Entendiendo los SGSI De la norma a la obtención de beneficios Entendiendo los SGSI_26032015.pptx 26 de Marzo de 2015

2 | ISO27001| 26 Marzo de 2015

Índice

1. La nueva ISO27001:2013 2. El Proyecto 3. Proceso de Certificación

3 | ISO27001| 26 Marzo de 2015

1. La nueva ISO27001:2013 La normativa ISO/IEC 27001:2013 … • Es una versión actualizada de la anterior ISO27001:2005

• Define las especificaciones para crear, operar, mantener y mejorar un Sistema

de Gestión de Seguridad de la Información (SGSI)

• Fue publicada como norma internacional en el año 2013

• Se basa en un Modelo de Mejora Continua (Plan-Do-Check-Act)

• La obtención de la certificación se realiza a través de la demostración del cumplimiento de los controles incluidos dentro del código de buenas practicas asociado.

4 | ISO27001| 26 Marzo de 2015

1. La nueva ISO27001:2013 Está estructurada en:

• Dominios • Establecen 14 dominios o familias que agrupan

controles destinados al mismo fin

• Objetivos de Control

• Explican el objetivo al que darán solución los controles existentes

• Controles

• 114 controles que identifican cada una de las acciones que deben realizarse para cumplir un objetivo

5 | ISO27001| 26 Marzo de 2015

1. La nueva ISO27001:2013 Las 14 dominios y los 114 controles se agrupan en:

6 | ISO27001| 26 Marzo de 2015

6

Un ejemplo:

• Cláusula General • Gestión de la Continuidad de Negocio

• Objetivo de Seguridad • Evitar las interrupciones en la continuidad de las actividades críticas de

negocio y proteger la información crítica de los procesos de negocio frente a fallos graves y/o desastres

• Control

• Plan de Continuidad de Negocio y recuperación ante desastres • Planes de Contingencia

1. La nueva ISO27001:2013

7 | ISO27001| 26 Marzo de 2015

7

Qué se obtiene:

• Ejemplo del contenido del informe de auditoria que emite BSI

1. La nueva ISO27001:2013

8 | ISO27001| 26 Marzo de 2015

1. La nueva ISO27001:2013

• Permite comparar la calidad en la gestión de la Seguridad con el resto de grandes corporaciones.

• Potencia la imagen de calidad de una Entidad ante sus clientes • Aporta confianza a los clientes y colaboradores sobre como una entidad

gestionamos su seguridad • Demuestra la calidad de los procesos de seguridad ante terceros y

entidades reguladoras • Ayuda a garantizar la calidad de la seguridad ante posible sanciones

(legislaciones vigentes, en España ej: Código Penal, LOPD, etc..) • Verifica independientemente que los riesgos de la entidad estén

correctamente identificados, evaluados y gestionados al tiempo que formaliza procesos y procedimientos de protección de la información.

• Demuestra el compromiso de la cúpula directiva de la entidad con la seguridad de la información.

Certificar la gestión de la Seguridad de la Información en una norma exigente y de reconocido prestigio internacional beneficia porque …

9 | ISO27001| 26 Marzo de 2015

2. El Proyecto

• Cumplir con el ciclo de mejora continua requerido por la norma

• Superar las revisiones periódicas por parte del certificador en las que la entidad debe demostrar el cumplimiento de lo anterior

Obtener la certificación implica …

Y para conseguirlo, hay que activar un proyecto interno

10 | ISO27001| 26 Marzo de 2015

2. El Proyecto Nuestro día a día

11 | ISO27001| 26 Marzo de 2015

2. El Proyecto

12 | ISO27001| 26 Marzo de 2015

2. El Proyecto

13 | ISO27001| 26 Marzo de 2015

2. El Proyecto Enfoque metodológico

El proceso de creación, revisión y mantenimiento de un SGSI se va a desarrollar en base a cinco grandes líneas de trabajo: Selección del alcance de certificación Adaptación de la entidad al nuevo estándar

ISO27001:2013 publicado el 1 de Octubre de 2013. Revisión y actualización de los sistemas de análisis y

gestión de riesgos Adecuación del Cuerpo Normativo Sensibilización, concienciación y formación

14 | ISO27001| 26 Marzo de 2015

2. El Proyecto Enfoque metodológico Seleccionar el alcance de certificación

Identificar cuál es el alcance que beneficia a nuestra entidad

Ser consciente de las relaciones que dicho alcance tiene con:

Los procesos de la entidad

El personal de la Entidad

Terceros/proveedores

Legislación vigente

“Cuidado con lo que se pide, no siento que nos lo vayan a dar”

15 | ISO27001| 26 Marzo de 2015

2. El Proyecto Enfoque metodológico

Adaptación al nuevo estándar ISO27001:2013 publicado el 1 de Octubre de 2013. • Entrevistas con los implicados

• Creación de un Sistema Documental que se adecua a los requisitos

• Actualización del análisis de riesgos de seguridad de la información

• Desarrollo e implantación de planes de acción preventivos y correctivos

• Formación especifica a los participantes

16 | ISO27001| 26 Marzo de 2015

2. El Proyecto Enfoque metodológico

Creación de un sistema de análisis y gestión de riesgos • Revisión de activos, amenazas y vulnerabilidades

• Actualización de las reglas de inteligencia y revisión de los cálculos actuariales.

• Actualización del valor del riesgo de cada activo

• Plan de acciones para gestionar el riesgo

• Aprobación de riesgo residual

• Aprobación de los planes de acción

17 | ISO27001| 26 Marzo de 2015

2. El Proyecto Enfoque metodológico

Creación de un Cuerpo Normativo de Seguridad de la Información • Creación de la Política, normas, directrices, recomendaciones, … a lo

establecido en el estándar • Revisión de los procedimientos existentes para asegurar el cumplimiento

de lo establecido en el estándar • Revisión del inventario-control de documentos existentes • Medición de indicadores • Control y gestión de evidencias • Aprobaciones

18 | ISO27001| 26 Marzo de 2015

2. El Proyecto Enfoque metodológico

Sensibilización, Concienciación y Formación

• Recordar a todos los participantes los principios fundamentales del SGSI y los nuevos requisitos de la norma ISO/IEC 27001:2013.

• Insistir en el conocimiento general de en qué y cómo afecta la implantación y el mantenimiento del SGSI en el día a día.

19 | ISO27001| 26 Marzo de 2015

Responsabilidades de los responsables implicados: Proporcionar información y colaborar de forma que se pueda:

• Identificar al personal que va a participar y el nombre de sus agrupaciones. • Revisar los activos involucrados en los procesos del SGSI • Valorar los requisitos de seguridad para Analizar y Gestionar los Riesgos del SGSI. • Actualizar el documento “Descripción de procesos” con sus actividades. • Actualizar el valor de los indicadores de su responsabilidad. • En caso de que existan, corregir las recomendaciones y observaciones identificadas en

el SGSI. • Verificar el nivel de cumplimiento de los controles que le correspondan. • Identificar las evidencias de cumplimiento de los controles de la ISO27002 bajo su

responsabilidad.

2. El Proyecto

20 | ISO27001| 26 Marzo de 2015

Responsabilidades de los responsables implicados:

Asistir a la formación continua del SGSI. • Verificar que los implicados en el SGSI bajo su responsabilidad están formados también.

Asistir a las entrevistas de BSI en caso de ser convocado

Estar disponibles durante los días de la revisión • Pueden ser llamados por el auditor aunque no están inicialmente en agenda.

2. El Proyecto

21 | ISO27001| 26 Marzo de 2015

21

• Les informamos de su intervención concreta en el proyecto en aquellas necesidades que se identifiquen para la obtención de la certificación. Esta información se recibirá mediante correos electrónicos.

• Les solicitamos la actualización de la documentación que se precise, validando los controles implantados así como la revisión de las métricas.

• Adicionalmente, algunos podrán ser requeridos en reuniones de seguimiento esporádicas y para recibir la formación previa a la auditoria de certificación

• A criterio del auditor de BSI, podrá ser necesaria su presencia durante la realización de la auditoría de certificación (siempre que tengamos proveedores)

A los recursos fuera de Seguridad de la información …

2. El Proyecto

22 | ISO27001| 26 Marzo de 2015

2. El Proyecto Una posible estructura de proyecto

Tarea Fecha Inicio Fecha Fin Prevista

Estrategia de creación del SGSI

Primer mes Aprobación por la Dirección del proyecto

Presentación de Lanzamiento a los implicados

Actualización de los datos por los implicados

Segundo y tercer mes Actualización del análisis y gestión de los riesgos

Creación del Sistema Documental del SGSI

Sensibilización, concienciación y formación

Cuarto mes Presentación de cierre de proyecto

Preparación de la visita delos auditores

Auditoria de renovación del certificado ISO27001

23 | ISO27001| 26 Marzo de 2015

• Tras la reunión de lanzamiento y con el objetivo de llevar un correcto seguimiento del proyecto, se pueden establecer las siguientes reuniones:

• Comité de Seguridad, con una periodicidad mensual al que asistirán los responsables del proyecto para realizar el seguimiento del proyecto y aprobar los resultados que se obtengan.

• Seguimiento del Proyecto con una periodicidad semanal o quincenal al que asistirán los gestores del proyecto y algún colaborador esporádicamente.

• De trabajo y formación, que afectarán a todos los participantes del proyecto. Inicialmente estimamos que a lo largo del mismo se convocarán una media de una reunión conjunta de 60 minutos.

• Cierre de Proyecto, planificada con una semana de antelación al proceso de auditoria de certificación

Modelo de seguimiento del Proyecto

2. El Proyecto

24 | ISO27001| 26 Marzo de 2015

3. Proceso de certificación Dependiendo de la empresa de certificación que se elija, los tiempos pueden variar: • El proceso de certificación dura al menos 3 días • Consiste en un sistema de preguntas realizado por los auditores que deben

verses soportados por evidencias.

25 | ISO27001| 26 Marzo de 2015

25

Entidad certificada en la norma ISO / IEC 27001:2014

3. Procesos de certificación

26 | ISO27001| 26 Marzo de 2015

Isabel María Gómez González

Email: igomezgo@bankia.com

http://www.linkedin.com/in/ismgomez

GRACIAS