Objetivos

Conocer y poner en marcha la metodologa de

implementacin del SGSI de acuerdo a la Norma ISO

27001.
Definir el Comit de Seguridad de la Informacin
(CSI) y sus funciones.
Definir poltica, alcance, objetivos y
responsabilidades del SGSI.
Realizar el inventario de activos definiendo su
impacto en la organizacin por la violacin de los
elementos de seguridad de la informacin.

METODLOGA PARA LA
IMPLEMENTACIN DEL SGSI

Ing. Msc. Marlon Giovanni Martnez Prez

marlon_martinez@ugb.edu.sv

MODELO DE PROCESOS - PHVA

El ciclo PHVA (o PDCA en ingles)

es una herramienta de la
mejora continua, diseada por
el Dr. Walter Shewhart en 1920 y
presentada por Deming a partir del
ao 1950
Se basa en un ciclo de 4 pasos:
Planificar (Plan), Hacer (Do),
Verificar (Check) y Actuar (Act)
Es comn usar esta metodologa en
la implementacin de un sistema
de gestin.

MODELO DE PROCESOS - PHVA

MODELO DE PROCESOS - PHVA

CORRELACIN DE LA METODOLOGIA
CON LAS NORMAS ISO 27000

ARRANQUE DEL PROYECTO

COMPROMISO
DE LA
DIRECCIN

APOYO EN
PLANIFICACIN

CONFORMAR EL
COMIT DE
SEGURIDAD DE LA
INFORMACIN.
-Definir
responsabilidades para
el personal involucrado.

Comit de Seguridad de la Informacin

- CSI
Cuerpo integrado por

representantes de todas
las reas sustantivas de
la organizacin,
destinado a garantizar
el apoyo manifiesto de
las autoridades a las
iniciativas de seguridad
para lograr un trabajo
eficaz y seguro.

Comit de Seguridad de la Informacin

Caso Prctico

POLTICA DEL SGSI

Poltica del SGSI

Generalidades

Alcance

Objetivos

Responsabilidades

Poltica del SGSI Caso Prctico

Alcance del SGSI

Alcance del SGSI

Alcance del SGSI Caso Prctico

Tomar en cuenta:
El alcance delimita claramente el SGSI, indicando las reas

especificas y procesos de aplicacin.

Objetivos del SGSI Caso Prctico

Responsabilidades Caso Prctico

Responsabilidades Caso Prctico

Responsabilidades Caso Prctico

IDENTIFICACIN DEL RIESGO

La identificacin del riesgo contempla inicialmente la

determinacin de los activos de informacin dentro del

alcance del SGSI, teniendo en cuenta la ubicacin,
responsable y funciones.
Se deben determinar las amenazas, vulnerabilidades e

impactos en la organizacin, por las posibles prdidas de

confiabilidad, integridad y disponibilidad sobre los activos.

INVENTARIO DE ACTIVOS
Se debe realizar un inventario de activos relacionando cada

proceso de la organizacin contemplado en el alcance del

SGSI.
Los activos hacen referencia a: personal de la
organizacin, imagen corporativa, informacin,
sistemas de informacin, procesos, productos,
aplicaciones y el entorno fsico.
Se deben determinar las amenazas, vulnerabilidades e
impactos en la organizacin, por las posibles prdidas de
confiabilidad, integridad y disponibilidad sobre los activos.

INVENTARIO DE ACTIVOS

IDENTIFICACIN DEL IMPACTO

Una vez identificados los activos de informacin que posee la

empresa para cada uno de los procesos que se han decidido

incluir dentro del alcance del SGSI, se debe identificar
cual sera el impacto que tendra en su respectivo proceso
la prdida o alteracin de cada uno de los activos
identificados.
Para la evaluacin del impacto se proponen 3 requisitos
propios de los activos de informacin de una empresa, como
lo describe la ISO 27001:2005 (Confidencialidad, Integridad
y Disponibilidad).

IDENTIFICACIN DEL IMPACTO

Para cada requisito se han establecido 3 niveles de impacto

(bajo, mediano y alto).

Al momento de decidir cul de los 3 niveles aplica para cada

categora, se debe conformar un grupo interdisciplinar de

evaluacin.
La cuantificacin final debe salir de un acuerdo general del

grupo, el ejercicio debe hacerse tomando activo por activo.

REQUISITOS PARA IDENTIFICACIN DE

IMPACTO

REQUISITOS PARA IDENTIFICACIN DE

IMPACTO

REQUISITOS PARA IDENTIFICACIN DE

IMPACTO

IDENTIFICACIN DEL IMPACTO