Metodologia Propuesta 27001

PlanificarEstablecer
Hacer Implementar

PHVA

VerificarMonitorear y revisar
Actuar Mantener y mejorar
P-Establecer el alcance y formulando las polticas del SGSI y
valorando riesgos y sus tratamientos.
H-Implantando el tratamiento de riesgos, implementando
controles, capacitacin y sensibilizacin.
V-Revisiones, haciendo auditoras internas de SGSI , controlando
registros y documentacin.
A-implementando mejoras, acciones correctivas, preventivas
identificando no conformidades.
Resumen de pasos para la implementacin:
__________________________________

Oficial de Seguridad(depende de la GG):

-Realiza la auditoria, desarrolla y actualiza el plan de continuidad(BCP)
y el plan de contingencia tecnolgico(DRP) , define el plan de seguridad
de la informacin junto con el comit de SI.
Desarrolla , mantiene y realiza seguimiento al SGSI.

Capitulo 2.

Poltica: las polticas son desplegadas y soportadas por estndares

mejores prcticas, procedimientos y guas.
Las polticas deben ser pocas.
Estndar: buscan hacer cumplir las polticas,
Mejor prctica: es el enfoque ms efectivo en una implementacin de
seguridad.
Guia: son recomendaciones que se deben considerar al implementar la
seguridad.
Procedimiento: definen como las polticas , estndares , mejores practicas ,
guias
sern implementadas en una situacin dada.los procedimientos son
desarrollados implemetados y supervisados por el dueo del proceso o
sistema.
Ejemplo:
-En el nivel ms alto se elabora la poltica para toda la organizacin por
ejemplo:
garantizar seguridad en el correo electrnico cuyo contenido de informacin
sea confidencial
-Esta poltica puede ser soportada por varios ESTANDARES por ejemplo
mensajes enviado usando algn sistema de criptografa (hace cumplir la
politica).
-una mejor prctica, podra ser relacionada sobre la manera de configurar el
correo con el fin de garantizar el cumplimiento de la poltica y del estandar.
-Procedimientos: especifican requerimientos para que al politica y los
estndares se apliquen en una dependencia especifica.
Podran especificar requerimientos para q la poltica y los standares que la
soportan sean aplicados en una dependencia especfica.
-las guias incluyen informacin sobre tecnicas , configuraciones , secuencias de
comandos
que seguirn los usuarios para asegurar la informacin.

Cmo establecer los requisitos de seguridad?

Existen tres fuentes

principales.

1. La primera fuente procede de la valoracin de los riesgos de la organizacin,

Con ella se identifican las amenazas a los activos, se evala la vulnerabilidad y la
probabilidad de su ocurrencia y se estima su posible impacto.
2. La segunda fuente es el conjunto de requisitos legales, estatutos, regulaciones y
contratos que debera satisfacer la organizacin, sus socios comerciales, los contratistas
y los proveedores de servicios.
3. La tercera fuente est formada por los principios, objetivos y requisitos que
forman parte del tratamiento de la informacin que la organizacin ha desarrollado para
apoyar sus operaciones.

Evaluacin de los riesgos de seguridad

Los controles que se consideran esenciales para una organizacin desde un punto de vista
Legislativo comprenden:
a) la proteccin de los datos de carcter personal y la intimidad de las personas
(vase el inciso 15.1.4);
b) la salvaguarda de los registros de la organizacin (vase el inciso 15.1.3);
c) los derechos de la propiedad intelectual (vase el inciso 15.1.2).
Los controles que se consideran la mejor prctica habitual para conseguir la seguridad de la
Informacin comprenden:
a) la documentacin de la poltica de seguridad de la informacin (vase el inciso
5.1.1);
b) la asignacin de responsabilidades de seguridad (vase el inciso 6.1.3);
c) la formacin y capacitacin para la seguridad de la informacin (vase el inciso
8.2.2);
d) el procedimiento correcto en las aplicaciones (vase el inciso 12.2);
e) la gestin de la vulnerabilidad tcnica (vase el inciso 12.6);

f) la gestin de la continuidad del negocio (vase el inciso 14);

g) el registro de las incidencias de seguridad y las mejoras (vase el inciso 13.2).

Estos controles pueden aplicarse a la mayora de las organizaciones y los entornos.

Es conveniente sealar que pese a la importancia dada a los controles en este documento, la
importancia de cualquier control debera determinarse a la luz de los riesgos especficos
que
afronta la organizacin. Por tanto y aunque el enfoque anterior se considere un buen punto
de
partida, no sustituye a la seleccin de controles basada en una evaluacin del riesgo.
Factores crticos de xito
La experiencia muestra que los siguientes factores suelen ser crticos para el xito de la
implantacin de la seguridad de la informacin en una organizacin:

- a) una poltica, objetivos y actividades que reflejen los objetivos del negocio de la

organizacin;
b) un enfoque para implantar, mantener, monitorear e improvisar la seguridad que
sea consistente con la cultura de la organizacin;
c) el apoyo visible y el compromiso de la alta gerencia;
d) una buena comprensin de los requisitos de la seguridad, de la evaluacin del
riesgo y de la gestin del riesgo;
e) la conviccin eficaz de la necesidad de la seguridad a todos los directivos y
empleados;
f) la distribucin de guas sobre la poltica de seguridad de la informacin de la
organizacin y de normas a todos los empleados y contratistas;
g) aprovisionamiento para financiar actividades de gestin de seguridad de la
informacin;
h) la formacin y capacitacin adecuadas;
i) establecer un efectivo proceso de gestin de incidentes de la seguridad de
informacin;
j) un sistema integrado y equilibrado de medida que permita evaluar el
rendimiento de la gestin de la seguridad de la informacin y sugerir mejoras.