Transcripcin de Implementacin de la Norma ISO

27002
Evolucin de la Norma
Clusulas de la Norma ISO 27002:2013
1.- Poltica de Seguridad de la Informacin
Clusulas de la Norma ISO 27002:2013
Esta clausula tiene dos objetivos:

La organizacin interna de la informacin

Trato con terceros

Clusulas de la Normal ISO 27002:2013

4.- Gestin de Activos
Clusulas de la Norma ISO 27002:2013
5.- Control de Acceso
Clusulas de la Norma ISO 27002:2013
3.- Seguridad de los Recursos Humanos
Implementacin de la Norma ISO 27002:2013
Consiste en los controles que se aplican a las polticas de seguridad
de la informacin. Comprende tanto la elaboracin del documento
que recopile todas las polticas como su revisin.

La poltica de seguridad de la informacin se debera revisar a

intervalos planificados (o si se producen cambios significativos) para
garantizar que es adecuada, eficaz y suficiente.
Mtricas
Cobertura de la poltica
Grado de despliegue y adopcin
2.- Organizacin de la Seguridad de la Informacin
Mtricas
Porcentaje de funciones/unidades organizativas para las cuales se ha
implantado una estrategia global para mantener los riesgos de
seguridad de la informacin por debajo de umbrales explcitamente
aceptados por la direccin.
Porcentaje de empleados que han aceptado/recibido formalmente,
roles y responsabilidades de seguridad de la informacin.
Porcentaje de conexiones con terceras partes que han sido
identificadas

Comprende todos los controles que de deben implementar para evitar

la fuga de informacin por parte del personal de la empresa. El
dominio contiene tres controles que corresponden al ciclo de trabajo
de una persona: Antes del empleo, durante el empleo y al cese del
empleo.
Mtricas
Antes del Empleo: Porcentaje de nuevos empleados que hayan sido
totalmente verificados y aprobados de acuerdo a las polticas de la
empresa antes de comenzar a trabajar
Durante el empleo: Respuesta a las actividades de concientizacin en
seguridad medidas, el nmero de e-mails y llamadas relativas a
iniciativas de concientizacin individuales.
Al cese del empleo: Porcentaje de identificadores de usuario
pertenecientes a personas que han dejado la organizacin.

Este dominio posee dos controles que tratan la responsabilidad sobre

los activos; es decir, quin es responsable de que activo, y la
clasificacin de la informacin que contiene una serie de directrices
para clasificar la informacin y su posterior manipulacin
Mtricas
Estadsticas semestrales que detallen los ingresos y salidas de activos
de la organizacin, de igual manera, reportes sobre los activos dados
de baja indicando los de mayor o menos incidencia, tiempos de
vigencia, etc.
En una empresa, no todos los usuarios deben tener acceso toda la
informacin; sino que cada usuario debe acceder nicamente a la
informacin con la que trabaja. Para ello, se establecen controles que
definen la meta que se ha de alcanzar mediante la gestin del control
de acceso.
Requisitos del negocio para el control de acceso
Gestin del acceso de usuario
Responsabilidad de usuario
Control de acceso al sistema y las aplicaciones
Mtricas
Porcentaje de sistemas y aplicaciones para los cuales los propietarios
han definido reglas de control de acceso basadas en roles
Nmero de solicitudes de cambio de acceso, con anlisis de
tendencias
Clusulas de la Norma ISO 27002:2013
6.- Cifrado
Esta clusula consiste en aumentar la seguridad y proteger la
confidencialidad e integridad de los activos de informacin mediante
mtodos criptogrficos.
Mtricas
Porcentaje de activos de informacin que contienen datos crticos
para los cuales se ha implementado controles criptogrficos.

Clusulas de la Norma ISO 27002:2013

7.- Seguridad Fsica y Ambiental
Esta clusula tiene una estructura que se divide en:
reas seguras
Seguridad de los equipos
Mtricas
Informes de inspecciones peridicas de seguridad fsica de las
instalaciones
Informes mensuales de movimientos de activos no autorizados con el
porcentaje de incidencias registradas
Clusulas de la Norma ISO 27002:2013
8.- Seguridad de las operaciones
Esta clusula esta estructurada en 7 partes:

Responsabilidades y Procedimientos de operacin

Mtrica -Medicin del tiempo de respuesta ante incidentes de
seguridad

Proteccin contra cdigo malicioso

Mtrica -Tendencias de Virus y cdigos maliciosos detectaos y
bloqueados

Copias de seguridad
Mtrica - Informes sobre incidencias registradas en la bitcora de
copias de seguridad

Clusulas de la Norma ISO 27002:2013

8.- Seguridad de las operaciones
Registro de actividad y supervisin
Mtrica - Informes sobre incidencias registradas en la bitcora de
copias de seguridad

Control de software en explotacin

Mtrica - Informes sobre el estado actual de la seguridad,
vulnerabilidades, pronsticos de riesgos crecientes

Gestin en la vulnerabilidad tcnica

Mtrica - Medicin del tiempo que lleva actualizar y/o instalar parches
de seguridad a los sistemas

Consideraciones de la auditora de los sistemas de informacin

Mtrica - Porcentaje de observaciones y/o recomendaciones resueltas
y cerradas, respecto al total de abiertas en el mismo periodo por la
auditora

Clusulas de la Norma ISO 27002:2013

9.- Seguridad de las telecomunicaciones
Mtricas
Nmero de incidentes de seguridad de red identificados el mes (leve,
importante y grave)
Porcentaje de enlaces de terceros para los cuales se han
implementados satisfactoriamente los requisitos de seguridad de la
informacin
Cantidad de enlaces vpn aseguras con algn mecanismo de cifrado
Clusulas de la Norma ISO 27002:2013
10.- Adquisicin, Desarrollo y Mantenimiento de los sistemas de
informacin
Esta clusula contempla aspectos de seguridad para la adquisicin de
sistemas de informacin o el desarrollo de los mismos. Adicional a la
calidad y el precio , tambin se debe considerar la seguridad que
ofrecen
Ejemplo de Aplicacin
Disear directivas de seguridad, acuerdos de confidencialidad de la
informacin, as como pruebas de calidad y seguridad de la
informacin para los terceros que desarrollan o hacen mantenimiento
a software de la empresa.
Mtricas
Cantidad de contratos que incluyen clusulas de confidencialidad de
la informacin
Informes sobre el estado actual de la seguridad en los procesos de
desarrollo de software
Porcentaje de eficiencia de pruebas de controles de validacin de
datos que se han definido e implementado en sistemas de
informacin
Clusulas de la Norma ISO 27002:2013
11.- Relacin con los proveedores
En esta clusula se establecen los requisitos de seguridad de la
informacin para la mitigacin de los riesgos asociados con el acceso
del proveedor a los activos de organizacin
Mtricas
Porcentaje de sistemas evaluados de forma independiente como
totalmente, conformes con los estndares de seguridad
La realizacin de auditoras de proveedores, junto con la revisin de
informes de auditora
Clusulas de la Norma ISO 27002:2013
12.- Gestin de Incidencias
Mediante esta clusula se establece la gestin de las incidencias que
afectan a la seguridad de la informacin a fin de establecer mejoras,
para garantizar un enfoque coherente y eficaz para la gestin de la
seguridad de la informacin e incidentes, incluyendo la comunicacin
de eventos de seguridad
Mtricas
Estadsticas del Helpdesk de TI, con anlisis sobre el nmero y tipos
de llamadas relativas a seguridad de la informacin
La correlacin de pruebas tan pronto sea posible despus de la
ocurrencia

Clusulas de la Norma ISO 27002:2013

13.- Aspectos de seguridad de la informacin para la continuidad del
negocio
Esta clusula se refiere a la continuidad de la seguridad de la
informacin, redundancias. La organizacin debe determinar sus
necesidades de seguridad de la informacin y la continuidad del
negocio en situaciones adversas, por ejemplo, durante una crisis o
desastre
Mtricas
Clusulas de la Norma ISO 27002:2013
14.- Cumplimiento
La verificacin de los controles de continuidad de la seguridad de la
informacin
Informes con los resultados de las pruebas y reporte de comentarios y
observaciones
Esta es la clusula de conformidad con requisitos legales y
contractuales; revisiones de la seguridad de la informacin a fin de
evitar incumplimientos de las obligaciones legales, estatutarias,
reglamentarias o contractuales en materia de seguridad de la
informacin.
Mtricas
Lista de normal legales aplicables a la organizacin
Nmero de cuestiones de cumplimiento legal agrupadas y analizadas
por su estado (cerrado, abierto, nuevo y retrasado)
Norma ISO 27002:2013
Conclusiones
Norma ISO 27002:2013
Recomendaciones
Determinar bien el alcance, no es necesario implantar todo el sistema
a la empresa.
Considerar las particularidades y situaciones de cada empresa al
realizar el planeamiento de la implementacin de la norma.
Comprometer a toda la organizacin, sobre todo a la alta direccin.
Difundir los beneficios de la norma a fin de sensibilizar a todos sus
miembros para que colaboren con su implementacin y control
Contar con un equipo de profesionales con experiencia para
implementar eficientemente el estndar ISO 27002.
Explotar la ventaja competitiva que ofrece el contar con el ISO 27002
implementado (imagen, valor comercial).
Evolucin de la certificacin
ISO 27001 en el Per
Top 10 - Pases con certificaciones ISO 27001
Introduccin
Familia ISO 27000
Video de Introduccin
Diario el Comercio, 24/01/15

La norma ISO 27002, es un cdigo de buenas prcticas, que se basa

de 14 clusulas, 35 categoras y 114 controles, es una gua de
referencia para la seleccin de controles y de las prcticas ms
eficaces para la implementacin y administracin de un sistema de
gestin de seguridad de la informacin, basado en la norma ISO
27001

Las clusulas de la norma nos definen objetivos, controles, una gua

de implementacin y alguna informacin complementaria, con el fin
de disminuir el impacto o la posibilidad de ocurrencia de los riesgos a
los cuales se encuentra expuesta la organizacin.

Las mtricas potenciales sugeridas nos ayudan a controlar y verificar

si el sistema de gestin de seguridad de la informacin est
funcionando de acuerdo a las expectativas tales como estadsticas,
reportes, porcentajes, etc.
Distribucin en la certificacin de la norma ISO 27001 en el mundo.
http://www.iso.org/iso/home/standards/certification/iso-survey.htm
http://www.iso.org/iso/home/standards/certification/iso-survey.htm
ISO 27018: Seguridad de datos personales en la nube
Estructura de la Norma ISO 27002
14 clusulas, 35 categoras y 114 controles
Caso Aplicativo
Caso Aplicativo
Caso Aplicativo
Caso Aplicativo
Caso Aplicativo

Objetivo Principal
Dar a conocer la norma ISO 27002 y ciertas pautas (controles) para
su implementacin.

Objetivos Secundarios
Explicar las clusulas de la norma ISO 27002:2013.
Proporcionar pautas para la implementacin de las clausulas.
Brindar potenciales mtricas para medir y reportar el estado de la
implementacin.
Presentar un caso didctico de aplicacin de la norma en una
organizacin.

Objetivos
Clusulas de la Norma ISO 27002:2013
9.- Seguridad de las telecomunicaciones
Esta clusula consiste en la proteccin de la informacin que se
transmite y la proteccin de la infraestructura de soporte.

Ejemplo de Aplicacin

Considerando la tendencia de trasladar los servicios hacia la nube,

sta clusula ayuda en la bsqueda de proteccin para los canales de
comunicacin y as obtener resultados satisfactorios en el uso
servicios en la nube.
Clusulas de la Norma ISO 27002:2013
10.- Adquisicin, Desarrollo y Mantenimiento de los sistemas de
informacin
Amenaza
Vulnerabilidad
Riesgo
Controles
Muchas Gracias
The Coaches
29 de enero de 2015
Proceso de Certificacin
Fuente: AENOR
"La tecnologa est
en todos lados"
"y las amenazas tambin"