Post on 04-Aug-2015
Contenido
CAPITULO I: Introducción a ISO/IEC 27000......................................................................1
1.1. Historia......................................................................................................................1
1.2. Propósito de ISO/IEC 27000.................................................................................2
1.3. Relación con COBIT, 17799..................................................................................3
1.4. Relación con otros estándares..............................................................................5
1.4.1. Normas ISO del SC27....................................................................................5
1.4.2. ITIL....................................................................................................................6
1.4.3. BS 7799-3.........................................................................................................7
1.4.4. BS 25999..........................................................................................................7
1.5. Certificación.............................................................................................................8
1.5.1. Implantación del SGSI....................................................................................8
1.5.2. Auditoría y certificación................................................................................11
CAPITULO II: ISO/IEC 27000.............................................................................................16
2.1. Alcance...................................................................................................................16
2.2. Comunicación........................................................................................................16
2.3. Requisitos para un sistema de gestión seguridad TI.......................................17
2.4. Planificación e implementación de la gestión de seguridad TI.......................19
2.4.1. Plan: Establecer el SGSI..............................................................................20
2.4.2. Do: Implementar y utilizar el SGSI..............................................................23
2.4.3. Check: Monitorizar y revisar el SGSI..........................................................23
2.4.4. Act: Mantener y mejorar el SGSI.................................................................24
CAPITULO III: Implementación...........................................................................................26
3.1. Implementación incremental de NTP-ISO/IEC 27001:2008............................26
3.2. Caso Práctico.........................................................................................................28
3.2.1. Planear............................................................................................................29
3.2.2. Hacer...............................................................................................................31
3.2.3. Verificar...........................................................................................................34
3.2.4. Actuar..............................................................................................................35
Capitulo IV: Conclusiones y Recomendaciones...............................................................37
CAPITULO I: Introducción a ISO/IEC 27000
1.1. Historia
Desde 1901, y como primera entidad de normalización a nivel mundial,
BSI (British Standards Institution, la organización británica equivalente a
AENOR en España) es responsable de la publicación de importantes normas
como:
La norma BS 7799 de BSI aparece por primera vez en 1995, con
objeto de proporcionar a cualquier empresa -británica o no- un conjunto
de buenas prácticas para la gestión de la seguridad de su información.
La primera parte de la norma (BS 7799-1) es una guía de buenas prácticas,
para la que no se establece un esquema de certificación. Es la segunda
parte (BS 7799-2), publicada por primera vez en 1998, la que establece los
requisitos de un sistema de seguridad de la información (SGSI) para ser
certificable por una entidad independiente.
Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte
se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año
2000.
En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas
ISO de sistemas de gestión.
En 2005, con más de 1700 empresas certificadas en BS7799-2, este
esquema se publicó por ISO como estándar ISO 27001, al tiempo que
se revisó y actualizó ISO17799. Esta última norma se renombra como
ISO 27002:2005 el 1 de Julio de2007, manteniendo el contenido así como
el año de publicación formal de la revisión.
1
1.2. Propósito de ISO/IEC 27000
La ISO 27000 es un conjunto de estándares que tienen como propósito definir
y brindar un marco de gestión de la seguridad de la información, el cual puede
ser utilizado por cualquier clase de organización. Las normas que en conjunto
forman las ISO 27000 indican se indica cómo puede una organización
implantar un sistema de gestión de seguridad de la información
Por ejemplo el estándar de seguridad ISO 27001 ah sido definido para
establecer un modelo a seguir, desde el establecimiento del sistema hasta la
mejora continua del mismo, para un Sistema de Gestión de Seguridad de
Información.
A continuación el modelo que plantea la ISO 27001 y su propósito en cada
una de sus procesos:
2
1.3. Relación con COBIT, 17799
CobiT
El IT Governance Institute fue establecido por ISACA (Information Systems
Audit and Control Association) en 1998 para aclarar y orientar en cuestiones
actuales y futuras relativas a la administración, seguridad y aseguramiento TI.
Como consecuencia de su rápida difusión internacional, ambas instituciones
disponen de una amplia gama de publicaciones y productos diseñados para
apoyar una gestión efectiva de las TI en el ámbito de la empresa.
Uno de sus documentos más conocidos, referencia a nivel mundial, es CobiT
(Objetivos de control para tecnologías de la información y similares).
Se trata de un marco compatible con ISO 27002 (anterior ISO 17799:2005) y
COSO, que incorpora aspectos fundamentales de otros estándares
relacionados; por tanto, aquellas empresas y organizaciones que hayan
evolucionado según las prácticas señaladas por CobiT están más cerca de
adaptarse y lograr la certificación en ISO 27001.
CobiT se estructura en cuatro partes; la principal de ellas se divide de
acuerdo con 34 procesos de TI. Cada proceso se cubre en cuatro secciones
(objetivo de control de alto nivel para el proceso, los objetivos de control
detallados, directrices de gestión y el modelo de madurez para el objetivo)
que dan una visión completa de cómo controlar, gestionar y medir el proceso.
3
Utiliza un ciclo de vida de tipo PDCA que lo integra en los procesos de
negocio.
No existe un certificado en las prácticas indicadas por CobiT, aunque ISACA
sí ofrece la posibilidad a título personal de obtener certificaciones como
“Certified Information Systems Auditor” (CISA), “Certified Information Security
Manager” (CISM) y "Certified in the Governance of Enterprise IT"CGEIT.
Los estándares ISO17799 y ISO 27000 es un conjunto de estándares
desarrollados, por ISO (International Organization for Standardization) e IEC
(International Electrotechnical Commission), que proporcionan un marco de
gestión de la seguridad de la información utilizable por cualquier tipo de
organización, pública o privada, grande o pequeña, mientras que COBIT es el
marco aceptado internacionalmente como una buena práctica para el control
de la información, TI y los riesgos que conllevan. COBIT se utiliza para
implementar el gobierno de TI y mejorar los controles de TI. Contiene
objetivos de control, directivas de aseguramiento, medidas de desempeño y
resultados, factores críticos de éxito y modelos de madurez, Por lo que
notamos una estrecha relación entre ISO y COBIT, pues COBIT Se trata de
un marco compatible con ISO 27002 (anterior ISO 17799:2005) que incorpora
aspectos fundamentales de otros estándares relacionados; por tanto, aquellas
empresas y organizaciones que hayan evolucionado según las prácticas
señaladas por COBIT están más cerca de adaptarse y lograr la certificación
en ISO 27001.
En conclusión ISO17799 e ISO 27000 y COBIT van de la mano pues ambos
velan por la buena gestión de la información de las organizaciones.
4
1.4. Relación con otros estándares
1.4.1. Normas ISO del SC27
ISO (International Organization for Standardization) e IEC (International
Electrotechnical Commission) han establecido un comité técnico conjunto
específico para las Tecnologías de la Información denominado JTC1 (Joint
Technical Committee).
Alcance del SC 27
El desarrollo de normas para la protección de la información y las TIC. Esto
incluye los métodos genéricos, técnicas y directrices para abordar ambos
aspectos de seguridad y privacidad, como por ejemplo:
Medidas de seguridad para capturar metodología;
Gestión de la información y la seguridad de las TIC, en particular los
sistemas de gestión de seguridad de la información (SGSI), los
procesos de seguridad, controles de seguridad y servicios;
Criptográficas y otros mecanismos de seguridad, incluyendo pero no
limitado a mecanismos de protección de la responsabilidad,
disponibilidad, integridad y confidencialidad de la información;
Gestión de seguridad Asistencia Documentos incluidas las directrices
de terminología, así como los procedimientos para el registro de los
componentes de seguridad.
Aspectos de seguridad de gestión de identidad, biometría y la
privacidad;
Conformidad con la evaluación, la acreditación y de auditoría en el
ámbito de la seguridad de la información;
Criterios de evaluación de la seguridad y la metodología.
Mientras que la ISO/IEC 27000 nos brinda el marco teórico de gestión de la
seguridad de la información el comité JTC1 nos brinda el marco técnico para
la implementación de dicho Sistema de Gestión de Seguridad de la
Información
5
1.4.2. ITIL
“IT Infrastructure Library” (ITIL) es un conjunto de publicaciones para las
mejores prácticas en la gestión de servicios TI e incluye opciones que pueden
ser adoptadas y adaptadas según necesidades, circunstancias y experiencia
de cada proveedor de servicios.
Las áreas cubiertas por ITIL son:
Gestión del Catálogo de Servicios
Gestión de Niveles de Servicio
Gestión de la Disponibilidad
Gestión de la Capacidad
Gestión de la Continuidad de los Servicios de TI
Gestión de Proveedores
Gestión de la Seguridad de Información
Coordinación del Diseño
En la Gestión de la Seguridad de Información ITIL busca asegurar la
confidencialidad, la integridad y la disponibilidad de las informaciones, datos y
servicios de TI de una organización. Normalmente, la Gestión de la Seguridad
de TI forma parte del acercamiento de una organización a la gestión de
seguridad, cuyo alcance es más amplio que el del proveedor de Servicios de
TI.
Dentro de esta área ITIL cuenta con los siguientes subprocesos:
Diseño de Controles de Seguridad: Diseñar técnicas y medidas
organizativas adecuadas que aseguren la confidencialidad, la integridad, la
seguridad y la disponibilidad de los activos de una organización, así como su
información, datos y servicios.
Pruebas de Seguridad: Asegurar que todos los mecanismos de seguridad
sean objeto de pruebas frecuentes.
Gestión de Incidentes de Seguridad: Detectar y combatir ataques e
intrusiones, y minimizar los daños causados por actos contra la seguridad.
6
Revisión de Seguridad: Revisar que las medidas y procedimientos de
seguridad sean cónsonos con la percepción de riesgos en la empresa, y
verificar que esas medidas y procedimientos sean sometidas a prueba y
reciban mantenimiento frecuente.
1.4.3. BS 7799-3
BSI (British Standards Institution) publicó en 2006 la tercera parte de BS
7799, dedicada a la gestión de riesgos de seguridad de la información.
ISO 27001 (evolucionada a partir de BS 7799-2) indica que las organizaciones
deben identificar, evaluar, tratar y gestionar los riesgos de seguridad de la
información, pero no da indicaciones más detalladas de cómo realizar dicho
proceso ni de cómo situar dichos riesgos en el marco de los riesgos generales
de la empresa.
BS7799-3 profundiza en estos aspectos y da directrices sobre evaluación de
riesgos, tratamiento de riesgos, toma de decisiones por parte de la Dirección,
re-evaluación de riesgos, monitorización y revisión del perfil de riesgo, riesgos
de seguridad de la información en el contexto del gobierno corporativo y
conformidad con otros estándares y regulaciones sobre el riesgo.
El estándar ISO/IEC 27005 coincide en buena parte de los elementos
especificados en BS 7799-3 pero toma referencias adicionales de otros
estándares reconocidos como el estándar australiano "AS/NZS 4360:2004,
Risk Management" o la guía "ISO/IEC Guide 73:2002, Risk management",
entre otros y, por tanto, ha permitido mantener en vigencia el estándar BS
7799-3 como un posible documento de utilidad para la evaluación de riesgos.
1.4.4. BS 25999
Cada vez resulta más importante para las empresas el disponer de planes de
continuidad de negocio que minimicen la inactividad de la organización en
caso de cualquier tipo de interrupción.
BSI (British Standards Institution) publicó en 2006 BS25999-1, que es un
código de buenas prácticas dedicado a la gestión de la continuidad de
negocio.
7
Con origen en PAS 56:2003, BS 25999-1 establece el proceso por el cual una
organización puede desarrollar e implementar la continuidad de negocio,
incluyendo una completa lista de controles basada en las mejores prácticas
de BCM (Business Continuity Management). Está pensada para su uso por
cualquier organización grande, mediana o pequeña, tanto del sector público
como privado.
En 2007, fue publicada BS 25999-2, que especifica los requisitos para
establecer, implementar, operar, supervisar, revisar, probar, mantener y
mejorar un sistema de gestión de continuidad de negocio documentado en el
contexto de la gestión global de riesgos de una organización. En base a esta
norma pueden ser certificados los sistemas de gestión de continuidad de
negocio.
Este estándar sirve actualmente de base para el desarrollo de un estándar
internacional denominado ISO 22301.
1.5. Certificación
La norma ISO 27001, al igual que su antecesora BS 7799-2, es certificable.
Esto quiere decir que la organización que tenga implantado un SGSI puede
solicitar una auditoría a una entidad certificadora acreditada y, caso de
superar la misma con éxito, obtener una certificación del sistema según ISO
27001.
En las siguientes secciones, se abordan diferentes temas relacionados con la
certificación.
1.5.1. Implantación del SGSI
Evidentemente, el paso previo a intentar la certificación es la implantación en
la organización del sistema de gestión de seguridad de la información según
ISO 27001.
Este sistema deberá tener un historial de funcionamiento demostrable de al
menos tres meses antes de solicitar el proceso formal de auditoría para su
primera certificación.
ISO 27001 exige que el SGSI contemple los siguientes puntos:
8
Implicación de la Dirección.
Alcance del SGSI y política de seguridad.
Inventario de todos los activos de información.
Metodología de evaluación del riesgo.
Identificación de amenazas, vulnerabilidades e impactos.
Análisis y evaluación de riesgos.
Selección de controles para el tratamiento de riesgos.
Aprobación por parte de la dirección del riesgo residual.
Declaración de aplicabilidad.
Plan de tratamiento de riesgos.
Implementación de controles, documentación de políticas,
procedimientos e instrucciones de trabajo.
Definición de un método de medida de la eficacia de los
controles y puesta en marcha del mismo.
Formación y concienciación en lo relativo a seguridad de la
información a todo el personal.
Monitorización constante y registro de todas las incidencias.
Realización de auditorías internas.
Evaluación de riesgos periódica, revisión del nivel de riesgo
residual, del propio SGSI y de su alcance.
Mejora continua del SGSI.
La documentación del SGSI deberá incluir:
Política y objetivos de seguridad.
Alcance del SGSI.
Procedimientos y controles que apoyan el SGSI.
Descripción de la metodología de evaluación del riesgo.
Informe resultante de la evaluación del riesgo.
Plan de tratamiento de riesgos.
Procedimientos de planificación, manejo y control de los
procesos de seguridad de la información y de medición de la
eficacia de los controles.
Registros.
Declaración de aplicabilidad (SOA -Statement of Applicability-).
9
Procedimiento de gestión de toda la documentación del SGSI.
Hay una serie
de controles clave que un auditor va a examinar siempre en profundidad:
Política de seguridad.
Asignación de responsabilidades de seguridad.
Formación y capacitación para la seguridad.
Registro de incidencias de seguridad.
Gestión de continuidad del negocio.
Protección de datos personales.
Salvaguarda de registros de la organización.
Derechos de propiedad intelectual.
El SGSI puede estar integrado con otro tipo de sistemas (ISO 9001, ISO
14001…).
10
Es recomendable integrar los diferentes sistemas, en la medida que sea
posible y práctico.
En el caso ideal, es posible llegar a un solo sistema de gestión y control de la
actividad de la organización, que se puede auditar en cada momento desde la
perspectiva de la seguridad de la información, la calidad, el medio ambiente o
cualquier otra.
1.5.2. Auditoría y certificación
Una vez implantado el SGSI en la organización, y con un historial demostrable
de al menos tres meses, se puede pasar a la fase de auditoría y certificación,
que se desarrolla de la siguiente forma:
Solicitud de la auditoría por parte del interesado a la entidad de
certificación y toma de datos por parte de la misma.
Respuesta en forma de oferta por parte de la entidad
certificadora.
Compromiso.
Designación de auditores, determinación de fechas y
establecimiento conjunto del plan de auditoría.
Pre-auditoría: opcionalmente, puede realizarse una auditoría
previa que aporte información sobre la situación actual y oriente
mejor sobre las posibilidades de superar la auditoría real.
Fase 1 de la auditoría: no necesariamente tiene que ser in situ,
puesto que se trata del análisis de la documentación por parte
del Auditor Jefe y la preparación del informe de la
documentación básica del SGSI del cliente, destacando los
posibles incumplimientos de la norma que se verificarán en la
Fase 2. Este informe se envía junto al plan de auditoría al
cliente. El periodo máximo entre la Fase 1 y Fase 2 es de 6
meses.
Fase 2 de la auditoría: es la fase de detalle de la auditoría, en
la que se revisan in situ las políticas, la implantación de los
controles de seguridad y la eficacia del sistema en su conjunto.
Se inicia con una reunión de apertura donde se revisa el objeto,
11
alcance, el proceso, el personal, instalaciones y recursos
necesarios, así como posibles cambios de última hora. Se
realiza una revisión de las exclusiones según la Declaración de
Aplicabilidad (documento SOA), de los hallazgos de la Fase 1,
de la implantación de políticas, procedimientos y controles y de
todos aquellos puntos que el auditor considere de interés.
Finaliza con una reunión de cierre en la que se presenta el
informe de auditoría.
Certificación: en el caso de que se descubran durante la
auditoría no conformidades graves, la organización deberá
implantar acciones correctivas; una vez verificada dicha
implantación o, directamente, en el caso de no haberse
presentado no conformidades, el auditor podrá emitir un informe
favorable y el SGSI de organización será certificado según ISO
27001.
Auditoría de seguimiento: semestral o, al menos, anualmente,
debe realizarse una auditoría de mantenimiento; esta auditoría
se centra, generalmente, en partes del sistema, dada su menor
duración, y tiene como objetivo comprobar el uso del SGSI y
fomentar y verificar la mejora continua.
Auditoría de re-certificación: cada tres años, es necesario
superar una
auditoría de
certificación
formal
completa
como la
descrita.
12
Naturalmente, la organización que implanta un SGSI no tiene la obligación de
certificarlo. Sin embargo, sí es recomendable ponerse como objetivo la
certificación, porque supone la oportunidad de recibir la confirmación por parte
de un experto ajeno a la empresa de que se está gestionando correctamente
la seguridad de la información, añade un factor de tensión y de concentración
en una meta a todos los miembros del proyecto y de la organización en
general y envía una señal al mercado de que la empresa en cuestión es
confiable y es gestionada transparentemente.
1.5.2.1. La entidad de certificación
Las entidades de certificación son organismos de evaluación de la
conformidad, encargados de evaluar y realizar una declaración objetiva de
que los servicios y productos cumplen unos requisitos específicos. En el caso
de ISO 27001, certifican, mediante la auditoría, que el SGSI de una
organización se ha diseñado, implementado, verificado y mejorado conforme
a lo detallado en la norma.
Existen numerosas entidades de certificación en cada país, ya que se trata de
una actividad empresarial privada con un gran auge en el último par de
décadas, debido a la creciente estandarización y homologación de productos
y sistemas en todo el mundo. La organización que desee certificarse puede
contactar a diversas entidades certificadoras y solicitar presupuesto por los
servicios ofrecidos, comparando y decidiéndose por la más conveniente,
como hace con cualquier otro producto o servicio.
13
Para que las entidades de certificación puedan emitir certificados reconocidos,
han de estar acreditadas. Esto quiere decir que un tercero, llamado organismo
de acreditación, comprueba, mediante evaluaciones independientes e
imparciales, la competencia de las entidades de certificación para la actividad
objeto de acreditación. En cada país suele haber una sola entidad de
acreditación (en algunos, hay más de una), a la que la Administración encarga
esa tarea.
La acreditación de entidades de certificación para ISO 27001 o para BS 7799-
2 -antes de derogarse- solía hacerse en base al documento EA 7/03
"Directrices para la acreditación de organismos operando programas de
certificación/registro de sistemas de gestión de seguridad en la información".
La aparición de la norma ISO/IEC 27006 ha supuesto la derogación del
anterior documento.
Las entidades de acreditación establecen acuerdos internacionales para
facilitar el reconocimiento mutuo de acreditaciones y el establecimiento de
criterios comunes. Para ello, existen diversas asociaciones como IAF
(International Accreditation Forum) o EA (European co-operation for
Accreditation).
1.5.2.2. El auditor
El auditor es la persona que comprueba que el SGSI de una organización se
ha diseñado, implementado, verificado y mejorado conforme a lo detallado en
la norma. En general, se distinguen tres clases de auditores:
de primera parte: auditor interno que audita la organización en
nombre de sí misma, normalmente, como mantenimiento del
sistema de gestión y como preparación a la auditoría de
certificación;
de segunda parte: auditor de cliente, es decir, que audita una
organización en nombre de un cliente de la misma; por ejemplo,
una empresa que audita a su proveedor de outsourcing;
de tercera parte: auditor independiente, que audita una
organización como tercera parte imparcial; normalmente, porque
14
la organización tiene la intención de lograr la certificación y
contrata para ello los servicios de una entidad de certificación.
El auditor, sobre todo si actúa como de tercera parte, ha de disponer también
de una certificación personal. Esto quiere decir que, nuevamente un tercero,
certifica que posee las competencias profesionales y personales necesarias
para desempeñar la labor de auditoría de la materia para la que está
certificado.
En este punto, hay pequeñas diferencias entre las entidades certificadoras,
que pueden formular requisitos distintos para homologar a sus auditores. Al
auditor se le exigen una serie de atributos personales, conocimientos y
habilidades, educación formal, experiencia laboral y formación como auditor.
Existen diversas organizaciones internacionales de certificación de auditores,
con el objeto de facilitar la estandarización de requerimientos y garantizar un
alto nivel de profesionalidad de los auditores, además de homologar a las
instituciones que ofrecen cursos de formación de auditor.
IRCA (International Register of Certificated Auditors) es el mayor organismo
mundial de certificación de auditores de sistemas de gestión. Tiene su sede
en el Reino Unido y, por ello -debido al origen inglés de la norma BS 7799-2 y,
por tanto, de ISO 27001-, tiene ya desde hace años un programa de
certificación de auditores de sistemas de gestión de seguridad de la
información.
En cuanto a la práctica de la auditoría, al auditor se le exige que se muestre
ético, con mentalidad abierta, diplomático, observador, perceptivo, versátil,
tenaz, decidido y seguro de sí mismo. Estas actitudes son las que deberían
crear un clima de confianza y colaboración entre auditor y auditado. El
auditado debe tomar el proceso de auditoría siempre desde un punto de vista
constructivo y de mejora continua, y no de fiscalización de sus actividades.
Para ello, el auditor debe fomentar en todo momento un ambiente de
tranquilidad, colaboración, información y trabajo conjunto.
15
CAPITULO II: ISO/IEC 27000
2.1. Alcance
Se aplica a organizaciones de todo tipo y tamaño, comprende:
Recolectar, procesar, almacenar, y transmitir grandes cantidades de
información
Reconocer que la información, sus procesos relacionados, sistemas,
redes y personas son activos importantes para el logro de los objetivos
de la organización.
Se enfrenta un rango de riesgos que puedan afectar el funcionamiento
de los activos.
Mitigar riesgos implementando controles de seguridad de información
Toda información de la organización y procesada por la organización es
objeto de amenazas de ataque, error, naturaleza, etc. Y es tiene
vulnerabilidades inherentes en su uso. El termino seguridad de información se
basa generalmente en información que es considerada un activo que tiene
valor y que requiere la protección apropiada, por ejemplo, para evitar la
perdida de disponibilidad, confidencialidad e integridad. Permitiendo la
disponibilidad de información exacta y completa de una manera oportuna a
aquellos con la autorización necesaria.
2.2. Comunicación
Conceptos, definiciones y términos que se usan en una familia da estándares de un Sistema de Gestión de la Seguridad de Información
Activo: Algo que tiene valor para la organización
Disponibilidad: Garantizar que los usuarios autorizados tengan acceso a
la información cuando sea necesario
Seguridad de la Información: Preservar la confidencialidad, integridad y
disponibilidad de la información.
Evento de seguridad de información: Ocurrencia identificada en un
sistema, servicio o red indicando una posible brecha de la política de
seguridad de la información o falla de las salvaguardas o una situación
desconocida previa que puede ser relevante.
16
Incidente de seguridad de información: Una serie de eventos no deseados
que tienen una probabilidad significativa de comprometer operaciones del
negocio y amenazar la seguridad de la información.
ISMS: Sistema de gestión de la seguridad de información basado en un
enfoque del riesgo del negocio.
Integridad: Salvaguardar la exactitud e integridad de la información y
activos asociados
Riesgo residual: Riesgo remanente después de un tratamiento del riesgo
Aceptación del riesgo: Aceptar el riesgo de la decisión tomada
Análisis del riesgo: Uso sistemático de información para identificar
amenazas y estimar riesgo
Estimación del riesgo: Proceso total de análisis y evaluación del riesgo
Evaluación del riesgo: proceso de comparación del riesgo estimado frente
al criterio de riesgo para determinar el significado de riesgo
Gestión del riesgo: Actividades coordinadas para dirigir y controlar el
riesgo en una organización.
Tratamiento del riesgo: Proceso de selección e implementación de
controles para minimizar el riesgo
Declaración de aplicabilidad: Documento que describe los objetivos de
control y los controles que son relevantes y aplicables al ISMS de la
organización.
2.3. Requisitos para un sistema de gestión seguridad TI
Requisitos para establecer un SGSI:
Definir el alcance del SGSI en términos del negocio, la organización, su
localización, activos y tecnologías, incluyendo detalles y justificación de
cualquier exclusión.
Definir una política de seguridad que:
Incluya el marco general y los objetivos de seguridad de la información
de la organización.
Considere requerimientos legales o contractuales relativos a la
seguridad de la información.
17
Esté alineada con el contexto estratégico de gestión de riesgos de la
organización en el que se establecerá y mantendrá el SGSI.
Establezca los criterios con los que se va a evaluar el riesgo.
Esté aprobada por la dirección.
Definir una metodología de evaluación del riesgo apropiada para el SGSI y los
requerimientos del negocio, además de establecer los criterios de aceptación
del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta
metodología es que los resultados obtenidos sean comparables y repetibles
(existen numerosas metodologías estandarizadas para la evaluación de
riesgos, aunque es perfectamente aceptable definir una propia).
Identificar los riesgos:
Identificar los activos que están dentro del alcance del SGSI y a sus
responsables directos, denominados propietarios;
Identificar las amenazas en relación a los activos;
Identificar las vulnerabilidades que puedan ser aprovechadas por
dichas amenazas;
Identificar los impactos en la confidencialidad, integridad y
disponibilidad de los activos.
Analizar y evaluar los riesgos:
Evaluar el impacto en el negocio de un fallo de seguridad que suponga
la pérdida de confidencialidad, integridad o disponibilidad de un activo
de información;
Evaluar de forma realista la probabilidad de ocurrencia de un fallo de
seguridad en relación a las amenazas, vulnerabilidades, impactos en
los activos y los controles que ya estén implementados;
Estimar los niveles de riesgo;
Determinar, según los criterios de aceptación de riesgo previamente
establecidos, si el riesgo es aceptable o necesita ser tratado.
Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:
Aplicar controles adecuados;
18
Aceptar el riesgo, siempre y cuando se siga cumpliendo con las
políticas y criterios establecidos para la aceptación de los riesgos;
Evitar el riesgo, p. ej., mediante el cese de las actividades que lo
originan;
Transferir el riesgo a terceros, p. ej., compañías aseguradoras o
proveedores de outsourcing.
Aprobar por parte de la dirección tanto los riesgos residuales como la
implantación y uso del SGSI.
Definir una declaración de aplicabilidad que incluya:
Los objetivos de control y controles seleccionados y los motivos para
su elección;
Los objetivos de control y controles que actualmente ya están
implantados;
Los objetivos de control y controles del Anexo A excluidos y los motivos
para su exclusión; este es un mecanismo que permite, además,
detectar posibles omisiones involuntarias.
2.4. Planificación e implementación de la gestión de seguridad TI
Para establecer y gestionar un Sistema de Gestión de la Seguridad de la
Información en base a ISO 27001, se utiliza el ciclo continuo PDCA,
tradicional en los sistemas de gestión de la calidad.
19
Plan (planificar): establecer el SGSI.
Do (hacer): implementar y utilizar el SGSI.
Check (verificar): monitorizar y revisar el SGSI.
Act (actuar): mantener y mejorar el SGSI.
2.4.1. Plan: Establecer el SGSI
Definir el alcance del SGSI en términos del negocio, la organización, su
localización, activos y tecnologías, incluyendo detalles y justificación de
cualquier exclusión.
Definir una política de seguridad que:
Incluya el marco general y los objetivos de seguridad de la información
de la organización.
Considere requerimientos legales o contractuales relativos a la
seguridad de la información.
Esté alineada con el contexto estratégico de gestión de riesgos de la
organización en el que se establecerá y mantendrá el SGSI.
Establezca los criterios con los que se va a evaluar el riesgo.
Esté aprobada por la dirección.
Definir una metodología de evaluación del riesgo apropiada para el SGSI y los
requerimientos del negocio, además de establecer los criterios de aceptación
del riesgo y especificar los niveles de riesgo aceptable. Lo primordial de esta
metodología es que los resultados obtenidos sean comparables y repetibles
(existen numerosas metodologías estandarizadas para la evaluación de
riesgos, aunque es perfectamente aceptable definir una propia).
Identificar los riesgos:
Identificar los activos que están dentro del alcance del SGSI y a sus
responsables directos, denominados propietarios.
Identificar las amenazas en relación a los activos.
20
Identificar las vulnerabilidades que puedan ser aprovechadas por
dichas amenazas.
Identificar los impactos en la confidencialidad, integridad y
disponibilidad de los activos.
Analizar y evaluar los riesgos:
Evaluar el impacto en el negocio de un fallo de seguridad que suponga
la pérdida de confidencialidad, integridad o disponibilidad de un activo
de información.
Evaluar de forma realista la probabilidad de ocurrencia de un fallo de
seguridad en relación a las amenazas, vulnerabilidades, impactos en
los activos y los controles que ya estén implementados;
Estimar los niveles de riesgo.
Determinar, según los criterios de aceptación de riesgo previamente
establecidos, si el riesgo es aceptable o necesita ser tratado.
Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:
Aplicar controles adecuados.
Aceptar el riesgo, siempre y cuando se siga cumpliendo con las
políticas y criterios establecidos para la aceptación de los riesgos.
Evitar el riesgo, por ejemplo, mediante el cese de las actividades que lo
originan.
Transferir el riesgo a terceros, por ejemplo, compañías aseguradoras o
proveedores de outsourcing.
21
Seleccionar los objetivos de control y los controles del Anexo A de ISO 27001
para el tratamiento del riesgo que cumplan con los requerimientos
identificados en el proceso de evaluación del riesgo.
Aprobar por parte de la dirección tanto los riesgos residuales como la
implantación y uso del SGSI.
Definir una declaración de aplicabilidad que incluya:
Los objetivos de control y controles seleccionados y los motivos para
su elección.
Los objetivos de control y controles que actualmente ya están
implantados.
Los objetivos de control y controles del anexo a excluidos y los motivos
para su exclusión; este es un mecanismo que permite, además,
detectar posibles omisiones involuntarias.
En relación a los controles de seguridad, el estándar ISO 27002 (antigua ISO
17799) proporciona una completa guía de implantación que contiene 133
controles, según 39 objetivos de control agrupados en 11 dominios. Esta
norma es referenciada en ISO 27001, en su segunda cláusula, en términos de
22
“documento indispensable para la aplicación de este documento” y deja
abierta la posibilidad de incluir controles adicionales en el caso de que la guía
no contemplase todas las necesidades particulares.
2.4.2. Do: Implementar y utilizar el SGSI
Definir un plan de tratamiento de riesgos que identifique las acciones,
recursos, responsabilidades y prioridades en la gestión de los riesgos
de seguridad de la información.
Implantar el plan de tratamiento de riesgos, con el fin de alcanzar los
objetivos de control identificados, incluyendo la asignación de recursos,
responsabilidades y prioridades.
Implementar los controles anteriormente seleccionados que lleven a los
objetivos de control.
Definir un sistema de métricas que permita obtener resultados
reproducibles y comparables para medir la eficacia de los controles o
grupos de controles.
Procurar programas de formación y concienciación en relación a la
seguridad de la información a todo el personal.
Gestionar las operaciones del SGSI.
Gestionar los recursos necesarios asignados al SGSI para el
mantenimiento de la seguridad de la información.
Implantar procedimientos y controles que permitan una rápida
detección y respuesta a los incidentes de seguridad.
2.4.3. Check: Monitorizar y revisar el SGSI
La organización deberá:
Ejecutar procedimientos de monitorización y revisión para:
Detectar a tiempo los errores en los resultados generados por el
procesamiento de la información.
Identificar brechas e incidentes de seguridad.
Ayudar a la dirección a determinar si las actividades desarrolladas por
las personas y dispositivos tecnológicos para garantizar la seguridad
de la información se desarrollan en relación a lo previsto.
23
Detectar y prevenir eventos e incidentes de seguridad mediante el uso
de indicadores.
Determinar si las acciones realizadas para resolver brechas de
seguridad fueron efectivas.
Revisar regularmente la efectividad del SGSI, atendiendo al
cumplimiento de la política y objetivos del SGSI, los resultados de
auditorías de seguridad, incidentes, resultados de las mediciones de
eficacia, sugerencias y observaciones de todas las partes implicadas.
Medir la efectividad de los controles para verificar que se cumple con
los requisitos de seguridad.
Revisar regularmente en intervalos planificados las evaluaciones de
riesgo, los riesgos residuales y sus niveles aceptables, teniendo en
cuenta los posibles cambios que hayan podido producirse en la
organización, la tecnología, los objetivos y procesos de negocio, las
amenazas identificadas, la efectividad de los controles implementados
y el entorno exterior -requerimientos legales, obligaciones
contractuales, etc.-.
Realizar periódicamente auditorías internas del SGSI en intervalos
planificados.
Revisar el SGSI por parte de la dirección periódicamente para
garantizar que el alcance definido sigue siendo el adecuado y que las
mejoras en el proceso del SGSI son evidentes.
Actualizar los planes de seguridad en función de las conclusiones y
nuevos hallazgos encontrados durante las actividades de
monitorización y revisión.
Registrar acciones y eventos que puedan haber impactado sobre la
efectividad o el rendimiento del SGSI.
2.4.4. Act: Mantener y mejorar el SGSI
La organización deberá regularmente:
• Implantar en el SGSI las mejoras identificadas.
24
• Realizar las acciones preventivas y correctivas adecuadas en relación a la
clausula 8 de ISO 27001 y a las lecciones aprendidas de las experiencias
propias y de otras organizaciones.
• Comunicar las acciones y mejoras a todas las partes interesadas con el nivel
de detalle adecuado y acordar, si es pertinente, la forma de proceder.
• Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.
PDCA es un ciclo de vida continuo, lo cual quiere decir que la fase de Act
lleva de nuevo a la fase de Plan para iniciar un nuevo ciclo de las cuatro
fases. Téngase en cuenta que no tiene que haber una secuencia estricta de
las fases, sino que por ejemplo puede haber actividades de implantación que
ya se lleven a cabo cuando otras de planificación aún no han finalizado; o que
se monitoricen controles que aún no están implantados en su totalidad.
25
CAPITULO III: Implementación
3.1. Implementación incremental de NTP-ISO/IEC 27001:2008
La implementación incremental se realiza cumpliendo estas cinco fases y
tiene una adicional de carácter opcional.
FA
SE Nombre Objetivo Actividades Principales
Plazo
máximo
por fase
I ORGANIZACI
ÓN
Desarrollar las
actividades
principales para la
dirección e inicio de
la implantación del
SGSI.
Obtener el apoyo institucional
Determinar el alcance del Sistema
de Gestión de
Seguridad de la Información
Determinar la declaración de Política
de Seguridad
de la Información y objetivos
Desarrollar documentos necesarios
para la Fase II
Determinar criterios para la
evaluación y aceptación
de riesgos
Hasta 3
meses
II PLANIFICACI
ÓN
Desarrollar las
actividades de
planificación
requeridas por la
norma de manera
metodológica y en
concordancia con la
política y objetivos
del SGSI dentro del
alcance del mismo.
Realizar evaluación de Riesgos
Conducir un análisis entre los
riesgos identificados y
las medidas correctivas existentes
Desarrollar un plan de tratamiento
de riesgos
Desarrollar documentos necesarios
para la Fase III
Desarrolla la declaración de
Aplicabilidad
Hasta 4
meses
III DESPLIEGUE Desplegar las
actividades de
implementación del
Elaborar el plan de trabajo priorizado
Desarrollar documentos y registros
necesarios
Hasta
12
meses
26
SGSI Implementar los controles
seleccionados
IV REVISIÓN Realizar actividades
de revisión del SGSI
evidenciando el
cumplimiento de los
requisitos de la
norma
Monitorear el desempeño del SGSI
Fortalecer la gestión de incidentes
Desarrollar documentos y registros
necesarios
Desarrollar las actividades para
evidenciar la mejora
Continua
Hasta 4
meses
V CONSOLIDA
CIÓN
Auditar e
implementar las
mejoras y
correcciones del
SGSI a fin de cumplir
con los requisitos de
la norma.
Auditar internamente el SGSI
Implementar las acciones
correctivas
Implementar las acciones
preventivas pertinentes
Desarrollar, corregir y mejorar
documentación nueva o existente
Hasta 4
meses
Fase opcional:
VI CERTIFICACIÓN Iniciar el proceso de
certificación internacional en
ISO/IEC 27001:2005 y obtener
la certificación
No
Aplica
Tomado de Resolución Ministerial N° 129-2012-PCM
27
3.2. Caso Práctico
Vamos a tomar como caso práctico la aplicación de la norma técnica peruana
en el Banco de Crédito del Perú que ofrece un modelo para establecer,
implementar, operar, monitorear, mantener y mejorar un Sistema de gestión
de seguridad de la información (ISMS por sus siglas en ingles).Esta norma
peruana fomenta la aplicación de un modelo PDCA a todos los procesos
ISMS.
Para esto debemos tener en claro el enfoque de proceso y las etapas que
aplicaremos:
Planear
Hacer
Verificar
Actuar
Sabiendo que el INPUT a nuestro proceso será uno o más requisitos de
seguridad de información de negocio en la organización
Requisito
Para nuestro caso tomaremos como requisito inicial al punto 1 y 2 del artículo
5º de la CIRCULAR Nº G- 140 -2009.
Veamos lo que exigen dichos puntos:
1. Seguridad lógica
a) Procedimientos formales para la concesión, administración de
derechos y perfiles, así como la revocación de usuarios.
b) Revisiones periódicas sobre los derechos concedidos a los usuarios.
c) Los usuarios deben contar con una identificación para su uso
personal, de tal manera que las posibles responsabilidades puedan ser
seguidas e identificadas.
d) Controles especiales sobre utilidades del sistema y herramientas de
auditoría.
e) Seguimiento sobre el acceso y uso de los sistemas para detectar
actividades no autorizadas.
28
f) Controles especiales sobre usuarios remotos y computación móvil.
2. Seguridad de personal
a) Definición de roles y responsabilidades establecidos sobre la seguridad
de información.
b) Verificación de antecedentes, de conformidad con la legislación laboral
vigente.
c) Concientización y entrenamiento.
d) Procesos disciplinarios en caso de incumplimiento de las políticas de
seguridad, de conformidad con la legislación laboral vigente.
e) Procedimientos definidos en caso de cese del personal, que incluyan
aspectos como la revocación de los derechos de acceso y la
devolución de activos.
Una vez entendido el requisito y comprendida su necesidad podemos entrar a
la primera etapa.
3.2.1. Planear
29
REQUISITO
G- 140 – 2009
Articulo 5º
Para cumplir con el requisito que acabamos de plantear definiremos uno o
más controles, uno de esos controles se llamará “Requerimientos del negocio
para el control de acceso” (27002:2005 11.1), nos damos cuenta este es un
control de la norma ISO 27002 y es que el banco ya tenía como un marco a
seguir a la ISO 27002 y como el cumplimiento de este marco también implica
cumplir con la circular G140 de la SBS también podemos decir que la SBS
está alineada las normas ISO.
Detallamos el control:
- Uso de un identificador único para cada usuario
- Autorización del uso del recurso por parte del propietario
- Custodia de la aprobación de las gerencias para el registro de usuarios
en los sistemas
- Definición de procedimientos que aseguren que no se registre un
usuario en el sistema hasta que se hayan completado los
procedimientos de autorización.
- Revisión periódica de cuentas de usuarios redundantes
Definimos una política de control de accesos:
a) El Líder Usuario, las Gerencias o las Gerencias de Área/División, deben
definir los privilegios que los puestos requieran para el desempeño de sus
funciones en coordinación con la Gerencia Seguridad Informática; estas
definiciones se verán reflejadas en la matriz de roles por puesto.
b) El control de acceso y asignación de privilegios deberá ser utilizado para
ofrecer confidencialidad, integridad y disponibilidad de la información
requerida.
c) Si el usuario que solicite los accesos no contara con un Rol definido deberá
brindar una matrícula modelo, indicar el puesto específico y la relación de
las aplicaciones a las cuales requieran el acceso
30
d) Se deben especificar claramente cuáles son las responsabilidades de los
propietarios o líderes usuarios de los recursos.
Definimos métricas:
Para este caso tendremos como indicador la siguiente relación:
Numero de tickets resueltos de solicitud accesos / número total de tickets de
solicitud de acceso
3.2.2. Hacer
En esta etapa se pone en marcha lo planeado y se le hace un seguimiento
periódicamente
Se asegura una segregación de funciones y mantiene la consistencia
entre los permisos otorgados y las funciones desempeñadas.
Se define un proceso formal para otorgar modificar y quitar accesos.
Se aplica una administración basada en roles
Solicita que todo acceso otorgado este debidamente documentado,
justificado y autorizado por la gerencia pertinente.
Algunos documentos existentes que evidencian el proceso son:
Matriz de Roles
31
REQUISITO
G- 140 – 2009
Articulo 5º
Correos de conformidad
Tickets de atención en mesa de ayuda
Aquí se muestran los pasos para efectuar la modificación de accesos en un
Rol determinado:
32
Este es un ejemplo del Rol de un Consultor del Área de Telemarketing dentro de una
matriz de roles
33
3.2.3. Verificar
En esta etapa se aplican las métricas
definidas:
En un periodo de 3 meses:
Tickets de solicitud de acceso resueltos / tickets de solicitud de acceso
totales
Comparación periódica entre la matriz de roles y un usuario que
pertenece a dicha matriz según el organigrama de la organización.
3.2.4. Actuar
34
REQUISITO
G- 140 – 2009
Articulo 5º
REQUISITO
G- 140 – 2014
Articulo 5º
Por ejemplo si se obtiene una relación de 1 a 3 en la métrica definida, se
podría concluir en que las políticas deben ser modificadas tal vez se deba ser
más flexible en ellas o quizás está ocurriendo una burocracia excesiva. En
este caso puede ser que la norma de la SBS se vea modificada y se tenga
que adecuar el procedimiento existente en la organización.
35
Capitulo IV: Conclusiones y Recomendaciones
Se puede decir que Iniciar un proceso de Certificación, no solo nos
dará un resultado positivo por la certificación propiamente dicha sino
que además en la trayectoria de dicho proceso la organización también
irá mejorando su eficiencia en los procesos lo cual produce un valor
implícito de competitividad.
Desarrollar un plan de seguridad informática realista es indispensable,
sería contraproducente querer llegar a niveles de seguridad que
puedan inducir a la burocracia extrema o a entorpecer los procesos
críticos de la empresa, la seguridad más eficiente para una empresa es
aquella que asume riesgos aceptables porque el beneficio que se
puede obtener para la empresa lo justifica, en pocas palabras
permanecer en un equilibrio es lo mejor no queremos estar en el nivel
de seguridad mínima ni en el nivel de seguridad extrema.
Se recomienda adquirir, en lo posible, las herramientas que faciliten la
implementación de un ISMS también fomentar y mantener la
comunicación entre las diferentes áreas de la empresa en cuanto a
seguridad informática.
Dentro de la seguridad de información se debe considerar el grado de
concientización y culturización a nivel de usuarios es un factor
preponderante, ya que sin el compromiso y comportamiento adecuado
de ellos todo sistema de seguridad de información puede ser afectado
es por eso recalcar que el departamento de tecnología no es el único
responsable de la seguridad de información sino que debe existir
compromiso desde las altas gerencias hasta los operadores.
La seguridad de información no debe ser considerada desde el punto
de vista tecnológico únicamente, sino también como un aspecto
administrativo de tal manera que los controles tecnológicos se
respalden en políticas, procedimientos manuales y estándares.
36
37