NORMAS ISO/IEC 27000 2015 Docente: Ing. Manuel Castillo Fernández 1 INDICE • MODULO I: Introducción a ISO 27000 • MODU
Views 95 Downloads 0 File size 2MB
NORMAS ISO/IEC 27000 2015 Docente: Ing. Manuel Castillo Fernández 1
INDICE • MODULO I: Introducción a ISO 27000 • MODULO II: Análisis de Riesgos • MODULO III: Sistema de Gestión de Seguridad de la Información. • MODULO IV: Auditoría del Sistema
2
MODULO I: Introducción a ISO 27000
3
MODULO I: Introducción a ISO 27000 • Marco legal y jurídico de la Seguridad de la Información. • Normas nacionales e internacionales de ISO 27000. • Conceptos básicos sobre la seguridad de la información Referencias: ISO – www.iso.org BSI GROUP – www.bsigroup.com
4
MODULO I: Introducción a ISO 27000
Marco legal y jurídico de la Seguridad de la Información: •
Ley de Protección de Datos Personales del Perú (Ley N°29733)
•
Autoridad Nacional de Protección de Datos Personales (APDP)
•
Resolución Ministerial Nº 246-2007-PCM, aprueba la Norma Técnica Peruana “NTP ISO/IEC 17799:2007 EDI, Técnicas de seguridad, Código de Buenas Prácticas para la gestión de seguridad de la información. 2a Edición”.
•
Resolución
Ministerial
129-2012-PCM,
aprueba
el
uso
obligatorio de la norma técnica peruana “NTP-ISO/IEC 5
27001:2008 EDI Tecnologías de la Información. Técnicas de
MODULO I: Introducción a ISO 27000 Ley de Protección de Datos •
DERECHOS DE LA PERSONA: "Todos los peruanos tenemos derecho a que los servicios informáticos computarizados o no, públicos o privados no suministren informaciones que afecten la intimidad personal y familiar". Constitución Política del Perú Artículo 2, Numeral 6.
•
BANCOS DE DATOS PERSONALES: Cualquier conjunto de datos de personas naturales, por ejemplo: las planillas, los files del personal, los directorios de proveedores, de clientes, informes médicos, etc.
•
OBLIGACIONES: Las empresas públicas y privadas están obligadas a cumplir la Ley # 29733 a fin de garantizar el 6
derecho fundamental de los peruanos a la protección de
MODULO I: Introducción a ISO 27000 Ley de Protección de Datos •
AUTORIDAD
NACIONAL
DE
PROTECCION
DE
DATOS
PERSONALES: El Ministerio de Justicia a través de la Dirección Nacional de Justicia constituye la Autoridad Nacional de Protección de Datos Personales. Esta institución promueve el cumplimiento
de
la ley,
recibe
las denuncias de
los
ciudadanos, audita a las instituciones y llega a sancionar en caso de incumplimiento hasta por un máximo de 100 UITs (Ver artículo 39 de la Ley). •
TRATAMIENTO
DE
DATOS
PERSONALES:
Las
empresas
públicas y privadas deben implementar mecanismos para: - Obtener el consentimiento - Transferir datos personales
7
MODULO I: Introducción a ISO 27000 Reglamento de la Ley 29733 Tiene el objetivo de garantizar el derecho fundamental a la protección de los datos personales y dispone que el Ministerio de Justicia y Derechos Humanos asuman
la
Autoridad
Nacional
de
Protección
de
Datos
personales. •
Artículo 10 - Principio de Seguridad: Establece que las Compañías deben adoptar las medidas de seguridad que resulten necesarias a fin de evitar la pérdida o alteración por acción humana o medio técnico.
•
Capítulo V – Medidas de Seguridad: En el cual se plantean los artículos para el tratamiento de información digital, gestión 8
MODULO I: Introducción a ISO 27000 Normas nacionales e internacionales de ISO 27000. • ISO/IEC 27000 es un conjunto de estándares desarrollados y en fase de desarrollo - por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
9
MODULO I: Introducción a ISO 27000 • Publicada el 1 de Mayo de 2009 y revisada con una segunda edición de 01 de Diciembre de 2012. Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información.
10
MODULO I: Introducción a ISO 27000 • La Familia ISO 27000 se especializa en el Sistema de Gestión de Seguridad de la Información (SGSI). • ISO 27001 mediante un SGSI, requiere garantizar la continuidad de los procesos que se protegerán conforme al valor que aportan en la empresa, por lo que es importante identificar el método de continuidad que se requiere conforme a dichos procesos. 11
MODULO I: Introducción a ISO 27000 • Estándares relacionados: – ISO/IEC 27000 — Information security management systems — Overview and vocabulary – ISO/IEC 27001 — Information security management systems — Requirements – ISO/IEC 27002 — Code of practice for information security management – ISO/IEC 27003 — Information security management system implementation guidance – ISO/IEC 27004 — Information security management — Measurement – ISO/IEC 27005 — Information security risk management 12
MODULO I: Introducción a ISO 27000 • Estándares relacionados: – ISO/IEC 27006 — Requirements for bodies providing audit and certification of information security management systems – ISO/IEC 27011 — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 – ISO/IEC 27031 — Guidelines for information and communications technology readiness for business continuity – ISO/IEC 27033-1 — Network security overview and concepts – ISO/IEC 27035 — Security incident management – ISO 27799 — Information security management 13 in
MODULO I: Introducción a ISO 27000
ORIGEN Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution) es responsable de la publicación de importantes normas como: - BS 5750. Publicada en 1979. Origen de ISO 9001 - BS 7750. Publicada en 1992. Origen de ISO 14001 - BS 8800. Publicada en 1996. Origen de OHSAS 18001 14
• La norma BS 7799 de BSI apareció por primera vez en 1995. • La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no se establecía un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998. • Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000. • En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión. • En 2005, con más de 1700 empresas certificadas en BS 7799-2, esta norma se publicó por ISO, con algunos cambios, como estándar ISO 27001. Al tiempo se revisó y actualizó ISO 17799. • Esta última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión. 15
MODULO I: Introducción a ISO 27000 CONTENIDO
En esta sección se hace un breve resumen del contenido de las principales normas de la serie 27000 ya publicadas.
16
• ISO/IEC 27001: Publicada el 15 de Octubre de 2005 . Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones.
17
Genera l 27000 Visión
Técnicas de Seguridad 27001 Requisitos
general y Vocabulario
27005 Gestión de Riesgos
27006 Requisitos para Auditores
Inter-sectores e Interorganizaciones
27009 Requisitos
27002 Código de Práctica
27003 Guía de Implementación
27007 Líneas guías de Auditoría
27010 ISM para comunicaciones
27013 Implementación 27001 + 20000-1
27015 Líneas guía de Servicio
27008 Líneas guías de Controles
27011 Código de Práctica
27014 Gobierno
Finanzas
27016 Economía de la Organización
27004 Medición
Técnicas de Seguridad Cloud 27017 Código de Práctica
27018 Protección PII
Energía 27019 Control de Procesos
Competencias, continuidad y ciberseguridad 27031 27021 27023 ISO/IEC Continuidad del Requisitos 27001 vs negocio competencias 27002
27032 Líneas guías Ciberseguridad
Técnicas de Seguridad Seguridad de 27033-1 Visión Red general y conceptos 27033-4 Asegurar con gateways
Seguridad de Aplicaciones 27034-1 Visión general y Conceptos 27034-5 Protocolos y estructura de datos
27033-2 Líneas guía de diseño e implementación 27033-5 Asegurar con VPN
27033-3 Amenazas, técnicas y control 27033-6 Asegurar Wireless IP
27034-2 Framework normativo
27034-3 Gestión seguridad Apps.
27034-4 Validación seguridad Apps.
27034-6 Guía de seguridad Apps.
27034-7 Garantía seguridad Apps.
27034-5-1 Esquemas XML
Técnicas de Seguridad
Gestión de incidentes de Seguridad de la Información 27035 Gestión de incidentes
27035-1 Incidentes
27035-2 Líneas guía de respuestas
27035-3 Líneas guía Operaciones CSIRT
Gestión de relaciones con 27036-1 Visión suministradores 27036-2 general y Requisitos conceptos 27036-3 27036-4 Líneas Líneas guía guía servicios cadena Cloud suministro
Técnicas de Seguridad Evidencias e Intrusión 27037 27038 Evidencia Redacción digital digital 27041 Método Investigación
27042 Análisis e Interpretación
Descubrimiento electrónico 27050-1 Visión general y conceptos
27050-2 Gobierno y Gestión
27039 Sistemas de detección IDPS 27043 Principios y procesos
27040 Seguridad de Almacenamient o 27044 Gestión de Info y eventos SIEM
27050-3 Código de Práctica
27050-4 Preparación TIC
• ISO/IEC 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. • ISO/IEC 27003: Publicada el 01 de Febrero de 2010. No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI 23
• ISO/IEC 27004: Publicada el 15 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001. • ISO/IEC 27005: Publicada en segunda edición el 1 de Junio de 2011 (primera edición del 15 de Junio de 2008). No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información. 24
• ISO/IEC 27006: Publicada en segunda edición el 1 de Diciembre de 2011 (primera edición del 1 de Marzo de 2007). Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información • ISO/IEC 27007: Publicada el 14 de Noviembre de 2011. No certificable. Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011. Es una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI. • ISO/IEC 27010: Publicada el 20 de Octubre de 2012. Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores. 25
• ISO/IEC 27011: Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. • ISO/IEC 27013: Publicada el 15 de Octubre de 2012. Es una guía de implementación integrada de ISO/IEC • ISO/IEC 27014: Publicada en el 2013. Consistirá en una guía de gobierno corporativo de la seguridad de la información. 26
• ISO/IEC TR 27015: Publicada el 23 de Noviembre de 2012. Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002. • ISO/IEC TR 27016: Publicada en el 2013. Consistirá en una guía de valoración de los aspectos financieros de la seguridad de la información. • ISO/IEC TS 27017: Publicada en el 2013. Consistirá en una guía de seguridad para Cloud Computing. 27
• ISO/IEC 27018: Publicada en el 2013. Consistirá en un código de buenas prácticas en controles de protección de datos para servicios de computación en cloud computing. • ISO/IEC TR 27019: Publicada en el 2013. Consistirá en una guía con referencia a ISO/IEC 27002 para el proceso de control de sistemas específicos al sector de la industria de la energía. • ISO/IEC 27031: Publicada el 01 de Marzo de 2011. No certificable. Es una guía de apoyo para la adecuación de las tecnologías de información y comunicación (TIC) de una organización para la continuidad del negocio. El documento toma como referencia el estándar BS 25777. 28
• ISO/IEC 27032: Publicada el 16 de Julio de 2012. Proporciona orientación para la mejora del estado de seguridad cibernética, extrayendo los aspectos únicos de esa actividad y de sus dependencias en otros dominios de seguridad. Esta norma establece una descripción general de Seguridad Cibernética. • ISO/IEC 27033: Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033-1, conceptos generales (publicada el 15 de Diciembre de 2009 aseguramiento de las comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de comunicaciones mediante VPNs, 27033-6, convergencia IP 27033-7, redes inalámbricas 29
• ISO/IEC 27034: Norma dedicada la seguridad en aplicaciones informáticas. • ISO/IEC 27035: Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la gestión de incidentes de seguridad en la información. En España, no está traducida. • ISO/IEC 27036: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visión general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC; 27036-4, seguridad en outsourcing (externalización de servicios). 30
• ISO/IEC 27037: Publicada el 15 de Octubre de 2012. Es una guía que proporciona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil. • ISO/IEC 27038: Publicada en el 2013. Consiste en una guía de especificación para seguridad en la redacción digital. 31
• ISO/IEC 27039: Publicada en el 2013. Consistirá en una guía para la selección, despliegue y operativa de sistemas de detección y prevención de intrusión (IDS/IPS). • ISO/IEC 27040: Publicada en el 2014. Consistirá en una guía para la seguridad en medios de almacenamiento. • ISO/IEC 27041: Publicada en el 2014. Consistirá en una guía para la garantizar la idoneidad y adecuación de los métodos de investigación. 32
ISO/IEC 27042: Publicada en el 2014. Consistirá en una guía con directrices para el análisis e interpretación de las evidencias digitales. • ISO/IEC 27043: Publicada en el 2014. Desarrollará principios y procesos de investigación. •
33
• ISO/IEC 27044: Publicada en el 2014. Gestión de eventos y de la seguridad de la información Security Information and Event Management (SIEM). • ISO 27799: Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes. 34
MODULO I: Introducción a ISO 27000 Conceptos básicos sobre la seguridad de la información Para comprender qué es la seguridad de la información, en primer lugar, debemos conocer que la información en este área es referida a los activos de información (es decir, los datos, pero también los equipos, las aplicaciones, las personas, que se utilizan para crear, gestionar, trasmitir y destruir la información), que tienen un valor para la organización. No se debe confundir la seguridad de la información con la seguridad informática ya que la seguridad de la información abarca muchas más áreas mientras que la seguridad informática se encarga de la protección de las infraestructuras TIC que soportan el negocio. Por tanto la seguridad de la información abarca la seguridad informática.
35
MODULO I: Introducción a ISO 27000
Conceptos básicos sobre la seguridad de la información La seguridad de la información, por tanto, se puede definir como la protección de la confidencialidad, integridad y disponibilidad de los activos de información según sea necesario para alcanzar los objetivos de negocio de la organización. Estos tres parámetros básicos de la seguridad se definen como: • Confidencialidad: A la información solo pueden acceder las personas autorizadas para ello. • Integridad: La información ha de estar completa y correcta en todo momento. • Disponibilidad: La información estará lista para acceder a ella o utilizarse cuando se necesita.
36
MODULO I: Introducción a ISO 27000
37
MODULO I: Introducción a ISO 27000 Conceptos básicos sobre la seguridad de la información Dependiendo de los modelos utilizados, también son parámetros a tener en cuenta: • Autenticidad: La información es lo que dice ser o el transmisor de la información es quien dice ser. • Trazabilidad: Poder asegurar en todo momento quién hizo qué y cuando lo hizo. 38
MODULO I: Introducción a ISO 27000
Conceptos básicos sobre la seguridad de la información Un fallo de seguridad es cualquier incidente que la compromete, es decir que pone en peligro cualquiera de los parámetros con los que se valora la seguridad: la confidencialidad, la disponibilidad o la integridad de la información. Con la actual complejidad de los sistemas de información, con una economía y un comercio que se basan en intercambios y comunicaciones a lo largo y ancho del mundo, con un número creciente de usuarios que no sólo se conectan desde dentro sino también desde fuera de la organización, es fácil hacerse una idea del reto que presenta evitar que sucedan cosas como: • Fallos en las comunicaciones. • Fallos en el suministro eléctrico. • Fallos humanos de usuarios internos, usuarios externos, administradores, programadores, etc. • Fallos en los sistemas de información: redes, aplicaciones, equipos, etc. 39 • Virus informáticos, gusanos, troyanos, etc. que inundan la red.
MODULO I: Introducción a ISO 27000 Conceptos básicos sobre la seguridad de la información Los fallos de seguridad son ocasionados muchas veces por la errónea percepción de que si la seguridad física está razonablemente asegurada, no tiene por qué haber problemas. O que protegiendo únicamente las aplicaciones y las bases de datos ya está garantizada la seguridad. Con esos supuestos se dejan desprotegidas muchas áreas de la organización, muchos activos de información que pueden ser fácilmente dañados o destruidos, ya que no se han tenido en cuenta todos los aspectos de la seguridad de la información: la seguridad física, la seguridad lógica y las medidas organizativas.
40
Política de Seguridad
Organización de la Seguridad de Información Gestión de Activos Control de Acceso Cumplimiento Gestión de Seguridad de RH Continuidad de Desarrollo y Negocio Mantenimien Gestión de to Comunicacion Seguridad de Sistemas es y Física y Operaciones Ambiental Gestión de Incidentes de Seguridad
Operació n
Estructura de ISO 27001 (clausulas de control)
Administ ración
MODULO I: Introducción a ISO 27000
41
MODULO I: Introducción a ISO 27000
27001 - Anexo A.14.1 Continuidad del negocio A.14.1.1. Incluir a la Seguridad de la Información en el proceso de administración de Continuidad del Negocio A.14.1.2. Continuidad del Negocio y Análisis de Riesgos A.14.1.3. Desarrollo e implementación de Planes de Continuidad incluyendo la Seguridad de la Información A.14.1.4. Marco de trabajo de la planeación de la Continuidad del Negocio A.14.1.5. Pruebas, mantenimiento y reevaluación de los Planes de Continuidad del Negocio 42
MODULO I: Introducción a ISO 27000
43
Técnicas de Seguridad – Organización - Planear PLANEAR – Puntos de Control de Gestión Contexto de la Organizació n
Liderazgo
Comprender Organizació n y Contexto
Liderazgo y Confirmació n
Expectativas de los interesados
Políticas
Alcance del ISMS
ISMS
Roles, responsabilida des y autoridades
Planificación Acciones Riesgos y Oportunidad es Objetivos y Planes Seguridad de la Información
Soporte
Recursos
Competenci a Concientizac ión Comunicació n Información documentad a 44
Técnicas de Seguridad – Organización – Puntos de Control de Gestión VERIFICAR HACER ACTUAR Operación
Planificación y Control Operacional Evaluación Riesgos de Seguridad de la Información Tratamiento de Riesgos de Seguridad de la Información
Evaluación Rendimiento
Mejora
Monitorizació n, Medición, Análisis y Evaluación
No conformidad es y Acciones correctivas
Auditoría Interna
Mejora Continua
Revisión Administrativa
45
NUEVA ESTRUCTURA ISO 27001 -2013
46
MODULO I: Introducción a ISO 27000 La ISO es una federación mundial de organismos nacionales de normalización alrededor de 160 países, trabajan a nivel de Comités Técnicos y tienen al menos 19,000 estándares publicados desde 1,947. La ISO 27001: 2013, trabaja en función a 8 principios de gestión: 1. Orientación al Cliente 2. Liderazgo 3. Participación del personal 4. Enfoque de procesos 5. Enfoque de Sistemas de Gestión 6. Mejora Continua 7. Enfoque de Mejora Continua 8. Relación mutuamente beneficiosa con el proveedor 47
Dominios ISO 27001
MODULO I: Introducción a ISO 27000 - Dominios
49
MODULO I: Introducción a ISO 27000 Documentos y registros necesarios
Documentos Alcance del SGSI Políticas y objetivos de seguridad de la información
Capítulo de ISO 27001:2013 4.3 5.2, 6.2
Metodología de evaluación y tratamiento de riesgos
6.1.2
Declaración de aplicabilidad
6.1.3 d)
Plan de tratamiento del riesgo
6.1.3 e), 6.2
Informe sobre evaluación y tratamiento de riesgos
8.2, 8.3
Definición de funciones y responsabilidades de seguridad
A.7.1.2, A.13.2.4
Inventario de activos
A.8.1.1
Uso aceptable de los activos
A.8.1.3
Política de control de acceso
A.9.1.1
50
MODULO I: Introducción a ISO 27000 Documentos y registros necesarios
Documentos Principios de ingeniería para sistema seguro Política de seguridad para proveedores
Capítulo de ISO 27001:2013 A.14.2.5 A.15.1.1
Procedimiento para gestión de incidentes
A.16.1.5
Procedimientos de la continuidad del negocio
A.17.1.2
Requisitos legales, normativos y contractuales
A.18.1.1
51
MODULO I: Introducción a ISO 27000 Documentos y registros necesarios
Registros
Capítulo de ISO 27001:2013
Registros de capacitación, habilidades, experiencia y calificaciones
7.2
Resultados de supervisión y medición
9.1
Programa de auditoría interna
9.2
Resultados de las auditorías internas
9.2
Resultados de la revisión por parte de la dirección
9.3
Resultados de acciones correctivas
10.1
Registros sobre actividades de los usuarios, excepciones y eventos de seguridad
A.12.4.1, A.12.4.3 52
MODULO I: Introducción a ISO 27000 Documentos no obligatorios de uso frecuente Capítulo de ISO Documentos 27001:2013
Procedimiento para control de documentos
7.5
Controles para gestión de registros
7.5
Procedimiento para auditoría interna
9.2
Procedimiento para medidas correctivas
10.1
Política Trae tu propio dispositivo
A.6.2.1
Política sobre dispositivos móviles y tele-trabajo
A.6.2.1
Política de clasificación de la información
A.8.2.1, A.8.2.2, A.8.2.3
Política de claves Política de eliminación y destrucción
A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3 A.8.3.2, A.11.2.7
Procedimiento para trabajo en áreas seguras
A.11.1.5 53
MODULO I: Introducción a ISO 27000 Documentos no obligatorios de uso frecuente Capítulo de ISO Documentos 27001:2013
Política de pantalla y escritorio limpio
A.11.2.9
Política de gestión de cambio
A.12.1.2, A.14.2.4
Política de creación de copias de seguridad
A.12.3.1
Política de transferencia de la información Análisis del impacto en el negocio
A.13.2.1, A.13.2.2, A.13.2.3 A.17.1.1
Plan de prueba y verificación
A.17.1.3
Plan de mantenimiento y revisión
A.17.1.3
54
MODULO I: Introducción a ISO 27000 Alcance del SGSI Este documento es, habitualmente, bastante corto y se redacta al inicio de la implementación de ISO 27001. En general, se trata de un documento independiente, aunque puede ser unificado con una política de seguridad de la información.
55
MODULO I: Introducción a ISO 27000 Políticas y objetivos de seguridad de la información La política de seguridad de la información generalmente es un documento breve y de alto nivel que detalla el principal objetivo del SGSI. Los objetivos para el SGSI, en general, se presentan como un documento independiente, pero también pueden ser unificados en la política de seguridad de la información. Contrariamente a la revisión 2005 de ISO 27001, ya no se necesitan ambas políticas (Política del SGSI y Política de seguridad de la información); solo hace falta una política de seguridad de la información . 56
MODULO I: Introducción a ISO 27000 Metodología e informes de evaluación y tratamiento de riesgos La metodología de evaluación y tratamiento del riesgo es, habitualmente, un documento de 4 a 5 páginas y debe ser redactado antes que se realice la evaluación y el tratamiento de riesgos. El informe de evaluación y tratamiento de riesgos debe ser redactado una vez que se realizó la evaluación y el tratamiento de riesgos, y allí se resumen todos los resultados.
57
MODULO I: Introducción a ISO 27000 Declaración de aplicabilidad La Declaración de aplicabilidad (o DdA) se redacta en base a los resultados del tratamiento del riesgo; es un documento clave dentro del SGSI porque describe no sólo qué controles del Anexo A son aplicables, sino también cómo se implementarán y su estado actual. También debería considerar a la Declaración de aplicabilidad como un documento que describe el perfil de seguridad de su empresa.
58
MODULO I: Introducción a ISO 27000 Plan de tratamiento del riesgo Este es, básicamente, un plan de acción sobre cómo implementar los diversos controles definidos por la DdA. Este documento se desarrolla en función de la Declaración de aplicabilidad y se utiliza y actualiza activamente a lo largo de toda la implementación del SGSI. A veces se puede fusionar con el Plan del proyecto.
59
MODULO I: Introducción a ISO 27000 Funciones y responsabilidades de seguridad El mejor método es describir estas funciones y responsabilidades en todas las políticas y procedimientos de la forma más precisa posible. Evite expresiones como "debería hacerlo"; en cambio, utilice algo como "el Jefe de seguridad realizará xyz todos los lunes a las zxy horas". Algunas empresas prefieren detallar las funciones y responsabilidades de seguridad en sus descripciones del trabajo; sin embargo, esto puede generar mucho papelerío. Las funciones y responsabilidades de seguridad para terceros se definen a través de contratos 60
MODULO I: Introducción a ISO 27000 Inventario de activos Si no contaba con un inventario de este tipo antes del proyecto ISO 27001, la mejor forma de hacerlo es directamente a partir del resultado de la evaluación de riesgos ya que allí, de todos modos, se tienen que identificar todos los activos y sus propietarios; entonces, simplemente puede copiar el resultado desde ese instrumento.
61
MODULO I: Introducción a ISO 27000 Uso aceptable de los activos Habitualmente, este documento se confecciona bajo la forma de una política y puede cubrir un amplio rango de temas porque la norma no define muy bien este control. Probablemente, la mejor forma de encararlo es la siguiente: (1) déjelo para el final de la implementación de su SGSI y (2) todas las áreas y controles que no haya cubierto con otros documentos y que involucran a todos los empleados, inclúyalos en esta política.
62
MODULO I: Introducción a ISO 27000 Política de control de acceso En este documento usted puede cubrir sólo la parte comercial de la aprobación de acceso a determinada información y sistemas, o también puede incluir el aspecto técnico del control de acceso. Además, puede optar por definir reglas para acceso lógico únicamente o también para acceso físico. Debería redactar este documento solamente después de finalizado su proceso de evaluación y tratamiento de riesgos.
63
MODULO I: Introducción a ISO 27000 Procedimientos operativos para gestión de TI Puede crear este procedimiento como un único documento o como una serie de políticas y procedimientos; si se trata de una empresa pequeña, debería tener menor cantidad de documentos. Normalmente, aquí puede abarcar todas las áreas de las secciones A.12 y A.13: gestión de cambios, servicios de terceros, copias de seguridad, seguridad de red, códigos maliciosos, eliminación y destrucción, transferencia de información, supervisión del sistema, etc. Este documento se debería redactar solamente una vez que finalice su proceso de evaluación y tratamiento 64
MODULO I: Introducción a ISO 27000 Principios de ingeniería para sistema seguro Este es un nuevo control en ISO 27001:2013 y requiere que se documenten los principios de ingeniería de seguridad bajo la forma de un procedimiento o norma y que se defina cómo incorporar técnicas de seguridad en todas las capas de arquitectura: negocio, datos, aplicaciones y tecnología. Estos principios pueden incluir validación de datos de entrada, depuración, técnicas para autenticación, controles de sesión segura, etc.
65
MODULO I: Introducción a ISO 27000 Política de seguridad para proveedores Este también es un control nuevo en ISO 27001:2013, y una política de este tipo puede abarcar un amplio rango de controles: cómo se realiza la selección de potenciales contratistas, cómo se ejecuta la evaluación de riesgos de un proveedor, qué cláusulas incluir en el contrato, cómo supervisar el cumplimiento de cláusulas contractuales de seguridad, cómo modificar el contrato, cómo cerrar el acceso una vez cancelado el contrato, etc.
66
MODULO I: Introducción a ISO 27000 Procedimiento para gestión de incidentes Este es un procedimiento importante que define cómo se informan, clasifican y manejan las debilidades, eventos e incidentes de seguridad. Este procedimiento también define cómo aprender de los incidentes de seguridad de la información para que se puedan evitar en el futuro. Un procedimiento de esta clase también puede invocar al plan de continuidad del negocio si un incidente ha ocasionado una interrupción prolongada
67
MODULO I: Introducción a ISO 27000 Procedimientos de la continuidad del negocio Generalmente se trata de planes de continuidad del negocio, planes de respuesta ante incidentes, planes de recuperación para el sector comercial de la organización y planes de recuperación ante desastres (planes de recuperación para infraestructura de TI). Estos procedimientos se describen con mayor detalle en la norma ISO 22301, la principal norma internacional para continuidad del negocio
68
MODULO I: Introducción a ISO 27000 Requisitos legales, normativos y contractuales Este listado debe confeccionarse en la etapa más temprana posible del proyecto porque muchos documentos tendrán que ser desarrollados de acuerdo a estos datos. Este listado debe incluir no sólo las responsabilidades para el cumplimiento de determinados requerimientos, sino también los plazos.
69
MODULO I: Introducción a ISO 27000 Registros de capacitación, habilidades, experiencia y calificaciones Es el departamento de recursos humanos el que generalmente se encarga de llevar estos registros. Si usted no tiene un sector de este tipo, cualquier persona que habitualmente se encargue de los registros de los empleados debería ser quien realice este trabajo. Básicamente, sería suficiente una carpeta en la que se encuentren todos los documentos
70
MODULO I: Introducción a ISO 27000 Resultados de supervisión y medición La forma más sencilla de describir cómo se miden los controles es a través de políticas y procedimientos que definan a cada control. En general, esta descripción puede ser realizada al final de cada documento, y cada descripción tiene que definir los tipos de ICD (indicadores clave de desempeño) que es necesario medir para cada control o grupo de controles. Una vez que se estableció este método de control, usted debe realizar la medición en función de dicho método. Es importante reportar los resultados de esta medición en forma regular a las personas que están71 a
MODULO I: Introducción a ISO 27000 Programa de auditoría interna El programa de auditoría interna no es más que un plan anual para realizar las auditorías; para las empresas más pequeñas, puede tratarse solamente de una auditoría, mientras que para las organizaciones más grandes puede ser una serie de, por ejemplo, 20 auditorías internas. Este programa debe definir quién realizará las auditorías, los métodos que se utilizarán, los criterios que se aplicarán, etc.
72
MODULO I: Introducción a ISO 27000 Resultados de las auditorías internas Un auditor interno debe generar un informe de auditoría, que incluye los resultados de la auditoría (observaciones y medidas correctivas). Este informe debe ser confeccionado dentro de un par de días luego de realizada la auditoría interna. En algunos casos, el auditor interno tendrá que verificar si todas las medidas correctivas se aplicaron según lo esperado.
73
MODULO I: Introducción a ISO 27000 Resultados de la revisión por parte de la dirección Estos registros se presentan, normalmente, bajo la forma de actas de reunión y deben incluir todo el material tratado durante la reunión de la dirección, como también todas las decisiones que se tomaron. Estas actas pueden ser en papel o en formato digital.
74
MODULO I: Introducción a ISO 27000 Resultados de acciones correctivas Generalmente, estos son incluidos en los formularios para medidas correctivas (FMC). Sin embargo, es mucho mejor agregar estos registros en alguna aplicación que ya esté en uso en la organización; por ejemplo, la Mesa de ayuda, porque las medidas correctivas no son más que listas de actividades a realizar con responsabilidades, tareas y plazos bien definidos.
75
MODULO I: Introducción a ISO 27000 Registros sobre actividades de los usuarios, excepciones y eventos de seguridad Habitualmente se llevan de dos formas: (1) en formato digital, generados en forma automática o semiautomática como registros de diversas TI y de otros sistemas, y (2) en papel, donde cada registro se hace manualmente.
76
MODULO I: Introducción a ISO 27000 Procedimiento para control de documentos En general, este es un procedimiento independiente, de 2 o 3 páginas de extensión. Si usted ya implementó alguna otra norma como ISO 9001, ISO 14001, ISO 22301 o similar, puede utilizar el mismo procedimiento para todos estos sistemas de gestión. A veces es mejor redactar este procedimiento como el primer documento de un proyecto.
77
MODULO I: Introducción a ISO 27000 Controles para gestión de registros La forma más sencilla es redactar el control de registros en cada política o procedimiento (u otro documento) que requiera la generación de un registro. Estos controles, normalmente son incluidos hacia el final de cada documento y se confeccionan bajo el formato de una tabla que detalla dónde se archiva el registro, quién tiene acceso, cómo se protege, por cuánto tiempo se archiva, etc.
78
MODULO I: Introducción a ISO 27000 Procedimiento para auditoría interna Habitualmente este es un procedimiento independiente que puede tener entre 2 y 3 páginas y que tiene que ser redactado antes que comience la auditoría interna. En cuanto al procedimiento para control de documentos, un procedimiento para auditoría interna puede ser utilizado para cualquier sistema de gestión.
79
MODULO I: Introducción a ISO 27000 Procedimiento para medidas correctivas Este procedimiento no debería exceder las 2 o 3 páginas y puede ser confeccionado al final del proyecto de implementación, aunque es mejor hacerlo antes para que los empleados puedan familiarizarse con él.
80
PRINCIPALES CLAVES PARA IMPLANTAR LA ISO 27001 •Identificar los objetivos de negocio •Seleccionar un alcance adecuado •Determinar el nivel de madurez ISO 27001 •Analizar el retorno de inversión
Dominios ISO 27002
COMO ADAPTARSE
MODULO II: Análisis de Riesgos
86
MODULO II: Análisis de Riesgos • Activos de seguridad de la información. • Análisis y valoración de riesgos.
87
MODULO II: Análisis de Riesgos – Proceso de Evaluación de Riesgos Identificación y Tasación de Activos
Cálculo de los Riesgos de seguridad
Identificación de Requerimient os de Seguridad
Evaluación de la posibilidad de que las Amenazas y Vulnerabilidad es ocurran
Selección de opciones de Tratamiento de Riesgo apropiadas
Selección de Controles para reducir el Riesgo a Nivel aceptable
88
MODULO II: Análisis de Riesgos – Identificación y Tasación de Activos
Un activo es algo que tiene valor o utilidad para la organización, sus operaciones y su continuidad. El ISO 17799 (Código de Práctica para la Gestión de la Seguridad de Información) clasifica los activos de la siguiente manera: 1. Activos de Información: bases de datos y archivos de datos, documentación del sistema, manuales de usuario, materiales de entrenamiento, procedimientos operativos de apoyo, planes de continuidad. 2. Documentos impresos: documentos impresos, contratos, lineamientos, documentos de la compañía, documentos que contienen resultados importantes del negocio. 3. Activos de software: Software de aplicación, software de 89
MODULO II: Análisis de Riesgos – Identificación y Tasación de Activos 4. Activos físicos: Equipos de comunicación y computación, medios magnéticos, otros equipos técnicos. 5. Personas: Personal, clientes, suscriptores. 6. Imagen y reputación de la compañía 7. Servicios: Servicios de computación y comunicación, otros servicios técnicos. La tasación de activos, basados en las necesidades del negocio de una organización, es un factor importante en la evaluación del riesgo. Para poder encontrar la protección apropiada para los activos, es necesario evaluar su valor en términos de su importancia para el negocio. “Para poder tasar los valores de los activos y poder relacionarlos apropiadamente, una escala de valor para activos debe ser aplicada.”
90
MODULO II: Análisis de Riesgos – Identificación de Requerimientos de Seguridad Los requerimientos de seguridad en cualquier organización, grande o pequeña, son derivados de tres fuentes esenciales y debieran de documentarse en un SGSI. • El conjunto único de amenazas y vulnerabilidades que pudieran ocasionar pérdidas significativas en la empresa si ocurrieran. • Los requerimientos contractuales que deben satisfacerse por la organización. • El conjunto único de principios, objetivos y requerimientos para el procesamiento de información que una organización ha desarrollado para apoyar las operaciones del negocio y sus procesos.
91
MODULO II: Análisis de Riesgos – Identificación de Amenazas y Vulnerabilidades Los activos están sujetos a muchos tipos de amenazas. Una amenaza tiene el potencial de causar un incidente no deseado, el cual puede generar daño al sistema, la organización y a los activos. El daño puede ocurrir
por
un
organizacional.
ataque Las
directo
amenazas
o
indirecto
pueden
a
la
originarse
información de
fuentes
accidentales o de manera deliberada. Una amenaza para poder causar daño al activo, tendría que explotar la vulnerabilidad del sistema, aplicación o servicio. Las vulnerabilidades son debilidades asociadas con los activos organizacionales. Las debilidades pueden ser explotadas por la amenaza, causando incidentes no deseados, que pudieran terminar causando pérdidas, daño o deterioro a los activos. La vulnerabilidad como tal, no causa daño, es simplemente una 92 condición o conjunto de condiciones que pueden permitir que una
MODULO II: Análisis de Riesgos – Cálculo de los Riesgos de Seguridad
El objetivo de la evaluación del riesgo es la de identificar y evaluar los riesgos. Los riesgos son calculados de una combinación de valores de activos y niveles de requerimientos de seguridad. La evaluación de riesgos envuelve la sistemática consideración de los siguientes aspectos: • Consecuencias.- El daño al negocio como resultado de un incumplimiento de seguridad de información considerando las potenciales
consecuencias
de
pérdidas
o
fallas
de
confidencialidad, integridad y disponibilidad de información. • Probabilidad.- La real posibilidad de que tal incumplimiento ocurra a la luz del reinado de amenazas, vulnerabilidades y controles.
93
MODULO II: Análisis de Riesgos – Cálculo de los Riesgos de Seguridad Es
importante hacer hincapié que no existe una
manera “buena” o “mala” de calcular los riesgos, en la medida que los conceptos descritos en las fases anteriores se combinen en una manera sensata. Es menester de la firma identificar un método para la evaluación del riesgo que sea adecuada a los requerimientos de seguridad del negocio.
94
MODULO II: Análisis de Riesgos – Selección de Opciones Apropiadas de Tratamiento del Riesgo Cuando los riesgos han sido identificados y evaluados, la próxima tarea para la organización es identificar y evaluar la acción más apropiada de cómo tratar los riesgos. La decisión debe ser tomada basada en los activos involucrados y sus impactos en el negocio. Otro aspecto importante ha considerar es el nivel de riesgo aceptable que ha sido identificado siguiendo la selección de la metodología apropiada de evaluación. El estándar ISO 27001, requiere que la organización en relación al tratamiento del riesgo siga cuatro posibles acciones: • Aplicación de apropiados controles para reducir los riesgos. Los controles tienen que ser identificados en el anexo A. Si los controles no pueden ser hallados en el anexo A, la firma puede crearlos y documentarlos. • Aceptar objetivamente los riesgos partiendo del supuesto que satisfacen la política de la organización y su criterio para la aceptación del riesgo. • Evitar los riesgos 95 • Transferir el riesgo asociado a otras partes.
MODULO II: Análisis de Riesgos – Selección de Opciones Apropiadas de Tratamiento del Riesgo
La organización por cada uno de los riesgos, debe evaluar estas opciones para identificar la más adecuada. Los resultados de esta actividad deben ser documentados y luego la firma debe documentar su “plan de tratamiento del riesgo”. Hay dos opciones en la identificación y evaluación del riesgo que requieren mayor explicación. Las alternativas son: “evitar el riesgo” y “transferencia del riesgo”. (a) Evitar el riesgo. Describe cualquier acción donde los activos son transferidos de las áreas riesgosas. Cuando se evalúa la posibilidad de “evitar el riesgo” esto debe sopesarse entre las necesidades de la empresa y las monetarias. (b) Transferencia del riesgo. Esta opción puede ser vista como la mejor si es imposible reducir los niveles del riesgo. Existen muchas alternativas a considerar en relación a la estrategia de transferencia del riesgo. La transferencia del riesgo podría alcanzarse tomándose una póliza de seguro. Otra posibilidad podría ser la utilización de servicios96 de
MODULO II: Análisis de Riesgos – Selección de Controles para Reducir los Riesgos a un Nivel Aceptable
Para
reducir
el
riesgo
evaluado
dentro
del
alcance
del
SGSI
considerado, controles de seguridad apropiados y justificados deben ser
identificados
y
seleccionados.
Estos
controles
deben
ser
seleccionados del anexo A del ISO 27001. El estándar presenta 11 cláusulas, 39 objetivos de control y 133 controles específicos. Es muy importante
estar
claros
sobre
el
rol
del
organización puede utilizar el ISO 17799:
ISO
17799:2005.
La
como guía para la
implementación de los controles, pero deben ser escogidos del ISO 27001. La selección de los controles debe ser sustentada por los resultados de la evaluación del riesgo. Las vulnerabilidades con las amenazas asociadas indican donde la protección pudiera ser requerida y que forma debe tener. Especialmente para propósitos de certificación, las
97
relaciones con la evaluación del riesgo deben ser documentadas para
MODULO II: Análisis de Riesgos – Selección de Controles para Reducir los Riesgos a un Nivel Aceptable
Cuando se seleccionan controles para la implementación, un número de factores deben ser considerados, incluyendo: • Uso de controles • Transparencia del usuario • Ayuda otorgada a los usuarios para desempeñar su función • Relativa fuerza de los controles • Tipos de funciones desempeñadas. En términos generales, un control podrá satisfacer más de una de estas funciones.
98
MODULO II: Análisis de Riesgos – Reducción del Riesgo y su Aceptación
Para todos aquellos riesgos donde la decisión de “reducción de riesgo” ha sido escogida, controles apropiados deben ser seleccionados para reducir los riesgos a un nivel que la gerencia, decidirá su nivel adecuado.
99
MODULO II: Análisis de Riesgos – Riesgo Residual Después de identificar los controles adecuados para reducir un riesgo específico al nivel considerado aceptable, debe evaluarse cuanto los controles, si se implementan reducirán el riesgo. Esta reducción de riesgo es el denominado “riesgo residual”. El riesgo residual usualmente es difícil evaluarlo. Por lo menos una estimación
de
cuanto
los
controles
reducen
el
nivel
de
los
requerimientos de los valores asociados de seguridad debieran ser identificados para asegurar que la suficiente protección es alcanzada. Si el riesgo residual es inaceptable, una decisión comercial debe ser tomada sobre como se irá a manejar la situación. Una opción es la de seleccionar mas controles para finalmente reducir los riesgos a un nivel aceptable. Es una buena práctica no tolerar riesgos inaceptables, pero muchas veces no es posible o financieramente factible reducir todos los riesgos al nivel aceptable.
100
MODULO II: Análisis de Riesgos – Riesgo Residual Después de la implementación de los controles seleccionados, es importante estar claros, que siempre habrá riesgos existentes. Esto sucede por que los sistemas de información en las organizaciones nunca podrán estar absolutamente seguros. Esta es la razón por la cual es necesario revisar la implementación, y los resultados de los controles
para
implementados propósito
de
finalmente están
evaluar
operando. las
qué
Este
“revisiones
tan es
bien
los
controles
fundamentalmente gerenciales”
el
para
poder tener un control concreto del proceso del riesgo en la firma y poder iniciar la acción correctiva cuando sea necesario.
101
MODULO II: Análisis de Riesgos – Matriz de Riesgo Una matriz de riesgo constituye una herramienta de control y de gestión
normalmente
utilizada
para
identificar
las
actividades
(procesos y productos) más importantes de una empresa, el tipo y nivel de riesgos inherentes a estas actividades y los factores exógenos y endógenos relacionados con estos riesgos (factores de riesgo). Igualmente, una matriz de riesgo permite evaluar la efectividad de una adecuada gestión y administración de los riesgos financieros que pudieran impactar los resultados y por ende al logro de los objetivos de una organización. Una efectiva matriz de riesgo permite hacer comparaciones objetivas entre proyectos, áreas, productos, procesos o actividades. Todo ello constituye un soporte conceptual y funcional de un efectivo Sistema Integral de Gestión de Riesgo
102
MODULO II: Análisis de Riesgos – Fases
A partir de los objetivos estratégicos y plan de negocios,
la
administración
de
riesgos
debe
desarrollar un proceso para la “identificación” de las actividades principales y los riesgos a los cuales están expuestas; entendiéndose como riesgo la eventualidad de que una determinada entidad no pueda cumplir con uno o más de los objetivos.
103
MODULO II: Análisis de Riesgos – Fases
104
MODULO II: Análisis de Riesgos – Valorización La valorización consiste en asignar a los riesgos calificaciones dentro de un rango, que podría ser por ejemplo: de 1 a 5 ( insignificante (1), baja (2), media (3), moderada (4) o alta (5), dependiendo de la combinación entre impacto y probabilidad. En el siguiente gráfico se ve un ejemplo:
105
MODULO II: Análisis de Riesgos – Riesgo residual
Finalmente se calcula el Riesgo Neto o Residual, que resulta de la relación entre el grado de manifestación de los riesgos inherentes y la gestión de mitigación de riesgos establecida por la administración. En el siguiente cuadro se muestra un ejemplo para calcular
el riesgo residual utilizando escalas numéricas
de posición de riesgo:
106
MODULO II: Análisis de Riesgos – Riesgo residual
107
MODULO II: Análisis de Riesgos – Conclusiones La implementación del ISO 27001 dentro de cierto alcance previamente
determinado en la empresa, tiene un requerimiento básico, el cual es una completa participación de la gerencia. Este estándar es un sistema de gestión. Esta hecho para gestionar un sistema de seguridad de información. Su propósito fundamental es el de asegurar que la información en la firma mantenga: confidencialidad, integridad y disponibilidad. La gestión del riesgo es el tema central de este nuevo estándar internacional. Un antiguo axioma plantea que uno no puede mejorar lo que no se puede medir. Esto es cierto para la gestión del riesgo. Uno no puede gestionar el riesgo si no se puede medirlo. La dinámica de este nuevo estándar es bien clara en términos de mitigar la información del riesgo en la empresa. La firma tiene la autonomía de decidir el alcance del estándar. Luego tiene que 108
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad Modelos de Gestión de Riesgos – – – –
COBIT 5.0 Risk IT M_o_R MAGERIT
– – – – – – – – – –
NIST SP 800-30 Microsoft Threat Modeling STRIDE/DREAD TRIKE AS/NZS 4360 CVSS OCTAVE CRAMM PTA ACE Team 109
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad – COBIT 5 COBIT 5 permite administrar a las TI de manera integral para toda la empresa, teniendo en cuenta la totalidad del negocio, las áreas funcionales de responsabilidad de las TI y los intereses de las partes interesadas (stakeholders), internas y externas, relacionadas con las TI. COBIT 5 para la Seguridad de la Información se basa en el marco de control COBIT 5 y proporciona una guía más detallada para los profesionales en seguridad de la información y los stakeholders a todos los niveles de la empresa. COBIT 5 incluye los siguientes procesos: • APO13 Administración de la Seguridad • DSS04 Gestión de la Continuidad • DSS05 Gestión de los servicios de seguridad 110
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - COBIT 5 Los principales controladores de COBIT para la Seguridad de Información son: • La necesidad de describir la seguridad de información en un contexto empresarial. • Una necesidad de la empresa cada vez mayor de: Mantener los riesgos a un nivel aceptable y proteger la información contra la divulgación no autorizada, modificaciones no autorizadas o accidentales y posibles intrusiones; la satisfacción del usuario mediante la disponibilidad de los servicios de TI y el cumplimiento de leyes y reglamentos. • La necesidad de conectarse, y alinearse con otros importantes marcos y estándares en el mercado. • La necesidad de unir todas las principales investigaciones de ISACA con un enfoque principal en el Modelo de Negocio de Información de Seguridad
111
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad – COBIT 5 Beneficios • Reducción de la complejidad y aumento de la rentabilidad debido a una mayor integración de los estándares de la seguridad de la información. • Aumento en la satisfacción de los usuarios. • Integración de la seguridad de la información en la empresa. • Decisiones a partir de la identificación de los riesgos y Conciencia del riesgo. • Reducción de los incidentes de la seguridad de la información. • Mayor apoyo a la innovación y competitividad. • Mejora de la gestión de costos relacionados con la función de seguridad de la información. 112
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad- Risk IT Publicada en el 2009 por ISACA. La gestión del riesgo empresarial es un componente esencial de la administración responsable de cualquier organización. Debido a su importancia, los riesgos TI deben ser entendidos como riesgos clave para el negocio. El marco TI permite a los usuarios: • Integrar la gestión de riesgos IT con el ERM. • Entender cómo gestionar el riesgo. Principios: • Alineación con los objetivos de negocio • Alineación de la gestión de riesgos de TI con el ERM • Balancear los costos y beneficios de la gestión de riesgos de TI • Promover la comunicación justa y abierta de los riesgos de TI 113
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad – Risk IT Existen tres dominios en el marco Risk IT: • Gobierno del Riesgo: Asegura de que las prácticas de gestión de riesgos de TI estén integradas en la empresa, con el objetivo de tener una óptima rentabilidad. Se basa en los siguientes procesos: Establecer y mantener una visión común del riesgo. Integrarlo con el ERM Hacer una concientización del riesgo en las decisiones de la empresa. • Evaluación del Riesgo: Asegurar que los riesgos IT sean identificados y analizados. Se basa en los siguientes procesos: Recopilación de información Análisis del Riesgo Mapa de Riesgos • Respuesta a los riesgos: Los riesgos deben ser clasificados de acuerdo a 114 las prioridades del negocio:
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - M_o_R Los principales temas que abarca la Guía son: • Principios M_o_R: Los principios están alineados con los descritos en ISO 31000, y para ser más consistente con los principios de otras Guías de Gestión. Los principios son: Alineación con los objetivos de la empresa. Adaptación con el contexto. Compromiso de las partes interesadas. (stakeholders) Proporcionar una orientación clara. Información de las decisiones tomadas. Mejora Continua. Creación de una cultura la cual apoye los principios. Lograr un valor medible.
115
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - M_o_R • Enfoque M_o_R: En donde se encuentra toda la documentación de la Gestión del Riesgo. • Proceso M_o_R: Hay un gran énfasis a la necesidad de comunicación a lo largo de las diferentes fases del proceso. Existen 4 fases: Identificación Activos Plan Implementación • Revisión M_o_R: Este capítulo ha sido reescrito para mejorar la orientación sobre cómo integrar la gestión de riesgos. 116
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - MAGERIT
• Se trata de una metodología promovida por el CSAE (Consejo Superior de administración electrónica) que persigue una aproximación metódica al análisis de riesgos. • Se trata por tanto de una metodología para auxiliar en tarea de toma de decisiones en entornos críticos. 117
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - MAGERIT • Los objetivos de la aplicación de este modelo son: – Concientizar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo – Ofrecer un método sistemático para analizar tales riesgos – Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control – Apoyar la preparación a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso
• Su aplicación se estructura en cinco niveles: – – – – –
Modelo de valor Modelo de riesgos Estado de los riesgos Informe de insuficiencias Plan de seguridad 118
Modelos de Gestión de Riesgos: Magerit
119
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - NIST SP 800-30 El NIST (National Institute of Standards and Technology) ha incluido una metodología (Risk Management Guide for Information Technology Systems) para el análisis y gestión de riesgos de la Seguridad de la Información, alineada y complementaria con el resto de documentos de la serie. Compuesta por tres procesos principales: •
Valoración del riesgo,
•
Mitigación del Riesgo y
•
Evaluación del Riesgo.
120
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - NIST SP 800-30 • Valoración del Riesgo: Incluye 9 pasos. Paso 1: Caracterización del Sistema Paso 2: Identificación de la amenaza Paso 3: Identificación de una vulnerabilidad Paso 4: Análisis de Control Paso 5: Determinación de la probabilidad Paso 6: Análisis del Impacto Paso 7: Determinación del Riesgo Paso 8: Recomendaciones del Control Paso 9: Resultados de la documentación 121
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - NIST SP 800-30
• Mitigación del Riesgo: Incluye priorización, evaluación e implementación de los apropiados controles para reducir el riesgo, recomendados del proceso previo. • Evaluación del Riesgo: En esta etapa se hace hincapié en la buena práctica y la necesidad de una evaluación continua del riesgo y la evaluación y los factores que conduzcan a un programa de gestión de riesgos exitoso.
122
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - Microsoft Threat Modeling
Este modelo tiene cinco pasos: 1. 2. 3.
4. 5.
Identificar los objetivos de seguridad Evaluar el sistema Realizar la descomposición del sistema Identificar las amenazas Identificar las vulnerabilidades 123
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - Microsoft Threat Modeling
• Identificar los Objetivos – Los objetivos se pueden clasificar en : • • • • •
Objetivos Objetivos Objetivos Objetivos Objetivos
de Identidad Financieros de reputación de integridad y confidencialidad de disponibilidad
124
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - Microsoft Threat Modeling
• Evaluación del sistema – Una vez que se han declarado los objetivos se debe analizar el diseño del sistema para identificar los componentes, los flujos de información y los límites de confianza.
• Descomponer el sistema – Implica identificar las características y los módulos con impacto en la seguridad que deben ser evaluados. 125
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - Microsoft Threat Modeling
• Identificar las amenazas – Se parte del hecho de que es imposible identificar amenazas que no son conocidas. Por lo tanto, concentrándose en los riesgos conocidos, se realiza una identificación basada en el empleo de herramientas de BugTraq.
126
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - Microsoft Threat Modeling
• Identificar las amenazas – Además de saber qué tipo de amenaza es el que se puede identificar, es preciso clasificar quién es el posible atacante. Se propone la siguiente clasificación: • • • • • •
Descubrimiento accidental Malware automático Atacante curioso Script Kiddies Atacante Motivado Crimen organizado 127
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - STRIDE
• STRIDE es una metodología para identificar amenazas conocidas. Establece seis categorías: – Spoofing Identity – Tampering with Data – Repudiation – Information Disclosure – Denial of service – Elevation of privilege 128
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - STRIDE
• DREAD es un modelo que permite establecer un grado de riesgo que permite ordenar los riesgos mediante la evaluación de cinco categorías. • Propone una expresión que se traduce en un índice: ( DAMAGE REPRODUCTI BILITY EXPLOTABIL ITY AFFECTED USER DISCOVERAB ILITY ) Risk _ Dread 5 129
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - STRIDE
• Damage Potential Si la amenaza se materializa, ¿cuánto daño puede causar? – 0 = Nothing – 5 = Individual user data is compromised or affected. – 10 = Complete system or data destruction
• Reproducibility ¿Cómo de fácil es reproducir el exploit? – 0 = Very hard or impossible, even for administrators of the application. – 5 = One or two steps required, may need to be an authorized user. – 10 = Just a web browser and the address bar is sufficient, without authentication.
• Exploitability ¿Qué se necesita para materializar la amenaza? – 0 = Advanced programming and networking knowledge, with custom or advanced attack tools. – 5 = Malware exists on the Internet, or an exploit is easily performed, using available attack tools. – 10 = Just a web browser 130
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - STRIDE
• Affected Users ¿Cuántos usuarios se ven afectados? – 0 = None – 5 = Some users, but not all – 10 = All users
• Discoverability ¿Cómo de facil es descubrir esta amenaza? – 0 = Very hard to impossible; requires source code or administrative access. – 5 = Can figure it out by guessing or by monitoring network traces. – 9 = Details of faults like this are already in the public domain and can be easily discovered using a search engine. – 10 = The information is visible in the web browser address bar or in a form. 131
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - TRIKE
• Es un modelo similar al propuesto desde Microsoft. • Existen sin embargo diferencias. TRIKE propone una aproximación a la descripción del riesgo que no aúna los ataques, las amenazas y las vulnerabilidades. • Al contrario, permite distinguir unos de otros construyendo un sistema experto para toma de decisiones. 132
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad – AS/NZS 4360
• El Australian/New Zealand Standard es simple, muy flexible e iterativo . • Proporciona una serie de conjuntos de tablas de riesgos como ejemplos, pero permite desarrollar y adaptar su propio modelo a las organizaciones. • El modelo se resume en cinco puntos. – – – – –
Establecer el contexto Identificar los riesgos Analizar los riesgos Evaluar los riesgos Habilitar contramedidas. 133
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - CVSS
• El departamento de Homeland Security (DHS) del gobierno de EEUU estableció que el denominado grupo “NIAC Vulnerability Disclosure Working Group”, que incorporaba a Cisco Systems, Symantec, ISS, Qualys, Microsoft, CERT/CC y eBay. • Uno de los resultados de este grupo ha sido el CVSS – Common Vulnerability Scoring System 134
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - CVSS
• CVSS no es un modelo en sí, sino que permite normalizar las notificaciones de seguridad asignándole una métrica única a las amenazas descubiertas. • La definición de la métrica es muy compleja y su cálculo implica tener en cuenta factores software y de entorno. • La evaluación de estos factores obliga a utilizar una tabla para determinar el grado de criticidad de las amenazas conocidas. • De hecho la sobrecarga que supone calcular el índice CVSS sobre una aplicación determinada aumenta factorialmente con cada amenaza que se estima. 135
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - CVSS
• CVSS no encuentra ni reduce la superficie de ataque. • Tampoco enumera los riesgos para una programa determinado. • Lo que proporciona es una aproximación técnica, estandarizada, abierta y ordenada de una vulnerabilidad específica.
136
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - OCTAVE
• Se trata de un modelo muy complejo originario de la Carnagie Mellon University en colaboración con el CERT. • Se centra en la evaluación del riesgo organizativo y no técnico. • Aunque útil en la gestión de grandes organizaciones es demasiado costoso y no proporciona medidas para mitigar los efectos de las amenazas. Es más bien un decálogo de buenas costumbres. 137
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - CRAMM
CRAMM - (CCTA (Central Computer and Telecommunications Agency) Risk Analysis and Management Method) – – – –
Propuesta creada por la CCTA de Reino Unido. Actualmente está en su quinta versión Está estructurada en tres etapas Cada etapa está estructurada por unos cuestionarios que permiten identificar y analizar los riesgos del sistema. La última etapa propone contramedidas para los riesgos. 138/38
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - CRAMM
• Etapa 1: Establecimiento de objetivos – Definir los límites del estudio. – Identificar y valorar los activos del sistema. – Determinar el valor de los datos del sistema a través de entrevistas con el personal acerca del potencial daño empresarial que tendría la falta de disponibilidad, su destrucción, falta de confidencialidad o su modificación. – Identificar y valorar los activos software del sistema. 139/38
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - CRAMM
• Etapa 2: Evaluación de riesgos – Identificar y valorar el tipo y nivel de amenazas que podrían afectar al sistema. – Evaluar la exposición del sistema frente a estas amenazas. – Combinar ambos aspectos con la valoración de los activos para determinar una medida del riesgo. 140/38
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - CRAMM
• Etapa 3: Identificación y Selección de contramedidas – Se propone una librería de contramedidas agrupadas en 70 grupos lógicos para facilitar su aplicación.
141/38
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - PTA
• El Practical Threat Analysis propone una suite para la elaboración de modelos de gestión de riesgos y permite estimar un nivel de seguridad a partir de la información incluida en cada proyecto. 142
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad - PTA
• La realización del modelo conlleva, como en casos anteriores una serie de fases: – Establecer los prerrequisitos del modelo – Establecer lista de etiquetas – Identificar los recursos del sistema – Identificar las vulnerabilidades del sistema – Identificar las contramedidas – Identificar a los atacantes potenciales – Identificar los potenciales puntos de entrada del sistema. – Construir los escenarios de amenazas y los planes de mitigación – Estudiar los resultados. 143
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad – ACE Team
• El ACE Team (Application Consulting & Engineering Team) es parte de InfoSec en Microsoft y los encargados de desarrollar un modelo de gestión de riesgos.
144
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad – ACE Team
• Se propone una metodología para la extracción de un modelo de gestión de riesgos: – Identificar los objetivos de negocio – Definir perfiles de usuario – Definir datos – Definir los controles de acceso a datos – Generar los cases para cada usuario – Definir componentes, servicios e identidades – Detallar las llamadas de y desde el sistema. – Generar y evaluar las amenazas (Attack Library) – Identificar la relevancia de cada componente – Remarcar las contramedidas. 145
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad – ACE Team
• Attack Library – Esta diseñada para: • Disponer del mínimo de información. • Transmitir la relación del exploit, la causa y la contramedida. • Ser accesible para que la especificación de ataques no suponga la presencia de un técnico avanzado en seguridad. – Entender cómo probar el exploit – Entender cómo reconocer una vulnerabilidad – Entender cómo implementar contramedidas 146
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad – ACE Team
•Ejemplos de Attack Library •Vandalism –Threat – Denial of Service due to damage of the machine Attack – Damage through blunt weapon attacks Vulnerability - Machines made of mostly plastic parts Mitigation - Use Cast Iron parts Vulnerability - Exposed telephone style button Mitigation – Use recessed buttons Attack - Damage through vehicle intrusions Vulnerability - ATM exposed in outdoor settings Mitigation – Recess ATM behind wall with only interop panel exposed Install Secura-Posts in front of ATMs 147
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad – ACE Team
• Skimming –Threat – exposure of ATM card/account data due to the presence of skimming devices on machines Attack-Skimming device placed over card reader slot Vulnerability – User cannot tell when a skimming device is present Mitigation – place an LCD screen along edge of card slot. When user inserts card, ask user to enter code displayed on LCD. If the user cannot see the LCD, skimming device present, notify bank personnel
148
MODULO II: Análisis de Riesgos -Sistemas de evaluación de seguridad – Conclusiones
• Es necesario definir un modelo de evaluación de riesgos • Los modelos existentes sólo permiten evaluar amenazas conocidas. Esta evaluación se puede hacer de forma cualitativa o cuantitativa. • Una parte clave de estos modelos es la definición de una métrica que permita evaluar el nivel de seguridad de un sistema. • En la definición de esta métrica es preciso evaluar las vulnerabilidades y, en eso de nuevo, hay dos posibilidades: una cuantitativa (más costosa) y otra cualitativa (menos precisa y objetiva). 149
MODULO III: Sistema de Gestión de Seguridad de la Información.
150
MODULO III: Sistema de Gestión de Seguridad de la Información.
• Objetivos y conceptos. • Procesos y actividades. • Gestión del servicio. • Implementación, pautas y metodología
151
MODULO III: Sistema de Gestión de Seguridad de la Información. La Implementación de un SGSDP se basa estándares internacionales: • • • • • • •
en los siguientes
BS 10012:2009 Data protection – Specification for a personal information management system ISO/IEC 27001:2013, Information technology – Security techniques – Information security management systems – Requirements. ISO/IEC 27002:2013, Information technology – Security techniques – Code of practice for information security controls. ISO/IEC 27005:2008, Information Technology–Security techniques– Information security risk management. ISO/IEC 29100:2011 Information technology – Security techniques – Privacy framework ISO 31000:2009, Risk management – Principles and guidelines ISO GUIDE 72, Guidelines for the justification and development of management systems 152
MODULO III: Sistema de Gestión de Seguridad de la Información. La Implementación de un SGSDP se basa estándares internacionales:
en los siguientes
•
ISO GUIDE 73, Risk management – Vocabulary
•
ISO 9000:2005, Quality management systems -- Fundamentals and vocabulary
•
NIST SP 800-14 Generally Accepted Principles and Practices for Securing Information Technology Systems
•
OECD Guidelines for the Security of Information Systems and Networks – Towards a Culture of Security.
153
MODULO III: Sistema de Gestión de Seguridad de la Información • La información es un activo esencial y es decisiva para la viabilidad de una organización. Adopta diferentes formas, impresa, escrita en papel, digital, transmitida por correo, mostrada en videos o hablada en conversaciones. • Debido a que está disponible en ambientes cada vez más interconectados, está expuesta a amenazas y vulnerabilidades. • La seguridad de la información es la protección de la información contra una amplia gama de amenazas; para minimizar los daños, ampliar las oportunidades del negocio, maximizar el retorno de las inversiones y asegurar la continuidad del negocio. • Se va logrando mediante la implementación de un conjunto adecuado de políticas, procesos, procedimientos, 154 organización, controles, hardware y software y, lo más
MODULO III: Sistema de Gestión de Seguridad de la Información • Para ISO (International Organization for Standardization) un sistema de gestión queda definido por un proceso de 4 etapas, creado por Walter Andrew Shewhart (1891 – 1967) y popularizado por William Edwards Deming (1900 – 1993), Planificar (Plan), Implementar (Do), Medir (Check) y Mejorar (Act). Planificar Implementar Medir Mejorar 155
MODULO III: Sistema de Gestión de Seguridad de la Información
Conceptos generales de un SGSI
• ISO 27001 es un Sistema de Gestión de la Seguridad de la Información (SGSI). • La seguridad de la información queda definida por tres atributos: a) Confidencialidad; b) Integridad; c) Disponibilidad. •) La seguridad de la información (SI) es la protección de la información contra una amplia gama de amenazas respecto a: i) Minimizar daños; ii) Oportunidades del negocio; iii) Retorno de la inversión; iv) Continuidad del negocio; v) Cultura ética. •) El SGSI garantiza la SI mediante una estructura de buenas prácticas, definidas por: a) Gestión de riesgos; b) Políticas; c) Procesos; d) Procedimientos; e) Controles; f) Revisiones; g) Mejoras. 156
MODULO III: Sistema de Gestión de Seguridad de la Información
La Seguridad de la Información consiste en mantener:
• Confidencialidad: Información exclusivamente a personas autorizadas. • Integridad: Mantenimiento de información, protegiéndola alteraciones no autorizadas. información puede parecer incompleta.
disponible
la exactitud y validez de de modificaciones Contra la integridad manipulada, corrupta
la o la o
• Disponibilidad: Acceso y utilización de los servicios sólo y en el momento de ser solicitado por una persona autorizada. 157
La documentación que se genera con la implantación del SGSI se estructurará de la siguiente forma:
MODULO III: Sistema de Gestión de Seguridad de la Información - Alcance • Por ejemplo, el alcance del SGSI queda cubierto por los procesos de las siguientes áreas: • Facility Espacio físico; energía eléctrica; aire acondicionado; protección contra incendios; accesos… • Administración Monitoreo; accesos lógicos; bases de datos; aplicativos… • Explotación/Respaldo Mallas de procesos; almacenamiento de información… • Comunicaciones Redes de datos; seguridad lógica; monitoreo equipos de comunicaciones; enlaces… • ERP SAP Administración de sistemas SAP. 159
MODULO III: Sistema de Gestión de Seguridad de la Información - Roadmap
160
MODULO III: Sistema de Gestión de Seguridad de la Información
161
162
163
MODULO III: Sistema de Gestión de Seguridad de la Información - Organización
• Comité de seguridad de la Información (CSI) (A 6.1.2 ó A 6.1.3) “Se deben mantener los contactos apropiados con las autoridades pertinentes.” Deben estar representadas todas las áreas de la empresa.
G. General; G. Negocios; G. Logística; G. Personas; G. Contraloría; D. Legal; G. Calidad; OSI.
• Oficial de seguridad de la información. • Área de calidad. • Auditores internos en calidad y seguridad de la información. • Revisiones Gerenciales • Políticas • Procesos y procedimientos
164
MODULO III: Sistema de Gestión de Seguridad de la Información – Riesgo Operacional • ¿Qué es el riesgo operacional? El Comité de Basilea II lo define como: “el riesgo de pérdidas debido a la inadecuación o a fallas en los procesos, personal y sistemas internos o por causa de eventos externos” • ¿Qué es la gestión de riesgo operacional? Más allá de la definición de riesgo operacional, lo importante es contar con un proceso de gestión de riesgos operativos o riesgos operacionales. Este proceso de riesgo operacional es el que debería garantizar la buena gestión de los riesgos según los estándares internacionales. Según el Comité de Basilea II, se entiende por “gestión” de riesgo operacional al proceso de “identificación, evaluación, seguimiento y control” del riesgo operacional. 165 Conclusión: La “gestión de riesgo" es un proceso esencial en la
MODULO III: Sistema de Gestión de Seguridad de la Información - Incidentes de Seguridad de la Información
• Definir cuáles serán tratados. Por ejemplo, los incidentes mayores. (Como se trata de un
tema
de
cambio
cultural,
la
recomendación es ir desde lo simple a lo complejo.) • Procedimiento de incidentes de SI. • Tratamiento. 166
MODULO III: Sistema de Gestión de Seguridad de la Información – Plan de continuidad del negocio
• Alcance. • Gestión de riesgo.
• Estrategias de continuidad.
• Plan de Continuidad. • Pruebas. • Mejoras.
167
MODULO III: Sistema de Gestión de Seguridad de la Información – Auditorías internas • Preparación de auditores. • Calendario. • Ejecución del calendario. • Tratamiento de hallazgos. • Mejoras.
168
MODULO III: Sistema de Gestión de Seguridad de la Información – Revisiones Gerenciales
• La alta dirección debe revisar el SGSI, según la planificación definida, según conveniencia, suficiencia y efectividad. • Estado de las acciones, en función de las RG anteriores. • Los cambios internos y externos relevantes para el SGSI. • Desempeño de: NC y acciones correctivas. Mediciones e indicadores. Resultado de auditorías internas y externas. Cumplimiento de los objetivos de la SI. • Comentarios de partes interesadas. • Resultado de la evaluación y tratamiento de riesgo. • Oportunidades para la mejora continua. • Acta que evidencie las acciones y los acuerdos de la RG.
169
MODULO III: Sistema de Gestión de Seguridad de la Información El punto de partida de la seguridad de la información Un cierto número de controles puede ser considerado un buen punto de partida para implementar la seguridad de la información. Estos están basados en requisitos legales esenciales o que se consideren práctica habitual de la seguridad de la información.
• Protección de los datos y la privacidad de la información personal.
• • • • •
Protección de los registros de la información. Derechos de la propiedad intelectual. Documentación de la política de seguridad de la información. Asignación de responsabilidades. Concienciación, formación y capacitación en seguridad de la información. • Vulnerabilidad técnica. • Gestión de incidentes de seguridad. • Gestión de continuidad del negocio.
170
MODULO III: Sistema de Gestión de Seguridad de la Información – Recomendaciones • ¿Cómo implementar buenas prácticas? • Diferencia entre el “qué se debe hacer” y el “cómo se hace” • Establecer acuerdos.
• El rol de las personas • Actitudes • Aptitudes
• Los • • •
ámbitos Predisponen (para bien o para mal) Relacionan y mezclan niveles. Que sean armónicos y no disonantes
• Los procesos • Procedimientos
• Las relaciones entre los procesos • La implementación
171
MODULO III: Sistema de Gestión de Seguridad de la Información – Factores críticos de éxito
• Política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa; • Una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional; • Apoyo y compromiso manifiestos por parte de la gerencia; • Un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos; • Comunicación eficaz a todos los gerentes y
MODULO III: Sistema de Gestión de Seguridad de la Información – Factores críticos de éxito
• Distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas; • Instrucción y entrenamiento adecuados; • Un sistema integral y equilibrado de medición que se utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo.
MODULO III: Sistema de Gestión de Seguridad de la Información – Certificación
QUÉ ES CERTIFICAR? El proceso de Certificación es la Generación de un INFORME Firmado por parte de un TERCERO (ajeno a la organización) que define que, de acuerdo con su CRITERIO PROFESIONAL, dicha Organización CUMPLE o NO CUMPLE con los Requerimientos establecidos en la Normativa.
MODULO III: Sistema de Gestión de Seguridad de la Información – Certificación
¿PORQUE CERTIFICAR? Para poder Mostrar al Mercado que la Organización tiene un adecuado SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACIÓN. Una empresa CERTIFICADA no implica que NO TIENE MAS RIESGOS DE SEGURIDAD DE LA INFORMACION, sino que tienen un adecuado Sistema de Gestión de dichos Riesgos y Proceso de MEJORA CONTINUA.
MODULO III: Sistema de Gestión de Seguridad de la Información – Certificación
¿QUE ORGANIZACIONES CERTIFICAR?
PUEDEN
Cualquier Organización, grande o pequeña, pública o privada, de Gobierno o sin fines de lucro, etc, está en condiciones y habilitada para CERTIFICARSE.
MODULO III: Sistema de Gestión de Seguridad de la ¿QUIENES ESTAN AUTORIZADOS A EFECTUAR LA Información – Certificación
CERTIFICACION? Cualquier Agente ajeno a la Organización (Profesional Independiente o Compañía) puede Firmar el Informe antes mencionado. Pero dado que la Certificación además de un valor Interno de Asegurarse de Cumplir con la Normativa, tiene un fin principal de poder Mostrar dicha Certificación al Mercado Externo, generalmente se recurre a Organizaciones que estén Técnicamente Aceptadas y además reconocidas INTERNACIONALMENTE para efectuar dicho trabajo. Por ello se recurre a Organizaciones que estén ACREDITADAS (este es el término técnico utilizado) en el Organismo Internacional de Acreditación. Ejemplo de este tipo de Organizaciones son el
MODULO III: Sistema de Gestión de Seguridad de la Información – Certificación
¿COMO ES EL PROCESO DE CERTIFICACION? El requerimiento previo es que la Organización cumpla con la Implementación del SGSI definido en la Sección anterior. Luego se convoca al Tercero para efectuar la CERTIFICACION.
MODULO III: Sistema de Gestión de Seguridad de la Información – Certificación
Los principales PASOS son: • Preparar la Documentación Soporte a Presentar • Efectuar la PREAUDITORIA para conocer el GAP Analysis respecto al Estándar • Identificar conjuntamente: las NO CONFORMIDADES (incumplimientos de acuerdo al Estándar) las NO CONFORMIDADES que son ACEPTADAS (sólo se documentan los argumentos de justificación) las NO CONFORMIDADES que NO son ACEPTADAS (se definen las MEJORAS a implementar)
MODULO III: Sistema de Gestión de Seguridad de la Información – Certificación
• Implementar las MEJORAS y Generar los Soportes Documentales correspondientes • Efectuar la AUDITORIA DE CERTIFICACION y Generación del Informe Final de Certificación incluyendo las NO CONFORMIDADES (aceptadas o NO y sus Riesgos Residuales aceptados por la Dirección de la Organización)
MODULO III: Sistema de Gestión de Seguridad de la Información – Certificación
¿PUEDE UNA ORGANIZACION CERTIFICACION?
PERDER
LA
• Si una Organización no cumple con los requerimientos, puede ocurrir que en la Auditoría Periódica la Empresa Certificadora solicite que se saque la Certificación Obtenida inicialmente.
MODULO III: Sistema de Gestión de Seguridad de la Información – Certificación
CERTIFICACION ISO 27001 EN PERU
• • • •
INDECOPI TELEFONICA DEL PERU HERMES PMC LATAM
182
BENEFICIOS • Establecimiento de una metodología de gestión de la seguridad clara y estructurada. • Reducción del riesgo de pérdida, robo o corrupción de información. • Los clientes tienen acceso a la información a través medidas de seguridad. • Los riesgos y sus controles son continuamente revisados. • Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial. • Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar. • Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…).
BENEFICIOS • Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. • Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras. • Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. • Confianza y reglas claras para las personas de la organización. • Reducción de costes y mejora de los procesos y servicio. • Aumento de la motivación y satisfacción del personal. • Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.
MODULO IV: Auditoría del Sistema.
185
MODULO IV: Auditoría del Sistema. • Objetivos y conceptos. • Procesos y actividades. • Auditoría del sistema. Conocimiento. • Métodos, técnicas y herramientas.
186
MODULO IV: Auditoría del Sistema. El arte de auditar un SGSI • Auditar el cumplimiento de la ISO 27001:2013 • Reuniendo evidencias • Que obtener • Técnicas de preguntas • Desarrollo de preguntas • El arte de auditar • Errores del auditor • Tácticas negativas en el auditado • Auditar el SGSI • Auditar los controles 187
MODULO IV: Auditoría del Sistema. Reuniendo evidencias • Entrevistar • Examinar Documentos • Observar actividades / condiciones • Verificar Independientemente • Tomar Notas
188
MODULO IV: Auditoría del Sistema. Que Observar • Escenarios – Técnico (físico, lógico,sectorial) – Legal – Organizacional • Equipo auditor coordinado desde el plan inicial
189
MODULO IV: Auditoría del Sistema. Que Observar • Identidad del Personal • Documentación • Registros • Producto • Escenarios – Técnico (físico, lógico) – Legal – Organizacional • Planos / Diseños • Hallazgos Reales
190
MODULO IV: Auditoría del Sistema. Técnica de Preguntas • ¿Qué? • ¿Por qué? • ¿Cuándo? • ¿Cómo? • ¿Dónde? • ¿Quién?
191
MODULO IV: Auditoría del Sistema. Desarrollo de Preguntas • Muéstreme .... ? • No comprendo .... ? • Que pasa si .... ? • Suponga que .... ? • Usted está diciendo que .... ? • Entiendo que .... ? • Esto significa que .... ? • Acercamiento en Silencio 192
MODULO IV: Auditoría del Sistema. El Arte de Auditar • Ser objetivo / cortés • Buscar no-conformidades • Ser persistente • Evitar críticas o discusiones • Evitar manifestar propias conclusiones • Mantener la independencia • Decidir “in situ” • Ser positivo 193
MODULO IV: Auditoría del Sistema. Que debe evitar el auditor • Mostrarse enfadado • Hablar demasiado • Llegue tarde • Discutir • Ser negativo • Ser sarcástico • Ser demasiado amistoso • Ser reservado • Hacer de consultor 194
MODULO IV: Auditoría del Sistema. Tácticas negativas en el auditado • Soborno • Engaño / deshonestidad • Excusas • Olvido • Interrupciones • “Pobre de mí...” • Pérdidas de tiempo, esperas • Ausencia de auditados • Súplicas • Falta de colaboración
195
MODULO IV: Auditoría del Sistema. Errores del Auditor • Mal énfasis • Falta de técnica • Errores de semántica • Error de lectura • Errores de percepción • Mala comprensión • Distracción • ¡Tengo razón! 196
MODULO IV: Auditoría del Sistema. Auditando el SGSI •Revisión documental de cada unos de los procedimientos de gestión del SGSI (Auditoría interna 9.2) • Revisión por la Gerencia (Auditoría interna 9.3) • Auditorías internas de los Controles (A.12.7.1) • Revisiones por parte de la dirección • Revisión documental de los registros del SGSI
197
MODULO IV: Auditoría del Sistema. Auditando controles •Procedimiento de implementación de controles • Roles y propietarios de cada uno de ellos • Procedimientos propios de los controles •Revisión de cumplimiento
198
MODULO IV: Auditoría del Sistema. Como auditar los controles • Sobre todos/algunos de los controles, la auditoría debe contemplar inspecciones del tipo: – Control organizacional • Revisión documental, entrevistas, observaciones e inspección física – Control técnico •Medir la efectividad mediantes system testing o mediante herramientas de audit/reporting – System testing 199 – Inspección visual
MODULO IV: Auditoría del Sistema. STAGE O. PLAN DE AUDITORÍA STAGE1. REUNION CON DIRECCION STAGE 2. AUDITORIA IN-SITU REUNION DE CIERRE CERTIFICACIÓN
200
MODULO IV: Auditoría del Sistema. STAGE O. PLAN DE AUDITORÍA Estudio de la complejidad de la organización, elaboración del plan de auditoría, designación del equipo auditor. • Estudio de la complejidad de la organización • Tiempos de auditoría • Designación del equipo auditor • Elaboración del plan de auditoría • Envío a la organización del plan de auditoría
201
MODULO IV: Auditoría del Sistema. STAGE O. PLAN DE AUDITORÍA
Complejidad de la organización • Dependiendo de la complejidad de la organización: – Determinaremos el equipo auditor – Determinaremos el tiempo de auditoría (junto con otros factores) • La complejidad la determinan diversas circunstancias de la organización que determinarán un nivel (riesgo potencial) • Alto •Medio • Bajo 202
MODULO IV: Auditoría del Sistema. STAGE O. PLAN DE AUDITORÍA Tiempos de auditoría • A según el número de empleados – (66-85) A=6 days – (876-1175) A=13 days • +(1 -3) days document review • + 2 days audit control ISO 27002 • + 0.5 x # sites • + factor (si sector riesgo alto) • Valor ejemplo -> 25 días de auditoria en una empresa de 1200 empleados con nivel alto de riesgo
203
MODULO IV: Auditoría del Sistema. STAGE 1. REUNION CON DIRECCION • Plan de Auditoría • Equipo auditor Revisión documental – Alcance – Política alto nivel – Cumplimiento legal – Procedimientos de gestión del SGSI – Evaluación de riesgos – Proceso de implantación de controles – Gestión de incidencias – Comité de seguridad
204
MODULO IV: Auditoría del Sistema.
STAGE 2. AUDITORÍA IN-SITU • • • • • • • • • •
Auditoría según el plan Auditando el sistema Auditando los controles Revisión técnica Revisión documental Mediante entrevistas Mediante inspección física Mediante testing/tools A usuarios, responsables,externos Por muestreo , a todos los sites
205
MODULO IV: Auditoría del Sistema. REUNION DE CIERRE • Introducción • Reseña • Impresión General • Puntos específicos • Conclusiones • Respuesta del Auditado • Recomendaciones de mejora • Firma de no-conformidades • Agradecimientos al Auditado • Despedida
206
MODULO IV: Auditoría del Sistema. Auditorías de seguimiento • A intervalos planeados desde el programa de auditoría • Normalmente cada seis meses • En algunas auditorías del SGSI se audita el alcance parcialmente para conseguir la certificación al final del proceso • A los tres años se requiere una recertificación
207
GRACIAS
Docente: Ing. Manuel Castillo Fernández 208