Post on 23-Jun-2015
description
CIT
Consulting Information Technology CIT
Modelo de gestión de la seguridad, ISO 27002 :
Administración de seguridad de la informaciónP
olítica d
e s
eguridad
(1 O
bje
tivo,
2 C
ontr
ole
s)
Estructura organizativa(3 Objetivo, 11 Controles)
Clasificación de activos(2 Objetivo, 5 Controles)
Seguridad del personal(3 Objetivo, 9 Controles)
Seguridad física(2 Objetivo, 13 Controles)
Conformidad legal(3 Objetivo, 10 Controles)
Com
unic
acio
nes
Y o
pera
cio
nes
(10
Ob
jetivo
, 32 C
on
tro
les)
Contr
ol de a
cceso
(7 O
bje
tivo
, 25 C
on
tro
les)
Mante
nim
iento
De s
iste
mas
(6 O
bje
tivo
, 16 C
on
tro
les)
Pla
n d
e C
ontin
uid
ad d
e N
egocio
(1 O
bje
tivo
, 5 C
on
trole
s)
CIT
CIT
Consulting Information Technology CIT
Diagrama de la Norma
ISO 27002
Política de Seguridad
Organización de la
Seguridad de la información
Gestión de activos Control de accesos
conformidad
Seguridad en los
Recursos Humanos
Seguridad física y del
entorno
Gestión de
Incidentes de seg.
de la información
Gestión de la
Continuidad del
negocio
Gestión de
comunicaciones
y operaciones
Adquisición, desarrollo y
mantenimiento de
sistemas de información
Seguridad organizativa
Seguridad lógica
Seguridad física
Seguridad legal
CIT
CIT
Consulting Information Technology CIT
ISO/IEC 27002: 2005Sección 5: Política de seguridad
Política de seguridad
de la información
Documento
de política
Revisión
de la política
Trata de que se
disponga de una
normativa común de
seguridad que regule
las líneas maestras
sobre como va a
trabajar toda la
organización
CIT
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005
Sección 6: Aspectos Organizativos de la
Seguridad de la Información
Organización Interna Seguridad en
accesos de
Terceras partes
Identificación de
riesgos en el acceso
de terceros
Tratamiento de seguridad
En relación con los clientes
Tratamiento de seguridad
En contratos con terceros
Establece la estructura
organizativa (terceros,
responsables, comités,
colaboraciones, etc.) y su
funcionamiento de cara a
gestionar la seguridad de la
información
Compromiso de la
Dirección
Coordinación de la Seg
Responsables de
Seguridad
Autorización para
procesar la información
Acuerdo confidencialidad
Contacto autoridades
Grupo especial de interés
Revisión independiente
De la seguridad de la
informaciónCIT
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005
Sección 7: Clasificación y control de activos
Responsabilidades
sobre los activos
Inventario de
activos
Clasificación
de la información
Directrices de
clasificación
Etiquetado y
manipulado de la
información
Incorpora las herramientas para
establecer qué debe ser protegido,
qué nivel de protección requiere y
quién es el responsable principal
de su protecciónPropiedad de
los activos
Uso aceptable de
los activos
CIT
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005
Sección 8: Seguridad relacionada con el personal
Seguridad antes
del empleo
Funciones y
responsabilidades
Investigación de
antecedentes
Términos y
condiciones
Durante el
empleo
Responsabilidades
de la
dirección
Cese del empleo
cambio de puesto
Responsabilidad del
cese o cambio
Devolución de activos
Retiro de los derechos
de acceso
Establece las medidas de seguridad que se van
a tomar con el personal, ya que finalmente son
estos los que van a utilizar los sistemas y la
información
Concienciación,
formación
y capacitación
Procesos
disciplinarios
CIT
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005Sección 9: Seguridad física y del entorno
Áreas seguras
de información
Perímetro de
Seguridad física
Controles físicos
de entrada
Seguridad oficinas,
despachos e insta.
Protección amenazas
Externas de
origen ambiental
Seguridad de los
Equipos
Emplazamiento y
Protección equipos
Instalaciones
suministros
Seguridad cableado
Mantenimiento
de equipos
Seguridad equipos
fuera de la oficina
Zonas de carga
y descarga
Retirada de materiales
Propiedad de la
empresa
Incluye las medidas de
seguridad física (edificios,
salas, cableado, armarios,
etc.) que se deben tomar para
proteger los sistemas y la
información
Trabajo en
áreas seguras
Reutilización o ret.
Segura de equipo
CIT
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005Sección 10: Gestión de comunicaciones y operaciones
Procedimientos y
responsabilidades
Segregación de
tareas y
responsabilidades
Separación de
Ambientes (desarrollo,
Prueba y operación)
Provisión servicios
por terceros
Provisión de servicios
Supervisión y revisión
Servicios por terceros
Planificación y
Aceptación del sist.
Gestión de
capacidades
Protección código
Malicioso y descargable
Control contra código
malicioso.
Control contra código
Descargado por el
cliente
Determina las medidas de
seguridad que la organización
debe contemplar en sus
operaciones y en el uso de las
comunicaciones
Gestión de cambios
Servicios prestado
por terceros
Aceptación del
Sistema
Control de cambios
operacionales
Procedimientos de
operaciones escritos
CIT
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005Sección 10: Gestión de comunicaciones y operaciones
Copias de seguridad
Copias de seguridad de
La información
Manipulación
de los soportes
Gestión de soportes
extraíbles
Retirada de soportes
Soportes físicos
en transito
Intercambio de
información
Políticas y
procedimiento
Intercambio de informac.
Acuerdos de cambio
Determina las medidas de
seguridad que la organización
debe contemplar en sus
operaciones y en el uso de las
comunicaciones
Procedimientos de
Manipulación de la info.
Mensajería
Electrónica
Seguridad de
Redes
Controles de red
Seguridad de los
Servicios de red
Seguridad de la
Documentación del sist.
Sistemas de información
empresariales CIT
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005Sección 10: Gestión de comunicaciones y operaciones
Supervisión
Registro de
Auditorias
Supervisión uso del
sistema
Protección de la
Información registros
Registros administración
y operación
Registro de fallos
Sincronización de reloj
Servicios de
Comercio electrónico
Comercio electrónico
Transacciones en línea
Información pública
CIT
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005
Sección 11: Control de acceso
Requisitos de negocio
para control de acceso
Política control
acceso
Responsabilidad
usuarios
Uso de
passwords
Equipos
desatendidos
Gestión de
Acceso usuarios
Registro
Privilegios
Revisión
Derechos
Passwords
Control de
Acceso a la red
Política
Routing
Identificación de
equipos de red
Diagnostico remoto
Protección puertos
configuración
Segregación de
redes
Segregación
de redes
Control de
conexión
Control de
routing
Establece las medidas de
control de acceso a la
información a los distintos
niveles en los que se
puede plantear
Puesto de trabajo
despejado y
pantalla limpia
CIT
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005
Sección 11: Control de acceso
Sistema gestión
contraseña
Uso recursos del
sistema
Desconexión
Automática de sesión
Limitación tiempo
conexión
Control de acceso
al SO
Procedimiento seguro
de inicio de sesión
Identificación y
Autenticación usuario
Control acceso
a aplicaciones y a la
información
Restricción
de acceso
Aislamiento
de sistemas sensibles
Ordenadores portátiles
y teletrabajo
Informática
móvil
Teletrabajo
CIT
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005
Sección 12: Adquisición, desarrollo y mantenimiento
de los sistemas de informaciónRequisitos
de seguridad de sistemas
de información
Análisis y
especificaciones
Seguridad de los
Archivo del sistema
Tratamiento correcto
de las aplicaciones
Validación de
Datos de entrada
Control software
en explotación
Protección
datos prueba
Control
Código fuente
Control proceso
interno
Integridad de
los mensajes
Validación de los
datos de salida
Controles
criptográficos
Política de
criptografía
Gestión claves
Seguridad
Desarrollo y
soporte
Control de
cambios
Revisión técnica de
Aplicaciones tras
cambios SO
Restricción de
Cambios software
Fugas de
información
Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de
sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones
Desarrollo
externalizado
Vulnerabilidad
técnica
Control de
vulnerabilidades
CIT
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005
Sección 13: Gestión de incidentes en la seguridad de la
información
Notificación eventos y puntos
Débiles de la seguridad
de la información
Notificación eventos
Notificación puntos Débiles de la seguridad
Incidentes de seguridad
de la información y
mejoras
Responsabilidades y
Procedimientos
Aprendizaje de los
Incidentes de seguridad
Recopilación de
evidencias
Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de
sus sistemas y al desarrollo de los aplicativos que utiliza en sus operaciones
CIT
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005
Sección 14: Gestión de la continuidad del negocio
Seguridad de la información
en la gestión del negocio
Inclusión de la seguridad
de la información en
el proceso de gestión de
continuidad del negocio
Continuidad del negocio
y evaluación de riesgos
Desarrollo e implantación
de planes de continuidad
que incluyan seguridad de
la información
Marco de referencia para la
Planificación de la continuidad
del negocio
Pruebas, mantenimiento y
Reevaluación de planes de
continuidad
CIT
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005
Sección 15: Cumplimiento
Cumplimiento de los
Requisitos legales
Identificación de la
Legislación aplicable
Derechos propiedad
Intelectual (DPI)
Protección documentos
de la organización
Protección datos y
Privacidad información
personal
Cumplimiento de lasPolíticas y normas de seguridad
y cumplimiento técnico
Cumplimiento de las políticas
y normas de seguridad
Trata los aspectos que se deben contemplar sobre el correcto mantenimiento de sus sistemas y al
desarrollo de los aplicativos que utiliza en sus operaciones
Consideraciones de las
Auditorías de los
Sistemas de información
Protección de las herramientas
de auditoria de los sistemas de
información
Prevención uso indebido
De los recursos tratamiento
de la información
Regulación de los controles
criptográficos
Comprobación del
Cumplimiento técnico
Control de Auditoría
de los sistemas de información
CIT
CIT
Consulting Information Technology CIT
La Seguridad es un proceso,
No un producto
¿Preguntas?A
po
yo
gere
ncia
l
Necesitamos la
artillería correctaEquipo Sólido
Alianzas
Estratégicas
Gracias …
CIT
CIT
Consulting Information Technology CIT
ISO/IEC 27002:2005
www.consultinginformationtechnology.com
info@consultinginformationtechnology.com
www.facebook.com/CITNIC
www.linkedin.com/in/cirobonilla
CIT