Your SlideShare is downloading. ×
Iso 27001 2013
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Iso 27001 2013

1,477
views

Published on

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,477
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
95
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. ISO 27001:2013 Ing.Yango AlexanderColmenares| Instituto Politécnico Nacional -Maestría en Ingeniería en Seguridad yTecnologías de la Información - México 2014
  • 2. Objetivos de la Sesión •Entender las diferencias claves de la versión ISO 27001:2005 a la versión 2013 •Indicar los nuevos requerimientos de la versión 2013 •Mostrar los nuevos Controles y Dominios Agregados en la ISO 27001:2013 2
  • 3. Lo recuerdas? Es una federación mundial de organismos nacionales de normalización alrededor de 160 países, trabajan a nivel de ComitésTécnicos. (Source: iso.org) 3
  • 4. Necesidad del Proyecto ISO 27001:2013  Causas: Los estándares ISO se revisan cada 4 o 5 años. Los controles de la ISO 27002 muchos son obsoletos. La necesidad de integrar los sistemas de gestión (Anexo SL, PAS 99).  El proyecto nace con la aprobación de un articulo en el NewWork Item (NWI) el 19 de mayo 2009.  Los primeros 3 borradores de trabajo conservan la estructura de 1ra edición.  La estructura común y el texto básico actual aplican al draft 4 en oposición de varios organismos nacionales.  El 15 de Febrero del 2012, el Consejo de GestiónTécnica de ISO (TMB) decidió que la norma ISO 27001 tiene que seguir la nueva estructura, unificado, pero que las desviaciones justificadas se admiten.  La alianza para dejar caer la Declaración de aplicabilidad falló.  Los intentos para terminar el proyecto hasta el final fracasaron. 4
  • 5. Revisión por: • NCC (Centro Nacional de Computación) • Consorcio usuarios 1993 Estándar nacional británico 1995 Estándar Internacional (Fast Track) 1999 2000 Revisión periódica (5 años) 2005 Nuevo estándar nacional certificable Estándar Internacional 1998 2002 Revisión conjunta de las partes 1 y 2 Revisión y acercamiento a: • ISO 9001 • ISO 14001 • OCDE 1999 2005 Centro de Seguridad de Informática Comercial del Reino Unido (CCSC/DTI) 1989 Revisión conjunta de las partes 1 y 2 ■Certificable Código de prácticas para usuarios ■ PD0003 Código de prácticas para la gestión de la seguridad de la información ■ BS 7799 ■ BS 7799-1 :1999 ■ ISO/IEC 17799 :2000 ■ ISO/IEC 17799 :2005 ■ BS 7799-2 :2002 ■ BS 7799-2 ■ BS 7799-2 :1999 ■ ISO/IEC 27001 :2005 ■ Historia de ISO 27001e ISO 17799 ■No certificable 2013 ISO/IEC 27001 :2013 ■ 2013
  • 6. Cambios de Estructura en las Normas  1. Introducción  2.Objeto  3. Referencias Normativas  4. Contexto de laOrganización  5. Liderazgo  6. Planificación  7. Soporte  8. Operación  9. Evaluación del desempeño  10. Mejora  1.Introducción  2. Objeto  3. Referencias Normativas  4. Sistema de Gestión de la Seguridad de la Información  4.1 General 4.2 SGSI 4.2.1 Establecer 4.2.2 Implementar y Operar 4.2.3 Monitorear y Revisar 4.2.4 Mantener y Mejorar 4.3 Documentar  5. Responsabilidad de la Dirección  6. Auditoría Interna  7. Revisión de la Dirección  8. Mejora VERSIÓN ISO 27001: 2005 VERSIÓN ISO 27001: 2013 6
  • 7. Entregas 9. Evaluación del desempeño VERSIÓN 2005 VERSIÓN 2013  ANEXOA Objetivos de control y Controles  ANEXO B OECD Principios y estándares Internacionales  ANEXOC Correspondencia entre ISO:9001:2000, ISO 14001:2004 y la este estándar internacional.  ANEXOA Objetivos de control y Controles 7
  • 8. Nuevos conceptos ISO 27002:2013 Clausula 8.1 Activos relacionados con las instalaciones de procesamiento de información deben ser identificados y un inventario de los activos deberá estar documentado y actualizado. Activo Activo Primario Información Procesos Activo de Soporte Infraestructura, Hardware y Software 8
  • 9. Nuevos Conceptos 6.Planeacíon 8.Operación 6.1 Actions to address risks and opportunities  ISO 27001:2013Clausulas 6.1.2 y 8.2 Evaluación de los riesgos de la seguridad de la información. (Source: Isaca) 8.2The organization shall retain documented information of the results of the information security risk assessments. ISO 31000:2009 CRISC-Isaca 9
  • 10. Nuevos Conceptos: 5.Liderazgo La alta dirección debe asegurarse de que las responsabilidades y las funciones pertinentes a la seguridad de información se asignen y se comuniquen.  Tareas/actividades  Procedimientos  Herramientas/tecnología  Procesos de control de cambios del proyecto Roles de la Organización responsabilidades y autoridades 5.3 Note:Top management may also assign responsibilities and authorities for reporting performance of the information security management system within the organization. 10
  • 11. ISO 27002:2005Vs ISO 27002:2013  5. Política de Seguridad de la Información  6. Organización de la Seguridad de la Información  7. Seguridad de los Recursos Humanos  8. Gestión de activos  9. Control de acceso  10. Criptografía Política y Gestión de Clave  11. Seguridad física y del entorno  12. Seguridad en la operaciones  13. Seguridad de las comunicaciones  14. Adquisición, desarrollo y mantenimiento de los sistemas  15. Relación con los proveedores  16. Gestión de incidentes de S.I.  17. Los aspectos de la S.I. en la G.C.N.  18. Cumplimiento 5. Política de Seguridad de la Información 6. Organización de la Seguridad de la Información 7. Gestión de activos 8. Seguridad de los Recursos Humanos 11. Control de acceso 10. Gestión de comunicaciones y operaciones 12. Adquisición, desarrollo y mantenimiento en sistemas de información 13. Gestión de incidentes de S.I. 14. Gestión de continuidad de negocio 15. Cumplimiento 9. Seguridad física y del entorno ISO 27002:2005 ISO 27002:2013 11
  • 12. En resumen: ISO 27002:2005 ISO 27002:2013 11 Dominiosde seguridad de la información. 14 Dominios de seguridad de la información. 39 Objetivos de Control 35 Objetivos de Control 133 Controles 111 Controles 21 Controles Borrados 14 Nuevos Controles No poseía el concepto de seguridad de la Información Revisión y fusión de Controles SGSI (ISMS) Establecer, Implementar, Operar, Revisar, Mantener, Hacer Seguimiento y Mejorar la seguridad de la información. Fortalece el concepto de la seguridad de la información (SI) en la preservación de las 3 Propiedades de la información. 12
  • 13. Controles Eliminados: ISO 27002:2005 ISO 27002:2005 A.6.1.1 Compromiso de la Gerencia con la seguridad de la información A 11.4.2 Autenticación del usuario para conexiones externas A.6.1.2Cordinación de la seguridad de la información A 11.4.3 Identificación del equipo en red A 6.1.4 Proceso de autorización para los medios de procesamiento A 11.4.4 Protección del puerto de diagnostico remoto A 6.2.1 Identificación de Riesgos relacionados con entidades externas A 11.4.6 Control conexión de redes A 6.2.2Tratamiento de la seguridad cuando se trabaja con clientes A 11.4.7 Control de 'routing' de redes A 10.2.1 Entrega de servicio A 10.8.5 Sistemas de información comercial A 10.7.4 Seguridad de documentación del sistema A 11.6.2 Aislamiento del sistema sensible A 10.10.2 Uso del sistema de monitoreo A 12.2.4 Validación de data de output A 10.10.5 Registro de fallas (faulth logging) A 15.3.2 Protección de las herramientas de auditoria de los sistemas de información 13
  • 14. Nuevos Controles : ISO 27002:2013 ISO 27002:2013 A.6.1.5 Seguridad de la información en la administración de proyectos A 16.1.5 Respuesta a incidentes de seguridad de la información A.12.6.2 Restricciones en la instalación de software A 17.2.1 Disponibilidad de instalaciones del procesamiento de la información A 14.2.1 Políticas de desarrollo seguro A 14.2.5 Principios de ingeniería para sistemas seguros A 14.2.6 Entorno para desarrollo seguro A 14.2.8 Pruebas de seguridad en los sistemas (testing) A 15.1.1 Política de seguridad de la información para las relaciones con proveedores A 15.1.3Tecnologías de la información en la cadena de suministros A 16.1.4 Evaluación y decisión sobre los eventos de la seguridad de la información. 14
  • 15. Países con mayores Certificados en IS0 27001:2005 (Source: iso.org) 15
  • 16. Países con Certificados en IS0 27001:2005 0 € 1.000 € 2.000 € 3.000 € 4.000 € 5.000 € 6.000 € 7.000 € 8.000 € Japón India China España Alemania Usa México Colombia Certificados obtenidos al 2012 (Source: iso.org) 16
  • 17. Países Latinos con Certificados en IS0 27001:2005 México Colombia Brasil Argentina Chile Peru Ecuador Certificados Obtenidos 75 58 53 33 23 7 3 0 € 10 € 20 € 30 € 40 € 50 € 60 € 70 € 80 € NúmerodeCertificados Certificados Obtenidos (Source: iso.org) 17
  • 18. Conclusiones  Los conceptos que debemos reforzar: Partes interesadas, Liderazgo, Sensibilización, Comunicación,Capacidades, Propietario del riesgo,Activos, Gestión de Riesgos y Oportunidades.  La ISO 27002:2013 tiene menos controles en cantidad y en método hay menos controles tecnológicos, adicionalmente se cuentan con políticas de control mas claras.  ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROLY 114 CONTROLES  Los Requisitos de evaluación de riesgos deben alinearse con la norma ISO 31000 18
  • 19. Referencias y Bibliografía.  Information technology — Security techniques — Information security management systems — Requirements ISO/IEC 27001:2013  SurveyWorld distribution of ISO/IEC 27001 certificates in 2012  ISACA.Org  ISO 27001:2005  Procesos de control ISO tools.org  Msi. Ing. Darío Medina Ramírez, Cátedra- Análisis de Riesgos 19
  • 20. Gracias por su atención… Desarrollado por: Ing.YangoAlexander Colmenares Auditor Interno Certificado ISO 27001 20