Post on 01-Mar-2016
description
Sistemas de Gestin de la Seguridad de la Informacin
UNE-ISO/IEC 27001Ivn Guardia Hernndez
Tecnologas de la Informacin y la Comunicacin
Sistemas de GestinEstablece e Implanta unos procesos que permiten a una organizacin realizar un producto/servicio conforme a unas especificaciones dadas.
Mide y Evala los resultados obtenidos frente a los objetivos marcados.
Incorpora un proceso de revisin para asegurar que los problemas que puedan surgir se detectan y se corrigen, y que permite identificar oportunidades de mejora.
UNE-EN ISO 9001. Sistemas de Gestin de la Calidad.
UNE-EN ISO 14001. Sistemas de Gestin Ambiental.
Plan Do Check - Act
SGSISistemas de Gestin de la Seguridad de la InformacinUn SGSI es un sistema de gestin que comprende la poltica, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestin de la seguridad de la informacin
Por seguridad de la informacin, se entiende principalmente por la preservacin de las caractersticas de confidencialidad, integridad y disponibilidad de la misma. Adicionalmente, pueden considerarse otras propiedades, como autenticacin, no repudio o auditabilidad.
Implantar un SGSI no prueba que una organizacin sea 100% segura. Aunque la seguridad completa no exista, s que se puede certificar su correcta gestin.
SGSICompromiso: demostrar la eficacia de los esfuerzos desarrollados para asegurar la organizacin en todos sus niveles y probar la diligencia razonable de sus administradores.
Conformidad con requisitos legales: el registro permite demostrar que la organizacin observa todas las leyes y normativas aplicables al alcance. Gestin de los riesgos: obtencin de un mejor conocimiento de los sistemas de informacin, sus debilidades y los medios de proteccin. Garantiza tambin una mejor disponibilidad de los materiales y datos.
Credibilidad y confianza: los socios, los accionistas y los clientes se tranquilizan al constatar la importancia que la organizacin concede a la proteccin de la informacin. Una certificacin tambin puede brindar una diferenciacin sobre la competencia y en el mercado.
Reduccin de los costes vinculados a los incidentes y posibilidad de disminucin de las primas de seguro.
Mejora la sensibilizacin del personal hacia la seguridad y a sus responsabilidades en la organizacin.
Anlisis de Riesgos
27001
Tecnologa de la informacin. Tcnicas de seguridad. Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos.
La certificacin UNE-ISO/IEC 27001 avala la adecuada implantacin, gestin y operacin de todo lo relacionado con la implantacin de un SGSI, siendo la norma ms completa que existe en lo relativo a la implantacin de controles, que permiten establecer un marco adecuado de gestin de la seguridad de la informacin para las organizaciones.
Sustituye a la BS 7799-2 y a la UNE 71502.
Los requisitos de la Norma UNE-ISO/IEC 27001 son complementarios a los de cualquier otro sistema de gestin implantado, tal como gestin de la calidad ISO 9001 o gestin medioambiental ISO 14001.
DominiosPoltica de seguridad.
Aspectos organizativos para la seguridad.
Clasificacin y control de activos.
Seguridad ligada al personal.
Seguridad fsica y del entorno.
Gestin de comunicaciones y operaciones.
Control de accesos.
Desarrollo y mantenimiento de sistemas.
Gestin de incidentes de seguridad de la informacin.
Gestin de continuidad de negocio.
Conformidad.
ISO27000.es
Implantacin SGSI
Fases implantacin1. Compromiso de la Direccin: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Direccin de la organizacin.
2. Planificacin, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.
3. Definir alcance del SGSI: segn el modelo organizativo, definir los lmites del marco de direccin de seguridad de la informacin.
4. Definir poltica de seguridad: que incluya el marco general y los objetivos de seguridad de la informacin de la organizacin.
Fases implantacin
5. Inventario de activos: todos aquellos afectados por la seguridad de la informacin.
6. Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario.
7. Anlisis de riesgos: evaluar el dao resultante de un fallo de seguridad y la probabilidad de ocurrencia del fallo.
8. Seleccin de controles.
9. Definir plan de tratamiento de riesgos: que identifique las acciones, sus responsables y las prioridades en la gestin de los riesgos.
10. Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control identificados.
Fases implantacin
11. Implementar los controles: todos los que se determinaron en la fase anterior.
12. Formacin y concienciacin: de todo el personal en lo relativo a la seguridad de la informacin.
13. Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones.
14. Gestionar todos los recursos asignados al SGSI.
15. Revisar el SGSI: Identificar mejoras al proceso del SGSI, identificar nuevas vulnerabilidades, revisar cambios organizativos y modificar procedimientos.
16 .Realizar auditoras internas del SGSI: para determinar la efectividad del SGSI y detectar posibles no conformidades.
Proyectos y Salvaguardas
Factores Crticos de xito
La concienciacin del empleado por la seguridad. Principal objetivo a conseguir.
Realizacin de comits de direccin con descubrimiento continuo de Noconformidades o acciones de mejora.
Creacin de un sistema de gestin de incidencias que recoja notificacionescontinuas por parte de los usuarios (los incidentes de seguridad deben serreportados y analizados).
La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.
La seguridad no es un producto, es un proceso.
La seguridad no es un proyecto, es una actividad continua y el programa deproteccin requiere el soporte de la organizacin para tener xito.
La seguridad debe ser inherente a los procesos del negocio.
Ivn Guardia Hernndez Auditor CISA CISSP AENORQu est fallando?