You are on page 1of 94

CURSO DE INTRODUCCIN Y

FUNDAMENTOS

INFORMATION
SECURITY

+N
Pf"lu^^lla^l S,fd'*

)P4ew*,h*a!dat@
cnsrtN

INFORMATION
SECURITY

DE t.A sEGLTRIDAD DE LA iNFoRMACIN, BAS,rA EN LA ISo/lEC z7a0?

lnformacin de Confidencialidad

Toda informacin contenida en este documento es considerada prvilegiada y


confidencal, ya que este material incluye descripciones metodolgcas de propedad
exclusiva de PMConsultant S.L. Ninguna parte de este documento podr ser
reproducida por cualquier medio sin la autorizacin correspondiente.

PMConsultant S.L.
crF 8-81351363

Todos los derechos reservados.

Madrid, Espaa
2ALL

GESTTON DE 1A SEGURTDAD DE r.A NFORMACTON, BASADA EN ISO/EC


PMCONSUITANT SPAN . TODOS LOs DERECHOS RESERVADOS

27042
oTM_PMC_0O36 | 2012

t ffil{trroN

:Pn*r***r.quo
SraltEf

r! *l(($rlpsEi

fu

rirf lt5{}

crsrl

ISO/IEC 27AA2
DE LA SEGURIDAD DE LA INFORMACII', BESAA EN LA

PMCONSULTANT SPAIN . TODOS LOS DERECHO5

RESERVADOS

OTM_PMC-0036 I 2012

;FFr{:*,*-*htw*
5i jf

,a, : .:,":, t,: I

a, e,

* b

: i.1,i1).;i

Sd^o
I r'_'r.rril

jra

@llflsl{froN

cgsrln DE LA SEGURiDAI) DE LA II\FORMACIN, BSRDA

HN

LA ISO/IL,C 27AA2

lnformation ecuritY
Foundation
based on lO/lEC 27002

P\br-u.f**la*o
,..:.

... i,r.,'.!,","'',r' : l.l Ji, i .,il:r,::r

,1'., r;r:

About EXIN
Exll.l, the Examlnatlon nstltute for lnformatlon cience, le a
global, lnependent lT examlnatlon provlder offerlng
lualification programs for lOllEC 20000, lSOllEC !7000,
lTlL@, MOF, AgL, BiSL and TMaP@'

lfsEXlN-smissiontoprovidethebestindependent

ceftificatignandaccreditationininformation
professionals and
management worldwide, EXIH enables
organTzations to turn their skills into a reputation'

For more Information Please visit:


www.exln.com

RESERVADOS
PMCONSULTA.NTSPAIN . TODOS LOS DERECHOS

;PM{ruu^A*!dd"o
cnsltn

DE LA SEGURIDAD DE LA INFoRMACtw, gseoA EN LA

r[BH++''|oN

rso/rnc z70oz

Normas de comportamiento
Olvidarse deltrabajo y de los asuntos personales durante
estos das
Limitar el nmero de e-mails al mnimo
No laptops, PDAs, cel u la res, localizadores,etc

Coure trucfure & Certificaon Exam

lnformation ecurity Foundation


based on lOllEG 27002
Estructura del curso y Examen de
Certificacin de ISO/IEC 27A02

GESnON DE l.A SEGURIDAD DE LA INFORMACION, BASADA EN ISO/IEC 27OO2


PMCOT{SULTANT SPAIN . TODOS tOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

-PHCopue* fl"h@
....'

,.

''.:i

ffi lflH+i''IoN

',

tJfIS'If0I'r. DE t,ASEGL]RID,AD DE LA INFORJIlACIC}N, BASAD,\ EN LA ISO/IEC 27A02

Esquema de Calificacin ISOIIEC 27002

Course Structure & Certification Exam

Fornrato de Examinacin
a

a
a
a

Examen de Libro Cerrado


Pre-requ isitoe : Nin g uno
Duracin:1 hora
Nmero de preguntas
Formato: Preguntas con opciones mltiples
* Cantidadde opciones: A,B,C o D

La meioropcin es la respuesta correcta


Un puntaje mnimo del65% (26 de 40| es lo que se necesita
para aprobarelexamen

Courue tru6'tue & Certificaon Exam

PMCONSULTANT SPAIN - TODOS TOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

lQ{?.zr,'*r^ha*l
ll,r'r,:

i :Jii,''1r;cttr,

, li: .!ixi,tr,rf

f.dd.@

t@[Blr+f'|oN

i:i1lrili'fi

cEsrN

DE LA SEGLIRIDAD DE LA INToRM\ctN, BASADA EN LA rSo/tEC 27002

Formato de Examinacin
Contenido

l0% - lnformaciny Seguridad

Concepto rle la nformacin


El valorde la informacn
. 5% - Aspectos de confiabilidad
30%- AmenazasyRie6go

2.5o/o -

?,5Yo -

c 15%-AmenazayRlesgo
o 15t/o- La relacinentreamenazas,
r l0%. Enfoquey Organizacin

2.5% - Politca de

riesgosy confiabilidad dela informacin

Seguri{hdy Organizacin e Eeguri{tad

2.5Yo - Componentesde la Organlzacn


5% - Geslin de incidencias

deSegufldad

4AYo- Mtricas

r
:

10o/o

lmportancia delas Mtricas

10%. Mtrlcas deSegurldad Fca


10o/s

1A\/o

- Mtricas deeguridad Tcnica


- Organizacin de las Metricas

,,,,.-".10':.."tln_l::::::.::::::::.T,.._,
Course Structurc & Certificaon Exam

Material del

turso

Objetivos de las diapositivas:


?700t Preparacin para los fundamentos de la Seguridad de lnformacin,
basados en la lOllEC 27OAz
Certlficacln de acuerdo a las especificaciones internacionales de EXIN
Anotaciones utllizadas en la diapositiva

Definicin acorde a ISO/1EC27002

|,Itt1 :"u'r

r.l

--

Requisistos mnimos solicitados por ISO/lEC


27002:2005
Meiores prcticas. pero no requerimientos de la
rsoilEc 27042
Course Structure & Certcation E,.aflt

GESTTON DE

IA sEURIDAD

DE I.A INFORMACION, BA5ADA EN SO/IEC ZIOO2

PMCONSULTANT SPAIN . TODOS TOS DERECHOS RESERVADO

oTM_PMC_0036 | 2012

''PHWrrfr*@
ir,:r.

t@llflll+froN

! 1-.i.,1,rri,,,r.rr r. l''ii:irr;, i ,1'r'.:ai,r;:ri

crsrtN

DE LA sEGURIDAD DE LA tNpoRMAclN, BASADA EN LA ISO/IEC 27A02

lnformation ecurity Foundation


based on lSOllEC 27002
Seguridad e lnformacin

Qu es lOllEC 270A2?
ISO: lnternational Organization for Standardization

: lnternaonal Electro-technical Commission


ecurity Techniques
- {Cdigo de
Prcticas para la Geen de la Seguridad de -la lnformacin (anterormente

IEC

ISOJIEC 278O2:20OS lnformation Technology

'

conocida como la ISO/IEC {7799)


Apartados:
0. lntroduccin
1. Aicance

9. Seguridad Ambiental y Fisica


10. Gestin de Operaciones y
Comunlcaeiones
11. Control deAcceso

2. Trminos y Definicrones

l2.Adquisicin de Sistemas de

3. Estructura de la Norma
4. Evaluacin del Riesgo
5. Poltica de la Seguridad
6. Organizacin de Seguridad de la

lnformacin, Mantenimiento y
Desarrollo
13. Gestin de lncidencias de Seguridad
de la lnformacin

14. Gestion de la Continuidad del

lnformacin

Negocio

T Gestin de Aclivos
8. Seguridad de los Recursos Humanos

15. Conformidad
Infomstion End ecurity

6rsnoN

DE t A SEGURIDAD DE

tA INFORMACION, BASADA

PMCONSUITANT SPAIN - TODOS LOS DERECHOS RESERVADOS

EN ISO/IEC

27442
0TM_PMC_0036 | 2012

in*r."r,*rS,ke

@llBfiiiflroN

{J()r\ \. ranogrerl d' rrril!,fldgt (:3r!riifl.:a/

cgsrtN

DE LA sEGURIDAD DE LA TNFoRMACIw, gsADA EN LA ISo/tEC

zralz

Datos e lnformacin

ffi

il,:?fffi 1",*ili:tions

or

Los datos puedon s6r procesados por la Tecnologia de la lnformacin, pero


estos so convierten en Informaein solo cuando adquiersn un eignifcado
determinado.
La infomacin puede extraer el txto pero tambi6n la palabra pronunciada y al
las imgenes de video.

Ejemplos de lledios de Almaeenamiento


Hoja

Microficha
Magnetico

e.g cintas)

ptica-e.g -CD's
lnfotmon and ecurity

DIKW: Data, lnformation, Knowledge, Wisdorn


according to

fTlLeVeraionS

Quin, Qu]..

Crando,

hrd3)
I
I

Crynprehsin
lnformron rnd .curlty

GESTiON DE r-A SEGURIDAD DE r.A INFOMACTON, BASADA EN tSO/tEC 270]42


PMCONSUTTANTSPAIN . TODOS TOS DERECHOS RESERVADOS

oTM_PMC-O036 | 2012

l4eu,ar^Aea*
S.Jyper r,

f,rd.@

4rorrtrr,{ & 7i,.fi rrot$}

(@rEB*?{fl'oN

oluJfaruI

GESTION DE LA SEGURIDAD DE LA INFORMACION, BASADA EN LA ISO/IEC 27AA2

Datos e Inforrnacin
accordingto
}ffl
Ergt rii-+'y'6r5r6n i
. La informaein ea lia oomprenen de la relacin

entre las piezae de los

datoe
La informacin responde 4 preguntas:
Quin?
Qu?
Cuando?
Donde?

lnfmndon

and Eecuri

Qu es la eguridad de la lnformacin?

th

1
', -'tl{i.l r
-.lr\\t
J
I t'.*.tr\r'ii)"-

L -''

Note: Repudiation is another word for negaon, disclaimer


lnforrlion rnd Sacurity

-GETrOIrDIlt EGRTDAUDFUr NFUHMOON; EASADA Er[ rsO/rEC


PMCONSUTTANT SPAIN . TODOS tOS DERECHOS RESERVADOS

27002'
oTM_PMC_0036 | 2012

)PHC*,a.h* ffd^@
,rr.rr

@gr[B[I+f'|oN

j ar,ri!ilr,\.;

i'.lrr.i(,ri

cEsrru

DE r.A SEGURTDAI) DE LA rNF'oRMACIN, BASADA EN LA ISo/tEC z70az

Qu es la eguridad de la lnformacin?

ffi

according to Foundations of
lnformation Security

seguridad de la lnformacin consiste en la definicin,


lmplementacin, mantenimiento y evaluacin de un sistema mtrico
coherente que asegure la disponibilidad, confidencialidad e integridad
de la informacin brindada (computarizada y manual).

La

GTA
lnformation and Secur

istema y Tecnologia de la lnformacin


according to Foundations of lnformation Security and
lTlL@Version 3

lnformalion

'

System

El procesamiento y transferencia de la
informacin ee d a kavs del Sistema de

lnformacin

'
,
.

Todo sisterira qu tenga el propsito de


transledr informacin es un Sistema de
lnformacin
Ejemplos de Sistemas de lnformacin son:
los archivos guardados en carpetas.
telfonos e impesorag
Dentro del contexto de Seguridad de la
lnformacin. el Sistema de Infamacin es la
conrbinacin de medios, procedimientos.
norm6 y persona que aseguran ia
transferencia de inlormacin en un proceso

lnformatiol Tgchnology
. lmplica el uso de la iecnologa para el
i

.
.
.

almacenamiento, comunicacin y
procsaminto de la informacin
Normalmente, la tecnologia incluye
c omputacioras telecomunic acones,
aplicaciones y otros software.
La inlormacin puede incluir datos
emprerariales. de vo. imgenes, videos,
etc.
La Tecnologa de la Informacin es usads
para apoyar los Procesos Empresariales a
travs d Servicios lT.

operativo
lnfomation and ccurity

GESTTON DE

SEGURIDAD DE

lA |NFORMACION, BASADA

PMCONSULTANT SPAIN . TODOS LOS DERECHOS RESERVADOS

EN tSO/lEC 27OOZ
orM_PMc_oo36 I 2012

?H0-"r,tt*l Fil@
crsrtru

@!rlB[i++'roN

DE LA sitcuRlDAD DE i,A INFoRMACIN, nASADA EN LA rSO/rEC 27002

Valor de la lnformacin

ffi

rffi:fiifl

or

:"=[:l?dations

El valor de la informacin es dEterminada a travs del valor qua el


rocsptor otorga a la misma

.
,
.

6.2,1: Para la identificaein de riesgos relacionados al acceso externo


se debe tener en cuenta: la sensibilidad y el valor de la informacin en
iuego ya quc es critica para las operaeiones del negocio
7.2.1: Lo informacin debo ser claeificada de acuerdo al valor que
posee ya sean requisitos legales, sensibilidad, o de importancia para
la empresa
12.1.1: Los controles y requisitos de Seguridad deben reflejar el valor
empresarial de la informacin implicada. Asi como el dao potencial
eomercial que podria resultar de un fallo o auseneia de seguridad

l.r\ll t-,;.

,, I

L jr : -''-"-

.,
lntomlatisn nd $ccurity

La lnformacin como Factor de Praduccion


according to Foundations of
lnformation Secur

Los facfores comunes de produccin de una compaia u organizacin son:


Capital

Materia prima y Trabajc

En la Tecnologia dg la lnformacin, tambin es comn considarar

la

informacin como un factor de produccin


Sin informacin no existen los negocios
Aquel alrnacn que pierde informacin burstil y clientes no es capaz de realizar
operaciones

lnclusive, aquellos negocios como las oficinas de contadores. bancos y/o


compaas de seguro ofrecen lnformacin como su nico Producto/Servicio

lnformstio nd Security

PMCONSUTTANT SPAIN . TODOS tOS DERECHOS RESERVADO5

orM_PMC-0035 I 2012

-?He"rur^fr*lW@
crslrN

@!T[B[l{+'roN

Dn LA STIGURrDAD DE LA lNr.onrrctN, Bi\sADA EN LA rS/rEC 270A2

El Valor del Negocio


according to
lTlL,rVersion 3

La egurldad de la lnformacln obrga al Proceso de Negoclo


seguridad aplicando los Controles de Seguridad en todas las
reas de lT y a travs de la gestin de Riesgo lT en lnea con el
Proceso de Gestin de Riesgo Coporativo y Comercial; y
Directrices.

/*

lnformction and Eecurty

Fiabilidad de la lnformacin
according to Foundaons of
lnformation Secur

La fiabllidad de la lnformacin consta de 3 aspectos:


Co

nfidentia ity (Con fidenc


I

lntegrity (lntegridad )
Availability ( Disponibilidad

ia I idad )

tA
lnformation nd S6curity

GESTION DE tA SEGURIDAD DE l.A INFORMACION, BASADA EN ISO/IEC 27OAZ


PMCONSULTANTSPAIN . TODOS tOS DERECHOS RESERVADOS

oTM_PMC_0035 | 2012

(} IIIB[i++'''N

-PHOna^h*Afiv,lg^
l .,

).,i1l.:lrlil

r;EsttN

DE LA sLictrRulAD DE LA iNF',ORMACION, BASADA HN LA ts0/lEC 27A02

accordng to Foundations of
lnformation Security

La confidencialidad es el Erado en el cual el acceso a la informacin es


restringida y solo un grupo determinado tene autorzacin para acceder a ella.
Asimismo, esto incluye medidas que protegen su privacidad.

rh
lnformtion and ecurity

Mtricas de tonfidencialidacl
according lo Foundations of
lnformation Securily

El acceso a la nformacfl es otorgada en oaso sea necesario; y slo si exisE conocimienb


previo de esta accin. No impresindibe. por eiemplo, que un empleado financero tenga
conocimierlto acercade los acuerdos entrela empresa y los clientes.
Los empleados toman medl(hs respectivas para ffiegurar que la lnfqmacln no sea encontrada
por aquellos gue no la necesiten, Asi mismo, verifican que no hayan documentos condenciales
sobre los e$critorios durante la ausencia de estos.
La Administracin de Acceso Lgico asegum que las personas o proceos NO AUTORtrADOS,
tampoco tengnn acceso a los sisEmas automticos, base de datos y program, Por ejemplo,
un usuarlo cualqulera no tlene derechoa reallzaraJustesen las PC.

La separaciur
procesamento

& funciones sa crea entre la organizacin de desanollo del ssEma, de


y la del usuario. L organzacin de desarrollo de sisbmas, por ejemplo, no

puede reallzar nin gun cam bio en los honorrios.


La separacln estrlcta se crea en el entorno desarrollado mediante Ia produccln, aprobacin y

aceptacin delmismo..
DuranE Ia utlizaciil y procesambnto de datos se toman medidas necesarias que asguran h
privacklad del personal y la de Erceros. El ti,rea de Recursos l{umanos posee, por eiemplo, su
propia unidad de red a la que otros no tienen acceso.
El uso de los ordendores por parE de los usuarios finales est rodeads por medidas para que
a confidencialdad ale los cl6tos est garantizada. Un ejerflpb es una contrasea que permE el
accesoal ordenadory a la red.
lntomion and Srcurity

PMCONSUTTANTSPATN

- TODOS IOS DERECHOS RESERVADOS

oTM_PMC_0035 | 2012

P4**,ar^fr*t

INFORMAilON

f;*@

crs'ilw

SECURITY

DE t.A sEURIDAD L)E LA INFoRMi\ctN, BASADA EN t.A ISo/tEC

zilL)z

lntegriclad
according to Foundations of
lnformation Securi

.
'

La lntegridad es el grado en el que la lnformacln se encuentra sin


errores y actuallzada
Las caractersticas son:
La exactitud de la infornracin
La integridad de la informacin

Gl A
lnformation and ecur

Metricas de lntegriclael
acccrding to Fcundations of
informatron Security

Los cambios en los sistemas y datos son autorizados. Por ejemplo, un miembro del
personal enfa a una nueva rea pam verilicar un articulo en el sitio web, y otro
verifica la exactitud deeste antes de su publicacin)
Siempre que sea posible, los mecanismos se basan en que la gente utlce el trmino
corecto. Por eJemplo. un cllenE siempre es llamado "cliente'. Sin embargo, este
trmino no se puecle introduciren la base de dato)
Las acciones de los usuarios son regisfadas {conectado} de modo que es posible
determi narEi realiuaron algn cambio en la nformasin
Las acciones principal$ trl Eistema, por ejempb, la instalaclin de un software nuevo
no pude levarse a cabo por una sola persona. Debido a qre la organizacin de
funciones, cargos y auhri{,ades, indica que al menos dos personas se encarguen de
dcho cambio y a6i obtener meior resultado
La integridad (b 16 datos se ptrede asgurar en g[an medida a Eav (E las tcnica
de cifrado, el cual proEge h informacin de cambos o accesos no autorzados. Por
olro lado, los prncipios de la aelminbtrac y poltca del ifra(b se puede denir en
un documento de politca separado

Infrmalion and Security

PMCONSUTTANT SPAI N . TODOS LOS DERECHOS RESERVADOS

0TM_PMC_0036 | 2012

^PHUr^h.*l St^@

(@![[Bll+'roN

crs'rtN DE LA s[GLIRIDAD DE t,A INF'oRMAClN, ssr)A

EN LA

rsoi

rEC

zTaaz

0isportibilidad
accordng to Foundaons of
lnformation Securitv

El grado de disponibilidad es cuando la informacin se encuentra


disponible tanto para el usuario como para el Sistema de lnformacin.
Este se encuentra operativo en el momento que la organizacin lo
requiera
Las caracteristicas de Disponibilidad son :
. Lnea del tiempo: El Sistema de Informacin se encuentra disponible

.
.

cuando sea necesario.


Continuidad: El personal es capaz de continuar trabajando, en el caso
que ocurra algn fallo.
Fuerza : Hay suficiente capacidad la cual permita que todos trabajen al
mismo tiempo en

ersistema

GIA
lnformation and $ecurity

Mtricas de Disponibiliclad
accordrng to Foundatons of
lnformation Security

.
.

El almacenamiento y gestin de datos debe ser tal que la probabilidad de

perder algn tipo de informacin es minima. Los datos, por ejemplo,


aquellos gue se almacenen en el disco de red, no en el disco duro del PC
Los procedimientos de copia de aeguridad deben estar esabecidos. Asi
como se debe considerar los requisitos reglamentarios de la cantidad de
datos gue pueden ser almacenadoo. La ubicacin de asta copia de
seguridad debe estar separada fisicamente de la organizacin con la
finalidad de garantizar la disponibilidad en caso de emergencia
Los procedimientos de emergencia son establecidos para asegurar gue
las actividades se puedan reanudar tan pronto como sea posible despus
de una interrupcin a gran escala

lnfamdio nd curity

RMACION; EASADA E ISO/lEc 27402


PMCoNSULTANTSPA|N -TODOS

tos

DERECHOS

RESERVADOS

orM

PMC 0036 | 2012

pH**ar^fu.a fdd"
:r,,-:rri!.,:.

Iir.. rrfr,rrirj:i:r I

rr: :r,i:1.i.il

@IlBfflflro*

I ::j.:ijtil

ceslr:trr

i:r LA SfiCURiD\D

DH LA IiFORMACN, tsASAIlA HN t"A ISOi tHC TVAT

Arquit**t*rm de la fnf*rmaci*n
according to Foundations of
lnfornration Securi

. La eguridad cle la lnformacin casi s podria relacionar con


.
.
.

la

Argukectura de la lnformacin
La arquitectura de informacin es el proceso que 6 rtra en poner a
diepodcin la informacin dentro de una organizacin
La Seguridad de la lnformacin puede ayudar a garantizar el suminis*e de
informacin requerida realizada en la Aquitectura de lnformacin
La Arquhectura lnformtiqa s centra principalmente en la Organizacin de

la lnformacin. De acuerdo a la neceeidad y la rnanera en la que sta se


lleve a cabo. La Seguridad lnformtica apoya el proceso mediante la
funcin de garantizar la onfidencialidad, lntegrldad y Disponibilidad e la
rroRaccN

lnformatisn and Security

lnf*rrna*in y Pro*es permtiv


according to Foundations of
infornaiion Security

,
.
.
.

Un proceso operativo ee aquel quG se ubica sn el nclas drl negocio


Eil el Procesa Operativo, el personal desarrolla un servicio o prodrcto para el
client,
El Proceso Operativo se componc principalmente de Actividades de Entrada
y salida
Existen difErentee pos de Proeesos Operativos
Proceso Primario
E.g. Administracin del capital
Proceso Gua
E.g. Planeacin de estrategia de la compaia
Proceso de apoyo
E,g. Compras, ventas o recursos humanos

lfofmtion nd Scurity

PMCONSULTANT SPAIN - TODOS LOS DERECHOS RESERVADOS

oTM_PMC_0036 I 2012

(@
crs'rtN

DE LA SEGURIDAD DE LA INFoRMACTru,

ftlBH++''!oN

BeseoA EN LA rsolruc zr00z

lnformacin y Proceso Operativo


according to Foundations of
lnformation ecurity

La lnformacin se ha convertido en un factor de produccin mportanto durante


la realizacin de Procesos Operativos
Uno de los mtodos para determinar el valor de la informacin es comprobar el
rol de la misma en diferentes Procesos Operativos
Cada Proceso Operativo define especificamente un requisito para el suminietro
de la informacin
Existen procssos que se realizan independientomente de la disponibilidad de la
informaein
E.g. La pgina web de la compaia
MientraE que hay procesos que dependen ms de la exactitud absoluta de la

i*formacin
E.g. Los precios de los productos

lnformation and curity

Anlisis de Ia informacin
accordrng to Foundations
lnformation Secur

of

El Analysis de lnformacin Brenda una imagen ms clara de cmo la compaia

manaja la informacin
misma. Por ejemplo:

cmo es gue la informacin "fluye" a travs de la

Un husped se regrstra en un hotel a travs del sitio web

.
.

Esta informacin es enviada directamente al departamento de administracin. el


cual se encarga de asignarle una habilacin.
El rea de recepcin tiene presente que el husped llegar el da de hoy
El rea de servicio tiene conocimiento cie que la habitacin debe estar lista y
limpia para la llegada del husped

Durante este proceso es importante que la informacin eea completamente


fiable
Los resultados del Anlisis de lnformacin pueden ser utilizados para el diseo
de un istema lnformtico
lnfolmetion and Securty

GEST|ON DE tA SEGUR|DAD DE l-A INFORMACION, BASADA EN SO/IEC 27OOZ


PMCONSUTTANTSPAIN - TODOS LOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

]H9*ar^h,+ Sfr;@

@fu[flH+f'|oN

cgsT'Ini DL] LA SEGURIDAD DE LA INFORMACI0N, BASADA EN LA ISO/IEC 27OO,

Gestin de la lnforrnacin
according to Foundations of
lnformation Security

La Gestin de la lnforrnacin dirige y define la Politica ralacionada al


suministro de informacin de una organizacin.
Dentro de este sistema, un administrador de informacin puede hacer uso
de la Arquitectura de la Informacin y un Anlisis de la lnformacin.
La Gesn de la informacin implica mucho ms que un proceso de
informacin automazado, el cual se llevado a cabo por una organizacin.
En muchos caso, la comunicacin interna y extsrn forman pae de la
estrataga de Bestin de la informacin,

lnformation and ecurity

lnformtica
accordrng to Foundatons of
lnformation Secur

Los trminos de la infomtica se relacionan con uso lgico de la


estructura para el deearrollo de los sietemas y la informacin
Por otro lado, es importante comprander que la informtica puede ser
ulizada para el desarrollo de programas

i,i -t,.l!ir
"?'*'-*
'
,,, *?.d

/t

et{**'

ll

.4*
lnfomtion rd Security

GESTTON DE t A SEGURIDAD DE LA |NFORMACION, BASADA EN tSO/tEC 27OO2


PMCONSULTANT SPAIN - TODOS LOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

]l't9uar,ea fu;^o
trr rrp. i rii J,i, ri,,.' t .!. ls'1,.,!:l.it:

r,1 t,rr

cEsnru

t@llBllfiIroN

j! !,r' i'

DE LA SEGLTRIDAI) DE LA INFORMACTON, BASADA EN LA ISO/tEC 27AA2

Qu es Io que hernos aprendido?


according to Foundations of
lnformation Security

Las diferentes formas de los Sistemas de lnformaein y de la


lnformacin
CIA:

Confidentiality (Confidencialidad)
lntegrity (lntegridad)
Availability (Disponibilidad)
Para qu 6s mportante la Seguridad de la lnformacin
- Proceso Operativ
- Arquitectura de la lnformacin
- Gestin de la lnforrnacin

lnformtion and ecuri

Asignacin
Cual es el valor de la informacin dentro de una
organizacin?

lnformation and Security

IF(ffiMACION; BAADA
PMCONSULTANT SPAIN -TODOS tOS DERECHOS RESERVADOS

Eft

lSo/lEC 2742
oTM_PMC_0036 I 2012

(grlflll{+''!oN

-P4fu^ba*l*,fr.@
crsnm

DE LA sEGURIDAD DE LA tNFoRMACltr, gsaDA EN LA

lso/tEc zr00z

lnformation ecurity Foundation


hased on lSOll.C 27002
Riesgo y Amenazas

Qu es una amenaua?

\.h{*

i&'I
tr

ir.. rl'i '-;"E 'lr


--.rrj*I'rl

Threrts and Rikr

GESNON DE A SEGURIDAD DE I.A INFORMACON, BA5ADA EN IsO/IEC 27OOZ


PMCONSUTTANT

SPAIN . TODOS LOS DERECHO RESERVADOS

ofM_PMC_0035 | 2012

pfiA*cr,fr**fdr.@
8r{i$f,

if

@l[B[!{{roN

arl{roogss{t & f"(loslsg, fsoriltlqsc"

cgstrN DE LA SEGURIDAD DE LA INFoRMACIn, BASADA EN LA rso/rEc zzo0z

Mtricas de eguridad y Amenazas


according to Foundations
lnformation Security

ol

Durante el proceso de Seguridad de la lnformacin, los efeetos no


deseadoe (amenaza*) s6 fratan de solueionar lo meior posibh
Para evitar ost6 tpo de efuctos se dsterminan estrategias dentro de la
Seguridad da la lnformacin

La eguridad de la lnformacin detsmina las llodidas do Seguridad


que deben emplearse para evitar ostos fecto$.

Thretr and Rik

Riesgos
according to Foundaone of
lnformation Secur

Rlesgo

.
.

Posible dao o perdida de la informacin


El riesgo se determina por el nmero de factsres. Estos son la amenaa o
la posiblidad de que una amena:E se iniesifique y por consiguiente las

consecuencias

- l\lIll
Ir,_

r.-,,,F
L - """

r.r:tgu]|"!. r

Thtrrlr rnd Rlkr

GESTiON DE

IA SEGURIDAD

DE

IA TNFORMACION, BASADA

PMCONSUTTANT SPAIN . TODOS TOS DERECHOS RESERVADOS

EN ISO/IEC7(NZ
oTM_PMC_0036 | 2012

t&ffil{f'Io*

?H*,-**r,h**tlr.ir,.o
fj,:,ac!. :,iir1rriry:11't iilii:Jrii4 {l}ii':lilfl:r,r{{

gESAtrA EN LA ISOIIEC 27A02


cTsTII DE LA SEGL]RIDAD DE LA INFORMACIN,

Anlisis del Riesgo

or

ili::Hlfl

l"r:."#1,,'tions

Anlisis del Riesgo


. La metodologa nos ayuda a tent una idea dE aquello gu no afecta y de lo
que no estamcs Protegiendo. Existen diversas manera de Analizar el Riesgo
. Un anlisis de riesgo se utilia para describir los riesgos a los que ee enfrenta
la emPresa

--11
( '.'
I l\(tll

,r
L '*t,,r'13;t!!il
Threats nd Risk

Anlisis del Riesso, Riesgo

Y Amnaua

according to

ITILE)Version 2, 3 and CRAIIM

A*lisis

cuando una amenaza se materiali, ace un resgc para la organizacin.


Asimismo, tanto la evaluacin de la gestin y la magnitud del riesgo

determinan si las medidas se deben eiecutar con la finalidad de minimizar el


riesgo y lo que Pueda suceder.

PMCONSULTANT SPATN . TODOS LOS DERECHO5 RESERVADOS

^P49*u^fr*lf.;*;grrji.r,, t .il4,.i!j!iri*t

ii 1,, lririrt

@rlBlr+froN

i ar.lriiiilrrai

GEST'IN DE LA SEGLJRIDAII DE LA

tNponunclN,

BASADA EN LA

tsoltEc 27002

Evaluacin del Riesg


according to
lTlLt& Version 2, 3 and CRAMM

.
.

La evaluacin de riesgos deber incluir el enfoque sktemtico para


estimar la magnitud de los mismos {Anlisis del Riesgo} y el proceso
de comparar los riesgos esmados confra los criterios de riesgo; y asi
determinar la imponancia de estos (Evaluacin de los Riesgo).
La Evaluacin de los Riesgos es la suma total de ...
Valoracin y Evaluacin de los Bienes
Valoracin y Evaluacin de las Amenazas
Evaluacin de la vulnerabilidad

-*-a1
t .".1 f
trl'r'
_1,,.rr,).t-,_ "r
.-

Threat and Rika

Desastres e lncidencias
according to Foundaona of
lnformation Securi

!ncidencia

La amenaza logra manifestarse


Ejemplo:
Cuando un hacker realiza operaciones necesarias para tener acceso a la
red de la empresa

Desastre
Sucede un gran lncidente gue atenta con la continuidad de la empresa
Ejemplo:
Un corte de energfa . causada por un helicptero que da algn cable de

alta tensin

Thrertr rhd Risk.

GESTON DE t-A SEGURTDAD DE

tA INFORMACION, BASADA

PMCONSULTANTSPAIN . TODOS LOS DERECHOS RESERVADOS

EN tsO/tEC 27OO2
orM_PMc*0036 | 2012

in*r.^r^*rr;@
gt_r.:.r,r

i,

,J.,

r)f

rp

lrt & tr1.rle il,.

r.

{ri

jlo ,

tsr[Bll+f'!oN

cEsrln DE LA SEGURTDAD DE LA iNFoRMACIN, BASADA EN LA ISoltEC zr00z

Gestin del Riesgo


according to Founciations of

lnformaiion Securi

Gestin del Riesgo:


Proceso des(F

ryryr-"

ffiW
-7

Hacia

Herramienta que clarifica

la visin

sobre euales son las amenazas ms

relevantes en el Proceso Operativo e identificar los riesgos asociados. lnclusive.


el nivel de segurdad apropiado podra ser determinando junto con las Medidas
de Seguridad correspondientes.
Thrcat nd Rikc

Anlisis del Riesgr


according to Foundations of
lnformation Securi

Objetivos

,.
2,
3.
1.

ldentifcar el valor y los bienes


Determinar amenzas y la vulnerabilidad
Para determinar el Riesgo de que lag amenazas podrian convertirse en
realidad e intemrmpan el Proceso Operativo
Determina el balance entre los costos de enfrentar algn tipo de
lncidenci y de lae Mtricas de Seguridad

ThrerE ed

GESfiONDE-TI SFGURIDAD

DE

lA INFORMACION, BASADA

PMCONSULTANT SPAIN - TODOS TOS DERECHOS RESERVADOS

Riikr

EN ISO/IEC 2740.2
orM_PMC_0036 | 2012

?H%ar,.fr,*l

fdd"@

t@ffill{froN

GESTION DE LA SEGURIDAD DE LA INFORMACION, BASADA EN LA ISO/IEC 27A02

Anlisis de CostoslBeneficios
according to Foundations of
lnformation Securi

Anlisis de Costos/Beneficios

.
.

Pertenece al Proceso de Anlisis del Riesgo

Pregunta:
Un servic.io cuesta $'t 00,000)
Las Mtricas de Seguridad para este servicio cuesta S150,00
Conclusin: Las Mtricas de Seguridad son realrnente caras

es una correcta o incorrecia conclusin?

?
t

Threat and Rieks

Tipos de Anlisis de Riesgo


according to Foundations of
Information Security

Anlisis Cuantitativo del Riesgo

.
.
.
.
-

El objetivo es caleular el Valor del Riesgo basado en el nivel de las prdidas


econmicas y la probabilidad de que una amenaa se convierta en un incidente
El Valor de cada eiemento es determinado durante todo el Proceso Operativo
Estos valores se pueden componer de los costos de las Mtricas de Seguridad, as
como del valor de la propiedad en s, incluyendo el impacto en edifisios, hardware.
software, informacin y en los negocios
El tiempo se extiende antes de que una amenaza aparezca , la eficacia de las
Mtricas de Seguridad y el Riesgo de que existe an tipo de Vulnerabilidad;
tambin son elementos que deben considerarse
Un anlisis de riesgos puramente cuantitativa es prcticamente imposible

Thrertr and Riska

GESTTON DE t-A SEGURTDAD DE t.A TNFORMACION, BASADA EN tSO/tEC


pMcoNsuLTANTSpArN -TODOS LOS DERECHOS

RESERVADOS

27042
OTM_PMC_0O36 | 2012

(@ffi[i+f'|oN

]}tHC*,ar.fre+t!..rd"@
!,ri,!'xi, i1,.)1c1ji{*f ir ?1,rr}iit I a.lrrii.':7a!'
-r

Gssrt

DE LASEGURIDAI) DE LA tNL'ORMACION, BASADA EN LA ISO/IEC 27002

Tipos de Anlisis de Riesgc


according to Foundations of
lnformation Securi

Anlisis Cuanttatvo del Riesgo


Basado en situaciones y escenarios
Las posibilidades de que una amenaza se desarrolle son examinadas bajo una
percepcin personal
El anlisis examina el Proceso Operativo. el sual se relactona con la amenaza y
las Mtricas de Seguridad que se han tomado ante la situacin
Todo esto conduce a una visin subjetiva de las posibles amenazas
Posteriomente , las Mtricas son tomadas para lograr minizar el Riesgo
El mejor resultado se consigue a travs del anlisis en una sesin de grupo. ya
que se intercambiaran ideas entre el personal. Evitando considerar el punto
de vista de una sola persona o departamento que logre dominar dicho anlisis

Threats nd Risk

Tipos de Mtricas de Seguridad


according to Foundations of
lnformation Security

Medidas Preventivas
Diseadas para prevenir lncidentes de la Seguridad
Lledidas Policiacas
Diseadas para detectar los lncidentes de la Seguridad
Medidas Represivas
Diseadas para detener las consecuencias provocadas por lncidentes

de

la

Seguridad

Medidas correctrvas
Diseadas para recuperarse de los daos causados por lncidentes de la
Seguridad

Compra de Seguro
Dirigido a comprar un seguro contra ciertos lncidentes de eguridad ya que el
costo de las Mtricas de Seguridad pueden llegar a ser muy cares.
Thrrir end Risk!

EASADA EN IO/IEC 27042


PMCONSUTTANT

SPAIN - TODOS LOS DERECHOS RESERVADOS

oTM_PMC-0O36 I 2012

rffitu[8H+froN
Gll.S'llON DI l.A 5t']{llililnAD

DI

r,A lNir(-)RM1(]l(il', llAS;\D\ triN LA

lS0/lilc:7{10;

Tipr:* ef e fuletri*as de S*gunidarl

Threat and Riaks

Tipos de Anrenara
Eil

a.:ororng ro Fcunoanons or

IlIEEl

nformatron Securilv

Amenazas Humanas
lntencionales

Pirateria . Daar la propiedad de la ccmpaa. destruir e-malls despus de


haber sido despedido sin ran e intencionalmente confirmar la acein de
eliminar con un "QK'
lngeniera Social
. Engaar a la gente voluntariamente ofrecincioles informacin confidencial:
el phishing

Arnenazas NO humanas
Tormentas
lncendios
lnundaciones
Huracanes
Tornados
Etc
Threrts d Risk

PMCONSULTANTSPAIN . TODOS LOS DERECHOS RESERVADOS

oTM_PM._0036 I 2012

l4*war^he+l!m;;gi,,ii),r'i

! r|r':,;1.:i

cesnN

@ r[BIH+''IoN

DH t,A SEGURIDAD DE LA INFoRMACICIN, BASADA EN LA

tso/trc

27002

Tipos de Dao
according to Foundations of
lnlormation Security

Dao Directo
Robo

Dao lndirecto
Una prdida en consecuencia a algo que ocurri.
E.g.: Si hay una inundacin en el centro de datos, esto evitar que el
Servicio de lT proporcione ayuda: ocasionando prdidas en el negocio,

Expeetativas de Prdida Anual {ALE)


La amplitud del dao - expresado en trminos monetarios

puede ser el

resultado de un incidente en un ao
E.g.; Un promedio de 10 computadoras por"ttiles son robados cada aa
de alguna empresa.
Expectativa de Prdida Simple
El dao causado por un nico (one-off) lncidente
Threak nd Riks

Tipos de Estrategias del Riesgo

ffi

according to Foundations of
lnformation Securi

Amortlglandoel Rlesgo
Algunos riesgos son aceptados
Mtricas de Seguridadmuy costosas
Mtricas de Seguridad superan los posibles daos
Mtricas de Seguridad que se toman son por naturaleza represvas

Riesgo Neutral
Los resultados de las Mtricas de Seguridad son aceptadas
La amenaa ya no re produce
El dao ee reduce al mnimo
Mtricas de Seguridad adoptadas aon una combinacin de Prevencin. Deteccon y

Represin

Evtando elFiesgo
LE Mtricas de Seguridad adoptadas son tales que Ia amenaza se neutraliza hasta el punto
en que eta que se convieda en un incidente.
Por ejemplo La instalacin de un nuevo software logra gue los errores en el software
ango dejen de ser una anren6a.

Thris fld

Rirkr

02
PMCONSUTTANTSPAIN . TODOS tOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

?H,m,,kt

[tH?+''|oN

GESTION DE LA SEGURIDAD DE LA INFORMACION, BASADA EN LA ]SO/IEC 27AO2

Soluciones de los Riesgos de la $eguridad


Polbles soluclonee lneluidas dentro del tratamlento de Rlesgo:

a)
b)

c)
d)
e)

Aplicando las reglas apropiadas para la reduccin del Riesgo


Acepiando de manera objetiva y a sabiendas el Riesgo. otorgando as una
clara salisfaccin
Poltica de Organizacin y criterios de aceptacin del Riesgo
Evitando gue el riesgo se desarrolle y pueda provocar an dao
Transfiriendo a terceros Riesgos asociados, por ejemplo, aseguradores
y/o proveedores.

;,
- ''"tnrttll
I
l,lr-ttXlt_'l*

I
I

-r
Threats and RiskE

oluciones de los Riesgs de la Seguridad


Las reglas deben aaegurar que los Riesgos se reduzcan a un nivel
acaptable, teniendo an cuenta:
a) Limitaciones y Requisitos de
reglamentos
b) Obietivos de la organizacin

la legislacin nacional e internacional y sus

c) Limitaciones y Requisitos Operativos


d) El costo de operacin e implementacin en relacin a los riesgos que han
sido reducidos. y que permanece proporcional a las necesidades de la
arganizacin y sus limilaciones;
e) La necesidad de equilibrar la inversin en la operacin e implementacin del
control en contra de los daos que se originen de los fallos de seguridad

- - t a.tt t
lrr

,F

,,.- t

r
a _\r'1Jrl";'_,.

Thrertr and Ri3kr

GESTION DE

SECURIDAD DE LA INFORMACION, BASADA EN ISO/IEC Z7OO2

PMCONSUTTANTSPAIN . TODOS tOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

'_P49*ar.tte+t

fdd.o

!:rr1,r;;t

1r,:.-,j:r./

cnsltw

@gxffiH++*oN

DE LA SEGURIDAD DE LA INF'oRMAClru,

gsoA EN LA ISo/tEC 27alz

.Qu hemos aprendido?


according to Foundations of
infonnation Security

Trminos
Amenazas
Riesgos

.
.
.
.
.

Mtricas de Seguridad
Anlisis del Riesgo
Evaluacin del Riesgo
Tipos de Anlisis del Riesgo
Los diferentes tipos de amenazas y cmo tratar con ellos
Diferentes tipos de dao
Las Estrategias de Riesgo con las gue contamos
Las Mtricas de la Seguridad que se pueden implementar

lnformatio ad !curity

Misin
i

Cules son

las principales amenazas hacia la

lnformation and SGcurity

ffi]DAD

DE I.A INFORMACION, BASADA EN SO/IEC 27OO2

PMCONSUTTANT 5PAIN - TODOS LOS DERECHO5 RESERVADOS

orM_PMC_0036 | 2012

?H(br"h*lF,;*lo
l,:',.t

',\t:

'i;.-,.r,

@[B[i++'roN

i:ir.rrt.,:. f. rr:r rd;rr.

cgsltN

DE

lA sEcLIRIDAD

DE LA INFoRMACIN, BRSAuA EN LA ISo/lEC 2700'2

Asignacin
.

Categoras a las que estas amenazas pertenecen:

i 1. Amenaza Humana

l
I

lntencional
Sin lntencin
,2. lngenierfa Social
I 3. Amenazas No-Humanas

tci

_i
r/trii ;fqa.

"tkto
i tfr,.

d
lnfrmaton and

ecur

lnformation Security Foundation


based on ISO/IEC 27002
Organizacin y Enfoque

PMCONSULTANTSPAIN . TODOS TOS DERECHOS RESERVADOS

oTM_PMC_0036 I 2012

-!H9"xar.he+lW@

@[BlilflroN
cr:sTrN DE LA SEGLIRIDAD DE LA tNF.oRMACttr, nASRDA EN LA iSo/lEC ?7002

Poltica de eguridad de la lnformacin


Objetivos:

Froporcionar orientacin y apoyo a la Gesn de Seguridad de la


lnfomacin de acuerdo a los requerimientoe, reglamentos y leyes
del negocio.
La gerencia debe establecer una direccin de politica clara que se
relacione con los obietivos del negocio y demostrar su compromiso
y apoyo con la Seguridad de la lnformacin. Todo esto a travs del

mantenimiento y emisin de la Politica de eguridad


lnformacin estblecida en la organizacin.

r,1,-:i"F

de

la

-1,+rr1li;'- ,r
Approach and Organization

Foltica de eguridad de la lnfeirmacin


Contenido:
a) Una definicin de Ia Seguridad de la lnformacin. objetivos generales y el

alcance de los mismos: y la importancia de la Seguridad en cuanto a la


manera de rntercambio de la informacin
b) Una declaracin de la administracin, el apoyo de principios y obietivos de
la Seguridad de la lnformacin, la cual se relacione con la estrategia y
objetivos delnegocio
c) Un marco para el establecimiento de objetivos de control y controles,
incluyendo la estruclura de la Evaluacin de Riesgos y Gestin de Riesgos

i: I ll t

:31
I

L ;r,1'['il',tl

-r
Approch and Organiztion

GESTION DE

lA SEGURIDAD

DE l.A INFORMACION, BASADA EN lsO/lEC ZTOAZ

PMCONSUTTANT SPAIN . TODOS LOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

?ti&r4.,rr,hr*l *rid.@
8:rier, llfqnulem{at & &.tr$log}' {ol}rJld4{r-

l[BH++'roN

GESTIN DE LA SEGURIDAD DE LA INFORMACIN, BASANA EN LA ISO/IEC 27002

Poltica de Seguridad de la lnformacin


Contenido:
d) Una breve explicacin de las pollicas de seguridad, los principios, las normas y los
requisilos de eumplimiento gue son mportantes para b organizacin, incluyendo:
Cumplimiento de los requisitos legales, reglamentarios y contractuales
Seguridad de formacin, educacin y sensibilizacin requisitos
Gestin de Continuidad del Negocio
Las consecuencas de violar la Poltica de Seguridad de la lnformacin
e) Una definicin de las responsabilidades espcificas y generales para la Gestin de
Seguridad de la lnformacin, ineluyendo los informes de los lncidentes de Seguridad
de la lnformapin

Referencias de la documentacin, la cual apoya la Poltica Por ejemplo,


Procedimientos y Polticas de Seguridad ms detallados para Sstemas de
lnfomacin especficos o Normas de Seguridad que los usuarios deben cumplir .

f)

tl
r- l\('l -.-.i,,
L jrEr["I"]-

Approtch and Orgrnization

Poltica de Seguridad de la lnformacin

,-

rlii t-:"i I.l

t;r'1rt''J"L

Approreh rnd Orgrizrlion

EnErDIi{EGt
PMCONSUTTANT

RIDAD DE

lA INFOMACION, BASADA

SPAI N . TODOS TOS DERECHO RESERVADOS

EN I5O/IEC 27oo2
orM_PMC_0O36 | 2012

!He*a.h*a*h@
ri,t ,i'.

, lii'

?rirrjlr,

1 1-,r!.r41,.,.r'

(@ [$il++'roN

: r:,:' )i:.;ri:.

GESTI0N Dts LA SEGL]RIDAD DE LA tNFORMAC|ON, BASADA EN LA rSO/rEC 27002

Poltica de eguridad de la lnformacin


according to Foundations of
lnformation Securi

A travs de una Poltica para la Seguridad da la lnformacin, la administracin


proporciona apoyo y orientacin a la organizacin
Esta politca debe ser redactada de acuerdo con los requerimientos necesarios
del negocio, asi como la legislacin y las reglamentaciones
La politica de Saguridad de la lnformacin debe ser aprobada por el Consejo
de Administracin. Y publieada tanto para el personal como para los
colaboradores oxtarnos, asi como proveadoras y clientes,
Polica de Publicidad
Crear una versin resumida de la politica gue propone los puntos principales.
Esta puede ser en forma de un volante emitido a todo el personal y se incluye
como parte de la introduccin el nuevo personal.
La versin completa se puede publicar en la intranet de la empresa o en algn
otro lugar al que el personal pueda acceder fcilmenie.

Approach and Organization

Poltica de eguridad de la Informacin


according to Foundaons of
lnformation Security

Contenido:
Regulaciones

Una regulacin es ms detallada que un documento de polftica.


Procedimientos
Describe en detalle cmo deben desarrollarse las medidas, ya que a veces
pueden incluir las instrucciones de trabajo.

Directrices
Proporcionar orientacin:
Describir que aspectos deben ser examinados con los puntos de seguridad
correspondientes
Las directrices no son obligatorias. pero son de carcterconsultivo.
Normas
Por ejemplo: las normas establecidas en determinadas plataformas.
Approach d Organization

GESTION DE t-A SEGURIDAD DE

tA INFORMACION, BASADA

PMCONSULTANT SPAIN - TODOS lOS DERECHOS RESERVADOS

EN ISO/IEC 27OO2
orM_PMC_0036 | 2012

;P4%*,ar.fu*l Sfr*,@
..J ",.. i..it I irrr

ir.irii

',,

@lBfir+f'|oN

ctts't'f oN DE l-A SEGITR1DAD DE LA tNFtIRMACION, BASADA EN LA

ts0/ttic

2701)7.

Paltica de Seguridad de la Informacin


according to

lTlLVersion 3

El objetivo general de la Seguridad lT es "Equilibrar Ia prolundidad de la


Seguridad", mediante controles ajustable los cuales garantieen que se
cumpla la Politica de Saguridad de la lnformacin y continen los Servicios
lT dentro de los parmetros de eguridad (e* decir, Confidencialidad,
lntegridad y Disponibilidad)) lo que permitir su continua operacin,

Para muchas organizaciones, el enfoque adoptado por La Politica de


eguridad de la lnformacin penenece y es mantenida gracias a la Gestin
de Seguridad de la lnformacin,
Cuando ss ejecuta la Politica de la Seguridad, la Gestin de disponibilidad
iuega un papel importarte n el funcionamianto de los nuevos Servicios lT.

Approach and Organization

PCIltica de eguridad de la Informacin


accordrng to
iTIL@Version 3

El proceso de Gestin de Seguridad de la lnformacin (!SM) deber enfocarse en


los problemas relacionados con la Seguridad lT. Asi eomo, debe asegurarse de
que la Politica de Seguridad de la lnformacin se desarrolle, mantenga y refuerce
todo los $ervicios y Sistemas lT.

(lSM comprende la eguridad del Entorno del Hegocio e IT, incluyendo:


Los proyectos y la Poltica de Seguridad del Negocio
Requerimientos de Seguridad y Operacin del negocio actual
Requerimientos y planes futuros de negocio
Requisito Legales
Responsabilidades y Obligaciones con respecto a la Seguridad contenida en "La
Gestin de los Riesgo lT y del Negocio"

Approch ed OrEaizaon

PMCONSUTTANT SPAN . TODOS LOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

;PH9*,ar^fu*ttrr^^o

t@gr[BH{flroN

CESTIT. DE LA SEGURIDAD DE LA INFORMACII', N.qSADA EN LA ISO/IEC 27OO'2

Poltica de eguridad de la lnformacin


according to

lTlL@Version 3

La Politica de eguridad de la lnformacin consiete en :


Una Poliica de Seguridad global de la lnformacin
Uso y abuso de la Poltica de Activos lT
Una polltica de conlrol de acceso
Una Poltica de control de las contraseas
Una poltica de e-mail
Una poltca de lnternet
Una politica anti-virus
Una poltica de clasificacin de la informacin
Una poltica de clasificacin de documentos
Una directiva de accesoremoto
Una politica respecto al acceso de componentes, informacin y servicios lT por
parte def proveedor
Una poltica negociacin de activos

Approach and Organization

Organizacin de Seguridad de la lnformacin


Objetivos Internos de la Organizacin

.
.
.

Manejar la Seguridad de la lnformacin dentro de la compaia


Eslablecer un marco de gesfin que eslablezca el control e inico de implementacin
en cuanto a la Seguridad de la Informacin dentro de la compaia

La Gestin deber aprobar la Politica de Seguridad de ta lnforrnacin, asiEnar

coordenadas y roles de Seguridad; y verificar la implementacin de la misrna a travs

.
.

de la compaa
En caso de ser necesario. el consejo de una fuente especializada en la Seguridad de
la lnformaein deber establecer algn tipo de disponibilidad dentro de la compaia
Contactos o grupos especializados en Seguridad extema , incluyendo las autoridades
pertinentes. Estas se debern mantener al da con las tendencias industriales,
supervisar las normas y mlodos de evaluacin. Tambin debern otorgar puntos de

enlace que se encarguen del manejo adecuado de la lncidencias de Seguridad de la


lnformacin

I
I

. Mantener un enfoque multidiciptinario gue mejore la Seguridad de la lnformacin


1
- - --i,,1 I
lrllt
.,, ,1rl
J
-lt':'-: ' -

Approach tnd Orgnzeton

PMCONSUTTANTSPAIN - TODOS tOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

P4?m**h**tfd"o
!5i j

jrp, !

:.ri::ar

rirr(p,,a

7ia

.r.ii1+

1 11,,. jrrif

cgsl

(@ffifii+f'|oN

.y,,

DE LA SEGURTDAD DE LA INFoRMACTI',

gasAoA EN LA ISo/rEC zT0oZ

Organizacin de eguridad de la lnformacin


Objevos Extemos de la Organizacin

Mantener la Seguridad de la lnformacin de la compaa y las instalaciones del proceso

de informacin; las cuales son: gestionar. comunicar, procesar

y acceder mediante

terceros.

Las instalaciones del proceso de la informacin y la Seguridad de la lnformacin de la


compaia no debern ser reducidas por la introduccin de Producl.os o Servicios
externos.

Deber ser controlado cualquier tipo de acceso po terceros a las instalaciones de


informacin. proceso o comunicacin de la informacin de la compaa.

Donde exista un negocio de trabajo con personas extemas cabe la posibilidad que
necesiten tener acceso a la informacin de la organizacin y las instalaciones de
procesamiento de informacin para obtener o proporcionar un producto y servicio
introducido por la parte externa. Por est razn. se realiza una evaluacin del riesgo. la
cual se lleva a cabo con la intencin de determinar los requerimientos de control e
implicacin para una mejor seguridad.
Las reglas debern ser definidas y agregadas en el acuerdo que se realice con terceros.

l\'rr!1..,,,,.
r--1-aF.l
-lt';'-J;-r

I
Approach and Organization

Organizacin de eguridad de la lnformacin


C

ontenido lnterno de l Organizacin:

.Compromisode Gesn de la Seguri&d de la lnformacin


La Geslin deber apoyar de manera activa la eguridad dentro de la cornpaa a trava de

una clam direcein, demostrando compromiso, asnacin explcita y proporcionando el


reconocimiento de las rasponsabilidadesde Seguridad de la lnformacin.
. Coordfiacin de egurid0d de la lnformacn
Las actividades de Seguridad de la {nformaci debern ser coordinadas por representantes
de lag diferentes reas de la compaia, los cuales deearrollen roles y funciones
relacionadas.
. Asignacin de las Responsattildades de geguridad de Ia

lnformacin
Todas las responsabilidades eferentes a la Seguridad de la lnfumacirn deben estar

clramente definidas.

'

Autoriacn de, proceso de instalaciofi de la nformacion


Para el proceso de instalacin de un nueva informacin se deber implen*ntar y definir
una Autorizacin de Gestin de Proceso

1
- f-it t a.-.1',:
1l t,. "
I
,,,.,- r
L _-1,I":'- -

Approrch nd Orgrnization

GFST|oN DE t.A SEGURTDAD DE l-A INFORMACION, BASADA EN tSO/lEC 27OO2


PMCONSUTTANTSPAIN . TODOS tOS DERECHOS RESERVADO5

oTM_PMC_O036 I 2012

-PHC*ue*X

fM,a+.@

@ul[B[?+]'roN

GES]'ION DE LA SEGTJRIDAD DE t,A INFORMACION, BASADA EN LA ISO/IEC 27002

Organizacin de eguridad de la lnformacin


Contenido lnterno de la Organizacin:
. Acuerdos de Confdencialdad
Los requisistos de los Acuerdos de Confidencialidad o No ivulgacin reltejan la
necesidad de la compaa por proteger la informacin. Estos deben ser revisados e
identiflcados con regularidad

. Conlacto con Autorldadeg


Las relaciones con personas que poseen algn tipo de autoridad o posicin imFortante
deben ser matenidas a largo plazo.
. Contacto con Grupos de lnterB Especlal
Las posibles relaciones con las personas que conforman grupos de inters especial,
foros especializados en seguridad y/o asociaciones profesionales tambin debe ser
mantenidas.

. Revlsln independiente de Seguridad de la lnformacin


La implementacin y Gestin de Seguridad de la lnformacin es el enfoque de la
organizacin. Por ello, debe ser revisada independientemente de los intervalos
planificados, o de algn cambio signifieativo que ocurra durante la implementacin de
Seguridad.

Ejemplo; objetivos de control, controles policiales. procesot, y procadimisntos de la


Seouridad de lnformacin

I l\tlr
;;l';";';"-

"

Approachandorganieation

Organizacin de eguridad de la lnformacin

ffi

according to Foundations of
lnlormation Security

Contenido:
. Una organizacin no puede sobrevivir sin una efectva Seguridad de la

.
.
.
.
.

lnformacin

Dentro de la organizacin se debe aceplar esto, por lo que el Consejo de


Administracin y Gestin debe ser uno de los primeros en estar de acuerdo
dando el ejemplo.
Solamente cuando la gerencia apoya su propia poltica. los empleados
toman en serio la Seguridad de la lnformacin y as trabajan bajo las reglas
para cumplir con las medidas acordadas.

Seguridad de la lnformacin es un proceso en

el que muchas

personas

estn involucradas.
El proceso debe ser conlrolado eficazmente
Si no existe una gestin o responsabilidades, la Seguridad de la lnformacin
no ser efecliva dentro de la organizacion.
Approch d Orgaization

GESTON DE

SEGURIDAD DE LA INFORMACION, BASADA EN ISO/EC 27OO2

pMcoNSutTANTSPAtN -TODOS tO DERECHOS

RESERVADOS

OTM PMC 0036 | 2012

fiv,le.

^PH{ba*fu,+l
tS

ia.):ritit

'.

11,,,-,it4r.

@t+lflH{flroN

DE t,A sEGURtDAD tJE LA tNFoRMactrv, BASADA EN LA rSO/rEC 27402

cEstrN

Organizacin de eguridad de la lnformacin


according to
Foundations of lnformation

ecuri

Contonido

"
.

La manera en que la Seguridad de la lnformacin se administra depende del


tamao y la naturaleza de la organizacin
En las organizaciones pequeas, la Seguridad de la lnformacin puede ser
responsabilidad de un grupo de personas

. Un trabajador

independiente

que no cuenta con empleados se

hace

responsable de todos los aspectos de lT incluyendo la Seguridad.

. En cambio. en
.

organizaciones grandes habr personal

cuya

nica

responsabilidad podra ser solo un aspecto de la Seguridad de la lnformacin


En el proceso de Seguridad de la lnfsrmacin. la consulta peridica debe
tener lugar entre todos los que tienen la responsabilidad primaria.

Approach and Organization

Organizacin de Seguridad de la lnformacin


according to Foundations of

lnfornation Secur

Contenldo:
Asimismo. los agentes de encargados de la Seguridad de la Informacin.
pueden ser el personal responsable de la implementacin de las medidas.
Normalmente son personas que trabajan en el rea de Recursos Humanos.
lnformacin. Finanzas. Contabilidad o departamentos de alojamiento

Approrch id Orgniz.ton

PMCONSUTTANT

SPAIN . TODOS

tos

DERECHOS RESERVADOS

oTM_PMC_0036 I 2012

_Pll0"r,u,h*l i"ao

t@l[BH+f'|oN

GES'ilON DE LA SEGLTRTDAD DE LA INFORkIACION, BASADA EN LA iSO/lEC 27002

Cdigo de Conducta
Un cdigo de conducta puede ser utilizado para cubrir el nivel de responsabilidad
del empleado, contratista o tercero con respecto a la eonfidencialidad, proteccin

de datos. la tica, el uso adecuado de los equipos y desarrollo correcto

de

instalaciones de la empresa. Todo esto. de acuerdo como la organizacin espera


que se realicen las buenas prcticas.

Los usuarios tanto el contratista como terceros debern estar asociados a una
organizacin exlerna, la cual a su vez pueda ser obligada a entrar en arreglos
contracluales en nombre del contrato individual

iL

1:1r

ll

n!rr,.

-l;,t'

1
I

',

iiii
Approach and Organization

Cdigo de Conducta

according to Foundations of
lnformation Security

. El ftlanual del Empleado debe contener el Cdigo de Conducta y las sanciones


que se imponen on caso de incumplimiento; asi como si da osto resultado curgan
lncidentes de Seguridad
. El Cdigo de Conducta contiene:
Los correos electrnicos personales no estn permitidos

Losregistrosde empleadospuedencontener

informacincomoel perfil del puesto,el contrato

de trabajo y diversos acuerdos firmados


Para el uso del coneo electrnieo se debe comprendery cumplircon la legislacin (por
ejemplo. en el mbito de proteccin de dat6s y delitos informticos). aseomo cumplir con el
acuerdo de o Divulgacin
Dicha campaa se encarga de mantener al tanto a los empleados acerca de las Amenazas de
Seguridad como malware. el phishing y el spam
Cada tercera parte se encargar de cumplir con los reqursrios de Seguridad de la lnformacin

Est permitido usar eltelfono. al correo elactrnico e lntrnet para fines personales, siempre y
cuando no afecte el desanollo dei trabajo, la descarga de msica, pelculas y softvuare y visitar
sitios de orientacin sexual estn expresamenie prohibidas
Approoch and Organizato

PMCONSUTTANTSPAIN - TODOS LOS DERECHOS RESERVADOS

orM-PMC_0036 | 2012

^P4?m**h*l
liilrrffi

d.r-o

ld :,raar.

'.1:,te?1.,i

@llBfii+flroN

I i-rrl'.1a,r, l

cEsrtt

DE LA SEGURIDAD DE LA INFoRMACtN,

tresApA EN LA lso/tnc 21002

Propietario
.

La politica de Seguridad de la lnformacin debera tener un propietario que se

haga cargo de la gestion de responsabilidades para el desanollo, revisin y


evaluacin de las Polfticas de la Seguridad.
Los requerimrentos para la condifencialtdad o los Acuerdos de No Divulgacin
deben abordar la propiedad de la informacin, los secretos comerciales y la
propiedad inteleclual, y cmo es que se relacionan con la proteccin de la
informacin confidencial.
Tcdos los activos deben contabilizarse y por consiguiente tener propietarios.

.
. El propietaro de los activos es el responsable de la proteccin,

la

implementacin y el mantenimiento de controles adecuados diariamente.

. La implementacin de controles
propietario segn

especfficos podr ser delegada por el

el caso, pero ste continua siendo responsable de

la

proteccin adecuada de los activos

-*-?1
t '".1t I
f il'rr
t.-'r1'rlli
:
.-

Approach and Organization

Propietari0
.

La clasicacin de la informacin y propiedad debe ser documentada y


acordada para cada activo.
Toda la informacin y los activos asociados con las instalaciones del

procesamiento

de

informacin deben

ser propiedad de un

grupo

designado por la organizacin.


Los propietarlos de activos deben responsabilizarse por:

Asegurar que

instalaciones

la informacin y los acvos asociados con las


de procesamiento de la informacin estn

adecuadamente clasificados.

Definir

revisar peridicamente

las

restricciones

de acceso

clasificaciones, teniendo en cuenta las politicas aplicables de control


de acceso

l"

-"i,r

r* r ll (

," '

L -'r'.:'':''-'- '

Approch rnd OrErniz.on

GESTTON DE

lA

SEGURTDAD DE

tA INFORMAC|ON, BASADA

PMCONSUTTANT SPAIN - TODOS TOS DERECHOS RESERVADOS

EN lsO/tEC Z7AO2
oTM_PMC_0036 I 2012

^Pl"lb*tfulSf&@
DI

c;rs'ruru

@fu[Blil+'roN

r,A sEG(]RIDAD i)E l,A tNFoRMACtri,

nnsnnA

HN

lA

ISo/1EC 270a2

Propietario
'

La propiedad puede ser asignada a:


Un proceso de negocio
Un conjunto definido de aclividades
Una aplicacin
Un conjunto definido de dalos

Debe ser la responsabilidad de los propietarios de activos definir la


clasificacin, asi como revisar peridicarnente los mismos, y
asegurarse de que se mantienen aetualizados y en el nivel adecuado.
La clasificaein debe tomar en cuenta el efecto de agregacin.

fil'r'l-*-T1
':'-. I
L *"-

- r

Approah nd Organization

Propietario
accordg to Foundations ol
lnformation Security

.
.
.

Los activos comerciales deben clasificarse en orden ya gue de esta maera


se establecen niveles da seguridad para Estoa. Esto Bs rasponsabilidad dol
propietario,
Cada activo que un propietario adguiera deber ser registrado
La informacin que se rogastra sobre el acvo de la empresa es:
El iipo de activo empresarial
Propietario
Ubicacin
Formato

Clasificacin
Valor para el negocio
El propietario es el responeable del Proceso de un Negocio, sub-proceso o
actividad de la empresa. Asimismo, 6s oncarga de todo con respecto a la
Empreea de Activos, incluyendo la Gestin de activos de seguridad, la
produccin y el desarrollo
Approach snd Orgaization

PMCoNSULTANTSPAIN -TODOS LOS DERECHOS

RESERVADOS

oTM PMC 0036 | 2012

Fl"t9"*ue*

ft,;olg^

crsrtru

@L[[Bfil+y'|oN

DE LA sEGLIRIDAD DE LA INFoRMACII', gASADA EN LA

ISo/lEC 27002

Prapietario
according to Foundaons of
lnformation Securi

.El propietario es la persona que est a trargo de un activo empresarial. Una


carpeta en la red puede, por ejemplo, tener un propaetario. Si alguien desea tener
acceso a esa carpeta, el propietario tendria que autorizarlos
. Con los ordenadores porttiles, el usuario suele sar registrado como el
propietario, El propietario de un bien de la empresa asigna la clasificacin
apropiada de acuerdo a una lista acordada .
.La clasfcacin:

lndica

el

nivel de seguridad necesario. Esto se determina en parte por

la

sensibilidad, el valor. los requisitos legales y importancia para la organizacin


Es de acuerdo a la manera en la que se utiliza el activo empresarial en el negocio.
El propietario del activo de la empresa debe asegurarse que se reclasifique de ser
necesario
Solo puede ser bajado por el Propietario
Si un activo tisn6 una clasificacin, se le asigna una marca o etiqota. Esto se
puede colocar lfEicamente y visiblemante
Approach and Organization

Prnpietario
according to Foundations of
lnformation Security

Los propietarios determinan quien tans accoso a los activos empresariales


La clasifieacin de un activo empresarial tambin determina como puede
ser almacenadas f sicamente
El titular de los datos, por lo general un gerente, es la persona gue autoriza
e! acceso durante el proceso de autorizacin, Esta puede ser procesada

automticamente

por el software, o puede aer otorgado por

el

administrador del sistema / aplieacin

Approch end Orgizaton

BAADA EN IO/IEC 27oO2


PMCONSULTANT SPAIN . TODOS TOS DERECHOS RESERVADOS

oTM_PMC-0036 | 2012

^P4bqr"h*tSFb@

INFORMATION
SECURITY

cusrtir ilE t.A SFTGLIRIDAD

DE LA tNFoRMACtoN, BASADA EN LA ISo/tEC 27002

Responsabilidades y Roles
.
.

Loe roles y responsabilidades de seguridad de los empleados, ontrat$tas y


usuarios de terceras partes deben ser definidos y documentados de aeuerdo
con la Politica de eguridad de la lnformacin de la Organizacin
Los roles y responsabitldades de seguridad deben incluir la obligacin de:
lmplementar y actuar de acuerdo a la Politica de Seguridad de la lnformacin de la
Organizacin

Proteger los activos

de accesos no autorizados. modificacin, destruccin

inlerferencia

IL

Ejecutar los procesos particulares de seguridad o actividades


Garantizar la responsabilidad que es asignada al indivrduo por acciones tomadas
Notificar los eventos de seguridad o eventos potenciales u otros que sea un riesgo
de seguridad para la organizacin

Los roles y responsabilidades de seguridad deben estar claramente definidos y


comunicados a los candidatos durante el proceso da pre-empleo

:1
I
-turt*;i;'i!

Irr 1 !l

Approach and 0rganization

m
Roles

according to Foundations of
lnformation Security

Ls firncooes de se$ridad (b nformacio pueden vsar Gn el tErlo gue ss le da, pero


ms o menos se reduccn a lo siguiente:
El Ofhial de lnlrm*in Jefe de Squridad (CISO) se encuBntra en el ms alto nivel de
gestin da la organizacin y desanolla la estratagia general para toda la empresa
El Ofbial de Seguridad de la lnformacin {lSO) desanolla la poltica & unE unidad de negocio,
basado en la poltica de la empri)sa y asegura la observacin de la migma

El Gerenie de Seguridad de la lnfomacbn (lSM) desanolla la polltica de seguridad de

la

informacin dentro de la organzacin de lT y asegura que 6sto s6a observado

Adems de estas funcones que estn especfficanrene orientados a seguridd de la


inlormacin, la organizacin puede tener una polca de seguridad de la inermackin olicial o
un Oficial de Proteccin da Datos

Approch and Organiztio

PMCONSULTANTSPAIN . TODOS LOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

- P4?aur^he+t fr,b@
crst'lril

INFORMATION
SECURITY

DE LA SEGURID\D DE t,A tNFoRMACIN, BASADA EN LA ISC)/IEC zzt)?

m
Roles

6ecordng to

lTlL@Version 3

El Gerente de Seguridad
El Gerente de Seguridad es el responsible de gue se cumpian los objetivos de Seguridad
de la lnformacin
La administracin se encarga:
Desarrollo y mantenimrento de Ia Poltica de Seguridad de la lnformacin

"
.
.
'
.
'
'
'

Comunicacin y difusin de la Poltica de Seguridad de la lnformacin


Garantizar el cumplimierdoy respetodela Poiticade Seguridaddela Informacin
ldentificacin y clasificacin lT de la informacin de actvos en niveles de proteccin y

ccntrol requeridos.
AsesoramientoconAnlsis de lmpactodelNegocio
Realiacin de Anlisra de Riesgo de Seguridad y Gestin del Riesgo
Diseno de Controles de Segurdad y desanollo de planes de seguridad
Desanollo y documentacin de procedimientos operativos y mantenimienlo Ce
controles de seguridad
Monitoreo y gestonamiento de cualquier trpo de violacin de seguridad, asi como el
manejo de incidencias
Approach and Organizalion

Roles

ffm

aceording to

lTlL8Version

El Gerente de Seguridad es responsible

de

lcontinuacinl:

. Reportar, anallzar y reducir el impacto y volmen de los incidentes de seguridad


, Promoveria educacin y concientizacin de la seguridad
, Mantener un conlunto de controles de seguridad y documentos: y verificar y auditar
constantm6nte los procedimientos y controles de seguridad
' Asegurar que lodos los cambios son evaluados ante u posible impacto en los aspectos
de seguridad, incluyendo la Poltica de Seguridad de la lnformacin y los controles de
seguridad. Ascomo. cumplir con las asistencias a las reuniones de CAB cuando sea
apropiacio

. Realizacin de exmenes de seguridad


" Partic ipar en las revisiones de seguridad darivadas de las infracciones de seguridad y
desarroliar acc iones c orrectas
. Garanliar que la confidencialidad, intagridad y disponibilidad de los servicios se
mantienen en los niveles requeridosy que s cumplan todos los requisistos legales
solicitados en SLAs
. Asegurar que el acceso a los servicios por los socios extemos y proveedoresest suje[a
a acuerdos contractuales y bajo oertas responsabrirdades
. Actur comopunto principal para cualquier siluacin relacionada con la seguridad
Approach rnd 0rgnzation

GESTION DE l.A SEGURIDAD DE LA INFORMACION, BASADA EN lsO/lEC 27OO2


PMCONSUTTANT SPAIN - TODOS tOS DERECHOS

RESERVADOS

OTM-PMC-0036 | 2012

7?HCo*&ff,tu"o

@r[i[?{+'roN

gu\to\\ Moflogenrrt & fr(nolory Cdil5ullorfrt

cesuru

DE LA SEGURIDAD DE LA INFoRMACtru,

gaseoA EN LA ISo/lEC 27002

lncidentes de Seguridad de la lnformacin

frar,ii 1-:" I

slyrtr!-il- r
Aproach and Orgtrizaton

Gestin de lncidentes de eguridad de la lnformacin


Objetivoe:

.
.

Para garantizar que los eventos de la Seguridad de la lnformacin y debilidades


se asocien con los Sbtemas de lnformaein deben comunicarse oportunamente
para gue pueda tomarse las medidas correctas
Et reporte se crea de un acontecimiento; y el procedimiento de escala debe estar
en posicin

. Iodos los empleados, contratistas y usuarios deben

ser conscientes de los


procedimientos de notificacin de los diferentes tipos de eventos y la
debilidades que puedan tener impacto en la seguridad de los activos de la
organizacin.

Ellos deberan estar oblgados a reporlaf cualquier evento de seguridad


informtica y las debilidades tan pronto como sea posible al punto de contaclo
designado.
tr

'-tl'it-t"E
' jr5''I"L ,
Apprlch ind rgftlzdion

PMCONSUTTANT SPAIN . TODOS TOS DERECHO RESERVADOS

orM_PMc_0036 | 2012

iu*r,"ror*rro,.@

@ffiH{flroN

5,trr!., , li.Jrii3cr,a ).. irrlirl{} Li,rrrile^i i

crs'rrN

DE LA SEGURIDAD DE LA TNFoRMACIrv, nAsAnA EN LA ISo/rEC

zlooz

Ejemplo: lncidentes de eguridad


.
.
.
.
'
.
.
.

La prdida del servicio, equipo o instalaciones

Mal funcionamiento delsistema o sobrecargas


Los errores humanos
Los incumplimientoscon las polticas o directrices
Las infracciones de las medidas de seguridad fsicas
Cambios no controlados delsistema
Elmalfuncionamiento de software o hardware
Violaciones de acceso

-t*'r'
i-rrll i
I
..r"u;1!'i; ,r
Approarh and Organization

Reportes de Incidentes de Seguridad


acc ording to Foundations

of

lnformation Seeuri

Un informe de lncidentes debe reportar como minimo estos datos:


Fecha y hora
Nombre de la persona que reporta
Lugar (donde se encuentra el incidente?)
Cul es el problema? (Descripcin de los hechos: incidente de virus, robo,
robo, prdida de datos. etc)
Cul es el efecto del neidente?
Cmo lo descubri?

Y, si es posible, las siguientes reas:


Tipo de sistema (escritorio, impresoras, servidor, servidor de correo. etc)
Sistema de nmero / nombre de sistema (si existe)
Quin ms lo inform?
Approach.nd Organization

GESMODrI-A SEGT'RDAD

DE

IA INFORMACION, BASADA

PMCONSULTANT SPAIN . TODOS tOS DERECHOS RESERVADOS

EN ISO/IEC

27042
oTM-PMC_0036 | 2012

(@ [fl[l{+'oN

]H9m+r.fuatSf&@

GESTTON DE LA SEGLjRIDAD DE LA tNF'ORMACION, BASADA EN LA ISO/IEC 27AA2

Consee uencias de NO- Reportar lncidencias


according to Foundations of
lnformation Securily

El personal, personal temporal y usuarios externos deben ser conscientes

de los procedimientos de notificacin referentes a cualquier tipo de


incidente y debilidades. la cual podra influenciar en la fiabilidad de la

.
.

informacin y la seguridad de los activos de la empresa

Ellos deberian estar obligados

reportar lodos los incidentes

las

deficiencias lo ms rpidamente posible a la Recepcin de ervicio o una


persona de contacto.
Hay dos asuntos de suma importancia que deben ser aclarados por ia
Administracin:

lnformes de incidentes de seguridad es principalmente una forma de


aprender de ellos con la finatidad de evitar que incidentes similares
vuelva a ocurrir.

Repoftar un incidente no pretende ser una forma de castigar al autor


por ello.

Approach and Organiation

Consecuencias de No Reportar las lncidencias


according to Foundations of
lnformaon Securi

Sin embargo. si un empleado tiene la intencin de sabotear el istema de


lnformacin, vender informacin o causar dao, ella o l tendran que ser
reportados a la polica
Es importanle que la gente no tenga miedo de denunciar an tipo de incidente
solo por temor a la respuesta del rea de Administracin o no querer ser visto
como un delatador.
lnclusive. el proceso debe asegurar que la percona inform sobre el lncidente
con la Seguridad de la lnformacin sea informado acerca de las consecuencias
y/o resuhados

Apprleh and Orgnzafi on

GESTTON DE

tA SEGURIDAD

DE

lA INFORMACION, BASADA

PMCONSULTAIT SPAIN - TODOS LOS DERECHOS RESERVADOS

EN ISO/IEC 27OO2
oTM_PMC_0036 | 2012

INFORMATION
ECURITY

FMC"r"r^h*aW@

accialing 1c
lTrL,.F Ver,rcr 2

alC

,,.f#*.
',,{;ffi;+l

Fropiedad,
Monitoreo,
Flastreo

Comunicacin

pprcach and Organiiation

Apoyo/lnformar
Escala Jerarquica

lrrr:i

,it&]:in+|!t

l: :ii.rr.:.::r: :,:

"}:

.itn'l:t

irtrl

conocimiento I Escala tunconal

Approch and rEanizatian

FMCNSI,}ITANT

5PAlt TOS5

LOS DE{sEC''iSS ESTRVADTJs

$TM PMe

03s I 20X2

,&
'*#

?Ptfu-.he* *rid-@
i; rs't'

iiit

l. 1,.'\ Hi.li

r*r:*s*

H"I

li\il il ii l,1 t l\i il il li l,i A{l

t-

N, ll ;\S A il ;1

11

hi L'ir

lS

{}

TNFoRMATIoN

sEcuRlrY

i li {i'j'7

1}

t}2

*** ***'t*:

according to Fcundations of
lnformation SecuritY

Reduccin
Prevencin

Deleccin
Represin

Correccin

Evaluacin =:==-:1*-

l.*t.*l

i,,:r

{{i.,#

Approach ard Orga'ratin

e#P'#t"t{*rH{}*

;'

cccrding t Founciattons of
rnfornraiion SecuritY

. Los obietivos y el
.
.
'

contenido de

la Politica de Seguridad de

la

lnformacin

Seguridad de la
Los objetivos y eoltnidos de la Organizacin de la
lnformacin

con
y
El Cdigo de Conducta, Propiedad y Roles Responsabilidades
,"rpu*to a la eguridad de lnformacin
la lnformacin
La Gestin de las lncidencias de Seguridad de

Apprach and 0rganization

PMCONSULTANT SPAIN - TODOS tOS DERECHOS

RESERVADOS

OfM-PMC-0036 I 2012

-?Htuqr,fr**xlfrid"6
ldtlirsr, 5!{rrat!{}t'( &"'++{}

@ xffifiHfroN

i_rEi114ry{X

cEsuNDELASEGURIDADDELAINF0RMACIN,BAsADAENLAIS0/IEC27a02
tt,..

,,.,|,,,.|

,|,!.,,,1!!l.l!,!!!

!!|

l!!!|.!|!tt!

t!.,

!!t!!!,.!,|!|

! t..!t

!!!

,t!. !

!|!,.|!.!!!!.|.,

!|,!!!

lnformation ecuri Faundation


based on lOllEC 27002
Mtricas

Misin
_-I -_-_*-'-_-_----_

para prevenir o reducir el


iJorp"gemo hacer
*d

-
':sffi}

*iffi%**

r+,
=*r,

r:'

{,

lnfoilratiori nd Sccurity

PMCONSULTANTSPAIN

. TODOS LOS DERECHOS RESERVADOS

oTM_PMC-0036 | 2012

in*r.rr,*rsq,h@
5{trrr{r i, jirrdderr}?nl ri'alrfl

rr}

(@ti[flH+fl'oN

f-iirlif4rrrt

GESTION DE LA SEGURIDAD DE LA INFORMACION, BASADA EN LA ISO/IEC 27002

de Medidas de eguridad
according to Foundations of
lnformation Securi

Estructuracin de Mtricas de $eguridad


according to Foundations of
lnformation Security

Mtricas Preventivas
Oestinado a prevenir incidentes de seguridad

Mtricas de Polica
Destinado a detectar los incidentes de seguridad

Mtdcas Represivas
Destinado a detener las consecuencias de los incidentes de seguridad

Mtricas Correcvas
Destinado a recuperarse de los daos causados por incidentes de seguridad
Compra de un Seguro

Destinado

a la

compra

de un seguro contra ncidentes de

seguridad

determinados porque la implementacin de las medidas de seguridad pueden


ser demasiado costosas

llGaaures

GESTIO DE t.A SEGURIDAD DE

tA |NFORMACION, BASADA EN 5O/|EC 27OO2

PMCONSUITANT SPAIN - TODOS LOS DERECHOS RESERVADOS

orM_PMC_0036 | 2012

(}ll[8[i+froN

l49w*fu^tfi"h@
lii

rtin.r''.ir',

";r

ridr:,rrir tr lfr liiin;i!

l- a,,r.. rr,rr,

cEsuN

;:a,

DE LA SEGURIDAD DE LA INFoRMACIN, BASAnA EN LA ISo/tEC

zzlaz

Mtricas Preventivas
according to Foundations of
lnformation Security

Mtrieas Preventivas
Destinado a prevenr incidentes de seguridad
Eiemplos:

Perder la conexin de internet


Hacer una puerta a prueba de balas
Colocar la informacin confidencial
en una caja de seguridad

Meaaures

Mtricas Policiacas
according to Foundations of
lnformation Securi

Mtricas de Politica
Destinado a detectar los incidentes de seguridad
Ejemplos:

Video vigilancia con stickers en las ventanas que les informe a las personas
que estn siendo monitoreadas.
lnformar a la gente que el uso de lnternet se est supervisando, esto

disuadir

muchos empleados

de las

actividades inadecuadas de

navegacin en lnternet.

llcaurcs

GEST|ON DE t-ASEGURTDAD DE LA|NFORMACTON, BASADA EN rSO/lEC 27OO2


PMCONSUTTANTSPAIN . TODOS LOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

?HW!u^o

(@

INFORMATION
SECURITY

r;r:s'rtriru DE LA SEGLJRIDAD DE LA INI-ORMACtirN, BASADA EN LA ISO/IEC 270A2

Mtricas Represivas
according to Foundaticns
lnformation Securi

oi

Mtricas Represivas
Destinado a detener las eonsecuencias de los incidentes de seguridad
Elemplo:

Apagar un pequeo incendio


Crear una copia de seguridad
Convenio de espera

Meagures

6tricss Carreetivas
according to Foundations of
lnformation Security

Mtricas Correctivas
Destinado a recuperarse de los daos causados por incidentes de seguridad
Ejernplos:

Mienlras se crea una nueva base de datos, una base de datos existente
ser sobrescrita. la edad de la copia de seguridad de esta base de datos
delerminar la cantidad de esfuerao de recuperacin necesitar realizarse.

Masures

GESTION DE LA SEGURDAD DE

INFORMACION, BASADA EN ISO/IEC 27OO2

PMCONSUTTANTSPAIN - TODOS LOS DERECHO RESERVADOS

oTM_PMC_0036 | 2012

l49nar^tlaal

St*@

INFORMATION
SECURTY

cus'rtru DI LA sti(;trRrD\D DH lA INFiJRI\,rA(;triir, n,qsADA EN t.A ISr]i IEC zr00z

Carnpra de iln s*gur*


according to Foundations ol
lnformation Security

Compra de un Seguro

Destinado

comprar

determinados porque

la

un seguro contra

incidentes

de

seguridad

implementacin de las medidas de seguridad

pueden ser demasiado costosas


Ejemplos:

Seguro contra incendios


Colocar copias de la informacion importanle en un lugar distinto

Meagures

Misian

Clasificacin de

ueir"i*

.Mtricas Preventivas
.Mtricas Policiacas
.Mtricas Represivas
'Mtricas Correctivas
.Compra de seguro

lnformatian nd Security

PMCONSULTANTSPAIN . TODOS tOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

rFr
ry

-?Hh"mr,fu*l*tiv,lgc;rs'llx

INFORMATION

sEcuRtrY

Dh i,i"\ sEtjRrDAD DE LA tNr;oRi'"4A(ltil, ntsanA r:N LA tso/lF.Lt 27a0:

tvttricas de

ftietgo y Seguridad

cording to Foundations of
lnformation Securi

ac

Maneio del Riesgo

El proceso de

Para

Para

ffi

v
-7

Anlisis de Riesgo
Una herramienta para aclarar que amenazas son relevanles para los procesos
operativos y para identificar los riesgos asociados. Ei nivel de seguridaci apropiado.
junto con las medidas de seguridad conespondientes, se pueden determinar luego.
Meagures

Clasificacin de informacin
Objetivos:
Garantizar que la informacin reciba un nivel adecuado de proteccin

iL

r-,, !l

*-ir
."'.'1'*

-r
Maiur3

GFSTToN DE

SEGURIDAD DE l-A INFORMACION, BASADA EN ISO/IEC 2740.2

PMCONSULTANT SPAIN - TODOS LOS DERECHOS RESERVADOS

oTM_PMC_0036 I 2012

?tq9*ar^A*
l-rij!r-.,.

11r,:,r,r-.t'::J,,'

tfl*,*lg^

r, i'. r"r/1j1,ra ,,.i,iirr.ir,

(@l[Bsl++'roN

GESTION DE LA SHGURIDAD DE LA INFORMACION, BASADA

L1N

LA ISO/IEC Z7AO2

Guia de Clasificacin de la lnformacin


Normatlvas de Claslflcacln
' La informacin debe ser clasificada en trminoe de Bu valor,
reguisitos legales, susceptibilidad y criticidad para la organizacin.

lnformacln sobre etlquetado y manlpulacln


Un conjunto apropiado de proeedimientos de etiquetado y
manipulacin de informacin debe desarrollarse y eiecutarse de
acuerdo con el Eistema de clasifieacin adoptado por Ia

organizacin

*,I
IIl

''r't
- --..-1
' rr I

'

-''-'-'!'-

lleaure

Clasificacin de la lnformacin en Frctica


. La
.

clasificacin de

la informacin dada os una manara rpida

de

determinar eomo sta informacin debe ser manejada y protegida


Para cada nivel de clasificacin, los procedimientos de manejo, incluyendo
el procesamiento seguro, almacenamiento, transmiein, desclasificacin y
destruccin debe sor dsfinido. Esto tambin debe incluir los
procedimientos de cadena de custodia y registro de cualquier evento de
seguridad pertinentes
Etiquetado y manejo seguro de la informacin clasificada ee un requisito
clave para los acuerdos de intercambio de informacin
Etiquetas fisicas $on sna forma comn de equetado

.
. Sin embargo, los

doeumentos electrnicos requieren un medio de


: por ejemplo, un mensaje de notificacin en la

etiquetado electrnico
pantalla

1"""' ..
I--:-:I.t
L -"-"-:'-'-

J
Heasurs

GESTTON DE

tA SEGURIDAD

DE l-A INFORMACION, BASADA EN fSO/lEC 27OO2

PMCONSULTANTSPAIN - TODOS tOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

?H?wu^tt**t lfd*@
i;:..ilrril!

5ri)re1!'.iiiri1.rr,r'.i$

@ffiil+f'IoN

tl,,1rjil/,lri

ce stIru DE LA SEGLJRIDAD DE LA INFoRMACIN, SASADA EN LA

tso/rnc zr0oZ

eguridad Fisica
reas Seguras
Para evitar el acceso sico no autorizado, dao e interferqncia a las
instalaciones de la organizacin e informacin, por ejemplo;
Permetro de seguridad fsica
Controles fisicos de enlrada
Controlar oficinas, habitaciones e instalaciones
El trabajo en las reas de seguridad
Acceso del pblico, entreEa y reas de carga

,-

rl,l,-'i'

:
| -r,+rrut!'!

Measurc

eguridad Fisica
Equipo de Seguridad
Para evitar !a prdida, dao, robo o compromiso de los activos y la
interrupcin de lae actidades de la organizaein, por ejemplo:
Equipo de emplazamento (es decir, ubicacin) y la proteccin
Servicios pblicos de apoyo (por ejemplo. suministro de energa)
Cableado de seguridad
Mantenimiento de equipos
Seguridad de los equipos fuera de las instalaciones
Eliminacn segura o la reutilizacin de los equipos
La eliminacin de la propiedad

l-.r r

ll t

-i1

.
L ;r';i'l-l'!;"!

Meacurc!

GESTION DE

lA SEGURIDAD DE [A INFORMACION, BASADA

PMCONSULTANT SPAIN - TODOS tOS DERECHOS RESERVADOS

EN lsO/lEC 27OO2
orM_PMC_0036 | 2012

)P4?ruar^he-A

fi*@

cr,sllltt

@lll8fiilfroN

DE t.A SEGURIDi) DE r.A INFORMACION, BASAI)A EN LA ISOIIE(:2702

Metricas de eguridacl Fisica


according to Foundaons of
lnformation Security

.
.

Seguridad Fsica emplea una combinacin de medidas


organlzatlvas, estructurales y electrnlcas
Las medidas de seguridad fsica deben ser planificadas y
coordinadas de forma coherente

Measures

Metricas de eguridad Fsiea


accoiorno ro Foi,noauons
]!fl
IEIEIIEE nf ormation Securit,,

cr

Ejemplos:

.La proteccin de los equipos a travs de

climatizacin

(aire acondicionado, humedad)

.Los cables deben ser construidos de tal manera que no puedan


producirse interferencias. lnterferencia es cuando los cables de red
recogen el ruido y la esttica de los cables de alimentacin que van en
paralelo con ellos

.La

supresin

de la

informacrn confidencial

en los medios de

almacenamiento cuando una persona abandona la organizacin

trleaiurs

PMCONSULTANT SPAIN . TODOS TOS DERECHOS RESERVADOS

oTM_PMC_0035 | 2012

^P4?**u^tt*a
iiijtrii*,'!

lr:.rnrrr.n./':1

, L,if,frLt:4!

INFORMATION

*r;r"@

SECURITY

i i:.!1),fii1a.f

cesn

DE t.A SSGLJRIDAD DE LA INFoRMACIw, BesAA EN LA ISo/rEC

Mtricas de eguridad

F s

?7a02

ica

according to Foundations of
lnformation Security

Principales Categorias:
Anillos de Proteccin
Ei rea alrededordel edificio

Sp3.ces

Ei edificio
El espacio de trabajo
Los objetos

Alertas
Sensores

;ffi1
r*,strc
.. '*6h,
o4.(.hha
. *olt..r

!
I
I
I

lnfofmation

Llonitoreos
Alarmas contra lncendios
Planeamientos de Emergencia

Relacionadoal Plan de Contingenca de la Empre

Measurg

Mtricas de Seguridad Tcnicas


according to Foundalions
lnformation Security

ol

La gestin de bienes empresariales, la seguridad de la infraestructura del


misrno y la proteccin de los datos conira el acceso no deseado a travs del
control de acceso y aplicaciones criptogrficas

. El uso correcto de una aplicacin y el correcto procesamiento de la


informacin

Maiur

cEsTtoN

DE

lA

SEGURIDAD DE l.A INFORMACION, BASADA EN ISO/IEC 27OA2

PMCONSUTTANT SPAIN . TODOS LOS DERECHOS RE5ERVADOS

oTM_PMC_0035 | 2012

r)i,

tr

t.

I l+ ;:i 1,,,l,r r

(@ffiHf'IoN

f*i,.@

:PnUr*r"Ar*f
):

a-

ri,r,

ri

ll1

r/

cgsTIN DE LA SEGLJRIDAD DE LA INFoRMACIIv, BASADA EN LA rso/tEC 270a2

cguridad Tcnica
Control de Acceso

Para controlar el acceso a la informacin

Adquisicin de Sistemas de lnformacin, Desarrollo y Mantenimiento

Para asegurarse de que la seguridad es una parte integral de Sistemas de


lnformacin

L
HeaBJr

Mtricas de Seguridad Tcnicas


according to Foundations of
lnformation Security

Gestln de Acceso Lgico


Concesin de acceso a la infsrmacin digital y servicios de informacin

a aquellas personas que estn autorizadas, as como la prevencin de las


personas no autoridas tengan accesoa la de informacin digital o Servicio

. Requisitos d Seguridad
Requisitos relativos

.
.
.

para Sistemas de lnformacin


adqursicin y desarrollo de srstemas

de

informacin

Criptografia
Un medio para manlener en secreto la informacin: el cifrado de dalos

Seguridad de los archivos del slstema


La prevencin de fugas de informacin

faaurcs

GESTION DE I.A SEGURIDAD DE LA INFORMAEION, BASADA EN IsO/IEC 2IOOZ


PMCONSULTANTSPAIN . TODOS TOS DERECHOS RESERVADOS

oTM_PMC_00S6 I 2012

t@ffiH+froN

^pn*r"rr,O*"r,S.,ho
j:.,!

n. t ! i,l{ra..r.rrr r, ..! l,r !r";!iir,r } fi:'r

cEsrt

!r,

ifd' ;

DE LA SEGURIDAD DE LA tNFoRMACIw, BsAn EN LA rSO/tEC 270A2

Criptografa
according to Foundations of
lniormation Security

Politlcas de Criptografia; contenido:

.
.
.
.
'

Qu hace la organizacin para la utilizar la criptografa?


Qu tipos de cripiografa usa el organismo, y en qu aplicaciones?
Control y gestin de claves
Copia de seguridad
Control

Heasurci

Criptografa: Gestin de Clave


according to Foundations of
lnformation Security

Las claves criptogrficas deben ser protegidas contra la alteracin, prdida y


destruccin

.
.
.
.
.
.

Las claves secretas y personales tienen que ser protegidos contra la divulgacin
no autorizada
El equrpo que Ee utiliza para generar. almacenar y archivar las claves deben ser

protegidos fsicamente
El registro de las elaves : Qu pares se han emitido a quin y cundo?
expira una clave?
"Cuando
hacer cuando una clave ha sido comprometida?
se
debe
Qu
Evite utilizar la misma elave en diferentes sistemas (por ejemplo, ordenadores
porttileEl

leesurGs

PMCONSUTTANTSPAIN - TODOS TOS DERECHOS RESERVADOS

oTM_PMC_0036 I 2012

@ lrlflH++''|oN
i;t;s't'tritt: I)it t,A su[;LjRlt)AD

t)[

i.A tNIr(-]ttru{ACl(,.N, BAS\l-rrt EN LA rS0lllrc '70{}'2

Tip*s cle Sist*tn de, f,riptcgrafia

Hm

ff

r#Ifl

or

:'r1"".fl,i:tions

*E4-E-ry-E*

*l*6

Clave Secreta Compartida

TIg:*x d* Sisterna de frript*grmfm

ffm

il?flfl

or

l".L".Hdtions

Clave Pblica
del
Destinatano

PMCONSULTANT SPAIN - TODOS LOS DERECHOS RESERVADOS

Clave Privada
del
Destinatario

oTM_PMC-0036 | 2012

-P49*ar,fra*l$r;;e^
cEsrtN

@tulBll+froN

DE LA SEGURIDAD DE LA INFoRMACtoN, BASADA EN LA

tso/lEc 270a2

Firmas tligitales
according to Foundaons of
lnformation Security

Las firmas digitales se crean mediante el uso de criptografia asimtrica

Una firma digital es un mtodo para confirmar

producido

si la informacin digital se

enviado por quien dice ser-comparable con la firma de

ha
los

documentos en papel con una firma manuscrita


Una firma digital consta generalmente de dos algortmos:
Uno para confirmar que la informacin no ha sido cambiado por lerceros

El otro para confirrnar la identidad de la persona que ha "firmado"

la

informacin

MaaEurcg

Notas

En algunos palses (por ejemplo, la UE), una firma digital es ahora


considerado tan igual a la firma de "papel". En la mayora de los
casos, trene que ser posible verificar esta firma digital mediante un
certificado acreditado que debe hacerse a travs medios fiables
(por ejemplo, una tarjeta inteligentei

GESTTON DE t-A SEGURIDAD DE

tA INFORMACION, BASADA

PMCONSULTANTSPAIN . TODOS TOS DERECHOS RESERVADOS

EN ISO/IEC

27042
oTM_PMC_O036 I 2012

rFl TNFoRMAToN
ry sEcuRtrY

- Plafrr..ar^h*t fdl"o
t;tstti.t

DE LA sL1URIDAD DE LA INFoRMACtoN, rtASADA EN t.A ISo/tEC 27002

Tres passs para la Bansa 0nline


according to Foundations of
lnformalion Security

La Asociacin Holandesa de Bancos ha demostrado que el 98?o de los


bancos que operan a travs del lnternet son seguros
Sin embargo. alrededor del 2Oo/o no toman suficientes medidas de seguridad

Los bancos trabajan a diai'io para mantenerse seguros. pero

la

responsabllidad de la segurdad tambin recae en el consumtdor


Esto llev a la campaa de los 3 derechos 'en los Pases Baios:
la seguridad de su ordenador es correcta?
la pagina web de su banco es correcta?
es su pago correcto?
Estar atentos puede ayudar a evitar una gran cantidad de daos

Meagures

Fhish ir:g
according to Foundations of
Information Security

El phishing es una forma de fraude en internet


Un fraude se define como la realizacin de una transaccin no autorizada
Por lo general. la victima recibir un e-mail pidrendo comprobar o confirmar
una cuenta con un proveedor de banco o servicio, nmeros de cuenta,
cdigos PlN. o detalles de tarietas de crdito, por ejemplo.
A veces se utiliza l,'lensaiera instantnea

lncluso el contacto telefnico ha sido probado

MeaEurs

BASADA EN ISO/IEC 2tOO2


PMCONSULTANT SPAIN . TODOS LOs DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

l4?mar.freat
iiri:."

i !.

:li:rtii7

r,ri.;

|: r

fr"h@

i, 'lirarlirii i

1.,1 !

cesll

@[Blllf'!oN

irl.r:, J

DE LA SEGLIRIDAD DE LA INFoRMACtoN, BASADA EN LA ISo/tEC

27alz

parn
Gil
Ellgl
.
.
.
.

accorsrngro Founoar,onsoi
lnformation Securt,

El spam es un nombre colectivo para los mensajes no deseados


El trmino se utiliza normalmente para coneo no deseado, pero los mensajes no
deseados de publicidad en los sitios web tambin son considerados como spam
Un filtro de spam puede aliviar la carga de este en ao

Hay algunas cosas que los usuarios de computadoras pueden hacer para
combatir el spam. Algunos son:
Nunca contest un mensaje spam - incluso de "opt oul" o "cancelar" crea ms
spam oe lo que usted est confirmando para el spammer que tienen un trabajo
de e-mail para usted y su spam aumentar
No reenvie mensajes de spam y no distribuya direcciones de correo electrnico
(use la funein BCCi

Meaeurr

Malware: Software Malicioso


according to Foundations
Information Securi

.
.
.
'

ol

Malware es una combinacin de la palabra malicioso y software


Se refiere a software no deseado, tales como virus, gusanos, troyanos y
spyrlvare

La medida estndar contra el malware es utilizar escneres antivirus y un


cortafuegos
Un escner de virus por si solo no es suficiente para detener el malware,

debido a las acciones humanas, tales como la apertura de cualqurer


actividad sospechosa e-mails o orreos electrnicos de remitentes
desconocidos

Meaures

GESTTON DE r.A SEGURTDAD DE

tI

NFORMACION, BASADA EN ISO/IEC 27OO2

pMcoNsuLTANTSpArN -TODOS LOS DERECHOS

RESERVADOS

OTM_PMC_0036 I 2012

!H9a^ar^A*

INFORMATION

Sfli,,b@

SECURITY

GBSTTON DE l,A SEGI-IRIDAD DH LA INFORMACtON, BASADA EN LA lSOi ItlC 27002

Malware: Virus
according to Foundations of
lnformation Security

Deflnlcln;
Un virus es un pequeo programa informtico que se replica a propsito, a
veces en una forma allerada.
Las versiones replicadas del virus original son, en virtud de esta definicin.
tambin los virus. A fin de que el virus se propague su funcionamiento
depende de los portadores que contienen cdigo ejecutable.

Meagues

Notas
Explicacin:

Tan pronto como el portador se activa, el virus busca nuevos porladores


adecuados y trata de infectarlos. El virus slo se puede propagar fuera del

alcance del sistema infectado

si un

usuario transfiere archivos desde el

sistema infectado a un nuevo sistema.

. Los

transportistas tradicionalmente

eran slo programas, pero

los

documentos en estos dias pueden actuar como husped para un virus, ya

que cada vez contienen cdgos ejecutables, como macros, VBScript

ActiveX. En la gran mayora de los casos, los virus estn equipados con una
carga qu alberga todas las tareas distintas de las qu son necesarias parala
replicacin. Esta carga generalmente es util, pero no siempre es necesaria,
son de naturaleza destructiva.

GESTTON DE l.A SEGURIDAD DE

tA INFORMACION, BASADA EN ISO/IEC

PMCONSULTANTSPAIN . TODOS tOS DERECHOS RESERVADOS

Z7OOZ
oTM_PMC_0036 | 2012

?M%*4",fu'o.t ftu"o

@rlBlr+fl'oN

cEsrtru DE LA SEGLtRIDAD

DE LA TNFoRMACIN, BAsaA EN LA

rso/iEc zralz

Malware: Virus
according to Foundations of
lnformafior Security

Ejemploa:

.
"

Cerebro

Chernobyl

Mtricas:
. Asegrese de que haya un escner de virus en el servidor de correo y en los
equipos individuales en el lugar de trabajo

.
.

Asegrese

de que el tema de los

virus

se

ncluy

en una campaa

de

concientizacin sobre la seguridad

Asegrese de que este tema

se

incluya

en la poltica de la

organizacin

Seguridad de la lnformacin.

Meaurec

Malware: Gusan$

HM

according to Foundations of
lnforrnation Sacurity

Definicin:

Un gusano es un pequeo programa informtico que se replica a propsito.


Los resultados de la replicacin son copias de la difusin original a otros
sistemas. haciendo uso de las instalaciones de la red su anfitrin)

Explicacin:

Las difereneias entre los vrrus y gusanos son cada vez ms borrosas.

Un virus puede atacar a su anfitrin a travs de los diferentes operadores e

infectar nuevos portadores mediante la transferencia de cdigos activos en


estos nuevos portadores.

ilGasurGs

GESTTON DE

tA

SEGURTDAD DE

tA INFORMACION, BASADA EN ISO/IEC 27OO2

PMCONSULTANTSPAIN - TODOS tOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

?l'th*r^t. fir*@
crsrtor

@lllflti+froN

DE t,A sEGURIDAD DE LA tNFoRMACtN, gASnA EN LA ISo/tHC 270a')

Notas
.

Un gusano en cambio no depende de un usuario para propagarse: tan pronto


coms se activa el gusano puede propagarse automticamente. Esto es lo que
permite a los gusanos infectar grandes reas en un corto perodo de tempo.

'

Las dos similitudes ms importantes son ia dependencia de un cdigo


ejecutable en el poriador y el uso de una carga til con el fin de realizar tareas
destruclivas.

lVlalwar; Gusano
ccording to Foundations of
lnformation Security

Eiemplos:

.
.
"
.
.

Melissa
I love you
Happy99

Blastar
Storm Worm

Mtricas:
Asegrese de que haya un escner (virus) en el servidor de correo y en los
equipos individuales en el lugar de trabajo.

Como los gusanos se pueden descubrir en la red. asegrese ulilzar una

Asegrese de que

herramienta de monitorizacin de red.

el tema de los virus se incluya en una campaa

de

concienciacin sobre la seguridad


Maaura

PMCONSULTANT SPAIN - TODOS LOS DERECHOS RESERVADOS

orM-PMC_0036 I 2012

?H-Wlrr;,.o
c;p:s

@ lflH+''|oN

t'it)rv DE LA stiGr-JRIDAD DE LA TNFORMACTON, BASADA EN LA rSO/t[C 27A02

Notas
Asegrese de que este tema se incluya en la poltica de la
organizacin Seguridad de la lnformacin.
Asegrese de que haya maneras efectivas de comunicacin de
incidentes y que hay buenos procedimientos de seguimtento.

Malware: TroyanCI
according to Foundations of
lnformation Security

Definicin:

Un troyano es un programa que, adems de la funcin que parece realizar, a

propsito lleva a cabo acvidades secundarias, inadvertidas por el usuario

de la computadora, que puede daar la integridad del sistema infectado

Explicacin:

Al igual gue con el caballo de Troya real, un troyano se presenta como algo
til, pero cuando es activado por el usuario, se lleva a cabo todo po de
activdadss no deeeadas en al fondo.

La carga de un troyano suele instalarse n una "pugrta trasgra", a travs del

cual personas desconocidas pueden obtener acceso no autorizado

at

sistema infectado.
MaaEure!

GEST|ON DE r-A SEGURTDAD DE LA TNFORMACTON, BASADA EN SOltEC 27OO2


PMCONSULTANT SPAIN . TODOS TOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

l4CI*ar^ttar"t Sfr;^@

(@!ilBi1+'roN

GI:ST'ION DE LA SECURIIIAD DH LA INITORMACION, BASADA fiN LA iSO/lEC 27002

Notas
Otra actividad frecuente de los troyanos es que se envia informacin

confidencial del sistema infectado


recogida y analizada.

a otro lugar donde pueda

ser

La diferencia ms notable con los virus y gusanos es que los troyanos


no pueden auto.replicarse. Como resultado de ello, los troyanos suelen
ser capaces de seguir haciendo su trabajo desapercibido para un

perodo ms largo de tempo,

Malware: Troyano
according to Foundations of
lnformalion Security

Eiemplo:

'
.

BackOrrifice
Netbus

Mtricas:

'
.
.
.

Asegrese de que haya un troyano y t o antivirus en el servidor de correo y en los


equipos individuales en el lugar de trabajo.

Asegrese

de que el tema de los troyanos se incluya en una campaa de

concientizacin sobre la seguridad, por ejemplo. el personal debe ser consoente de


los peligros de abrir archivos adjuntos coffeos electrnicos sospechosos.

Asegrese de que este tema este incluido

en la Poltica de Seguridad de

la

lnformacin de la organizacin.
Las consecuencias de los Troyanos (comunicacini tambin se pueden descubrir en
la red por los administradores de red. herramientas de monitorizacrn de red estn
disponibles para esta.
BlGaBurs

GESTTON DE

SEGURTDAD DE

rA TNFORMAC|ON, BASADA

PMCONSULTANT SPAIN . TOOOS LOS DERECHOS RESERVAOOS

EN tSO/tEC 27OO2
oTM_PMC_OO36 | 2012

l49*ar^fu+t

(@} fu[8H++'roN

$^t,{;"o

iltlsTIoN

DE LA SEGURIDAD DE r,A INFORMACTN, SASAA EN LA ISO/IEC 270A2

Malware: " Hoax"


according to Foundations of
ln{ormalion Securi

Definicin:

.
.

Un "hoax" es un mensaje que trata de convencer al lector de su veracidad y luego


persuade al lector a llevar a cabo una accin determrnada,

La difusin de un "hoax" depende de los lectores deliberadamente enviando. el


mensaje a otras posibles vctimas que luego pueden tambin hacer lo mismo.

Explicacin:

.
.
.

l-a carga til de un "hoax' no es de naturalez tcnica sino psicolgrca.


Al jugar con las emociones de la Eente, el "hoax" trata de persuadir al lertor a enviar
el "hoax" a los dems {una forma de ingenieria social)

Esto es casi siernpre el propsito de una broma, pero una broma de vez en cuando

puede tratar de convencer

una persona para depositar dinero, proporconar

informacin personal {phishing) o similar.


Las cartas en cadena son la forma ms importante y exitosa de los 'hoax".

'Hoax: .stuee, !gaiio-

Measurec

Malware: "Hoax"
according to Foundations
lnformation Security

of

Ejemplos:
. Good tme3 (buenos tiempos)

Pen Pal (amigo por correspondencia)

Mtricas:
Asegrese de que haya un escner de virus en el lugar de trabajo y una solucin antispam para el servidor de correo. Un engao a menudo contiene textos que pueden
ser reconocidos por estos escneres.

.
.

Asegrese

de que el tema de los engaos se incluya en una campaa

de

concientizacin sobre la seguridad, el personal debe lener cuidado con las preguntas
extraas en los correos electrnicos. en particular los que tratan de eonvencer al
lector para llevar a cabo determinadas acciones. come enviar el engao a los dems.

Asegrese de que este tema este incluido

lnformacin de la organizacin
Asegrese de que existan formas efectivas de notificacin de incidentes y que existan
procedimientos adecuados de seguimiento.

en la Poltica de Seguridad de

la

McaSures

cEsTloN

DE LA SEGURIDAD DE I.A INFORMACION, BASADA EN ISOIEC 27OO2

PMCONSUITANT SPAI - TODOS LOS DERECHOS RESERVADOS

orM_PMC_0036 | 2012

llle*ar,h;l'afr,.,@
,,1,,,.

, il, rrilrii'?.i."!i

1n

i!. r',)rl.u! if, r.;;./:. !

cgsln

DE LA SEGLJIUDAD DE LA INFoRMACtN, BRSADA EN LA

[Bll++''|oN

ISo/tEC 27002

Malware; Bomba Lgica

according to Foundaons of
lnformation Security

Denicin:

Una bomba lgica es un fragmento de cdigo que est integrado en

un

sistema de software

Este cdigo llevar

eabo una funcin cuando se cumplan determinadas

condiciones.

' Esto no siempre se utiliza con fines maliciosos. Un programador

de

computadoras, por ejemplo. puede construir un cdigo que destruya (sensible)


los archivos una vez que abandonen la red de la empresa.
Los virus y gusanos a menudo contienen bombas lgicas, que normalmente
tienen un retraso incorporado para la ejecucin del virus o la propagacin del

gusano-

Mtricas:

Para software escrito por el personal de la empresa o balo contrato con


un tercerot asegrese de que una revisin de cdigo sea realizada por
otra parte.
Measureg

Malware: pyware

ffi

according to Foundations of
lnformation Security

Definicin:
. El spyware

.
'

es un programa informtico que recoge informasin sobre

el

usuario de la computadora y enva esta informacin a un lercero. El propsito


de esto es hacer dinero.
Spyware no trata de daar el ordenador ylo el software inslalado. sino ms
bien violar la prvacidad.
Spyware puede ser reconocido en una serte de formas, por ejemplo;
. El ordenador es ms lento de lo habitual
. Se ejecutan programas en ei ordenador que usied no ha iniciado o que
nunca ha visto antes.
. La configuracin de la computadora se ha modificado y puede haber una
barra de herramientas en su navegador que no estaba all antes y no se

puede guitar.

Todo tipo de pop-ups aparecen sin preguntar o al abrlr las pginas web.

MeBurr

ADAEN ISO/IEC 27OO2


PMCONSULTANT SPAIN - TODOS LOs DERECHOS RESERVADOS

oTM_PMC_O036 I 2012

l4fnar^lt*tW@

t@l[8HI{roN

GISTION UE t.A SF]GLIt{IDAD IIE LA INF0RMACION, BASADA EN LA ISO/IEC 2700?

Malware: pyware
according to Foundations of
Information Security

Mtricas:
Existen escne;-es que escanean el registro de Wjndows para las claves de

registros sospechosos

.
.

analizan

el

software instaiado

en busca de

pyware.

A veces los programas antivirus pueden detectar spyware.

Utilice un frrewall personal con el fin de detectar el trfico de la

red,

especialmente cuando el ordenador deja de funcionar sin motivo.

Measures

Notas
.
.
.

Asegrese de que el tema de spyware se incluya en una campaa de


concientizacin sobre la seguridad.
Asegrese de que este tema este incluido en la Poltica de Seguridad de la
lnformacin de la organizacin
Asegrese de que existen formas efectivas de notificacin de incidentes y
que hayan procedimientos adecuados de seguimiento.

PMCONSULTANT SPAIN - TODOS tOS DERECHOS RESERVADOS

orM_PMC_0036 I 2012

)Hh*"u,h*t!v,;;g^
r!r'.r,,;1

f,

l.:i;

cr.sltN

r"a,;

@l[Bfii{fl'|oN

DE t.A sEGLIRID\D DE LA INFoRMACtN,

nasa rrv r.A rs0/rEC'7002

Malware: Botnet I Gusano Torrnenta


accordng to Foundations of
lnformation Securty

Explicacin:

El gusano tormenta es constderado por muchos como el futuro

de

malwareEs paciente, y por lo tanto difciles de detectar y analizar.

Funciona como una colonia

de hormigas, por lo que no hay

ningn

comando central y servidor de control. sino ms bien una conexin de red


entre miles de ordenadores infectados que se configura.
Como resultado, las mquinas infectadas no afectan al botnet

Meaeurer

Notas
.

El gusano tormnta no causa ningn dao o carga al servidor, por lo


que los servidores no saben que esln infectadas

. La razn de que el "gusano

tormenta" sea un xito

es gue

los

servidores que io difunden, recodifican ei mensaje de virus cada treinta


minutos. cambiando la firma del virus y por lo que es difcil de detectar
por los antivtrus tradicionales programas

ffiIDAD

DE

tA INFORMACION, BASADA EN sO/IEC

PMCONSULTANT SPAIN . TODOS TOS DERECHOS RESERVADOS

27OO2
oTM_PMC_0036 I 2012

INFORMATION

lll?na*fu,*tf .,rr"@

SECURITY

GLiS'llON I.rE t.A SIIGLIRIDAII DE LA INr;ORMACfON, BASADA IIN LA ISO/lEC 270A'2

Malware: Rootkit
according 1o Foundatrons ol
lnformation Securi

Explicacin:
Un rootkit es un conjunto de herramientas de software que se utilizan

nrenudo por un tercero (generalmente un hacker) despues de haber tenido

accesoa un sigtema (ordenador).


El rootkit se oculta profundamente en el sistema operativo. resuliando que
el sistema operativo se vuelva inestable.
Un rootkrt es casi imposrble de retirar sin daar ei sistema operativo"

Los rootkits pueden trabaiar en dos niveles: nivel de ncleo

y nivel

de

usuano.

Measures

Notas
Las estrategias de los rootkits del ncleo pueden hacer easi cualquier

cosa que desee en la memoria de trabajo. El objetivo de estas


herramientas es para leer, alterar o influir en los procesos en eiecucin.
los datos del sistema o archivos.
Un rootkit ayuda a que el intruso obtenga acceso al sistema, sin que el
usuario se de cuenta de nada.
Hay rootkrts para casi todos los sistemas operaiivos.

PMCONSUTTANTSPAIN - TODOS LOs DERECHO5 RESERVADOS

orM-PMC_0036 | 2012

?Hb+r^ll*t

INFORMATION

f,v,.^

SECURITY

acaorCi to Fo.ndalions
i

c'

nfor:ratic Secrrit!

Caracteristica s:
. Las nieclidas tcnrcas estn eetiecharriente relacionadas con ls medicias
organizatir/es: estS cLtmpien o hacer cufilpirr medrcias organizati,,,as.
. El ciclo PDCA es una foma de implementar informac n de segurioaci en ia

.
.
.
.

organizac ron,

Cmo comercrafizar lr:fcrmacin de Segi;rdad er la crgan,zacion


Cenro lrdiar cor lcs oesastres y como p:epararse para ellas?.
Ei aspecto de ta com,nrcacron ce infermacron oe Segurtoac.
Los aspecios ope "ativos. proceoinrrentos cje prueba y la gestron de
lnforrnacin Ce Seguridad

L'lea s ures

Fir n19

aril

:-ipierrentrnE lior'atrcn Sec ur:ty fr4angefire'1t


I

Gestrn de Seguridad de la lnformacin


Responsabilidaq de Gestin

tso,tEC 2700

Pi\,1L{:]NSUI.TANT SFAI

f\i,

TO

DOS LO DERECHOS RESERVADOS

oTM.PMr-O36 I 2012

p4Axa"-fu+l
li;. r I,-'I 1

t,d.@

@grlBH+f'!oN

:i'r. ;il., :t/ ,. j. L.- i..,i!i;.1 ) i,1,i. : ir,:,J !


f

cr.srrru

DE LA SEGLJRTDAD DE LA TNFoRMACIw,

sesRoa slr LA rSO/rEC 27002

Ejemplos de Mtricas Organiativas


according to Foundatons of

lnlormation Securi

Politica de Seguridad de la lnformacin


La creacin de un Sistema de Gestin de informacin de seguridad (SGIS)

Personas
Proyeccin y no divulgacion
Registros de los empleados
Concientizacin en segundad
Gestin de Acceso

Gestin de Conrinuidad
Planificacin de la continuidad
Planificacin de recuperacin de desastres
Comunicacin y gastin de los procesoa oparativos
Procedimientos de Operacin
Geetin del Cambro
Separacin de Funciones
ileasuras

Control de Acceso(1)
Objetivo

Conolar sl acceso a la informacin


Secciones
. Requisitos comerciales para los Control de Acceso a la red

Poltica de Control de Acceso

Administracin de usuariog de accego


Registro de Usuario
Maneio de privilegios

Gestin de contraseas de Usuario


Revisin de los derechos de accesode usuario

Responsabilidades del usuario


Usar contrasea
Equipo de usuario desatendido

--1--:1
I lr'rllt
L jr':'':

f..,,'' r

Mcture3

PMCONSULTANTSPAIN - TODOS tOS DERECHOS RESERVADOS

orM_PMC-0036 | 2012

?H(m+r^he* Sfr;;g-

@ ltsr{+''IoN

GESl't0N Dg LA SECLIRIDAL) DE LA INITORMACION, BASAUA EN LA ls0lrEC 27A02

Csntrol de Accesa(2!
Secciones

'

Control de Acceso a la red


Poltica sobre el uso de los servicios de red
Autentificacin de usuarios para conexiones externas
ldentificacin del equipo en las Redes
Puedo remoto de diagnstlco y configuracin de Proteccin
Separacin en las redes
Red de Control de Conexiones
Red de control de enrutamiento

Funcionamiento del sistema de control de acceso


Procedrmientos de inicio de sesin seguros
ldentificac in y autentificacin

Gestion de sistema de contraseas


El uso de las utilidades del sistema

ti.,, i'
I
L -'! '' ;'-

Sesin de tienipo cie espera


Limitacin del tiempo de conexin
MGasufeg

Control de Acceso{3)
Secciones

'

Aplicacin y Control de Acceso a la lnformacin


Restriccin de acceso a la lnformacin

Sistema de aislamiento sensible

Computacin mvil y teletrabajo


Computacin mvil y comunicaciones
Teletrabaio

-CS;

fri'l'1.i

t
I

MeaSures

GTSTIO DE tA SEGURIDAD DE

INFORMACION, BASADA EN ISO/IEC 27AAZ

PMCONSULTANTSPAIN - TODOS tOS DERECHOS RESERVADOS

oTM_PMC_0036 I 2012

@llltlli+'roN
cEs'nru DE LA SEGLIRIDAD DE LA INFoRMACTrI, BASADA EN LA rso/rnc zro0z

Concesin de Acceso
according to Foundaons of
lnformation Security

En la concesin de acceso, se hace una disiincin enire:


. ldentrficacin
. Autentificacin y

1.

Autorizacin

La idantificacin es el primer paso en el proceso para la concesin de

acceso. En la identificacin de la persona o sistema presenta una muostra,


por ejemplo una llave, nombre de usuario o contrasea.
El sistema determina entonces si la muastra es autntica y de que los
recursos de acceso puedan concederse.
3. Tan pronto como to sa determine, la autorzacaones pueden ser
asignadas

Measue

Ejemplos de Autentificacin
according to Foundations of
lnformation Security

Para las salas especiales, como salas de cmputo. las medidas enrgicas de
autentificacin pueden utilizarse.
Adems de los pases de acceso, medidas de seguridad adicionales se toman.
Tales como:
Algo que usted sepa, por ejemplo, un cdigo PIN
Algo que usted tenga, por ejemplo un pase
Algo que sea parte de usted, por lo tanto. la biomtrica como huellas
dactilares o el escaneo del iris

Iteesurs

PMCONSULTANT SPAIN . TODOS LOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

(@

?Heuar^h*lf4x,i,al.
5,r rn, ! .tj|i,rri,

r.,)t..! .irrir!t

r:

r.,]

.1ii,-..y,

llfll{+''|oN

cEsntri DE LA SEGURIDAD DE LA INFORMACtON, BASADA EN LA ISOIIEC 27A02

Ejemplos de Autorizacin
according to Foundaons of
Information Secur

La concesn de dereshos especficos, tales como el acceso selectivo a una


persona. por ejemplo,
Oiorgamiento de lectura / escritura a un archivo de base de datos para un
DBA.

Dar acceso a un edificio a una persona "de guardia" durante el fin de semana.

Conceder

a otra persona el acceso de lectura a

una de sus carpetas

personales / directorios.

Dar acceso

a la

zsna de embarque de un aeropuerto despus de

la

comprobacin de seguridad (autentificacin) se complet con xito.

MeaEurac

eparacin de Funciones
according to Foundations of
lnformation Securi

Las lareas y responsabilidades deben estar separados con el fin de evitar la


posibilidad de cambios no autorizados o no deseados o el mal uso de los bienes
de la organizacin.

En la separacin de funciones, la revisin se lleva

a cabo acerca de si una

persona lleva a cabo tareas de torna de decisiones. ejecutivo o de control.


Se cietermina s la persona necesita acceso a la informacin.

E, acceso

innecesario aumenta el riesgo de que la informacin sea


o no utilizado, alterado o destruido. Esto se conoce como ia

intencionalmente

necesidad de eonocer.
Una vez que la funcin de acceso de personal y necesidades son determinadas.
las tareas pueden dividirse con el fin de reducir los riesgos para la organizaein.

Measures

GESTTON DE

tA EGURIDAD DE LA INFORMACION, BASADA

PMCONSUI.TANTSPAIN - TODOS LOS DERECHOS RESERVADOS

EN ISO/IEC

27042
orM_PMC_0036 | 2012

-P4b*futy-@
lijrr.1,:! :ii:,jrt.pit,r..\,

irar.ri,{}

@r[Bfir++''oN

i,1r,in r.J

cEs'rtru DE LA SEGURIDAD DE LA INFoRMACTI', gsanA EN LA ISo/tEC zr0oz

Gestin del istema de Contraseas


La Gestin dal Sistema ds Coritrassae deber:
Exigir el uso de identificadores de usuario y contraseas individuales para
mantener la responsablidad.
b. Permitir a los usuarios seleccionar y cambiar sus propias eontraseas e

a.

incluir un procedimiento de confirmacin para permitir los errores

de

entrada

c, Aplicar una seleccin de contraseas de calidad


d. Aplicar los cambios de contrasea
e. Obligar a los usuarios a cambiar las contraseas

temporales en el primer

log-on

f.

Mantener un registro de las contraseas de los usuarios anteriores y evitar


volver a utilizar

*;1
l','rtl:
I
, ,,r rI
j,
J'jL
Meaaurce

Gestin del Sistema de Contraseas


Un sstema de gestin de contraseas deberia (continuacin)

S.

No mostrar las contraseas en la pantalla cuando se est ingresando

h.

Guarde los archivos de contraseas separado de los datos del sistema de


aplicacin

i.

Almacenar

lransmitir las contraseas de forma segura (por ejemplo de

forma encriptado

--1i-1,1

r-

lt.i I ll '
, il1! tll,,tl

I
I

-t;

Mrasurs

GESTION DE LASEGURIDAD DE IAINFORMACION, BASADA EN lsO/lEC ZTOOZ


PMCONSUTTANT SPAIN . TODOS LOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

ll[tH++'roN

GES'llON Dij LA SEGLJRIDAD DE LA lNFO}{MACtON, UASADA EN t.A rSO/tHC 270',}.

Fon qu estin d* la antinuidad del Negoci*?

ffi

or rnrormation securis and

ii,l?#i:ii".'ndations

Proteccin de los procesos de negocio


Servicio de mantenimientc
La supervivencia de Ia empresa
Ganancia o prdida
La publicidad negativa

Misin
Glasifique las mtricas:
. Fisico
. Tcnico
. Organizativo

lnfomation end Sccurity

PMCONSUTTANT

SPAIN . TODOS LOS DERECHOS RESERVADOS

BASADA EN O/|EC 27002


0TM_PMC_0036 | 2012

p4e*.+r^h*l

(@!u[fl[i+]',oN

,d;^o

GESTIN DE LA SEGLjRIDAD DE LA tNFORMACtN, BASADA I1N LA ISC)/IEC 27A()2

For qu Gestin de la Continuidad del Nogocio?


according to Foundations of

lnfomation Secur

Planficacin de recuperacin de deeastres (DRP)

.
.

Para reducir al minimo las consecuencias de un desastre y lomar las medidas


necesarias para garantizar que ei personai, ios bienes del negocio y procesos
de negocio vuelven a estar disponibles dentro de un tiempo aceptable.
Est dirigido a la recuperacin despus de un desastre.

Planicacin de la continuidad {BCP)

Para organizar los mtodos

procedinrientos para aquellos fallos gue

sucedreron hace un largo tiempc.

.
.

La organizacin de un lugar alternativo donde se encuentra el trabajo que se


est realizando, mientras que la ubicacin original se reconstruye.
Todo se centra en manlener el funcionamienlo compaa, aunque slo sea
parcialmente, a partir del momento en que el desastre se produce hasta que la
empresa se ha recuperado totalmente

MeaEures

tomprobacin d*l plan tlR y el PIan C


according to Foundations of
lnformation Secur

Las pruebas regulares son necesarias para hacer que el personal


tome conciencia en el caso de un desastre.
Cada cambio que ss realice an los procasos empresarialea debe ser
incluido en el plan. Un plan anticuado no ayudar a la organizacin a
funcionar de nuevo,

Muy importante que los procedimientos se pongan a prueba en una


simulacin de una situacin de la vida real con el fin de ver si estas
medidas son correctae y eficaces.

Measure!

I'FoRMACION, BAADA EN lsO/lEC 27OO2


PMCONSUTTANTSPAIN . TODOS TOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

(@ [8*l++''|oN

lHC*a*h*tffid.@
.ii,r.

r,re?,!i/ i( .. ,:r.1i ! r:ir,!..r, :4.,.,

cEslu

DE LA sEGLJRIDAD DE LA INFoRMACtt,

geseoA

EN LA

rso/rEC 27002

Qu aprendimos?
EI

E[[llElI

acLurorlro ru ruuru..urs ur
nformation Sec uritv
I

La importancia de las llledidas de eguridad


Los distintos tipos de medidas de seguridad
Las diversas clasificaciones de Medidas de eguridad
Las diversas Medidas de Seguridad Fisica
Las diversas Medidas de Seguridad Tcnicas
Criptografa
l',4alware

Las diversas mtricas organizavas de seguridad


Gestin de Acceso
ldentifrcacin. Autentiftcacin. Autorizacin
Gestin de Continuidad

lnformation $ecurity Foundation


based 0n lOllEC 27002
Legislacin y Reglamentos

PMCONSUTTANT SPAIN . TODOS LOS DERECHOS RESERVADO5

oTM_PMC_o036 | 2012

!H9u^ar,e*f;u,lg-

@rxl8fir+f'|oN

GES'itON DE t.A SEGLIRTDAD DE LA INFORMACION, BASADA EN LA ISO/IEC 27002

Conformidad
Objetivo

Evitar el incumplimiento de eualquier ley, estatuto, las obligaciones


reglamsntarias o contractuales, y sobre los requisitos de seguridad.

El diseo, operaon, uso y gestin de la informacin de sstemas puede estar


sujeto a la seguridad legal, reglamenlaria, y requerimientos contractuales.

Asesoramiento sobre requisitos legales especficos se debera pedir a los


assores legales de la organizaein, o profesionales de la justicia debidamente
calificados. Los requisitos legales varan de un pas a otro y pueden variar la
informacin creada en un pals que se transmite a otro pafs (es decir, el flujo
transfronierizo de datos).

ll
;- I-r-.,rrr".';l'rl
L
i

.r
Lagislaon and Regulationg

ecciones de tumplimiento
Cumplimiento do Requisitos Legales
ldentificacin de la legislacin aplicable
Derechos de propiedad intelectual
Proteccin de los registros de la organizacin
Proteccin de Datos y Privacidad de la lnformacin Personal
Prevencin del uso indebido de las instalaciones de procesamiento de informacin
Reglamento de los controles criptogrflcos
Cumplimiento con las norrnas y estndares de seguridad y cumplimiento

tcnico
Cumplimiento con las normas y estndares de seguridad
Comprobacin del cumplimiento tcnico
lnformacin de sistema de Consideraciones de auditoria
lnformacin de Control de Sistemas de Auditoria
Proteccin de las herramientas de auditora de sistemas de informacin

l- ri' *-'1"i
I

- I'."J1'.1"t;'-

Logillaton d R6gultior

GESTTON DE I"ASEGUR|DAD DE I.AINFORMACION, BASADA EN ISO/IEC 27OO2


l)TM 9Ma nnt I 7012
tos DERECHOS RESERVADOS

PMCONSULTANTSPA.IN - TODOS

(@[Elr{fl'IoN

?HCa*a*fi*A *b@

GES't'tON DII LA SEGURIDAD DE LA iNFORMACtON, BASADA EN LA ISO/tEC 270A2

Por qu la f egislae ion y reglamentus son importantes?


Bccordrng to Foundations

of

lnformation Security

.
.
.
.
.
.
.
.
.
.

Para observar las prescripciones legales


Para observarel cumplimiento
Para abarcar los derechos de propiedad intelectual
?ara proteger los documentos de los negocios
Para protsger los datos y la confidencialidad de datos personales
ej: Ley de Proteccin de Datos de Carcter Personal: la proteccin de los datos
personales y la intimidad

prevenir el abuso de las instalaciones de lT


observar la politica de seguridad y normas de segundad
supervisar las medidas de seguridad
llevar a cabo auditorias de informacin del sistema
proteger los medios utilizados para los sistemas de informacin de
auditoria
Para
Para
Para
Para
Para

Legislation and Regulaons

lnfornraciom de Ia legislacin sobre seguridad


according to Foundations of
lnformalion Security

Ejemplos

Legislacin gue implica la Privacidad, lmpuestos y Finanzas y el Reglamento


para los bancos y las empresas (por ejemplo, arbanes Oxley)

'
.
.
.

Legislaciones Locales. Estatales y Nacionales


Polltica propia de una empresa respecto a la legislacin interna.
Legislacin de un pas extranjero cuando se hacen negocios internacionales.
Legislacin que implica Privacidad

LeEhlon and RegultionB

GETtoN

DE LA SEGURIDAD DE l-A INFORMACION, BASADA EN ISO/IEC 27OO2

PMCONSULTANT SPAIN - TODOS LOS DERECHOS RESERVADOS

orM_PMC_0036 | 2012

]l'tC"*,u,he+l

rA

Wa

cns'nN

DE t.A sEGLIRIDAD DE LA INF'oRMACtw,

sasDA

TNFoRMATIoN

sEcuRtrY

LIN LA rso/1HC

2702

Secciones
.

Los gobiernos estn sujetos a la legislacin de registros pblicos. Esta


negocia con la creacin de archivos. gestrn, destruccin. lraslado al
archivo central de transferencia; entre los gobiemos y el acceso a los
mismos.

Legislacin destinada

a los crmenes realizados usando

computadoras.

Actos Leg islativos


according to Foundaons of
lnformation Security

. Ley de Regietros Pblicos


Regula el almacenamiento y destrucon de documentos de archivo

. Ley de Proteccin de Eatos Personales


Regula el derecho de inspeccin de los datos personales

'La

Ley de Delincuencia lnformtica


Esta ley es un cambio en el Cdigo Penal y el Cdigo de Procedimiento Penal
para que sea ms feil tratar con los delitos cometidos a travs de la tecnologia
de informacin avamada. Un eiemplo de un nuevo delito es la piralera
informtica.

. Ley de lnformacin del Gobierno de Acceso Pblico


Regula la inspeccin de documentos escritosgubernamentales. Los datos
personales no son un documento gubemamental.

Legirlaon and Regulaoni

PMCONSULTANT SPAIN - TODOS LOS DERECHOS RESERVADOS

oTM_PMC_0036 I 2012

l*A*ar^fu+t

f;*@

! ! ri.. r, ,r jl\ i:lt:.:"ir.:.:,

cgsnN

DE LA SEGURTDAD DE r,A TNFoRM\ctru,

[tH{+''|oN

nasRoA EN LA rs0/rEC 27002

ReEulacicnes de la Seguridad de Ia lnformacin


according to Foundations of
lnformation Securi

Eiemplos
Reglamentos relacionados con privacidad, impuestos y Finanzas y el Reglamento
para los bancos y las empresas (por ejemplo, Sarbanes Oxley)
Reglamentos locales. estatales y nacionales
Poltica propia de una empresa respecto a los Reglamenlos internos
Reglamentos de una nacin extranjera cuando realizan negocios inlernacionales
Reglamentos que involucran''Privacidad"
Reglamento de proteccin de datos
Reglamentos relativos al uso correcto de las licencias

Lagislaon and Regulaon*

Legislacin y Mtricas Reglamentarias

according to Foundations of
lnformation Security

Ejemploe

Medidas de proteccin de los Derechos de Propiedad lnteleciual

Acuerdos de derechos de autsr


Acuerdos de licencia
Medidas que afectan a los registros de proteccin de la

organizacin
Archivos encriptados
Habitacianes con temperatura controlada para el almacenamtento

de documentos

Tener una politica de eliminacin

de registros

Mtricas que afectan la proteccon de informacin personal


Derechos de acceso adecuados

Legiletio and Ragulationr

PMCONSUTTANT

SPAIN . TODOS tOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

iu*r*r,*r!H,to
Errrer

r 4tc16qp*pnJ

&

+.r.ni),1! lilr5t ir{n.

cnsrlN

@illifl'|oN

DE LA sEGITRIDAD DE LA TNFoRMACIN, BASAoA EN LA ISo/tEC 27o0z

ecciones
Prevencin del uso indebido de lae instalaciones de procesamiento de
informacin

'

Monitoreo a lravs de una red de cmaras de seguridad

. Cumplimiento con las normas y estndaree dc seguridad


Revisin y Acciones conectivas llevadas a cabo por la Gerencra

Control del cumplimiento tcnico


Evaluacin de la Vulnerabilidad

Lcgielation and Rcgulao!

Examen de muestra

BUENA SUERTE!

a,'

B
Certicsn

PMCONSUTTANT SPAIN . IODOS tOS DERECHOS RESERVADOS

oTM_PMC_0036 | 2012

.D4?wu^h*l ffd^@
9.rrrr,arlto,;e?ni i! ar:.{1rsq}

@rflH+f'oN

r:i}a!rrJf4ry!:a

crsnru

DE LA SEGL,RIDAD DE LA INFoRMACIN, BAsAnA EN LA

rso/tEc zr00z

Consejos para el examen


Primero lea la pregunta completa
Piense en una posible respuesta
Tome un breve momento para revisar sus respuestas
Lea detenidamente lo que se le esta preguntando
Lee la pregunta completa 2 o 3 veces
Subraya/resalta las posibles palabras claves
Probablemenle necesitars de 30-40 minutos para responder todas las
preguntas

Usted tiene 60 minutos en total. lo que le permite tener suficiente tiempo para
leer detenidamente todas las pregunlas 2 o 3 veces
Busca la mejor respuesta
Omita la pregunta si es muy diffcil y djala para luego; asegrese de omiiir
tambin el nmero de la pregunta en la hoja de rspuest
Siempre proporcione una respuesta
lgnore la informacin irrelevante
Aplique el proeeso de eliminacrn
Sintase libre de tomar nolas en la hoja del examen; si el examen es en papel

Crrticaon

GESflON DE

I./d SEGURIDAD DE IJA

INFORMACION, BASADA EN ISO/IEC ZTOOZ

PMCONSULTANT SPAIN . TODOS TOS DERECHOS RESERVADOS

orM_PMC_0036 | 2012

)'

) )

))

l )

)\

)i

,})

))

) r)\)

t)

r)

;)

t,)

r)

.il

ISO/IEC 27002:2005. Dominioslrr, Olrjetivos de control(3e)y qg!lro!g!1.33)


5. POLITICA DE SEGURIDAD.
de seguridad de la informacin.
5.1
-" PolitlcaDocumeto
de politica de seguridad de la informacin
5.i.1
i.l.Z Revisin de la polilica de seguridad de la informacin'
6, ASPECTOS ORGANIZATIVO DE LA EGURIDAD DE LA INFORTIAC.
interna.
6.1
-" oroanizacin
6.LT" C-mpromiso de la Direccin con la sguridd de ia informacin'
6.'1.2

Coordinacin de la seguridad de Ia informacin.

a la seg' de la informac'
.r, Asignacin de responsabilidades relativas
,f . Pro-ceso de autoriiacin de recursos para el iraiamiento de la
informacin.
6.1.5 Acuerdosde confidencialidad.
6.1.6 Contacto con las autoridades.
6.1.7 Contacto con grupos de especal inters de la informacin'
.i.S Revisin indep'en'diente deia seguridad
Terceros.
6"2
-"-0.,,l
ldentficacin de los riesgos derivados del acceso de terceros.
6,2.2 Tratamiento de la seguridad en la lelacin con los clenles'
6.2.3 Tratamiento de la seguridad en contratos con terceros'
7. GESfltl DE ACTIVOS.

7.1

10.3 Planifcacn y aceptacln del sstema'


10.3.'1 Gestin de capacidades.
10.3.2 Acepiacin del sistema.
10.4 Froteccn ontr l cdlgo malicioso y descargable.
10.4.1 Controles cantra el odigo malicioso.
10.4.2 Controles contra el cdigo descargado en el cliente.
10.5 opias de seguridad.
10.5.1 Copias de seguridad de la informacin.
10.6 Gestin de Ia segurldad de las redes.
10.6.1 Controles de red.
10.6.2 Seguridad de los servicios de red.
10.7 Manipulacin de los soportes.
10.7.1 Gestin de soportes extraibles.
't0.7.2 Retirada de soportes.
1,7,3 Procedimiento de manipulacin de la iniormacin.
10.7.4 eguridad de la documentacin del sistema'

infarmcin"
10.8.1 Polticas y procedimientos de intercambio de
10.8.2 Acuerdos de intercambio.
10.8.3 Soportes fisicos 6n trnsto.

10"S lntercambio da

Rosponsablidad sobr6 los activos.

71.1
7 ,1,2
7,1.3

7.2

10.2.2 Supervisin y revisin de los servicios prestados por terceros10.2.3 Gestin dei cambio en los servicios prestados por terceros.

lnventaro de activos.
ProPiedad de los activos.
Uso aceptable de lo activo.
Claificcin de la informacin.

10.8.4 Mensajeria electrnica.

7.2.1
7.2.2

Directricesdeclasificacin.
Etiquetado y manipulado de la informacin.
8, SEGURTDAD LIGADA A LOS RECURSOS HUMANOS'
8,1 Antes del emPleo'
8.'1.1 Funciones yresponsabilidades.
8,1.2 lnvestigacindeantecedenles.
8.'1.3 Trminos y condiciones de contratacin'
8.2 Durante l rnPIo'
8.2.1 Responsabilidades de Ia Direccin
.i,2 Contienciacin, forrnacin y capacitacin en seg de la informac'

8.2,3

ProcesodciPlnario.
8.3 Cese del empleo o cambio dc puosto do trabaio.
8,3.1 Responsabilidad del cese o oambio.
8.3.2 Devolucin de activos.
8.3.3 Retirada de lo dercho d acceso.
SEGURDAD FISICA Y DEL ENTORNO.
reas Egura.
9.1.1 Perimetro de seguridad fisica
5.1.2 Controles fisicos d entrda
S.1.3 Seguridad de oficinas, despacho e instalacones.
g,1.4 Proteccin contra las amenaza extornas y de origen ambental
9.1.5 Trabajo en reas seguras.
9,1.6 Areas de acceso pblico y de carga y descarga

9.
Ll

9.2 Seouridad de los 6qui$1os.


9.2.1' Emplazamient y proleccin

de equipos.

9.2.2 lnstalacionesdesumnistro.
9.2.3 Seguridad del cableado.
9.2.4 Mantenimiento de los equipos
9.2.5 Segu rdad de los equipos fura de las
9,2.6 Reutilizacin o retrada segura de
9.2.7 Retirada de materiales propiedad d- la

10. GESnil DE COi|UtICACIONES Y OPE


10.1 Rsponsabldades y procedmiontos
10.1.1 DocLmentacin de los procq*Fi
10,1.2 Gestin de cambios.
10, .3 Segregacin de tareas,
1

10,1.4 Separacin de lo$ recuros de

ds

la provisn ds ssrvlclo por


10.2.1 Provisin de servicios.

10.2 Gestin

y operacin.

10.8.5 Sistemas de informacin


10. Ssrvicos de comercio olecirnico.
10.9.1 Comercioelectrnco.
10,9.2 Transacciones en linea,
10.9.3 lnformacn pblicamente
{

0"10

Supervlsin.

10.10.1 Registros de auditora.


,l0,
1 0.2 Supervisin del
10.10.3 Proteccin de
10.'10.4 Registros de
10.10.5 Registro de
10.10.6 Sincronizacin

II.

CONTROLDE

,11.t
't1.1.1

11.2
't1.2
11.2.2
11,2.3
1.2.4

1
?

teletrabajo.

11.7 Ordenadores

y comunicaciones mviles.

11.7 .1

11.7.2 T
Y 'AI{TENIMIEI{TO DE ITEIIAS OE
12.1 Reqfffifto$ de sesuridae loa si$temas de informacln.
12,1#' Antiis v orlm*fficin de los requsitos de seguridad.

I de las aplicaciones.

12"2

los datos de entrada.

1
1

2.

2regntrol !ffDrocosmiento interno.

'Wpgdrffi dB los mensaie$.


12.2.4 Vffin de los datos de salida.
12.2.3

3 Controles

criotoqrficos,

12.3.1 Solitica de so de los controles criptogrficos


'12.3.2 Gestin de claves

4.1
4.2

dc los archvos de sisterna,

Conirol del software en explotacin.


Proteccin de los datos de prueba del sistema,
12.4.3 Control de acceso al cdigofuente de los programas.
12.5 Sequridad en los procesos de darrollo y soporte.
12.5.1 Procedimientos de control de cambos,
12.5.2 Revisin tcnica de las aplicaciones tras efectuat cambios en 6l
sistema operativo.
12.5.3 Restricciones a los cambios en los paquetes de oftware.
12.5.4 Fugas de informacin,
12.5"5 Externalizacin del desffollo de software.
12.6 Gtin de l vulnsrablidad tcnca.
1 2.6.1 Control de las vulnerabilidades tcnicas.
13. GENN OE NCDENTES E]{ LA SEGURIDAD DE LA INFORIIACil.
13,1 Notificacin de Gvsntos y punto$ dbile de seguridad de la

informacin.
1

3.1

.1

Notificacin de los eventos de seguridad de la informacin.

13.1.2 Noiifcacin de puntos dbiles de seguridad.


13.2 Gestin ds incidentes y mejoras de seguridad d6 la in{ormacin.
13.2.1 Responsablidades yprocedimientos.
13.2.2 Aprendizaje de los incidentes de seguridad de la informacin.
13.2.3 Recopilaoin de evidencias,
t4. GESTIN DE LA CONTIT,IUIDAD DEL NEGOCIO,
14.1 Aspectos de seguridad do la informacin e n la gestin de la

continuidad del negoelo.

de usuario,
los derechos de acceso de uuarro.

de usuario.
Usffde contraseas.
EquIpo de usuario desatendido

'14.1.1 lnclusn de la seguridad de la informacin en el proceso de


gestin de la connuidad del negocio.

14.1.2 Contnuidad del negocio y evaluacin de riesgos.


14.1.3 Desarrollo e implantacin de planes de continuidad que incluyan
'14,1

.4

la

segundad de l informacin,
Marco de referencia para la planificacin de la cont. del negocio.
Pruebas, mantenimiento y reevaluacin de planes de oontinuidad,

Politica de puesto de trabajo despejado y pantaila limp


14.1.5
de ccso a la red,
15. CUMPLISIEITo.
11.4.1 Politica de uso de los servicios en red.
15.1 Cumplimiento de los requisitos legales.
11.4.2 Autenticacin de usuario para conexons extemas.
15. 1.1 ldentificacin de la legislacin aplicable.
t 1,4.3 ldentificacin de los equipos en las redes.
15.1.2 Derechos de propiedad intelectual (DPl).
.l1,4.4 Proteccin de los puerlos de diagnstico y configuracin remotos.
15.1.3 Proieccin de los documentos de la organizacin.
11.4.5 Segregacin de las redes.
15.1.4 Proteccn de datos y privacidd de la informactn de carcter
1l.4.6 Control de la conexin a la red.
personal.
11 ,4.7 Control de encaminamiento (routing) de red.
15.1 .5 Prevencin del uso indebido de recursos de tratamiento de la
informacin.
1 1.5 Control de acceso al sistema operativo'
15.1.6 Regulacin de los controles criptogrficos.
1 I .5.1 Procedimientos seguros de inicio de sesin.
11.5.2 ldentificacin y autenticacin de usuario.
15.? Cumplimiento de las polltcas y norma de sgurdad y
11.5.3 Sistema de gestin de contraseas.
cumplimiento tcnico.
11 .5.4 Uso de los recursos del sistema.
15.2. 1 Cumplmiento de las politicas y normas de eguridad.
11.5.5 Desconexn aulomtica de sesin.
15.2.2 Comprobacin del cumpliminto tcnico.
11.5.6 Limitacn del tiempo de conexin,
15.3 Consideraciones sobre las audiiorias de los sistem. de infomracin.
't 1.6 Gontrol de acceso a las aplicaciones y a la informacin.
15.3.1 Controles de auditoria de los sistemas de informacin.
11.6.1 Restriccin del acceso a la informacin,
15.3-2 Proteccin de las herramientas de auditora de los sist. de inform.
11.6.2 Aslamiento de sistemas sensbles.

66cumenfo slo para uso didctico. La norma oficial debe adquirirse en entidades autorizada Dara u venta

Ver.4.0, 16-1-2011

CURSO DE INTRODUCCION Y

FUNDAMENTOS

INFORMATION
SECURITY

+N

Pf'l%u^^ll^l Sfi;"r^'

You might also like