Post on 16-Apr-2017
ISO 27001:2013Introducción a la ciberseguridadRecursosLa norma
¿Por qué estamos aquí?
Fuente: https://www.fireeye.com/cyber-map/threat-map.html
Fuente: http://resources.infosecinstitute.com/2013-impact-cybercrime/
¿Por qué estamos aquí?
Fuente: http://www.elmundo.es/tecnologia/2014/12/24/549a5be922601dd0458b456d.html
Fuente: http://internacional.elpais.com/internacional/2014/12/19/actualidad/1419014261_319604.html
Casos recientes
Casos actuales
Fuente: https://www.schneier.com/blog/archives/2014/02/the_mask_espion.html
Recursos
Herramientas gratuitas
Certificaciones
Fuente: http://www.globalknowledge.com/training/generic.asp?pageid=3632
Certified Information Security Manager (CISM) $114,844
Certified Ethical Hacker (CEH) $103,822
Certified Information Systems Auditor (CISA) $112,040
Fuente: http://www.businessinsider.com/15-more-tech-skills-that-can-instantly-net-you-a-100000-salary-2013-4?IR=T
Six Sigma, green belt, $116,987
Etc… Etc…
Sueldo medio en EEUU
Complementos y alternativas a ISO 27001
Cloud Controls Matrix (CCM) : Cloud Security AlliancePayment Card Industry Data Security Standard
Report on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy
MPAA Facility Security Program
Malta Gaming Authority (MGA)
The Standard of Good Practice for Information SecurityISM3 v1.20: Information Security Management Maturity Model
ISO 27001. Origen“Code of good
security practice for information
security”
BS 7799
ISO 27001
DISC PD003
Principios 90 El Ministerio de Industria y Comercio del Reino Unido da soporte a su desarrollo. Se crea ITSEC y DISC PD003
1995 Adoptado por primera vez como British Standard (BS)
1998 Se publican los requisitos para la certificación
1999 Se edita la Segunda Edición donde se incluyen comercio electrónico, los ordenadores portátiles y contratación con terceros.
2000 Se aprueba la ISO 17799 Parte 1 en Agosto.
2002 BS 7799-2:2002 publicado el 5 de SeptiembreÉnfasis en la concordancia con ISO 9001 y la ISO 14001Se adopta el modelo PDCA
2004 Se publica la UNE 71502, elaborada por el AEN/CTN 71
2005 Se publica ISO 27001:2005
2013 Se publica ISO 27001:2013
La familia ISO 27000Las normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y contienen mejores prácticas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI).
• ISO/IEC 27000, Information security management systems — Overview and vocabulary
• ISO/IEC 27001, Information security management systems — Requirements
• ISO/IEC 27002, Code of practice for information security controls• ISO/IEC 27003, Information security management system implementation
guidance• ISO/IEC 27004, Information security management — Measurement• ISO/IEC 27005, Information security risk management• ISO/IEC 27006, Requirements for bodies providing audit and certification
of information security management systems• SO/IEC 27007, Guidelines for information security management systems
auditing
La familia ISO 27000
• ISO/IEC TR 27008, Guidelines for auditors on information security controls
• ISO/IEC 27010, Information security management for inter-sector and inter-organizational communications
• ISO/IEC 27011, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
• ISO/IEC 27013, Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
• ISO/IEC 27014, Governance of information security• ISO/IEC TR 27015, Information security management guidelines for
financial services• ISO/IEC TR 27016, Information security management — Organizational
economics• ETC.
¿Para qué sirve?…para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI/ISMS).
Beneficios de un SGSI.
Proporcionar las mejores prácticas de seguridad de la información
Permitir a las organizaciones desarrollar, implantar y medir prácticas efectivas de gestión de la seguridad
Proporcionar confianza en las organizaciones y su actividad (interno y externo: valor para marketing)
Aplicable a un amplio rango de organizaciones - grandes, medianas y pequeñas
El proceso de evaluación periódica ayuda a supervisar continuamente rendimiento y mejora
Permite de manera ordenada identificar riesgos, evaluarlos y gestionarlos
¿Qué es un SG…SI?Un Sistema de Gestión es un sistema para establecer la política y objetivos de una organización y lograrlos, mediante:• Una estructura organizativa donde las funciones, responsabilidades, autoridad, etc. de las
personas están definidas• Procesos y recursos necesarios para lograr los objetivos• Metodología de medida y de evaluación para valorar los resultados frente a los objetivos,
incluyendo la realimentación de resultados para planificar las mejoras del sistema• Un proceso de revisión para asegurar que los problemas se corrigen y se detectan
oportunidades de mejora e implementan cuando están justificadas
Un sistema de gestión de la seguridad de la información (SGSI) (en inglés: information security management system, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de administración de la informaciónUn SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información.
Fuente: http://es.wikipedia.org/wiki/Sistema_de_gesti%C3%B3n_de_la_seguridad_de_la_informaci%C3%B3n
¿Qué es la información?información.(Del lat. informatĭo, -ōnis).1. f. Acción y efecto de informar.2. f. Oficina donde se informa sobre algo.3. f. Averiguación jurídica y legal de un hecho o delito.4. f. Pruebas que se hacen de la calidad y circunstancias necesarias en una persona para un empleo u honor. U. m. en pl.5. f. Comunicación o adquisición de conocimientos que permiten ampliar o precisar los que se poseen sobre una materia determinada.6. f. Conocimientos así comunicados o adquiridos.7. f. Biol. Propiedad intrínseca de ciertos biopolímeros, como los ácidos nucleicos, originada por la secuencia de las unidades componentes.8. f. ant. Educación, instrucción.Fuente: RAE
La información es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje.Fuente: Wikipedia
Information is an asset which,like other important business assets, has value to an organization and consequently needs to be suitably protectedFuente: ISO/IEC 27002:2005
¿Dónde está la información?•Papel•Medios electrónicos
Ordenadores Almacenamiento
físico/virtual USBs En tránsito Etc.
•Videos•Conversaciones•Web•Personas•En los sitios más insospechados…
Fuente: http://en.wikipedia.org/wiki/Bob_Quick_%28police_officer%29
Fuente: http://dinovida.files.wordpress.com/
La seguridad de la información no es seguridad informática. Va más allá.
Seguridad de la información. ConceptosMedidas que permiten proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma (free of danger)
¿Se puede conseguir la seguridad total? La respuesta es no, pero si que mediante distintos enfoques y aproximaciones, se puede obtener una seguridad aceptable:• Mediante la gestión y tratamiento de riesgos• Formando a las personas• Securizando procesos y tecnología• Etc.
La seguridad de la información es algo que no puedes comprar, tienes que
construir.It’s a process not a product
Fuente: Silvia Villanueva
Seguridad de la información. ConceptosSegún la ISO, la seguridad se caracteriza como la preservación de la confidencialidad, integridad y disponibilidad de la información; adicionalmente pueden tenerse en consideración otras propiedades como autenticación, responsabilidad, no repudio y fiabilidad
TRAZABILIDAD
AUTENTICACION
NO REPUDIO
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
SEGURIDAD SEGURIDAD TOTAL
SEGURIDAD NECESIDADES OPERATIVAS
RESPONSABILIDAD
GESTIÓN DE LA SEGURIDAD
ISO 27001. Cambios notables• Pone más peso en medir y evaluar (métricas e indicadores) el
sistema de gestión• Desaparece la sección de enfoque a procesos dando más flexibilidad
de elección de metodologías de trabajo para análisis de riesgos y mejoras.
• No enfatiza tanto el ciclo de Demming como la ISO27001:2005• Mejora la integración con ISO9000 e ISO20000. Cambia su
estructura conforme al anexo SL.• Incorpora la externalización de servicios en el dominio “relaciones
con el proveedor”.• Se parte del análisis de riesgos para determinar los controles
necesarios (SoA) en lugar de identificar primero activos, amenazas y vulnerabilidades
ISO 27001. Cambios notablesPasa de 102 requisitos a 130Pasa de 11 a 14 dominios (clausulas) y de 133 a 114 controles (sub clausulas)La normativa ISO 27002 se ha incorporado al anexo A
• Controles nuevos:• A.6.1.5 Information security in project management• A.12.6.2 Restrictions on software installation• A.14.2.1 Secure development policy• A.14.2.5 Secure system engineering principles• A.14.2.6 Secure development environment• A.14.2.8 System security testing• A.15.1.1 Information security policy for supplier relationships• A.15.1.3 Information and communication technology supply chain• A.16.1.4 Assessment of and decision on information security events• A.16.1.5 Response to information security incidents• A.17.2.1 Availability of information processing facilities
2005 2013
ISO 27001. Estructura
ISO 27001. Estructura1.- Alcance
• -No es el alcance del SGSI• -aplicable a cualquier organización• -Genérica• -Los requisitos de las clausulas 4 a la 10 no son excluibles
2.- Referencias normativas
• -La norma ISO 27000• -La norma ISO 27002 ya no es referencia normativa.
3.- Términos y definiciones
• -La norma ISO 27000
ISO 27001. Contexto de la organización4.- Contexto de la Organización
• La organización debe preocuparse, y por tanto determinar, qué cuestiones o aspectos internos y externos están involucrados en el propósito de la misma y pueden afectar a la capacidad de alcanzar los resultados previstos para su SGSI
• Instituye los requerimientos para definir el contexto del SGSI sin importar el tipo de organización y su alcance.
• Introduce una nueva figura (las partes interesadas) como un elemento primordial para la definición del alcance del SGSI.
• Establece la prioridad de identificar y definir formalmente las necesidades de las partes interesadas con relación a la seguridad de la información y sus expectativas con relación al SGSI, pues esto determinará las políticas de seguridad de la información y los objetivos a seguir para el proceso de gestión de riesgos.
• La guía para realizar este estudio puede ser ISO 31000:2009 (4.3.1, 5.3.1, etc.)
ISO 27001. Liderazgo y Compromiso5.- Liderazgo y Compromiso de la dirección
• Ajusta la relación y responsabilidades de la Alta Dirección respecto al SGSI, destacando de manera puntual cómo debe demostrar su compromiso, por ejemplo:
• Garantizando que los objetivos del SGSI y “La política de seguridad de la información”, anteriormente definida como “Política del SGSI”, estén alineados con los objetivos del negocio.
• Garantizando la disponibilidad de los recursos para la implementación del SGSI (económicos, tecnológicos, etcétera).
• Garantizando que los roles y responsabilidades claves para la seguridad de la información se asignen y se comuniquen adecuadamente.
ISO 27001. Planificación• Se deben determinar los riesgos y oportunidades a la hora de planificar el
SGSI, así como establecer objetivos de Seguridad de la Información y el modo de alcanzar estos
• Se presentan grandes cambios en el proceso de evaluación de riesgos: el proceso para la evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las amenazas.
• Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información.
• El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa.
• Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario del riesgo”.
• Los requerimientos del SOA no sufrieron transformaciones significativas• objetivos
Análisis de riesgos ¿Por qué?• El Análisis de riesgos es un concepto requerido para el buen gobierno de TI• La gestión de los riesgos es una piedra angular del buen gobierno.• Es un principio fundamental que las decisiones de gobierno se• fundamenten en el conocimiento de los riesgos que implican.• El conocimiento de los riesgos permite calibrar la confianza en que los• sistemas desempeñarán su función como la Dirección espera.• En particular de los riesgos provenientes del uso de las TIC.• Marco equilibrado de Gobierno – Gestión de Riesgos – Cumplimiento• (GRC).• Tratamiento de los riesgos de las TIC en relación con los demás riesgos.• Referente: ISO 38500 (Gobierno de TI)
Análisis de riesgos. Ciclo de Vida
Análisis de riesgos. Ciclo de Vida
Análisis de riesgos. Ciclo de Vida
Análisis de riesgos. Conceptos• Riesgo: Estimación del grado de exposición a que una amenaza se
materialice sobre uno o mas activos causando daños o perjuicios a la Organización
El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente. Es importante saber qué características son de interés en cada activo, así como saber en qué medida (cuantificar) estas características están en peligro, es decir, analizar el sistema:
• Análisis de Riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización
Una vez conocidos los riesgos se presentan para tomar decisiones:
• Tratamiento de los riesgos: proceso destinado a modificar el riesgo
Análisis de riesgos. Conceptos• Amenaza: Causa potencial de un incidente que puede causar daños a un
sistema de información o a una organización. [UNE 71504:2008].
• Degradación: cuán perjudicado resultaría el activo. La degradación mide el daño causado por un incidente en el supuesto de que ocurriera.
• Frecuencia: cada cuánto se materializa la amenaza
• Vulnerabilidad: toda debilidad que puede ser aprovechada por una amenaza, o, más detalladamente, a las debilidades de los activos o de sus medidas de protección que facilitan el éxito de una amenaza potencial.
Son vulnerabilidades todas las ausencias o ineficacias de las salvaguardas pertinentes para salvaguardar el valor propio o acumulado sobre un activo. A veces se emplea el término “insuficiencia” para resaltar el hecho de que la eficacia medida de la salvaguarda es insuficiente para preservar el valor del activo expuesto a una amenaza.
Análisis de riesgos. Conceptos• Un activo tiene valor para la compañía y está lo expone a un riesgo con la
esperanza de obtener un beneficio (oportunidad) .
• La materialización de la amenaza a través de la explotación de una vulnerabilidad degrada el valor del activo y le puede afectar a su confidencialidad, integridad o disponibilidad.
• Los riesgos se identifican y se valoran cualitativa o cuantitativamente, tomando en cuenta la frecuencia de aparición (o probabilidad) e impacto.
• Una vez identificados los riesgos se tratan aplicando medidas (Plan de tratamiento de riesgos).
• El riesgo residual (riesgo existente después de aplicar medidas) debe ser conocido y formalmente aceptado por la Organización (dirección)
• El apéndice A de la ISO 27001:2013 o la ISO27002 es un catalogo de salvaguardas o medidas a aplicar para tratar el riesgo.
Análisis de riesgos según MAGERIT V3• 1. determinar los activos relevantes para la Organización, su interrelación y
su valor, en el sentido de qué perjuicio (coste) supondría su degradación
• 2. determinar a qué amenazas están expuestos aquellos activos
• 3. determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo
• 4. estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza
• 5. estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza
ISO 27001:2013-Análisis de riesgo según contexto, no según activos-Riesgos asociados a la perdida de Confidencialidad, Integridad y Disponibilidad de la I.-Se substituye “propietario del activo” por “propietario del riesgo”
Lista de tareas de AR según MAGERIT V3
ISO 27001. Planificación
Resumiendo:• Hay que definir, aplicar y documentar un proceso de evaluación de riesgos,
propio o de terceros, focalizado en los valores de la seguridad de la información
• Hay que definir los criterios de aceptación de riesgo (Riesgo aceptable)• Identificad los riesgos principales y los propietarios de esos riesgos.
Priorizarlos• Diseñar un plan de tratamiento de riesgos, comparar los controles
necesarios con el anexo A y elaborar el Statement of applicability (SoA)• El SoA debe revisar los controles del anexo A y justificar su inclusión
o exclusión.• Crear el plan de seguridad y obtener la aprobación de los propietarios del
riesgo• Crear objetivos (6.2) de seguridad. Como en otras normas.
ISO 27001. Soporte
• Marca los requerimientos de soporte para el establecimiento, implementación y mejora del SGSI, que incluye:
• Recursos, personal competente, concienciación y comunicación con las partes interesadas
• Se incluye una nueva definición “información documentada” que sustituye a los términos “documentos” y “registros”; abarca el proceso de documentar, controlar, mantener y conservar la documentación correspondiente al SGSI. Depende del tamaño de la organización.
• El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un determinado conjunto de estos.
ISO 27001. Operación
• Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas de la Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el del estándar. Es la realización de lo determinado en 6.1 y 6.2 (planificación)
• Además, plantea que la organización debe planear y controlar las operaciones y requerimientos de seguridad, erigiendo como el pilar de este proceso la ejecución de evaluaciones de riesgos de seguridad de la información de manera periódica por medio de un programa previamente elegido.
• Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos. Solo se requiere para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad
ISO 27001. Evaluación del rendimiento
• En un SGSI es fundamental medir, medir, y… medir. Para ello, se llevarán a cabo actividades de análisis y evaluación, auditorías internas y la revisión por la dirección del Sistema de Gestión de Seguridad de la Información
• La base para identificar y medir la efectividad y desempeño del SGSI continúan siendo las auditorías internas y las revisiones del SGSI.
• Se debe considerar para estas revisiones el estado de los planes de acción para atender no conformidades anteriores y se establece la necesidad de definir quién y cuándo se deben realizar estas evaluaciones así como quién debe analizar la información recolectada
ISO 27001. Mejora continua
• Una organización deberá mejorar continuamente la adecuación y eficacia del SGS, así cómo dar solución a todas las acciones correctivas y no conformidades detectas
Dominios (Clausulas) y Controles (Salvaguardas) A.5: Information security policies (2 controls) A.6: Organization of information security (7 controls) A.7: Human resource security - 6 controls that are applied before, during, or after employment A.8: Asset management (10 controls) A.9: Access control (14 controls) A.10: Cryptography (2 controls) A.11: Physical and environmental security (15 controls) A.12: Operations security (14 controls) A.13: Communications security (7 controls) A.14: System acquisition, development and maintenance (13 controls) A.15: Supplier relationships (5 controls) A.16: Information security incident management (7 controls) A.17: Information security aspects of business continuity management (4 controls) A.18: Compliance; with internal requirements, such as policies, and with external requirements, such as laws (8 controls)
Dominios (Clausulas) y Controles (Salvaguardas)
Diagram_of_ISO_27001_2013_Implementation_Process_ES.pdf
Fuente: http://http://www.iso27001standard.com
Microsoft Word Document
Diagrama de implantación de ISO 27001
Lista de verificación (Checklist) de implantación de ISO 27001
Documentación obligatoria• Alcance del SGSI (punto 4.3)• Objetivos y política de seguridad de la información (puntos 5.2 y 6.2)• Metodología de evaluación y tratamiento de riesgos (punto 6.1.2)• Declaración de aplicabilidad (SoA) (punto 6.1.3 d)• Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2)• Informe de evaluación de riesgos (punto 8.2)• Definición de roles y responsabilidades de seguridad (puntos A.7.1.2 y
A.13.2.4)• Inventario de activos (punto A.8.1.1)• Uso aceptable de los activos (punto A.8.1.3)• Política de control de acceso (punto A.9.1.1)• Procedimientos operativos para gestión de TI (punto A.12.1.1)• Principios de ingeniería para sistema seguro (punto A.14.2.5)• Política de seguridad para proveedores (punto A.15.1.1)• Procedimiento para gestión de incidentes (punto A.16.1.5)• Procedimientos para continuidad del negocio (punto A.17.1.2)• Requisitos legales, normativos y contractuales (punto A.18.1.1)
Registros obligatorios• Registros de capacitación, habilidades, experiencia y evaluaciones (punto
7.2)
• Monitoreo y resultados de medición (punto 9.1)
• Programa de auditoría interna (punto 9.2)
• Resultados de auditorias internas (punto 9.2)
• Resultados de la revisión por parte de la dirección (punto 9.3)
• Resultados de medidas correctivas (punto 10.1)
• Registros sobre actividades de los usuarios, excepciones y eventos de seguridad (puntos A.12.4.1 y A.12.4.3)
Gracias¿Preguntas?
Mailto: Gnzldlp@gmail.com