Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96
Calle 90 # 12-28,
Cundinamarca - Bogotá
(Colombia)
Tel: +57 (1) 638 68 88
ISO 27001:2013 FastPath
Índice1. Qué es FastPath
2. Historia ISO27001
3. Conceptos Clave: Certificador y Esquema
4. Porqué ISO27001?
5. Estructura de la Norma
6. Preparación de la implantación
7. Justificación de la implantación
8. Grandes Preguntas
9. Cómo implantarla?
10. Recomendaciones FastPath
11. El Anexo A
12. Sólo IT?
13. Roadmap
14. La Certificación
15. CSF
• Análisis de la norma y sus controles
• Aplicación de mejores prácticas de implantación
• Experiencia como consultores implantadores y
auditores
Qué es FastPath?
Implantación rápida, económica y con garantías de éxito
• Origen: Normas inglesas de Seguridad y continuidad de la información BS (British Standard) pasa a ISO con otros nombres (ISO/IEC 17799, con
orígenes en la norma BS 7799-2:2002 (España ISO71502)=>ISO/IEC*
27.001)
• Publicación 2004-2005, revisión 2013
• ISO 27.001.2013– Anexo SL
– Evitar desconocimiento, formar al personal, reforzando toda la cadena de seguridad, desde el Negocio hasta la persona
– Control de Proveedores (orientado a la nube)
– Contemplar la Continuidad del negocio propio como parte del negocio del cliente
– Asegurar la seguridad en las comunicaciones tanto telemáticas como físicas
– Enfoque de riesgo mediante metodología
– Gestionar los eventos de seguridad
– Orientado a la mejora del sistema (de forma continua)
– 114 controles (ISO27002)
– 10 Dominios
Historia ISO27001 y Anexo SL
* Nota: ISO= International Standards Organization, IEC=International Electric Comitee (ambos gestionan las normas técnicas), también aparece la ITU-T (International Telecommunication Union – Telecommunication Standardization Sector)
• Certificadores:
– Mundiales: BSI, TÜV, SGS
– Locales: AENOR, Applus
• Esquemas: ANAB, UKAS, AENOR
Conceptos Clave, certificador y esquema
EEUU
Inglaterra– AsiaCommonwealth
España
Certificador (Auditor) Esquema Certificación
• No es sólo seguridad lógica => Hay que leerla
bien
• No implica únicamente a IT
• La empresa que la cumple demuestra diligencia
debida
• Entorno, es una acción identificada como
mitigadora de riesgo
ISO27001?
Po
nem
on
Inst
itu
teC
ost
of
Cyb
ercr
ime
20
15
The
Glo
bal
Ris
k2
01
5 W
orl
dEc
on
om
icFo
rum
1,2,3 Objeto, Consulta y Definiciones
4. Contexto– Alcance
– SGSI
5. Liderazgo– Política
– Roles
6. Planificación– Objetivos
7. Soporte– Concienciación
8. Operación
– Riesgos
9. Evaluación del desempeño
– Seguimiento
– Auditoría Interna
10. Mejora– No Conformidades
– Mejora Continua
• ANEXO A (ISO27002)– Objetivo15 Proveedores
• 114 Controles (13 Capítulos)
La Norma (10 dominios+1)
Empezar por el final ! Anexo A (ISO27002)
Con el cumplimiento establecer madurez
Análisis de riesgos (conocimiento)
Con la madurez realizar roadmap
Buscar el ok del cliente al roadmap
«No somos la NASA», «No me quiero certificar»,
«Esto para qué sirve», «Es muy caro», «No podré
dedicar mi gente a esto que pides», «Ala!», «No es
nuestra prioridad en este momento»
CSF
Preparación
• Para:
– Estar Preparados en caso de ataque / contingencia
– Demostrar diligencia debida en caso de ataque
– Conseguir contratos (AAPP, Grandes...)
– Estrategia mitigadora de pérdidas!!! Perder menos en
caso de perder No gastar Ganar
– Seriedad
– Ciclo de vida del trabajador,documento/activo Orden
– Roles de Seguridad Orden
– Conocernos a nosotros mismos (Riesgos) para actuar
– Orden, Seriedad, Diligencia (asimetría de la seguridad)
Para qué?
• Cómo implantarla?
• En qué orden?
• Por dónde empiezo?
• Qué es importante y qué no?
• Qué me pedirá el auditor?
• En cuánto tiempo?
• Cuánto me costará?
Las preguntas del millón
Cómo Implantarla? Como lo dice la Norma, así?
4.3 Alcance
4.4 SGSI
5.2 Política
5.3 Roles
6.2 Objetivos
7.3 Concienciación
8.2 Riesgos
9.1 Seguimiento
9.2 AuditoríaInterna
10.1 No Conformi
dades
10.2 Mejora
Continua
Recomendación de Implantación
4.3 Alcance
4.4 SGSI
5.2 Política
5.3 Roles
6.2 Objetivos
7.3 Concienci
ación
8.2 Riesgos
9.1 Seguimiento
9,2 AuditoríaInterna
10.1 No Conformida
des
10.2 Mejora
Continua
Spónsor
Directiva
EmpresaANEXO
A
Co
mp
rom
iso
• Contacto con autoridades
• Trabajadores
• Partes Externas
• Proveedores
• Confidencialidad
• Control de Acceso
• Equipos
• Cambios
• Teletrabajo
• Información
• Código Malicioso
• Backup
• Documentación
• Desarrollo
• Incidentes de Seguridad
• Continuidad
• Legislación
• …
Sólo IT?
Seguridad Lógica
Resto Medidas
Entorno seguro
Resto Medidas
• Mínimo 6 meses Sii (Alcance 1 site):
– Preauditoría hecha + Inversión HW aprobada
– Alcance Acotado (1-2 Servicios 1 site)
– Sponsor alineado y disponible (hits constantes)
– Equipo motivado (1consultor+1help dentro empresa)
– Ubicación en cliente o reuniones semanales de deploy
– Madurez mínima (1)
– Esquema en 3 rondas:
1ª Madurez 1-2 (6 meses)
2ª Madurez 2-3 (6 meses)
3ª Madurez 3 (y recertificación)
Roadmap
PROYECTO DE CAMBIO CULTURAL
• Tras los primeros seis meses se plantea
certificación con cierta garantía (60%-70% en
función del esfuerzo del cliente)
• Coste de la certificación debe estar fuera del
proyecto de consultoría
• Los certificadores suelen ser lentos, hay que
acordar con ellos el calendario y las jornadas con
tiempo suficiente
• ANTES DE CERTIFICAR repasar TODO el
esquema
• TENER EVIDENCIAS o gestión del riesgo
Certificación?
• Factores clave que deben estar en certificación (1ª Ronda):– Política de Seguridad publicada
– Usuarios formados
– Incidentes de Seguridad
– Roles de Seguridad
– Plan de Continuidad
– SGSI
– 1 revisión (6Meses) lo ideal, hacerla y certificar
– Seguridad Física
– Docs internos (Alcance, Liderazgo, …)
– Análisis de Riesgos
– Objetivos de Seguridad Y PROPÓSITO DE REVISIÓN
CSF ISO 27001
EVID
ENC
IAS!
PREGUNTAS
MUCHAS GRACIAS
Carlos Ortiz de Zevallos TorrentsINTERNET SECURITY AUDITORSConsultor de Seguridad
Miembro ITSMFBSI Lead Auditor ISO27001:2013Consultor ISO20000ITIL F/MCP/Scrum Manager…
[email protected]://www.linkedin.com/in/carlosortizdezevallos
Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96
Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96
Calle 90 # 12-28,
Cundinamarca - Bogotá
(Colombia)
Tel: +57 (1) 638 68 88
Top Related