Está en la página 1de 63

Seminario Taller

Gestin de Seguridad de
la Informacin ISO 27001
Implementador ISO 27001

Ing. Maurice Frayssinet Delgado


mfrayssinet@gmail.com
Chief Executive Officer
www.iticsec.com
1. Conceptos Generales
2. Requisitos de la ISO/IEC 27001:2013

2
1. CONCEPTOS GENERALES

3
Informacin
La informacin es un activo que, al
igual que otros activos
empresariales importantes, es
esencial para los negocios de una
organizacin y, por consiguiente,
debe ser adecuadamente protegido.
La informacin puede ser
almacenada de muchas formas,
incluyendo: forma digital (por
ejemplo, archivos de datos
almacenados en medios
electrnicos o pticos), forma
material (por ejemplo, en papel), as
como informacin no representada
en forma de conocimiento de los
empleados.

4
Informacin
La informacin puede ser
transmitida por diversos
medios incluyendo:
mensajera,
comunicacin electrnica
o verbal.
Cualquiera que sea la
forma que tome la
informacin, o los medios
por los cuales se
transmite la informacin,
siempre necesita una
proteccin adecuada.

5
Seguridad de la Informacin

SEGURIDAD DE LA INFORMACIN

6
Seguridad de la Informacin
La seguridad de la informacin involucra la
aplicacin y administracin de medidas de
seguridad apropiadas que incluyen una amplia
gama de amenazas, con el objetivo de asegurar el
xito y continuidad del negocio sostenido y
minimizar los impactos de los incidentes de
seguridad de la informacin.

7
Gestin
La gestin implica actividades para dirigir, controlar y
mejorar continuamente la organizacin dentro de
estructuras apropiadas.
Las actividades de gestin incluyen el acto, la manera o
la prctica de organizar, manejar, dirigir, supervisar y
controlar los recursos.

8
Sistema de Gestin
Un sistema de gestin utiliza un
marco de recursos para
alcanzar los objetivos de una
organizacin.
El sistema de gestin incluye la
estructura organizativa, las
polticas, las actividades de
planificacin, las
responsabilidades, las prcticas,
los procedimientos, los
procesos y los recursos.

9
Organizaciones
Los requisitos establecidos en esta Norma son
genricos y estn hechos para aplicarse a todas las
organizaciones, sin importar su tipo, tamao o
naturaleza

10
Organizaciones
Organizaciones de todo tipo y tamao :

A. Recopilan, procesan, almacenan y transmiten informacin;

B. Reconocen que la informacin, procesos, sistemas, redes y


personas son activos importantes para alcanzar los objetivos de
la organizacin;

C. Se enfrentan a una gama de riesgos que pueden afectar el


funcionamiento de los activos; y

D. Abordan su percepcin de exposicin al riesgo implementando


controles de seguridad de la informacin.

11
Elementos de la gestin de la
seguridad de la informacin
La proteccin de los activos de informacin es
esencial para que una organizacin pueda alcanzar
sus objetivos y mantener, mejorar su cumplimiento
e imagen legal.
Estas actividades coordinadas que dirigen la
implementacin de controles adecuados y el
tratamiento de riesgos inaceptables para la
seguridad de la informacin se conocen
generalmente como elementos de la gestin de la
seguridad de la informacin.

12
Riesgos y Controles
A medida que los riesgos de seguridad de la
informacin y la efectividad de los controles cambian
, las organizaciones necesitan:
A. Supervisar y evaluar la eficacia de los controles y
procedimientos implementados;
B. Identificar los riesgos emergentes que deben
tratarse; y
C. Seleccionar, implementar y mejorar los controles
apropiados segn sea necesario.

13
Qu es un SGSI?
Un Sistema de Gestin de la Seguridad de la
Informacin (SGSI) consiste en las polticas,
procedimientos, directrices, recursos y actividades
asociados, gestionados colectivamente por una
organizacin, con el fin de proteger sus activos de
informacin.
Un SGSI es un enfoque sistemico para establecer,
implementar, operar, monitorear, revisar, mantener
y mejorar la seguridad de la informacin de una
organizacin para lograr los objetivos de negocio.

14
Qu es un SGSI?
Se basa en una evaluacin de riesgos y en los
niveles de aceptacin de riesgos de la organizacin
diseados para tratar y gestionar los riesgos de
forma eficaz.
Analizar los requisitos para la proteccin de los
activos de informacin y aplicar los controles
apropiados para asegurar la proteccin de estos
activos de informacin, segn se requiera,
contribuye a la implementacin exitosa de un SGSI.

15
Principios fundamentales de
un SGSI
A) conciencia de la necesidad de seguridad de la informacin;

B) asignacin de la responsabilidad para la seguridad de la


informacin;

C) incorporar el compromiso de la direccin y los intereses de


las partes interesadas;

D) mejorar los valores sociales;

E) evaluaciones de riesgos que determinen los controles


apropiados para alcanzar niveles aceptables de riesgo;

16
Principios fundamentales de
un SGSI
F) la seguridad incorporada como elemento esencial de
las redes y sistemas de informacin;

G) prevencin activa y deteccin de incidentes de


seguridad de la informacin;

H) garantizar un enfoque integral de la gestin de la


seguridad de la informacin; y

I) reevaluacin continua de la seguridad de la


informacin y realizacin de modificaciones segn
corresponda.

17
Familia ISO 27000
La familia de estndares del SGSI consiste en
estndares interrelacionados, ya publicados o en
desarrollo, y contiene una serie de componentes
estructurales significativos.
Estos componentes se centran en los estndares
normativos que describen los requisitos del SGSI
(ISO / IEC 27001) y los requisitos del organismo de
certificacin (ISO / IEC 27006) para aquellos que
certifican la conformidad con ISO / IEC 27001.

18
Familia ISO 27000

19
Requerimiento
Debern y No debern
Los trminos "debern" y "no debern" indicarn los
requisitos estrictamente de Conformidad con el
documento y de la cual no se permite ninguna
desviacin

20
Recomendacin
Deberan y No deberan
Los trminos "deberan" y "no deberan" indican
que entre varias posibilidades se recomienda tomar
una accin en particular, pero esta no es
obligatoria.

21
2. REQUISITOS DE LA ISO/IEC
27001:2013

22
Son requisitos, es obligatorio!

Excluir cualquiera de los requisitos


especificados en las Clusulas 4 a 10
no es aceptable cuando una
organizacin declara conformidad
con este norma.

23
ISO/IEC 27001:2013 Captulos
1. Alcance

2. Referencias
10. Mejora
normativas

9. Evaluacin 3. Trminos y
del desempeo definiciones

4. Contexto de
8. Operacin
la organizacin

7. Soporte 5. Liderazgo

6. Planeacin

24
Clusula 4. Contexto de la
organizacin
Esta clusula est centrada en identificar quienes son
los clientes o beneficiarios del SGSI. Para ello, la
organizacin se debe plantear diferentes puntos de
vista desde los que ver el porqu de las necesidades
de seguridad y cules son los requisitos a garantizar.
Todo ello se concreta en las siguientes subclusulas.
Clusula 4. Contexto de la
organizacin
4.1 Entender la organizacin y su contexto. Para todo
SGSI es vital entender nuestro modelo de negocio y
nuestro entorno. Considerar todo aquello que puede
condicionar el lograr los resultados de nuestro SGSI.
4.2 Entender las necesidades y expectativas de las partes
interesadas. Tambin es crtico identificar quienes son
nuestras partes interesadas internas y cules son sus
necesidades respecto a la seguridad. En este sentido el
alcance del SGSI puede o no cubrir todos los procesos de
negocio de la Organizacin y en el caso de ser slo una
parte, tendr como partes interesadas a otras reas que
sern clientes de la seguridad.
Clusula 4. Contexto de la
organizacin
4.3 Determinar el alcance del SGSI. Con todas las
reflexiones anteriores en esta clusula se determina
la creacin del primero de los documentos que
constituyen el SGSI, el alcance del sistema. Se
deben establecer los lmites del SGSI en el alcance
que tiene que ser expresado en trminos de: 1)
asuntos internos y externos considerados en 4.1 2)
requisitos identificados de esas necesidades. 3)
interfaces y dependencias entre las actividades
realizada por la organizacin y las que son realizadas
por otras organizaciones.
Taller
Clusula 4
Contexto de la
organizacin

28
5 Liderazgo

Esta clusula rene los requisitos para garantizar que


la puesta en marcha del SGSI efectivamente es un
proceso estratgico y establece las directrices de
gestin de alto nivel que deben motivar el
funcionamiento del sistema.
5 Liderazgo
5.1 Liderazgo y compromiso.
La alta direccin debe demostrar liderazgo y compromiso
con el SGSI sobre todo de las siguientes formas:
1) Asegurando que los objetivos se establecen y son
compatibles con la direccin estratgica de la
organizacin.
2) Garantizando que s que se integra el SGSI con los
procesos de la organizacin y proporcionando los
recursos necesarios.
3) Asegurando que el SGSI logra los resultados
esperados. Como podemos ver, en este apartado ya se
empieza a ver uno de los cimientos del SGSI, que los
resultados muestren que se alcanzan los objetivos.
5 Liderazgo
5.2 Poltica.
En esta clusula se formaliza ese compromiso de la
Direccin obligando a documentar el segundo de los
documentos que constituyen el SGSI, la poltica de
seguridad. En esta reordenacin de la norma, la poltica
cobra una vital importancia al ser ahora una subclusula
del Liderazgo y al explicitar de forma clara los contenidos
mnimos que su redaccin debe cubrir. Al menos, debe
establecer directrices de gestin respecto a:
1) ser adecuada al propsito de la organizacin.
2) incluir objetivos o proporcionar un marco para establecerlos.
3) incluir compromisos de satisfacer los requisitos aplicables y
garantizar la mejora continua.
5 Liderazgo
5.3 Roles de la organizacin, responsabilidades y
autoridad.
La componente organizativa tampoco se descuida y
todos los miembros activos que forman parte del
funcionamiento del SGSI deben tener asignadas unas
claras tareas y responsabilidades.
Las tareas del SGSI se estratifican a diferentes niveles del
organigrama y habr personal ms vinculado con la
gestin del propio sistema y el soporte de los procesos
propios como el control de la documentacin, la mejora
continua o la medicin y otro personal ms centrado en
las tareas operativas de administracin y operacin de las
medidas de seguridad que implantan controles del anexo
A
33
Taller
Clusula 5
Liderazgo

34
6. Planificacin
Esta clusula secuencia los pasos para la creacin del
SGSI en donde es una tarea clave y principal para la
toma de decisiones el proceso de identificacin y
anlisis del riesgo.
6. Planificacin
6.1. Acciones para dirigir los riesgos y oportunidades.
En la nueva redaccin, la planificacin del SGSI est
condicionada por los objetivos propios de la
Organizacin, los requisitos identificados en la
clusula 4 y el propio anlisis de los riesgos. La
organizacin debe planificar el SGSI para determinar
los riesgos y oportunidades que le permita:
A) asegurar que el SGSI logra los resultados.
B) prevenir o reducir los efectos no deseados.
C) lograr la mejora continua.
6. Planificacin
6.2 Objetivos y planes para lograrlos.
Este apartado es otro de los cambios sustanciales de esta nueva
versin. Se dedica una subclusula entera a la formalizacin de
objetivos.
En este sentido, la organizacin deber establecer objetivos segn
funciones y niveles de forma que sean coherentes con la poltica de
seguridad, sean medibles, tengan en cuenta los requisitos y
necesidades del SGSI as como los resultados del anlisis de riesgos.
Para estos objetivos se deber determinar:
que se tendr que lograr
que recursos sern necesarios
quin ser responsable del seguimiento del objetivo
cuando se darn por logrados
cmo se medirn los resultados.
Taller
Clusula 6
Planificacin

38
7. Soporte
Esta clusula establece qu medios sern necesarios en
la puesta en marcha del SGSI.
En este sentido adems de identificar las necesidades
materiales se insiste tambin en la importancia de las
personas y de sus capacidades tcnicas siendo necesaria
la formacin y la concienciacin para garantizar que son
las adecuadas.
Adems se especifican los requisitos generales que debe
garantizar el sistema en relacin a la documentacin que
forma parte del mismo y al proceso de gestin respecto a
los cambios o actualizaciones necesarios para ir
mantenindolo vigente.
7. Soporte
7.1 Recursos.
Cmo es obvio, una decisin estratgica de este
calado debe contar con los recursos necesarios para
lograr el buen funcionamiento del SGSI. Los ajustes
presupuestarios podrn influir en las posibles
inversiones a realizar y condicionarn el apetito de
riesgo de la organizacin pero en cualquier caso,
siempre hay unos mnimos que habr que asumir
como son la dedicacin del personal que vigila y
opera el SGSI.
7. Soporte
7.2 Competencias.
En relacin al factor humano, el equipo de
personas que de soporte al SGSI debe tener un
adecuado nivel de conocimiento o disponer de los
recursos para hacer que los logren. Adems debe
quedar evidencia de este proceso de capacitacin.
7. Soporte
7.3 Concienciacin
El personal que trabaja dentro del alcance del SGSI
tambin debe ser consciente de la poltica de
seguridad, de su contribucin a la efectividad del
sistema y de sus implicaciones en la resolucin de no
conformidades.
7. Soporte
7.4 Comunicacin. Este apartado formaliza las vas de
comunicacin dentro del SGSI y determina que debern
identificarse las necesidades internas y externas en
materia de comunicacin sobre la seguridad de la
informacin estableciendo:
A) que debe comunicar.
B) cuando debe hacerse.
C) a quien debe hacerse.
D) quien comunicar.
E) E) como la comunicacin ser transportada o que
medios se utilizarn.
7. Soporte
7.5 Documentacin.
En esta subclusula se definen los requisitos
generales para el control de la documentacin del
sistema. Cabe destacar que en esta versin se
introduce como novedad que sea el criterio de la
propia organizacin el que establezca sus propias
necesidades de documentacin siempre que ello
garantice la efectividad del sistema
Taller
Clusula 7
Soporte

45
8. Operacin
Esta clusula determina cmo se garantiza el
funcionamiento del SGSI una vez ha completado su
fase de construccin y entra en los diferentes ciclos
PDCA en aos sucesivos.
8. Operacin
8.1. Planificacin operativa y control.
Para ello, en esta subclusula se determina que la
organizacin deber planificar, implementar y
controlar los procesos necesarios para garantizar los
requisitos e implementar las acciones necesarias
para la gestin del riesgo (6.1). La organizacin
deber implementar los planes para alcanzar los
objetivos de seguridad propuestos (6.2).
8. Operacin
8.2. Anlisis del riesgo.
El anlisis de riesgos es un proceso recurrente que
debe ajustar las decisiones de la organizacin o
plantear cambiar el apetito de riesgo segn se
vayan logrando resultados que manifiesten el control
de los riesgos que se estn ya gestionando. Para ello,
debe realizarse el proceso de identificacin del riesgo
a intervalos planificados o cuando se planteen u
ocurran cambios significativos, tomando acciones
segn los criterios de aceptacin del riesgo (6.1.2.a)
8. Operacin
8.3. Tratamiento del riesgo.
La organizacin estar implantando el plan de
tratamiento del riesgo. Conforme se logren ciertos
hitos, se irn modificando los criterios de aceptacin
del riesgo y eso provocar que ao tras ao los
planes se vayan tambin actualizando para reflejar la
nueva toma de decisiones. Por tanto, la gestin de la
seguridad implica la ejecucin continuada del plan
de tratamiento que ao tras ao se debe tambin
revisar.
Taller
Clusula 8
Operacin

50
9. Evaluacin del rendimiento
Este es otro de los apartados ms importantes de
este reenfoque de la gestin hacia la bsqueda de
resultados. Si en la clusula 6.2 Objetivos hemos
definido cuales son los beneficios esperados del
funcionamiento del SGSI, en esta clusula 9 se
establece cmo se analizar si dichos objetivos se
estn o no cumpliendo.
9. Evaluacin del rendimiento
9.1. Monitorizacin, medicin, anlisis y evaluacin.
Para que la organizacin pueda evaluar el rendimiento y la
efectividad del SGSI, se tiene que concretar y determinar:
A) que necesita ser monitorizando y medido, incluyendo los
procesos de seguridad y controles.
B) los mtodos para monitorizar, medir, analizar y evaluar, cuando
sea aplicable, para asegurar unos resultados adecuados.
C) cuando las monitorizaciones y mediciones debern ser
realizadas.
D) quin deber monitorizar y medir.
E) cuando los resultados de la monitorizacin y medicin debern
ser analizados y evaluados (rangos de normalidad y anomala)
F) quien analizara y evaluara estos resultados.
9. Evaluacin del rendimiento
9.2 Auditora interna.
Otra de las actividades fundamentales dentro del proceso de
retroalimentacin y control de todo sistema es la actividad de
verificacin o chequeo. En este caso, corresponde al proceso
de gestin de la auditora interna. La norma determina que la
organizacin deber realizar auditoras internas a intervalos
planificados para obtener informacin sobre el
funcionamiento del SGSI en relacin a:
A) es conforme con:
1. los requisitos propios de la organizacin para el
SGSI.
2. los requisitos del estndar.
B) est eficientemente implantado y mantenido. De nuevo se
debe valorar el logro de los resultados esperados.
9. Evaluacin del rendimiento
9.3. Revisin por Direccin.
Como resultado de las actividades de anlisis de la
gestin (Monitorizacin, medicin y auditora
interna) debe llegar la fase de toma de decisiones o
de realizacin de ajustes. En todo ciclo de control de
sistemas, las desviaciones son gestionadas
modificando los criterios de control para lograr que
cambien las cosas y que las salidas sean las
esperadas. En este proceso de gestin del SGSI, la
alta direccin deber revisar el SGSI a intervalos
planificados para asegurar su contina adecuacin,
vigencia y efectividad
Taller
Clusula 9
Evaluacin del
redimiento

55
10. Mejora
Esta es el proceso de ajuste o de control de
desviaciones del SGSI donde las cosas que no
funcionan de forma adecuada son documentadas
para aplicar acciones de correccin que mitiguen
tanto las consecuencias directas como las causas que
las ocasionan.
10. Mejora
10.1. No conformidad y accin correctiva.
Esta subclusula ahora est ms claramente descrita y
formaliza mejor el proceso de gestin de no conformidades y
acciones correctivas indicando como requisitos que cuando
una no conformidad se identifique habr que:
A) reaccionar contra la no conformidad
B) evaluar las necesidades de acciones para eliminar las
causas de la no conformidad con el objetivo de que no se
repita u ocurra de nuevo
C) implementar la accin necesaria.
D) revisar la efectividad de las acciones correctivas tomadas
E) hacer cambios en el SGSI si fueran necesarios.
10. Mejora
10.2. Mejora continua
Como filosofa general del ciclo de Deming o PDCA,
esta subclusula determina que el propsito
fundamental de la organizacin deber ser el mejorar
de forma continua la vigencia, adecuacin y
efectividad del SGSI, es decir, ao tras ao debe
buscarse el consolidar las cosas que se hacen bien,
mejorar las que no funcionan o plantearse nuevos
controles para seguir reduciendo niveles de riesgo y
los umbrales de aceptacin de los mismos.
Taller
Clusula 10
Mejora

59
Un mundo mejor con la estandarizacin de las normas ISO

60
Muchas Gracias

61
Preguntas

62
www.iticsec.com
informes@iticsec.com
Av. Ricardo Palma 687 Miraflores Lima - Per
Central: (+511) 726-2709 RPC: (+51) 980-997203

63