Introducción a la ISO Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

Transcripción

1 Introducción a la ISO Sistemas de Gestión de Seguridad de Información Carlos Ignacio Gamboa Hirales

2 Contenido Necesidades actuales Introducción a la ISO Las grandes confusiones en torno a ISO Principales elementos Mercado objetivo Empresas que cuentan con ISO Requisitos de Acreditación

3 Necesidades actuales Las instituciones a lo largo de su historia han acumulado una gran cantidad de información. Información como uno de los grandes bastiones del crecimiento o desarrollo de las instituciones. La tecnología nos ofrece grandes ventajas, pero también asumimos riesgos provenientes de diversas fuentes. Para nuestras organizaciones debemos definir un entorno más seguro.

4 qué implica el término Seguridad de Información? Tiene que ver con las propiedades de la información: Confidencialidad Integridad Disponibilidad

5 qué puede alterar esta Seguridad? Diversos factores que implican un Riesgo para la organización. Se convierten en Amenazas

6 Historia de ISO e ISO Nuevo estándar nacional certificable Certificable No certificable Centro de Seguridad de Informática Comercial del Reino Unido (CCSC/DTI) Revisión por: NCC (Centro Nacional de Computación) Consorcio usuarios Código de PD0003 prácticas para usuarios 1989 Código de prácticas para la gestión de la seguridad de la información 1993 BS Estándar nacional británico BS Revisión y acercamiento a: ISO 9001 ISO OCDE Revisión conjunta de las partes 1 y 2 Revisión conjunta de las partes 1 y 2 BS :1999 BS : BS :2002 Estándar Internacional (Fast Track) ISO/IEC : Estándar Internacional ISO/IEC :2005 Revisión periódica (5 años) ISO/IEC :

7 Introducción a la ISO Esta norma internacional: Proporciona un modelo para la creación, implementación, operación, supervisión, revisión, mantenimiento y mejora de un Sistema de Gestión de la Seguridad de la Información. Abarca todo tipo de organizaciones (empresas, organismos públicos y privados, entidades sin afán de lucro)

8 Introducción a la ISO ISO 27000: Contiene la descripción general y vocabulario a ser empleado en toda la serie Se puede utilizar para tener un entendimiento más claro de la serie y la relación entre los diferentes documentos que la conforman. UNE-ISO/IEC 27001:2007 Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos. (anteriormente denominada ISO17799). ISO 27002: (anteriormente denominada ISO17799).Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. ISO 27003: Guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases.

9 Introducción a la ISO ISO 27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados. ISO 27005: Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO y a la implantación de un SGSI. Incluye partes de la ISO ISO 27006: Especifica los requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.

10 Las grandes confusiones en torno a ISO Definamos Seguridad de la Información. Consiste en la preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo además abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio. Los eventos de seguridad de la información. La ocurrencia detectada en un estado de un sistema, servicio o red que indica una posible violación de la política de seguridad de la información, un fallo en las salvaguardas o una situación desconocida hasta el momento y que puede ser relevante para la seguridad.

11 Las grandes confusiones en torno a ISO Implica algo más que el simple acceso a la información, se debe convertir en toda una cultura organizacional, desde la dirección y hacia todos y cada uno de los empleados de la organización.

12 Las grandes confusiones en torno a ISO Retomando la propiedades de la información tenemos: La Confidencialidad. Propiedad por la que la información no se pone a disposición o se revela a individuos, entidades o procesos no autorizados. La Integridad. La propiedad de salvaguardar la exactitud y completitud de los activos. La Disponibilidad. La propiedad de ser accesible y utilizable por una entidad autorizada.

13 Principales elementos Modelo PDCA. Planificar (Plan) Crear el SGSI Partes Interesadas Implementar y operar el SGSI Mantener y mejorar el SGSI Actuar (Act) Hacer (Do) Requisitos y expectaivas de SI Supervisar y revisar el SGSI Verificar (Check) SI Gestionada Partes Interesadas

14 Principales elementos

15 Mercado Objetivo

16 Empresas que cuentan con Certificación

17

18 Ejercicio Amenazas Explotan Impacto Potencial al Negocio Vulnerabilidades Activos Requerimientos de Seguridad Riesgos Aumenta Controles Reducen Expuestos a Controles Activos Valor Requerimientos de Seguridad Valor Vulnerabilidades Riesgos Impacto Potencial al Negocio Amenazas

19 Organismos de Certificación NORMA ISO IEC 27006:2007 La entidad mexicana de acreditación, a. c. cuenta con el programa de acreditación en ISO IEC 27006:2007 Tecnologías de la información - Técnicas de Seguridad - Requisitos para organismos que proporcionan la auditoría y certificación de sistemas de gestión de la seguridad de la información.

20 Organismos de Certificación Contar con un sistema efectivo para el análisis de las competencias de los clientes, esto determina el alcance de la evaluación. Para los equipos auditores debe tener capacitación para: Tener el conocimiento de la norma del SGSI El entendimiento de la seguridad de información El entendimiento de la evaluación de riesgos y la gestión de riesgos desde la perspectiva del negocio. El conocimiento técnico de la actividad auditada. El conocimiento general de los requisitos reglamentarios pertinentes a los SGSI Conocimiento de los sistemas de gestión. Capacidad de entendimiento de las necesidades de la organización cliente. Tener un entendimiento apropiado a los requisitos regulatorios aplicables al SGSI de la organización cliente.

21 Organismos de Certificación En cuanto a la formación académica: Tener educación a nivel secundaria. Al menos cuatro años de experiencia laboral de tiempo completo en tecnología de información, al menos dos años en alguna función relacionada a la seguridad de información. Haber ganado experiencia en todo el proceso de evaluación de la seguridad de la información previa a asumir la responsabilidad para desempeñarse como auditor. Tener experiencia razonablemente reciente. Tener capacidad de poner en perspectiva amplia, operaciones complejas.

22 Requisitos generales de la norma ISO IEC 27006:2007 La 27006, contiene los siguientes anexos: Anexo A (Inf).- Análisis de la complejidad de la organización cliente y aspectos del sector específico. Anexo B (Inf).- Ejemplos de áreas de competencia de los auditores. Anexo C (Inf).- Tiempo de Auditoría Anexo D (Inf).- Guía para la revisión de la implementación de la ISO/IEC 27001:2005

23 Por su atención GRACIAS!