Ignacio Hernández (General Mills). INSPIRING SESSION. La anticipación y la I+...
SGSI para la protección de información confidencial
1. Proyecto para la Definición de un Sistema de
Gestión de la Seguridad de la Información
Pamplona, 19 de Mayo 2010
2. Sistema de Gestión de la Seguridad de la
Información (SGSI)
Un SGSI es un sistema de gestión para asegurar que la
información está protegida frente a la pérdida de :
• Confidencialidad
• Integridad
• Disponibilidad
2
3. NORMAS APLICABLES
Las pautas para realizar
los elementos anteriores
se recogen en la norma
ISO 27001
ISO 27001 (Certificable) Especificaciones para
La guía de buenas los SGSI
prácticas con el catálogo
de controles a
considerar se recoge en
la norma ISO 27002
(Informativa)
Más ayuda sobre ISO 27002
técnicas en la UNE
71501, que son guías Código de Buenas
para la Gestión de la Prácticas
Seguridad de TI
3
4. ESTRUCTURA DEL SGSI
Política de
Seguridad
Procedimientos
Instrucciones técnicas Registros
Herramientas
4
5. ELEMENTOS DEL SGSI
INVENTARIO GESTIÓN DE
DE ACTIVOS RIESGOS
Equipos Contraseñas
Aplicaciones ANÁLISIS DE Descarte de
RIESGOS medios
Servicios
Robo Formación
Redes
Fuego Política de
seguridad
Acceso no
autorizado
Error de usuario
5
6. ACTIVIDADES PRINCIPALES
Tarea 1 – Lanzamiento del proyecto
Tarea 2 - Definición del alcance, los objetivos y la
Política de Seguridad
Tarea 3 - Inventario de activos, análisis de riesgos y
controles
Tarea 4 - Documentación
Tarea 5 - Implantación y formación
Tarea 6 - Auditoría interna y revisión SGSI
Tarea 7 - Apoyo para Auditoría de certificación
6
7. Tarea 1 -Lanzamiento del Proyecto
1. Reunión inicial y realización de entrevistas
Objetivos:
• Presentar el proyecto a la organización
• Definir el alcance y los límites del sistema
• Comprender el funcionamiento de la
organización
• Conocer qué información se maneja en la
organización y cómo se gestiona
• Conocer las expectativas, las prioridades y los
objetivos de la organización
• Definir el conjunto de activos a proteger
7
8. Tarea 2 Política de Seguridad
Debe cubrir todos los aspectos de la seguridad: seguridad física,
seguridad lógica, seguridad del personal.
y
adecuarse a las necesidades y recursos de la organización
Recursos y necesidades
Seg. de comunicaciones
Seg. del personal Seg. Física
operaciones
Política de Seguridad
8
10. Tarea 4 – Documentación
• Análisis de riesgos
• Selección de controles
• Procedimientos para implantar
los controles
• Procedimientos para la gestión
del SGSI
• Plan de seguridad
• Plan de concienciación
10
11. Tarea 5 - Implantación y formación
• Puesta en marcha del plan de seguridad
• Puesta en marcha del plan de formación
11
12. Tareas 6 y 7 - Auditorías
Auditoría interna
• Se revisará el SGSI para comprobar que se ajusta a la
norma y a los requisitos de la organización
• Se decidirán las acciones correctoras a tomar y se
implementarán
Auditoría de Certificación
• Visita previa del Organismo de Certificación y emisión del
informe de no conformidades
• Implantación de medidas correctoras
• Auditoría de Certificación.
• Obtención del Certificado
12