IMPLANTACIÓN DEL ISO 27001:2005 “SISTEMA DE …

1 IMPLANTACI N DEL ISO 27001: 2005 SISTEMA DE GESTI N DE SEGURIDAD DE INFORMACI N Alberto G. Alexander, , CBCPA uditor Sistemas de Gesti n de Seguridad de Informaci nCertificado IRCA (International Registered of Certified Auditors) E-mail: Su base de datos est protegidade manos criminales?2 Los activos de su empresaLos activos de su empresahan sido inventariados yhan sido inventariados ytasados?tasados?INFORMACI N EN LA EMPRESA Un reciente reporte del House Banking Committee de Estados Unidos, muestra que el sector financiero perdi billones de d lares por ataques computarizados en 1998 m s del triple que en 1996.

2 No es sorprendente, considerando que por d a se transfieren electr nicamente 2 trillones de d lares, mucho de lo cual pasa a trav s de l neas que seg n el FBI no son muy seguras. (Fortune 500, 2003).Casi el 80% de los valores intelectuales de las corporaciones son electr nicos, de acuerdo a la C mara de Comercio estadounidense, y un competidor puede subir hasta las nubes si roba secretos comerciales y listas de clientes. (Sloan Review, 2003).Los hackers son expertos en ingenier a social consiguiendopersonas de dentro de las compa as para sacarles contrase as y claves de invitados.

3 Si te levantas a la secretaria ganaste, dice Dill Dog . (Famoso hacker).3 INFORMACI N EN LA EMPRESA El fraude celular no escapa a ninguna compa a telef nica en el mundo. Telcel y Movilnet en el caso de Venezuela afirman que en el a o 1997 las p rdidas por concepto de clonaci n se ubicaaron en 1,800 millones de d lares, lo que los ha impulsado a mejorar su sistema de gesti n de seguridad de informaci clonaci n ocurre cuando los clonadores capturan la transmisi n de los n meros de identificaci n (ESN: n mero asignado), bien sea rastreando los datos o sobornando a un empleado de la operadora y la copian en otros equipos no autorizados.

4 (Cielorojo/computaci n 19/01/04).4 INFORMACI N EN LA EMPRESA La informaci n en la empresa es uno de los m s importantes activos que se organizaciones tienen que desarrollar mecanismos que les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la informaci informaci n est sujeta a muchas amenazas, tanto de ndole interna como 27001: 2005 SISTEMA DE GESTI N DE SEGURIDAD DE INFORMACI N El nuevo est ndar internacional, el ISO 27001: 2005 , est orientado a establecer un sistema gerencial que permita minimizar el riesgo y proteger la informaci n en las empresas, de amenazas externas o NDARBS 7799 E ISO 17799 Grupo de trabajo de la industria se establece en 1993 C digo de pr ctica - 1993 British standard - 1995 BS 7799 parte 1 y parte 2 revisada en 1999 BS 7799 parte 2 - 1998 BS 7799 parte 1 - 1998 BS / ISO / IEC 17799 - 2000 6 ISO 27001: 2005 -SISTEMA DE GESTI N DE SEGURIDAD DE INFORMACI N ISO / IEC 17799.

5 2005 C digo de pr ctica de seguridad en la gesti n de la informaci n Basado en BS 7799 1 : 2000..Recomendaciones para buenas pr cticas No puede ser utilizado para certificaci nISO 27001: 2005 Especificaci n para la gesti n del sistema de seguridad de informaci n .Es utilizado para la certificaci n7 INFORMACI N La informaci n es un activo, que tal como otros importantes activos del negocio, tiene valor para una empresa y consecuentemente requiere ser protegida adecuadamente .ISO 17799:20058 QU ES SEGURIDAD DE INFORMACI N? Seguridad de informaci n es mucho m s que establecer firewalls , aplicar parches para corregir nuevas vulnerabilidades en el sistema de software, o guardar en la b veda los backups.

6 Seguridad de informaci n es determinar qu requiere ser protegido y por qu , de qu debe ser protegido y c mo seguridad de informaci n se caracteriza por la preservaci nde:a)CONFIDENCIALIDAD: La informaci n est protegida de personas no )INTEGRIDAD: La informaci n est como se pretende, sin modificaciones )DISPONIBILIDAD: Los usuarios tienen acceso a la informaci n y a los activos asociados cuando lo Y DIN MICA DELISO 27001: 2005 SISTEMA DE GESTI N DE SEGURIDAD DE INFORMACI NMODELO PDCA APLICADO A LOS PROCESOS DEL SISTEMA DE GESTI N DE SEGURIDAD DE INFORMACI N SGSI 11 PARTESINTERESADASREQUERI-MIENTOS YEXPECTATI-VAS DE LASEGURIDADDE INFOR-MACI NPARTESINTERESADASSEGURIDADDEINFORMA-CI NMANEJADAESTABLECEREL SGSI OPERAR ELEL SGSI YMEJORAREL SGSI REVISAREL SGSI Requerimientos de documentaci Control de Control de Responsabilidad de la Compromiso de la Gesti n de Provisi n de Capacitaci n.

7 Conocimiento y Revisi n Auditorias Mejoramiento del Mejoramiento Acci n Acci n preventivaDesarrollar,mantenery mejorarel cicloHOJA DE RUTA PARA CUMPLIR CON EL ISO 27001: 2005 12a) Definir el alcance del SGSIb) Definir un sistem tico enfoque para evaluaci n del riesgoc) Identificar el riesgod) Evaluar el riesgoe) Definir pol tica SGSIf) Identificar y evaluar opciones para el tratamien-to del riesgog) Seleccionar objetivos de control y controlesh) Preparar un enunciado de aplicabilidadi) Obtener aprobaci n de la gerenciaEstablecer el SGSI(Secci n )ACTIVIDADES ORGANIZACIONALESCL USULASHOJA DE RUTA PARA CUMPLIR CON EL BS 7799-2.

8 2002 13a) Formular un plan para tratamiento del riesgob) Implementar el plan de tratamiento del riesgoc) Implementar todos los objetivos de control y controles seleccionadosd) Implementar programa de entrenamiento y toma de concienciae) Gestionar operacionesf) Gestionar recursosImplementar y operar el SGSI(Secci n )ACTIVIDADES ORGANIZACIONALESCL USULASHOJA DE RUTA PARA CUMPLIR CON EL ISO 27001: 2005 14a) Implementar las mejoras identificadasb) Tomar apropiadas acciones correctivas y preventivasc) Comunicar los resultados a todas las partes interesadasd) Asegurar que las mejoras alcancen los objetivos deseadosMantener y mejorar el SGSI(Secci n )a) Ejecutar procedimientos de monitoreob) Efectuar revisiones regulares de la eficacia del SGSIc) Revisar el nivel del riesgo residual y del riesgo aceptabled) Conducir las auditorias internas del SGSIe)

9 Registrar todos los eventos que tienen un efecto en el desempe o del SGSIM onitorear y revisar el SGSI(Secci n )ACTIVIDADES ORGANIZACIONALESCL USULASCICLO METODOL -GICO PARA LA IMPLANTACI N DEL MODELO ISO 27001:2000 15 Entendimiento de los requerimientos del modelo(1)Desarrollo de competenciasorganizacionales(5)An lisis y evaluaci ndel riesgo(3)Ejecuci n de auditoriasinternas(7)Determinaci n dela brecha(2)Obtenci n de la certificaci ninternacional(8)Elaboraci n plan de gesti nde continuidad comercial(4)Redacci n del Manual deSeguridad de Informaci n(6)METODOLOG A DETALLADA PARA IMPLANTAR EL SISTEMA DE GESTI N DE SEGURIDAD DE INFORMACI N ISO 27001.

10 2005 16 PASO IDeterminaci nde la brechaEfectuar Gap Analysis Determinar la brecha yestimar presupuesto ycronogramaInforme a lagerenciaPASO IIEntendimientode los requerimientos del modeloTaller estrat gico con lagerencia para analizarrequerimientos delmodelo ISO 27001: 2005 Definir alcancedel modeloMETODOLOG A DETALLADA PARA IMPLANTAR EL SISTEMA DE GESTI N DE SEGURIDAD DE INFORMACI N ISO 27001: 2005 17 PASO IIIAn lisis yevaluaci n delriesgoEfectuar un an lisis y evaluaci n del riesgoPol tica deseguridadPol ticadocumentadaEvaluaci n del riesgoPlan de continuidadcomercial del negocioGerencia del riesgoPlan de trata-miento del riesgoPlan de continuidadcomercialdocumentadoSeleccion ar controles yobjetivos de control aimplantarTabla decontroles -Amenazas.