cómo afrontar con éxito la certificación iso 27001:2005 · cómo afrontar con éxito la...
Post on 07-Oct-2020
11 Views
Preview:
TRANSCRIPT
Juan Carlos Serrano AntónResponsable Técnico de Esquema
Lead Auditor ISO 27001, ISO 20000, ISO 9001
Cómo afrontar con éxito la Certif icación ISO 27001:2005
Valencia, octubre 2010
Conceptos y Definiciones de Seguridad de la Información
3Bureau Veritas Certification mayo 2010
► ACTIVO: Recurso del sistema de información o relacionado conéste, necesario para que la organización funcione correctamente yalcance los objetivos propuestos por su dirección.
► AMENAZA: Evento que uede desencadenar un incidente en laorganización,produciendo daños o pérdidas materiales oinmateriales en sus activos.
► RIESGO: Posibilidad de que una amenaza se materialice.
► IMPACTO: Consecuencia sobre un activo de la materialización deuna amenaza.
► CONTROL: Práctica, procedimiento o mecanismo que reduce elnivel de riesgo.
Conceptos de Seguridad
4Bureau Veritas Certification mayo 2010
Seguridad Informática.Son medidas encaminadas a proteger el hard, soft ycomunicaciones de los equipos informáticos. NO gestiona
Contempla aspectos:
• Físicos (instalaciones)
• Telecomunicaciones (protocolos seguros, encriptación,firewall)
• De acceso al sistema.
• Copias de Seguridad
• No las personas, No los contratos, No clasifica lainformación
• …
Conceptos de Seguridad
5Bureau Veritas Certification mayo 2010
Seguridad de la información.Son medidas encaminadas a proteger la información ,independientemente del soporte en el que se encuentre, contracualquier amenaza, de tal manera que podamos asegurar lacontinuidad de las actividades de la empresa, minimizar el perjuicioque se pudiera causar y maximizar el rendimiento del capitalinvertido.
Se caracteriza por preservar:
• Confidencialidad
• Integridad
• Disponibilidad
Conceptos de Seguridad
El grupo de normas de la seguridad de la Inf ormaciónISO 27000
7Bureau Veritas Certification mayo 2010
1989 1990(Fast Track)
Revisión periódica(5 años)
Código de prácticas
para usuarios Centro de
Seguridad de Informática
Comercial del Reino Unido(CCSC/DTI)
BS 7799ISO/IEC 17799
:2000ISO/IEC 17799
:2005
PD0003Código de prácticas
para la gestión de la seguridad de
la información
Normal Internacional
Revisión y acercamiento a:• ISO 9001• ISO 14000
BS 7799-2 :2002
BS 7799-2
Revisión conjunta de las
partes 1 y 2
BS 7799-2 :1999
ISO/IEC 27001 :2005
1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007
Certificable
ISO/IEC 27002 :2007
Historia de la Normas
BS 7799-1 :1999
8Bureau Veritas Certification mayo 2010
Normas
La serie ISO 27000
q ISO 27000. Fundamentos y vocabulario
q ISO 27001:2005. Requisitos de los Sistemas de Gestión de Seguridadde la Información
q ISO 27002:2007. Buenas prácticas para la Gestión de Seguridad de laInformación . (Anterior ISO 17799:2005)
q ISO 27003:2010. Guía de implantación de un SGSI
q ISO 27004:2009. Métricas e indicadores de eficiencia y efectividad delos controles
q ISO 27005. Gestión del riesgo en Seguridad de la información (BS-7799:3)
q ISO 27006:2007 Requisitos de acreditación de las entidades decertificación de SGSI
9Bureau Veritas Certification mayo 2010
La serie ISO 27000.► ISO/FDIC 27799 – Informática de la Salud – Gestión de seguridad de la
información en la SALUD usando la la ISO/IEC 27002
► ISO/IEC 27011 – Buenas prácticas para la gestión de seguridad de lainformación en la TELECOMUNICACIONES
Normas
Elementos de Éxitoen la Seguridad de la Inf ormación
11Bureau Veritas Certification mayo 2010
Para que un SGSI, al igual que en todos losSistemas de Gestión, tenga éxito se haceimprescindible considerar
l la formación inicial y continua de todo el personaly,
l la importancia de contar con el apoyo de laDirección
El éxito en la 27001:2005
12Bureau Veritas Certification mayo 2010
Ø Participación activa de la Dirección.Comité de seguridad, etc.
Ø Formación y mentalización del personal.No sólo en la implantación inicial sinotambién en el mantenimiento y laidentificación de nuevos riesgos a gestionar
Ø Mejora continua. Adaptación a la evoluciónde los sistemas y sus amenazas. Aprendizajede los errores propios o ajenos.
Ø Mantenimiento del SGSI. Poner medios(personal, material, tiempo)
Las Claves del éxito en la 27001:2005
13Bureau Veritas Certification mayo 2010
Ø La gestión del riesgo. Debe estar presenteen todas las actividades de la organización,de manera que los riesgos se tengan encuenta a lo largo del desarrollo de cualquierproyecto
Ø Los controles. Deben ser acordes a lascaracterísticas de los riesgos y de la laorganización
Ø La certificación no debe plantearse como unobjetivo de la seguridad, sino como unaprueba o acreditación al trabajo bien hecho
Ø Existencia de otros Sistemas de Gestióncomo UNE ISO/IEC 9001:2000. Simplifica yagiliza la implantación
Las Claves del éxito en la 27001:2005
14Bureau Veritas Certification mayo 2010
Éxito en la prácticaØ Política, objetivos y actividades que reflejen los objetivos del
negocio de la organización;
Ø Cultura de la Organización. Un enfoque para implantar laseguridad que sea consistente;
Ø Alta Gerencia y su apoyo visible y compromiso;
Ø Conocimient o y buena comprensión de los requisitos de laseguridad, de la evaluación del riesgo y de la gestión del riesgo;
Ø Convencer de la necesidad de la seguridad a todos los directivos yempleados;
Las Claves en la práctica
15Bureau Veritas Certification mayo 2010
Éxito en la prácticaØ Guías sobre la política de seguridad de la información de la
organización y de normas a todos los empleados y contratistas;
Ø Formación y capacitación adecuadas;
Ø Integración y equilibrio . Seleccionar indicadores que permitanevaluar el rendimiento de la gestión de la seguridad de lainformación y sugerir mejoras.
Las Claves en la práctica
La Proporcionalidad del Análisis deRiesgo en la ISO 27001
17Bureau Veritas Certification mayo 2010
Enfoque de la implantaciónØ No hay que intentar el asegurar toda la
Organización de una vez, es preferiblehacerlo en fases y en áreas concretas dela Organización.
Ø La experiencia adquirida permitiráimplantaciones en otras áreas de unaforma más rápida y eficaz
El enfoque
18Bureau Veritas Certification mayo 2010
En la fase Planificación la ISO 27001 obliga a (4.2.1):c. Definir el enfoque de la evaluación de Riesgos
(metodología y criterios de aceptación del riesgo)
d. Identificar los riesgos. (Activos, amenazas, vulnerabilidades,impactos)
e. Analizar y evaluar los riesgos
f. Identificar y evaluar los tratamientos (ver la siguiente)
g. Seleccionar objetivos de control y controles (Anexo A). Noexhaustivo
h. Aprobación del riesgo residual
i. Autorización gerencial para implementar
j. Declaración de aplicabilidad
El Riesgo en la ISO 27001
19Bureau Veritas Certification mayo 2010
Opciones de Tratamiento del Riesgo 4.2.1.fDurante el proceso de tratamiento de riesgos, sedefine une estrategia global para tratar los riesgosidentificados durante la evaluación.
Estos riesgos pueden controlarse:
Ø Aplicando controles (ISO 27002:2007)
Ø Asumiendo el riesgo. (si satisface lapolítica)
Ø Evitando el riesgo (abandono del activo)
Ø Transfiriendo el riesgo (seguros,proveedores)
El tratamiento
20Bureau Veritas Certification mayo 2010
Tratamiento del Riesgo 4.2.2a) El tratamiento identificará acción,
responsabilidad y prioridad para manejar losriesgos
b) Al implantar se considerará la financiación, lasfunciones y las responsabilidades
c) Implantar los controles que se seseleccionaron en el 4.2.1.g
d) Definir la medición de indicadores deefectividad para evaluar la eficacia del controlmediante comparación
El tratamiento
21Bureau Veritas Certification mayo 2010
Monitorización y revisión del Riesgo 4.2.3b) Efectuar revisiones periódicas de la eficacia del
SGSI
c) Verificar la efectividad de los controles paracomprobar que se cumplen los objetivos deseguridad
d) Revisar las evaluaciones de riesgos a intervalosplanificados, revisar el riesgo residual y riesgoaceptable
Monitorización del tratamiento
22Bureau Veritas Certification mayo 2010
Hay dos grupos de metodologías de evaluación deRiesgos:
Ø Evaluación cualitativa: es aquella donde laprobabilidad del incidente y la magnitud de susconsecuencias se expresan en términoscualitativos como «alta», «mediana», «baja» o«insignif icante»,
Ø Evaluación cuantitativa: es aquella en la quelos resultados se expresan en cifras.
Metodologías de evaluación de riesgos
23Bureau Veritas Certification mayo 2010
Evaluación y tratamiento de riesgos
Activo Amenaza Vulnerabilidad Requisito legal o de negocio
Riesgos
Selección e implantación de controles
Gestión de políticas
Evaluación del riesgo
Tratamiento del riesgo
Evaluación del riesgo
24Bureau Veritas Certification mayo 2010
Ejemplos de Metodologías de Análisis de Riesgos
l MAGERIT. Desarrollada desde el Consejo Superior de Informática(Ministerio de Administraciones Públicas) se trata de un método formal pararealizar un análisis de riesgos y recomendar los controles necesarios parasu minimización. MAGERIT se basa en una aproximación cualitativa queintenta cubrir un amplio espectro de usuarios genéricos gracias a unenfoque orientado a la adaptación del mecanismo dentro de diferentesentornos, generalmente con necesidades de seguridad y nivel desensibilidad también diferentes.
Metodologías de Análisis de Riesgos
25Bureau Veritas Certification mayo 2010
Ejemplos de Metodologías de Análisis de Riesgos
l CRAMM. (CCTA Risk Analysis and Management Method). Metodología y
herramienta de análisis y gestión de riesgos desarrollada por la "Central
Computer and Telecommunications Agency" del Reino Unido y gestionada
por "Insight Consulting Limited" (Grupo Siemens). Existe en versión Expert y
Express, incluye software y no es gratuita. Es de tipo cualitativo pero es
posible realizar modificaciones para convertirla en cuantitativa.
Metodologías de Análisis de Riesgos
26Bureau Veritas Certification mayo 2010
Muchas gracias por Muchas gracias por su atenciónsu atención
top related