Planificacin de un SGSI

1. Resumen

Para implementar un SGSI con resultados aceptables teniendo en cuenta un proceso de
certificacin, se recomienda un tiempo mnimo de 1 ao. El desglose de los tiempos se detalla
a continuacin:
Planificacin: 2.5 meses;
Implementacin: 3.5 meses;
Verificacin: 2 meses;
Mejoras: 2 meses.
Pre auditora (ensayo o diagnstico) y Auditoria: 2 meses.
El contrato con una empresa de auditora tiene un plazo de vigencia de 3 aos, donde se valida
y verifica el funcionamiento del SGSI. En resumen, un proceso consta de 4 pasos:
1. Elaborar el alcance y objetivos;
2. Elaborar polticas, criterios de la organizacin, obtener compromiso de alta direccin;
3. Anlisis de Riesgos;
4. Implementar controles para mitigar los riesgos.
Es conveniente realizar inducciones a la organizacin sobre el estndar ISO 27000 antes de
implementarla, para que los usuarios identifiquen los beneficios y el rol que tendr cada
persona involucrada.
IMPORTANTE: Si no hay compromiso de la alta direccin con la implementacin de un SGSI, no
se debe seguir adelante con la implementacin. Este compromiso se define con reuniones de
participacin, definicin de objetivos, directrices, aprobar presupuestos entre otros.
2. Etapa de Planificacin

Se define el alcance, los objetivos y los activos. Se documentan los procesos involucrados que
van a tener cobertura en el SGSI y los activos de informacin involucrados. Adems, debe quedar
detallado por qu estos procesos fueron seleccionados y por qu otros fueron excluidos.
Se crea una matriz de activos con la valorizacin en trminos de confidencialidad, integridad,
disponibilidad adems de identificar los dueos de esos activos.
En general, es ideal que exista un mapa de proceso de la organizacin y que el alcance est
basado en dicho mapa.

3. Anlisis de Brecha

Se verifica que los posibles controles a implementar cumplirn su objetivo y estn asociadas a
mtricas. Es ideal la creacin de checklist y aplicar niveles de madurez. Se definen mediciones
bimensuales los cuales sern reportados al comit de seguridad.
a. Declaracin de Aplicabilidad

Se justifican los controles que no se implementan. Existen controles obligatorios para
los auditores, y estos son; Poltica de Seguridad, Capacitacin y Entrenamiento al
Personal, Gestin de Incidentes de Seguridad, Continuidad del Negocio y Cumplimiento.
b. Gestin de Riesgos

Declarar la metodologa de la gestin de riesgos, el anlisis de riesgos y que opciones o
tratamiento de los riesgos se tomarn. La metodologa debe ser repetible y se deben
obtener los mismos resultados. Ver ISO 31000 o ISO 27005.
4. Etapa de Implementacin

Creacin de charlas de induccin y concientizacin que incluye hablar sobre los riesgos a los que
est expuesto la organizacin y el rol de cada usuario y beneficios asociados al implementar un
SGSI. Se debe realizar la mitigacin de riesgo implementando los controles. Se debe tener claro
el nivel de riesgo al cual se quiere llegar (se define en la metodologa de mitigacin de riesgo).
Ver Anexo A de la norma ISO 27001. Por ltimo, se debe indicar la responsabilidad de quien
implementa los recursos, las fechas, los recursos utilizados y las mediciones asociadas a cada
control.
a. Control documental

Es un documento que detalla el cmo se hace el procedimiento de documentacin
(quien los aprueba, quien los revisa, quien los difunde, quien mide el cumplimiento,
gestin de los documentos obsoletos, gestin de documentos externos, etc.), como se
realiza la auditoria interna, detalle de acciones correctivas y acciones preventivas. Todos
los documentos deben tener un formato corporativo. Deben existir mecanismos de
medicin, por ejemplo cuantos documentos aprobados.
Se crean los siguientes documentos: Documentos de planes de contingencia,
Continuidad de Negocio, Recuperacin ante Desastres, Documentos Operacionales
Especficos, Procedimientos de Escalamiento y Reportes, Incidentes de Seguridad.
b. Entrenamiento y generacin de consciencia

Capacitaciones, plan de sensibilizacin, entrenamiento (segn lo definido en el alcance),
charlas con cuestionarios, porcentaje de aprobados. Mantener estos registros.

5. Chequeo

La cultura de la organizacin debe estar alineada con el SGSI. Cada involucrado conoce su rol.
Se sugieren reas de mejora.
Identificacin de Mejoras: Hacerlo por medio de un canal formal (Formulario).
Reuniones Ejecutivas: Comit de seguridad, seguimiento de los puntos discutidos, reuniones a
intervalos (definir esos intervalos). Apoyarse de indicadores. Auditoras internas a lo menos
una.
6. Accin

El personal conoce el estado del SGSI, se implementan las mejores al sistema, correctivas y
preventivas.
Se sensibilizado a entrenado. Crear cultura. xito, compromiso. TI, RRHH, Personal encargado
de temas legales.