Certificacion Iso 27001 isec-segurity

8,123 views

Published on

Conferencia sobre Certificacion ISO 27001 Practicas de manejo de seguridad de la Informacion, dirijida por Ingeniero Alejandro hernandez Isec-segurity
que junto con securinf realizan las mejores ponencias en el tema de seguridad informatica
http://www.securinf.com

Published in: Technology
1 Comment
2 Likes
Statistics
Notes
No Downloads
Views
Total views
8,123
On SlideShare
0
From Embeds
0
Number of Embeds
567
Actions
Shares
0
Downloads
654
Comments
1
Likes
2
Embeds 0
No embeds

No notes for slide
  • Certificacion Iso 27001 isec-segurity

    1. 1. Seguridad de la Información   NORMA ISO 17799 / ISO 27001
    2. 2. <ul><li>Identificación de los requerimientos específicos de la norma en sus 11 dominios.   </li></ul><ul><li>Comprender el proceso de adecuar la compañía para lograr la Certificación ISO 27001 . </li></ul>Objetivos Implementación de medidas de seguridad de acuerdo con los requerimientos de la Norma ISO 17799 / ISO 27001:
    3. 3. QUE ES SEGURIDAD DE LA INFORMACIÓN?
    4. 4. Por que? Reconocer los riesgos y su impacto en los negocios
    5. 5. INTERNET Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundo Apenas 150 “spammers” norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico. Algunos datos 11:22 | EL GUSANO Un nuevo virus se esconde en tarjetas navideñas Un virus informático , que se esconde en una tarjeta electrónica de felicitación, comenzó a circular por la red, informó Panda Software . La compañía advirtió a los usuarios que extremen las medidas de seguridad durante estas fiestas. ESTAFAS EN INTERNET El “phishing” ya pesca en todo America Detectaron casos que afectaron a numerosas empresas y a los clientes de bancos estadounidenses y del resto de America.
    6. 6. Algunos hechos 12:50 | A TRAVES DE MAIL Utilizan las siglas del FBI para propagar un virus La famosa policía federal estadounidense advirtió sobre la difusión de falsos correos electrónicos que llevan su nombre. La pregunta secreta del caso &quot;Paris Hilton&quot;  ------------------------------ Hace apenas unos días saltó la noticia de que los contenidos del teléfono móvil de Paris Hilton habían sido publicados en Internet. En un principio se barajó la posibilidad de que hubieran accedido a la tarjeta SIM, o de que se tratara de una intrusión a los servidores de T-Mobile aprovechando inyecciones SQL. Al final parece ser que el método empleado fue mucho más sencillo, bastaba con contestar a la pregunta &quot;¿cuál es el nombre de su mascota favorita?&quot;.
    7. 7. Legales | Infracciones Graves El delito informático En forma amplia, es &quot;toda acción reputada como delito para cuya consumación se utilizan o afectan medios informáticos&quot;. Vulneran tanto los equipos como los programas, e incluyen virus, sustracción de información o piratería. En un terreno más restringido, son sólo aquellas acciones que vulneran los equipos fijos de computación. Libertad, control y responsabilidad en Internet Diario judicial.com publica hoy un polémico fallo por el que se condena a los responsables de un sitio de internet por un mensaje injurioso anónimo ingresado en un libro de visitas , de libre acceso por los navegantes. La resolución preocupa a los sitios web y puede sentar un duro precedente para aquellos que contengan foros y libros de visitas abiertos al público. Algunos hechos
    8. 8. Algunos datos La seguridad de redes, una prioridad para las empresas Cisco publicó los resultados de un estudio de seguridad realizado a directivos latinoamericanos de IT. De acuerdo con los resultados, el 79 % de los Directivos de IT de Latinoamérica opina que la seguridad es un tema &quot;de extrema prioridad&quot;.
    9. 9. NEGOCIOS Una nueva fiebre “enferma” a las empresas de todo el mundo: la seguridad de la información Algunos datos
    10. 10. <ul><li>No existe la “verdad absoluta” en Seguridad de la Información. </li></ul><ul><li>No es posible eliminar todos los riesgos. </li></ul><ul><li>La alta Gerencia está convencida que la Seguridad de la Información no hace al negocio de la compañía. </li></ul><ul><li>Cada vez los riesgos y el impacto en los negocios son mayores. </li></ul>Algunas premisas
    11. 11. En mi compañía ya tenemos seguridad porque ... ... implementamos un firewall. ... contratamos una persona para el área. ... en la última auditoría de sistemas no hicieron observaciones importantes. ... ya escribí las políticas. ... hice un penetration testing y ya arreglamos todo. Algunas realidades
    12. 12. En general todos coinciden en: El 80% de los incidentes/fraudes/ataques son efectuados por personal interno Fuentes: The Computer Security Institute Cooperative Association for Internet Data Analysis (CAIDA) CERT SANS Algunos datos
    13. 13. <ul><li>Según una encuesta del Departamento de Defensa de USA: </li></ul><ul><li>Sobre aprox 9000 computadores atacados, </li></ul><ul><li>7,900 fueron dañados. </li></ul><ul><li>400 detectaron el ataque. </li></ul><ul><li>Sólo 19 informaron el ataque. </li></ul>Algunos datos
    14. 14. El capital más valioso en las organizaciones <ul><li>en formato electrónico / magnético / óptico </li></ul><ul><li>en formato impreso </li></ul><ul><li>en el conocimiento de las personas </li></ul>Qué Información proteger
    15. 15. Principales riesgos y su impacto en los negocios
    16. 16. Captura de PC desde el exterior Violación de e-mails Violación de contraseñas Interrupción de los servicios Intercepción y modificación de e-mails Virus Fraudes informáticos Incumplimiento de leyes y regulaciones Robo o extravío de notebooks empleados deshonestos Robo de información Destrucción de soportes documentales Acceso clandestino a redes Intercepción de comunicaciones Destrucción de equipamiento Programas “bomba” Acceso indebido a documentos impresos Software ilegal Agujeros de seguridad de redes conectadas Falsificación de información para terceros Indisponibilidad de información clave Spamming Violación de la privacidad de los empleados Ingeniería social Propiedad de la Información Mails “anónimos” con información crítica o con agresiones
    17. 17. Password cracking Man in the middle Exploits Denegación de servicio Escalamiento de privilegios Replay attack Keylogging Port scanning Instalaciones default Puertos vulnerables abiertos Servicios de log inexistentes o que no son chequeados Desactualización Backups inexistentes Últimos parches no instalados
    18. 18. <ul><li>Se puede estar preparado para que ocurran lo menos posible: </li></ul><ul><li>sin grandes inversiones en software </li></ul><ul><li>sin mucha estructura de personal </li></ul><ul><li>Tan solo: </li></ul><ul><li>Ordenando la Gestión de Seguridad </li></ul>Principales riesgos y el impacto en los negocios
    19. 19. NORMAS APLICABLES
    20. 20. Si igual voy a hacer algo, porque no lo hago teniendo en cuenta las Normas Internacionales aplicables
    21. 21. <ul><li>Information Systems and Audit Control Association - ISACA: COBIT </li></ul><ul><li>British Standards Institute: BS </li></ul><ul><li>International Standards Organization: Normas ISO </li></ul><ul><li>Departamento de Defensa de USA: Orange Book / Common Criteria </li></ul><ul><li>ITSEC – Information Technology Security Evaluation Criteria: White Book </li></ul><ul><li>Sans Institute, Security Focus, etc </li></ul><ul><li>Sarbanes Oxley Act, Basilea II, HIPAA Act, </li></ul><ul><li>Leyes NACIONALES </li></ul><ul><li>OSSTMM, ISM3, ISO17799:2005, ISO27001 </li></ul><ul><li>BS 25999 </li></ul><ul><li>DRII </li></ul>Normas y Metodologías aplicables
    22. 22. Norma ISO 27001 Gestión de Seguridad
    23. 23. <ul><li>    </li></ul><ul><li>ISO9001 – Calidad </li></ul><ul><li>ISO14001 – Ambiental </li></ul><ul><li>ISO17799-1 – Seguridad de la Información - 1 . NORMALIZACION (Mejores Prácticas) </li></ul><ul><li>ISO 27001 – CERTIFICACION de Seguridad de la Información </li></ul>Normas de Gestión ISO
    24. 24. <ul><li>Está organizada en capítulos (dominios) en los que se tratan los distintos criterios a ser tenidos en cuenta en cada tema para llevar adelante una correcta: </li></ul><ul><li>GESTION DE SEGURIDAD DE LA INFORMACION </li></ul><ul><li>(SGSI – ISMS) </li></ul><ul><li>Alcance </li></ul><ul><ul><li>Recomendaciones para la gestión de la seguridad de la información </li></ul></ul><ul><ul><li>Base común para el desarrollo de estándares de seguridad </li></ul></ul>Norma ISO 17799 / 27001 Seguridad de la Información
    25. 25. Qué cambió de la versión anterior Norma ISO 17799: 2005 – ISO 27001
    26. 26. NUEVA SECCION antes 10 ahora 11 Dominios
    27. 27. Cumplimiento 15. Cumplimiento 12. Administración de la Continuidad del Negocio 14. Administración de la Continuidad del Negocio 11. Administración de Incidentes de Seguridad de la Información 13.     Adquisición , Desarrollo y Mantenimiento de Sistemas de Información 12. Desarrollo y Mantenimiento de Sistemas 10. Administración de Accesos 11. Administración de Accesos 9. Administración de las Comunicaciones y Operaciones 10. Administración de las Comunicaciones y Operaciones 8. Physical & Environmental Security 9. Seguridad Física y Ambiental 7. Seguridad de los Recursos Humanos 8. Seguridad del Personal 6. Administración de Activos 7. Clasificación y Control de Activos 5. Organización de la Seguridad de la Información 6. Organización de la Seguridad de la Información 4. Política de Seguridad 5. Política de Seguridad 3. Evaluación y Manejo de los Riesgos 4.     Estructura del Estándar 3.     Términos y definiciones 2. Términos y definiciones 2. Alcance 1. Alcance 1. ISO17799:2005 ISO17799:2000
    28. 28. 3: Estructura del Estandar • Detalle para asistir al uso y aplicación más ameno y fácil del estándar. 4: Risk Assessment & Treatment • Highlights sobre la importancia de efectuar un risk assessment para definir los CONTROLES APLICABLES. • La necesidad de una continua evaluación y administración de los RIESGOS • Highlights sobre la importancia de la participación de la GERENCIA en el análisis de RIESGOS Hay dos SECCIONES GENERALES nuevas
    29. 29. BS7799-2 Fue revisado y se ha convertido en la nueva ISO 27001 Octubre 15, 2005 De la misma forma se espera que la ISO 17799 se convierta en ISO 27002
    30. 30. <ul><li>NACE LA FAMILIA DE LAS NORMAS ISO 27000 </li></ul>Reservados para futuros desarrollos (productos manejados por BSI y potencialmente ISO TC) 27007…...27011 Se decidirá durante 2Q06 si este será el número BS ISO/IEC 27006 – Versión Internacional de EA7/03 2008/2009. Actualmente BS 7799-3, Publicada Marzo 2006 BS ISO/IEC 27005 – Gestión de Riesgos en Seguridad de la Información 2007/2008 BS ISO/IEC 27004 – Métricas y Medidas 2008/2009 BS ISO/IEC 27003 – Guía de Implementación Anteriormente ISO/IEC 17799:2005 Cambio a 27002 en el  2007 (solo se fue un cambio de número) BS ISO/IEC 27002 – Código de práctica para la Gestión de la Seguridad de la información Publicado en Octubre  2005 BS ISO/IEC 27001 – Sistema de Gestión de Seguridad de la Información – Requisitos 2008/2009 BS ISO/IEC 27000 – Fundamentos y Vocabulario
    31. 31. <ul><li>NACE LA FAMILIA DE LAS NORMAS ISO 27000 </li></ul>En junio de este año salio la ISO27005 que es la versión ACTUALIZADA Y AMPLIADA de la ISO13335 (gestión de riesgos en TI), que se basaba en la BS7799-3. Con esta versión se puede cubrir el requerimiento de la ISO 27001 de tener una metodología de riesgo simple, es bien practica y en realidad, técnicamente es igual a como se clasificaba y administraba el riesgo anteriormente (impacto, probabilidad de ocurrencia, etc), y ya estaba en las metodologías como CRAMM, COBRA, MAGERIT, BS7799-3, etc.  
    32. 32. <ul><li>P reservar la: </li></ul><ul><li>confidencialidad: </li></ul><ul><ul><li>accesible sólo a aquellas personas autorizadas a tener acceso. </li></ul></ul><ul><li>integridad: </li></ul><ul><ul><li>exactitud y totalidad de la información y los métodos de procesamiento. </li></ul></ul><ul><li>disponibilidad: </li></ul><ul><ul><li>acceso a la información y a los recursos relacionados con ella toda vez que se requiera. </li></ul></ul>Norma ISO 17799 Seguridad de la Información
    33. 33. Cómo es un Proceso de Certificación ISO 27001 de una Organización?
    34. 34. QUÉ ES CERTIFICAR? El proceso de Certificación es la Generación de un INFORME Firmado por parte de un TERCERO (ajeno a la organización) que define que, de acuerdo con su CRITERIO PROFESIONAL, dicha Organización CUMPLE o NO CUMPLE con los Requerimientos establecidos en la Normativa.
    35. 35. PORQUE CERTIFICAR? Para poder Mostrar al Mercado que la Organización tiene un adecuado SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACIÓN. Una empresa CERTIFICADA no implica que NO TIENE MAS RIESGOS DE SEGURIDAD DE LA INFORMACION, sino que tienen un adecuado Sistema de Gestión de dichos Riesgos y Proceso de MEJORA CONTINUA.
    36. 36. Empresas certificadas en el mundo
    37. 37. QUE ORGANIZACIONES PUEDEN CERTIFICAR? Cualquier Organización, grande o pequeña, pública o privada, de Gobierno o sin fines de lucro, etc, está en condiciones y habilitada para CERTIFICARSE.
    38. 38. QUIENES ESTAN AUTORIZADOS A EFECTUAR LA CERTIFICACION? Cualquier Agente ajeno a la Organización (Profesional Independiente o Compañía) puede Firmar el Informe antes mencionado. Pero dado que la Certificación además de un valor Interno de Asegurarse de Cumplir con la Normativa, tiene un fin principal de poder Mostrar dicha Certificación al Mercado Externo, generalmente se recurre a Organizaciones que estén Técnicamente Aceptadas y además reconocidas INTERNACIONALMENTE para efectuar dicho trabajo. Por ello se recurre a Organizaciones que estén ACREDITADAS (este es el término técnico utilizado) en el Organismo Internacional de Acreditación. Ejemplo de este tipo de Organizaciones son el Bureau Veritas BVQI, Det Norske Veritas DNV, TÜV, etc.
    39. 39. COMO ES EL PROCESO DE CERTIFICACION? El requerimiento previo es que la Organización cumpla con la Implementación del SGSI definido en la Sección anterior. Luego se convoca al Tercero para efectuar la CERTIFICACION.
    40. 40. <ul><li>Los principales PASOS son: </li></ul><ul><li>Preparar la Documentación Soporte a Presentar </li></ul><ul><li>Efectuar la PREAUDITORIA para conocer el GAP Analysis respecto al Estándar </li></ul><ul><li>Identificar conjuntamente: </li></ul><ul><ul><ul><ul><ul><li>las NO CONFORMIDADES (incumplimientos de acuerdo al Estándar) </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>las NO CONFORMIDADES que son ACEPTADAS (sólo se documentan los argumentos de justificación) </li></ul></ul></ul></ul></ul><ul><ul><ul><ul><ul><li>las NO CONFORMIDADES que NO son ACEPTADAS (se definen las MEJORAS a implementar) </li></ul></ul></ul></ul></ul>
    41. 41. <ul><li>Implementar las MEJORAS y Generar los Soportes Documentales correspondientes </li></ul><ul><li>Efectuar la AUDITORIA DE CERTIFICACION y Generación del Informe Final de Certificación incluyendo las NO CONFORMIDADES (aceptadas o NO y sus Riesgos Residuales aceptados por la Dirección de la Organización) </li></ul>
    42. 42. PUEDE UNA ORGANIZACION PERDER LA CERTIFICACION? Si una Organización no cumple con los requerimientos, puede ocurrir que en la Auditoría Periódica la Empresa Certificadora solicite que se saque la Certificación Obtenida inicialmente.
    43. 43. Cómo se implementa un Programa de Gestión de Seguridad de la Información (SGSI - ISMS)?
    44. 44. SGSI SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION Está basado en el Modelo utilizado por las NORMAS ISO en general: Planificar Hacer Actuar Verificar
    45. 45. Principales PASOS a seguir en la IMPLEMENTACION del SGSI Implementación del SGSI en 12 PASOS: 1) Definir el alcance del SGSI desde el punto de vista de las características de la actividad, la organización, su ubicación, sus activos y su tecnología 2) Definir una Política GENERAL del SGSI
    46. 46. <ul><li>Qué es una Política? </li></ul><ul><li>Son instrucciones gerenciales que trazan una dirección y describen la manera de administrar o dar solución a un problema o situación. </li></ul><ul><li>Son planteamientos de alto nivel que transmiten a los trabajadores la orientación que necesitan para tomar decisiones presentes y futuras. </li></ul><ul><li>Son requisitos generalizados que deben ser documentados y comunicados dentro, y en algunos casos fuera, de la organización. </li></ul><ul><li>Son reglas de negocio de obligatorio cumplimiento debido a que son el equivalente de una ley propia de la organización lo cual garantiza que los controles serán aplicados de manera consistente. </li></ul><ul><li>Son diferentes a los controles. </li></ul><ul><li>No SON LAS REGLAS DE CONFIGURACION DEL FIREWALL </li></ul>
    47. 47. <ul><li>3) Definir una METODOLOGIA para la CLASIFICACION de los RIESGOS </li></ul><ul><li>4) Identificar y Valorar los riesgos </li></ul><ul><li>5) Identificar y definir ALTERNATIVAS para el tratamiento de riesgos: </li></ul><ul><ul><li>Aplicar controles </li></ul></ul><ul><ul><li>Aceptar los riesgos </li></ul></ul><ul><ul><li>Evitar riesgos </li></ul></ul><ul><ul><li>Transferir los riesgos. </li></ul></ul>
    48. 48. High Low High Frequencia Impacto 1 2 3 4 5 6 11 7 8 9 12 13 10 15 14 19 20 21 22 16 23 24 25 26 10 18 17 Mapa de Riesgos
    49. 49. <ul><li>6) Seleccionar objetivos de control y controles específicos a IMPLEMENTAR </li></ul><ul><ul><li>EVIDENCIAS </li></ul></ul>
    50. 50. <ul><li>7)Preparar una DDA Declaración de Aplicabilidad (qué CONTROLES se van a IMPLEMENTAR) </li></ul><ul><li>8)Obtener la aprobación de la Dirección de: </li></ul><ul><ul><li>DDA Declaración de Aplicabilidad </li></ul></ul><ul><ul><li>Riesgos Residuales no cubiertos </li></ul></ul><ul><li>9) Formular un plan CONCRETO y DETALLADO para: </li></ul><ul><ul><li>Tratamiento de los riesgos </li></ul></ul><ul><ul><li>Controles a Implementar </li></ul></ul><ul><ul><li>Programas de entrenamiento y concientización. </li></ul></ul><ul><ul><li>Gestionar el SGSI </li></ul></ul><ul><ul><li>Procesos de detección y respuesta a los incidentes de seguridad </li></ul></ul>
    51. 51. <ul><li>10) Implementar los CONTROLES </li></ul><ul><ul><li>En los Procesos </li></ul></ul><ul><li>11)Realizar Revisiones Periódicas </li></ul><ul><li>12)Implementar las mejoras identificadas en el SGSI </li></ul>
    52. 52. Requisitos FUNDAMENTALES de la Documentación SOPORTE en un SGSI MANTENIMIENTO ACTUALIZADO Y PROTEGIDO de la Documentación
    53. 53. Cómo establecer los requerimientos de Seguridad <ul><li>Evaluar los riesgos: </li></ul><ul><li>  </li></ul><ul><li>se identifican las amenazas a los activos, </li></ul><ul><li>se evalúan vulnerabilidades y probabilidades de ocurrencia, y </li></ul><ul><li>se estima el impacto potencial. </li></ul><ul><li>  </li></ul><ul><li>Requisitos legales, normativos, reglamentarios y contractuales que deben cumplir: </li></ul><ul><li>  </li></ul><ul><li>la organización, </li></ul><ul><li>sus socios comerciales, </li></ul><ul><li>los contratistas y los prestadores de servicios. </li></ul><ul><li>  </li></ul><ul><li>Conjunto específico de principios, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar sus operaciones. </li></ul>
    54. 54. Contexto Legal Código Civil de 1887 Código de Comercio de 1971 Ley 23 de 1982 Articulo 15, 20 y 333 de la Constitución Política Decisión 351 de 1993 Decreto 1900 de 1990 Ley 527 de 1999
    55. 55. Áreas de Contingencias Jurídica <ul><li>Protección de Datos Personales </li></ul><ul><li>Contratación Informática </li></ul><ul><li>Propiedad Intelectual </li></ul><ul><li>Servicios de Comercio Electrónico </li></ul><ul><li>Aspectos Laborales en entornos Informáticos </li></ul><ul><li>Incidentes Informáticos </li></ul><ul><li>Telecomunicaciones </li></ul>
    56. 56. <ul><li>política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa; </li></ul><ul><li>una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional; </li></ul><ul><li>apoyo y compromiso manifiestos por parte de la gerencia; </li></ul><ul><li>un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos; </li></ul><ul><li>comunicación eficaz a todos los gerentes y empleados; </li></ul>Factores críticos del éxito
    57. 57. <ul><li>distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas; </li></ul><ul><li>instrucción y entrenamiento adecuados; </li></ul><ul><li>un sistema integral y equilibrado de medición que se utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo. </li></ul>Factores críticos del éxito
    58. 58. ?
    59. 59. Alejandro Hernández, CBCP (571) 758 6955 [email_address]

    ×