Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PLANIFICACIÓN ESTRATÉGICA DE LA
SEGURIDAD DE LA INFORMACIÓN
ESPOL-FIEC
2022
TEMA
NORMAS 27000 Y 27001:2017
• Ejercicio INDIVIDUAL.
• Revise la Norma ISO 27000
• Redacte con sus propias palabras las definiciones
puestas en la pestaña T-3.1
• Tiempo 20 min
Ventajas de las ISO/IEC 27001:2013
• Asesoramiento en los procesos del negocio con respecto a la seguridad de la
información.
• La seguridad de la información es parte integral de los procesos de negocio.
• Conocimiento y control de riesgos/riesgos residuales
• Prioriza la seguridad de las operaciones de negocio: gestión de la
continuidad del negocio.
• Las estructuras y procesos de la información serán documentados.
• Incremento en la concientización de los empleados con respecto al tema de
la seguridad.
• Ventaja competitiva a través de la certificación
• Norma reconocida a nivel mundial
• Reducción de las primas de seguros
• Estructuras bien definidas – reducción de costos
Para iniciar el trabajo de implementar un SGSI
Se debería tomar en cuenta lo siguiente:
• Legales: Si existen leyes relacionadas a la protección de datos,
manejo de información confidencial, disposición y retención de
información impresa o digital, o uso de una tecnología específica.
• Normativos: Aplicadas por entidades fiscalizadoras o dependientes
que sean de cumplimiento obligatorio para la organización.
• Estratégicos: Cumplimiento de la planificación.
• Contractuales: Si existe requisitos contractuales con los clientes y
los proveedores.
Estructura de la norma: Diferenciación
entre Cláusula/Objetivo/ Control
• Cláusulas de control (Dominio)
• 14 cláusulas disponibles
• Equivalentes a los capítulos
• Ejemplo: A.7 seguridad de recursos humanos
• Objetivos de control
• 35 objetivos de control
• Equivalente a los objetivos de control genéricos
• Ejemplo: A.7.1 antes de la contratación
• Controles 27001:2013 o 27001:2017
• 114 controles disponibles
• Equivalentes a medidas genéricas
• Ejemplo: A.7.1.1 selección
Modelo de mejora continua
• El modelo PDCA (Plan Do Check Act) de la última
versión no va más, pero la gestión en similar, ahora se
denomina:
• Planificación
• Operación
• Evaluación de desempeño
• Mejora
EJERCICIO-2
• Ejercicio en equipo
• IR A LA PESTAÑA 3.2
• Revisar la norma ISO 27001:2017
• Encontrar que documentación obligatoria solicita
• Tiempo 30 min
SGSI
• El concepto clave de un SGSI es el diseño, implantación y
mantenimiento de un conjunto de procesos para gestionar
eficientemente la accesibilidad de la información, buscando
asegurar la confidencialidad, integridad y disponibilidad de los
activos de información minimizando a la vez los riesgos de
seguridad de la información.
• Como todo proceso de gestión, un SGSI debe seguir siendo
eficiente durante un largo tiempo adaptándose a los cambios
internos de la organización, así como los externos del entorno.
Documentación requerida para el SGSI
DOCUMENTO REQUISITO OBSERVACIÓN
MANUAL DEL SGSI 4.2 Compresión de las Este documento no es un
necesidades y las requisito para la norma.
expectativas de las partes Pero el Alcance debe estar
interesadas. documentado.
4.3 Alcance del SGSI
5.3 Roles y
responsabilidades
Política de seguridad de la 5.2 Política de la seguridad Documento puntual, no es
información de la información. recomendable agregar
6.2 Objetivos de la términos técnicos o realizar
seguridad de la un documento extenso.
información
DOCUMENTO REQUISITO OBSERVACIÓN
Revisión por la dirección 9.3 Revisión por la dirección Procedimiento para la revisión
por la dirección
• Trabajo en equipo
• Tal como se encontró la documentación de las
claúsulas de la norma, encontrar la documentación
obligtoria de los controles del anexo-a de la norma.
• Ir a la pestaña 3.3
• Tiempo 30 min
COMITÉ DE SEGURIDAD DE LA INFORMACIÓN
• Se debe identificar los roles que participarán en el proceso de
implementación de SGSI encabezado por el representante por la
dirección.
• Los roles y responsabilidades deberán estar descritas en el
Manual del SGSI, se deberían tomar en cuenta aspectos como:
• La periodicidad de reunión del comité, por lo menos 2 veces al año, o
por una reunión en particular.
• La cantidad mínima de personas para que se reúna el comité.
Ejemplo
Rol Responsabilidad
Gerencia General • Aprobar la política de seguridad de la
información
• Aprobar los planes de tratamiento de
riesgos
• Aceptar la evaluación y tratamiento de
riesgo de la organización
Tecnología de información • Implementación de los controles técnicos
• Realizar pruebas de contingencia
• Crear documentación técnica de apoyo a la
implementación del SGSI
Seguridad de la información • Redacción de los procedimientos de
seguridad
• Capacitar al personal de su organización
• Evaluar el desempeño de los controles y
procesos del SGSI
• Realizar pruebas técnicas de seguridad
• Realizar presentaciones con toda la
información relacionado a los procesos del
Ejemplo
Rol Responsabilidad
Recursos humanos • Planificar capacitaciones anuales a todos
sus usuarios en seguridad de la información
• Inducción en seguridad de la información al
nuevo personal
• Establecer perfiles dentro de su
organización
Auditoría interna • Planificar las auditorías internas al SGSI
• Preparar informes de auditoría
• Realizar seguimiento a las no
conformidades u oportunidades de mejora.
Legal • Identificar obligaciones legales que su
organización deberá cumplir.
• Redactar los acuerdos de confidencialidad
para sus usuarios internos y terceros.
Ejercicio-4
3. TERMINOS Y
DEFINICIONES