03. Visión General del SGSI e ISO27001

55

Click here to load reader

description

Iso 03

Transcript of 03. Visión General del SGSI e ISO27001

Page 1: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Fundamentos de la Norma ISO

27001 para la Gestión de la

Seguridad de la Información

Módulo 3 – Visión General del SGSI y la

Norma ISO 27001

Expositor: Víctor Reyna Vargas

Ingeniero de Sistemas

[email protected]

1

Page 2: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Agenda

Introducción de Mike al SGSI e ISO 27001.

El SGSI y la ISO 27001.

Estructura de la ISO 27001.

Visión general de una implementación ISO 27001.

2

Page 3: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Mike y los primeros pasos…(1)

3

Bueno, empezaré a

trabajar en la hoja de

ruta.

Desearía hablar con

alguien que haya

hecho esto antes.

Page 4: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Mike y los primeros pasos…(2)

4

Hola Mike. Oh, oh!!!

Hay alguna fiesta de

disfraces hoy en la

oficina?

Ocupado con el

problema de

seguridad de la

información?

Como lo sabes…y

quién eres? Soy SECUREMAN y

ayudo a las personas

con la gestión de la

seguridad de la

información. Estás bromeando? Y

que tipo de mal sueño

es este?

Te voy a llevar, paso

por paso, a través de

la implementación

completa de un

SGSI.

Tómalo como quieras

Mike pero sé que

tienes un duro reto

con el despliegue de

la seguridad de la

información…y quiero

ayudarte. Estás listo?

Ok, creo que asumiré

el riesgo…quien sea

que fueres.

Creo que sí.

Definitivamente puedo

utilizar alguna ayuda.

Page 5: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

SECUREMAN y lo suyo…(1)

5

Mike, la respuesta a

tu problema es la

creación de un SGSI. Por favor, me puedes

explicar qué es un

SGSI?

Claro!!! Escuchar

cuidadosamente.

Page 6: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

SECUREMAN y lo suyo…(2)

6

Un Sistema de Gestión de la

Seguridad de la Información es un

marco de trabajo para evaluar

continuamente los riesgos de

seguridad de la información y tomar

acciones razonables para protegerla.

Los expertos en Seguridad muchas

veces se refieren a un Sistema de

Gestión de la Seguridad de la

Información como SGSI.

Tal como otros buenos sistemas de

gestión, un SGSI es un proceso

continuo de por eso debe repetirse

regularmente.

Page 7: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Detallando más…

7

Gracias. Por favor me

podrías decir en qué

consiste un SGSI?

Wow! Suena

exactamente a lo que

necesito.

Buena pregunta. Un SGSI consiste de

una serie de procesos los que te

permiten:

1. Identificar la información a ser

protegida.

2. Determinar el valor de la

información a ser protegida.

3. Identificar los riesgos de seguridad

de la información.

4. Determinar las soluciones para

reducir el riesgo.

5. Priorizar las soluciones a ser

implementadas basándose en

tiempo, dinero y recursos que se

posea.

6. Y lo más importante, poder repetir

este proceso.

Ya pues Mike! Tu sabes muy bien que

todos los días aparecen nuevas

amenazas para la seguridad. Por eso

debes evaluar continuamente los

riesgos de tu información.

Así es. Necesitas un SGSI para

solucionar el problema de la gestión de

la seguridad de tu información.

Cierto. Qué tonto que

soy. Debería saberlo.

Pero por qué dices

que un SGSI es un

proceso continuo?

Page 8: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Y aún más…

8

Entonces, existe un libro

o documento que pueda

comprar para entender

los diferentes procesos

en un SGSI e

implementarlo?

Bueno…hay algo

mucho mejor Mike.

Existes estándares

internacionalmente

aceptados para un

SGSI.

Como cuáles..? Bueno, el más popular

y ampliamente utilizado

es la norma ISO

270001.

La ISO 27001? Sí. De hecho, te

enseñaré a diseñar e

implementar un SGSI

utilizando la ISO

27001.

Wow. Hay mucha

información acerca de

un SGSI. Así es y ahora

empecemos a

enfocarnos en la ISO

27001.

Pero, para expandir y

ampliar tu

conocimiento, también

puedes ver el ISM3

(Information Security

Management Maturity

Model) o COBIT.

Page 9: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Agenda

Introducción de Mike al SGSI e ISO 27001.

El SGSI y la ISO 27001.

Estructura de la ISO 27001.

Visión general de una implementación ISO 27001.

9

Page 10: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Definición de un SGSI

10

Un SGSI es un marco de

trabajo de gestión para

identificar información

importante, evaluar

continuamente los riesgos de

seguridad a dicha información

importante y tomar acciones

razonables para protegerla.

SGSI

P

V

H A

Page 11: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

El SGSI como un proceso continuo…

…y que permanece durante toda la vida del negocio.

Un buen sistema de gestión siempre se mejora así mismo.

“El espacio más grande en el mundo es el espacio para mejorar”.

La mejora es un proceso sin término.

Un SGSI siempre trata de mejorar mediante la reducción de riesgos

en la información importante del negocio.

11

Page 12: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Recuerda…no existe la Seguridad al 100%

Es imposible lograr una seguridad de 100%.

Lo que se debe hacer es reducir continuamente la brecha entre el

100% de perfección (o el 100% de seguridad) y el nivel actual de

seguridad proporcionado por el SGSI.

Por ejemplo, supongamos que tu SGSI es 99% perfecto…te

esforzarás por estar a 99.9%...y luego en 99.99%...y luego en

99.999%...y así será hasta que reduzcas la brecha entre la

“perfección absoluta” y el nivel actual en el que estás.

Con el fin de lograr la perfección, se mejorará y repetirá el ciclo del

SGSI.

12

Page 13: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Pasos de un SGSI…El modelo PHVA

P – Planificar.

Identificar la información a proteger.

Analizar los riesgos de la información.

Definir un plan de tratamiento de riesgos.

H – Hacer.

Implementar el plan de tratamiento de riesgos.

V – Verificar.

Revisar y evaluar el rendimiento del SGSI mediante la revisión de la efectividad

del plan de tratamiento de riesgos.

A – Actuar.

Hacer las correcciones necesarias.

Continuar con el proceso.

13

Page 14: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Más del modelo PHVA

14

El modelo PHVA es un modelo

internacionalmente aceptado y

utilizado por muchos

estándares y sistemas de

gestión conocidos.

El modelo PHVA también es

llamado el Ciclo de Deming.

Page 15: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Qué hay de la ISO 27001?

La ISO 27001 es un estándar internacional que proporciona un

modelo para establecer, implementar, operar, monitorear, revisar,

mantener y mejorar un SGSI.

Es decir, utilizarás la ISO 27001 para crear y gestionar tu SGSI.

Es una referencia o una herramienta o una guía para tu SGSI.

El nombre completo del estándar es ISO / IEC 27001 : 2005.

La ISO 27001 se adhiere al modelo PHVA y es probablemente el

estándar más utilizado para la implementación de un SGSI a nivel

mundial.

15

Page 16: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Por qué es popular la ISO 27001?

Es un estándar certificable.

Una organización puede

implementar un SGSI conforme

con la ISO 27001 y certificarse a

través de un “Cuerpo de

Certificación Acreditado”.

La certificación ISO 27001

mejorar el perfil y la imagen de

una organización.

La certificación ISO 27001

proporciona confianza a los

clientes ya que se protege la

información valiosa del negocio.

16

Page 17: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Historia y evaluación de la ISO 27001

1992 – El Departamento de Comercio e Industria del Reino Unido

publica el “Código de Práctica para la Gestión de la Seguridad de la

Información”.

1995 – Modificado y re-publicado por el Instituto de Estándares

Británicos como la BS7799.

1999 – 1ra revisión importante de la BS7799.

2000 – La BS7799 se transforma en la ISO 17799, la cual es un código

de práctica.

2002 – Se publica la BS7799-2. Era una “Especificación para el Sistema

de Gestión de Seguridad de la Información” y se podía certificar.

2005 – Se publica una nueva versión de la ISO 17799.

2005 – La BS7799-2 se transforma en la ISO 27001.

17

Page 18: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

La familia de estándares de la ISO 27000

18

Estándar Descripción

ISO/IEC 27000 Proporciona una visión global e introductoria a los

estándares de la ISO27K.

ISO/IEC 27001:2005

Proporciona los requerimientos (especificación) de

un Sistema de Gestión de Seguridad de la

Información.

ISO/IEC 27002:2005

Proporciona el código de práctica para la Gestión de

la Seguridad de la Información, antes conocida como

ISO 17799.

ISO/IEC 27003 Proporciona una guía para la implementación de la

ISO/IEC 27001.

ISO/IEC 27004 Proporciona un estándar para medir la Gestión de la

Seguridad de la Información.

ISO/IEC 27005:2008 Proporciona un estándar para la Gestión de Riesgos

de Seguridad de la Información.

Page 19: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

ISO 27001 – SGSI - PHVA

19

El proceso de Implementación

de la ISO 27001 se adhiere a

los pasos para la

implementación de un SGSI tal

como lo discutimos antes.

Existen guías bien definidas

para cada fase PHVA.

SGSI

P

V

H A

Page 20: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

La fase Planificar – Establecer el SGSI

1. Definir el Alcance del SGSI.

2. Definir la Política del SGSI.

3. Definir el Enfoque de Evaluación de Riesgos de la organización.

4. Identificar los riesgos.

5. Analizar las opciones para tratar los riesgos.

6. Seleccionar los controles y los objetivos de control para el

tratamiento de los riesgos.

7. Obtener de la Alta Gerencia la aprobación y la autorización para el

tratamiento de riesgos y riesgos residuales.

8. Preparar la “Declaración de Aplicabilidad”.

20

Page 21: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

La fase Hacer – Implementar y operar el SGSI

1. Definir e implementar un Plan de Tratamiento de Riesgos.

2. Seleccionar los controles apropiados.

3. Definir cómo medir la efectividad de los controles.

4. Implementar los programas de concientización y entrenamiento.

5. Gestionar la operación del SGSI.

6. Gestionar los recursos para la operación del SGSI.

7. Implementar la detección de incidentes de seguridad y los

procedimientos de respuesta.

21

Page 22: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

La fase Verificar – Monitorear y revisar el SGSI

1. Ejecutar el monitoreo y revisar los procedimientos.

2. Medir la efectividad de los controles.

3. Revisar las evaluaciones de riesgos y revisar los riesgos residuales.

4. Conducir auditorias internas al SGSI.

5. Comprometer a la Alta Gerencia a la revisión del SGSI.

6. Actualizar los planes de seguridad basándose en las revisiones y

hallazgos.

7. Registrar las acciones y eventos que podrían tener un impacto en el

rendimiento del SGSI.

22

Page 23: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

La fase Actuar – Mantener y mejorar el SGSI

1. Implementar las mejoras identificadas del SGSI.

2. Tomar las acciones correctivas y preventivas apropiadas.

3. Comunicar las acciones y la mejoras a todas las partes relevantes.

4. Asegurar que las mejoras logren los objetivos previstos.

23

Page 24: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Agenda

Introducción de Mike al SGSI e ISO 27001.

El SGSI y la ISO 27001.

Estructura de la ISO 27001.

Visión general de una implementación ISO 27001.

24

Page 25: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Divide y vencerás…

Para propósitos de aprendizajes, dividamos la ISO 27001 en dos

secciones – Sección 1 y Sección 2.

La Sección 1 consiste de un conjunto de requerimientos obligatorios

que explican cómo construir el SGSI con el Modelo PHVA. En el

estándar ISO 27001 estas son las Partes 4, 5, 6, 7 y 8.

La Sección 2 consiste de los Objetivos de Control y los Controles. En

el estándar ISO 27001 este es el Anexo A.

Control. Es esencialmente una “salvaguarda de seguridad de la información”. Por

ejemplo: un antivirus, un programa de entrenamiento en Seguridad de la

Información o un proceso de Gestión de Cambios.

Objetivo de Control. Especifica el fin del uso de un control o conjunto de controles.

La ISO 27001 proporciona un conjunto de 133 controles que puedes utilizar para

construir tu SGSI.

25

Page 26: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Importante!!!

Existe una relación muy simple entre la Sección 1 y la Sección 2.

La Sección 1 nos dice cómo construir el SGSI basándonos en el

modelo PHVA.

La Sección 2 nos proporciona un conjunto de controles que podemos

utilizar para construir el SGSI.

26

Page 27: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Sección 1 – Requerimientos Obligatorios

27

Planificar

Sección 4

Hacer

Sección 5

Verificar

Sección 6 y 7

Actuar

Sección 8

Page 28: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Sección 2 – Objetivos de Control y Controles

28

La Sección 2 proporciona una

lista de Controles y Objetivos

de Control que pueden ser

utilizados para construir un

SGSI, según lo especificado en

la Sección 1.

Page 29: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Ejemplo 1 – Relación entre la Sección 1 y Sección 2

29

Sección 1: Parte 4.2 del

estándar

Sección 2: “Anexo A –

A.5.1” del estándar se implementa

con

Definir una política de

SGSI en términos de

las características del

negocio, …

Documento de política

de Seguridad de la

Información.

Page 30: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Ejemplo 2 – Relación entre la Sección 1 y Sección 2

30

Sección 1: Parte 5.1 del

estándar

Sección 2: “Anexo A –

A.6.1.1” del estándar se implementa

con

Compromiso de la Alta

Gerencia

Compromiso de la Alta

Gerencia a la

Seguridad de la

Información

Page 31: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Importante

31

La Sección 1 es

obligatoria para

obtener la

Certificación ISO

27001

La Sección 2,

algunos de los

controles son

obligatorios, otros no

Page 32: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

No todos los controles aplicarán en tu organización…

32

Criterios

para evitar

ciertos

controles

La Alta Gerencia de

la organización ha

decido aceptar el

riesgo

Hay disponibilidad

de arreglos

alternativos

No hay

disponibilidad de

tiempo, dinero y

recursos

Factores geográficos

y otras razones

válidas o

justiticables

Page 33: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

En resumen…

Existen 133 Controles en la ISO 27001.

Están divididos en 11 dominios.

Veremos más en los capítulos de Análisis de Riesgos y Tratamiento

de Riesgos.

33

Page 34: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Agenda

Introducción de Mike al SGSI e ISO 27001.

El SGSI y la ISO 27001.

Estructura de la ISO 27001.

Visión general de una implementación ISO 27001.

34

Page 35: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Implementación de un SGSI PHVA en 8 pasos

1. Análisis de Brechas (opcional).

2. Foro de Gestión de la

Seguridad de la Información.

3. Alcance del SGSI.

4. Activos identificados y

clasificados.

5. Análisis de Riesgos.

6. Gestión de Riesgos.

7. Auditoria Internas.

8. Auditoria para la Certificación.

35

Page 36: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Gráficamente…

36

Analizar las

brechas

Definir el

alcance del

SGSI

Identificar y

clasificar los

activos

Analizar los

riesgos

Gestionar los

riesgos

Realizar auditoria

internas

Realizar auditoria

para Certificación

Page 37: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Paso 1 – Analizar las brechas

Un Análisis de Brechas es una examinación de las prácticas actuales

de Gestión de la Seguridad de la Información de tu organización y

una comparación contra los controles de la ISO 27001.

Beneficios:

Aclara la idea del nivel de seguridad de la información actual de la organización y lo

que se necesita para ser conformes con la ISO 27001.

Muestra los controles de seguridad de la información pobres o la falta de ellos.

El posible impacto de estos controles de seguridad pobres o la falta de ellos.

Cuánto costará (en términos de dinero, tiempo y personas) implementar un SGSI

con los controles necesarios.

Plan de Acción:

Priorizar las debilidades de seguridad de la información para ser corregidas en

primer lugar.

Utilizar la “lista de priorización” como una entrada para el resto de la

implementación del SGSI.

37

Page 38: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Paso 2 – Foro de Gestión de la Seguridad de la Información

Definición: Un equipo de gestión de alto nivel que protege la

implementación, el mantenimiento y la mejora del SGSI.

Otros nombres:

“Comité de Revisión de la Seguridad de la Información”.

“Equipo de Gestión de la Seguridad de la Información”.

El FGSI es responsable de la revisión y la aprobación de diversas

actividades del SGSI.

38

Page 39: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Organización del Foro

39

Presidente del FGSI

Representante de la Función del

Negocio 1

Representante de la Función del

Negocio 2

Representante de la Función del

Negocio n

Oficial Jefe de Seguridad de

Información (CISO)

Representante del equipo de Auditoria

Page 40: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Paso 3 – Alcance del SGSI

La definición del alcance es el paso en el que se especificará

“exactamente lo que será protegido por el SGSI”.

Esto usualmente incluye las funciones del negocio, los activos de

información en las funciones del negocio y la ubicación geográfica

bajo la jurisdicción del programa del SGSI.

Se tiene la libertad de definir el alcance que mejor le convenga a tu

organización.

Puedes incluir a una función del negocio si es muy importante.

Puedes excluir a una función del negocio si no es importante o si tiene una razón

válida (falta de recursos, etc).

40

Page 41: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Ejemplo – Enunciado del Alcance

41

El Sistema de Gestión de la Seguridad de la Información se

despliega para proteger la información del negocio utilizada

por las funciones de negocios Finanzas, Recursos

Humanos, Investigación y Desarrollo, Ventas y Marketing;

las cuales pertenecen a ACME Inc., #1, North Block, Race

Course Drive, New Delhi, India.

Nota: Un alcance siempre está ligado a una localización

geográfica.

Page 42: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Paso 4 – Activos identificados y clasificados

Identificar todos los activos de información que están bajo el alcance

de, listarlos y clasificarlos basándose en su valor.

Activo de Información: Información que tiene valor para una

organización.

Ejemplos:

Información (por sí misma): código fuente.

Componentes que ingresan información: teclados, escáner.

Componentes que almacenan información: disco duro, cinta de seguridad.

Componentes que procesan información: computadoras, aplicaciones de software,

firewalls.

Componentes que transmiten información: cables de red, wireless, bluetooth.

Componentes que entregan/generan información: monitores, teclados.

42

Page 43: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Tipos de activos de Información

43

Papel Personas

Electrónico

Page 44: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Principales sub pasos

44

Identificación de Activos:

Listar todos los activos de

información importantes en

la organización de acuerdo

al alcance.

Clasificación de Activos:

Clasificar los activos en

términos de:

• Confidencialidad

• Integridad

• Disponibilidad

Page 45: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Ejemplo – Clasificación de Activos

Confidencialidad – Cuán

sensible/secreta es la información en

esta laptop? Cuántas personas están

autorizadas a VER esta información?

Integridad – Cuántas personas están

autorizadas a CAMBIAR esta

información.

Disponibilidad – Cuánta es la

duración de TIEMPO que la laptop

debe estar disponible para ser

accedida por las personas

autorizadas?

45

Page 46: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Paso 5 – Análisis de Riesgos

El Análisis de Riesgos de Seguridad de la Información es el proceso

que determina la probabilidad de que un activo de información esté

comprometido (robado, destruido, corrupto, etc).

Es uno de los pasos más significativos en la implementación de un

SGSI.

Terminología en Análisis de Riesgos:

Activo de Información. Un componente de información de valor. Por ejemplo: una

computadora utilizada para almacenar la información del negocio.

Amenaza. Algo que puede comprometer el activo de información. Por ejemplo:

virus.

Vulnerabilidad. Una debilidad que puede ser explotada por la Amenaza. Por

ejemplo: ausencia de una actualización apropiada de un Anti-Virus.

Probabilidad. Posibilidad de que la Amenaza explote la Vulnerabilidad. Por ejemplo:

una vez cada dos años.

El Riesgo se mide mediante la asignación de un valor numérico

cualitativo a estos 4 componentes.

46

Page 47: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Paso 6 – Gestión de Riesgos

La Gestión de Riesgos de Seguridad de la Información es el proceso

que despliega contramedidas (controles) apropiados para reducir los

riesgos de seguridad de la información y proteger los activos de

información.

Las contramedidas (controles) incluyen:

Técnicas. Firewalls, encriptación, contraseñas, etc.

Físicas. Cerraduras y llaves, salidas de emergencia, etc.

Procedimentales/Legales. Leyes, reglas, políticas, guías, etc.

Conocimiento. Entrenamiento.

La ISO 27001 nos da un lista comprensible de 133 “controles” para

mitigar los Riesgos de Seguridad de la Información. Estos controles

cubren las contramedidas técnicas, físicas, procedimentales/legales

así como las de conocimiento.

47

Page 48: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Paso 7 – Auditoria Interna

La Auditoria Interna es una inspección pre-certificación del SGSI

realizada por la misma organización.

Esencialmente es una serie de auditorias realizadas por la

organización antes de la auditoria de Certificación.

El propósito de una Auditoria Interna es revisar la implementación

total del SGSI y la efectividad de la misma.

La Auditoria Interna debería realizarse de la misma forma que la

Auditoria de Certificación.

Se debe tener listo lo siguiente:

Análisis de Brechas. Informes del análisis de brechas.

Alcance. Enunciado del alcance.

Activos identificados y clasificados. Lista de activos con la clasificación.

Análisis de Riesgos. Informes del análisis de riesgos.

Gestión de Riesgos. Pruebas – lista de controles, políticas, evidencia y controles

físicos, prueba de revisiones como “actas de reuniones”.

48

Page 49: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Beneficios de la Auditoria Interna

Conocer si la organización está preparada para la certificación o no.

Conocer cuánto ha mejorado el SGSI.

Conocer los cambios de último minuto a realizar.

Estar más confiados.

49

Page 50: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Paso 8 – Auditoria para la Certificación

La Auditoria para la Certificación es el proceso por el cual un Cuerpo

de Certificación externo e independiente revisa el SGSI para evaluar

la compatibilidad con la ISO 27001.

Si se encuentra que el SGSI es compatible, el Cuerpo de Certificación

recomienda al Cuerpo de Acreditación que firme el certificado ISO

27001 para la organización.

Términos y terminologías:

Cuerpo de Certificación: La organización que ejecuta la auditoria para la

certificación.

Cuerpo de Acreditación: La organización que firma el certificado ISO 27001 basado

en las recomendaciones del Cuerpo de Certificación.

50

Page 51: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Pasos de la Auditoria para la Certificación

Etapa 1. Revisión de todos los informes, políticas, alcance, etc y una

auditoria inicial del SGSI. Se envía una lista inicial de hallazgos y

correcciones recomendadas.

Etapa 2. Verificación de las correcciones de los hallazgos en la Etapa

1, una segunda ronda de auditorias del SGSI y, si es válido, se

recomienda a la organización para la certificación.

La brecha entre ambas etapas es de uno a dos meses.

Los documentos que deben estar listos son similares a los de la

Auditoria Interna:

Análisis de Brechas. Informes del análisis de brechas.

Alcance. Enunciado del alcance.

Activos identificados y clasificados. Lista de activos con la clasificación.

Análisis de Riesgos. Informes del análisis de riesgos.

Gestión de Riesgos. Pruebas – lista de controles, políticas, evidencia y controles

físicos, prueba de revisiones como “actas de reuniones”.

Enunciado de Aplicabilidad.

51

Page 52: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Enunciado de Aplicabilidad

Lista de todos los 133 Controles de la ISO 27001.

Indicación de sí se ha utilizado un control.

En caso afirmativo, por qué? En caso negativo, por qué no?

Evidencia de su uso.

52

Control Estado Justificación Evidencia

A.5.1.1 – Documento

de Política de

Seguridad de la

Información

Si Para establecer la hoja

de ruta del SGSI de la

organización.

Documento de política

de seguridad de la

información publicada en

la organización.

A.10.9.1 – Comercio

Electrónico

No La organización no tiene

ninguna transacción vía

comercio electrónico.

No aplica.

Page 53: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

La Certificación

53

Cuando se concluye exitosamente la Auditoria de Certificación y

luego de la aprobación del Cuerpo de Acreditación, la organización

recibe un Certificado ISO 27001.

La Certificación ISO 27001 es un

proceso continuo y la organización

debe someterse a 2 auditorias

adicionales en los siguientes 3 años.

Luego de 3 años, la organización

debe someterse a un proceso de “re-

certificación”.

Page 54: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Taller 02: Visión General de la

Implementación de un SGSI

54

Page 55: 03. Visión General del SGSI e ISO27001

© 2012 VRV (Contacto: [email protected])

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Fin de la Presentación

55