ESTANDARES DE

SEGURIDAD TI
CERTIFICACIÓN DE SISTEMAS DE GESTIÓN
DE SEGURIDAD DE INFORMACIÓN
• Una certificación externa acredita que la organización ha definido y desplegado procesos de
seguridad de la información efectivos

• Como resultado, la organización estará en mejor posición para establecer relaciones de confianza
con sus clientes o usuarios.

• Un proceso de certificación ayuda a la organización a enfocarse en el mejoramiento continuo de

sus procesos de seguridad de información

• La certificación y la revisión regular de externos, asegura que la organización mantiene su

sistema de seguridad de información vigente y que sigue asegurando su habilidad de operar

ECP
2
MARCO DE POLÍTICAS DE SEGURIDAD DE
INFORMACIÓN

• FISMA – Federal Information Security Management Act

• ISO/IEC 27001: - International Standards Organization
• COBIT – Control Objectives for Information and Related
Technology
• NISTSP 800-53: National Institute of Standard and
Technology
• NTP ISO/IEC: Norma Técnica Peruana

ECP
3
MARCO DE POLÍTICAS DE SEGURIDAD DE
INFORMACIÓN

• ORGANISMO
DE
NORMALIZACIÓN
NACIONAL
 INACAL: Instituto Nacional de
Calidad:
 NTP ISO/IEC 270XX

ECP
4
FISMA

• Federal Information Security Management Act

• Marco de seguridad auspiciado por NIST
• Documento principal:
 Special Publication (SP) 800 – 53: Security and Privacy Controls for Information
Systems and Organizations.

• Los controles de seguridad de información y privacidad descritos en NIST

SP 800-53 están bien definidos y organizados.
• Cada control pertenece a una de las 18 familias de controles

ECP
5
FISMA

• Familias de controles

ECP
6
FISMA

• Documentos de
proyecto de
implementación
FISMA

ECP
7
FISMA

• Beneficios de FISMA
 Estándar de aceptación industrial
 Incluye guía que explican y sustentan casi todos los controles
 Existen mapas de FISMA a otras normas de seguridad

ECP
8
ISO 27001:2013

• Estándar de seguridad de información creado por la

International Standard Organization (ISO) y la International
Electrotechnical Commission (IEC)
• Titulo:
“Information Technology – Security Techniques –
Information Security Management Systems – Requirements”
• Se conoce como ISO 27001

ECP
9
ISO 27001:2013

• El
estándar especifica un SGSI: Sistema de Gestión de
Seguridad de Información (ISMS – Information Security
Management System).
• Un SGSI es un conjunto de políticas, procedimientos y
procesos organizacionales que describen requerimientos y
procesos de implementación de controles físicos,
administrativos y técnicos para proteger los activos de
información organizacionales

ECP
10
ISO 27001:2013

• ISO 27001 se desarrollo en 2005, basado en los estándares

británicos BS7799-1, BS7799-2, BS17799-1 y BS17799-2

ECP
11
ISO 27001:2013

• ISO27001 tiene siete clausulas y referencia a 114 controles en

14 grupos
• Elanexo A de la norma incluye un conjunto de controles que
proveen una estructura adicional para un conjunto de políticas
de seguridad de información

ECP
12
ISO 27001:2013 – ANEXO A

ECP
13
ISO 27001:2013 – ANEXO A

ECP
14
ISO 27001:2013 – ANEXO A

ECP
15
ISO 27001:2013 – CLAUSULAS

ECP
16
ISO 27001:2013 – CLAUSULAS

ECP
17
ISO 27001:2013 – A.5: Information Security Policies

ECP
18
ISO 27001:2013 – A.6: Organization of Information Security

ECP
19
ISO 27001:2013 – A.7: Human Resource Security

ECP
20
ISO 27001:2013 – A.8: Asset Management

ECP
21
ISO 27001:2013 – A.9: Access Control

ECP
22
ISO 27001:2013 – A.10: Cryptography

ECP
23
ISO 27001:2013 – A.11: Physical and Environmental Security

ECP
24
ISO 27001:2013 – A.12: Operation Security

ECP
25
ISO 27001:2013 – A.12: Operation Security

ECP
26
ISO 27001:2013 – A.13: Communication Security

ECP
27
ISO 27001:2013 – A.14: System Acquisition Development and Maintenance

ECP
28
ISO 27001:2013 – A.15: Supplier Relationships

ECP
29
ISO 27001:2013 – A.16: Information Security Incident Management

ECP
30
ISO 27001:2013 – A.17: Information Security Aspects of Business Continuity Management

ECP
31
ISO 27001:2013 – A.18: Compliance

ECP
32
ISO 27001:2013

• Beneficios de uso de ISO 27001

 Estándar de aceptación industrial
 Guías de apoyo
 Entrenamiento y asistencia por grupos consultores
comerciales disponible
 Existe disponibilidad de mapeo con otras normas como NIST
800-53, COBIT y otros

ECP
33
ISO/IEC OTRAS PUBLICACIONES

ECP
34
COBIT

• Esun marco de controles de gestión y gobernanza de TI creado

por la Information Systems Audit and Control Association
(ISACA) desarrollado en 1996
• Reeditado en 2012 como COBIT versión 5.
• La ultima revisión del 2018 es COBIT 2019.
• Se
usa fundamentalmente para establecer y administrar un
marco de controles de TI y gobierno.

ECP
35
COBIT 2019

ECP
36
COBIT 2019

• Los objetivos de gobernanza y gestión COBIT se organizan en 5 dominios.

 Los objetivos de gobernanza se agrupan en el dominio Evaluate, Direct and
Monitor (EDM).
 Los objetivos de gestión se agrupan en 4 dominios:
 Align, Plan and Organize (APO) – Organización, estrategia y soporte de actividades para
TI.
 Build, Acquire and Implement (BAI) – Determinación, adquisición e implementación de
soluciones TI y su integración a los procesos de negocio.
 Deliver, Service and Support (DSS) – Entrega y soporte operacional de servicios TI,
incluyendo seguridad.
 Monitor, Evaluate and Assess (MEA) – Monitoreo de rendimiento y conformidad de TI con

ECP
metas de rendimiento internos, objetivos de control interno y requerimientos externos.

37
COBIT 2019 – Modelo fundamental

ECP
38
COBIT 2019 – Componentes de un sistema de gobernanza

ECP
39
COBIT 5 – DOMINIOS

ECP
40
COBIT 2019

• Beneficios de usar COBIT

 Estándar de aceptación industrial
 Guias de asistencia por parte de ISACA y el Instituto de
Gobierno TI
 Mapeo a otros estándares disponibles

ECP
41
NTP ISO/IEC 17799

• “Esta norma ofrece recomendaciones para realizar la gestión de la

seguridad de la información que pueden utilizarse por los responsables de
iniciar, implantar o mantener y mejorar la seguridad en una organización.
Persigue proporcionar una base común para desarrollar normas de seguridad
dentro de las organizaciones y ser una práctica eficaz de la gestión de la
seguridad. La norma puede servir como una guía practica para desarrollar
estándares organizacionales de seguridad y practicas efectivas de la gestión de
seguridad. Igualmente, permite proporcionar confianza en las relaciones entre
organizaciones. Las recomendaciones que se establecen en esta norma deberían
elegirse y utilizarse de acuerdo con la legislación aplicable en la materia” (NTP-
ISO/IEC 17799)
• Se basa en ISO/IEC 17799:2005 Information Technology. Code of practice for
information security management

ECP
42
NTP ISO/IEC 17799 – CLAUSULAS

a) Política de seguridad;

b) Organizando la seguridad de información

c) Gestión de activos

d) Seguridad en recursos humanos

e) Seguridad física y ambiental

f) Gestión de comunicaciones y operaciones

g) Control de acceso

h) Adquisición, desarrollo y mantenimiento de sistemas de información

i) Gestión de incidentes de los sistemas de información

j) Gestión de la continuidad del negocio

ECP
k) Cumplimiento

43
NTP ISO/IEC OTRAS NORMAS DE LA SERIE

ECP
44
NTP ISO/IEC OTRAS NORMAS DE LA SERIE

ECP
45
NTP ISO/IEC OTRAS NORMAS DE LA SERIE

ECP
46
NTP ISO/IEC OTRAS NORMAS DE LA SERIE

ECP
47
NTP ISO/IEC OTRAS NORMAS DE LA SERIE

ECP
48
NTP ISO/IEC OTRAS NORMAS DE LA SERIE

ECP
49
NTP ISO/IEC OTRAS NORMAS DE LA SERIE

ECP
50
NTP ISO/IEC OTRAS NORMAS DE LA SERIE

ECP
51
NTP ISO/IEC OTRAS NORMAS DE LA SERIE

ECP
52
NTP ISO/IEC OTRAS NORMAS DE LA SERIE

ECP
53
NTP ISO/IEC OTRAS NORMAS DE LA SERIE

ECP
54
NTP ISO/IEC OTRAS NORMAS DE LA SERIE

ECP
55
NTP ISO/IEC OTRAS NORMAS DE LA SERIE

ECP
56
NTP ISO/IEC OTRAS NORMAS DE LA SERIE

ECP
57
NTP ISO/IEC OTRAS NORMAS DE LA SERIE

ECP
58