Seguridad de Ia información ISO 27001

Seguridad de la información basada en ISO 27001:2013

La seguridad de la información según ISO 27001 y las politicas de seguridad son un componente crítico de la estrategia de  negocio de
cualquier organización. Nuestros servicios de seguridad de la información le permiten identificar los riesgos asociados a la información
dentro de su organización, definir políticas y procedimientos de acuerdo a los requerimientos de su negocio, identificar las herramientas
de tecnología que apoyen las políticas y controles e implementar un plan de concientización y entrenamiento a los usuarios de acuerdo
a los roles dentro de la organización. La seguridad de la información según ISO 27001 debe ser un proceso integral, que garantice
protección tanto de los aspectos físicos, lógicos e involucre el factor humano. En otras palabras un manejo unificado en contra de las
amenazas. Lo anterior basado en un Sistema de Gestión de la Seguridad de la Información o SGSI ISO 27001.

Para el desarrollo de los servicios de seguridad utilizamos estándares y recomendaciones de las mejores prácticas tales como: ISO
27001, ISO 27005, ISO 27032.. Tambien con la idea de hacer el servicio de seguridad de la informacion mas tangible se incluye
instalado y configurado de acuerdo a las politicas de seguridad un UTM, IPS, CFS  TZ-150 Sonicwall.

Descargar Brochure  TZ-150 Sonicwall

Evaluación de Riesgos ISO 27001:2013

La evaluación de riesgos basada en ISO 27001, ISO 27001, ISO 31000, identifica las amenazas, vulnerabilidades, y riesgos de la
información sobre la plataforma tecnológica de una organización, con el fin de generar  un plan de implementación de los controles que
aseguren un ambiente informático seguro, bajo los criterios de disponibilidad, confidencialidad e integridad de la información.

La evaluación ISO 27001:2013 cubre los siguientes aspectos:

     Evaluación con respecto a la norma ISO 27001 (Gap Analysis)
     Administración de la seguridad de la información.
     Pruebas de penetración (Qualys)
     Redes de Comunicaciones.
     Telefonía.
     Bases de Datos.
     Sistemas Operativos (Herramienta Qualys)
     Aplicaciones.(Recomendaciones sobre desarrollos seguros)
     Metodología de desarrollo
     Cumplimiento ISO 27001 (Dominios ISO 27001)
     Lista de verificación.
     Firewalls.




















Auditoría de  redes Inalámbricas.

El número de redes inalámbricas aumenta cada día por los beneficios que proveen a las organizaciones, sin embargo no se tienen en cuenta los riesgos inherentes a esta tecnología en su implementación.

El servicio de Auditoria de redes inalámbricas,  identifica las vulnerabilidades con los riesgos correspondientes y define un plan de
acción de los controles para mitigar dichos  riesgos.


Auditoría de Seguridad ISO 27001, CIRCULAR 052 Y PCI

El servicio de Auditoria o preauditoría de seguridad según ISO 27001 evalúa el  sistema de información  identifica vulnerabilidades y
practicas no recomendadas. Se revisa en conjunto el SGSI.

Los entregables del servicio incluyen un reporte con las vulnerabilidades, riesgos encontrados y las acciones para reducirlos. Este
servicio verifica el cumplimiento de acuerdo a lo definido en ISO 27001, CIRCULAR 052 Y PCI y sirve de apoyo en la obtención de la
certificación ofrecida por Icontec o PCI.

El consorcio PCI fue formado  by American Express, Discover Financial Services, JCB, MasterCard Worldwide y  Visa International en
Sept. 7, 2006. PCI DSS quiere decir Payment Card Industry Data Security Standard y busca  proteger la información de los usuarios y
luchar contra la suplantación y otros fraudes que se producen en Internet sobre las transacciones electrónicas.

Documento:  Auditoría PCI

Por otra parte, el servicio de Auditoria de la seguridad Circular 052 identifica los controles sobre los cuales no se tiene cumplimiento al
momento de la realización de la auditoría. Se busca en este proceso identificar de manera concisa y veraz si se está cumpliendo con el
modelo de seguridad alineado directamente con los controles establecidos por la circular 052. Una vez realizado este estudio, es decir,
la identificación de los controles sin soporte, se debe generar entonces un reporte de cumplimiento para que se tomen las medidas
correctivas adecuadas de acuerdo a un plan de acción definido y aprobado por las directivas



Definición de Políticas, Procedimientos y Estándares  de Seguridad de la Información ISO 27001.

Se entiende por política, las reglas generales de comportamiento definidas para la interacción entre los usuarios y los activos
informáticos. Las políticas son independientes de los ambientes propios de la entidad y representan la base de un modelo de
seguridad.

Las Políticas de seguridad dependen de la cultura de la organización. Por esta razón las políticas y procedimientos deben estar hechos
a la medida, según los requerimientos específicos de cada organización y la norma ISO 27001. Para la definición de las políticas y
procedimientos se realiza un proceso de validación  en conjunto con la organización con el fin  de generar políticas y procedimientos
que se ajusten a esta. Como punto de partida para la definición de las políticas se tendrá como referencia el análisis de riesgo
realizado, los controles del ISO ISO 27001.

Las políticas según ISO 27001 cubren los siguientes temas:

Seguridad en la Organización:

    o Roles y Responsabilidades de Seguridad de la Información
    o Políticas para la conexión con terceros.

Clasificación de la Información:

    o Importancia de la información según la organización.

Seguridad en el recurso Humano:

    o  Responsabilidades de seguridad de la información para los diferentes cargos.
    o  Entrenamiento a empleados en seguridad de la información como parte de su proceso de inducción y mejoramiento continuo.

Seguridad Física:

    o Seguridad ambiental
    o Control de Acceso físico.

Administración de las operaciones de cómputo y comunicaciones.

    o Políticas sobre el  uso del correo electrónico
    o Políticas sobre el  uso de Internet.
    o Políticas sobre el uso de recursos.

  • Control de Acceso.
  • Desarrollo y mantenimiento de Sistemas.
  • Continuidad de Negocio.
  • Conformidad con leyes civiles, legales y contractuales.

Las políticas ISO 27001 deben contener:

  1. Audiencia
  2. Introducción
  3. Definiciones
  4. Objetivo
  5. Enunciado de la Política
  6. Políticas  y Procedimientos relacionados
  7. Roles y responsabilidades
  8. Violaciones a la política

El servicio le ofrece a su organización  los siguientes beneficios:

  • Defnición de las políticas de seguridad de acuerdo a los objetivos y requerimientos de su negocio según la norma ISO 27001.
  • Estandarización de todos los sistemas de cómputo y comunicaciones dentro de su red.
  • Information Security Policies Made Easy por el experto en seguridad Consultor  Charles Cresson Wood, CISA, CISSP, La Versión
    10 incluye una colección de  1360+ Políticas de seguridad ISO 27001 usadas por el  70% de los  Fortune 100.

Definición de Procedimientos de Seguridad ISO 27001

Los procedimientos son la descripción detallada de la manera como se implanta una política. El procedimiento incluye todas las
actividades requeridas, los roles y responsabilidades de las personas encargadas de llevarlos a cabo.

Los procedimientos a definir son los siguientes según ISO 27001:

Administración de cuentas de usuario.
Manejo de Incidentes
Manejo de Virus
Administración de cuentas privilegiadas.
Procedimiento de Control de Cambios.
Procedimiento de Acceso al edificio.
Procedimiento de acceso al centro de Cómputo.
Procedimiento de respaldo

Definición de estándares de seguridad ISO 27001

Es la definición cuantitativa o cualitativa de un valor o parámetro determinado que puede estar incluido en una política o procedimiento.

Algunos de los principales estándares a definir son:

Longitudes de contraseñas
Histórico de contraseñas
Eventos a registrar en logs
Estándares de seguridad en Switches
Estándares de seguridad Routers
VPN
Sistemas Operativos
DESCARGAR: Estándares de seguridad Firewall

Diseño de Arquitectura de Seguridad ISO 27001.

La arquitectura de seguridad, debe ser el resultado de un proceso que considere las diferentes vulnerabilidades existentes en un sistema de información. Por otro lado una de sus entradas es la matriz de riesgo realizada durante el proceso anteriormente descrito. Utilizando esta
información la arquitectura de seguridad debe definir los elementos tanto de software como de hardware,  que integrados adecuadamente permitan realizar
el proceso de mitigación de posibles impactos sobre la infraestructura de información.   En otras palabras la arquitectura de seguridad debe considerar la
utilización de los siguientes elementos:

Control de Acceso Biométricos.
IPS.
Monitoreo Ambiental.
Detección de Intrusos Fisicos.
Manejo de Ancho de Banda.
VPN
Firewall: Arquitectura Sonicwall.
Unified Threat Management UTM
Algoritmos de Seguridad.
Seguridad en la red.
DESCARGAR: Seguridad en el acceso remoto.

POLITICAS ISO 27001:2013

1        INTRODUCCIÓN        7
2        ALCANCE DE LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN        7
3        PROPÓSITOS DE LA POLÍTICAS        8
4        ROLES Y RESPONSABILIDADES        8
5        VIOLACIONES A LA POLÍTICA        8
6        REVISIÓN DE LA POLÍTICA        8
7        TÉRMINOS Y DEFINICIONES  UTILIZADOS EN ESTE DOCUMENTO        8
8        DOMINIOS DE ISO 27001        10
9        POLÍTICAS        11
9.1        Política de Seguridad        11
9.2        Organización de la seguridad de la información        12
9.2.1        Organización Interna        12
9.2.1.1        Compromiso de la gerencia con la Seguridad de la Información        12
9.2.1.1.1        Funciones del Comité de Seguridad de la información        12
9.2.1.2        Coordinación de la Seguridad de la Información        13
9.2.1.3        Asignación de responsabilidades para la Seguridad de la Información        13
9.2.1.3.1        Oficial de Seguridad        14
9.2.1.3.2        Comité de seguridad        14
9.2.1.3.3        Dueños de la Información        14
9.2.1.3.4        La gerencia        14
9.2.1.3.5        Empleados        14
9.2.1.3.6        Contratistas, proveedores y terceros        14
9.2.1.3.7        Administradores de los sistemas        15
9.2.1.4        Autorización para nuevos servicios de procesamiento de la Información        15
9.2.1.5        Acuerdos de confidencialidad        16
9.2.1.6        Contactos con las autoridades        16
9.2.1.7        Contactos con grupos de interés        16
9.2.1.8        Revisión independiente de la Seguridad de la Información.        16
9.3      
  Gestión de los activos de información        17
9.3.1        Responsabilidad por los activos        17
9.3.1.1        Inventario de Activos        17
9.3.1.2        Propiedad de los activos        18
9.3.1.3        Uso aceptable de los activos        19
9.3.1.3.1        Escritorios libres en horas no laborales        19
9.3.1.3.2        Escritorios libres en horas habituales de trabajo        19
9.3.1.3.3        Manejo de Información en horario laboral        19
9.3.1.3.4        Áreas Desatendidas        19
9.3.1.3.5        Almacenamiento de Información sensitiva o confidencial        19
9.3.1.3.6        Apagado y bloqueo de Estaciones de Trabajo        19
9.4       
 Seguridad del Recurso Humano        20
9.4.1        Antes de la contratación laboral        20
9.4.1.1        Roles y responsabilidades        20
9.4.1.2        Selección        20
9.4.1.3        Términos laborales        20
9.4.2        Durante la vigencia de la contratación laboral        20
9.4.2.1        Responsabilidades de la gerencia        21
9.4.2.2        Entrenamiento, educación y formación        21
9.4.2.3        Proceso disciplinario        23
9.4.3        Terminación o cambio de la contratación laboral        23
9.4.3.1        Responsabilidades en la terminación        23
9.4.3.2        Devolución de activos        24
9.4.3.3        Retiro de los derechos de acceso        24
9.5        
Seguridad Física y Ambiental        24
9.5.1        Áreas seguras        24
9.5.1.1        Perímetro de seguridad física        24
9.5.1.2        Controles de seguridad física        25
9.5.1.3        Seguridad de oficinas, recintos e instalaciones        25
9.5.1.4        Protección contra amenazas externas y ambientales        25
9.5.1.5        Trabajo en áreas seguras        26
9.5.1.6        Áreas de carga, despacho y acceso público        26
9.5.2        Seguridad de los equipos        26
9.5.2.1        Ubicación y protección de los equipos        27
9.5.3        Almacenamiento de cintas de respaldo        27
9.5.3.1        Servicios de suministros        27
9.5.3.2        Seguridad del cableado        27
9.5.3.3        Mantenimiento de los equipos        28
9.5.3.4        Seguridad de los equipos fuera de las instalaciones        28
9.5.3.5        Seguridad en la reutilización o eliminación de equipos        28
9.5.3.6        Retiro de activos        29
9.6        
Gestión de comunicaciones y operaciones        30
9.6.1        Procedimientos operacionales y responsabilidades        30
9.6.1.1        Documentación de los procedimientos operativos        30
9.6.1.2        Gestión del Cambio        30
9.6.1.3        Distribución de funciones        30
9.6.1.4        Separación de ambientes        31
9.6.2        Planificación y aceptación del sistema        31
9.6.2.1        Gestión de la capacidad        31
9.6.2.2        Aceptación del sistema        31
9.6.3        Protección contra código malicioso o móvil        31
9.6.3.1        Controles contra código Malicioso        31
9.6.3.2        Controles contra códigos móviles        32
9.6.4        Respaldo        32
9.6.4.1        Respaldo de la información        32
9.6.5        Gestión de la seguridad en las redes        33
9.6.5.1        Controles de las redes        33
9.6.5.2        Seguridad de los servicios de red        33
9.6.6        Manejo de los medios        34
9.6.6.1        Gestión de los medios removibles        35
9.6.6.2        Eliminación de medios        35
9.6.6.3        Procedimiento para el manejo de la información        35
9.6.6.4        Seguridad de la documentación del sistema        35
9.6.7        Intercambio de la información        35
9.6.7.1        Políticas y procedimientos para el intercambio de información        36
9.6.7.2        Acuerdos para el intercambio        36
9.6.7.3        Mensajería electrónica        36
9.6.8        Monitoreo        36
9.6.8.1        Registro de auditorias        36
9.6.8.2        Monitoreo del uso del sistema        37
9.6.8.3        Protección de la información de los registros        37
9.6.8.4        Registros del administrador y operador        37
9.6.8.5        Registros de falla        37
9.6.8.6        Sincronización de relojes        37
9.7       
 Control de Acceso        38
9.7.1        Requisitos del negocio para el control de acceso        38
9.7.1.1        Política de control de acceso        38
9.7.2        Gestión de acceso de los usuarios        38
9.7.2.1        Registro de usuarios        38
9.7.2.2        Gestión de privilegios        38
9.7.2.3        Gestión de contraseñas para usuarios        38
9.7.2.4        Revisión de los derechos de acceso de los usuarios        39
9.7.3        Responsabilidades de los usuarios        39
9.7.3.1        Uso de contraseñas        39
9.7.3.2        Equipo de usuario desatendido        39
9.7.3.3        Política de escritorio despejado y pantalla despejada        39
9.7.4        Control de acceso a las redes        40
9.7.4.1        Política de uso de los servicios de red        40
9.7.4.2        Autenticación de usuarios para conexiones externas.        41
9.7.4.3        Identificación de los equipos en las redes        41
9.7.4.4        Protección de los puertos de configuración y diagnóstico remoto        41
9.7.4.5        Separación en las redes        42
9.7.4.6        Control de conexión a las redes        42
9.7.5        Control de acceso al sistema operativo        42
9.7.5.1        Procedimiento de ingresos seguros        42
9.7.5.2        Identificación y autenticación de usuarios        42
9.7.5.3        Sistemas de Gestión de contraseñas.        43
9.7.5.4        Uso de las utilidades del sistema.        43
9.7.5.5        Tiempo de inactividad de la sesión        43
9.7.6        Control de acceso a las aplicaciones y a la información.        44
9.7.6.1        Restricción de acceso a la información        44
9.7.6.2        Aislamiento de sistemas sensibles        44
9.7.7        Computación móvil y trabajo remoto        44
9.7.7.1        Computación y comunicaciones móviles        44
9.7.7.2        Trabajo remoto        44
9.8        
Adquisición, desarrollo y mantenimiento de sistemas de información.        45
9.8.1        Requisitos de seguridad de los sistemas de información        45
9.8.1.1        Análisis y especificaciones de los requisitos de seguridad.        45
9.8.2        Procesamiento correcto de las aplicaciones        45
9.8.2.1        Validación de los datos de entrada        45
9.8.2.2        Control de procesamiento interno        46
9.8.2.3        Integridad del mensaje        46
9.8.2.4        Validación de los datos de salida        46
9.8.3        Controles criptográficos        46
9.8.3.1        Política sobre el uso de los controles criptográficos        46
9.8.4        Seguridad de los archivos del sistema        46
9.8.4.1        Control de software operativo        46
9.8.4.2        Protección de los datos de pruebas del sistema        47
9.8.4.3        Control de acceso al código fuente de los programas        47
9.8.5        Seguridad en los procesos de desarrollo y soporte        47
9.8.5.1        Procedimientos de control de cambios        47
9.8.5.2        Revisión técnica de las aplicaciones después de los cambios en el sistema
operativo        47
9.8.5.3      
  Restricción en los cambios a los paquetes de software        47
9.8.5.4        Fuga de información        48
9.8.5.5        Desarrollo de software contratado externamente        48
9.8.6        Gestión de la vulnerabilidad técnica        48
9.8.6.1        Control de vulnerabilidades técnicas        48
9.9        Gestión de los incidentes de la seguridad de la información        48
9.9.1        Reporte sobre los eventos y las debilidades de la seguridad de la información        48
9.9.1.1        Reporte sobre los eventos de la seguridad de la información        49
9.9.1.2        Reporte sobre las debilidades de la seguridad de la información        49
9.9.2        Gestión de los incidentes y las mejoras en la seguridad de la información        49
9.9.2.1        Responsabilidades y procedimientos.        49
9.9.2.2        Aprendizaje debido a los incidentes de seguridad de la Información        49
9.9.2.3        Recolección de evidencia        49


Dominios de la norma ISO 27001:2013

Política de seguridad: Constituye el presente documento, y es donde se estipulan las políticas con respecto a la seguridad de la información  siguiendo los lineamientos dados por ISO 27001.

Organización de la seguridad: Gestionar  la seguridad de la información dentro de X. (Roles, compromisos, autorizaciones, acuerdos,
manejo con terceros)

Gestión de activos: Se relaciona con el mantenimiento y protección apropiados de todos los activos de información.

Seguridad del Recurso Humano: Este dominio busca asegurar que empleados, contratistas y terceros entiendan sus
responsabilidades y sean adecuados para los roles a desempeñar minimizando los riesgos relacionados con personal.

Seguridad Física y del entorno: Busca prevenir accesos físicos no autorizados (perímetro), daños o interferencias a las instalaciones y
a su información.

Gestión de comunicaciones y operaciones: Se busca asegurar la correcta y segura operación de las áreas de procesamiento de
información (actividades operativas y concernientes a la plataforma tecnológica).

Control de acceso: Se realiza el control físico o lógico de los accesos a los activos de la información, incluyendo por ejemplo acceso
físico a los sistemas operativos o aplicaciones.

Adquisición, desarrollo y  mantenimiento de sistemas de información: Asegurar la inclusión de todos los controles de seguridad en
los sistemas de información nuevos o en funcionamiento (infraestructura, aplicaciones, servicios, etc.). También regula la adquisición
de software para la organización y los contratos de soporte y mantenimiento asociados a ellos.

Gestión de incidentes de seguridad: Permitir que los eventos de seguridad de la información y las debilidades asociadas con los
sistemas de información, sean comunicados de tal manera que se tome una acción correctiva adecuada y en el momento indicado.

Gestión de la continuidad del negocio: Enfocado en reaccionar en contra de interrupciones a las actividades de la función misional y en
proteger los procesos  críticos contra fallas mayores en los sistemas de información o desastres, y por otro lado, asegurar que se
recuperen a tiempo.

Cumplimiento: Busca prevenir el incumplimiento total o parcial de las leyes, estatutos, regulaciones u obligaciones contractuales que
se relacionen con los controles de seguridad.