ISO 27001:2013 Introducción a la ciberseguridad Recursos La norma ¿Por qué estamos aquí? Fuente: https://www.fireeye.com/cyber-map/threat-map.html ¿Por qué estamos aquí? Fuente: http://resources.infosecinstitute.com/2013-impact-cybercrime/ Casos recientes Fuente: http://www.elmundo.es/tecnologia/2014/12/24/549a5be922601dd0458b456d.html Fuente: http://internacional.elpais.com/internacional/2014/12/19/actualidad/1419014261_319604.html Casos actuales Fuente: https://www.schneier.com/blog/archives/2014/02/the_mask_espion.html Recursos Herramientas gratuitas Certificaciones Sueldo medio en EEUU Certified Information Security Manager (CISM) $114,844 Etc… Certified Information Systems Auditor (CISA) $112,040 Six Sigma, green belt, $116,987 Certified Ethical Hacker (CEH) $103,822 Etc… Fuente: http://www.businessinsider.com/15-more-tech-skills-that-can-instantly-net-you-a-100000-salary-2013-4?IR=T Fuente: http://www.globalknowledge.com/training/generic.asp?pageid=3632 Complementos y alternativas a ISO 27001 Cloud Controls Matrix (CCM) : Cloud Security Alliance Payment Card Industry Data Security Standard Report on Controls at a Service Organization Relevant to Security, Availability, Processing Integrity, Confidentiality or Privacy Star Audit: Eurocloud The Standard of Good Practice for Information Security ISM3 v1.20: Information Security Management Maturity Model MPAA Facility Security Program Malta Gaming Authority (MGA) ISO 27001. Origen Principios 90 El Ministerio de Industria y Comercio del Reino Unido da soporte a su desarrollo. Se crea ITSEC y DISC PD003 “Code of good security practice for information security” 1995 Adoptado por primera vez como British Standard (BS) 1998 Se publican los requisitos para la certificación 1999 Se edita la Segunda Edición donde se incluyen comercio electrónico, los ordenadores portátiles y contratación con terceros. DISC PD003 2000 BS 7799 ISO 27001 Se aprueba la ISO 17799 Parte 1 en Agosto. 2002 BS 7799-2:2002 publicado el 5 de Septiembre Énfasis en la concordancia con ISO 9001 y la ISO 14001 Se adopta el modelo PDCA 2004 Se publica la UNE 71502, elaborada por el AEN/CTN 71 2005 Se publica ISO 27001:2005 2013 Se publica ISO 27001:2013 La familia ISO 27000 Las normas ISO/IEC 27000 son estándares de seguridad publicados por la Organización Internacional para la Estandarización (ISO) y contienen mejores prácticas en Seguridad de la información para desarrollar, implementar y mantener Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). • • • • • • • • ISO/IEC 27000, Information security management systems — Overview and vocabulary ISO/IEC 27001, Information security management systems — Requirements ISO/IEC 27002, Code of practice for information security controls ISO/IEC 27003, Information security management system implementation guidance ISO/IEC 27004, Information security management — Measurement ISO/IEC 27005, Information security risk management ISO/IEC 27006, Requirements for bodies providing audit and certification of information security management systems SO/IEC 27007, Guidelines for information security management systems auditing La familia ISO 27000 • • • • • • • • ISO/IEC TR 27008, Guidelines for auditors on information security controls ISO/IEC 27010, Information security management for inter-sector and interorganizational communications ISO/IEC 27011, Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 ISO/IEC 27013, Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 ISO/IEC 27014, Governance of information security ISO/IEC TR 27015, Information security management guidelines for financial services ISO/IEC TR 27016, Information security management — Organizational economics ETC. ¿Para qué sirve? …para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI/ISMS). Beneficios de un SGSI. Proporcionar las mejores prácticas de seguridad de la información Permitir a las organizaciones desarrollar, implantar y medir prácticas efectivas de gestión de la seguridad Proporcionar confianza en las organizaciones y su actividad (interno y externo: valor para marketing) Aplicable a un amplio rango de organizaciones - grandes, medianas y pequeñas El proceso de evaluación periódica ayuda a supervisar continuamente rendimiento y mejora Permite de manera ordenada identificar riesgos, evaluarlos y gestionarlos ¿Qué es un SG…SI? Un Sistema de Gestión es un sistema para establecer la política y objetivos de una organización y lograrlos, mediante: • Una estructura organizativa donde las funciones, responsabilidades, autoridad, etc. de las personas están definidas • Procesos y recursos necesarios para lograr los objetivos • Metodología de medida y de evaluación para valorar los resultados frente a los objetivos, incluyendo la realimentación de resultados para planificar las mejoras del sistema • Un proceso de revisión para asegurar que los problemas se corrigen y se detectan oportunidades de mejora e implementan cuando están justificadas Un sistema de gestión de la seguridad de la información (SGSI) (en inglés: information security management system, ISMS) es, como el nombre lo sugiere, un conjunto de políticas de administración de la información Un SGSI es para una organización el diseño, implantación, mantenimiento de un conjunto de procesos para gestionar eficientemente la accesibilidad de la información, buscando asegurar la confidencialidad, integridad y disponibilidad de los activos de información minimizando a la vez los riesgos de seguridad de la información. Fuente: http://es.wikipedia.org/wiki/Sistema_de_gesti%C3%B3n_de_la_seguridad_de_la_informaci%C3%B3n ¿Qué es la información? información. (Del lat. informatĭo, -ōnis). 1. f. Acción y efecto de informar. 2. f. Oficina donde se informa sobre algo. 3. f. Averiguación jurídica y legal de un hecho o delito. 4. f. Pruebas que se hacen de la calidad y circunstancias necesarias en una persona para un empleo u honor. U. m. en pl. 5. f. Comunicación o adquisición de conocimientos que permiten ampliar o precisar los que se poseen sobre una materia determinada. 6. f. Conocimientos así comunicados o adquiridos. 7. f. Biol. Propiedad intrínseca de ciertos biopolímeros, como los ácidos nucleicos, originada por la secuencia de las unidades componentes. 8. f. ant. Educación, instrucción. Fuente: RAE La información es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. Fuente: Wikipedia Information is an asset which, like other important business assets, has value to an organization and consequently needs to be suitably protected Fuente: ISO/IEC 27002:2005 ¿Dónde está la información? •Papel •Medios electrónicos Ordenadores Almacenamiento físico/virtual USBs En tránsito Etc. Fuente: http://en.wikipedia.org/wiki/Bob_Quick_%28police_officer%29 •Videos •Conversaciones •Web •Personas •En los sitios más insospechados… La seguridad de la información no es seguridad informática. Va más allá. Fuente: http://dinovida.files.wordpress.com/ Seguridad de la información. Conceptos Medidas que permiten proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma (free of danger) La seguridad de la información es algo que no puedes comprar, tienes que construir. It’s a process not a product Fuente: Silvia Villanueva ¿Se puede conseguir la seguridad total? La respuesta es no, pero si que mediante distintos enfoques y aproximaciones, se puede obtener una seguridad aceptable: • Mediante la gestión y tratamiento de riesgos • Formando a las personas • Securizando procesos y tecnología • Etc. Seguridad de la información. Conceptos Según la ISO, la seguridad se caracteriza como la preservación de la confidencialidad, integridad y disponibilidad de la información; adicionalmente pueden tenerse en consideración otras propiedades como autenticación, responsabilidad, no repudio y fiabilidad NECESIDADES OPERATIVAS SEGURIDAD CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD GESTIÓN DE LA SEGURIDAD S E G U R I D A D AUTENTICACION NO REPUDIO TRAZABILIDAD RESPONSABILIDAD SEGURIDAD TOTAL ISO 27001. Cambios notables • Pone más peso en medir y evaluar (métricas e indicadores) el sistema de gestión • Desaparece la sección de enfoque a procesos dando más flexibilidad de elección de metodologías de trabajo para análisis de riesgos y mejoras. • No enfatiza tanto el ciclo de Demming como la ISO27001:2005 • Mejora la integración con ISO9000 e ISO20000. Cambia su estructura conforme al anexo SL. • Incorpora la externalización de servicios en el dominio “relaciones con el proveedor”. • Se parte del análisis de riesgos para determinar los controles necesarios (SoA) en lugar de identificar primero activos, amenazas y vulnerabilidades ISO 27001. Cambios notables Pasa de 102 requisitos a 130 Pasa de 11 a 14 dominios (clausulas) y de 133 a 114 controles (sub clausulas) La normativa ISO 27002 se ha incorporado al anexo A • Controles nuevos: • • • • • • • • • • • A.6.1.5 Information security in project management A.12.6.2 Restrictions on software installation A.14.2.1 Secure development policy A.14.2.5 Secure system engineering principles A.14.2.6 Secure development environment A.14.2.8 System security testing A.15.1.1 Information security policy for supplier relationships A.15.1.3 Information and communication technology supply chain A.16.1.4 Assessment of and decision on information security events A.16.1.5 Response to information security incidents A.17.2.1 Availability of information processing facilities 2005 2013 ISO 27001. Estructura ISO 27001. Estructura 1.- Alcance • • • • -No es el alcance del SGSI -aplicable a cualquier organización -Genérica -Los requisitos de las clausulas 4 a la 10 no son excluibles 2.- Referencias normativas • • -La norma ISO 27000 -La norma ISO 27002 ya no es referencia normativa. 3.- Términos y definiciones • -La norma ISO 27000 ISO 27001. Contexto de la organización 4.- Contexto de la Organización • La organización debe preocuparse, y por tanto determinar, qué cuestiones o aspectos internos y externos están involucrados en el propósito de la misma y pueden afectar a la capacidad de alcanzar los resultados previstos para su SGSI • Instituye los requerimientos para definir el contexto del SGSI sin importar el tipo de organización y su alcance. • Introduce una nueva figura (las partes interesadas) como un elemento primordial para la definición del alcance del SGSI. • Establece la prioridad de identificar y definir formalmente las necesidades de las partes interesadas con relación a la seguridad de la información y sus expectativas con relación al SGSI, pues esto determinará las políticas de seguridad de la información y los objetivos a seguir para el proceso de gestión de riesgos. • La guía para realizar este estudio puede ser ISO 31000:2009 (4.3.1, 5.3.1, etc.) ISO 27001. Liderazgo y Compromiso 5.- Liderazgo y Compromiso de la dirección • Ajusta la relación y responsabilidades de la Alta Dirección respecto al SGSI, destacando de manera puntual cómo debe demostrar su compromiso, por ejemplo: • Garantizando que los objetivos del SGSI y “La política de seguridad de la información”, anteriormente definida como “Política del SGSI”, estén alineados con los objetivos del negocio. • Garantizando la disponibilidad de los recursos para la implementación del SGSI (económicos, tecnológicos, etcétera). • Garantizando que los roles y responsabilidades claves para la seguridad de la información se asignen y se comuniquen adecuadamente. ISO 27001. Planificación • Se deben determinar los riesgos y oportunidades a la hora de planificar el SGSI, así como establecer objetivos de Seguridad de la Información y el modo de alcanzar estos • Se presentan grandes cambios en el proceso de evaluación de riesgos: el proceso para la evaluación de riesgos ya no está enfocado en los activos, las vulnerabilidades y las amenazas. • Esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información. • El nivel de riesgo se determina con base en la probabilidad de ocurrencia del riesgo y las consecuencias generadas (impacto), si el riesgo se materializa. • Se ha eliminado el término “Propietario del activo” y se adopta el término “Propietario del riesgo”. • Los requerimientos del SOA no sufrieron transformaciones significativas • objetivos Análisis de riesgos ¿Por qué? • • • • • • • • • • • El Análisis de riesgos es un concepto requerido para el buen gobierno de TI La gestión de los riesgos es una piedra angular del buen gobierno. Es un principio fundamental que las decisiones de gobierno se fundamenten en el conocimiento de los riesgos que implican. El conocimiento de los riesgos permite calibrar la confianza en que los sistemas desempeñarán su función como la Dirección espera. En particular de los riesgos provenientes del uso de las TIC. Marco equilibrado de Gobierno – Gestión de Riesgos – Cumplimiento (GRC). Tratamiento de los riesgos de las TIC en relación con los demás riesgos. Referente: ISO 38500 (Gobierno de TI) Análisis de riesgos. Ciclo de Vida Análisis de riesgos. Ciclo de Vida Análisis de riesgos. Ciclo de Vida Análisis de riesgos. Conceptos • Riesgo: Estimación del grado de exposición a que una amenaza se materialice sobre uno o mas activos causando daños o perjuicios a la Organización El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente. Es importante saber qué características son de interés en cada activo, así como saber en qué medida (cuantificar) estas características están en peligro, es decir, analizar el sistema: • Análisis de Riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización Una vez conocidos los riesgos se presentan para tomar decisiones: • Tratamiento de los riesgos: proceso destinado a modificar el riesgo Análisis de riesgos. Conceptos • Amenaza: Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización. [UNE 71504:2008]. • Degradación: cuán perjudicado resultaría el activo. La degradación mide el daño causado por un incidente en el supuesto de que ocurriera. • Frecuencia: cada cuánto se materializa la amenaza • Vulnerabilidad: toda debilidad que puede ser aprovechada por una amenaza, o, más detalladamente, a las debilidades de los activos o de sus medidas de protección que facilitan el éxito de una amenaza potencial. Son vulnerabilidades todas las ausencias o ineficacias de las salvaguardas pertinentes para salvaguardar el valor propio o acumulado sobre un activo. A veces se emplea el término “insuficiencia” para resaltar el hecho de que la eficacia medida de la salvaguarda es insuficiente para preservar el valor del activo expuesto a una amenaza. Análisis de riesgos. Conceptos • Un activo tiene valor para la compañía y está lo expone a un riesgo con la esperanza de obtener un beneficio (oportunidad) . • La materialización de la amenaza a través de la explotación de una vulnerabilidad degrada el valor del activo y le puede afectar a su confidencialidad, integridad o disponibilidad. • Los riesgos se identifican y se valoran cualitativa o cuantitativamente, tomando en cuenta la frecuencia de aparición (o probabilidad) e impacto. • Una vez identificados los riesgos se tratan aplicando medidas (Plan de tratamiento de riesgos). • El riesgo residual (riesgo existente después de aplicar medidas) debe ser conocido y formalmente aceptado por la Organización (dirección) • El apéndice A de la ISO 27001:2013 o la ISO27002 es un catalogo de salvaguardas o medidas a aplicar para tratar el riesgo. Análisis de riesgos según MAGERIT V3 • 1. determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación • 2. determinar a qué amenazas están expuestos aquellos activos • 3. determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo • 4. estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza • 5. estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza ISO 27001:2013 -Análisis de riesgo según contexto, no según activos -Riesgos asociados a la perdida de Confidencialidad, Integridad y Disponibilidad de la I. -Se substituye “propietario del activo” por “propietario del riesgo” Lista de tareas de AR según MAGERIT V3 ISO 27001. Planificación Resumiendo: • Hay que definir, aplicar y documentar un proceso de evaluación de riesgos, propio o de terceros, focalizado en los valores de la seguridad de la información • Hay que definir los criterios de aceptación de riesgo (Riesgo aceptable) • Identificad los riesgos principales y los propietarios de esos riesgos. Priorizarlos • Diseñar un plan de tratamiento de riesgos, comparar los controles necesarios con el anexo A y elaborar el Statement of applicability (SoA) • El SoA debe revisar los controles del anexo A y justificar su inclusión o exclusión. • Crear el plan de seguridad y obtener la aprobación de los propietarios del riesgo • Crear objetivos (6.2) de seguridad. Como en otras normas. ISO 27001. Soporte • • • • Marca los requerimientos de soporte para el establecimiento, implementación y mejora del SGSI, que incluye: Recursos, personal competente, concienciación y comunicación con las partes interesadas Se incluye una nueva definición “información documentada” que sustituye a los términos “documentos” y “registros”; abarca el proceso de documentar, controlar, mantener y conservar la documentación correspondiente al SGSI. Depende del tamaño de la organización. El proceso de revisión se enfoca en el contenido de los documentos y no en la existencia de un determinado conjunto de estos. ISO 27001. Operación • • • Establece los requerimientos para medir el funcionamiento del SGSI, las expectativas de la Alta Dirección y su realimentación sobre estas, así como el cumplimiento con el del estándar. Es la realización de lo determinado en 6.1 y 6.2 (planificación) Además, plantea que la organización debe planear y controlar las operaciones y requerimientos de seguridad, erigiendo como el pilar de este proceso la ejecución de evaluaciones de riesgos de seguridad de la información de manera periódica por medio de un programa previamente elegido. Los activos, vulnerabilidades y amenazas ya no son la base de la evaluación de riesgos. Solo se requiere para identificar los riesgos asociados con la confidencialidad, integridad y disponibilidad ISO 27001. Evaluación del rendimiento • • • En un SGSI es fundamental medir, medir, y… medir. Para ello, se llevarán a cabo actividades de análisis y evaluación, auditorías internas y la revisión por la dirección del Sistema de Gestión de Seguridad de la Información La base para identificar y medir la efectividad y desempeño del SGSI continúan siendo las auditorías internas y las revisiones del SGSI. Se debe considerar para estas revisiones el estado de los planes de acción para atender no conformidades anteriores y se establece la necesidad de definir quién y cuándo se deben realizar estas evaluaciones así como quién debe analizar la información recolectada ISO 27001. Mejora continua • Una organización deberá mejorar continuamente la adecuación y eficacia del SGS, así cómo dar solución a todas las acciones correctivas y no conformidades detectas Dominios (Clausulas) y Controles (Salvaguardas) A.5: Information security policies (2 controls) A.6: Organization of information security (7 controls) A.7: Human resource security - 6 controls that are applied before, during, or after employment A.8: Asset management (10 controls) A.9: Access control (14 controls) A.10: Cryptography (2 controls) A.11: Physical and environmental security (15 controls) A.12: Operations security (14 controls) A.13: Communications security (7 controls) A.14: System acquisition, development and maintenance (13 controls) A.15: Supplier relationships (5 controls) A.16: Information security incident management (7 controls) A.17: Information security aspects of business continuity management (4 controls) A.18: Compliance; with internal requirements, such as policies, and with external requirements, such as laws (8 controls) Dominios (Clausulas) y Controles (Salvaguardas) Diagrama de implantación de ISO 27001 Lista de verificación (Checklist) de implantación de ISO 27001 Fuente: http://http://www.iso27001standard.com Documentación obligatoria • • • • • • • • • • • • • • • • Alcance del SGSI (punto 4.3) Objetivos y política de seguridad de la información (puntos 5.2 y 6.2) Metodología de evaluación y tratamiento de riesgos (punto 6.1.2) Declaración de aplicabilidad (SoA) (punto 6.1.3 d) Plan de tratamiento de riesgos (puntos 6.1.3 e y 6.2) Informe de evaluación de riesgos (punto 8.2) Definición de roles y responsabilidades de seguridad (puntos A.7.1.2 y A.13.2.4) Inventario de activos (punto A.8.1.1) Uso aceptable de los activos (punto A.8.1.3) Política de control de acceso (punto A.9.1.1) Procedimientos operativos para gestión de TI (punto A.12.1.1) Principios de ingeniería para sistema seguro (punto A.14.2.5) Política de seguridad para proveedores (punto A.15.1.1) Procedimiento para gestión de incidentes (punto A.16.1.5) Procedimientos para continuidad del negocio (punto A.17.1.2) Requisitos legales, normativos y contractuales (punto A.18.1.1) Registros obligatorios • Registros de capacitación, habilidades, experiencia y evaluaciones (punto 7.2) • Monitoreo y resultados de medición (punto 9.1) • Programa de auditoría interna (punto 9.2) • Resultados de auditorias internas (punto 9.2) • Resultados de la revisión por parte de la dirección (punto 9.3) • Resultados de medidas correctivas (punto 10.1) • Registros sobre actividades de los usuarios, excepciones y eventos de seguridad (puntos A.12.4.1 y A.12.4.3) Gracias ¿Preguntas? Mailto: [email protected]