5 - NTP ISO IEC 27001-2013

1

Instituto Nacional de Investigación y Capacitación de Telecomunicaciones

UNIVERSIDAD NACIONAL DE INGENIERÍA

NTP-ISO/IEC 27001

2013

Ing. Jeler Vásquez

San Borja, Febrero 2015



1. Alcance

• En esta sección se establece la obligatoriedad de

cumplir con los requisitos específicos en los capítulos 4

a 10 del documento, para poder obtener la conformidad

de cumplimiento y certificarse.

2



2. Referencias normativas

• El estándar ISO-27002 ya no es una referencia

normativa para ISO-27001:2013, aunque continúa

considerándose necesario en el desarrollo de la

declaración de aplicabilidad (SOA, por sus siglas en

inglés).

• El estándar ISO-27000:2013 se convierte en una

referencia normativa obligatoria y única, ya que contine

todos los nuevos términos y definiciones.



3. Términos y definiciones

• Los términos y definiciones se encuentran en la sección

3 de ISO-27003:2013 “Fundamentos y vocabulario”.

3



4

CONTEXTO DE LA ORGANIZACIÓN

4.1

Comprensión de la organización y su

contexto

4.2

Comprensión de las necesidades y

expectativas de las partes

4.3

Determinación del alcance del sistema de gestión de seguridad de

la información

4. Contexto de la organización



4. Contexto de la organización

• Esta cláusula hace hincapié en identificar los problemas

externos e internos que rodean a la organización.

• Instituye los requerimientos para definir el contexto del

SGSI sin importar el tipo de organización y su alcance.

• Introduce una nueva figura “las partes interesadas”

como un elemento primordial para la definición del

alcance del SGSI.

• Establece la prioridad de identificar y definir formalmente

las necesidades de las partes interesadas con relación a

la seguridad del SGSI, pues esto determinara las

políticas de seguridad de la información y los objetivos

a seguir para el proceso de gestión de riesgos.

4



5

LIDERAZGO

5.1

Liderazgo y compromiso

5.2

Política 5.3

Roles, autoridad y responsabilidades organizacionales

5. Liderazgo



5. Liderazgo

Ajusta la relación y responsabilidades de la Alta Dirección

respecto al SGSI, destacando de manera puntual cómo

debe demostrar su compromiso, por ejemplo:

• Garantizando que los objetivos del SGSI y ”La política

de seguridad de la información”, estén alineados con los

objetivos del negocio.

• Garantizando la disponibilidad de los recursos para la

implementación del SGSI (económicos, tecnológicos,

etc.).

• Garantizando que los roles y responsabilidades claves

para la seguridad de la información se asignen y se

comuniquen adecuadamente.

5



6

PLANIFICACIÓN

6.1

Acciones para atender los riesgos y las oportunidades

6.1.1

Generalidades

6.1.2

Evaluación de riesgos de seguridad de la información

6.1.3

Información de tratamiento de riesgos de seguridad

6.2

Objetivos de seguridad de la información y planes para

alcanzarlos

6. Planificación



6. Planificación

Esta sección esta enfocada en la definición de los objetivos

de seguridad como un todo, los cuales deben ser claros y

se debe contar con planes específicos para alcanzarlos.

• El proceso para la evaluación de riesgos se enfoca en el

objetivo de identificar los riesgos asociados con la perdida de

la confidencialidad, integridad y disponibilidad.

• El nivel de riesgo se determina con base en la probabilidad

de ocurrencia del riesgo y las consecuencias generales

(impacto), si el riesgo se materializa.

• Los activos, vulnerabilidades y amenazas se requieren para

identificar los riesgos asociados con la confidencialidad,

integridad y disponibilidad.

6



7

SOPORTE

7.1

Recursos 7.2

Competencias

7.3

Concientización

7.4

Comunicación

7.5

Información a documentar

7.5.1

Generalidades

7.5.2

Creación y actualización

7.5.3

Control de la información

documentada

7. Soporte



7. Soporte

Marca los requerimientos de soporte para el

establecimiento, implementación y mejora del SGSI, que

incluye:

• Recursos

• Personal competente

• Conciencia y comunicación de las partes interesadas

– Información documentada: abarca el proceso de documentar,

controlar, mantener y conservar la documentación

correspondiente al SGSI.

– El proceso de revisión se enfoca en el contenido d elos

documentos y no en la existencia de un determinado conjunto

de estos.

7



8

OPERACIÓN

8.1

Planificación y control operacional

8.2

Evaluación del riesgo de seguridad de información

8.3

Información de tratamiento de riesgos de seguridad

8. Operación



8. Operación

Establece los requerimientos para medir el funcionamiento

del SGSI, las expectativas de la Alta Dirección y su

realimentación sobre estas, así como el cumplimiento con

el del estándar.

Además, plantea que la organización debe planear y

controlar las operaciones y requerimientos de seguridad,

erigiendo como el pilar de este proceso la ejecución de

evaluaciones de riesgos de seguridad de la información de

manera periódica por medio de un programa previamente

elegido.

8



9

EVALUACIÓN DEL DESEMPEÑO

9.1

Monitoreo, medición, análisis y evaluación

9.2

Auditoría interna

9.3

Revisión gerencial

9. Evaluación del desempeño



9. Evaluación del desempeño

La base para identificar y medir la efectividad y desempeño

del SGSI son las auditorías internas y las revisiones del

SGSI.

Se debe considerar para estas revisiones el estado de los

planes de acción para atender no conformidades

anteriores y se establece la necesidad de definir quién y

cuándo se deben realizar estas evaluaciones así como

quién debe analizar la información recolectada.

9



10

MEJORAMIENTO

10.1

No conformidad y acciones correctivas 10.2

Mejoramiento continuó

10. Mejoramiento



10. Mejoramiento

El principal elemento del proceso de mejora son las no

conformidades identificadas, las cuales tienen que

contabilizarse y compararse con las acciones correctivas

para asegurar que no se repitan y que las acciones

correctivas sean efectivas.

10



Ciclo PDCA en

ISO/IEC

27001:2013



Fases del ciclo Deming

PLAN

Contexto de la

organización

• Entendimiento de la organización y su

contexto

• Expectativas de las partes interesadas

• Alcance del SGSI

Liderazgo

• Liderazgo y compromiso de la Alta Dirección

• Políticas

• Organización de los roles, responsabilidades

y autoridades

Planeación • Cómo abordar riesgos y oportunidades

Soporte

• Recursos

• Competencias

• Conciencia

• Comunicación

• Información

documentada

11



Fases del ciclo Deming

DO Operación

• Evaluación de riesgos de la seguridad de

la información

• Manejo de riesgos de la seguridad de la

información

CHECK Evaluación del

desempeño

• Monitoreo y auditorias internas

• Revisión de la Alta Dirección

ACT Mejora • Ejecutar acciones correctivas



Proceso pre-implementación

12



Estructura de Gobierno del SGSI



Política de Seguridad

• Debe tener el marco general y los objetivos de

seguridad de la información de la organización

• Debe explicar los requisitos de negocio, legales y

contractuales en cuanto a seguridad

• Debe de estar alineada con la gestión de riesgo general,

establecer criterios de evaluación de riesgo y ser

aprobada por la Dirección.

• La política de seguridad es un documento muy general,

una especie de "declaración e intenciones" de la

Dirección, por lo que no pasará de dos o tres páginas.

13



Tipos de Políticas



Estructura de una Política

• Resumen

• Introducción

• Ámbito de aplicación

• Objetivos

• Principios

• Responsabilidades

• Resultados importantes

• Políticas relacionadas

• Definiciones

• Sanciones

14



¿Qué documentos y registros son

necesarios?



Documentos Cláusula

Alcance del SGSI 4.3

Políticas y objetivos de seguridad de la información 5.2, 6.2

Metodología de evaluación y tratamiento de riesgos 6.1.2

Declaración de aplicabilidad 6.1.3 d)

Plan de tratamiento del riesgo 6.1.3 e), 6.2

Informe de evaluación de riesgos 8.2

Definición de funciones y responsabilidades de seguridad A.7.1.2, A.13.2.4

Inventario de activos A.8.1.1

Uso aceptable de los activos A.8.1.3

Política de control de acceso A.9.1

Procedimientos operativos para gestión de TI A.12.1.1

Principios de ingeniería para sistema seguro A.14.2.5

Política de seguridad para proveedores A.15.1.1

Procedimientos para gestión de incidentes A.16.1.5

Procedimientos de la continuidad del negocio A.17.1.2

Requisitos legales, normativos y contractuales A.18.1.1

15



Registros Cláusula

Registros de capacitación, habilidades, experiencia y calificaciones 7.2

Resultados de supervisión y medición 9.1

Programa de auditoría interna 9.2

Resultados de las auditorías internas 9.2

Resultados de la revisión por parte de la dirección 9.3

Resultados de acciones correctivas 10.1

Registros sobre actividades de los usuarios, excepciones y eventos

de seguridad

A.12.4.1, A.12.4.3



Proceso de Evaluación del Riesgo

16



Proceso del

Ejercicio de

Evaluación del

Riesgo



Metodologías para la Evaluación del

Riesgo • Magerit (España)

• Octave (EE.UU.)

• Cramm (Reino Unido)

• Microsoft (EE.UU.)

• Tra (Canada)

• Nist 800-30 (EE.UU.)

• Ebios (Francia)

• Mehari (Francia)

17



Inventario de Activos

• Todos aquellos activos de información que tienen algún

valor para la organización y que quedan dentro del

alcance del SGSI

• Se debe inventariar el nombre activo, tipo, responsable y

ubicación como campos mínimos.

• Se debe realizar la dependencia de activos.



Tasación de los Activos ACTIVOS DE

INFORMACIÓN

CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD TOTAL VALORI

ZACIÓN

A 2 4 3 3.00 Medio

B 2 4 3 3.00 Medio

C 4 4 2 3.33 Alto

ESCALA VALORIZACIÓN OTRA POSIBLE DEFINICIÓN

1 Muy Bajo (MB) Afecta a unos activos

2 Bajo (B)

3 Medio (M)

4 Alto (A)

5 Muy Alto (MA) Paraliza la empresa

Tabla de impacto

18



Dispersión del Riesgo

Análisis y Evaluación del Riesgo




19



Opciones del Tratamiento del Riesgo

Decisión Descripción

Reducción Mitigar el riesgo por controles

Aceptación Aceptar el riesgo y vivir con las

consecuencia

Transferir Opción cuando para la empresa es

difícil reducir o controlar el riesgo a un

nivel aceptable

Evitar Opción orientada a cambiar las

actividades o la manera de

desempeñar una actividad comercial




ACTIVO AMENAZA IMPACTO DE LA

AMENAZA

PROBABILIDAD

DE OCURRENCIA

MEDICIÓN DEL

RIESGO

PRIORIZACIÓN

Software

Sistema

Operativo

Errores de Código 2

4

3

5 20 3

Errores de

Administración

3 4

Infección de

malware

4 4

Falta de seguridad 4 5

Sistema de

Ventas

Fallos por las

actualizaciones

3

3

5

5 15 5

Errores de usuario 2 2

Base de Datos Perdida de

información

5

5

3

5 25 1 Lentitud de

procesos

5 5

20




ACTIVO AMENAZA IMPACTO DE LA

AMENAZA

PROBABILIDAD

DE OCURRENCIA

MEDICIÓN DEL

RIESGO

PRIORIZACIÓN

Hardware

Servidor APPS Fallos técnicos 3

5

2

5 25 2 Perdida de datos 3 3

Fallos de hardware 3 3


Servidor Firewall Fallos técnicos 3

5

3

3 15 6

Fallos de hardware 3 3


Errores de

configuración

5 3

Estaciones de

trabajo

Fallos de hardware 2

3

2

3 9 8 Errores de usuario 2 2




Declaración de Aplicabilidad

Objetivos de control Controles

Aplicabilidad Justificación

Sí No

A.5.1

Política de seguridad de la

información

A.5.1.1

A.5.1.2

Sí No

Sí No

Es necesario establecer las políticas de seguridad

del Sistema de Ventas (servidores, base de datos,

personal, etc.), ya que aquí se tiene el total de

información del Área de Ventas de la empresa.

Es necesario revisar periódicamente las políticas de

seguridad del Sistema de Ventas, para asegurar

que se mantengan adecuadas.

A.6.1

Organización interna

A.6.1.1

A.6.1.2

A.6.1.3

A.6.1.4

A.6.1.5

A.6.1.6

A.6.1.7

A.6.1.8

Sí No

Sí No

Sí No

Sí No

Sí No

Sí No

Sí No

Sí No

Es necesario tener políticas y controles para el

manejo de la seguridad de la información dentro de

la organización.

A.6.2

Partes externas

A.6.2.1

A.6.2.2

A.6.2.3

Sí No

Sí No

Sí No

Es necesario establecer requerimiento de seguridad

porque el sistema ERP tiene asistencia técnica por

terceros.

A.7.1

Responsabilidad por ,los

activos

A.7.1.1

A.7.1.2

A.7.1.3

Sí No

Sí No

Sí No

Es necesario tener políticas y controles para

mantener la protección apropiada de los activos

organizacionales.

21



Declaración de Aplicabilidad

Objetivos de control Controles

Aplicabilidad Justificación

Sí No

A.5.1

Política de seguridad de la

información

A.5.1.1

A.5.1.2

Sí No

Sí No

Es necesario establecer las políticas de seguridad

del Sistema de Ventas (servidores, base de datos,

personal, etc.), ya que aquí se tiene el total de

información del Área de Ventas de la empresa.

Es necesario revisar periódicamente las políticas de

seguridad del Sistema de Ventas, para asegurar

que se mantengan adecuadas.

A.6.1

Organización interna

A.6.1.1

A.6.1.2

A.6.1.3

A.6.1.4

A.6.1.5

A.6.1.6

A.6.1.7

A.6.1.8

Sí No

Sí No

Sí No

Sí No

Sí No

Sí No

Sí No

Sí No

Es necesario tener políticas y controles para el

manejo de la seguridad de la información dentro de

la organización.

A.6.2

Partes externas

A.6.2.1

A.6.2.2

A.6.2.3

Sí No

Sí No

Sí No

Es necesario establecer requerimiento de seguridad

porque el sistema ERP tiene asistencia técnica por

terceros.

A.7.1

Responsabilidad por ,los

activos

A.7.1.1

A.7.1.2

A.7.1.3

Sí No

Sí No

Sí No

Es necesario tener políticas y controles para

mantener la protección apropiada de los activos

organizacionales.



Proceso de Auditoría Interna

22



¿Cómo implementar ISO 27001?

Para implementar la norma ISO 27001 en una empresa,

usted tiene que seguir estos 16 pasos:

1) Obtener el apoyo de la dirección

2) Utilizar una metodología para gestión de proyectos

3) Definir el alcance del SGSI

4) Redactar una política de alto nivel sobre seguridad de la información

5) Definir la metodología de evaluación de riesgos

6) Realizar la evaluación y el tratamiento de riesgos

7) Redactar la Declaración de aplicabilidad

8) Redactar el Plan de tratamiento de riesgos

9) Definir la forma de medir la efectividad de sus controles y de su

SGSI



¿Cómo implementar ISO 27001?

11) Implementar programas de capacitación y concienciación

12) Realizar todas las operaciones diarias establecidas en la

documentación de su SGSI

13) Monitorear y medir su SGSI

14) Realizar la auditoría interna

15) Realizar la revisión por parte de la dirección

16) Implementar medidas correctivas

5 - NTP ISO IEC 27001-2013

Documents

Transcript of 5 - NTP ISO IEC 27001-2013