El 09/09 de 2014 se realizó en el Auditorio de Medrano 951 (UTN BA) el Seminario "ISO 27001 - Sistemas de Gestión de Seguridad de la Información".
Los invitamos a ver el contenido del #Seminario en #SlideShare
3. Objetivos
• Filosofía de la ISO
• Seguridad de la Información
• La norma ISO / IEC 27001:2013
• Factores clave de éxito para su
implementación
4. MISIÓN
OBJETIVOS DEL
NEGOCIO
RIESGOS DEL
NEGOCIO
RIESGOS
APLICABLES
CONTROLES
INTERNOS
REVISIÓN
ISO 9001
ISO/IEC 27001
ISO/IEC 22301
ISO/IEC 20000
ISO 14001
OHSAS 18001
ISO 26000
Sistemas
de Gestión
Integrados
5. Información
La información constituye un importante activo,
esencial para las necesidades empresariales de
una organización. La información puede existir de
muchas maneras. Puede estar impresa o escrita
en papel, puede estar almacenada
electrónicamente, ser transmitida por correo o por
medios electrónicos, se la puede mostrar en
videos, o exponer oralmente en conversaciones.
ISO / IEC 27000:2014
6. Términos y definiciones
• Confidencialidad: Propiedad por la cual la información
no esté disponible ni sea divulgada a individuos,
organismos o procesos no autorizados.
ISO 27000:2014, cláusula 2.12
• Integridad: Propiedad de proteger la precisión y la
totalidad de los activos.
ISO 27000:2014, cláusula 2.40
• Disponibilidad: Propiedad de estar accesible y ser
utilizable a demanda por parte de un organismo
autorizado
ISO 27000:2014, cláusula 2.9
7. Seguridad de la información
Preservación de la confidencialidad, integridad y
disponibilidad de la información; además de otras
propiedades, que también pueden estar
involucradas como la autenticación, registro de
responsabilidad (accountability), el no repudio y la
confiabilidad.
ISO 27000:2014
8. SGSI
La parte del sistema global de gestión, basada en
un enfoque de riesgos empresariales, para
establecer, implementar, operar, monitorear,
revisar, mantener y mejorar la seguridad de la
información.
Nota: El sistema de gestión incluye la estructura
organizacional, políticas, actividades de
planificación, responsabilidades, prácticas,
procedimientos, procesos y recursos.
9. DO CHECK ACT
8
8
Operación
Operación
9
9
Evaluación del
desempeño
Evaluación del
desempeño
10
Mejora
10
Mejora
7
Apoyo
Información
Documentada
Información
Documentada
Planificación y
control operativo
Planificación y
control operativo
Evaluación de
riesgos de
seguridad de
información
Evaluación de
riesgos de
seguridad de
información
Tratamiento de
riesgos de
seguridad de
información
Tratamiento de
riesgos de
seguridad de
información
Seguimiento,
medición,
análisis y
evaluación
Seguimiento,
medición,
análisis y
evaluación
AuAduidtoitroíarí ain itnetrenrana
Revisión por la
dirección
Revisión por la
dirección
No
No
conformidades y
conformidades y
acciónes
correctivas
acciónes
correctivas
MMejeojroar ac ocnotnintiunaua
7
Apoyo
RReceucrusrossos
CComompepteetnecnicaia
CConocniceinetniztiazcaicóinón
CComomunuinciaccaicóinón
4
4
Contexto de la
Organización
Contexto de la
Organización
5
5
Liderazgo
Liderazgo
6
6
PLAN
Planificación
Planificación
Comprender la
organización y su
Comprender la
organización y su
contexto
contexto
Comprender las
necesidades y
expectativas de las
partes interesadas
Comprender las
necesidades y
expectativas de las
partes interesadas
Determinar el
alcance del SGSI
Determinar el
alcance del SGSI
SGSGSISI
Liderazgo y
compromiso
Liderazgo y
compromiso
PoPloítliíctiaca
Roles,
Roles,
responsabilidades
y autoridades
de la organización
responsabilidades
y autoridades
de la organización
Acciones para
tratar riesgos y
oportunidades
Acciones para
tratar riesgos y
oportunidades
Objetivos de SI y
planes para
alcanzarlos
Objetivos de SI y
planes para
alcanzarlos
PDCA y las cláusulas
ISO/IEC 27001:2013
10. Cláusulas de la norma en el
modelo PDCA de mejora
continua
Mejora Continua
Mantener y
Mejorar el SGSI
10
Implementar y
Operar el SGSI
8
Establecer
el SGSI
4, 5, 6, 7
Anexo A
Partes
Interesadas
Requisitos y
Expectativas
de Seguridad
de la
Información
Partes
Interesadas
Seguridad
de la
Información
Gestionada
Plan
Monitorear y
Revisar el SGSI
9
Do
Check
Act
11. Anexo A de la norma ISO 27001
A 5 Políticas de seguridad de la información
A 6 Organización de la seguridad de la información
A 7 Seguridad de los recursos humanos
A 8 Gestión de activos
A 9 Control de accesos
A 10 Criptografia
A 11 Seguridad física y ambiental
A 12 Seguridad de las operaciones
A 13 Seguridad de las comunicaciones
A 14 Adquisición, desarrollo y mantenimiento de los
sistemas de información
A 15 Relaciones con los proveedores
A 16 Gestión de incidentes de seguridad de la información
A 17 Aspectos de seguridad de la información en la gestión
de la continuidad del negocio
A 18 Cumplimiento
Anexo A
12. Factores clave de éxito de una
implementación ISO 27001
1. Política y objetivos del SGSI.
2. Gestión de riesgos.
3. Compromiso de la Dirección.
4. Metodología de mejora continua.
5. Certificación del SGSI.
13. 1. Política y objetivos del SGC
• Establecer las directrices en la política (no en los objetivos).
• Identificar objetivos de calidad SMART:
– eSpecificos (Specific): ¿El objetivo es claro y no ambiguo?
– Medibles (Measurable): ¿El objetivo tiene un criterio de
medición?
– Alcanzables (Achievable): ¿El objetivo es desafiante pero
alcanzable?
– Realista (Realistic): ¿El objetivo puede ser logrado con los
recursos que tenemos?
– a Tiempo (Timely): ¿El objetivo tiene definido cuándo se desea
alcanzar?
• Alinear los objetivos con las directrices de la política
• Evidenciar a través de métricas el cumplimiento de los objetivos.
14. 2. Gestión de riesgos
• Participación de todo el personal involucrado:
– Dueños deben fijar la valoración o importancia de los activos en
función del negocio
– Custodios deben determinar los medios técnicos para
protegerlos, en función de las definiciones de los dueños
• Compromiso de la Dirección con la gestión de los
riesgos (ver factor clave de éxito 3).
• Revisiones periódicas de la gestión de riesgos y
aprendizaje de los incidentes de seguridad.
• Contar con un encargado de riesgos idóneo
técnicamente y para moderar un proceso de
comunicaciones interpersonales y liderar las
negociaciones entre dueños y custodios.
15. Definir:
Alcance,
Política y
Metodología
Identificar:
Activos,
Vulnerabilidades
Amenazas y
Controles
Analizar:
Riesgos
Costo / Beneficio
Decidir tratamiento de riesgos
Aceptar riesgo residual
Controles:
Seleccionar
SOA
Implantar
Seguros
Proveedores
Conocer y
Aceptar las
consecuencias
Cese de la
actividad que
lo origina
Planificar Identificar y
analizar
Dirección
Mitigar
riesgo
Transferir
riesgo
Aceptar
riesgo
Evitar
riesgo
Análisis y
valoración de
riesgos
Tratamiento
de riesgos
16. 3. Compromiso de la dirección
• Establecer la política, objetivos y comunicar a la
organización la importancia de alcanzarlos.
• Aprobación de la Declaración de aplicabilidad.
• Provisión de los recursos.
• Decidir los criterios de aceptación de riesgos.
• Asegurar que el programa de auditorías internas
mejora con el tiempo.
• Revisión por la dirección.
17. La Mejora Continua
Auditoría Auditoría Auditoría
Control Puntos de Auditoría
Operación “Normal” de la Seguridad
Tiempo
Nivel de Seguridad de la empresa
Seguridad operativa débil
Seguridad operativa más fuerte
Mejora continua
Preparación para la Auditoría
18. Modelo de madurez de Philip Crosby
1. Incertidumbre:
realidad confusa y
sin compromiso.
3. Ilustración: compromiso
de mejora, enfrentando
los problemas sin desviar
la acción a otros.
2. Despertar: reconocimiento de la
importancia de la gestión de la
calidad pero sin un compromiso de
invertir en ella.
5. Certeza:
4. Sabiduría:
gestión de la
calidad como
parte esencial
de los sistemas
de la empresa.
participación,
medición precisa e
intentos de hacer
permanentes las
mejoras logradas.
19. 5. Certificación del SGSI
• Es un proceso posterior a la
implementación, pero independiente.
• La realizan varios organismos prestigiosos
que determinan si el SGSI cumple con los
requisitos de ISO 27001.
• Facilita el apoyo de la Dirección.
• Alínea a las personas vinculadas con el
SGSI dentro de un objetivo compartido.
20. Proceso de certificación
CICLO
PERIODICO
Implantación del
Sistema de
Gestión de la
Seguridad de la
Información
Solicitud de la
Certificación
FASE I
Análisis de
Documentación
FASE II
Auditoría de
Certificación
Aprobación
NO
Visita
Adicional
Auditoria SI
anual
de
Mantenimiento
Visita Adicional
Aprobación
Mantenimiento
de
Certificado
NO
SI
Emisión de
Certificado
21. Esfuerzo de certificación
La organización debe evidenciar:
• Adherencia con su política de SGSI, objetivos y
procedimientos
• Que el SGSI concuerda con todos los requisitos normativos y
que alcanza los objetivos de la política de seguridad de la
información
La auditoría de certificación se focaliza en:
• Evaluar los riesgos relativos a la seguridad de la información
y que esa evaluación produzca resultados comparables y
reproducibles
• La documentación obligatoria
• La selección de controles y objetivos de control identificados
durante el proceso de gestión de riesgos.
22. Esfuerzo de certificación
La auditoría de certificación se focaliza en (continuación):
• Revisión de la eficacia del SGSI y las métricas de la eficacia de los
controles de seguridad de la información, reporte y revisión versus
los objetivos del SGSI
• Auditorías internas y revisiones de la Dirección
• Responsabilidad de la Dirección en función de la política de
seguridad de la información
• La correspondencia entre los controles seleccionados e
implantados, SOA, y los resultados de la evaluación y tratamiento
de riesgos, y la política y objetivos del SGSI
• La implementación de controles, teniendo en cuenta las métricas de
la eficacia de los controles de la organización, para determinar si
los controles implementados son efectivos para alcanzar los
objetivos establecidos
• Programas, procedimientos, registros, auditorías internas, y
revisiones de la eficacia para asegurar que son trazabables hacia la
gestión de riesgos, la política y objetivos del SGSI
23. Beneficios de la certificación
• Asegura la eficacia de la gestión de la seguridad de la información a
través del cumplimiento de una norma de reconocimiento
internacional
• Facilita el apoyo de la Dirección
• Mejora la conciencia, responsabilidad y sensibilización del personal
hacia la seguridad de la información
• Incrementa la confianza de clientes y socios estratégicos por la
garantía de calidad, confidencialidad comercial y cumplimiento de
leyes y reglamentaciones
• Implementa la seguridad de la información en los procesos de
negocio a través de la gestión de los mismos y no por la compra
sistemática de productos y tecnología (revisión de los riesgos y
controles a lo largo del tiempo)
• Integra al SGSI con otros sistemas de gestión como SGC y SGA
• Robustece la imagen de la empresa a nivel local e internacional
(elemento diferenciador de la competencia)
25. Próximo Curso
Auditor Interno en Seguridad de la
Información ISO/IEC 27001; 19011
Viernes 17, 24 y 31 de octubre de 9 a 18 hs.
Informes: calidad@sceu.frba.utn.edu.ar
Tel.: 4867-7500 Int. 7710
26. Novedades 2015
Diplomatura en Sistemas de Gestión de
Servicios de Tecnología y Seguridad de la
Información
120 hs.