Todos los derechos reservados

Transcripción

1

2 REFLEXION! Cuando no hay suficiente claridad sobre los Riesgos

3 QUEDAMOS EN MANOS DEL AZAR

4 AVISO IMPORTANTE La presente información fue elaborada por Restrepo Oramas SAS con propósitos exclusivamente académicos, teniendo como base la experiencia profesional adquirida en los últimos 17 años, lo cual permitió realizar un juicioso análisis y conceptualización sobre los documentos originales de las normas ISO. Restrepo Oramas SAS, no se hace responsable sobre cualquier tipo de decisión tomada con base en la información de carácter académico incluida en esta presentación. El presente documento es para uso exclusivo de quien recibe de manera directa esta información por parte de Restrepo Oramas SAS; quedando prohibida la reproducción, difusión o diseminación total o parcial. Se recomienda adquirir las normas oficiales ISO en las entidades autorizadas para su venta.

5 OBJETIVO GENERAL Dar a conocer lecciones aprendidas por el expositor en su práctica profesional diseñando, implementando, gestionando y auditando sistemas de gestión de seguridad de la información ( SGSI ), enmarcados en mejores prácticas como ISO 27001:2013; entre otras.

6 OBJETIVOS ESPECÍFICOS Dar a conocer de manera general los principales elementos desarrollados por la norma ISO 27001:2013 para el diseño, implementación, operación, revisión y mejora de un Sistema de Gestión de Seguridad de la Información ( SGSI ), acorde a las mejores prácticas del mercado. Identificar factores claves a ser tenidos en cuenta para realizar una auditoria de seguridad de información con base en la norma ISO 27001:2013.

7 OBJETIVOS ESPECÍFICOS Proponer un marco de referencia para emitir recomendaciones de auditoria que generen valor. Dar a conocer de manera general la lista de controles propuesta por la norma ISO 27001:2013 Prepararse para recibir una auditoria externa de seguridad de la información.

8 FACTORES CLAVES Conocimiento del negocio Gestión de Integral de Riesgo Apetito al Riesgo Principales interesados Grado de Madurez

9 FACTORES CLAVES Programas y planes de auditoria Competencia del equipo auditor Técnicas de muestreo Recolección de evidencia y pruebas Revisión documental Planes de tratamiento y mejora continua

10 INTRODUCCIÓN ISO 27001: INTRODUCCIÓN 1. ALCANCE 2. REFERENCIAS NORMATIVAS 3. TÉRMINOS Y DEFINICIONES 4. CONTEXTO DE LA ORGANIZACIÓN 5. LIDERAZGO 6. PLANIFICACIÓN 7. SOPORTE 8. OPERACION 9. EVALUACIÓN DE DESEMPEÑO 10. MEJORA

11 0. INTRODUCCIÓN 0.1 GENERALIDADES DESARROLLO DE LA NORMA El Sistema de Gestión de Seguridad de la Información ( en adelante SGSI ) como una decisión estratégica basada en un proceso de gestión de riesgos basado en el tamaño, estructura y naturaleza de la organización.

12 DESARROLLO DE LA NORMA 4. CONTEXTO DE LA ORGANIZACIÓN Aspectos externos e internos pertinentes al propósito y que afecten el logro de objetivos del SGSI. Los requisitos de estas partes interesadas Requisitos legales y reglamentarios ISO 31000:2009 Cláusula 5.3

13 DESARROLLO DE LA NORMA 5. LIDERAZGO Política de seguridad de la información y objetivos compatibles con la estrategia. Integración de los requisitos de seguridad de la información con los procesos de negocio. Asignación de recursos Roles, responsabilidad y autoridad

14 6 PLANIFICACIÓN DESARROLLO DE LA NORMA Determinar los riesgos y oportunidades para asegurar que el SGSI logre los objetivos planteados, prevenga o reduzca los efectos no deseados y logre el mejoramiento continuo.

15 DESARROLLO DE LA NORMA 7 SOPORTE Determinar y proporcionar los recursos necesarios para establecer, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI

16 Toma de conciencia DESARROLLO DE LA NORMA Capacitación Sensibilización Comunicación Fortalecer Habilidades Enfoque al intelecto Qué habilidades Necesitamos reforzar Cambio de hábitos Emociones y comportamiento Qué comportamientos necesitamos reforzar o cambiar? Informar Dirigida al intelecto Qué mensajes necesitamos enviar?

17 DESARROLLO DE LA NORMA Comunicación Planes de comunicación interna y externa

18 Información documentada DESARROLLO DE LA NORMA Información documentada que determine la organización y la requerida por la norma ISO 27001:2013.

19 DESARROLLO DE LA NORMA 8 OPERACIÓN Controlar cambios previstos y revisar consecuencias de los no deseados tomando acciones correctivas Asegurar que los procesos contratados externamente estén controlados

20 DESARROLLO DE LA NORMA 9 EVALUACIÓN DEL DESEMPEÑO Evaluar el desempeño de la seguridad de la información y la eficacia del SGSI

21 DESARROLLO DE LA NORMA 9 EVALUACIÓN DEL DESEMPEÑO

22 DESARROLLO DE LA NORMA 9 EVALUACIÓN DEL DESEMPEÑO Revisión del SGSI por parte de la Alta Dirección a intervalos planificados asegurando idoneidad, adecuación y eficacia

23 DESARROLLO DE LA NORMA 10 MEJORA Acciones correctivas apropiadas, manteniendo documentación de su naturaleza y acciones tomadas, junto con los resultados de cualquier acción correctiva

24 DESARROLLO DE LA NORMA 10 MEJORA Mejorar continuamente la idoneidad, adecuación y eficacia del Sistema de Gestión de Seguridad de Información

25 Conceptos Nuevos/Actualizados Contexto de la organización Hallazgos, riesgos y oportunidades Partes interesadas Liderazgo REQUISITOS CLÁUSULA 4 A 10 Explicación Ambiente en el que la organización opera Reemplaza acciones preventivas Reemplaza a Stakeholder Requisitos específicos para la Alta Gerencia Comunicación Objetivos de seguridad de la información Valoración de riesgo Propietario de riesgo Plan de tratamiento de riesgo Controles Información documentada Evaluación de desempeño Mejora continua Existe requisitos explícitos para comunicación interna y externa Definir objetivos de seguridad para funciones y niveles pertinentes La identificación de activos, amenazas y vulnerabilidades ya no es prerequisito para la identificación de riesgos Reemplaza a propietario de activo La eficacia del plan de tratamiento de riesgos toma mucha relevancia Los controles son determinados durante el proceso de tratamiento de riesgo, más que ser seleccionados del anexo A Reemplaza documentos y registros Cubre la eficacia del SGSI, desempeño de seguridad de la información y la efectividad del plan de tratamiento Metodologías distintas al PHVA pueden ser utilizadas Fuente: bsigroup.com

26 REFLEXION! Cuando no hay suficiente claridad sobre los Riesgos

27

28 A.5 P0LÍTICA DE SEGURIDAD DE LA INFORMACIÓN Objetivo: Brindar orientación y soporte, por parte de la dirección, para la seguridad de la información de acuerdo con los requisitos del negocio y con las leyes y reglamentos pertinentes. A.5.1 Orientación de la dirección para la gestión de seguridad de la información A Políticas para la seguridad de la información A Revisión de las políticas para seguridad de la información

29 A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Objetivo: Establecer un marco de referencia de gestión para iniciar y controlar la implementación y la operación de la seguridad de la información dentro de la organización. A Seguridad de la información Roles y responsabilidades A Segregación de tareas A.6.1 Organización interna A Contacto con las autoridades A Contacto con grupos de interés especial A Seguridad de la información en gestión de proyectos Nuevo

30 A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Objetivo: Garantizar* la seguridad del teletrabajo y el uso de dispositivos móviles. A Política para dispositivos móviles A.6.2 Dispositivos móviles y teletrabajo A Teletrabajo

31 A.7 SEGURIDAD DE LOS RECURSOS HUMANOS Objetivo: Asegurar que los empleados y contratistas comprenden sus responsabilidades y son idóneos en los roles para los que se consideran. A Selección A.7.1 Antes de asumir el empleo A Términos y condiciones del empleo

32 A.7 SEGURIDAD DE LOS RECURSOS HUMANOS Objetivo: Asegurarse de que los empleados y contratistas tomen conciencia de sus responsabilidades de seguridad de la información y las cumplan. A Responsabilidades de la dirección A.7.2 Durante la ejecución del empleo A Toma de conciencia, educación y formación en la seguridad de la información A Proceso disciplinario

33 A.7 SEGURIDAD DE LOS RECURSOS HUMANOS Objetivo: Proteger los intereses de la organización como parte del proceso de cambio o terminación de empleo. A.7.3 Terminación y cambio de empleo A Terminación o cambio de responsabilidades de empleo

34 A.8 GESTIÓN DE ACTIVOS Objetivo: Identificar los activos organizacionales y definir las responsabilidades de protección apropiadas. A Inventario de activos A.8.1 Responsabilidad por los activos A Propiedad de los activos A Uso aceptable de los activos A Devolución de activos

35 A.8 GESTIÓN DE ACTIVOS Objetivo: Asegurar que la organización recibe un nivel apropiado de protección, de acuerdo con su importancia para la organización. A Clasificación de la información A.8.2 Clasificación de la información A Etiquetado de la información A Manejo de activos

36 A.8 GESTIÓN DE ACTIVOS Objetivo: Prevenir la divulgación, la modificación, el retiro o la destrucción de información almacenada en medios de soporte. A Gestión de medios de soporte removibles A.8.3 Manejo de medios de soporte A Disposición de los medios de soporte A Transferencia de medios de soporte físicos

37 A.9 CONTROL DE ACCESO Objetivo: Limitar el acceso a información y a instalaciones de procesamiento de información. A.9.1 Requisitos del negocio para control de acceso A Política de control de acceso A Acceso a redes y a servicios en red

38 A.9 CONTROL DE ACCESO Objetivo: Asegurar el acceso de los usuarios autorizados e impedir el acceso no autorizado a sistemas y servicios. A Registro y cancelación del registro de usuarios A.9.2 Gestión de acceso de usuarios A Suministro de acceso de usuarios A Gestión de derechos de acceso privilegiado

39 A.9 CONTROL DE ACCESO Objetivo: Asegurar el acceso de los usuarios autorizados e impedir el acceso no autorizado a sistemas y servicios. A Gestión de información de autenticación secreta de usuarios A.9.2 Gestión de acceso de usuarios A Revisión de los derechos de acceso de usuarios A Cancelación o ajuste de los derechos de acceso

40 A.9 CONTROL DE ACCESO Objetivo: Hacer que los usuarios rindan cuentas por la salvaguarda de su información de autenticación. A.9.3 Responsabilidades de los usuarios A Uso de información de autenticación

41 A.9 CONTROL DE ACCESO Objetivo: Prevenir el uso no autorizado de sistemas y de aplicaciones. A Restricción de acceso a información A Procedimiento de conexión segura A.9.4 Control de acceso a sistemas y aplicaciones A Sistema de gestión de contraseñas A Uso de programas utilitarios privilegiados A Control de acceso a códigos fuente de programas

42 A.10 CRIPTOGRAFÍA Objetivo: Asegurar el uso apropiado y eficaz de la criptografía para proteger la confiabilidad, la autenticidad y/o la integridad de información. A.10.1 Controles criptográficos A Política sobre el uso de controles criptográficos A Gestión de claves

43 A.11 SEGURIDAD FÍSICA Y AMBIENTAL Objetivo: Prevenir el acceso físico no autorizado, el daño y la interferencia a la información y a las instalaciones de procesamiento de información de la organización. A Perímetro de seguridad física A Controles físicos de entrada A.11.1 Áreas seguras A Seguridad de oficinas, salones e instalaciones A Protección contra amenazas externas y ambientales A Trabajo en áreas seguras A Áreas de despacho y carga

44 A.11 SEGURIDAD FÍSICA Y AMBIENTAL Objetivo: Prevenir la pérdida, daño, robo o compromiso de activos, y la interrupción de las operaciones de la organización. A Ubicación y protección de los equipos A Instalaciones de suministro A Seguridad del cableado A.11.2 seguridad de los equipos A Mantenimiento de equipos A Retiro de activos A Seguridad de equipos y activos fuera del predio A Disposición segura o reutilización de equipos A Equipos sin supervisión de los usuarios A Política de escritorio limpio y pantalla limpia

45 A.12 SEGURIDAD EN LAS OPERACIONES Objetivo: Asegurar las operaciones correctas y seguras de las instalaciones de procesamiento de información. A Procedimientos de operación documentados A.12.1 Procedimientos operacionales y responsabilidades A Gestión de cambios A Gestión de capacidad A Separación de los ambientes de desarrollo, ensayos, y operacionales

46 A.12 SEGURIDAD EN LAS OPERACIONES Objetivo: Asegurarse de que la información y las instalaciones de procesamiento de información estén protegidas contra códigos maliciosos. A.12.2 Protección contra códigos maliciosos A Controles contra códigos maliciosos

47 A.12 SEGURIDAD EN LAS OPERACIONES Objetivo: Proteger contra la pérdida de datos. A.12.3 Copias de respaldo A Copias de respaldo de la información

48 A.12 SEGURIDAD EN LAS OPERACIONES Objetivo: Registrar eventos y generar evidencia. A Registro de eventos de actividad A.12.4 Registro de actividad y seguimiento A Protección de la información de registro A Registros del administrador y del operador A Sincronización de relojes

49 A.12 SEGURIDAD EN LAS OPERACIONES Objetivo: Asegurarse de la integridad de los sistemas operacionales. A.12.5 Control de software en operación A Instalación de software en sistemas en operación

50 A.12 SEGURIDAD EN LAS OPERACIONES Objetivo: Prevenir el aprovechamiento de las vulnerabilidades técnicas. A Gestión de las vulnerabilidades técnicas A.12.6 Gestión de la vulnerabilidad técnica A Restricciones sobre la instalación de software Nuevo

51 A.12 SEGURIDAD EN LAS OPERACIONES Objetivo: Minimizar el impacto de las actividades de auditoría sobre los sistemas operativos. A.12.7 Consideraciones sobre auditorías de sistemas de información A Controles sobre auditorías de sistemas de información

52 A.13 SEGURIDAD DE LAS COMUNICACIONES Objetivo: Asegurar la protección de la información en las redes, y sus instalaciones de procesamiento de información de soporte. A Controles de redes A.13.1 Gestión de seguridad de redes A Seguridad de los servicios de red A Segregación en las redes

53 A.13 SEGURIDAD DE LAS COMUNICACIONES Objetivo: Mantener la seguridad de la información transferida dentro de una organización y con cualquier entidad externa. A Políticas y procedimientos de transferencia de información A.13.2 Transferencia de información con terceras partes A Acuerdos sobre transferencia de información A Mensajes electrónicos A Acuerdos de confidencialidad o de no divulgación

54 A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN Objetivo: Garantizar* que la seguridad de la información sea una parte integral de los sistemas de información durante todo el ciclo de vida. A Análisis y especificación de requisitos de seguridad de la información A.14.1 Requisitos de seguridad de los sistemas de información A Seguridad de servicios de las aplicaciones en redes públicas A Protección de transacciones de servicios de aplicaciones

55 A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN Objetivo: Asegurar de que la seguridad de la información esté diseñada e implementada dentro del ciclo de vida de desarrollo de los sistemas de información. A Política de desarrollo seguro Nuevo A Procedimientos de control de cambios en sistemas Control A.14.2 Seguridad en los procesos de desarrollo y de soporte A Revisión técnica de aplicaciones después de cambios en la plataforma de operaciones A Restricciones sobre cambios en los paquetes de software A Principios de organización de sistemas seguros Nuevo

56 A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN Objetivo: Asegurar de que la seguridad de la información esté diseñada e implementada dentro del ciclo de vida de desarrollo de los sistemas de información. A Ambiente de desarrollo seguro Nuevo A.14.2 Seguridad en los procesos de desarrollo y de soporte A Desarrollo contratado externamente A Ensayos de seguridad de sistemas A Ensayo de aceptación de sistemas Nuevo

57 A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE LOS SISTEMAS DE INFORMACIÓN Objetivo: Asegurar la protección de los datos usados para ensayos. A.14.3 Datos de prueba A Protección de datos de ensayo

58 A.15 RELACIÓN CON LOS PROVEEDORES Objetivo: Asegurar la protección de los activos de la organización que sean accesibles a los proveedores. A Política de seguridad de la información para las relaciones con proveedores Nuevo A.15.1 Seguridad de la información en las relaciones con los proveedores A Tratamiento de la seguridad dentro de los acuerdos con proveedores A Cadena de suministro de tecnología de información y comunicación Nuevo

59 A.15 RELACIÓN CON LOS PROVEEDORES Mantener el nivel acordado de seguridad de la información y de prestación del servicio en línea con los acuerdos con los proveedores. A.15.2 Gestión de la prestación de servicios de proveedores A Seguimiento y revisión de los servicios de los proveedores A Gestión de cambios a los servicios de los proveedores

60 A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Objetivo: Asegurar un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la información, incluida la comunicación sobre eventos de seguridad y debilidades. A Responsabilidades y procedimientos A.16.1 Gestión de incidentes y mejoras en la seguridad de la información A Informe de eventos de seguridad de la información A Informe de debilidades de seguridad de la información A Evaluación de eventos de seguridad de la información y decisiones sobre ellos. Nuevo

61 A.16 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Objetivo: Asegurar un enfoque coherente y eficaz para la gestión de incidentes de seguridad de la información, incluida la comunicación sobre eventos de seguridad y debilidades. A Respuesta a incidentes de seguridad de la información Nuevo A.16.1 Gestión de incidentes y mejoras en la seguridad de la información A Aprendizaje obtenido de los incidentes de seguridad de la información A Recolección de evidencia

62 A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO Objetivo: La continuidad de seguridad de la información se debe incluir en los sistemas de gestión de la continuidad de negocio de la organización. A Planificación de la continuidad de la seguridad de la información A.17.1 Continuidad de seguridad de la información A Implementación de la continuidad de la seguridad de la información A Verificación, revisión y evaluación de la continuidad de la seguridad de la información Nuevo

63 A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO Objetivo: Asegurarse de la disponibilidad de instalaciones de procesamiento de información. A.17.2 Redundancias A Disponibilidad de instalaciones de procesamiento de información. Nuevo

64 A.18 CUMPLIMIENTO Objetivo: Evitar violaciones de las obligaciones legales, estatutarias, de reglamentación o contractuales relacionadas con seguridad de la información y de cualquier requisito de seguridad. A Identificación de los requisitos de legislación y contractuales aplicables A Derechos de propiedad intelectual A.18.1 Cumplimiento de requisitos legales y contractuales A Protección de registros A Privacidad y protección de información personal. A Reglamentación de controles criptográficos

65 A.18 CUMPLIMIENTO Objetivo: Asegurar que la seguridad de la información se implemente y opere de acuerdo con las políticas y procedimientos organizacionales. A Revisión independiente de la seguridad de la información A.18.2 Revisiones de seguridad de la información A Cumplimiento con las políticas y normas de seguridad A Revisión del cumplimiento técnico

66 GRACIAS