ISO 17799: Metodologa prctica

para la gestin de la seguridad

de la informacin
Andrs Bor Pineda, Ms.Cs., CISSP
Gerente de Investigacin
Orin 2000
bore@orion.cl
Agenda
Factores relacionados con la Seguridad
de la Informacin

ISO/IEC 17799

Metodologa basada en la ISO 17799

2
Factores Relacionados con la
Seguridad de la Informacin
Seguridad, mito o realidad?
Globalidad producida por la explosiva
expansin de la Internet
Utilizacin masiva de tecnologas de
informacin para optimizar la gestin
empresarial
Comercio electrnico: B2B, B2C, etc.
Iniciativas de Gobierno electrnico
Cultura de Internet
4
Principales Falencias de la Gestin
de Seguridad
Polticas inexistentes o poco claras
Seguridad reactiva y no proactiva
Adquisicin de productos de seguridad no
obedece a un anlisis de riesgo TI
Responsabilidades de seguridad poco definidas
Poco conocimiento del problema por parte de
los administradores
Usuarios no tienen conciencia de la importancia
de la seguridad y su aporte

5
6
7
8
9
 Factor de riesgo AlertCon

El factor de riesgo AlertCon medido por ISS alcanz nivel

AlertCon 4 el 25 de enero y AlertCon 3 por 3 das

Durante el Q4 de 2002, el factor AlertCon nunca super nivel 2

10
Consecuencias

11
Tendencias
Crecimiento explosivo de Internet, millones de dispositivos
conectados en forma permanente,
Poca claridad en las fronteras de las empresas, proveedores,
clientes, etc. impulsado por los nuevos modelos de negocios.
El apuro de las empresas por lanzar productos al mercado
sacrificar su calidad y seguridad.
Cada da existir ms informacin sensible disponible va
Internet.
Las vulnerabilidades seguirn creciendo en forma sostenida,
Nuevos y sofisticados ataques, cada vez ms peligrosos,
ciberterrorismo y gusanos activos capaces de infectar
millones de computadores en 30 minutos.
Esfuerzos internacionales anti-hackers

12
ISO/IEC 17799
Objetivos de la Gestin de
Seguridad
Estructura organizacional que resguarde la
triada de la Seguridad de la Informacin
Asegurar el empleo de buenas prcticas en el
manejo de la informacin
Apoyo corporativo para una actividad
transversal
Balance de recursos vs. necesidades de
seguridad
Sensibilizacin de los usuarios

14
Qu es Informacin?
La informacin es un
activo que, al igual
que otros activos
importantes para el Datos Proceso
negocio, tiene valor
Informacin
para la organizacin y
consecuentemente
necesita ser protegido
apropiadamente.

ISO/IEC 17799:2000
15
Qu formas tiene la
Informacin?
La informacin
puede existir en
muchas formas.
Puede ser impresa o
escrita en papel,
almacenada
electrnicamente,
transmitida por correo
o medios digitales,
mostrada en videos, o
hablada en
conversaciones.
16

ISO/IEC 17799:2000
Qu es lo que se puede hacer
con la Informacin?
Destruda?
Creada Procesada

Usada
Almacenada
Corrupta

Perdida Transmitida

17
Qu es Seguridad de la
Informacin?
Confidencialidad
Asegurar que la informacin es
accesible slo a aquellos que
estn autorizados
Integridad
Resguardar la veracidad e
integridad de la informacin y los
mtodos de procesamiento
Disponibilidad
Asegurar que los usuarios
autorizados tengan acceso a la
informacin y los recursos
asociados cuando lo requieran

ISO/IEC 17799:200

18
Estndar ISO/IEC 17799:2000
Basado en la BS 7799-1
(estndar UK, 1995)
Adopcin del estndar
por varios pases
En 1998, se remueven
las referencias UK a la
BS 7799
Nueva versin publicada
en 1999
Se convierte en estndar
ISO en 2000

19
ISO 17799 y Otros Estndares

ISO 9796 ISO 9798 ISO 11770

COBIT ISO 13888 ISO 14888

ISO 13335 (GMITS) ISO 15408 (CC) OSI Security

ISO 17799
Sistema de Gestin de Seguridad de la Informacin

20
Estndar BS 7799-2:2002
Se desarrolla la Parte 2 BS 7799-2:2002
para apoyar lo indicado
en la Parte 1, 1998
Aparece una nueva
versin en 1999
La ltima versin es
publicada en 2002
Esta ltima versin est
homologada con
estndares como la ISO
9001 (modelo Plan-Do-
Check-Act)

21
Diferencias entre los
Estndares
ISO/IEC 17799:2000
Provee un conjunto de buenas
prcticas en gestin de
seguridad de la informacin
Es la base para la generacin
de Sistema de Gestin de la
Seguridad de la Informacin
(ISMS)
Entrega 127 controles
detallados, y agrupados en 10
reas de trabajo
El estndar es mantenido por
la ISO/IEC 1/SC27 WG1
BS 7799-2:2002
Especifica el proceso para
establecer, implementar y
mantener un Information
Security Management System
Propone un mtodo para el
desarrollo de un Sistema de
Gestin de la Seguridad de la
Informacin (ISMS)
Entrega un resumen de
controles enlazados con los
indicados en la ISO 17799
El estndar es mantenido por
BSI Commitee BDD 2 y el ISMS
International User Group
22
Dominios ISO 17799
Poltica
Seguridad
Cumplimiento Organizacin
Legal Seguridad

Controles
Plan
Clasificacin
Continuidad
Recursos

Desarrollo Seguridad
Sistemas RR.HH.

Controles Seguridad
Acceso Fsica
Gestin
Comunicaciones
23
 Entidades en el Escenario 7799
British Standards
Consultoras Institution
Accreditation Body
Implementadoras +
(UKAS, ENAC, etc)
(Orin 2000, etc) ISMS IUG

Proveedores de
Controles de
ISMS Certification Bodies
(BSI, DNV, LRQA, etc)
Seguridad
(Orin 2000, etc)

Auditores
Certificados (IRCA)
Implementadores (Provisional,
Certificados Lead, Principal, etc)
(BS 7799 Implementer)

International
Organization for
Standardization
(ISO)
24
Qu es lo que se Certifica?
Se certifica la implementacin de un ISMS, en
cumplimiento con los requerimientos dados en
el estndar BS 7799-2:2002, y basndose en
los controles de seguridad definidos en el
estndar internacional ISO 17799:2000
BSi tiene el 40%, DNV tiene el 14% y LRQA
tiene el 11% de las certificaciones en el mundo
DNV tiene una certificacin en Mxico y una en
Brasil, DQS tiene una en Brasil

25
Beneficios de la Certificacin
Reduce las obligaciones de incumplimiento por
no implementacin de polticas y procedimientos
Oportunidad de detectar y corregir debilidades
Alta Gerencia se compromete con la seguridad
de la informacin
Revisin independiente del ISMS
Da confianza a dueos, socios y clientes
Mejor conocimiento de la seguridad
Mecanismo para medir el xito del sistema

26
Metodologa basada en la ISO
17799
Qu es un ISMS?
BS 7799-2

Un Information Security Etapa 1

Definir Poltica
de Seguridad
Polticas
Polticasde
de
Seguridad
Seguridad

Management System Informtica

Informtica + Registro

(ISMS) o Sistema de Etapa 2

Definir mbito

Gestin de la Seguridad
mbito
mbitodel
del
Del ISMS ISMS
ISMS + Registro

de la Informacin Etapa 3 Recursos de Informacin

Amenazas,
Efectuar
Establece la poltica y Vulnerabilidad,
Impacto
Evaluacin
de Riesgos
Riesgos
Riesgos
evaluados
evaluados
+ Registro

objetivos de la seguridad Etapa 4 Resultados y Conclusiones

de la informacin en el Aproximacin de la Organizacin a la

administracin
del riesgo. Administrar el reas
reasde
de
Riesgo
Riesgoaa + Registro
contexto de la organizacin Nivel de
aseguramiento requerido
Riesgo
administrar
administrar

Etapa 5
Es la suma de varios Opciones de control seleccionados

Objetivos y controles

documentos y registros, segn BS 7799-2

Controles adicionales
Seleccionar
controles
Criterios
Criteriosde
Seleccin
de
Seleccin
de
+ Registro
deControles
Controles

que demuestran una Etapa 6 Objetivos de control y controles seleccionados

gestin de la seguridad Preparar Documento

Documento
Documento de
Aplicabilidad
de
de
Aplicabilidad
+ Registro
Aplicabilidad

28
Ciclo de Vida del ISMS
Mantener
el
ISMS

Desarrollo del ISMS Auditar el ISMS

Implementar
el
ISMS
29
Se puede modificar la BS
7799-2:2002?
BS 7799-2:2002 Desarrollo Prctico de un ISMS
Etapa 1 Etapa 1
Definir Poltica Polticas
Polticasde
de Definir mbito mbito
de Seguridad Seguridad mbitodel
del
Seguridad Del ISMS ISMS
Informtica ISMS
Informtica
Fase 1
Recursos de Informacin
Etapa 2 Etapa 2
Amenazas,
Efectuar
Definir mbito mbito Vulnerabilidad,
mbitodel Evaluacin Riesgos
Del ISMS del Riesgos
ISMS Impacto de Riesgos evaluados
ISMS evaluados

Etapa 3 Recursos de Informacin Fase 2 Etapa 3 Resultados y Conclusiones

Aproximacin de la organizacin
Amenazas, a la administracin
Efectuar reas
Vulnerabilidad, Riesgos Administrar el reasde
de
Evaluacin Riesgos del riesgo. Riesgo
Impacto evaluados Riesgo Riesgoaa
de Riesgos evaluados Nivel de administrar
administrar
aseguramiento requerido

Etapa 4 Resultados y Conclusiones Etapa 4

Aproximacin de la Organizacin
a la administracin
reas Definir Poltica
del riesgo. Administrar el reasdede Polticas
Polticasde
de
Riesgo de Seguridad
Riesgo Riesgoaa Seguridad
Seguridad
Nivel de administrar Informtica
administrar Informtica
aseguramiento requerido

Etapa 5 Opciones de control seleccionados Etapa 5 Opciones de control seleccionados

Objetivos y controles Fase 3 Objetivos y controles

Criterios
Criteriosde Criterios
segn BS 7799-2 Seleccionar de segn BS 7799-2 Seleccionar Criteriosde
de
controles Seleccin controles Seleccin
Controles adicionales Seleccin Seleccin
de Controles Controles adicionales de Controles
de Controles de Controles

Etapa 6 Objetivos de control y controles seleccionados Etapa 6 Objetivos de control y controles seleccionados

Preparar Documento Preparar Documento

Documento Documento
Documento de de Documento de de
Aplicabilidad de Aplicabilidad de
Aplicabilidad Aplicabilidad
Aplicabilidad Aplicabilidad

30
Qu hace el proyecto de
Desarrollo ISMS?
Analiza las funciones del alcance
definido
Identifica los activos directos que
permitan cumplir con dichas funciones
(manuales, computadores, etc.)
Identifica los riesgos que afecten
dichos activos
Desarrolla un modelo de seguridad
(ISMS) que gestiona el riesgo
identificado
31
El proyecto no realiza lo
siguiente:
No realiza reingeniera de las
funciones identificadas
No estudia riesgos de otras reas,
fuera del alcance del proyecto

32
 Cules son las fases del
proyecto?
Proyecto de Desarrollo de un ISMS

Fase 1 Fase2 Fase 3

(A) Definicin del mbito o
Alcance
(B) Identificacin de activos
de informacin
(C) Definicin de valores de los
activos de informacin
(D) Valorizacin de los activos
(E) Anlisis GAP
(F) Anlisis de Riesgos
(G) Definicin de la Poltica de
Seguridad
(H) Seleccin de Controles
(I) Definicin de estructura
documentaria
(J) Preparacin de Documentos de
Aplicabilidad

Proyecto de Implementacin de un ISMS

Participacin en el plan de educacin de una consultora
Checklist de seguridad y procedimientos
Inicio Segurizacin de servidores y dispositivos Fin
Desarrollo ISMS Creacin de documentos de seguridad de la informacin, etc, etc Desarrollo ISMS

33
Fase 1, (A) Definicin del
mbito
El objetivo de esta actividad es proteger:
Informacin especfica a las operaciones de la organizacin
Informacin creada, procesada, transmitida y almacenada
Informacin compartida con proveedores, socios, etc.
Ejemplo de un mbito:
Modulo Security Solutions, Brasil
The management of information security associated with the
internal provision of data center and network IT infrastructure
services at the Modulo head office in Rio de Janeiro, in accordance
with the latest version of the statement of applicability.

34
Definicin del mbito o Alcance

35
Fase 1, (B) Identificacin de
Activos de Informacin
Es necesario entender el esquema de
trabajo o funciones que se realizan
Los activos que se identificarn son:
Activos Documento
Activos Software
Activos Fsicos
Activos RRHH (Personal)
Activos Servicio
Activos Informacin
36
Planilla de Activos

37
Fase 2, ( C) Definicin de Valores
de Activos de Informacin
Actividad no definida en la BS 7799-
2:2002, pero aporta en varios aspectos del
proyecto
El objetivo de esta actividad consolidar
una postura de la organizacin en
trminos de Confidencialidad, Integridad y
Disponibilidad

38
Tabla de Valorizacin

39
Fase 2, (D) Valorizacin de
Activos
El objetivo es identificar la importancia de
los activos para la organizacin
Es complicado manejar valores
cuantitativos

40
Planilla de Valorizacin

41
Fase 2, (E) Anlisis GAP
El objetivo es identificar falencias y
mejoras posibles a sus prcticas de
seguridad.
Evaluar la realidad actual en comparacin
con la norma ISO 17799

42
Resultados Generales GAP

43
Resultados Grupales GAP (1)

44
Subdominios Priorizados

De mayor a
menor
importancia

45
Fase 2, (F) Anlisis de Riesgos
Es posible utilizar diferentes herramientas
del mercado para realizar un Anlisis de
Riesgo. Considerar lo siguiente:
Algunas herramientas han sido diseadas
especficamente para trabajar con los
estndares 7799
La mayora se concentran exclusivamente en
activos TI
Pueden ser demasiado complejos para
utilizarlas repetidamente

46
Amenaza
Un evento con el potencial de causar
acceso, modificacin, divulgacin o
destruccin no autorizada de recursos de
informacin, aplicaciones o sistemas
Acceso no autorizado
Destruccin de la informacin
Destruccin del centro de cmputo

47
Vulnerabilidad
Una debilidad en un sistema, aplicacin o
infraestructura que lo haga susceptible a
la materializacin de una amenaza
Fallas conocidas en Sistemas Operativos
Confianza de las personas
Falta de apego del personal a las prcticas de
seguridad de la empresa

48
Riesgo
La probabilidad de que una amenaza en
particular explote una vulnerabilidad
Cuntos robos han ocurrido en el ltimo
ao?
Cuntas veces se interrumpe el servicio
elctrico?
Cuntas veces el personal no bloquea su
estacin de trabajo al pararse del escritorio?

49
Control
Medida de proteccin para asegurar que se
preserven la confidencialidad, disponibilidad e
integridad de los recursos de informacin
Sistemas automticos de extincin de incendio
Bloqueo automtico de cuentas no utilizadas
Identificacin del personal y visitas a travs de
tarjetas de identificacin

50
Entregables de un Anlisis de
Riesgo
El proceso debe identificar los riesgos
significativos en el contexto del activo
El proceso debe proveer un reporte
adecuado a gerencia
El reporte debe priorizar los riesgos, en
base al potencial impacto en la
organizacin

51
Gestin del Riesgo
Tecnolgicos

Administrativos
Mitigar = Implementar Controles
Operacionales

Transferir = Tomar un Seguro

Riesgo

Eludir = No hacer o cambiar

Aceptar = Vivir con el riesgo BCP, DRP

52
Tabla Ejemplo de Perfil de
Amenazas

53
Relacin Amenazas Tipos de
Activos

54
Fase 3, (G) Definicin de la
Poltica de Seguridad
El trmino poltica define una declaracin
de alto nivel que una organizacin
manifiesta
Una poltica es breve y clasificada como
un documento de alto nivel
Una poltica no es una descripcin
especfica o detallada del tema que esta
desarrollando

55
Principales elementos
Para que est alineada con las
necesidades de la organizacin, la poltica
debe:
Ser fcil de entender
Ser aplicable
Ser realizable
Ser proactiva
Evitar los absolutos
Estar alineada con los objetivos de negocio
56
Fase 3, (H) Seleccin de
Controles
Seleccionar objetivos de control y controles,
orientados a gestionar los riesgos identificados
Los controles deben ser todos los aplicados en
el contexto de la organizacin:
Controles de la ISO 17799
Controles regulatorios o legislativos
Requerimientos de clientes
Requerimientos de la corporacin
Cualquier otro control relevante

57
Fase 3, (H) Seleccin de Controles
Un sistema de seguridad
bien diseado debe tener
un balance de medidas de:

Prevencin
Deteccin
Correccin

58
Tabla Ejemplo de Controles

59
Ejemplo de Seleccin de
Controles
Contraseas
Objetivo :
Proponer los controles necesarios que cumplan los
requerimientos de Seguridad de la Informacin,
especificados en la Poltica de Seguridad de la
EMPRESA
Referencia ISO 17799:
9.2.3 User password management.
9.3.1 Password use.

60
Fase 3, (I) Definicin de
Estructura Documentaria
El objetivo de esta actividad es identificar
los documentos que apoyarn los
controles de seguridad:
Polticas especficas
Estndares
Guas
Procedimientos y checklists

61
 Polticas Base
Polticas Base
Estructura Documentaria

CH01 CH13
Clasificacin de la Informacin y Datos Detectar y Responder a Incidentes

SC01
Estndares de Clasificacin SC01 SC02
Reportar Incidentes de Seguridad de Info Investigacin de Incidentes de Seguridad
P0101 P0102
Definicin de la Informacin Etiquetamiento de Informacin Clasificada P1301 P1302
Reportando Incidentes de Seguridad Reportando Incidentes a Entidades Externas
P0103 P0104
Almacenamiento y Manejo de Info Clasificada Aislamiento de Info Confidencial P1303 P1304
Reportando Brechas de Seguridad Noticando Debilidades en la Seguridad
P0105
Clasificacin de la Informacin P1305 P1306
Testificando en Brechas de Seguridad Alertando Actividades Fraudulentas

62
 Estructura documentaria ISO
Poltica General
Documento de alto nivel que define conteniendo la declaracin
la intencin de la organizacin de Alto Nivel

Polticas especficas
relacionadas y de apoyo a la Documentos Polticas Intencin
poltica general

Reglas de regulacin Documentos Estndares Requerimientos

que son mandatorias

Marco de
entendimiento y Documentos Guas Herramientas para la
trabajo realizacin

Cmo Documentos Procedimientos Forma de

aplicar la realizacin
poltica

63
Fase 3, (J) Preparacin de
Documentos de Aplicabilidad
Un Documento de Aplicabilidad es un
resumen del Sistema de Gestin de la
Seguridad de la Informacin
Es uno de los documentos principales que
el auditor revisa en el proceso de
certificacin

64
Ms de uno?
Documento de Aplicabilidad # 1
(RESTRINGIDO) Lin
k
Control 4.1 Aplicado (Generalidades)

Documento de Aplicabilidad # 2
(CONFIDENCIAL)
Slo
Control 4.1 Aplicado (Detallado) Internos y
Auditores

Acceso de Clientes,
Partners y Auditores

65
Consideraciones finales
Una vez terminado el proceso de
implementacin es posible optar a la
certificacin
No siempre se requiere certificacin
Como cualquier esfuerzo en seguridad,
debe considerarse como un proceso, no
como un producto puntual (foto y despus
me olvido)

66
Nivel ptimo de seguridad

La
Laseguridad
seguridad
debe
debetener
tener
sentido
sentidopara
paraelel
negocio!
negocio!

67
 Conclusin

La Seguridad de la Informacin no
es un tema tecnolgico, es un
tema de negocio.

68