Implantacin de Sistemas de Gestin de la Seguridad de la Informacin (ISO/IEC 27001)

Ing. Reynaldo C. de la Fuente, CISA, CISSP, MBA

Temario
Grupo de Normas Seguridad de la Informacin. Ciclo PDCA Factores crticos de xito.

Grupo de Normas ISO/IEC 27000

Disponibles en espaol
UNIT/ ISO/IEC 27001 UNIT/ ISO/IEC 27002 (Ex-ISO/IEC 17799)

En proceso
ISO/IEC 27000 Fundamentos y vocabulario. ISO/IEC 27003 Directrices para la implementacin de un SGSI. ISO/IEC 27004 Mtricas para la GSI. ISO/IEC 27005 Gestin de riesgos de la SI. ISO/IEC 27006 Requisitos para la acreditacin de las organizaciones que proporcionan la certificacin de los SGSI

Implantacin de la ISO/IEC 27001

El.. (SGSI) es la parte del sistema de gestin de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la informacin.
4

Seguridad de la Informacin?
La seguridad de la informacin consiste en procesos y controles diseados para proteger informacin de su divulgacin no autorizada, transferencia, modificacin o destruccin, a los efectos de:
asegurar la continuidad del negocio; minimizar posibles daos al negocio; maximizar oportunidades de negocios. La informacin es un activo que como otros activos importantes tiene valor y requiere en consecuencia una proteccin adecuada.

La informacin puede estar:

Impresa o escrita en papel. Almacenada electrnicamente. Trasmitida por correo o medios electrnicos Mostrada en filmes. Hablada en conversacin.
5

Seguridad de la Informacin?
La seguridad de la informacin se caracteriza aqu como la preservacin de:
su confidencialidad, asegurando que slo quienes estn autorizados pueden acceder a la informacin; su integridad, asegurando que la informacin y sus mtodos de proceso son exactos y completos. su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran.

(Planificar /Hacer /Verificar /Actuar)

Modelo utilizado para establecer, implementar, monitorear y mejorar el SGSI.

Planificar
Establecer el SGSI

Actuar
Mantener y Mejorar el SGSI

Partes Interesadas
Implementar y operar el SGSI Monitorear el SGSI

Partes Interesadas

Requisitos y expectativas

Hacer

Verificar

Seguridad Gestionada

Establecer el SGSI (Plan)

Establecer la poltica de seguridad, objetivos, metas, procesos y procedimientos relevantes para manejar riesgos y mejorar la seguridad de la informacin para generar resultados de acuerdo con una poltica y objetivos marco de la organizacin. Definir el alcance del SGSI a la luz de la organizacin.
Seamos consistente con los objetivos.

Definir la Poltica de Seguridad. Definir y Aplicar un enfoque sistmico para evaluar el riesgo. No se establece una metodologa a seguir. Intentemos su integracin con otros metodologas ya utilizadas internamente.
8

Anlisis de Riesgos (Plan)

Amenazas
Protege contra Explota

Vulnerabilidades
Aumenta Expone

Aumenta

Controles
Cumplidos por

Reduce

Riesgos
Indica Aumentan

Activos
Tienen

Requerimientos

Valor

Impacto al negocio.

Matriz de Riesgos

10

Establecer el SGSI (Plan)

Identificar y evaluar opciones para tratar los riesgos identificados Mitigar, Eliminar, Transferir, Aceptar
Dentro del Alcance definido.

Seleccionar objetivos de control y controles a implementar (Mitigar),

En virtud del resultado del anlisis de riesgos, considerando a su vez los requisitos legales y regulatorios. A partir de los 133 controles definidos por la ISO/IEC 27002

Establecer enunciado de aplicabilidad

Seleccin o no de cada uno de los controles y explicacin.

11

Objetivos de Control y Controles

Edicin 2005 5 6 7 8 9 10 11 12 13 14 15 Poltica de Seguridad Aspectos organizativos para la seguridad Gestin de los activos Seguridad de los Recursos Humanos Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Control de accesos Adquisicin, Desarrollo y mantenimiento de sistemas Gestin de incidentes de seguridad de la informacin. Gestin de continuidad del negocio Conformidad Objetivos Controles 1 2 2 3 2 10 7 6 2 1 3 39 2 11 5 9 13 32 25 16 5 5 10 133
12

Totales

Implementar y operar (Do)

Implementar y operar la poltica de seguridad, controles, procesos y procedimientos. Implementar plan de tratamiento de riesgos. Transferir, Eliminar, Aceptar, Mitigar..
Clave para el xito de la implantacin.

Implementar continua.

programas

de

Capacitacin

concientizacin

Clave para el xito de la implantacin.

Implementar procedimientos y controles de deteccin y respuesta a incidentes.

Clave para el xito del seguimiento y la mejora.

Implementar indicadores para medir la eficacia de los controles.

Clave para el xito del seguimiento y la mejora.
13

Monitoreo y Revisin (Check)

Evaluar y medir la performance de los procesos contra la poltica de seguridad, los objetivos y experiencia practica y reportar los resultados a la direccin para su revisin. Revisar el nivel de riesgo residual aceptable, considerando los cambios en el entorno. Auditorias internas.
Siempre clave

Revisiones por parte de la Direccin

14 de Hctor es un ejemplo del xito nuestra poltica de escritorios

Indicadores
El contar con un conjunto adecuado de indicadores, asociados a los objetivos y controles de seguridad definidos e implementados es crtico para el adecuado seguimiento y mejora continua del SGSI.

15

Mantenimiento y mejora (Act)

Tomar acciones correctivas y preventivas, basadas en los resultados de la revisin de la direccin, para lograr la mejora continua del SGSI. Identificar mejoras en el SGSI a fin de implementarlas. Tomar las acciones apropiadas (preventivas y correctivas). Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas. Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.

16

Factores crticos de xito

El apoyo visible y el compromiso evidente de la alta direccin

17

Factores crticos de xito

El apoyo visible y el compromiso evidente de la alta direccin
Asignacin de recursos econmicos y en especial humanos.
Concientizacin de los mandos medios.

Un alcance, poltica y objetivos que reflejen los objetivos del negocio. Ser conciente del esfuerzo permanente que se requiere.

18

Factores crticos de xito

La adecuada capacitacin y permanente concientizacin del personal.
Un sistema de gestin de incidentes que permita centralizar el registro y seguimiento de los eventos e incidentes de seguridad.

Un sistema integrado de indicadores que permita evaluar la eficacia de los controles y procesos implementados. Herramientas de gestin de permita centralizar el registro y seguimiento de diferentes procesos y controles.

19

Muchas gracias!
Consultas
Reynaldo@datasec-soft.com

20