• Author / Uploaded
• Israel PULIDO MONTES

• Categories
• Seguridad de información
• Evaluación
• Política
• Riesgo
• Software

Citation preview

Taller ISO 27001

Autores: Israel Pulido Montes Brayam Francisco Maldonado Ortega

Corporación Universitaria Minuto de Dios Facultad de ingeniería Tecnología en Gestión de Seguridad en Redes de Computadores Seguridad en Redes NRC 20513 Bogotá, noviembre de 2018

Implementación ISO 27001

Contenido 1. Obtener el apoyo de la dirección 2. Tomarlo como un proyecto 3. Definir el alcance 4. Redactar una Política de SGSI 5. Definir la metodología de Evaluación de riesgos 6. Realizar la evaluación y el tratamiento de riesgos 7. Redactar la Declaración de aplicabilidad 8. Redactar el Plan de tratamiento del riesgo 9. Determinar cómo medir la eficacia de los controles 10. Implementación de controles y procedimientos obligatorios 11. Implementar programas de capacitación y concienciación 12. Hacer funcionar el SGSI 13. Supervisión del SGSI 14. Auditoría interna 15. Revisión por parte de la dirección 16. Medidas correctivas y preventivas 1)

Obtener el apoyo de la dirección Al momento de presentar el proyecto de la implementación de la norma casi siempre se obtiene un rechazo por parte de la dirección ya sea por falta de dinero y personal para realizar la implementación en la empresa. Se debe tener en cuenta ciertos factores para poder tener éxito en el momento de pasar la propuesta con el área encargada.  Cumplimiento: si la empresa donde se desea implementar hay que demostrar el retorno de la inversión, si una organización debe cumplir con varias regulaciones relacionadas con la protección de datos, la privacidad y el gobierno de TI la norma seria ejemplar.  ventaja de marketing: En un mercado cada vez más competitivo, a veces es muy difícil encontrar algo que lo diferencie a los ojos de sus clientes. ISO 27001 podría ser un punto de venta único, especialmente si maneja la información confidencial de los clientes  Bajar los gastos: La seguridad de la información generalmente se considera como un costo sin una ganancia financiera evidente. Sin embargo, hay una ganancia financiera si reduce sus gastos causados por incidentes. Es probable que tenga una interrupción en el servicio, una fuga de datos ocasional o empleados descontentos  Poner en orden tu negocio: una empresa que ha experimentado un fuerte crecimiento durante los últimos años, podría tener problemas como: quién tiene que decidir qué, quién es responsable de ciertos activos de información, quién

tiene que autorizar el acceso a sistemas de información etc. ISO 27001 es particularmente bueno para clasificar estas cosas: lo obligará a definir con precisión tanto las responsabilidades como los deberes y, por lo tanto, fortalecerá su organización interna.

2. Tomarlo como un proyecto la implementación de la norma ISO 27001 es un tema complejo que involucra diversas actividades, a muchas personas y puede demandar varios meses Si no define claramente qué es lo que se hará, quién lo hará y en qué período de tiempo es probable que nunca termine el trabajo 3. Definir el alcance el primer paso en la implementación de ISO 27001 es definir el alcance . probablemente este paso puede causarle muchos problemas. muchas empresas están tratando de disminuir sus costos de implementación reduciendo el alcance, pero a menudo se encuentran en una situación en la que tal alcance les causa dolor de cabeza. cuando el ámbito de la norma ISO 27001 no es la organización completa es que el Sistema de gestión de la seguridad de la información (SGSI) debe tener interfaces con el mundo "externo"; en ese contexto, el mundo exterior no son solo los clientes, socios, proveedores, etc.los departamentos de la organización que no están dentro del alcance, debe ser tratado de la misma manera que un proveedor externo. Por ejemplo, si elige que solo su departamento de TI está dentro de su alcance, y este departamento está utilizando los servicios del departamento de compras, el departamento de TI debe realizar una evaluación de riesgos de su departamento de compras para identificar si existe algún riesgo para la información para que el departamento de TI es responsable; además, esos dos departamentos deben firmar los términos y condiciones de los servicios prestados. certificar que, dentro de su alcance, usted puede manejar la información de manera segura, mientras que no puede verificar ninguno de sus departamentos fuera del alcance. La única manera de manejar esta situación es tratar a los departamentos fuera del alcance como si fueran un cliente externo 4.

Redactar una Política de SGSI

ISO 27001 requiere que la Política del Sistema de Gestión de Seguridad de la Información (SGSI), ya que el documento de mayor rango contiene lo siguiente: el marco para establecer objetivos, teniendo en cuenta diversos requisitos y obligaciones, se alinea con el contexto de gestión de riesgos estratégicos de la organización y establece la evaluación de riesgos criterios. Las políticas detalladas deben estar destinadas al uso operativo y centrarse en un campo más estrecho de las actividades de seguridad. Ejemplos de tales políticas son: Política de clasificación, Política de uso aceptable de activos de información, Política de

respaldo, Política de control de acceso, Política de contraseña, Política de escritorio y pantalla transparente, Política de uso de servicios de red, Política de informática móvil, Política de uso de controles criptográficos, etc. Nota: ISO 27001 no requiere que todas estas políticas se implementen y / o documenten, ya que la decisión de si dichos controles son aplicables y en qué medida, depende de los resultados de la evaluación de riesgos. Dicha política debería ser realmente muy corta (tal vez una o dos páginas) porque su objetivo principal es que la alta gerencia pueda controlar su SGSI. 5. Definir la metodología de Evaluación de riesgos La evaluación de riesgos es un proceso durante el cual una organización debe identificar los riesgos de seguridad de la información que determinan su probabilidad e impacto, la organización debe reconocer todos los problemas potenciales con su información, la probabilidad de que ocurran y las consecuencias. El propósito de la evaluación de riesgos es descubrir qué controles son necesarios para disminuir el riesgo: la selección de controles se denomina proceso de tratamiento de riesgos, y en ISO 27001 especifica 133 controles. La evaluación de riesgos se lleva a cabo mediante la identificación y evaluación de activos, vulnerabilidades y amenazas. Un activo es cualquier cosa que tenga valor para la organización: hardware, software, personas, infraestructura, datos (en diversas formas y medios), proveedores y socios, etc. Una vulnerabilidad es una debilidad en un activo, proceso, control, etc. que podría ser explotado por una amenaza; una amenaza es cualquier causa que puede causar daño a un sistema u organización. Un ejemplo de una vulnerabilidad es la falta de software antivirus; Una amenaza relacionada es el virus informático. 6. Realizar la evaluación y el tratamiento de riesgos El objetivo del proceso de tratamiento de riesgos es reducir los riesgos no aceptables, se debe redactar un Informe sobre la evaluación de riesgos que documente todos los pasos tomados durante el proceso de evaluación y tratamiento de riesgos. También es necesario conseguir la aprobación de los riesgos residuales; ya sea en un documento separado o como parte de la Declaración de aplicabilidad. Dependiendo lo grande que sea la empresa puede tomar tiempo de varios meses, por lo cual es aconsejable planificar y destinar los recursos adecuadamente. 7. Redactar la Declaración de aplicabilidad Al finalizar el proceso de tratamiento de riesgos, sabrá exactamente qué controles del Anexo necesita (hay un total de 114 controles, pero, probablemente, no los necesite a todos). El objetivo de este documento (generalmente denominado DdA) es enumerar todos los controles, definir cuáles son aplicables y cuáles no, definir

los motivos de esa decisión, los objetivos que se lograrán con los controles y describir cómo se implementarán. La Declaración de aplicabilidad también es el documento más apropiado para obtener la autorización de la dirección para implementar el SGSI.

8. Redactar el Plan de tratamiento del riesgo Este documento es un plan de implementación enfocado sobre los controles; sin el cual, no se podría coordinar los pasos siguientes del proyecto. El objetivo del Plan de tratamiento del riesgo es definir claramente cómo se implementarán los controles de la Declaración de Aplicabilidad (DdA), quién lo hará, cuándo, con qué presupuesto, etc. 9. Determinar cómo medir la eficacia de los controles El tema es si usted no puede medir lo que ha hecho, ¿cómo puede estar seguro de que ha logrado el objetivo? debe asegurarse de que cada uno de los objetivos planteados de toda el área de SGSI(Sistema de Gestión de Seguridad de la Información) se hayan cumplido al pie de la letra de cuando se plantearon garantizando su cumplimiento y que si se están desarrollando sea bajo los parámetros determinados.

10. Implementación de controles y procedimientos obligatorios Es la tarea más riesgosa de su proyecto ya que, generalmente, implica la aplicación de nuevas tecnologías, pero, sobre todo, la implementación de nuevas conductas en su organización. en la ISO/IEC 27001 de 2013 hay unos documentos obligatorios y otros no como:

Documentos obligatorios y registros requeridos por ISO 27001:2013             

El alcance del sistema de gestión de seguridad de la información (cláusula 4.3) Política de seguridad de la información y objetivos (cláusulas 5.2 y 6.2) Metodología de evaluación y tratamiento de riesgos (cláusula 6.1.2) Declaración de aplicabilidad (cláusula 6.1.3 d) Plan de tratamiento de riesgo (cláusula 6.1.3 e y 6.2) Informe sobre evaluación de riesgos (cláusula 8.2) Definición de roles y responsabilidades de seguridad (cláusulas A.7.1.2 y A.13.2.4) Inventario de activos (cláusula A.8.1.1) Uso aceptable de los activos (cláusula A.8.1.3) Política de control de acceso (cláusula A.9.1.1) Procedimientos de operación para gestión de TI (cláusula A.12.1.1) Principios de ingeniería de sistemas seguros (cláusula A.14.2.5) Política de seguridad para proveedores (cláusula A.15.1.1)

  

Procedimiento para gestión de incidentes (cláusula A.16.1.5) Procedimientos de Continuidad de negocio (cláusula A.17.1.2) Requerimientos legales, regulatorios y contractuales (cláusula A.18.1.1)

Y aquí están los registros obligatorios:       

Registros de formación, habilidades, experiencia y calificaciones (cláusula 7.2) Seguimiento y resultados de medición (cláusula 9.1) Programa de auditoria interna (cláusula 9.2) Resultados de auditorías internas (cláusula 9.2) Resultados de la Revisión por Dirección (cláusula 9.3) Resultados de acciones correctivas (cláusula 10.1) Registros de las actividades de usuario, excepciones y eventos de seguridad (cláusulas A.12.4.1 y A.12.4.3)

Documentos no obligatorios                  

Procedimiento para control de documentos (cláusula 7.5) Controles para la gestión de registros (cláusula 7.5) Procedimiento para auditoría interna (cláusula 9.2) Procedimiento para acciones correctivas (cláusula 10.1) Política BYOD (Bring Your Own Device = Trae tu propio dispositivo) (cláusula A.6.2.1) Política de dispositivo sobre dispositivos móviles y tele-trabajo (cláusula A.6.2.1) Política de clasificación de la información (cláusulas A.8.2.1, A.8.2.2 y A.8.2.3) Política de claves (cláusulas A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1 y A.9.4.3) Política de eliminación y destrucción (cláusulas A.8.3.2 y A.11.2.7) Procedimientos para trabajo en áreas seguras (cláusula A.11.1.5) Política de pantalla y escritorio limpios (cláusula A.11.2.9) Política de gestión de cambios (cláusulas A.12.1.2 y A.14.2.4) Política de Copias de seguridad (cláusula A.12.3.1) Política de transferencia de información (cláusulas A.13.2.1, A.13.2.2, y A.13.2.3) Análisis de impacto en el negocio (BIA) (cláusula A.17.1.1) Plan de pruebas y verificación (cláusula A.17.1.3) Plan de mantenimiento y revisión (cláusula 17.1.3) Estrategia de continuidad de negocio (cláusula A.17.2.1)

11. Implementar programas de capacitación y concienciación primero se les debe explicar a los empleados por qué son necesarias las políticas y procedimientos y posteriormente se les debe capacitar para que puedan actuar según lo esperado. ya que la falta de estas actividades son el segundo motivo principal por el fracaso del proyecto para la implementación de la norma ISO 27001 12. Hacer funcionar el SGSI la ISO 27001 es una rutina diaria es una rutina diaria dentro de su organización. La palabra más importante aquí es: “registros”. donde usted puede supervisar qué está sucediendo, sabrá realmente si sus empleados (y proveedores) están realizando sus tareas según lo requerido. ya que las auditorías siempre se fijan en los registros donde se ve si realmente se están haciendo las actividades realmente, pero sobre

todo permite a una organización poder tener la garantía que los procesos se hacen tal y como se tienen presupuestados y hacer un mejor rendimiento en su organización. 13. Supervisión del SGSI En este paso es donde se cruzan los objetivos de los controles con la metodología de medición; se debe verificar si los resultados que obtiene cumplen con lo que se estableció en los objetivos. Si no se cumplen, es evidente que algo está mal y debe aplicar medidas correctivas y/o preventivas que permitan que se cumplan todas las metas planteadas. 14. Auditoría interna Las auditorías internas nos ayudarán a verificar si algún miembro de nuestra organización está incumpliendo con las normas establecidas dentro de las políticas de implementación de la ISO 27001, la idea con las auditorías internas es poder descubrir problemas que se están presentando antes que nos perjudique la operatividad de la organización. 15. Revisión por parte de la dirección La dirección no debe realizar la configuración del cortafuego de la organización, pero sí debe estar plenamente al tanto de lo que está pasando en el SGSI si se tienen todos los controles y procesos y se están ejecutando adecuadamente en cumplimiento a la norma. La dirección si debe tomar decisiones importantes cuando se van a llevar acabo

16. Medidas correctivas y preventivas El objetivo del sistema de gestión es garantizar que todo lo que está mal (las denominadas “no conformidades”) sea corregido o, evitado. Por lo tanto, la norma ISO 27001 requiere que las medidas correctivas y preventivas se apliquen sistemáticamente; es decir, que se identifique la raíz de una no conformidad y se solucione y se controle.