MÉXICO

COSTA RICA

PANAMÁ

COLOMBIA

ECUADOR
BRASIL
PERÚ

URUGUAY
CHILE

ARGENTINA

Implementación efectiva de un SGSI ISO 27001.

Rodrigo Baldecchi Q.
Gerente Corporativo de Calidad
04-SEP-14
 ÍNDICE

1. Encuadre general.
2. La intención y el control.
3. Alcance.
4. Roadmap.
5. Implementación.
6. Política de SI.
7. Organización.
8. Riesgo.
9. Matriz SOA.
10. Incidentes de SI.
11. Plan de Continuidad del negocio.
12. Medición y mejora.
13. Cambio de versión de la norma.
2
14. Preguntas.
2
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Encuadre general

 La información es un activo esencial y es decisiva para la

viabilidad de una organización. Adopta diferentes formas, impresa,
escrita en papel, digital, transmitida por correo, mostrada en
videos o hablada en conversaciones.
 Debido a que está disponible en ambientes cada vez más
interconectados, está expuesta a amenazas y vulnerabilidades.
 La seguridad de la información es la protección de la información
contra una amplia gama de amenazas; para minimizar los daños,
ampliar las oportunidades del negocio, maximizar el retorno de las
inversiones y asegurar la continuidad del negocio.
 Se va logrando mediante la implementación de un conjunto
adecuado de políticas, procesos, procedimientos, organización,
controles, hardware y software y, lo más importante, mediante
comportamientos éticos de las personas.

3
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 La intención y el control

 El aumento del control sobre las actividades de las personas.

 ¿Es posible controlar las intenciones de las personas?
 Por lo tanto, se requiere ir más lejos…

4
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Sistemas de gestión

 Para ISO (International Organization for Standardization) un

sistema de gestión queda definido por un proceso de 4 etapas,
creado por Walter Andrew Shewhart (1891 – 1967) y
popularizado por William Edwards Deming (1900 – 1993),
Planificar (Plan), Implementar (Do), Medir (Check) y Mejorar (Act).

 Planificar
 Implementar
 Medir
 Mejorar

5
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Conceptos generales de un SGSI

 ISO 27001 es un Sistema de Gestión de la Seguridad de la

Información (SGSI).
 La seguridad de la información queda definida por tres atributos:
a) Confidencialidad; b) Integridad; c) Disponibilidad.
 La seguridad de la información (SI) es la protección de la
información contra una amplia gama de amenazas respecto a: i)
Minimizar daños; ii) Oportunidades del negocio; iii) Retorno de la
inversión; iv) Continuidad del negocio; v) Cultura ética.
 El SGSI garantiza la SI mediante una estructura de buenas
prácticas, definidas por: a) Gestión de riesgos; b) Políticas; c)
Procesos; d) Procedimientos; e) Controles; f) Revisiones; g)
Mejoras.

6
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Conceptos básicos de SI

 La Seguridad de la Información consiste en mantener:

 Confidencialidad: Información disponible exclusivamente a personas

autorizadas.

 Integridad: Mantenimiento de la exactitud y validez de la información,

protegiéndola de modificaciones o alteraciones no autorizadas. Contra la
integridad la información puede parecer manipulada, corrupta o incompleta.

 Disponibilidad: Acceso y utilización de los servicios sólo y en el momento de

ser solicitado por una persona autorizada.

Seguridad de la información

Confidencialidad Integridad Disponibilidad

7
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Alcance

 Por ejemplo, el alcance del SGSI queda cubierto por los procesos
de las siguientes áreas:

 Facility
• Espacio físico; energía eléctrica; aire acondicionado; protección
contra incendios; accesos…
 Administración
• Monitoreo; accesos lógicos; bases de datos; aplicativos…
 Explotación/Respaldo
• Mallas de procesos; almacenamiento de información…
 Comunicaciones
• Redes de datos; seguridad lógica; monitoreo equipos de
comunicaciones; enlaces…
 SAP
• Administración de sistemas SAP.
8

8
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Roadmap

ETAPA I ETAPA II ETAPA III ETAPA IV

Documentación Implementación Análisis crítico Certificación

Capacitación
formal en el Difundir
SGSI Auditorías Pre-
Internas certificación

Documentar
requisitos Capacitar
normativos

Publicar Mejoras Certificación

documentación Implementar
del SGSI

Septiembre -
Marzo - Mayo Junio - Agosto Noviembre
Octubre

2014
9

9
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Implementación

Calidad Servicios de Data Center & Cloud

Administra Explotació Comunicac

ISO 27001 Facility
ción n/Respaldo iones
SAP

Requisitos

Calidad

Calidad
Gap

Calidad
Política

Calidad
Gap

Calidad
Organización Gap
Gap Gap
Activos

RRHH

…
Calidad

Calidad

Calidad
Calidad
Gap Gap
Calidad
Gap
… Gap Gap

(Gap) (Gap) (Gap) (Gap) (Gap)

Cumplimiento

Responsable Responsable Responsable Responsable Responsable 10

Oficial de Seguridad
10
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Matriz de responsabilidades

Áreas Rol Nombre Responsabilidades

Calidad Oficial de Marcelo 1.- Hacer el gap análisis. Es decir, comparar, mediante
seguridad de Aravena M. entrevistas a los roles elegidos, lo que actualmente se
SONDA hace en las áreas del alcance, respecto a lo que se debe
hacer, según ISO 27001.
2.- Garantizar que los requisitos de la norma ISO 27001,
en función del gap análisis, queden correctamente
implementados en las áreas dentro del alcance. Se
preocupa del ¿qué se debe hacer?
3.- Elaborar la documentación del SGSI.
4.- Dedicación prioritaria a este proyecto.
5.- En régimen, es el responsables de auditar el SGSI, de
las Revisiones Gerenciales, del CSI y de la relación con
el organismo de certificación externo.

G. Servicios de Gerente de área Sergio 1.- Definir el alcance. Es decir, las áreas y los sistemas.
Data Center Rademacher L. 2.- Aprobar la documentación del SGSI.

Seguridad Oficial de Jacob Delgado 1.- Definir el ¿Cómo? Se implementará los

Seguridad Data S. procedimientos del SGSI.
Center 2.- En régimen, debe asegurar el cumplimiento del
modelo. Es decir, cuida que se haga lo que está
declarado en los procedimientos.

11

11
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Matriz de responsabilidades

Áreas Rol Nombre Responsabilidades

Jefe Data Center

Miguel Soto
Quilicura
Facility
Jefe Data Center
Teatinos y Santa José M. Arriagada
Isabel

Supervisor de
Freddy Espinoza
Base de Datos Entregan al OSI de Calidad la
información y la evidencia de lo que
Supervisor de
actualmente se hace, de tal manera de
administración Tomás Jiménez
determinar el gap análisis.
Unix
Supervisor de
Administración
administración Cristián Leiva
Microsoft

Supervisor de
sistemas de Richard Cáceres
virtualización.

12

12
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Definición de política

13

13
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Política de seguridad de la información

 Política general de SI.

 Política de SI por dominio.

14

14
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Organización

 Comité de seguridad de la Información (CSI) (A 6.1.2 ó A 6.1.3)

“Se deben mantener los contactos apropiados con las autoridades
pertinentes.”
 Deben estar representadas todas las áreas de la empresa.
 G. General; G. Negocios; G. Logística; G. Personas; G. Contraloría;
D. Legal; G. Calidad; OSI.

 Oficial de seguridad de la información.

 Área de calidad.
 Auditores internos en calidad y seguridad de la información.
 Revisiones Gerenciales
 Políticas
 Procesos y procedimientos

15

15
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Riesgo operacional

 ¿Qué es el riesgo operacional?

El Comité de Basilea II lo define como: “el riesgo de pérdidas debido a la
inadecuación o a fallas en los procesos, personal y sistemas internos o por causa
de eventos externos”

 ¿Qué es la gestión de riesgo operacional?

Más allá de la definición de riesgo operacional, lo importante es contar
con un proceso de gestión de riesgos operativos o riesgos operacionales.

Este proceso de riesgo operacional es el que debería garantizar la buena

gestión de los riesgos según los estándares internacionales.
Según el Comité de Basilea II, se entiende por “gestión” de riesgo
operacional al proceso de “identificación, evaluación, seguimiento y control”
del riesgo operacional.

Conclusión: La “gestión de riesgo" es un proceso esencial en la empresa.

16

16
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Gestión de riesgo - Metodología

 Matriz de Riesgo
 Productos o servicios
 Procesos - Activos Muy Alto 3 3 4 5 5

 Amenazas
 Vulnerabilidades Alto 3 3 3 4 5

IMPACTO
Probabilidad de ocurrencia
Moderado 2 3 3 3 4
 Impacto
 Nivel de riesgo > 2
Bajo 1 2 3 3 3
 Tratamiento del riesgo
• Mitigar
Mínimo 1 1 2 3 3
• Aceptar
• Transferir Extremada
Muy Muy
Extremada
mente Probable mente
• Eliminar improbable
improbable probable
probable

 Proyecto PROBABILIDAD

 Nuevo nivel de riesgo ≤ 2

 Medición de la eficacia
17

17
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Gestión de riesgo - Evolución

(#) riesgos aceptados

18
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Matriz SOA

 Declaración de aplicabilidad (SOA: Statement of Applicability)

 Se construye una tabla con el dominio, control, justificación de la
exclusión, documento.

19

19
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Incidentes de Seguridad de la Información

 Definir cuáles serán tratados. Por ejemplo, los incidentes mayores.

(Como se trata de un tema de cambio cultural, la recomendación es ir
desde lo simple a lo complejo.)
 Procedimiento de incidentes de SI.
 Tratamiento.

20

20
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Plan de continuidad del negocio

 Alcance.
 BIA.
 Gestión de riesgo.
 Estrategias de continuidad.
 Plan de Continuidad.
 Pruebas.
 Mejoras.

21

21
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Auditorías internas

 Preparación de auditores.
 Calendario.
 Ejecución del calendario.
 Tratamiento de hallazgos.
 Mejoras.
SGSI ISO 27001 PROGRAMA DE AUDITORÍAS AÑO 2014 FACILITIES
Auditorías Internas AI
Revisión Gerencial RG Realizada
Auditoría de Pre-certificación AP Programada
Auditoría de Vigilancia AV No realizada
Auditoría de re-certificación AR
Aprobado por Ger. Datacenter/Ger. Calidad
Fecha 1-mar-14
Indicador general
Enero Febrero Marzo Abril Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre
Requisitos Normativos
06 13 20 27 03 10 17 24 03 10 17 24 31 07 14 21 28 05 12 19 26 02 09 16 23 30 07 14 21 28 04 11 18 25 01 08 15 22 29 06 13 20 27 03 10 17 24 01 08 15 22 29
4 Sistema de Gestión de Seguridad de la
Información
4.1 Requisitos Generales AI9 RG RG AR AR AI RG AI RG
4.2 Establecer y manejar el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.1 Establecer el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.2 Implementar y operar el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.3 Monitorear y revisar el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.4 Mantener y mejorar el SGSI AI9 RG RG AR AR AI RG AI RG
4.3 Requisitos de documentación AI9 RG RG AR AR AI RG AI RG
4.3.1 General AI9 RG RG AR AR AI RG AI RG
4.3.2 Control de documentos AI9 RG RG AR AR AI RG AI RG
4.3.3 Control de registros AI9 RG RG AR AR AI RG AI RG

5 Responsabilidad de la gerencia

5.1 Compromiso de la gerencia AI9 RG RG AR AR AI RG AI RG

5.2 Gestión de recursos AI9 RG RG AR AR AI RG AI RG
5.2.1 Provisión de recursos AI9 RG RG AR AR AI RG AI RG
5.2.2 Capacitación, conocimiento y capacidad AI9 RG RG AR AR AI RG AI RG

6 Auditorías Internas SGSI

Procedimiento de auditorías internas AI9 RG RG AR AR AI RG AI RG

Plan de auditorías internas AI9 RG RG AR AR AI RG AI RG
Tratamiento de no-conformidades AI9 RG RG AR AR AI RG AI RG

7 Revisión Gerencial

7.1 General AI9 RG RG AR AR AI RG AI RG

7.2 Insumo de la revisión AI9 RG RG AR AR AI RG AI RG
7.3 Resultado de la revisión AI9 RG RG AR AR AI RG AI RG

8 Mejoramiento del SGSI

8.1 Mejoramiento continuo AI9 RG RG AR AR AI RG AI RG

8.2 Acción correctiva AI9 RG RG AR AR AI RG AI RG
8.3 Acción preventiva AI9 RG RG AR AR AI RG AI RG

9 Objetivos de control y controles 22

Anexo A de la norma AI9 RG RG AR AR AI RG AI RG

22
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Revisiones gerenciales

 La alta dirección debe revisar el SGSI, según la planificación

definida, según conveniencia, suficiencia y efectividad.
 Estado de las acciones, en función de las RG anteriores.
 Los cambios internos y externos relevantes para el SGSI.
 Desempeño de:
 NC y acciones correctivas.
 Mediciones e indicadores.
 Resultado de auditorías internas y externas.
 Cumplimiento de los objetivos de la SI.
 Comentarios de partes interesadas.
 Resultado de la evaluación y tratamiento de riesgo.
 Oportunidades para la mejora continua.
 Acta que evidencie las acciones y los acuerdos de la RG.

23

23
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 El punto de partida de la seguridad de la información

 Un cierto número de controles puede ser considerado un buen

punto de partida para implementar la seguridad de la información.
Estos están basados en requisitos legales esenciales o que se
consideren práctica habitual de la seguridad de la información.
 Protección de los datos y la privacidad de la información personal.
 Protección de los registros de la información.
 Derechos de la propiedad intelectual.
 Documentación de la política de seguridad de la información.
 Asignación de responsabilidades.
 Concienciación, formación y capacitación en seguridad de la
información.
 Vulnerabilidad técnica.
 Gestión de incidentes de seguridad.
 Gestión de continuidad del negocio.

24
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Recomendaciones

 ¿Cómo implementar buenas prácticas?

 Diferencia entre el “qué se debe hacer” y el “cómo se hace”
 Establecer acuerdos.
 El rol de las personas
 Actitudes
 Aptitudes
 Los ámbitos
 Predisponen (para bien o para mal)
 Relacionan y mezclan niveles.
 Que sean armónicos y no disonantes…
 Los procesos
 Procedimientos
 Las relaciones entre los procesos
 La implementación

25

25
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Cambio de versión de la norma ISO 27001

ISO ISO
Notas
27001:2005 27001:2013
Garantizar la coherencia entre las futuras y actuales normas de
sistemas de gestión.
8 puntos
Anexo SL Favorecer la integración de sistemas de gestión.
clásicos. Facilitar a los usuarios la comprensión y entendimiento de las
normas de gestión.

11 dominios 14 dominios
Las principales modificaciones se ven reflejadas en la estructura
y el contenido de los controles que conforman el Anexo “A”, todo
133 controles 113 controles como resultado de un proceso de fusión, exclusión e
incorporación de nuevos controles de seguridad.

26

26
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Estructura del nuevo estándar

27

27
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Dominios ISO 27001
ISO 27001:2005 (11 dominios; 133 controles) ISO 27001:2013 (14 dominios; 113 controles)

A.5 Política de seguridad. A.5 Política de seguridad.

A.6 Organización de la seguridad de la información. A.6 Organización de la seguridad de la información.

A.7 Gestión de activos. A.7 Seguridad de los RRHH.

A.8 Seguridad de los RRHH. A.8 Gestión de activos.

A.9 Seguridad física y del ambiente. A.9 Control de accesos.

A.10 Gestión de comunicaciones y operaciones. A.10 Criptografía.

A.11 Control de acceso. A.11 Seguridad física y ambiental.

Adquisición, desarrollo y mantenimiento de A.12 Seguridad en las operaciones.

A.12
sistemas de información.
Gestión de incidentes de seguridad de la A.13 Transferencia de información.
A.13
información.
A.14 Adquisición de sistemas, desarrollo y mantenimiento.
A.14 Gestión de la continuidad del negocio.

A.15 Relación con proveedores.

A.15 Cumplimiento.

A.16 Gestión de los incidentes de seguridad.

A.17 Continuidad del negocio.

Cumplimiento con requerimientos legales y

A.18 28
contractuales.

28
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
 Documentos del SGSI
Requisito
Alcance del SGSI
Política y objetivos de seguridad
Procedimientos y controles del
SGSI
Declaración de aplicabilidad:
(SOA -Statement of Applicability)
Metodología de evaluación de
riesgos
Informe de evaluación y plan de
tratamiento de riesgos
Plan de continuidad del negocio
Procedimientos documentados
Registros
29
www.sonda.com
Descripción
Ámbito de la organización que queda sometido al SGSI, incluyendo una identificación
clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas
partes que no hayan sido consideradas.
Documento de contenido genérico que establece el compromiso de la dirección y el
enfoque de la organización en la gestión de la seguridad de la información.
Aquellos procedimientos que regulan el propio funcionamiento del SGSI.
Documento que contiene los objetivos de control y los controles contemplados por el
SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos,
justificando inclusiones y exclusiones.
Descripción de la forma como se realizará la evaluación de las amenazas,
vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de
información dentro del alcance definido, y los criterios de aceptación de riesgo.
Estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a
los activos de información de la organización. Plan de tratamiento de los riesgos.
Documento que identifica los planes para enfrentar diferentes escenarios. Las pruebas,
los análisis del resultado de las pruebas y las acciones de mejoras del plan.
Todos los necesarios para asegurar la planificación, operación y control de los procesos
de seguridad de la información, así como para la medida de la eficacia de los controles
implantados.
Evidencia objetiva del funcionamiento del SGSI.
29
Presentación ISO 27001 en congreso CIGRAS
 Tel (56-2) 657 50 00
Fax (56-2) 657 54 10
Teatinos 500 /
Santiago / CHILE
www.SONDA.com

Rodrigo Baldecchi
rodrigo.baldecchi@sonda.com

FIN 30

30
www.sonda.com Presentación ISO 27001 en congreso CIGRAS