MXICO

COSTA RICA

PANAM

COLOMBIA

ECUADOR
BRASIL
PER

URUGUAY
CHILE

ARGENTINA

Implementacin efectiva de un SGSI ISO 27001.

Rodrigo Baldecchi Q.
Gerente Corporativo de Calidad
04-SEP-14
 NDICE

1. Encuadre general.
2. La intencin y el control.
3. Alcance.
4. Roadmap.
5. Implementacin.
6. Poltica de SI.
7. Organizacin.
8. Riesgo.
9. Matriz SOA.
10. Incidentes de SI.
11. Plan de Continuidad del negocio.
12. Medicin y mejora.
13. Cambio de versin de la norma.
2
14. Preguntas.
2
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Encuadre general

La informacin es un activo esencial y es decisiva para la

viabilidad de una organizacin. Adopta diferentes formas, impresa,
escrita en papel, digital, transmitida por correo, mostrada en
videos o hablada en conversaciones.
Debido a que est disponible en ambientes cada vez ms
interconectados, est expuesta a amenazas y vulnerabilidades.
La seguridad de la informacin es la proteccin de la informacin
contra una amplia gama de amenazas; para minimizar los daos,
ampliar las oportunidades del negocio, maximizar el retorno de las
inversiones y asegurar la continuidad del negocio.
Se va logrando mediante la implementacin de un conjunto
adecuado de polticas, procesos, procedimientos, organizacin,
controles, hardware y software y, lo ms importante, mediante
comportamientos ticos de las personas.

3
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 La intencin y el control

El aumento del control sobre las actividades de las personas.

Es posible controlar las intenciones de las personas?
Por lo tanto, se requiere ir ms lejos

4
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Sistemas de gestin

Para ISO (International Organization for Standardization) un

sistema de gestin queda definido por un proceso de 4 etapas,
creado por Walter Andrew Shewhart (1891 1967) y
popularizado por William Edwards Deming (1900 1993),
Planificar (Plan), Implementar (Do), Medir (Check) y Mejorar (Act).

Planificar
Implementar
Medir
Mejorar

5
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Conceptos generales de un SGSI

ISO 27001 es un Sistema de Gestin de la Seguridad de la

Informacin (SGSI).
La seguridad de la informacin queda definida por tres atributos:
a) Confidencialidad; b) Integridad; c) Disponibilidad.
La seguridad de la informacin (SI) es la proteccin de la
informacin contra una amplia gama de amenazas respecto a: i)
Minimizar daos; ii) Oportunidades del negocio; iii) Retorno de la
inversin; iv) Continuidad del negocio; v) Cultura tica.
El SGSI garantiza la SI mediante una estructura de buenas
prcticas, definidas por: a) Gestin de riesgos; b) Polticas; c)
Procesos; d) Procedimientos; e) Controles; f) Revisiones; g)
Mejoras.

6
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Conceptos bsicos de SI

La Seguridad de la Informacin consiste en mantener:

Confidencialidad: Informacin disponible exclusivamente a personas

autorizadas.

Integridad: Mantenimiento de la exactitud y validez de la informacin,

protegindola de modificaciones o alteraciones no autorizadas. Contra la
integridad la informacin puede parecer manipulada, corrupta o incompleta.

Disponibilidad: Acceso y utilizacin de los servicios slo y en el momento de

ser solicitado por una persona autorizada.

Seguridad de la informacin

Confidencialidad Integridad Disponibilidad

7
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Alcance

Por ejemplo, el alcance del SGSI queda cubierto por los procesos
de las siguientes reas:

Facility
Espacio fsico; energa elctrica; aire acondicionado; proteccin
contra incendios; accesos
Administracin
Monitoreo; accesos lgicos; bases de datos; aplicativos
Explotacin/Respaldo
Mallas de procesos; almacenamiento de informacin
Comunicaciones
Redes de datos; seguridad lgica; monitoreo equipos de
comunicaciones; enlaces
SAP
Administracin de sistemas SAP.
8

8
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Roadmap

ETAPA I ETAPA II ETAPA III ETAPA IV

Documentacin Implementacin Anlisis crtico Certificacin

Capacitacin
formal en el Difundir
SGSI Auditoras Pre-
Internas certificacin

Documentar
requisitos Capacitar
normativos

Publicar Mejoras Certificacin

documentacin Implementar
del SGSI

Septiembre -
Marzo - Mayo Junio - Agosto Noviembre
Octubre

2014
9

9
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Implementacin

Calidad Servicios de Data Center & Cloud

Administra Explotaci Comunicac

ISO 27001 Facility
cin n/Respaldo iones
SAP

Requisitos

Calidad

Calidad
Gap

Calidad
Poltica

Calidad
Gap

Calidad
Organizacin Gap
Gap Gap
Activos

RRHH

Calidad

Calidad

Calidad
Calidad
Gap Gap
Calidad
Gap
Gap Gap

(Gap) (Gap) (Gap) (Gap) (Gap)

Cumplimiento

Responsable Responsable Responsable Responsable Responsable 10

Oficial de Seguridad
10
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Matriz de responsabilidades

reas Rol Nombre Responsabilidades

Calidad Oficial de Marcelo 1.- Hacer el gap anlisis. Es decir, comparar, mediante
seguridad de Aravena M. entrevistas a los roles elegidos, lo que actualmente se
SONDA hace en las reas del alcance, respecto a lo que se debe
hacer, segn ISO 27001.
2.- Garantizar que los requisitos de la norma ISO 27001,
en funcin del gap anlisis, queden correctamente
implementados en las reas dentro del alcance. Se
preocupa del qu se debe hacer?
3.- Elaborar la documentacin del SGSI.
4.- Dedicacin prioritaria a este proyecto.
5.- En rgimen, es el responsables de auditar el SGSI, de
las Revisiones Gerenciales, del CSI y de la relacin con
el organismo de certificacin externo.

G. Servicios de Gerente de rea Sergio 1.- Definir el alcance. Es decir, las reas y los sistemas.
Data Center Rademacher L. 2.- Aprobar la documentacin del SGSI.

Seguridad Oficial de Jacob Delgado 1.- Definir el Cmo? Se implementar los

Seguridad Data S. procedimientos del SGSI.
Center 2.- En rgimen, debe asegurar el cumplimiento del
modelo. Es decir, cuida que se haga lo que est
declarado en los procedimientos.

11

11
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Matriz de responsabilidades

reas Rol Nombre Responsabilidades

Jefe Data Center

Miguel Soto
Quilicura
Facility
Jefe Data Center
Teatinos y Santa Jos M. Arriagada
Isabel

Supervisor de
Freddy Espinoza
Base de Datos Entregan al OSI de Calidad la
informacin y la evidencia de lo que
Supervisor de
actualmente se hace, de tal manera de
administracin Toms Jimnez
determinar el gap anlisis.
Unix
Supervisor de
Administracin
administracin Cristin Leiva
Microsoft

Supervisor de
sistemas de Richard Cceres
virtualizacin.

12

12
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Definicin de poltica

13

13
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Poltica de seguridad de la informacin

Poltica general de SI.

Poltica de SI por dominio.

14

14
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Organizacin

Comit de seguridad de la Informacin (CSI) (A 6.1.2 A 6.1.3)

Se deben mantener los contactos apropiados con las autoridades
pertinentes.
Deben estar representadas todas las reas de la empresa.
G. General; G. Negocios; G. Logstica; G. Personas; G. Contralora;
D. Legal; G. Calidad; OSI.

Oficial de seguridad de la informacin.

rea de calidad.
Auditores internos en calidad y seguridad de la informacin.
Revisiones Gerenciales
Polticas
Procesos y procedimientos

15

15
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Riesgo operacional

Qu es el riesgo operacional?
El Comit de Basilea II lo define como: el riesgo de prdidas debido a la
inadecuacin o a fallas en los procesos, personal y sistemas internos o por causa
de eventos externos

Qu es la gestin de riesgo operacional?

Ms all de la definicin de riesgo operacional, lo importante es contar
con un proceso de gestin de riesgos operativos o riesgos operacionales.

Este proceso de riesgo operacional es el que debera garantizar la buena

gestin de los riesgos segn los estndares internacionales.
Segn el Comit de Basilea II, se entiende por gestin de riesgo
operacional al proceso de identificacin, evaluacin, seguimiento y control
del riesgo operacional.

Conclusin: La gestin de riesgo" es un proceso esencial en la empresa.

16

16
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Gestin de riesgo - Metodologa

Matriz de Riesgo
Productos o servicios
Procesos - Activos Muy Alto 3 3 4 5 5

Amenazas
Vulnerabilidades Alto 3 3 3 4 5

IMPACTO
Probabilidad de ocurrencia
Moderado 2 3 3 3 4
Impacto
Nivel de riesgo > 2
Bajo 1 2 3 3 3
Tratamiento del riesgo
Mitigar
Mnimo 1 1 2 3 3
Aceptar
Transferir Extremada
Muy Muy
Extremada
mente Probable mente
Eliminar improbable
improbable probable
probable

Proyecto PROBABILIDAD

Nuevo nivel de riesgo 2

Medicin de la eficacia
17

17
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Gestin de riesgo - Evolucin

(#) riesgos aceptados

18
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Matriz SOA

Declaracin de aplicabilidad (SOA: Statement of Applicability)

Se construye una tabla con el dominio, control, justificacin de la
exclusin, documento.

19

19
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Incidentes de Seguridad de la Informacin

Definir cules sern tratados. Por ejemplo, los incidentes mayores.

(Como se trata de un tema de cambio cultural, la recomendacin es ir
desde lo simple a lo complejo.)
Procedimiento de incidentes de SI.
Tratamiento.

20

20
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Plan de continuidad del negocio

Alcance.
BIA.
Gestin de riesgo.
Estrategias de continuidad.
Plan de Continuidad.
Pruebas.
Mejoras.

21

21
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Auditoras internas

Preparacin de auditores.
Calendario.
Ejecucin del calendario.
Tratamiento de hallazgos.
Mejoras.
SGSI ISO 27001 PROGRAMA DE AUDITORAS AO 2014 FACILITIES
Auditoras Internas AI
Revisin Gerencial RG Realizada
Auditora de Pre-certificacin AP Programada
Auditora de Vigilancia AV No realizada
Auditora de re-certificacin AR
Aprobado por Ger. Datacenter/Ger. Calidad
Fecha 1-mar-14
Indicador general
Enero Febrero Marzo Abril Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre
Requisitos Normativos
06 13 20 27 03 10 17 24 03 10 17 24 31 07 14 21 28 05 12 19 26 02 09 16 23 30 07 14 21 28 04 11 18 25 01 08 15 22 29 06 13 20 27 03 10 17 24 01 08 15 22 29
4 Sistema de Gestin de Seguridad de la
Informacin
4.1 Requisitos Generales AI9 RG RG AR AR AI RG AI RG
4.2 Establecer y manejar el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.1 Establecer el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.2 Implementar y operar el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.3 Monitorear y revisar el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.4 Mantener y mejorar el SGSI AI9 RG RG AR AR AI RG AI RG
4.3 Requisitos de documentacin AI9 RG RG AR AR AI RG AI RG
4.3.1 General AI9 RG RG AR AR AI RG AI RG
4.3.2 Control de documentos AI9 RG RG AR AR AI RG AI RG
4.3.3 Control de registros AI9 RG RG AR AR AI RG AI RG

5 Responsabilidad de la gerencia

5.1 Compromiso de la gerencia AI9 RG RG AR AR AI RG AI RG

5.2 Gestin de recursos AI9 RG RG AR AR AI RG AI RG
5.2.1 Provisin de recursos AI9 RG RG AR AR AI RG AI RG
5.2.2 Capacitacin, conocimiento y capacidad AI9 RG RG AR AR AI RG AI RG

6 Auditoras Internas SGSI

Procedimiento de auditoras internas AI9 RG RG AR AR AI RG AI RG

Plan de auditoras internas AI9 RG RG AR AR AI RG AI RG
Tratamiento de no-conformidades AI9 RG RG AR AR AI RG AI RG

7 Revisin Gerencial

7.1 General AI9 RG RG AR AR AI RG AI RG

7.2 Insumo de la revisin AI9 RG RG AR AR AI RG AI RG
7.3 Resultado de la revisin AI9 RG RG AR AR AI RG AI RG

8 Mejoramiento del SGSI

8.1 Mejoramiento continuo AI9 RG RG AR AR AI RG AI RG

8.2 Accin correctiva AI9 RG RG AR AR AI RG AI RG
8.3 Accin preventiva AI9 RG RG AR AR AI RG AI RG

9 Objetivos de control y controles 22

Anexo A de la norma AI9 RG RG AR AR AI RG AI RG

22
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Revisiones gerenciales

La alta direccin debe revisar el SGSI, segn la planificacin

definida, segn conveniencia, suficiencia y efectividad.
Estado de las acciones, en funcin de las RG anteriores.
Los cambios internos y externos relevantes para el SGSI.
Desempeo de:
NC y acciones correctivas.
Mediciones e indicadores.
Resultado de auditoras internas y externas.
Cumplimiento de los objetivos de la SI.
Comentarios de partes interesadas.
Resultado de la evaluacin y tratamiento de riesgo.
Oportunidades para la mejora continua.
Acta que evidencie las acciones y los acuerdos de la RG.

23

23
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 El punto de partida de la seguridad de la informacin

Un cierto nmero de controles puede ser considerado un buen

punto de partida para implementar la seguridad de la informacin.
Estos estn basados en requisitos legales esenciales o que se
consideren prctica habitual de la seguridad de la informacin.
Proteccin de los datos y la privacidad de la informacin personal.
Proteccin de los registros de la informacin.
Derechos de la propiedad intelectual.
Documentacin de la poltica de seguridad de la informacin.
Asignacin de responsabilidades.
Concienciacin, formacin y capacitacin en seguridad de la
informacin.
Vulnerabilidad tcnica.
Gestin de incidentes de seguridad.
Gestin de continuidad del negocio.

24
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Recomendaciones

Cmo implementar buenas prcticas?

Diferencia entre el qu se debe hacer y el cmo se hace
Establecer acuerdos.
El rol de las personas
Actitudes
Aptitudes
Los mbitos
Predisponen (para bien o para mal)
Relacionan y mezclan niveles.
Que sean armnicos y no disonantes
Los procesos
Procedimientos
Las relaciones entre los procesos
La implementacin

25

25
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Cambio de versin de la norma ISO 27001

ISO ISO
Notas
27001:2005 27001:2013
Garantizar la coherencia entre las futuras y actuales normas de
sistemas de gestin.
8 puntos
Anexo SL Favorecer la integracin de sistemas de gestin.
clsicos. Facilitar a los usuarios la comprensin y entendimiento de las
normas de gestin.

11 dominios 14 dominios
Las principales modificaciones se ven reflejadas en la estructura
y el contenido de los controles que conforman el Anexo A, todo
133 controles 113 controles como resultado de un proceso de fusin, exclusin e
incorporacin de nuevos controles de seguridad.

26

26
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Estructura del nuevo estndar

27

27
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Dominios ISO 27001
ISO 27001:2005 (11 dominios; 133 controles) ISO 27001:2013 (14 dominios; 113 controles)

A.5 Poltica de seguridad. A.5 Poltica de seguridad.

A.6 Organizacin de la seguridad de la informacin. A.6 Organizacin de la seguridad de la informacin.

A.7 Gestin de activos. A.7 Seguridad de los RRHH.

A.8 Seguridad de los RRHH. A.8 Gestin de activos.

A.9 Seguridad fsica y del ambiente. A.9 Control de accesos.

A.10 Gestin de comunicaciones y operaciones. A.10 Criptografa.

A.11 Control de acceso. A.11 Seguridad fsica y ambiental.

Adquisicin, desarrollo y mantenimiento de A.12 Seguridad en las operaciones.

A.12
sistemas de informacin.
Gestin de incidentes de seguridad de la A.13 Transferencia de informacin.
A.13
informacin.
A.14 Adquisicin de sistemas, desarrollo y mantenimiento.
A.14 Gestin de la continuidad del negocio.

A.15 Relacin con proveedores.

A.15 Cumplimiento.

A.16 Gestin de los incidentes de seguridad.

A.17 Continuidad del negocio.

Cumplimiento con requerimientos legales y

A.18 28
contractuales.

28
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS
 Documentos del SGSI
Requisito
Alcance del SGSI
Poltica y objetivos de seguridad
Procedimientos y controles del
SGSI
Declaracin de aplicabilidad:
(SOA -Statement of Applicability)
Metodologa de evaluacin de
riesgos
Informe de evaluacin y plan de
tratamiento de riesgos
Plan de continuidad del negocio
Procedimientos documentados
Registros
29
www.sonda.com
Descripcin
mbito de la organizacin que queda sometido al SGSI, incluyendo una identificacin
clara de las dependencias, relaciones y lmites que existen entre el alcance y aquellas
partes que no hayan sido consideradas.
Documento de contenido genrico que establece el compromiso de la direccin y el
enfoque de la organizacin en la gestin de la seguridad de la informacin.
Aquellos procedimientos que regulan el propio funcionamiento del SGSI.
Documento que contiene los objetivos de control y los controles contemplados por el
SGSI, basado en los resultados de los procesos de evaluacin y tratamiento de riesgos,
justificando inclusiones y exclusiones.
Descripcin de la forma como se realizar la evaluacin de las amenazas,
vulnerabilidades, probabilidades de ocurrencia e impactos en relacin a los activos de
informacin dentro del alcance definido, y los criterios de aceptacin de riesgo.
Estudio resultante de aplicar la metodologa de evaluacin anteriormente mencionada a
los activos de informacin de la organizacin. Plan de tratamiento de los riesgos.
Documento que identifica los planes para enfrentar diferentes escenarios. Las pruebas,
los anlisis del resultado de las pruebas y las acciones de mejoras del plan.
Todos los necesarios para asegurar la planificacin, operacin y control de los procesos
de seguridad de la informacin, as como para la medida de la eficacia de los controles
implantados.
Evidencia objetiva del funcionamiento del SGSI.
29
Presentacin ISO 27001 en congreso CIGRAS
 Tel (56-2) 657 50 00
Fax (56-2) 657 54 10
Teatinos 500 /
Santiago / CHILE
www.SONDA.com

Rodrigo Baldecchi
rodrigo.baldecchi@sonda.com

FIN 30

30
www.sonda.com Presentacin ISO 27001 en congreso CIGRAS