1. ISO 27000
SISTEMA DE GESTIÓN DE
INFORMACIÓN
Jaquelyn Graciela Alarcón Ramírez
Rolando Roberto Aguilar Marroquín
Ángel Marcelo Reyes Canales
Nora Alicia Rodríguez Guardado
Gabriel Enrique Ramírez Menjívar
2. La ISO 27000 es realmente una serie de
estándares desarrollados, por ISO
(International Organization for
Standardization) e IEC (International
Electrotechnical Commission) e indica cómo
puede una organización implantar un
sistema de gestión de seguridad de la
información (SGSI) basado en ISO 27001.
Los rangos de numeración reservados por
ISO van de 27000 a 27019 y de 27030 a
27044.
Serie 27000
3. Este estándar a sido preparado
para proporcionar y promover un
modelo para establecer,
implementar, operar, monitorear,
revisar, mantener y mejorar in
Sistema de Gestión de Seguridad
de Información.
Serie 27000
4. Serie 27000
BS ISO/IEC 27000 – Fundamentos y
Vocabulario
Noviembre de 2008
BS ISO/IEC 27001 – Sistema de Gestión
de Seguridad de la Información –
Requisitos
Publicado en Octubre 2005
BS ISO/IEC 27002 – Código de práctica
para la Gestión de la Seguridad de la
información
Anteriormente ISO/IEC 17799:2005
Cambio a 27002 en el 2007 (solo se fue
un cambio de número)
BS ISO/IEC 27003 – Guía de
Implementación
Mayo de 2009
BS ISO/IEC 27004 – Métricas y Medidas Noviembre de 2008
BS ISO/IEC 27005 – Gestión de Riesgos
en Seguridad de la Información
2008/2009. Actualmente BS 7799-3,
Publicada Marzo 2006
BS ISO/IEC 27006 – Acreditación de
Estándares de Auditoria
13 de Febrero de 2007
27007…...27011 Reservados para futuros desarrollos
(productos manejados por BSI y
potencialmente ISO TC)
5. BS ISO/IEC 27031 – Guía de
Continuidad de Negocio de TI
En desarrollo
BS ISO/IEC 27032 – Guía relativa a la
Ciberseguridad
En desarrollo
BS ISO/IEC 27033 – consta de 7 partes:
Gestión de Seguridad de Redes,
Arquitectura de Seguridad, escenarios de
redes de referencia, Aseguramiento de las
comunicaciones entre redes mediante
gateways, Acceso remoto, Aseguramiento
de Comunicaciones mediante VPNs y
diseño e implementación de seguridad de
redes.
2010/ 2011
BS ISO/IEC 27034 – Guía de Seguridad
de Aplicaciones
Febrero de 2009
BS ISO/IEC 27099 – Gestión de
seguridad de la información en el sector
sanitario
12 de junio de 2008
6. ¿Qué es ISO 27001?
Es enfoque de procesos para
la gestión de la seguridad de
la información.
ISO 27001
7. Facilita a los administradores tener una visión y
control sobre:
entender los requerimientos de seguridad de
la información de una organización y la
necesidad de establecer una política y
objetivos para la seguridad de la información.
implementar y operar controles para manejar
los riesgos de la seguridad de la información.
monitorear y revisar el desempeño y la
efectividad del SGSI; y
mejoramiento continúo en base a la medición
del objetivo.
ISO 27001
8. Beneficios:
Abarca a todos los tipos de organizaciones
(comerciales, gubernamentales, organizaciones
sin fines de lucro, etc.).
Adopta el modelo del proceso Planear-Hacer-
Chequear-Actuar (PDCA), el cual se puede aplicar
a todos los proceso SGSI.
Da lineamientos acerca la importancia del
mejoramiento del SGSI atreves de el mejoramiento
continuo, Acción correctiva, Acción Preventiva.
Proporciona una guía importante de los objetivos
de control y controles, enfocados a política de
seguridad de información.
ISO 27001
16. Fuentes para establecer los requerimientos
de seguridad:
evaluar los riesgos para la organización,
tomando en cuenta la estrategia general y
los objetivos de la organización
Requerimientos legales, reguladores,
estatutarios y contractuales
Conjunto particular de principios, objetivos
y requerimientos comerciales para el
procesamiento de la información
ISO 27002
17. Estructura del Estándar
a) Política de Seguridad
b) Organización de la Seguridad de la Información;
c) Gestión de Activos;
d) Seguridad de Recursos Humanos;
e) Seguridad Física y Ambiental;
f) Gestión de Comunicaciones y Operaciones;
g) Control de Acceso;
h) Adquisición, Desarrollo y Mantenimiento de
Sistemas de Información;
i) Gestión de Incidentes de Seguridad de la
Información;
j) Gestión de la Continuidad Comercial;
k) Conformidad.
ISO 27002
19. INTERNET
Nadie logra controlar la epidemia: el
“correo basura” invade las casillas de todo
el mundo
Apenas 150 “spammers” norteamericanos son
los responsables del 90 por ciento de los
mensajes no deseados que atestan las
computadoras de todo el mundo. Todavía no
hay leyes para limitar su impacto económico.
11:22 | EL
GUSANO
Un nuevo virus se
esconde en tarjetas
navideñas
Un virus informático, que se
esconde en una tarjeta
electrónica de felicitación,
comenzó a circular por la red,
informó Panda Software. La
compañía advirtió a los usuarios que
extremen las medidas de seguridad
durante estas fiestas.
ESTAFAS EN INTERNET
El “phishing” ya pesca en todo América
Detectaron casos que afectaron a numerosas empresas y a los clientes de
bancos estadounidenses y del resto de América.
ISO 27002
20. 12:50 | A TRAVES DE MAIL
Utilizan las siglas del FBI
para propagar un virus
La famosa policía federal
estadounidense advirtió
sobre la difusión de falsos
correos electrónicos que
llevan su nombre.
La pregunta secreta del caso "Paris
Hilton"
------------------------------
Hace apenas unos días saltó la noticia
de que los contenidos del teléfono móvil
de Paris Hilton habían sido publicados
en Internet. En
un principio se barajó la posibilidad de
que hubieran accedido a la tarjeta SIM,
o de que se tratara de una intrusión a los
servidores
de T-Mobile aprovechando inyecciones
SQL. Al final parece ser que el método
empleado fue mucho más sencillo,
bastaba con contestar a la
pregunta "¿cuál es el nombre de su
mascota favorita?".
ISO 27002
22. Captura de PC desde el exterior
Violación de e-mails
Violación de contraseñas
Interrupción de los servicios
Intercepción y modificación de e-
mails
Virus
Fraudes
informáticos
Incumplimiento de leyes y
regulaciones
Robo o extravío
de notebooks
Robo de
información
Destrucción de soportes
documentales
Acceso clandestino a redes
Intercepción de comunicaciones
Destrucción de
equipamiento
Programas
“bomba”
Acceso indebido a documentos
impresos
Software ilegal
Agujeros de seguridad de redes
conectadas
Falsificación de información
para terceros
Indisponibilidad de información
clave
Spamming
Violación de la privacidad
de los empleados
Ingeniería social
Propiedad de la
Información
Mails “anónimos” con información
crítica o con agresiones
23. Políticas de seguridad
La gerencia deberá establecer claramente
la dirección de la política en línea con los
objetivos comerciales y demostrar su
apoyo, y su compromiso con, la seguridad
de la información, a través de la emisión y
mantenimiento de una política de
seguridad de la información en toda la
organización.
ISO 27002
24. Garantizar
Verificación
de la compatibilidad
técnica
Cumplimiento
de la política
de seguridad
sistemas de información,
proveedores de sistemas,
propietarios de información y
de recursos de información,
usuarios,
gerentes.
revisión de los sistemas
operacionales,
puede comprender pruebas
de penetración,
realizadas por personas
competentes y autorizadas.
Objetivo de la política
25. Seguridad Física
Control
Las áreas seguras debieran
protegerse mediante controles de
ingreso apropiados para asegurar
que sólo se le permita el acceso
al personal autorizado.
ISO 27002
26. Control del acceso
Se debiera controlar el acceso a la
información, medios de procesamiento de la
información y procesos comerciales sobre la
base de los requerimientos comerciales y de
seguridad.
Las reglas de control del acceso debieran
tomar en cuenta las políticas para la
divulgación y autorización de la información.
ISO 27002
27. Política de control del acceso
Se deberá tomar en cuenta lo siguiente:
a) los requerimientos de seguridad de las
aplicaciones comerciales individuales;
b) identificación de toda la información relacionada
con las aplicaciones comerciales y los riesgos que
enfrenta la información;
c) las políticas para la divulgación y autorización de
la información;
d) los perfiles de acceso de usuario estándar para
puestos de trabajo comunes en la organización;
e) segregación de roles del control del acceso;
ISO 27002
28. Caso practico:
La empresa “ABC, S. A. de C. V.” Se dedica a la
venta electrodomésticos en general, operando
en toda la región Centroamericana,
actualmente posee un sistema de información,
dados ciertos eventos, en los que se
involucran:
1. Pérdida de información
2. Filtro de información
3. Accesos no autorizados a la información
4. Modificación no autorizada de la información,
entre otros
ISO 27001
29. Procedimientos a desarrollar:
A. ESTABLECIMIENTO DEL SGSI
1. Alcance
2. Políticas del SGSI
3. Identificación de Riesgos
4. Enfoque de Evaluación de Riesgos
5. Identificación y Evaluación de opciones
para el tratamiento de los Riesgos
ISO 27001
30. B. IMPLEMENTAR Y OPERAR EL SGSI IDENTIFICACION
DE RIESGOS:
Captura de PC desde el exterior
Violación de e-mails
Robo de información
Violación de contraseñas
Destrucción de equipamiento
Virus
Programas “bomba”
Interrupción de los servicios
Acceso clandestino a redes
Acceso indebido a documentos impresos
Intercepción de comunicaciones
Falsificación de información para terceros
ISO 27001
31. C. USO DE TECNICAS DE CUANTIFICACION DE
RIESGOS:
ISO 27001
32. D. MONITOREAR Y REVISAR EL SGSI
Detección de errores en los resultados de procesamiento
Verificar que las actividades planeadas y toda la normativa
emitida se están aplicando correctamente
Aplicar indicadores para evaluar el desempeño del SGSI
E. MANTENER Y MEJORAR EL SGSI
Dado que los resultados del monitoreo determinan que el
SGSI continúa siendo útil, deciden mantenerlo y darle
seguimiento, bajo la condición de una constante
actualización en relación a los cambios experimentados en
la normativa y sobre todo en las condiciones de la
organización.
ISO 27001