Seguridad de Ia información ISO 27001

Seguridad de la información basada en ISO 27001:2013

La seguridad de la información según ISO 27001 y las politicas de seguridad son un componente crítico de la
estrategia de negocio de
cualquier organización. Nuestros servicios de seguridad de la información le permiten identificar los riesgos
asociados a la información
dentro de su organización, definir políticas y procedimientos de acuerdo a los requerimientos de su negocio,
identificar las herramientas
de tecnología que apoyen las políticas y controles e implementar un plan de concientización y entrenamiento a
los usuarios de acuerdo
a los roles dentro de la organización. La seguridad de la información según ISO 27001 debe ser un proceso
integral, que garantice
protección tanto de los aspectos físicos, lógicos e involucre el factor humano. En otras palabras un manejo
unificado en contra de las
amenazas. Lo anterior basado en un Sistema de Gestión de la Seguridad de la Información o SGSI ISO
27001.

Para el desarrollo de los servicios de seguridad utilizamos estándares y recomendaciones de las mejores
prácticas tales como: ISO
27001, ISO 27005, ISO 27032.. Tambien con la idea de hacer el servicio de seguridad de la informacion mas
tangible se incluye
instalado y configurado de acuerdo a las politicas de seguridad un UTM, IPS, CFS TZ-150 Sonicwall.

Descargar Brochure TZ-150 Sonicwall

Evaluación de Riesgos ISO 27001:2013

La evaluación de riesgos basada en ISO 27001, ISO 27001, ISO 31000, identifica las amenazas,
vulnerabilidades, y riesgos de la
información sobre la plataforma tecnológica de una organización, con el fin de generar un plan de
implementación de los controles que
aseguren un ambiente informático seguro, bajo los criterios de disponibilidad, confidencialidad e integridad de
la información.

La evaluación ISO 27001:2013 cubre los siguientes aspectos:

Evaluación con respecto a la norma ISO 27001 (Gap Analysis)

Administración de la seguridad de la información.

Pruebas de penetración (Qualys)
Redes de Comunicaciones.
Telefonía.
Bases de Datos.
Sistemas Operativos (Herramienta Qualys)
Aplicaciones.(Recomendaciones sobre desarrollos seguros)
Metodología de desarrollo
Cumplimiento ISO 27001 (Dominios ISO 27001)
Lista de verificación.
Firewalls.
  GFI Languard Scanner: Análisis de vulnerabilidades en Windows y Linux pdf

 Descargar: Metodologia analisis de riesgo pdf

 Mejores Practicas de Seguridad PPT

 Metodología analisis de vulnerabilidades

Auditoría de redes Inalámbricas.

El número de redes inalámbricas aumenta cada día por los beneficios que proveen a las organizaciones, sin
embargo no se tienen en cuenta los riesgos inherentes a esta tecnología en su implementación.

El servicio de Auditoria de redes inalámbricas, identifica las vulnerabilidades con los riesgos correspondientes
y define un plan de
acción de los controles para mitigar dichos riesgos.

Auditoría de Seguridad ISO 27001, CIRCULAR 052 Y PCI

El servicio de Auditoria o preauditoría de seguridad según ISO 27001 evalúa el sistema de

información identifica vulnerabilidades y
practicas no recomendadas. Se revisa en conjunto el SGSI.

Los entregables del servicio incluyen un reporte con las vulnerabilidades, riesgos encontrados y las acciones
para reducirlos. Este
servicio verifica el cumplimiento de acuerdo a lo definido en ISO 27001, CIRCULAR 052 Y PCI y sirve de
apoyo en la obtención de la
certificación ofrecida por Icontec o PCI.

El consorcio PCI fue formado by American Express, Discover Financial Services, JCB, MasterCard Worldwide
y Visa International en
Sept. 7, 2006. PCI DSS quiere decir Payment Card Industry Data Security Standard y busca proteger la
información de los usuarios y
luchar contra la suplantación y otros fraudes que se producen en Internet sobre las transacciones electrónicas.

Documento: Auditoría PCI

Por otra parte, el servicio de Auditoria de la seguridad Circular 052 identifica los controles sobre los cuales no
se tiene cumplimiento al
momento de la realización de la auditoría. Se busca en este proceso identificar de manera concisa y veraz si
se está cumpliendo con el
modelo de seguridad alineado directamente con los controles establecidos por la circular 052. Una vez
realizado este estudio, es decir,
la identificación de los controles sin soporte, se debe generar entonces un reporte de cumplimiento para que
se tomen las medidas
correctivas adecuadas de acuerdo a un plan de acción definido y aprobado por las directivas

 Documento: Auditoría Circular 052

 Documento: Herramienta de Auditoría PCI

 Documento: Cuestionario infraestructura

 Declaracion de aplicabilidad ISO 27001

Definición de Políticas, Procedimientos y Estándares de Seguridad de la Información ISO 27001.

Se entiende por política, las reglas generales de comportamiento definidas para la interacción entre los
usuarios y los activos
informáticos. Las políticas son independientes de los ambientes propios de la entidad y representan la base
de un modelo de
seguridad.

Las Políticas de seguridad dependen de la cultura de la organización. Por esta razón las políticas y
procedimientos deben estar hechos
a la medida, según los requerimientos específicos de cada organización y la norma ISO 27001. Para la
definición de las políticas y
procedimientos se realiza un proceso de validación en conjunto con la organización con el fin de generar
políticas y procedimientos
que se ajusten a esta. Como punto de partida para la definición de las políticas se tendrá como referencia el
análisis de riesgo
realizado, los controles del ISO ISO 27001.

Las políticas según ISO 27001 cubren los siguientes temas:

Seguridad en la Organización:

o Roles y Responsabilidades de Seguridad de la Información

o Políticas para la conexión con terceros.

Clasificación de la Información:

o Importancia de la información según la organización.

Seguridad en el recurso Humano:

o Responsabilidades de seguridad de la información para los diferentes cargos.

o Entrenamiento a empleados en seguridad de la información como parte de su proceso de inducción
y mejoramiento continuo.

Seguridad Física:

o Seguridad ambiental
o Control de Acceso físico.

Administración de las operaciones de cómputo y comunicaciones.

o Políticas sobre el uso del correo electrónico

o Políticas sobre el uso de Internet.
o Políticas sobre el uso de recursos.
  Control de Acceso.
 Desarrollo y mantenimiento de Sistemas.
 Continuidad de Negocio.
 Conformidad con leyes civiles, legales y contractuales.

Las políticas ISO 27001 deben contener:

1. Audiencia
2. Introducción
3. Definiciones
4. Objetivo
5. Enunciado de la Política
6. Políticas y Procedimientos relacionados
7. Roles y responsabilidades
8. Violaciones a la política

El servicio le ofrece a su organización los siguientes beneficios:

 Defnición de las políticas de seguridad de acuerdo a los objetivos y requerimientos de su negocio

según la norma ISO 27001.
 Estandarización de todos los sistemas de cómputo y comunicaciones dentro de su red.
 Information Security Policies Made Easy por el experto en seguridad Consultor Charles Cresson
Wood, CISA, CISSP, La Versión
10 incluye una colección de 1360+ Políticas de seguridad ISO 27001 usadas por el 70% de
los Fortune 100.

Definición de Procedimientos de Seguridad ISO 27001

Los procedimientos son la descripción detallada de la manera como se implanta una política. El procedimiento
incluye todas las
actividades requeridas, los roles y responsabilidades de las personas encargadas de llevarlos a cabo.

Los procedimientos a definir son los siguientes según ISO 27001:

Administración de cuentas de usuario.

Manejo de Incidentes
Manejo de Virus
Administración de cuentas privilegiadas.
Procedimiento de Control de Cambios.
Procedimiento de Acceso al edificio.
Procedimiento de acceso al centro de Cómputo.
Procedimiento de respaldo

Definición de estándares de seguridad ISO 27001

Es la definición cuantitativa o cualitativa de un valor o parámetro determinado que puede estar incluido en una
política o procedimiento.

Algunos de los principales estándares a definir son:

Longitudes de contraseñas
Histórico de contraseñas
Eventos a registrar en logs
Estándares de seguridad en Switches
Estándares de seguridad Routers
VPN
 Sistemas Operativos
DESCARGAR: Estándares de seguridad Firewall

Diseño de Arquitectura de Seguridad ISO 27001.

La arquitectura de seguridad, debe ser el resultado de un proceso que considere las diferentes
vulnerabilidades existentes en un sistema de información. Por otro lado una de sus entradas es la matriz de riesgo realizada
durante el proceso anteriormente descrito. Utilizando esta
información la arquitectura de seguridad debe definir los elementos tanto de software como de hardware, que integrados
adecuadamente permitan realizar
el proceso de mitigación de posibles impactos sobre la infraestructura de información. En otras palabras la arquitectura de
seguridad debe considerar la
utilización de los siguientes elementos:

Control de Acceso Biométricos.

IPS.
Monitoreo Ambiental.
Detección de Intrusos Fisicos.
Manejo de Ancho de Banda.
VPN
Firewall: Arquitectura Sonicwall.
Unified Threat Management UTM
Algoritmos de Seguridad.
Seguridad en la red.
DESCARGAR: Seguridad en el acceso remoto.

POLITICAS ISO 27001:2013

1 INTRODUCCIÓN 7
2 ALCANCE DE LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN 7
3 PROPÓSITOS DE LA POLÍTICAS 8
4 ROLES Y RESPONSABILIDADES 8
5 VIOLACIONES A LA POLÍTICA 8
6 REVISIÓN DE LA POLÍTICA 8
7 TÉRMINOS Y DEFINICIONES UTILIZADOS EN ESTE DOCUMENTO 8
8 DOMINIOS DE ISO 27001 10
9 POLÍTICAS 11
9.1 Política de Seguridad 11
9.2 Organización de la seguridad de la información 12
9.2.1 Organización Interna 12
9.2.1.1 Compromiso de la gerencia con la Seguridad de la Información 12
9.2.1.1.1 Funciones del Comité de Seguridad de la información 12
9.2.1.2 Coordinación de la Seguridad de la Información 13
9.2.1.3 Asignación de responsabilidades para la Seguridad de la Información 13
9.2.1.3.1 Oficial de Seguridad 14
9.2.1.3.2 Comité de seguridad 14
9.2.1.3.3 Dueños de la Información 14
9.2.1.3.4 La gerencia 14
9.2.1.3.5 Empleados 14
9.2.1.3.6 Contratistas, proveedores y terceros 14
9.2.1.3.7 Administradores de los sistemas 15
9.2.1.4 Autorización para nuevos servicios de procesamiento de la Información 15
9.2.1.5 Acuerdos de confidencialidad 16
9.2.1.6 Contactos con las autoridades 16
9.2.1.7 Contactos con grupos de interés 16
9.2.1.8 Revisión independiente de la Seguridad de la Información. 16
9.3 Gestión de los activos de información 17
9.3.1 Responsabilidad por los activos 17
9.3.1.1 Inventario de Activos 17
9.3.1.2 Propiedad de los activos 18
9.3.1.3 Uso aceptable de los activos 19
9.3.1.3.1 Escritorios libres en horas no laborales 19
9.3.1.3.2 Escritorios libres en horas habituales de trabajo 19
9.3.1.3.3 Manejo de Información en horario laboral 19
9.3.1.3.4 Áreas Desatendidas 19
9.3.1.3.5 Almacenamiento de Información sensitiva o confidencial 19
9.3.1.3.6 Apagado y bloqueo de Estaciones de Trabajo 19
9.4 Seguridad del Recurso Humano 20
9.4.1 Antes de la contratación laboral 20
9.4.1.1 Roles y responsabilidades 20
9.4.1.2 Selección 20
9.4.1.3 Términos laborales 20
9.4.2 Durante la vigencia de la contratación laboral 20
9.4.2.1 Responsabilidades de la gerencia 21
9.4.2.2 Entrenamiento, educación y formación 21
9.4.2.3 Proceso disciplinario 23
9.4.3 Terminación o cambio de la contratación laboral 23
9.4.3.1 Responsabilidades en la terminación 23
9.4.3.2 Devolución de activos 24
9.4.3.3 Retiro de los derechos de acceso 24
9.5 Seguridad Física y Ambiental 24
9.5.1 Áreas seguras 24
9.5.1.1 Perímetro de seguridad física 24
9.5.1.2 Controles de seguridad física 25
9.5.1.3 Seguridad de oficinas, recintos e instalaciones 25
9.5.1.4 Protección contra amenazas externas y ambientales 25
9.5.1.5 Trabajo en áreas seguras 26
9.5.1.6 Áreas de carga, despacho y acceso público 26
9.5.2 Seguridad de los equipos 26
9.5.2.1 Ubicación y protección de los equipos 27
9.5.3 Almacenamiento de cintas de respaldo 27
9.5.3.1 Servicios de suministros 27
9.5.3.2 Seguridad del cableado 27
9.5.3.3 Mantenimiento de los equipos 28
9.5.3.4 Seguridad de los equipos fuera de las instalaciones 28
9.5.3.5 Seguridad en la reutilización o eliminación de equipos 28
9.5.3.6 Retiro de activos 29
9.6 Gestión de comunicaciones y operaciones 30
9.6.1 Procedimientos operacionales y responsabilidades 30
9.6.1.1 Documentación de los procedimientos operativos 30
9.6.1.2 Gestión del Cambio 30
9.6.1.3 Distribución de funciones 30
9.6.1.4 Separación de ambientes 31
9.6.2 Planificación y aceptación del sistema 31
9.6.2.1 Gestión de la capacidad 31
9.6.2.2 Aceptación del sistema 31
9.6.3 Protección contra código malicioso o móvil 31
9.6.3.1 Controles contra código Malicioso 31
9.6.3.2 Controles contra códigos móviles 32
9.6.4 Respaldo 32
9.6.4.1 Respaldo de la información 32
9.6.5 Gestión de la seguridad en las redes 33
9.6.5.1 Controles de las redes 33
9.6.5.2 Seguridad de los servicios de red 33
9.6.6 Manejo de los medios 34
9.6.6.1 Gestión de los medios removibles 35
9.6.6.2 Eliminación de medios 35
9.6.6.3 Procedimiento para el manejo de la información 35
9.6.6.4 Seguridad de la documentación del sistema 35
9.6.7 Intercambio de la información 35
9.6.7.1 Políticas y procedimientos para el intercambio de información 36
9.6.7.2 Acuerdos para el intercambio 36
9.6.7.3 Mensajería electrónica 36
9.6.8 Monitoreo 36
9.6.8.1 Registro de auditorias 36
9.6.8.2 Monitoreo del uso del sistema 37
9.6.8.3 Protección de la información de los registros 37
9.6.8.4 Registros del administrador y operador 37
9.6.8.5 Registros de falla 37
9.6.8.6 Sincronización de relojes 37
9.7 Control de Acceso 38
9.7.1 Requisitos del negocio para el control de acceso 38
9.7.1.1 Política de control de acceso 38
9.7.2 Gestión de acceso de los usuarios 38
9.7.2.1 Registro de usuarios 38
9.7.2.2 Gestión de privilegios 38
9.7.2.3 Gestión de contraseñas para usuarios 38
9.7.2.4 Revisión de los derechos de acceso de los usuarios 39
9.7.3 Responsabilidades de los usuarios 39
9.7.3.1 Uso de contraseñas 39
9.7.3.2 Equipo de usuario desatendido 39
9.7.3.3 Política de escritorio despejado y pantalla despejada 39
9.7.4 Control de acceso a las redes 40
9.7.4.1 Política de uso de los servicios de red 40
9.7.4.2 Autenticación de usuarios para conexiones externas. 41
9.7.4.3 Identificación de los equipos en las redes 41
9.7.4.4 Protección de los puertos de configuración y diagnóstico remoto 41
9.7.4.5 Separación en las redes 42
9.7.4.6 Control de conexión a las redes 42
9.7.5 Control de acceso al sistema operativo 42
9.7.5.1 Procedimiento de ingresos seguros 42
9.7.5.2 Identificación y autenticación de usuarios 42
9.7.5.3 Sistemas de Gestión de contraseñas. 43
9.7.5.4 Uso de las utilidades del sistema. 43
9.7.5.5 Tiempo de inactividad de la sesión 43
9.7.6 Control de acceso a las aplicaciones y a la información. 44
9.7.6.1 Restricción de acceso a la información 44
9.7.6.2 Aislamiento de sistemas sensibles 44
9.7.7 Computación móvil y trabajo remoto 44
9.7.7.1 Computación y comunicaciones móviles 44
9.7.7.2 Trabajo remoto 44
9.8 Adquisición, desarrollo y mantenimiento de sistemas de información. 45
9.8.1 Requisitos de seguridad de los sistemas de información 45
9.8.1.1 Análisis y especificaciones de los requisitos de seguridad. 45
9.8.2 Procesamiento correcto de las aplicaciones 45
9.8.2.1 Validación de los datos de entrada 45
9.8.2.2 Control de procesamiento interno 46
9.8.2.3 Integridad del mensaje 46
9.8.2.4 Validación de los datos de salida 46
9.8.3 Controles criptográficos 46
9.8.3.1 Política sobre el uso de los controles criptográficos 46
9.8.4 Seguridad de los archivos del sistema 46
9.8.4.1 Control de software operativo 46
9.8.4.2 Protección de los datos de pruebas del sistema 47
9.8.4.3 Control de acceso al código fuente de los programas 47
9.8.5 Seguridad en los procesos de desarrollo y soporte 47
9.8.5.1 Procedimientos de control de cambios 47
9.8.5.2 Revisión técnica de las aplicaciones después de los cambios en el sistema operativo 47
9.8.5.3 Restricción en los cambios a los paquetes de software 47
9.8.5.4 Fuga de información 48
9.8.5.5 Desarrollo de software contratado externamente 48
9.8.6 Gestión de la vulnerabilidad técnica 48
9.8.6.1 Control de vulnerabilidades técnicas 48
9.9 Gestión de los incidentes de la seguridad de la información 48
9.9.1 Reporte sobre los eventos y las debilidades de la seguridad de la información 48
9.9.1.1 Reporte sobre los eventos de la seguridad de la información 49
9.9.1.2 Reporte sobre las debilidades de la seguridad de la información 49
9.9.2 Gestión de los incidentes y las mejoras en la seguridad de la información 49
9.9.2.1 Responsabilidades y procedimientos. 49
9.9.2.2 Aprendizaje debido a los incidentes de seguridad de la Información 49
9.9.2.3 Recolección de evidencia 49

Dominios de la norma ISO 27001:2013

Política de seguridad: Constituye el presente documento, y es donde se estipulan las políticas con respecto
a la seguridad de la información siguiendo los lineamientos dados por ISO 27001.

Organización de la seguridad: Gestionar la seguridad de la información dentro de X. (Roles, compromisos,

autorizaciones, acuerdos,
manejo con terceros)

Gestión de activos: Se relaciona con el mantenimiento y protección apropiados de todos los activos de
información.

Seguridad del Recurso Humano: Este dominio busca asegurar que empleados, contratistas y terceros
entiendan sus
responsabilidades y sean adecuados para los roles a desempeñar minimizando los riesgos relacionados con
personal.

Seguridad Física y del entorno: Busca prevenir accesos físicos no autorizados (perímetro), daños o
interferencias a las instalaciones y
a su información.

Gestión de comunicaciones y operaciones: Se busca asegurar la correcta y segura operación de las áreas
de procesamiento de
información (actividades operativas y concernientes a la plataforma tecnológica).

Control de acceso: Se realiza el control físico o lógico de los accesos a los activos de la información,
incluyendo por ejemplo acceso
físico a los sistemas operativos o aplicaciones.

Adquisición, desarrollo y mantenimiento de sistemas de información: Asegurar la inclusión de todos los

controles de seguridad en
los sistemas de información nuevos o en funcionamiento (infraestructura, aplicaciones, servicios, etc.).
También regula la adquisición
de software para la organización y los contratos de soporte y mantenimiento asociados a ellos.

Gestión de incidentes de seguridad: Permitir que los eventos de seguridad de la información y las
debilidades asociadas con los
sistemas de información, sean comunicados de tal manera que se tome una acción correctiva adecuada y en
el momento indicado.

Gestión de la continuidad del negocio: Enfocado en reaccionar en contra de interrupciones a las

actividades de la función misional y en
proteger los procesos críticos contra fallas mayores en los sistemas de información o desastres, y por otro
lado, asegurar que se
recuperen a tiempo.

Cumplimiento: Busca prevenir el incumplimiento total o parcial de las leyes, estatutos, regulaciones u
obligaciones contractuales que
se relacionen con los controles de seguridad.