresa
empresa se
se ve
ve comprometida
comprometida
Posibles categoras de prdida
para una organizacin grande
Al evaluar las prdidas, deben tenerse en cuenta todos los

costes identificables (directos, indirectos o consecuentes)
incluyendo el coste de quedar fuera del negocio.
Reflexin / Consejo
Es mejor hacer una estimacin aproximadamente
correcta que una precisamente equivocada.
Expectativa
Las amenazas para cada uno de los sistemas deben ser consideradas en funcin
del deterioro o prdida de confidencialidad, integridad y disponibilidad.
Algunas amenazas que entrarn en una partida nica, otras en ms de una.
Es importante realizar este anlisis de manera sistemtica y global, para
garantizar que todas las amenazas han sido consideradas.
La calidad de los controles que finalmente implantar la organizacin ser un
reflejo de la calidad de este ejercicio.
Insignificante
Insignificante Muy
Muyimprobable,
improbable,frecuencia
frecuencia<<1x
1xcada
cada55aos
aos
Muy
Muybaja
baja 1x cada 5 aos < frecuencia 1x al ao
1x cada 5 aos < frecuencia 1x al ao
Baja
Baja 1x
1xalalao
ao<<frecuencia
frecuencia1x1xpor
porsemestre
semestre
Media
Media 1x
1x por semestre < frecuencia 1xpor
por semestre < frecuencia 1x pormes
mes
Alta
Alta 1x por mes < frecuencia 1x por semana
1x por mes < frecuencia 1x por semana
Muy
Muyalta
alta 1x
1xpor
porsemana
semana<<frecuencia
frecuencia1x
1xalalda
da
Extrema
Extrema Probablemente
Probablemente suceda al menos unavez
suceda al menos una vezalalda
da
Posible escala de probabilidad de ocurrencia

Matriz de riesgo
Probabilidad Impacto
de Bajo Medio Alto
Ocurrencia (10) (50) (100)
Alta Bajo Medio Alto
(1.0) 10 x 1.0 = 10 50 x 1.0 = 50 100 x 1.0 = 100
Media Bajo Medio Medio
(0.5) 10 x 0.5 = 5 50 x 0.5 = 25 100 x 0.5 = 50
Baja Bajo Bajo Bajo
(0.1) 10 x 0.1 = 1 50 x 0.1 = 5 100 x 0.1 = 10
Ejemplo de Matriz de Riesgo 3x3

Escala de riesgo
Alto (51100)
Medio (1150)
Insignificante Mnimo Crtico Catastrfico Bajo (110)
Cierto Alto Alto Extremo Extremo
Probable Moderado Alto Alto Extremo
Posible Bajo Moderado Alto Extremo
Improbable Bajo Bajo Moderado Extremo
Raro Bajo Bajo Moderado Alto
Ejemplo de Matriz de Riesgo 5x4
Controles y declaracin de aplicabilidad

Medidas de seguridad
Controles
Los controles son garantas para reducir los riesgos.

Se seleccionan en funcin de un objetivo de control.
Deben ser costoeficientes :
El coste de su implantacin (en valor monetario y despliegue de
recursos) no debe superar el impacto de los riesgos que pretenden
reducir.
El
El epgrafe
epgrafe 4.2.1.g
4.2.1.g de
de ISO/IEC
ISO/IEC 27001
27001
exhorta
exhorta la
la seleccin
seleccin dede controles
controles del
del Anexo
Anexo A
A
por
por parte
parte de
de la
la organizacin,
organizacin, aunque
aunque tambin
tambin
admite
admite la
la seleccin
seleccin dede controles
controles adicionales.
adicionales.
11 Categoras
38 Clusulas
133 Sub-clusulas

Lista de controles de ISO/IEC 27001
Anexo A
(Normativo)
Objetivos de control y controles
Los objetivos de control y los controles enumerados en la Tabla A.1 se derivan directamente de, y
se alinean con, aquellos enumerados en ISO/IEC 27002:2005 Clusulas del 5 al 15. Las listas en
estas tablas no son exhaustivas y una organizacin podra considerar que son necesarios objetivos
de control y controles adicionales. Los objetivos de control y los controles de estas tablas deben
seleccionarse como parte del proceso SGSI especificado en 4.2.1.
El ISO/IEC 27002:2005 Clusulas del 5 al 15 proporciona consulta y lineamientos para la
implementacin de las mejores prcticas en soporte de los controles especificados en A.5 al A.15.
Tabla A.1 Objetivos de control y controles
A.5 Poltica de seguridad
A.5.1 Poltica de seguridad de informacin
Objetivo de control: Proporcionar direccin gerencial y apoyo a la seguridad de la informacin en
concordancia con los requerimientos comerciales y leyes y regulaciones relevantes
A.5.1.1 Documentar Control
poltica de La gerencia debe aprobar un documento de poltica, este se debe
seguridad de publicar y comunicar a todos los empleados y entidades externas
informacin relevantes.
A.5.1.2 Revisin de Control
la poltica de La poltica de seguridad de la informacin debe ser revisada
seguridad de regularmente a intervalos planeados o si ocurren cambios significativos
informacin para asegurar la continua idoneidad, eficiencia y efectividad

Puntos de accin para la reduccin de riesgo

Seleccin de controles
Al seleccionar los controles de acuerdo a los resultados de la

evaluacin del riesgo, el objetivo es reducir o eliminar la vulnerabilidad
y por lo tanto reducir el riesgo.
Reglas bsicas:
1. Seleccionar controles basados sobre la legislacin.
2. Seleccionar controles especficos al mbito comercial de la
organizacin.
3. Seleccionar controles listados en ISO/IEC 27001:2005.
A medida que se seleccionan los controles, puede prepararse la

Declaracin de Aplicabilidad (Statement of Applicability, SoA)
Declaracin de Aplicabilidad
Documento en el que se reflejan las decisiones tomadas (controles

seleccionados).
Contempla todos los controles del Anexo A de ISO/IEC 27001.
Tambin contiene razones, explicaciones y/o justificaciones para aquellos
controles no seleccionados
Propsito: garantizar que la organizacin ha considerado cada uno de los
controles y proporcionar un razonamiento para la correccin, transferencia o
aceptacin del riesgo.
Normalmente se presenta en formato de tabla en la que se lista la
descripcin de cada control del Anexo A de ISO/IEC 27001 con sus
correspondientes columnas indicando si la organizacin adopt o no el
control, la justificacin y la referencia a la ubicacin donde se halla
documentado el procedimiento donde se implanta dicho control.
Si la organizacin persigue obtener ISO27001, el SoA contiene
informacin que alguien podra solicitar. Esto se soluciona creando dos
versiones: una limitada para el pblico y otra exhaustiva para uso interno o
controlado.

Planificar el tratamiento de riesgo
El epgrafe 4.2.2.a ISO/IEC 27002 indica que la organizacin debe

formular un plan de tratamiento de riesgo que identifique la
accin gerencial apropiada, los recursos, las responsabilidades
y prioridades para manejar los riesgos de la seguridad de
informacin.
Plan de tratamiento de riesgo
En este documento se enumeran los riesgos y se identifican las

responsabilidades organizacionales para hacerles frente.
Contenido
Para cada uno de los riesgos identificados
Enfoque asumido por la organizacin para su tratamiento.
Controles que ya estn implantados.
Propuesta de controles adicionales.
Programacin para la implantacin de dichos controles adicionales.
El plan debe garantizar que se dispone de financiacin y recursos
suficientes para la implantacin de los controles, e identificarlos
claramente.
Representa un vnculo entre las cuatro fases del ciclo PDCA del SGSI.

Mtricas y mediciones
Una mtrica es un atributo para evaluar la calidad del ejercicio o prctica

de una actividad, proceso o sistema
Funciones bsicas:
Control: Permiten a los gerentes y empleados evaluar y controlar el
rendimiento de los recursos de los que son responsables.
Comunicacin: Las mtricas comunican rendimiento no slo a los

empleados y gerentes internos sino tambin a partes interesadas externas
para otros fines.
Mejora: Identifican brechas (entre el rendimiento real y las expectativas)

que idealmente sealan el camino para la intervencin y mejora.
Cada sistema de indicadores est sujeto a una tensin dinmica.
rbol de mtricas y BSC

Mtricas para SGSI
El objetivo de las mtricas es identificar la existencia y la efectividad tanto

de las operaciones como de la disposicin organizacional hacia la
seguridad de informacin.
Resulta prcticamente imposible

Problema medir objetivamente lo que podra
fundamental de haber sucedido si no hubiramos
las mtricas mejorado nuestro sistema de
seguridad de la informacin.
Vale la pena recordar

Aspectos intangibles o subjetivos pueden ser medidos objetivamente
En ocasiones, los valores relativos son ms tiles que las escalas absolutas,
especialmente para dirigir la mejora
Aprovechar fuentes de datos ya existentes (p.ej., registro del Help Desk)
Tomar mtricas incorrectas puede llevar a mejorar aspectos no adecuados
No limitar las mediciones nicamente a los resultados. Utilizar entradas,
actividades y salidas de los procesos
Algunas mtricas para SGSI
Estadsticas de cambios en TI
Estadsticas de software malicioso (malware)
Auditora sobre ordenadores (asuntos o recomendaciones de auditora
agrupados y analizados por estatus y nivel de riesgo)
Autoevaluacin de controles y otras estadsticas de Gestin de Riesgo
Estadsticas de Help Desk analizando los contactos relacionados con
temas de seguridad
Estadsticas de incidencias TI
Estadsticas de cortafuegos (firewall)
Estadsticas de vulnerabilidades de sistemas y redes
Respuesta a las actividades de concienciacin acerca de seguridad

Partes y Socios Externos
Cada vez que exista una razn empresarial justificada para otorgar
acceso a cualquier asociado o parte externa a los sistemas de la
organizacin o dominio de seguridad, se debe realizar una evaluacin
de riesgo para determinar las implicaciones de seguridad y requisitos de
control.
Proveedores de servicio
ISPs y/o ASPs
Servicios bsicos,
Servicios de seguridad, etc.
Clientes
Proveedores externos
Consultores y auditores
Desarrolladores o proveedores de SW/HW
Plantilla de apoyo (externalizada)
Personal temporal incluyendo becarios
Formulario estndar para externos
Evaluacin de riesgos
Esta evaluacin de riesgos se lleva a cabo de conformidad con los requisitos del
epgrafe [nmero] del SGSI de [nombre organizacin]. Est sujeta a revisin de
acuerdo con los requisitos de evaluacin de riesgos del SGSI.
Fecha:
Parte externa: [Nombre y Direccin]
Instalacin de informacin o Activo a ser accedido:
Tipo de acceso requerido: fsico, lgico, en el propio emplazamiento o fuera de :
Valor, sensibilidad y criticidad de la informacin involucrada [ver ms abajo]:
Duracin/frecuencia requerida de acceso :
Que personal externo se manejar los datos?
Razones empresariales para facilitar el acceso:
Riesgos de proporcionar el acceso:
Son adecuados los controles existentes S / N? (listarlos)
Son adecuados los controles de los terceros S / N? (listarlos)
Nuevos controles requeridos - especificar:
Evaluacin de riesgo llevada a cabo por:
Fecha de revisin:

Tipos de acceso
Fsico: Lgico:
Oficinas Bases de datos
Salas de informtica Redes
Data centers Sistemas de informacin
Archivadores, etc Sistemas de mensajera de voz, etc
Tipo de acceso
+
Valor de la Informacin involucrada

Determina el nivel de riesgo y la clase de control a aplicar
Motivos para el acceso
No hay manera de saber si el SGSI de la organizacin externa es suficientemente

adecuado
El simple acto de permitir el acceso de externos genera una vulnerabilidad

(cualquier acceso a la red de la organizacin que se genere fuera del permetro
seguro es capaz de convertirse en una amenaza)
Es necesario hallar formas de otorgar a partes/socios externos el acceso justificado

sin crear las vulnerabilidades de seguridad que conlleva
Esta es una razn para tomar el certificado ISO/IEC 27001 como evidencia de
que la organizacin ha implantado controles de seguridad adecuados

Outsourcing
Un contrato de outsourcing abarca una relacin mucho ms significativa de

negocios que un simple contrato de servicios externos.
Cuando una organizacin externaliza una parte importante de su actividad, tambin

externaliza una parte importante de sus riesgos y vulnerabilidades as como su
capacidad de seguridad de la informacin.
Las consecuencias para la seguridad de la externalizacin de la gestin y control de

todos o algunos de los sistemas de informacin, redes y/o entornos de escritorio
debe ser evaluado de forma sistemtica.
Es evidente que debe llevarse a cabo una evaluacin del riesgo antes de tomar la
decisin de externalizar un servicio (y considerar el costo de implementar cualquier
control desde el punto de vista de la rentabilidad).
Contratistas On-site
Ejemplos de contratistas On-site:

Mantenimiento de hardware y software y personal de soporte;
Limpieza, restauracin, seguridad y el personal que trabaja en la creciente
gama de servicios de outsourcing;
El personal temporal y ocasional, incluyendo prcticas de estudiantes y otros
nombramientos de corta duracin
Consultores y asesores profesionales, como abogados, contadores,
auditores, etc
Cualquier persona que no posee un contrato permanente de empleo se inscribe en
la categora de contratista On-site.
Debe llevarse a cabo una evaluacin del riesgo para todas estas organizaciones, y
evaluar los controles adecuados tal que reflejen el riesgo. Estos controles se
dividen en dos grandes grupos.
Se requieren, por contrato, por la parte externa
Implementados por la organizacin a fin de salvaguardar sus activos
Las organizaciones que dependen en gran medida del uso de contratistas externos
deben disear e implementar un proceso que simplifique el trabajo necesario para
garantizar que se cumplan con los requisitos pero que no pierda el rigor necesario.

La seguridad cuando se trata de clientes (I)
Los riesgos provienen de los siguientes factores:
Vulnerabilidades de software
Autoseleccin por parte del cliente
Acceso directo y nosupervisado del cliente a los sistemas de informacin de la

organizacin
Posibilidad para el cliente de cargar y manipular datos en dichos sistemas
Facilidad con la que los atacantes pueden hacerse pasar por clientes
La seguridad cuando se trata de clientes (II)
Antes de otorgar acceso por parte de los clientes a cualquiera de sus sistemas de
informacin, la organizacin debe considerar:
Cmo proteger sus activos de posibles ataques por parte de clientes.
Qu requisitos de informacin y acceso se generarn por productos y servicios

especficos o por las necesidades y deseos de los clientes
Poltica de acceso (basada sobre el principio lo que no est expresamente

permitido, queda prohibido)
Que el proceso de Gestin de Incidencias contemple una lnea explcitamente

vinculada al acceso de los clientes y posibles eventos de seguridad
La forma en que la organizacin se ocupar de las cuestiones legales, empezando

por las jurisdiccionales, pasando por la proteccin de datos, derechos de propiedad
intelectual y derechos de autor, hasta el derecho a revocar el acceso de cualquier
individuo

Seguridad en acuerdos con terceros
Niveles de acceso:
Riesgos asociados acceso limitado Acuerdo de Confidencialidad (NDA)
Riesgos a exposicin ms cercana y de largo plazo
Contratos
CONTENIDO MNIMO (ADICIONALMENTE)
Poltica de seguridad de informacin de la organizacin Provisin para traslado del
Polticas sobre la proteccin de activos de la organizacin personal
Descripcin del servicio que proporcionar el tercero Proteccin contra el robo de
Nivel de servicio objetivo y definicin de servicio inaceptable personal
Criterios de rendimiento verificables Acuerdos de control de
Pasivos futuros de las partes involucradas en el acuerdo acceso
Responsabilidades legales Potestad de la organizacin
anfitriona para monitorizar la
Derechos de propiedad intelectual actividad y retirar los derechos
Potestad de auditar las responsabilidades contractuales de los usuarios
Proceso para la resolucin de disputas Responsabilidades respecto
a la instalacin de HW y SW
Estructura y formato de los informes Entrenamiento necesario respecto a mtodos,
procedimientos y seguridad
Proceso de Gestin de Cambios
Controles contra software malicioso y virus
Cualquier control fsico requerido
Procedimiento para el reporte de incidencias de
seguridad
Gestin de activos
Los activos de informacin deben ser identificados durante la evaluacin de riesgos

y la lista resultante debe cotejarse con el registro de activos fijos para garantizar
que no haya quedado ninguno sin considerar
Tipos de activos:
Informacin: datos en cualquier formato
Software: aplicaciones, sistemas operativos, herramientas y utilidades de
desarrollo, etc.
Activos fsicos: equipo informtico, equipo de comunicaciones, medios
magnticos, etc.
Servicios
El personal y su conocimiento (destrezas, habilidades y experiencia)
Activos intangibles tales como la imagen, reputacin y marca de la
organizacin

Inventario de activos
Para cada activo, el inventario debe incluir:

Identificacin (reutilizar esquemas de finanzas?) y/o descripcin
Fabricante
Tipo
Nmero de Serie
Fecha de adquisicin
Clasificacin
Ubicacin, formato, copias de seguridad (informacin para la recuperacin)
Propietario
Se debe auditar el inventario, al menos, una vez al ao
Propietarios de activos
El propietario es la persona o funcin que

tiene la responsabilidad sobre el activo, no
los derechos de propiedad sobre el mismo.
Todos los activos deben

Quin(es) ser(n) propietario(s) tener un propietario
de los activos intangibles?
Quin(es) ser(n) propietario(s) de aquellos

activos cuyo origen sea el resultado de una
decisin estratgica o de grupo?
Podra ser conveniente para la organizacin el implantar

un procedimiento que defina un umbral sobre el cual la
informacin ser considerada un activo

Clasificacin de la informacin
La clasificacin de la informacin garantizar que los activos recibirn el nivel de

proteccin adecuado
A L
Se debe considerar que el compartir informacin es un objetivo tan importante
como lo es la restriccin
C I
Posibles esquemas de clasificacin (de mayor a menor grado):
E N
Confidencial, Restringido, Privado
Sper secreto, Secreto, Confidencial, Restringido
D
Secreto, Confidencial, Pblico
F I
El propietario, como encargado del activo, asignar la clasificacin adecuada segn
N
el esquema acordado
O
La informacin clasificada ser etiquetada de manera que tanto el originador como
C
el receptor sepan cmo aplicar la seguridad correspondiente.
Ttulos unificados
Las Unified Classification Markings es un conjunto de reglas para la clasificacin

de la informacin desarrollado por un grupo de organizaciones en nombre del
antiguo Departamento de Industria y Comercio Britnico.

Seguridad de recursos humanos
Quienes estn vinculados con tareas relacionadas con SGSI deben poseer la
competencia adecuada (ISO/IEC 27001 epgrafe 5.2.2)
Todo el personal (interno y externo) es responsable de la seguridad de informacin
Sin gestin y/o sin responsabilidades definidas la seguridad no ser efectiva
ISO 27000 propone controles considerados en tres fases:

Antes del Empleo
Durante el Empleo
Finalizacin o Cambio de Empleo
Antes de la contratacin
Descripciones del cargo y requisitos de competencia

Descripcin de las competencias requeridas
Declaracin en la que se seala que el empleado debe estar al tanto de la
poltica de seguridad de informacin de la organizacin.
Proceso de seleccin
Referencias, identidad, ttulos
Verificacin de datos del candidato (la profundidad depender del nivel de
confidencialidad asociado al cargo en cuestin)
Trminos y condiciones de empleo

La responsabilidad del nuevo empleado por la seguridad de informacin
debe quedar clara en el contrato de empleo
Cdigo de Conducta / Acuerdo de Confidencialidad

Durante el empleo
Gestin de responsabilidades
La gerencia garantizar la aplicacin de las polticas y procedimientos de
Archivo personal
Concienciacin, capacitacin y educacin

Todos los empleados de la organizacin (incluyendo terceros) deben recibir
el entrenamiento adecuado, actualizaciones regulares y comunicaciones
El personal de TI encargado de la gestin de sistemas debe estar
adecuadamente entrenado
Debe mantenerse evidencia de dicha(s) capacitacin(es) en el archivo
personal
Proceso disciplinario
Cualquier violacin de la poltica o procedimientos de seguridad de
informacin ser tratada a travs de un proceso disciplinario formal
Finalizacin o Cambio de empleo
Responsabilidades de la terminacin
Documentar quin es responsable de realizar las terminaciones y cules son
dichas responsabilidades
RRHH entrevista de salida
Devolucin de activos
Hardware
Software
Informacin
Conocimiento (transferencia)
Eliminacin de derechos de acceso

Aspecto crtico
Contraseas, cuentas para el uso de Internet y correoe, tarjetas de acceso,
etc.

Seguridad fsica
La seguridad fsica es parte de la seguridad de la informacin, ya que todos los

activos de la empresa deben estar fsicamente protegidos
La coordinacin entre los responsables de la seguridad fsica y seguridad de la

informacin es de gran importancia
Las medidas de seguridad fsica son implantadas para proteger la informacin del
fuego, robo, vandalismo, sabotaje, acceso no-autorizado, accidentes y desastres
naturales
Anillos de proteccin
reas seguras (I)
Permetro de seguridad fsica

Definicin precisa y robustez del permetro
Presencia de personal para el acceso (recepcin)
Barreras fsicas
Puertas de salida de emergencia con un nico sentido y
Sistemas de deteccin de intrusos
Controles de entrada fsicos
Supervisin de reas para visitantes
Consideracin en la seleccin de servicios de seguridad
Mtodos de comunicacin efectivos para supervisin remota
Utilizacin de identificador visible
Revisin peridica de derechos de acceso
Restriccin de acceso para terceros a aquellas reas especficas
Seguridad de oficinas, salas e instalaciones
Ubicacin adecuada de reas de almacenamiento claves
Discrecin en instalaciones de procesamiento de informacin
Ubicacin de equipo de oficina en reas no tan seguras
Cierre de puertas y ventanas de reas no vigiladas
Separacin de instalaciones de procesamiento de informacin internas y de terceros
Proteccin del acceso pblico de guas y directorios internos
Almacenamiento alternativo para los recursos/equipos de back-up.

reas seguras (II)
Proteccin contra amenazas externas y medioambientales
Trabajo en reas seguras

Comunicacin selectiva de la existencia de reas y actividades seguras
Supervisin del trabajo
Cierre y revisin peridica de reas vacantes
Prohibicin de equipos de grabacin o copiado (cmaras, vdeos, fotocopiadoras)
Controles especficos para evitar la adquisicin de informacin con juguetes ejecutivos
(p.ej. reproductores MP3) u otros dispositivos (cmaras digitales, telfonos mviles,
USBs, etc.)
reas de acceso pblico, carga y entrega

Acceso restringido a reas de carga y entrega
Disear estas reas para evitar que el personal de entregas no pueda acceder a otras
partes de la edificacin
Cierre de puertas externas cuando se mantiene abierta la puerta interna
Registro e inspeccin de material entrante
Separacin de actividad de entrega saliente y entrante
Ubicacin y proteccin de equipos
Ubicar los equipos de manera que se minimice el acceso innecesario y no

autorizado a reas de trabajo
Instalaciones de procesamiento y almacenamiento de datos sensibles debe
ubicarse para reducir el riesgo de ser husmeado durante su utilizacin
Artculos que requieran proteccin especial deben aislarse para reducir el nivel
general de proteccin requerida
ISO 27002 recomienda tomar controles que minimicen el riesgo de amenazas
potenciales como incendio, robo, explosin, humo, fallo de suministro de agua,
polvo, vibraciones, efectos qumicos, interferencia y/o fallo de suministro elctrico y
radiacin electromagntica (!)
Evaluar las polticas de ingestin de alimentos y bebidas as como restricciones
para fumadores
Considerar la exposicin al fro y/o calor excesivo, al humo, polvo y lluvia. Equipar
salas de servidores con detectores y alarmas que contacten al personal de guardia
Instalar proteccin contra descargas elctricas
Considerar la utilizacin de mtodos especiales de proteccin (membranas para
teclados)

Servicios pblicos de soporte
Los sistemas Uninterrupted Power Supply (UPS) son

esenciales para soportar los equipos que corren las
aplicaciones crticas de la organizacin (UPS para
empleados trabajando a distancia?)
Los UPS deben ser revisados regularmente y
considerar su posible fallo (UPS de respaldo?
Generador elctrico?)
Sistema de iluminacin de emergencia
Ubicar interruptores elctricos de emergencia cerca de
las salidas de emergencia para facilitar la desconexin
rpida
Proteccin contra descargas elctricas y filtros para las
lneas de comunicaciones
Considerar tambin sistemas de aire acondicionado,
humidificacin y supresin de incendios
Los servicios de telecomunicaciones deben poseer
dos mtodos distintos de conexin al proveedor
Seguridad del cableado
Las lneas elctricas y de telecomunicaciones en las instalaciones

de procesamiento de informacin deben ubicarse bajo tierra
El cableado en reas de trabajo debe estar adecuadamente

organizado y protegido
Los cables de red deben protegerse con canalizaciones adecuadas o evitando rutas
de acceso pblico
Los cables elctricos deben separarse de los cables de comunicaciones para evitar
interferencia
Controles adicionales: canalizaciones blindadas, armarios seguros, acceso

controlado a los paneles de conexin y salas de cableado

Mantenimiento y seguridad de equipos externos
La organizacin debe mantener copias de todas las instrucciones y manuales del

fabricante
Equipos y medios sacados fuera de las instalaciones deben mantenerse vigilados
El personal debe estar entrenado para proteger aquellos riesgos identificados por el
fabricante
Los equipos externos deben estar asegurados
Eliminacin, reutilizacin y retiro de equipos
La informacin y software licenciado debe ser borrado del equipo antes de su

eliminacin o reutilizacin
Los dispositivos de almacenamiento (cintas, discos flexibles, CD ROMs, PDA o

telfonos mviles) deben ser preferiblemente destruidos en vez de reutilizados
Garantizar que cualquier equipo, informacin o software no ser retirado de las

instalaciones sin autorizacin
Es recomendable realizar inspecciones aleatorias para detectar retiros no

autorizados
Solicitar anualmente a los empleados remotos un inventario de los artculos que

poseen, comentando acerca de su estado actual

Gestin de operaciones y comunicaciones
Documentacin de procedimientos operativos
Para conseguir una gestin eficaz y el control de TI es importante documentar

los procedimientos para el funcionamiento de los equipos y asignar
responsabilidades de las actividades necesarias.
Los detalles pueden ser proporcionados a travs de instrucciones de trabajo:

Procesamiento y manejo de la informacin
Realizacin de copias de respaldo
Instrucciones para gestionar errores u otras excepciones
Personal de contacto para eventos inesperados o dificultades tcnicas
Instrucciones para manejar resultados especiales
Instrucciones detalladas del procedimiento de reinicio y recuperacin
Encendido y apagado de ordenadores
Rutinas de mantenimiento
La intencin es garantizar que no existan malentendidos respecto a la forma en

la que debe operarse un equipo, sistema, software, etc.
Gestin de cambios
Existen riesgos tanto en la

implantacin como en la
no-implantacin de cambios
Los cambios son una causa
habitual de fallos,
vulnerabilidades y gastos
innecesarios
Separacin de funciones
En general, el procedimiento
de control de cambios consta
de un documento en el que
se precisa:
1. Identificacin y justificacin empresarial

2. Proceso de pruebas y aceptacin del cambio por parte del usuario
3. Evaluacin de cualquier posible impacto
4. Aprobacin formal
5. Comunicacin a todos los interesados
6. Procedimiento de aborto y vuelta atrs

Separacin de desarrollo, pruebas y operaciones
Separar los
ambientes de
desarrollo y pruebas
de los de produccin
(operaciones) para
reducir el riesgo de
accidentes o acceso
no autorizado
Deben existir reglas bien definidas y documentadas para regular la transferencia del
software del mbito de desarrollo a produccin
El requisito es separar las actividades de desarrollo y pruebas lo ms posible de las
de produccin, trabajando preferiblemente en ordenadores o dominios distintos y en
directorios diferentes
El entorno de desarrollo debe ser estable y simular al mximo al entorno de
produccin
Los desarrolladores no deben tener acceso al site de produccin
Gestin de suministradores
Gestin en la entrega del servicio

Garantizar que se aplican todos los controles de
seguridad, definiciones de servicio y niveles de
entrega identificados en el contrato con el tercero
Monitorizacin y revisin de los servicios

Monitorizar el rendimiento para garantizar que
realmente se alcanzan los niveles contratados
Revisar todos los registros de incidencias de
seguridad
Gestin de cambios en servicios externalizados Es

Esprctica
prcticacomn
comn
Al externalizar, la organizacin pierde poder para redactar
redactarununService
Service
hacer cambios directamente a dichos servicios Level Agreement(SLA)
LevelAgreement (SLA)
Es posible que los cambios gestionados por el donde
dondeambas
ambaspartes
partes
tercero no sean adecuados para la organizacin describen
describenloslosservicios
servicios
yylas
lascircunstancias
circunstancias
bajo
bajolos
losque
quesern
sern
entregados
entregados

Planificacin y aceptacin de sistemas
Planificacin de la capacidad
Monitorizar la demanda de capacidad y realizar proyecciones de requisitos de
capacidad futura para garantizar la disponibilidad de equipos e instalaciones de
almacenamiento de datos
Aceptacin de sistema
Los criterios de
aceptacin deben ser
claramente
identificados,
acordados y
documentados
Controles contra el software malintencionado
El trmino malware (malicious software) engloba todo tipo de programa o

cdigo informtico cuto objetivo es infiltrarse en los ordenadores sin el
consentimiento del propietario con propsitos malintencionados
Los virus informticos siguen ocupando un lugar protagnico como amenaza
para las organizaciones
La implantacin de software antivirus comprende tan slo una parte de un
sistema efectivo de seguridad de datos
Computer Security Institute Survey 2008

Virus, gusanos y troyanos
Virus
Se puede reproducir a s mismo
Depende de un fichero husped
Slo puede extenderse fuera del sistema
infectado a travs de la transferencia de ficheros
Gusano
Se puede reproducir a s mismo
Es autnomo (NO necesita el fichero husped)
Troyano
Un troyano es un cdigo hostil oculto dentro de lo
que pretende ser un cdigo de buena fe.
Est diseado para alcanzar un objetivo de forma
sigilosa y ejecutarse inadvertidamente.
Spyware y Adware
Usualmente se descargan escondidos entre un

conjunto de programas de software gratuito (freeware)
Acostumbra recoger informacin del ordenador donde
se encuentra y enviarla a algn cmplice.
Su propsito es habitualmente comercial y, aunque no
persigue daar el ordenador, incurre en violacin a la
privacidad
Siguen siendo los dos problemas ms importantes de
malware para las organizaciones

Controles anti-malware
Poltica (SGSI) que requiera conformidad con licencias y que prohba el uso de software
no autorizado
Poltica que proteja a la organizacin de los riesgos de importar malware en discos,
ficheros o software proveniente del exterior de la organizacin
Deshabilitar los puertos USB y lectores de CD/DVD de los PCs de la red
Cualquier dato que llegue en tales medios debe ser verificado en primer lugar por
personal de TI
Software antivirus instalado en toda la red con las actualizaciones pertinentes segn la
poltica de actualizacin del fabricante
Aplicar todos patches, arreglos y service packs para sistemas operativos y software en
general en cuanto se encuentren disponibles
Revisin peridica del software y datos para todos los sistemas que soportan los
procesos crticos de la organizacin
Verificacin de ficheros provenientes de fuentes o redes no autorizadas, inciertas, poco
fiables antes de ser utilizados
Revisin en el punto de entrada a la red de anexos a correo-e y vnculos de descarga
Educacin a los usuarios para reconocer y responder ante correos electrnicos
infectados
Procedimientos documentados para asignar responsabilidades en el tratamiento de
malware (incidencias, antivirus y recuperacin)
Elaboracin de Planes de Continuidad para la recuperacin de ataques de malware
Revisin peridica de fuentes de informacin actualizada acerca de malware
Controles para el cdigo mvil
Cdigo mvil: programa que puede ejecutarse en ubicaciones remotas con

cualquier modificacin del cdigo. Puede trasladarse y ejecutarse de una mquina
a otra de la red.
Incluyen: ActiveX, Java, JavaScript, VBScript, macros de MS Office y PostScript
macros documentos
JavaScript websites (pop-ups)
ActiveX permite a los ordenadores descargar plug-ins crticos ms su
carga adicional
Estos cdigos pueden utilizarse para recoger informacin de un sistema objetivo,
para introducir malware o troyano, o para modificar y destruir informacin
El control A.10.4.2 de ISO/IEC 27001 requiere que la ejecucin del cdigo
mvil sea restringida a un entorno tal que no viole las polticas de seguridad de
informacin

Back-up
Propsito: mantener la integridad y disponibilidad de la informacin y las

instalaciones de procesamiento de la informacin
Una vez identificados los activos para los que se requieren copias de respaldo, la
organizacin decidir el mtodo y frecuencia para su realizacin
Consideraciones:
Nivel mnimo de informacin respaldada
Misma seguridad fsica para los back-ups
Los medios de back-up deben ser probados para garantizar su funcionamiento
Los procedimientos de restauracin deben ser revisados peridicamente
Archivos crticos en papel tambin deben ser respaldados (fotocopias?)
Examinar soluciones RAID (Redundant Array of Independent Disks) para
aquellos servidores donde se ejecutan aplicaciones crticas
Definir y aplicar el perodo de retencin de informacin a los datos
respaldados
Gestin de la seguridad en redes
Las responsabilidades operativas de la red deben

separarse de las de cmputo
Procedimientos y responsabilidades claras para la
gestin de equipos remotos
Controles especiales para proteger los datos
transmitidos a travs de redes inalmbricas y/o
pblicas (tcnicas criptogrficas?)
Coordinacin de las actividades de gestin para
garantizar aplicacin de los controles del SGSI
La arquitectura de la red
debe reflejar las necesidades
y recursos de la organizacin
La seleccin de un gestor de
redes experimentado y
efectivo es indispensable

Seguridad de los servicios de red
Tanto el SGSI como los acuerdos de servicio de red deben contener una
descripcin clara de los atributos de seguridad de todos los servicios de red
utilizados en la organizacin
Atributos habitualmente considerados:
Tecnologa de seguridad (tales como codificacin, autenticacin y controles
de conexin a la red)
Parmetros tcnicos de la conexin segura con el proveedor de servicios
Procedimientos para la restriccin de acceso a los servicios
Controles relacionados con la data almacenada en el sistema
Es particularmente importante verificar la
capacidad de recuperacin de los sistemas
del proveedor as como comprender y
verificar sus procedimientos de contingencia
Gestin de medios
Gestin de medios removibles

Eliminar contenido de cualquier medio reutilizable que sea
retirado definitivamente de la organizacin
Obtener autorizacin para extraer cualquier medio de las
instalaciones
Almacenar con seguridad todos los medios siguiendo las
recomendaciones del fabricante
Salvaguardar informacin que probablemente sea necesaria
en algn momento posterior al tiempo de vida del medio
Eliminacin permanente de medios

Artculos: documentos en papel, grabaciones, papel carbn, cintas de impresora, discos
removibles, cintas magnticas, memorias USB, CD/DVD ROMs, etc.
Mtodos: triturado, incinerado, sobre-escritura (segn criticidad)
Procedimientos de manipulacin de la informacin

Medios en trnsito
Restricciones de acceso
Garantizar la integridad de los datos entrada, el procesamiento completo y aplicada la
validacin de los resultados en el procesamiento de datos
Mantener al mnimo (y revisar peridicamente) las listas de distribucin de informacin
Seguridad de la documentacin del sistema

Intercambio de informacin (I)
Objetivo: Evitar la prdida, modificacin o uso indebido de la informacin

intercambiada, bien sea dentro de la propia organizacin o entre organizaciones
Polticas y procedimientos para el intercambio seguro de informacin

Procedimientos para proteger la informacin intercambiada de intercepcin, copiado,
modificacin, mal encaminamiento y destruccin
Referencia a las polticas y controles de antivirus.
Documentos crticos no deben ser impresos o dejados en impresoras/faxes ampliamente
accesibles
Identificar los peligros de las comunicaciones inalmbricas
Polticas de uso aceptable deben sealar la responsabilidad de no comprometer a la
organizacin con mensajes obscenos, de acoso, de difamacin, de suplantacin, el
reenvo de cadenas de correo-e, compras no autorizadas, etc
No revelar informacin confidencial al utilizar telfonos en reas no seguras
Evitar el uso de equipos que puedan estar comprometidos
No dejar mensajes con informacin sensible sistemas de mensajera de voz
Verificacin de destinatarios para correos-e y faxes
Intercambio de informacin (II)
Acuerdos de intercambio de informacin y software

Identificar a los responsables de controlar, notificar el envo, entregar y recibir informacin
en cada parte del acuerdo
Procedimientos para garantizar la notificacin de la sensibilidad de la informacin
Estndares tcnicos mnimos para el empaquetado y transmisin
Procedimientos de identificacin de empresas de mensajera
Responsabilidades y obligaciones por la prdida de datos
Sistema de etiquetado estndar acordado
Responsabilidades por la propiedad de la informacin y el software
Estndares tcnicos para el registro y lectura de la informacin y software
Cualquier control especial (cifrado?) necesario para informacin muy sensible
Medios fsicos en trnsito

Establecer un listado de empresas de mensajera confiables
Empaquetar el hardware segn las especificaciones del fabricante
Controles fsicos adicionales (entrega personal, contenedores seguros, empaque con
precinto, cifrado avanzado, divisin de envos, etc.)
Sistemas de informacin empresarial

La comunicacin cara-a-cara es ms segura que a travs de medios electrnicos
Mtodos a considerar: documentos en papel, ordenadores de sobremesa y porttiles,
comunicacin por Internet (IRC), mensajera instantnea, presentaciones va Web, salas
de chat y foros de Internet, comunicaciones mviles, PDAs, correo, mensajera de voz,
multimedia, servicios e instalaciones postales, faxes, impresoras y fotocopiadoras

Servicios de comercio electrnico
Organizaciones
Modelos de Negocio
ms abiertos
Tecnologa
Mayor conectividad e
intercambio de Los cambios en la tecnologa
informacin generan amenazas cambiantes
Aumento constante del riesgo de ataques de hackers

Desarrollo de aplicaciones que evaden cortafuegos
Canales: Incremento del Phishing, Pharming y correos Spam

EDI (Electronic Data Interchange) Repudio/Rechazo en transacciones online
Correo-e
Comercio a travs de websites
Transacciones online
Tecnologas de seguridad - SSL
Secure Sockets Layer es un

protocolo independiente de la
aplicacin utilizada
Muy extendido en Internet
Implementacin sencilla
Diseado para garantizar la
confidencialidad de la
informacin, an habiendo sido
interceptada
No es infalible y, usualmente, se
utiliza en conjunto con otras
tecnologas
Los browsers de Internet deben mostrar una

advertencia cada vez que se enva informacin a
travs de una conexin no segura
El prefijo URL cambiar de http a https y
aparecer un icono (candado) en la ventana del
browser

Tecnologas de seguridad IPsec y S/MIME
Internet Protocol security (IPsec) es un conjunto de protocolos cuya funcin es

asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o
cifrando cada paquete IP en un flujo de datos
IPsec crea una conexin segura entre dos sistemas a travs de un tnel cifrado a
travs de redes pblicas
Es la tecnologa de seguridad mas utilizada en redes virtuales (VPNs)
Multipurpose Internet Mail Extensions (MIME) es una especificacin que proporciona

un mtodo estndar para anexar ficheros adicionales a los mensajes de correo-e
Secure MIME (S/MIME) aade caractersticas de seguridad tales como firmas
digitales y cifrado a la especificacin MIME bsica
S/MIME proporciona autenticacin, integridad de mensaje y
no-repudio de origen (con firmas digitales) as como privacidad
y seguridad de datos (con cifrado) para el correo-e
Tecnologas de seguridad PKIX
Public Key Infrastructure (PKI) es un conjunto de

hardware, software, polticas y procedimientos
necesarios para crear, gestionar, distribuir, utilizar
y revocar certificados digitales
Un grupo de la Internet Engineering Task Force
trabaja en la definicin de un estndar (basado
sobre el protocolo X.500 de la UIT) fomenta el uso
de los servicios de seguridad de claves pblicas
Ha especificado los mecanismos para el cifrado y
descrito las estructuras para claves pblicas y pri-
vadas, certificados y firmas digitales
Tambin ha abordado la gestin de certificados y la operacin de las autoridades de
certificacin (CA)
El protocolo Secure Electronic Transaction (SET) desarrollado en

conjunto por Visa y MasterCard es un mtodo para facilitar las
transacciones bancarias y de tarjetas de crdito de manera segura y
rentable sobre redes pblicas
SET, sin embargo, no ha sido adoptado ampliamente, por lo que
Visa y MasterCard han introducido una nueva tecnologa
denominada 3D Secure

Seguridad de servidores
Es indispensable que las organizaciones tomen medidas para proteger sus

servidores web de cualquier ataque
Existen muchas vulnerabilidades documentadas tanto en los browsers como
en los servicios (software) de Internet de varios fabricantes
Algunas ideas:
Nombrar un encargado especfico para la seguridad de los servidores web
Utilizar la ltima versin del Internet Information Service (IIS) e IE
Instalar los ltimos Service Packs y/o hotfixes
Evitar instalar el servicio IIS en el mismo servidor que contiene el controlador de
dominio
Verificar regularmente la configuracin del servidor
El Payment Card Industry Data Security Standard (PCI DSS) se muestra

particularmente preocupado por la vulnerabilidad de los servidores web.
Seala dos aspectos clave:
Identificar y resolver cualquier vulnerabilidad
Realizar pruebas de penetracin regulares sobre cada website por compaas
acreditadas
Transacciones online
Se requiere que la informacin online sea protegida tal que permanezca autntica,
ntegra, no sea mal encaminada, alterada, divulgada o duplicada y, en particular,
que no sea robada para ser utilizada en transacciones fraudulentas
PCI DSS considera la posible apropiacin indebida de la informacin del propietario
de la tarjeta y seala controles dirigidos a la evasin del registro y/o
almacenamiento de cualquier informacin sensible
ISO/IEC 27002 sugiere considerar:
Firmas electrnicas
Controles tcnicos para verificar las credenciales del usuario
Comunicaciones cifradas
Evitar el acceso desde Internet al almacenamiento de informacin personal
La seguridad debe estar integrada de extremo a extremo en una relacin de autoridad de
confianza.
Tomar en cuenta cualquier aspecto legal
Las organizaciones deben alertar a sus clientes acerca para que no divulguen sus
contraseas y contar con mecanismos de respuesta rpida para la deteccin de
fraudes

Informacin disponible pblicamente
Es
Es necesario
necesario contar
contar con
con un
un proceso
proceso formal
formal de
de
autorizacin
autorizacin para
para publicacin
publicacin de
de informacin
informacin yy proteger
proteger su
su
integridad
integridad para
para prevenir
prevenir modificaciones
modificaciones no
no deseadas
deseadas
Aspectos clave:
La fiabilidad y seguridad del sistema donde se dispondr la informacin
El control de la informacin divulgada en entrevistas y, directa o
indirectamente, en el espacio pblico
El control de la informacin publicada electrnicamente
Sistemas electrnicos de feedback

Cualquier informacin a publicar debe ser autorizada
La informacin obtenida debe recogerse segn la ley de proteccin de datos vigente
La informacin ingresada debe ser procesada rpidamente
Las aplicaciones web deben filtrar los datos proporcionados por los usuarios
La informacin sensible debe protegerse durante su recoleccin y almacenamiento
Uso del correo electrnico e Internet
El correo-e ha reemplazado casi completamente al telex y est a punto de

reemplazar los faxes y el correo tradicional
Diferencias del correo-e respecto al correo fsico:
Rapidez de entrega
Estructura del mensaje
Informalidad
Facilidad de error en el direccionamiento
Facilidad de duplicacin
Facilidad de intercepcin
Facilidad en el transporte de anexos
Riesgos de seguridad en el correo-e
Vulnerabilidad de acceso y modificacin no autorizados de los mensajes as como a los
ataques tipo negacin de servicio
Vulnerabilidad a los errores de mensajes tales como las direcciones de los destinatarios
Problemas relacionados con mensajera instantnea e intercambio de ficheros
Usuarios remotos con fallos de control y acceso desde Internet a cuentas de correo-e
Ms importante an es el riesgo para la empresa de que los correos electrnicos

enviados entre organizaciones por miembros del personal pueden dar lugar a la
exposicin no autorizada de informacin confidencial o sensible, lo que generara
mala publicidad y, posiblemente, una accin legal.

Mensajes Hoax y Spam
Los correos hoax (engaos)

tratan de convencer al lector de
su veracidad y le invita a llevar
a cabo cierta accin
Los usuarios deben reportarlos
inmediatamente
El correo spam (basura) se
origina fuera de la organizacin
y en tales cantidades que puede
restringir la disponibilidad de la
informacin as como consumir
gran cantidad del costoso ancho
de banda
Atencin: no todo el spam es realmente no deseado; en ocasiones se trata de
comunicaciones de marketing legtimas y tiles
Los controles de la organizacin deben ser una combinacin de:
Restricciones en el gateway de Internet
Entrenamiento del usuario
Presin sobre el Proveedor de Servicios de Internet (ISP)
Mal uso de Internet
La productividad del empleado puede reducirse significativamente (30-40%)

Al otorgar acceso a Internet se permite, a cambio, el acceso de todo tipo malware a
los sistemas de la organizacin
El trfico de la red se puede ver colapsado, lo que afecta a la disponibilidad
La navegacin recreativa puede conducir a los empleados a sitios inapropiados
(pornografa, violencia, discriminacin, etc.) y/o de descargas ilegales
Computer Security Institute Survey 2008

Poltica de uso aceptable de Internet
Contrarrestar los riesgos a travs de:

Restricciones por grupos de usuarios
Restricciones horarias
Bloqueo especfico
1. Tecnologa para controlar/filtrar la
navegacin por Internet Bloqueo por categoras
Compatibilidad con cortafuegos
Trabajar en comunicaciones entrantes
y salientes
Por escrito y comunicado a todos los

empleados
Indicar el uso correcto claramente
2. Poltica de Uso Correcto de Internet Especificar prohibiciones
(AUP)
Establecer la monitorizacin que se
aplicar (si aplica)
Indicar el comportamiento correcto
online (chat, IRC, blogs, etc.)
Establecer reglas de privacidad
Hackers y Crackers
Motivos:
Reto
Travesura
Trabajo (buscando bugs en un software)
Robo
Ethical Hackers?
Tcnicas:
Software abusivo
Back door
Back orifice (desarrollado por cDc)
Negacin de servicio (Service denials)
Explotacin (ataque a vulnerabilidad identificada)
Intermediario (Man in the Middle)
Enmascaramiento
Monitorizacin de red
Cracking de contraseas
Ataques polimorfos
Rootkit
Ingeniera social
Suplantacin de Identidad (Spoofing/Phishing)
Troyanos

Poltica de control de acceso
Los controles de acceso fsicos y lgicos deben complementarse

No implantar la poltica adecuadamente demasiada gente con acceso a demasiada
informacin y a un nivel de confidencialidad demasiado elevado
Entrenamiento acerca de la poltica de control y reglas de acceso debe ser incluido en
el entrenamiento bsico del usuario
Factores a considerar en la Poltica:
Diferentes aplicaciones corporativas tendrn distintos requisitos de seguridad
Alguna informacin requerida por una aplicacin corporativa podra ser procesada por
personas que no necesitan acceder a la aplicacin en s
Sistema de clasificacin de la informacin (derechos de acceso nivel confidencialidad)
Legislacin relevante
Perfiles de acceso estndar para categoras de trabajo comunes
Considerar todos los tipos de conexiones existentes en mbitos de redes distribuidas
Separacin de funciones (procesamiento, autorizacin y otorgamiento de accesos)
Revisin de controles de acceso
Remocin de derechos de acceso al cese de trabajo del empleado
Inscripcin/registro de usuarios
Elaborar un proceso formal para registrar y dar de baja a

los usuarios
Implementar un inicio de sesin nico en el sistema de

gestin de acceso garantizar que el usuario podr
acceder a todos los activos a los que tiene permiso con
un nico nombre de usuario y contrasea
El proceso debe contemplar

Garantizar que los proveedores no
otorguen acceso hasta que se complete el
Otorgar identificaciones de usuario (IDs) proceso formal
nicas y retirar IDs redundantes Guardar una copia del documento firmado
No reasignar IDs de usuarios redundantes por el empleado en su archivo personal
No permitir IDs para grupos Los derechos de acceso para el personal
saliente deben revocarse inmediatamente
Documentar los derechos de acceso del
usuario as como los activos y sistemas a Dicha declaracin debe referirse
los que puede acceder explcitamente a la gestin de contraseas,
privilegios especficos otorgados,
Garantizar que los usuarios reciban una estructuras de contrasea apropiadas y al
declaracin de sus derechos de acceso requisito de salva-pantallas protegido por
contrasea

Gestin de privilegios
Un privilegio es una facilidad dentro de un sistema multi-usuario que permite a un

usuario suprimir los controles del sistema o aplicaciones
Los privilegios ms crticos son los que permiten a los administradores de sistemas
realizar su trabajo
Asignacin de privilegios:
Identificar cada sistema (sistema operativo, aplicacin, Base de Datos, etc.)
Identificar los privilegios asociados con cada sistema
Identificar la plantilla que necesita dichos privilegios (categoras)
Los privilegios deben otorgarse sobre la base de necesidad de uso y de ser

posible evento por evento tal que los usuarios tengan slo el mnimo requisito
para su rol funcional (y slo durante el lapso necesario)
No asignar ningn privilegio especial hasta que se halla otorgado la autorizacin

formal
Gestin de contraseas de usuario
Usuarios deben aceptar por escrito que mantendrn la confidencialidad de sus

contraseas
Donde se requiera que los usuarios escojan y mantengan su propia contrasea,

deben recibir inicialmente una contrasea temporal segura y ser forzados a
cambiarla inmediatamente con el primer inicio de sesin
Las contraseas temporales deben ser nicas para cada individuo y difciles de
adivinar
La funcin de Helpdesk (Centro de Atencin al Usuario, CAU) que trata con

contraseas perdidas o errneas necesita una gestin efectiva, entrenamiento y
auditora para garantizar que cualquier ataque sobre el sistema por esta ruta pueda
ser controlado
Las contraseas nunca deben almacenarse en (o sobre) los sistemas informticos

y las contraseas de cada hardware o software proporcionadas por el fabricante
deben ser cambiadas al momento de su instalacin (debe existir un proceso de
auditora para garantizar dicho cambio)

Revisin de derechos de acceso de usuario
Los principios del procedimiento de revisin podran incluir:
Revisin de los derechos de acceso normales con una frecuencia predeterminada

(ISO/IEC 27002 recomienda hacerlo cada seis meses o cada vez que se
produzcan cambios en el sistema, estructura o rol de la persona)
Revisin de derechos de acceso privilegiados con una frecuencia predeterminada

pero mucho mayor (ISO/IEC 27002 recomienda hacerlo trimestralmente)
Verificacin regular de asignacin de privilegios (mensualmente?) para

garantizar que los usuarios no han obtenido privilegios no autorizados
(generalmente por complicidad)
Responsabilidades del usuario
Utilizacin de contraseas
Mantener la confidencialidad de las contraseas
Evitar mantener cualquier registro de las contraseas (electrnico o papel)
Cambiar la contrasea cuando exista la posibilidad de verse comprometida
Seleccionar contraseas con seis caracteres (mnimo)
Cambiar contraseas regularmente
Cambiar la contrasea en el primer inicio de sesin
No compartir contraseas bajo ninguna circunstancia
Equipo desatendido
Utilizacin de protectores de pantalla asegurado con contrasea y
auto-activado (3 a 5 minutos)
Educar a los usuarios en la activacin del protector de pantalla manualmente,
darse de baja en la aplicacin en la que trabajaban y asegurarse que el
procedimiento de log-off se haya completado antes de apagar o dejar
desatendido al equipo
Poltica de escritorio y pantalla despejados
Garantizar la disponibilidad de recursos fsicos en el mbito de trabajo para el
adecuado almacenamiento de la informacin segn su clasificacin
Poltica de la bolsa negra

Redes
Redes privadas
LAN
WAN
VPN
Acceso remoto
Interdependencias
Extranets y DMZs
Redes inalmbricas
Telefona mvil
VoIP
Bluetooth
Poltica sobre el uso de servicios de red
Cortafuegos y seguridad del permetro

Un cortafuegos proporciona una barrera para el trfico que intenta cruzar el
permetro y permite pasar slo trfico autorizado
Normalmente ofrecen algn nivel de NAT, proteccin contra Rechazos de
Servicio (DoS), IPSec para VPN e IDS
La poltica ms segura para el permetro (cerrar todos los puertos) no es
necesariamente la ms sensata
Routers y switches
Deben configurarse segn recomendaciones del fabricante
Poseer listas de control de acceso (ACLs) y contraseas actualizadas
Algunos productos incluyen cierta tecnologa de cortafuegos bsica
Sistemas de deteccin de intrusos en la red (NIDS)
Hardware y/o software que automatiza el proceso de monitorizacin de
eventos en sistemas para la deteccin de intrusos
El NIDS (o sniffer) monitoriza los paquetes de red y persigue hackers
Un System Integrity Verifier (SIV) monitoriza archivos del sistema localizando
cambios que generen posibles back doors
Log File Monitors (LFM) monitorizan los registros (logs) generados por los
servicios de red

Autenticacin de usuarios conexiones externas
La presencia de cualquier acceso a la red va dial-up o por medios inalmbricos

ofrece a los agresores un posible camino de entrada
Enfoques y tecnologas:
Remote Access DialIn Service (RADIUS)
Terminal Access Controller Access-Control System advanced (TACACS+)
Protocolo Kerberos
Challenge Authentication Protocol (CHAP)
Password Authentication Protocol (PAP)
Identificacin de red y proteccin de puertos
Identificacin de equipos conectados a la red

Identificacin automtica de equipos para autenticar conexiones desde sitios
especficos y equipos porttiles
El PC puede asegurarse fsicamente y poseer un identificador lgico o fsico
utilizado para verificar si tiene permiso para iniciar o recibir transacciones
Proteccin de los puertos de configuracin y diagnstico remoto

Los ordenadores y sistemas de comunicaciones suelen contar con medios de
acceso remoto para acceder a la configuracin o reparar fallos en el sistema
Desprotegidos, estos puertos proporcionan medios fciles para acceder sin
autorizacin a aplicaciones y sistemas
Seguridad fsica: inhabilitacin del puerto y seguro con llave
Cada vez ms, el personal tcnico accede a los servidores remotamente a
travs de la WWW en vez de hacerlo por dialup

Segregacin de redes
Creacin de zonas
desmilitarizadas
(DMZs) y/o extranets
dificulta el acceso de
agresores a la red
Los servidores en la
DMZ no deben ejecutar
servicios innecesarios
(FTP, DNS, SMTP)
Considerar redes
inalmbricas en la
segregacin
Redes amplias y
complejas pueden
dividirse en dominios
lgicos, cada uno con
su permetro de
seguridad
Diferentes partes de un ERP pueden alojarse en dominios diferentes, esto puede
hacerse con seguridad si la arquitectura mantiene las partes separadas lgicamente
Control de conexin y routing de red
Restringir la capacidad de conexin de usuarios en redes compartidas segn la

poltica de control acceso
Deben utilizarse routers para controlar flujos de transacciones especficas
(correose, transferencia de ficheros, acceso a aplicaciones, acceso interactivo)
Revisin de direcciones de origen y destino (routing) para garantizar que las
conexiones y flujo de informacin no violen la poltica de control de acceso
El control de routing (gateway)
se basar sobre protocolos de
verificacin disponibles en los
routers
Network Address Translation (NAT)
asla redes y previene la extensin
de rutas o propagacin de una red
a otra

Control de acceso a sistemas operativos
Objetivo: Prevenir acceso no autorizado a los sistemas de informacin
Los dispositivos de seguridad de cualquier sistema operativo deben ser capaces de:
1. Restringir el acceso a los recursos del equipo identificando y verificando la

identidad de cada usuario autorizado
2. Registrar intentos de acceso (correctos y fallidos)
3. Proporcionar adecuada autenticacin
4. Restringir el tiempo de conexin del usuario
5. Generar alarmas cada vez que se violen las polticas de seguridad del sistema
Procedimiento de inicio de sesin seguro
Registro en terminal
Diseado para minimizar la oportunidad de acceso no autorizado al sistema
Controles de contrasea inadecuados representan uno de los mtodos ms fciles para
los agresores para lograr acceso
No mostrar indicadores del sistema o aplicacin hasta haber completado el inicio de
sesin en l
En la pantalla de inicio de sesin, incluir una advertencia general de que el ordenador
debe ser accedido slo por usuarios autorizados
No proporcionar mensajes de ayuda durante el inicio de sesin
Validar los datos de inicio slo al finalizar la entrada de todos ellos
Se limitar el nmero de intentos fallidos permitidos
Limitar el tiempo mximo para el inicio de sesin
Luego del inicio de sesin correcto, mostrar fecha y hora del ltimo acceso correcto y
detalles de intentos fallidos ocurridos desde entonces
Ocultar los caracteres de la contrasea con smbolos y cifrarlos antes de ser enviados a
travs de la red
Identificacin y autenticacin del usuario

Cada usuario con un ID nico
Los IDs no deben indicar el nivel de privilegios asignados al usuario

Contraseas y utilidades del sistema
Sistema de gestin de contraseas

Objetivo: garantizar contraseas de calidad
Mantener un registro de contraseas pasadas e impedir su reutilizacin
No revelar las contraseas en pantalla al ser ingresadas
Utilizar cifrado para el almacenamiento de las mismas
Impedir la operacin de IDs sin contraseas
Utilizacin de las utilidades del sistema

Estas herramientas pueden inhabilitar los controles de sistema y aplicaciones
Incluir procedimientos de identificacin, autenticacin y autorizacin para
acceder a ellas
Separar las utilidades del sistema del resto de aplicaciones
Limitar su utilizacin a un grupo pequeo de usuarios de confianza
Autorizacin bajo circunstancias especficas
Registro y monitorizacin del uso de las utilidades
Remocin del sistema o inhabilitacin de utilidades innecesarias
Sesiones inactivas y tiempo de conexin
Cerrar sesiones inactivas despus de transcurrido cierto tiempo, especialmente en

terminales ubicados en lugares riesgosos o vinculadas a sistemas de alto riesgo
Los protectores de pantalla proporcionan cierta proteccin, pero no cierran

aplicaciones o sesiones de red
Configurar las estaciones de trabajo para que, transcurrido un perodo de

inactividad definido en la evaluacin de riesgo, se cierren las aplicaciones, las
sesiones de red y se despeje la pantalla
Para aplicaciones de alto riesgo, restringir el tiempo de conexin

Control de acceso a aplicaciones e informacin
Restriccin de acceso a la informacin

Proporcionar mens en interfaces de usuario que controlen el acceso a
aplicaciones y sus funciones
No entrenar en el uso de aplicaciones y funciones que no sean necesarias
Limitar los derechos de acceso a personas para que, an evadiendo los
mens de sistema, no puedan acceder a las aplicaciones que no necesitan
Controlar los derechos de acceso para que puedan realizar slo aquellas
funciones que necesiten
Garantizar que los resultados de aplicaciones se enven slo a aquellos
terminales autorizados
Aislamiento de sistemas sensibles

Proporcionar entornos informticos dedicados/aislados a aquellos sistemas
crticos (fsica, lgicamente o simplemente supervisados)
Probablemente esto incluir todos los servidores clave de la red, cortafuegos y
servicios antivirus
Los propietarios de los sistemas crticos son responsables de preparar y
acordar una declaracin de la sensibilidad del sistema
Si el sistema crtico se ejecuta en mbitos compartidos, el propietario
identificar y aceptar formalmente los riesgos involucrados
Ordenadores porttiles y tele-trabajo
Disear y asumir una poltica para ordenadores porttiles y comunicaciones

mviles
Garantizar que los usuarios reciban el entrenamiento adecuado antes de

entregrsele el equipo
Consolidar en la poltica procedimientos acerca de:

Proteccin fsica
Control de acceso
Cifrado
Back-ups
Proteccin contra malware
Disear polticas, planes operativos y procedimientos para autorizar y controlar las

actividades del trabajo a distancia (tele-trabajo)
Consolidar con la poltica para porttiles y comunicaciones mviles: la nica

diferencia importante radica en la conexin y ubicacin fija para el tele-trabajo

Anlisis y especificacin de requisitos de seguridad
La clusula A.12.1.1 seala que la organizacin, en el documento de requisitos

empresariales para un nuevo sistema o la mejora de uno ya existente, controles
sobre los requisitos de control
Los controles implantados deben reflejar el valor para la empresa de la

informacin a ser protegida
Recomendacin: adoptar una poltica en la que se exija la utilizacin de productos

de terceros que hayan sido evaluados y certificados independientemente y que
alcancen los estndares mnimos de seguridad (prueba de productos COTS)
Inhabilitar cualquier producto que no proporcione la seguridad mnima o incluirlo

en el esquema existente si existe una alternativa rentable para incrementar la
seguridad
Tratamiento Correcto de las aplicaciones
Validacin de los datos de entrada

Verificacin de valores fuera de rango (out-of-range), caracteres invlidos, datos
faltantes o incompletos, violacin del lmite superior e/o inferior de volumen de datos, uso
no autorizado o inconsistente de datos de control
Revisin peridica de campos clave y ficheros de datos
Inspeccin de documentos impresos de entrada
Procedimiento simple de respuesta ante la validacin de errores
Responsabilidades y registro de actividades del personal involucrado en el proceso de
entrada
Control de procesamiento interno
Controles de trabajo por lotes y balance de carga
Validacin de datos generados por el sistema
Revisiones de integridad y autenticidad de datos cargados o descargados
Totales de control de registros y archivos
Revisiones de que las aplicaciones se ejecutan a tiempo, durante el lapso planificado, en
el orden correcto y desde el terminal adecuado
Registro de las actividades contempladas
Integridad de los mensajes
Validacin de los datos de salida
Revisiones de verosimilitud
Conteos de reconciliacin

Cifrado (Encryption)
Cifrado simtrico
Utiliza la misma clave para cifrar y descifrar los datos
Data Encryption Standard (DES) 3 DES (3x DES)
Cifrado asimtrico (o clave pblica)

Una clave para cifrar y otra (matemticamente relacionada) para descifrar
Problemas:
a) Validez del par de claves
b) Que la clave pblica realmente provenga de una organizacin
Utilizacin de certificado digital (server ID o Subject Key Identifier SKI)
Public Key Infrastructure (PKI)

X.509 es la norma actual: define formatos estndar para certificados y un
algoritmo para su validacin
Cifrar slo la informacin ms sensible transmitida por redes pblicas
Firmas digitales
Servicios anti-repudio
Gestin de claves
Seguridad de los archivos de sistema
Control del software de produccin

Probar ampliamente los nuevos paquetes de software clave antes de
desplegarlos (Gestin de cambios)
Contar con planes de fall-back
Especial atencin en despliegues tipo big bang
Mantener el software de externos al nivel de soporte proporcionado por ellos
Monitorizacin de las actividades de los proveedores
Decidir la responsabilidad de la actualizacin de los sistemas
Proteccin de los datos de prueba del sistema

Evitar utilizar datos de produccin con informacin personal o confidencial
En caso de utilizarlos, deben ser des-personalizados
Control de acceso al cdigo fuente de los programas

Mantener control estricto sobre el acceso al cdigo fuente y elementos
asociados (Definitive Media Library - DML)

Seguridad en procesos de desarrollo y soporte
Procedimiento de control
de cambios
Revisin tcnica posterior a

los cambios en el sistema
operativo
Restricciones a los cambios

en los paquetes de
software
Fugas de informacin
Externalizacin del
desarrollo de software
Control de las vulnerabilidades tcnicas
Priorizar sistemas de altoriesgo

Priorizar vulnerabilidades de altoriesgo
Definir roles y responsabilidades
Identificar, para cada software y elementos tecnolgicos,
la fuente de informacin importante acerca de la identifi-
cacin de vulnerabilidades y entrega de actualizaciones
(patches)
Garantizar los pasos, en un cronograma, para identificar
los riesgos procedentes y noprocedentes relacionados con la actualizacin
Permitir, bajo circunstancias de emergencia, la instalacin de la actualizacin
siguiendo el proceso de respuesta de incidencias
Probar y evaluar actualizaciones para garantizar que no producirn efectos no
deseados sobre otros sistemas
Mantener un registro de actividad relacionado con la gestin de vulnerabilidades
Supervisar regularmente el proceso de gestin de vulnerabilidades

Monitorizacin
Registro de auditora
Registro de excepciones y otros eventos relacionados con seguridad para ayudar en
investigaciones futuras
Archivos extensos y detallados pueden proporcionar ms informacin de la necesaria y
resultar difciles de analizar
Informacin mnima: IDs de usuarios; fechas y horas de inicio y fin de sesin; identificacin
del terminal; detalles de intentos correctos y rechazados de acceso a los sistemas, datos o
aplicaciones; cambios a la configuracin del sistema; uso de privilegios, utilidades de sistema
y aplicaciones; detalles de ficheros y redes accedidas y cualquier alarma activada; detalles
de activacin o desactivacin de sistemas de proteccin (antivirus)
Supervisin del uso del sistema
Garantizar que los usuarios realizan slo aquellas actividades para las que estn autorizados
Enfoque: Mejor prevenir que curar
Proteccin de la informacin de los registros disputas y juicios
Registros de administrador(es) y operador(es)
Almacenados en papel en la sala de servidores
Detalles: inicio y finalizacin de sistemas / eventos y personal involucrado; informacin del
evento (ficheros manipulados, procesos involucrados); errores de sistema y accin(es)
correctivas; hora de backup; detalles del intercambio de medios de backup; etc.
Registro de fallos software de helpdesk?
Sincronizacin del reloj
Eleccin de un formato nico (a nivel de SGSI)
Eventos de seguridad de informacin
Notificacin de eventos de
Responsabilidad de los empleados
Cultura de no culpabilidad
SPoC para todos los eventos
Categoras:
1. Violacin de seguridad
2. Amenaza
3. Debilidad
4. Fallo o mal funcionamiento
Notificacin de fallos de software

Entrenamiento a los usuarios para
sospechar fallos de SW
Usuarios deben anotar sntomas y
cualquier mensaje en pantalla
Desconectar el PC de la red y no
trabajar ms con l
El asesor de seguridad debe
supervisar la recuperacin
Notificacin de vulnerabilidades de Conceptos de Gestin de Incidencias ITIL v3

seguridad

Gestin de incidencias de seguridad y mejoras
Responsabilidades y procedimientos
Eventos candidatos a Incidencia:
Identificar incidencias entre eventos Infecciones de malware
Restringir inmediatamente cualquier Correo spam excesivo
impacto adicional Fallos de sistemas de informacin
Negaciones o prdidas de servicio
Identificacin de la incidencia y su Errores de informacin empresarial
gravedad (causas y vulnerabilidades) Violaciones de confidencialidad o
Tctica para atender la incidencia integridad
Mal uso de sistemas de informacin
Accin correctiva
Comunicacin a los afectados
Informe interno
Aprendizaje de las incidencias
Recopilacin de evidencia
Ciclo de Vida de la Incidencia
Proceso de gestin de la continuidad empresarial

Continuidad empresarial y evaluacin de riesgo
Identificar todos los eventos que pueden interrumpir la continuidad empresarial

Entre los de mayor envergadura: bomba, actividad terrorista, sabotaje,
alzamiento popular, incendio e inundaciones
Llevar a cabo una evaluacin de riesgo para cada uno de los elementos
identificados as como para cada uno de los sistemas y procesos crticos de la
organizacin, involucrando a los propietarios de los procesos [SGSI]
Impactos deben considerar lapsos de posible inactividad y el coste tanto para la
reparacin de los daos como de la prdida de actividad comercial
La evaluacin debe identificar, cuantificar y priorizar los riesgos en funcin de los

criterios y objetivos de la organizacin
El tipo de anlisis ayuda en la priorizacin inicial
Desarrollo e implantacin de planes de continuidad
Desarrollar planes individuales para cada proceso identificado, considerando la

priorizacin realizada
Contemplar todo el personal y los recursos necesarios para ejecutar cada plan
Los planes deben ser esbozados por los propietarios de procesos o activos y,
luego, revisados por el asesor/experto en seguridad de informacin
La planificacin debe incluir (ISO/IEC 27002):

Descripcin de las circunstancias en las que se ejecutar el plan
Descripcin de los niveles mximos aceptables de prdida de informacin o servicios
Identificar y acordar internamente todas las responsabilidades y procedimientos de
emergencia para las interrupciones identificadas
Los procedimientos de emergencia son implantados lo suficientemente rpido para lograr
la recuperacin y restauracin del servicio en el lapso especificado
Documentar los procedimientos y procesos acordados incluyendo a los involucrados en
la implantacin de los procedimientos en su creacin
La plantilla debe ser entrenada en los procedimientos de emergencia as como en la
gestin general de la situacin de crisis
Los planes deben ser probados y actualizados (ver ms adelante)
El propietario del proceso o sistema es responsable por la actualizacin y mantenimiento
del plan de recuperacin (y por el almacenamiento seguro de las copias)

Esquema de planificacin de continuidad
La organizacin debe mantener un esquema nico para los BCPs para asegurar
que todos son consistentes
La base de este esquema puede ser una simple matriz en la que se identifican los
enlaces entre activos, procesos, propietarios y riesgos de continuidad
Caractersticas y contenido tpicos del esquema:

Procedimiento de escalado
rbol de notificacin (incluyendo externos)
Mismo formato para todos los planes
Rango amplio de procedimientos de emergencia
Contemplar procedimientos alternativos
Detallar procedimientos operativos temporales
Actividades para la reanudacin de operacin normal
Proceso de pruebas de los planes
Garantizar que el personal recibir el entrenamiento adecuado
Documentacin detallada de roles y responsabilidades
Elementos crticos y su ubicacin
Pruebas y mantenimiento de los planes de continuidad
Pruebas en fro de diferentes escenarios
Las simulaciones representan uno de los enfoques ms importantes
Las pruebas de recuperacin tcnicas estn diseadas para garantizar que los
sistemas pueden recuperarse eficientemente
Es conveniente probar la recuperacin en una ubicacin alternativa
Las instalaciones de los proveedores y servicios bsicos deben ser probados para
verificar si cumplen con el compromiso del SLA
Realizar ensayos completos al menos una vez al ao

Conformidad Legal
Identificacin de la legislacin aplicable

Europa
Convenio sobre la Ciberdelincuencia (21 Nov 2001)
Espaa
Cdigo Penal espaol de 1995 (Ley Orgnica 10/1995, del 23 de Noviembre)
Hacking directo: El intruso slo accede al sistema y sale, demostrando el
fallo de seguridad del mismo, sin nimo delictivo en esta conducta. No
castigado por el Cdigo Penal espaol.
Hacking indirecto: Acceso no consentido a un sistema informtico para
cometer un delito. El acceso queda subsumido en el delito finalmente
cometido (descubrir secretos de empresa, interceptar comunicaciones,
producir daos, etc.)
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal (LOPD).
Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacin y
Comercio Electrnico (LSSICE)
Real Decreto Legislativo 1/1996, de 12 de abril (BOE 22-4-1996), por el que se
aprueba el texto refundido de la Ley de Propiedad intelectual
Real Decreto Legislativo 14/1999, de 17 de septiembre, sobre Firma Electrnica
Derechos de Propiedad Intelectual
Directrices a considerar:
Publicar y fomentar la conciencia acerca de la Poltica relacionada con los derechos

de propiedad intelectual: definicin del uso legal de programas informticos y
productos de informacin
Los derechos de propiedad intelectual incluyen copyright de software informtico,
documentos, derechos de diseo, marcas registradas (trademark), patentes y
licencias de cdigo fuente
Adquirir software nicamente de proveedores reconocidos para garantizar la
conformidad con los derechos de autor
Si se utiliza open source, observar la licencia asociada
Mantener un registro de los activos e identificarlos respecto a la proteccin de
derechos de propiedad intelectual
Los programas informticos estn sujetos a derechos de propiedad proporcionados
en base a un acuerdo de licencia que establece las condiciones de la misma.

Proteccin de los documentos de la organizacin
Los documentos relevantes para la organizacin deben ser protegidos
Se deben categorizar los registros segn el tipo (registros de BdeD, transacciones,

auditoras, obligaciones contractuales y requisitos empresariales)
Determinar la forma y lapso de almacenamiento para cada tipo de registro

(tomar en cuenta la destruccin de la informacin al superar el lapso definido)
Considerar la prdida de calidad

del medio de almacenamiento
(para registros de largoplazo,
considerar papel o microfichas)
Considerar el establecimiento
de procedimientos para evitar
la prdida de informacin en
medios electrnicos
Ms Conformidad Legal
Proteccin de los datos y privacidad de la informacin personal

Desarrollar e implantar poltica de proteccin de datos y privacidad, aplicando
controles para proteger la informacin personal segn la legislacin local
En Espaa LOPD
Es comn que la organizacin designe un Data Controller
Prevencin del uso indebido de los recursos de procesamiento de

informacin
La gerencia debe autorizar especficamente el uso de instalaciones de
procesamiento y aplicar los controles para prevenir el mal uso de las mismas
Regulacin de controles de cifrado

Implantar los controles necesarios para cumplir con los acuerdos, leyes,
regulaciones u otros requisitos relacionados con el acceso y utilizacin de
controles de cifrado
Solicitar asesora de un especialista cuando un sistema o equipo de cifrado se
traslade de un pas a otro

Conformidad con la poltica de seguridad
Conformidad con la poltica y normas de seguridad

Aunque la seguridad de Informacin es responsabilidad de diferentes niveles
dentro de la organizacin, la Junta Directiva siempre asumir la
responsabilidad final
La gerencia media se encargar de ejecutar y observar las polticas de
seguridad
Los gestores necesitan evaluar regularmente si el procesamiento de
informacin de su rea de responsabilidad cumple con la poltica, normas y
otros requisitos de seguridad Auditora Interna (Clusula 6.2 ISO 27001)
Revisin de conformidad tcnica

La organizacin debe realizar revisiones regulares independientes de sus
sistemas de informacin para garantizar la conformidad y la correcta
implantacin y mantenimiento de los controles de hardware y software
necesarios (cortafuegos, routers, servidores, configuraciones de usuario,
polticas de acceso, etc.) Pruebas de Intrusin o de Penetracin
Deben ser ejecutados por personal externo a la organizacin y con el
conocimiento y destrezas tcnicas adecuadas
Consideraciones de auditora
Controles de auditora de los sistemas de informacin
Se debe garantizar que las auditoras no producirn interrupciones

Si hay terceras partes involucradas, existe el riesgo que las auditoras colabores y
que la informacin a la que ellas tienen acceso sea mal utilizada
Medidas:
Limitar el acceso del auditor (fsico y lgico)
Clusula de Privacidad (NDA)
Proteccin de las herramientas de auditora de los sistemas de informacin

La organizacin restringir el acceso a las herramientas de auditora para evitar
cualquier posible mala utilizacin o compromiso
Se aplica a herramientas para verificar sistemas y a los ficheros auditados

Muchas Gracias por su Atencin

Presentacion Iso 27000 Jun12

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Presentacion Iso 27000 Jun12

Uploaded by

Copyright:

Available Formats

ISO/IEC 27000.

Gestin e Implementacin de la Seguridad de la Informacin

Gestin de la Seguridad de Informacin

Principales preocupaciones empresariales

SYMANTEC, 2010. State of enterprise security 2010.

New Horizons Barcelona 1

Empresas que experimentan ataques frecuentes

SYMANTEC, 2010. State of enterprise security 2010.

Incidencias de seguridad en el Reino Unido

BERR, 2008. 2008 Information security breaches

New Horizons Barcelona 2

Cada da, 27000 personas

14% de los usuarios habituales de

Algo est muy mal

New Horizons Barcelona 3

As, algunos riesgos se resisten

De las empresas encuestadas:

13% han detectado intrusos

6% han sufrido una

BERR, 2008. 2008 Information security breaches

New Horizons Barcelona 4

Normas ISO/IEC 27000

ISO/IEC 27000 Vocabulario y definiciones

Sistema de Gestin de la Seguridad de Informacin

Segn ISO/IEC 27001, el SGSI es

Aquella parte del sistema general de gestin, basada

El SGSI incluye la estructura organizacional, polticas,

New Horizons Barcelona 5

Modelo PDCA y los procesos SGSI

1. Definir el alcance del Sistema de Gestin de Seguridad de Informacin (SGSI)

Integracin con el sistema de calidad

Caractersticas comunes entre normas de gestin

New Horizons Barcelona 6

En el apartado 4.3.1 de ISO/IEC 27001 se describe la documentacin mnima a

Poltica de seguridad de informacin, Alcance del SGSI, Evaluacin de Riesgo,

Evidencia de acciones tomadas (minutas y actas de las reuniones)

Descripcin del Esquema de Gestin (Junta Directiva, etc.)

Plan de Gestin de Riesgo y los procedimientos que lo soportan

Procedimientos para la gestin y revisin del SGSI

Gestin del Cambio

New Horizons Barcelona 7

5 Responsabilidad de la Gerencia Componentes clave:

Mtricas y Mejora Continua

Razones para utilizar mtricas de seguridad

New Horizons Barcelona 8

Organizacin para la Seguridad de Informacin

ISO/IEC 27001: Tabla A.1 Objetivos de control y controles (extracto)

A.6 Organizacin de la seguridad de la informacin

No se especifica una estructura organizacional

Direccin, Legal, Acordar roles y responsabilidades

CISO, ISO, Desarrollar la poltica de SI Registrar y procesar las

New Horizons Barcelona 9

Grupo de proyecto para ISO 27001

inicio), mensual (fase de

Evaluacin y aprobacin de adquisiciones

Instalaciones para el Procesamiento

Aprobacin por parte de para Garantizar

Gestor de Unidad de Negocio Flexibilidad

New Horizons Barcelona 10

Mantener contactos apropiados

Grupos/Organizaciones de Inters Especial:

Evaluaciones y auditoras independientes

La gerencia debe iniciar una revisin peridica independiente del

La revisin por parte de terceros es muy valiosa.