Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CIGRAS2014 - Exposición 2 CIGRAS ISO 27001 - RBQ PDF
CIGRAS2014 - Exposición 2 CIGRAS ISO 27001 - RBQ PDF
COSTA RICA
PANAM
COLOMBIA
ECUADOR
BRASIL
PER
URUGUAY
CHILE
ARGENTINA
Rodrigo Baldecchi Q.
Gerente Corporativo de Calidad
04-SEP-14
NDICE
1. Encuadre general.
2. La intencin y el control.
3. Alcance.
4. Roadmap.
5. Implementacin.
6. Poltica de SI.
7. Organizacin.
8. Riesgo.
9. Matriz SOA.
10. Incidentes de SI.
11. Plan de Continuidad del negocio.
12. Medicin y mejora.
13. Cambio de versin de la norma.
2
14. Preguntas.
2
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Encuadre general
3
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
La intencin y el control
4
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Sistemas de gestin
Planificar
Implementar
Medir
Mejorar
5
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Conceptos generales de un SGSI
6
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Conceptos bsicos de SI
Seguridad de la informacin
7
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Alcance
Por ejemplo, el alcance del SGSI queda cubierto por los procesos
de las siguientes reas:
Facility
Espacio fsico; energa elctrica; aire acondicionado; proteccin
contra incendios; accesos
Administracin
Monitoreo; accesos lgicos; bases de datos; aplicativos
Explotacin/Respaldo
Mallas de procesos; almacenamiento de informacin
Comunicaciones
Redes de datos; seguridad lgica; monitoreo equipos de
comunicaciones; enlaces
SAP
Administracin de sistemas SAP.
8
8
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Roadmap
Capacitacin
formal en el Difundir
SGSI Auditoras Pre-
Internas certificacin
Documentar
requisitos Capacitar
normativos
Septiembre -
Marzo - Mayo Junio - Agosto Noviembre
Octubre
2014
9
9
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Implementacin
Requisitos
Calidad
Calidad
Gap
Calidad
Poltica
Calidad
Gap
Calidad
Organizacin Gap
Gap Gap
Activos
RRHH
Calidad
Calidad
Calidad
Calidad
Gap Gap
Calidad
Gap
Gap Gap
Calidad Oficial de Marcelo 1.- Hacer el gap anlisis. Es decir, comparar, mediante
seguridad de Aravena M. entrevistas a los roles elegidos, lo que actualmente se
SONDA hace en las reas del alcance, respecto a lo que se debe
hacer, segn ISO 27001.
2.- Garantizar que los requisitos de la norma ISO 27001,
en funcin del gap anlisis, queden correctamente
implementados en las reas dentro del alcance. Se
preocupa del qu se debe hacer?
3.- Elaborar la documentacin del SGSI.
4.- Dedicacin prioritaria a este proyecto.
5.- En rgimen, es el responsables de auditar el SGSI, de
las Revisiones Gerenciales, del CSI y de la relacin con
el organismo de certificacin externo.
G. Servicios de Gerente de rea Sergio 1.- Definir el alcance. Es decir, las reas y los sistemas.
Data Center Rademacher L. 2.- Aprobar la documentacin del SGSI.
11
11
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Matriz de responsabilidades
Supervisor de
Freddy Espinoza
Base de Datos Entregan al OSI de Calidad la
informacin y la evidencia de lo que
Supervisor de
actualmente se hace, de tal manera de
administracin Toms Jimnez
determinar el gap anlisis.
Unix
Supervisor de
Administracin
administracin Cristin Leiva
Microsoft
Supervisor de
sistemas de Richard Cceres
virtualizacin.
12
12
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Definicin de poltica
13
13
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Poltica de seguridad de la informacin
14
14
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Organizacin
15
15
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Riesgo operacional
Qu es el riesgo operacional?
El Comit de Basilea II lo define como: el riesgo de prdidas debido a la
inadecuacin o a fallas en los procesos, personal y sistemas internos o por causa
de eventos externos
16
16
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Gestin de riesgo - Metodologa
Matriz de Riesgo
Productos o servicios
Procesos - Activos Muy Alto 3 3 4 5 5
Amenazas
Vulnerabilidades Alto 3 3 3 4 5
IMPACTO
Probabilidad de ocurrencia
Moderado 2 3 3 3 4
Impacto
Nivel de riesgo > 2
Bajo 1 2 3 3 3
Tratamiento del riesgo
Mitigar
Mnimo 1 1 2 3 3
Aceptar
Transferir Extremada
Muy Muy
Extremada
mente Probable mente
Eliminar improbable
improbable probable
probable
Proyecto PROBABILIDAD
17
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Gestin de riesgo - Evolucin
19
19
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Incidentes de Seguridad de la Informacin
20
20
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Plan de continuidad del negocio
Alcance.
BIA.
Gestin de riesgo.
Estrategias de continuidad.
Plan de Continuidad.
Pruebas.
Mejoras.
21
21
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Auditoras internas
Preparacin de auditores.
Calendario.
Ejecucin del calendario.
Tratamiento de hallazgos.
Mejoras.
SGSI ISO 27001 PROGRAMA DE AUDITORAS AO 2014 FACILITIES
Auditoras Internas AI
Revisin Gerencial RG Realizada
Auditora de Pre-certificacin AP Programada
Auditora de Vigilancia AV No realizada
Auditora de re-certificacin AR
Aprobado por Ger. Datacenter/Ger. Calidad
Fecha 1-mar-14
Indicador general
Enero Febrero Marzo Abril Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre
Requisitos Normativos
06 13 20 27 03 10 17 24 03 10 17 24 31 07 14 21 28 05 12 19 26 02 09 16 23 30 07 14 21 28 04 11 18 25 01 08 15 22 29 06 13 20 27 03 10 17 24 01 08 15 22 29
4 Sistema de Gestin de Seguridad de la
Informacin
4.1 Requisitos Generales AI9 RG RG AR AR AI RG AI RG
4.2 Establecer y manejar el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.1 Establecer el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.2 Implementar y operar el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.3 Monitorear y revisar el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.4 Mantener y mejorar el SGSI AI9 RG RG AR AR AI RG AI RG
4.3 Requisitos de documentacin AI9 RG RG AR AR AI RG AI RG
4.3.1 General AI9 RG RG AR AR AI RG AI RG
4.3.2 Control de documentos AI9 RG RG AR AR AI RG AI RG
4.3.3 Control de registros AI9 RG RG AR AR AI RG AI RG
5 Responsabilidad de la gerencia
7 Revisin Gerencial
22
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Revisiones gerenciales
23
23
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
El punto de partida de la seguridad de la informacin
24
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Recomendaciones
25
25
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Cambio de versin de la norma ISO 27001
ISO ISO
Notas
27001:2005 27001:2013
Garantizar la coherencia entre las futuras y actuales normas de
sistemas de gestin.
8 puntos
Anexo SL Favorecer la integracin de sistemas de gestin.
clsicos. Facilitar a los usuarios la comprensin y entendimiento de las
normas de gestin.
11 dominios 14 dominios
Las principales modificaciones se ven reflejadas en la estructura
y el contenido de los controles que conforman el Anexo A, todo
133 controles 113 controles como resultado de un proceso de fusin, exclusin e
incorporacin de nuevos controles de seguridad.
26
26
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Estructura del nuevo estndar
27
27
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Dominios ISO 27001
ISO 27001:2005 (11 dominios; 133 controles) ISO 27001:2013 (14 dominios; 113 controles)
28
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Documentos del SGSI
Requisito Descripcin
Alcance del SGSI mbito de la organizacin que queda sometido al SGSI, incluyendo una identificacin
clara de las dependencias, relaciones y lmites que existen entre el alcance y aquellas
partes que no hayan sido consideradas.
Poltica y objetivos de seguridad Documento de contenido genrico que establece el compromiso de la direccin y el
enfoque de la organizacin en la gestin de la seguridad de la informacin.
Procedimientos y controles del Aquellos procedimientos que regulan el propio funcionamiento del SGSI.
SGSI
Declaracin de aplicabilidad: Documento que contiene los objetivos de control y los controles contemplados por el
(SOA -Statement of Applicability) SGSI, basado en los resultados de los procesos de evaluacin y tratamiento de riesgos,
justificando inclusiones y exclusiones.
Metodologa de evaluacin de Descripcin de la forma como se realizar la evaluacin de las amenazas,
riesgos vulnerabilidades, probabilidades de ocurrencia e impactos en relacin a los activos de
informacin dentro del alcance definido, y los criterios de aceptacin de riesgo.
Informe de evaluacin y plan de Estudio resultante de aplicar la metodologa de evaluacin anteriormente mencionada a
tratamiento de riesgos los activos de informacin de la organizacin. Plan de tratamiento de los riesgos.
Plan de continuidad del negocio Documento que identifica los planes para enfrentar diferentes escenarios. Las pruebas,
los anlisis del resultado de las pruebas y las acciones de mejoras del plan.
Procedimientos documentados Todos los necesarios para asegurar la planificacin, operacin y control de los procesos
de seguridad de la informacin, as como para la medida de la eficacia de los controles
implantados.
Registros Evidencia objetiva del funcionamiento del SGSI.
29
29
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
Tel (56-2) 657 50 00
Fax (56-2) 657 54 10
Teatinos 500 /
Santiago / CHILE
www.SONDA.com
Rodrigo Baldecchi
rodrigo.baldecchi@sonda.com
FIN 30
30
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS