Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CIGRAS2014 - Exposición 2 CIGRAS ISO 27001 - RBQ PDF
CIGRAS2014 - Exposición 2 CIGRAS ISO 27001 - RBQ PDF
COSTA RICA
PANAMÁ
COLOMBIA
ECUADOR
BRASIL
PERÚ
URUGUAY
CHILE
ARGENTINA
Rodrigo Baldecchi Q.
Gerente Corporativo de Calidad
04-SEP-14
ÍNDICE
1. Encuadre general.
2. La intención y el control.
3. Alcance.
4. Roadmap.
5. Implementación.
6. Política de SI.
7. Organización.
8. Riesgo.
9. Matriz SOA.
10. Incidentes de SI.
11. Plan de Continuidad del negocio.
12. Medición y mejora.
13. Cambio de versión de la norma.
2
14. Preguntas.
2
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Encuadre general
3
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
La intención y el control
4
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Sistemas de gestión
Planificar
Implementar
Medir
Mejorar
5
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Conceptos generales de un SGSI
6
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Conceptos básicos de SI
Seguridad de la información
7
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Alcance
Por ejemplo, el alcance del SGSI queda cubierto por los procesos
de las siguientes áreas:
Facility
• Espacio físico; energía eléctrica; aire acondicionado; protección
contra incendios; accesos…
Administración
• Monitoreo; accesos lógicos; bases de datos; aplicativos…
Explotación/Respaldo
• Mallas de procesos; almacenamiento de información…
Comunicaciones
• Redes de datos; seguridad lógica; monitoreo equipos de
comunicaciones; enlaces…
SAP
• Administración de sistemas SAP.
8
8
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Roadmap
Capacitación
formal en el Difundir
SGSI Auditorías Pre-
Internas certificación
Documentar
requisitos Capacitar
normativos
Septiembre -
Marzo - Mayo Junio - Agosto Noviembre
Octubre
2014
9
9
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Implementación
Requisitos
Calidad
Calidad
Gap
Calidad
Política
Calidad
Gap
Calidad
Organización Gap
Gap Gap
Activos
RRHH
…
Calidad
Calidad
Calidad
Calidad
Gap Gap
Calidad
Gap
… Gap Gap
Calidad Oficial de Marcelo 1.- Hacer el gap análisis. Es decir, comparar, mediante
seguridad de Aravena M. entrevistas a los roles elegidos, lo que actualmente se
SONDA hace en las áreas del alcance, respecto a lo que se debe
hacer, según ISO 27001.
2.- Garantizar que los requisitos de la norma ISO 27001,
en función del gap análisis, queden correctamente
implementados en las áreas dentro del alcance. Se
preocupa del ¿qué se debe hacer?
3.- Elaborar la documentación del SGSI.
4.- Dedicación prioritaria a este proyecto.
5.- En régimen, es el responsables de auditar el SGSI, de
las Revisiones Gerenciales, del CSI y de la relación con
el organismo de certificación externo.
G. Servicios de Gerente de área Sergio 1.- Definir el alcance. Es decir, las áreas y los sistemas.
Data Center Rademacher L. 2.- Aprobar la documentación del SGSI.
11
11
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Matriz de responsabilidades
Supervisor de
Freddy Espinoza
Base de Datos Entregan al OSI de Calidad la
información y la evidencia de lo que
Supervisor de
actualmente se hace, de tal manera de
administración Tomás Jiménez
determinar el gap análisis.
Unix
Supervisor de
Administración
administración Cristián Leiva
Microsoft
Supervisor de
sistemas de Richard Cáceres
virtualización.
12
12
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Definición de política
13
13
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Política de seguridad de la información
14
14
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Organización
15
15
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Riesgo operacional
16
16
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Gestión de riesgo - Metodología
Matriz de Riesgo
Productos o servicios
Procesos - Activos Muy Alto 3 3 4 5 5
Amenazas
Vulnerabilidades Alto 3 3 3 4 5
IMPACTO
Probabilidad de ocurrencia
Moderado 2 3 3 3 4
Impacto
Nivel de riesgo > 2
Bajo 1 2 3 3 3
Tratamiento del riesgo
• Mitigar
Mínimo 1 1 2 3 3
• Aceptar
• Transferir Extremada
Muy Muy
Extremada
mente Probable mente
• Eliminar improbable
improbable probable
probable
Proyecto PROBABILIDAD
17
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Gestión de riesgo - Evolución
19
19
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Incidentes de Seguridad de la Información
20
20
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Plan de continuidad del negocio
Alcance.
BIA.
Gestión de riesgo.
Estrategias de continuidad.
Plan de Continuidad.
Pruebas.
Mejoras.
21
21
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Auditorías internas
Preparación de auditores.
Calendario.
Ejecución del calendario.
Tratamiento de hallazgos.
Mejoras.
SGSI ISO 27001 PROGRAMA DE AUDITORÍAS AÑO 2014 FACILITIES
Auditorías Internas AI
Revisión Gerencial RG Realizada
Auditoría de Pre-certificación AP Programada
Auditoría de Vigilancia AV No realizada
Auditoría de re-certificación AR
Aprobado por Ger. Datacenter/Ger. Calidad
Fecha 1-mar-14
Indicador general
Enero Febrero Marzo Abril Mayo Junio Julio Agosto Septiembre Octubre Noviembre Diciembre
Requisitos Normativos
06 13 20 27 03 10 17 24 03 10 17 24 31 07 14 21 28 05 12 19 26 02 09 16 23 30 07 14 21 28 04 11 18 25 01 08 15 22 29 06 13 20 27 03 10 17 24 01 08 15 22 29
4 Sistema de Gestión de Seguridad de la
Información
4.1 Requisitos Generales AI9 RG RG AR AR AI RG AI RG
4.2 Establecer y manejar el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.1 Establecer el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.2 Implementar y operar el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.3 Monitorear y revisar el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.4 Mantener y mejorar el SGSI AI9 RG RG AR AR AI RG AI RG
4.3 Requisitos de documentación AI9 RG RG AR AR AI RG AI RG
4.3.1 General AI9 RG RG AR AR AI RG AI RG
4.3.2 Control de documentos AI9 RG RG AR AR AI RG AI RG
4.3.3 Control de registros AI9 RG RG AR AR AI RG AI RG
5 Responsabilidad de la gerencia
7 Revisión Gerencial
22
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Revisiones gerenciales
23
23
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
El punto de partida de la seguridad de la información
24
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Recomendaciones
25
25
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Cambio de versión de la norma ISO 27001
ISO ISO
Notas
27001:2005 27001:2013
Garantizar la coherencia entre las futuras y actuales normas de
sistemas de gestión.
8 puntos
Anexo SL Favorecer la integración de sistemas de gestión.
clásicos. Facilitar a los usuarios la comprensión y entendimiento de las
normas de gestión.
11 dominios 14 dominios
Las principales modificaciones se ven reflejadas en la estructura
y el contenido de los controles que conforman el Anexo “A”, todo
133 controles 113 controles como resultado de un proceso de fusión, exclusión e
incorporación de nuevos controles de seguridad.
26
26
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Estructura del nuevo estándar
27
27
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Dominios ISO 27001
ISO 27001:2005 (11 dominios; 133 controles) ISO 27001:2013 (14 dominios; 113 controles)
28
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Documentos del SGSI
Requisito Descripción
Alcance del SGSI Ámbito de la organización que queda sometido al SGSI, incluyendo una identificación
clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas
partes que no hayan sido consideradas.
Política y objetivos de seguridad Documento de contenido genérico que establece el compromiso de la dirección y el
enfoque de la organización en la gestión de la seguridad de la información.
Procedimientos y controles del Aquellos procedimientos que regulan el propio funcionamiento del SGSI.
SGSI
Declaración de aplicabilidad: Documento que contiene los objetivos de control y los controles contemplados por el
(SOA -Statement of Applicability) SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos,
justificando inclusiones y exclusiones.
Metodología de evaluación de Descripción de la forma como se realizará la evaluación de las amenazas,
riesgos vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de
información dentro del alcance definido, y los criterios de aceptación de riesgo.
Informe de evaluación y plan de Estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a
tratamiento de riesgos los activos de información de la organización. Plan de tratamiento de los riesgos.
Plan de continuidad del negocio Documento que identifica los planes para enfrentar diferentes escenarios. Las pruebas,
los análisis del resultado de las pruebas y las acciones de mejoras del plan.
Procedimientos documentados Todos los necesarios para asegurar la planificación, operación y control de los procesos
de seguridad de la información, así como para la medida de la eficacia de los controles
implantados.
Registros Evidencia objetiva del funcionamiento del SGSI.
29
29
www.sonda.com Presentación ISO 27001 en congreso CIGRAS
Tel (56-2) 657 50 00
Fax (56-2) 657 54 10
Teatinos 500 /
Santiago / CHILE
www.SONDA.com
Rodrigo Baldecchi
rodrigo.baldecchi@sonda.com
FIN 30
30
www.sonda.com Presentación ISO 27001 en congreso CIGRAS