Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
-
Upload
gestion-de-la-calidad-de-utn-ba -
Category
Education
-
view
479 -
download
3
description
Transcript of Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001
Formación y Consultoria en Sistemas de Gestión y Mejora ContinuaSecretaría de Cultura y Extensión Universitaria
Seminario ISO/IEC 27001
Sistema de Gestión de Seguridad de la Información
• Filosofía de la ISO• Seguridad de la Información• La norma ISO / IEC 27001:2013• Factores clave de éxito para su
implementación
ObjetivosObjetivos
ISO 9001
OBJETIVOS DEL NEGOCIO
RIESGOS DEL NEGOCIO
MISIÓN
RIESGOS APLICABLES
CONTROLES INTERNOS
REVISIÓN
ISO/IEC 27001ISO/IEC 22301ISO/IEC 20000
ISO 14001OHSAS 18001ISO 26000
Sistemas de Gestión Integrados
InformaciónLa información constituye un importante activo, esencial para las necesidades empresariales de una organización. La información puede existir de muchas maneras. Puede estar impresa o escrita en papel, puede estar almacenada electrónicamente, ser transmitida por correo o por medios electrónicos, se la puede mostrar en videos, o exponer oralmente en conversaciones.
ISO / IEC 27000:2014
Términos y definiciones
• Confidencialidad: Propiedad por la cual la información no esté disponible ni sea divulgada a individuos, organismos o procesos no autorizados.
ISO 27000:2014, cláusula 2.12• Integridad: Propiedad de proteger la precisión y la
totalidad de los activos.ISO 27000:2014, cláusula 2.40
• Disponibilidad: Propiedad de estar accesible y ser utilizable a demanda por parte de un organismo autorizado
ISO 27000:2014, cláusula 2.9
Seguridad de la información
Preservación de la confidencialidad, integridad y disponibilidad de la información; además de otras propiedades, que también pueden estar involucradas como la autenticación, registro de responsabilidad (accountability), el no repudio y la confiabilidad.
ISO 27000:2014
SGSI
La parte del sistema global de gestión, basada en un enfoque de riesgos empresariales, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información.
Nota: El sistema de gestión incluye la estructura organizacional, políticas, actividades de planificación, responsabilidades, prácticas, procedimientos, procesos y recursos.
DO CHECK ACT
8Operación
8Operación
9Evaluación del desempeño
9Evaluación del desempeño
10Mejora
10Mejora
InformaciónDocumentada
InformaciónDocumentada
Planificación y control operativo
Planificación y control operativo
Evaluación de riesgos de
seguridad de información
Evaluación de riesgos de
seguridad de información
Tratamiento de riesgos de
seguridad de información
Tratamiento de riesgos de
seguridad de información
Seguimiento, medición, análisis y
evaluación
Seguimiento, medición, análisis y
evaluación
Auditoría internaAuditoría interna
Revisión por la dirección
Revisión por la dirección
No conformidades y
acciónes correctivas
No conformidades y
acciónes correctivas
Mejora continuaMejora continua
7Apoyo
7Apoyo
RecursosRecursos
CompetenciaCompetencia
ConcientizaciónConcientización
ComunicaciónComunicación
4Contexto de la Organización
4Contexto de la Organización
5 Liderazgo
5 Liderazgo
6Planificación
6Planificación
Comprender la organización y su
contexto
Comprender la organización y su
contexto
Comprender las necesidades y
expectativas de las partes interesadas
Comprender las necesidades y
expectativas de las partes interesadas
Determinar el alcance del SGSI
Determinar el alcance del SGSI
SGSISGSI
Liderazgo y compromiso
Liderazgo y compromiso
PolíticaPolítica
Roles, responsabilidades
y autoridadesde la organización
Roles, responsabilidades
y autoridadesde la organización
Acciones para tratar riesgos y oportunidades
Acciones para tratar riesgos y oportunidades
Objetivos de SI y planes para alcanzarlos
Objetivos de SI y planes para alcanzarlos
PLAN
PDCA y las cláusulas ISO/IEC 27001:2013
Cláusulas de la norma en el modelo PDCA de mejora
continua
Mejora Continua
Mantener y Mejorar el SGSI
10
Implementar y Operar el SGSI
8
Establecer el SGSI
4, 5, 6, 7Anexo A
Partes
Interesadas
Requisitos y
Expectativas
de Seguridad
de la
Información
Partes
Interesadas
Seguridad
de la
Información
Gestionada
Monitorear y Revisar el SGSI
9
Plan
Do
Check
Act
Anexo A de la norma ISO 27001A 5 Políticas de seguridad de la información
A 6 Organización de la seguridad de la información
A 7 Seguridad de los recursos humanos
A 8 Gestión de activos
A 9 Control de accesos
A 10 Criptografia
A 11 Seguridad física y ambiental
A 12 Seguridad de las operaciones
A 13 Seguridad de las comunicaciones
A 14 Adquisición, desarrollo y mantenimiento de los sistemas de información
A 15 Relaciones con los proveedores
A 16 Gestión de incidentes de seguridad de la información
A 17 Aspectos de seguridad de la información en la gestión de la continuidad del negocio
A 18 Cumplimiento
Anexo A
Factores clave de éxito de una implementación ISO 27001
1. Política y objetivos del SGSI.
2. Gestión de riesgos.
3. Compromiso de la Dirección.
4. Metodología de mejora continua.
5. Certificación del SGSI.
1. Política y objetivos del SGC
• Establecer las directrices en la política (no en los objetivos).• Identificar objetivos de calidad SMART:
– eSpecificos (Specific): ¿El objetivo es claro y no ambiguo?– Medibles (Measurable): ¿El objetivo tiene un criterio de
medición?– Alcanzables (Achievable): ¿El objetivo es desafiante pero
alcanzable?– Realista (Realistic): ¿El objetivo puede ser logrado con los
recursos que tenemos?– a Tiempo (Timely): ¿El objetivo tiene definido cuándo se desea
alcanzar?• Alinear los objetivos con las directrices de la política• Evidenciar a través de métricas el cumplimiento de los objetivos.
2. Gestión de riesgos• Participación de todo el personal involucrado:
– Dueños deben fijar la valoración o importancia de los activos en función del negocio
– Custodios deben determinar los medios técnicos para protegerlos, en función de las definiciones de los dueños
• Compromiso de la Dirección con la gestión de los riesgos (ver factor clave de éxito 3).
• Revisiones periódicas de la gestión de riesgos y aprendizaje de los incidentes de seguridad.
• Contar con un encargado de riesgos idóneo técnicamente y para moderar un proceso de comunicaciones interpersonales y liderar las negociaciones entre dueños y custodios.
Definir: Alcance, Política y Metodología
Identificar: Activos, Vulnerabilidades Amenazas y ControlesAnalizar: Riesgos Costo / Beneficio
Decidir tratamiento de riesgos Aceptar riesgo residual
Controles: Seleccionar SOA Implantar
Seguros Proveedores
Conocer y Aceptar las consecuencias
Cese de la actividad que lo origina
PlanificarIdentificar y analizar
Dirección
Mitigarriesgo
Transferirriesgo
Aceptarriesgo
Evitarriesgo
Análisis y valoración de
riesgos
Tratamiento de riesgos
3. Compromiso de la dirección
• Establecer la política, objetivos y comunicar a la organización la importancia de alcanzarlos.
• Aprobación de la Declaración de aplicabilidad.• Provisión de los recursos.• Decidir los criterios de aceptación de riesgos.• Asegurar que el programa de auditorías internas
mejora con el tiempo.• Revisión por la dirección.
La Mejora Continua
Auditoría Auditoría Auditoría
Control Puntos de Auditoría
Operación “Normal” de la Seguridad
Tiempo
Nivel de Seguridad de la empresaSeguridad operativa débilSeguridad operativa más fuerteMejora continua
Preparación para la Auditoría
Modelo de madurez de Philip Crosby
1. Incertidumbre: realidad confusa y sin compromiso.
2. Despertar: reconocimiento de la importancia de la gestión de la calidad pero sin un compromiso de invertir en ella.
3. Ilustración: compromiso de mejora, enfrentando los problemas sin desviar la acción a otros.
4. Sabiduría: participación, medición precisa e intentos de hacer permanentes las mejoras logradas.
5. Certeza: gestión de la calidad como parte esencial de los sistemas de la empresa.
5. Certificación del SGSI• Es un proceso posterior a la
implementación, pero independiente.
• La realizan varios organismos prestigiosos que determinan si el SGSI cumple con los requisitos de ISO 27001.
• Facilita el apoyo de la Dirección.
• Alínea a las personas vinculadas con el SGSI dentro de un objetivo compartido.
Proceso de certificación
CICLO PERIODICO
Implantación delSistema de
Gestión de la Seguridad de la
Información
Solicitud de laCertificación
FASE I Análisis de
Documentación
FASE IIAuditoría de Certificación
Aprobación
VisitaAdicional
NO
SIAuditoriaanual
de Mantenimiento
Mantenimiento de
Certificado
Aprobación
NO
SI
Visita Adicional
Emisión de Certificado
Esfuerzo de certificaciónLa organización debe evidenciar:• Adherencia con su política de SGSI, objetivos y
procedimientos • Que el SGSI concuerda con todos los requisitos normativos y
que alcanza los objetivos de la política de seguridad de la información
La auditoría de certificación se focaliza en:• Evaluar los riesgos relativos a la seguridad de la información
y que esa evaluación produzca resultados comparables y reproducibles
• La documentación obligatoria• La selección de controles y objetivos de control identificados
durante el proceso de gestión de riesgos.
Esfuerzo de certificaciónLa auditoría de certificación se focaliza en (continuación): • Revisión de la eficacia del SGSI y las métricas de la eficacia de los
controles de seguridad de la información, reporte y revisión versus los objetivos del SGSI
• Auditorías internas y revisiones de la Dirección• Responsabilidad de la Dirección en función de la política de
seguridad de la información• La correspondencia entre los controles seleccionados e
implantados, SOA, y los resultados de la evaluación y tratamiento de riesgos, y la política y objetivos del SGSI
• La implementación de controles, teniendo en cuenta las métricas de la eficacia de los controles de la organización, para determinar si los controles implementados son efectivos para alcanzar los objetivos establecidos
• Programas, procedimientos, registros, auditorías internas, y revisiones de la eficacia para asegurar que son trazabables hacia la gestión de riesgos, la política y objetivos del SGSI
Beneficios de la certificación• Asegura la eficacia de la gestión de la seguridad de la información a
través del cumplimiento de una norma de reconocimiento internacional
• Facilita el apoyo de la Dirección• Mejora la conciencia, responsabilidad y sensibilización del personal
hacia la seguridad de la información• Incrementa la confianza de clientes y socios estratégicos por la
garantía de calidad, confidencialidad comercial y cumplimiento de leyes y reglamentaciones
• Implementa la seguridad de la información en los procesos de negocio a través de la gestión de los mismos y no por la compra sistemática de productos y tecnología (revisión de los riesgos y controles a lo largo del tiempo)
• Integra al SGSI con otros sistemas de gestión como SGC y SGA• Robustece la imagen de la empresa a nivel local e internacional
(elemento diferenciador de la competencia)
¿Preguntas?
?
Próximo Curso
Auditor Interno en Seguridad de la Información ISO/IEC 27001; 19011
Viernes 17, 24 y 31 de octubre de 9 a 18 hs.
Informes: [email protected].: 4867-7500 Int. 7710
Novedades 2015
Diplomatura en Sistemas de Gestión de Servicios de Tecnología y Seguridad de la
Información
120 hs.
MUCHAS GRACIAS