Guía de implementación iso 27001:2013

Juan Fernando Jaramillo
Juan Fernando JaramilloCISO en Gobernación de Antioquia
Gestión Estratégica GUÍA DE IMPLEMENTACIÓN ISO 27001
Agenda 1. Aproximación inicial 2. Soporte Administrativo 3. Alcance 4. Planeación 5. Comunicación 6. Evaluación de Riesgos 7. Selección de Controles 8. Documentación 9. Pruebas 10. Certificación Exitosa
Aproximación Inicial La preparación de una implementación exitosa implica cuatro factores: 1. Conocimiento – y ser capaz de comunicarlo claramente – porque la seguridad de la información es importante para cualquier organización y, particularmente la suya, 2. Saber específicamente porque ISO 27001 es la forma correcta de proporcionar seguridad a la información – y que esto también significa tener un conocimiento base del estándar y como funciona, 3. Saber como se va a estructurar el proyecto, cuales son los elementos clave (los que siguen), y porque es la mejor forma de trabajarla, 4. Saber si se van a contratar consultores o lo va a hacer usted mismo, y los pros y contras de ambas.
Que es la gestión de la seguridad? • El sistema de gestión de la seguridad de la información (SGSI) es la parte del sistema de gestión global basada en un enfoque de riesgos del negocio, para: – Implementar, operar, monitorear, mantener y mejorar la seguridad de la información.
Modelo PHVA • Definir la política de • Adoptar acciones correctivas seguridad • Adoptar acciones • Establecer el alcance del preventivas SGSI • Adoptar acciones de mejora • Realizar análisis de riesgos • Seleccionar los controles Planear Hacer Actuar Verificar • Implantar el SGSI • Revisar la eficacia de los • Implantar los controles controles • Implantar indicadores • Realizar auditorías internas del SGSI • Revisiones del sistema por parte de la dirección
Alcance del SGSI • Descripción de la empresa • Delimitación del alcance • Descripción de la organización dentro de la empresa
Política de Seguridad de la Información • Establecer anualmente objetivos con relación a la Seguridad de la Información • Complimiento de requisitos legales en materia de seguridad de la información • Realizar el análisis de riesgo
Identificación y valoración de activos 1. Identificación de dueños de activos de la información 2. Identificación de procesos/procedimientos 3. Identificación y clasificación de activos 4. Agrupamiento de activos (tipo-cliente-ubicación) 5. Valoración de los activos 6. Valoración de los grupos
ISO/IEC 17799:2005 • La seguridad de la información es un asunto de negocios, no uno de tecnología. • Se trata de asegurar la disponibilidad, confidencialidad e integridad de la información de la organización. • La introducción de la ISO/IEC 17799:2005 dice que ‘es la protección de la información de una variedad de amenazas con el objetivo de garantizar la continuidad del negocio, minimizar el daño y maximizar el retorno de la inversión y las oportunidades de negocios, además que es una herramienta útil para mantener una ventaja competitiva, un flujo de caja, rentabilidad, cumplimiento legal y regulatorio y una imagen comercial.
Riesgos de Información y Riesgos Regulatorios • El propósito de un sistema de gestión de seguridad de la información es el de reducir y controlar los riesgos a la seguridad de la información. • Su organización necesita entender entonces, de una manera visceral, como se relacionan estos riesgos con sus operaciones.
Soporte Administrativo Guía de Implementación de ISO27001
Soporte Administrativo • La implementación exitosa de un SGSI depende absolutamente de que el proyecto tenga todo el apoyo desde la gerencia administrativa del negocio.
Alineación estratégica • La primera razón de porque el CEO debe apoyar completamente el proyecto de SGSI es que este es un proyecto de negocio, y no solamente un proyecto de TI. • El compromiso de la alta gerencia significa que el proyecto obtenga los recursos (financieros y humanos) que requiere.
Administración de Cambios • Un proyecto exitoso de implementación de un SGSI es, en otras palabras, de bajo perfil, pero sin embargo es un proyecto que administra todos los cambios de la organización de una manera aplica y la forma en que la organización tiene que aprender de la experiencia de los programas de administración de cambios exitosos.
El rol del CEO • El CEO necesita estar completamente al tanto de los problemas estratégicos relacionados con el gobierno de TI y de seguridad de la información y el valor para la compañía de una certificación exitosa. • La cláusula 5.1 de el estándar específicamente requiere evidencia de este compromimo desde la alta gerencia.
El compromiso del CEO • Cualquiera sea la procedencia del mensaje, sea interno o por medio de consultores externos, es necesario explicar que el soporte activo y comprometido es esencial al proyecto, es necesario explicar porque (razones abajo), y se necesita especificar lo que este implica. 1. Que el CEO personalmente aplica al entender los beneficios de negocio que persiguen la estrategia de seguridad de la información, y el retorno de la inversión que este proyecto traera a la organización. 2. Que el CEO organizará una presentación a la Junta Directiva sobre la estrategia de seguridad de la información, incluyendo la certificación del SGSI en las metas de negocio para el año, asegurando el soporte de la misma para lograr el objetivo. 3. Y organiza un monitoreo de el progreso del proyecto (el cual asegurara que el proyecto logre y mantenga su naturaleza política que mejorara las probabilidades de éxito del mismo) mediante su ciclo de vida. 4. Que el CEO personalmente organizará la presentación del proyecto a el grupo de directivos de la organización así como también a todo el personal en cada foro organizacional que es usado para la comunicación del personal. 5. El CEO debe nominar a alguno de sus altos ejecutivos para soportar el proyecto y liderar el Comité de Seguridad, para proporcionar soporte y respaldo día a día, y para liderar los esfuerzos de administración de cambios. Y que esta persona tiene que estar comprometido con el éxito del proyecto, y preparado para hacer lo que sea necesario para que este tenga éxito. 6. Que el CEO claramente especifique – para la junta directiva y para cualquiera en la organización – la prioridad de este proyecto, y la autoridad para involucrar aquellos quienes deben contribuir al éxito de este proyecto. 7. Que el CEO pone ejemplo personal aplicando todas las prácticas y siguiendo todos los procedimientos que hacen parte del nuevo SGSI.
Soporte de Gerencia Administrativa • Un proyecto de un SGSI cruza transversalmente todas las áreas de la organización, y por consiguiente, es necesario estar seguro cuales son los líderes clave al interior de la misma. 1. El Comité de Seguridad puede ser liderado tanto por el CEO como por alguien que haya sido nominado por el CEO y debe ser de un grupo orientado a los negocios de la organización. Este grupo debe incluir algunos individuos que pueden ser reacios al proyecto, y que, si es posible, se les den responsabilidades clave de liderar el éxito del proyecto. Finalmente, se debe resaltar la importancia de que este grupo no tenga una preponderancia de gente perteneciente al área de TI o personal técnico – el proyecto debe verse como un proyecto del negocio, no solo uno de TI. 2. El CEO debe hacer la presentación inicial del Comité de Seguridad, y la presentación debería enfocarse en los riesgos de seguridad que enfrenta la organización, y en los impactos potenciales para la organización en el caso de una falla en la implementación de la seguridad apropiado, y debería ajustar la categorización relativa y la importancia que tiene el proyecto.
Alcance Guía de Implementación ISO27001
Alcance • La cláusula 4.2.1b de ISO27001 define claramente los componentes de la política del SGSI. • La política debe ser aprobada por el comité. • Su alcance (4.2.1ª), y la política en sí, debe tener en cuenta las características del negocio, su organización, localización, activos y tecnología. • La política debe incluir un marco de trabajo para ajustar los objetivos de la política y establecer el sentido general de su dirección. • Debe tener en cuenta los requisitos legales, de negocios, regulatorios y contractuales de seguridad. • El alcance es esencial para cualquier organización de cualquier tamaño: se debe decidir cuales activos de información se van a proteger – y cuales no – antes de decidir en su protección adecuada. • Se debe ser categórico en definir que va a estar dentro de la fortaleza de seguridad y que va a quedar por fuera, y esto significa que no se desea que ningún sistema de información, dispositivo o unidad de negocios quede a ambos lados – ya que este sería en enlace más débil.
Seguridad de Punto Final • La decisión del alcance necesita incluir todos los dispositivos de información que la gente usa para realizar su trabajo – tales como celulares, tabletas, PDAs, portátiles inalámbricos, equipos de escritorio etc. – así como también los sistemas de oficina centrales mas obvios – contabilidad, nómina, producción, ventas y manejo de ordenes, correo electrónico, ofimática, etc. -. • Pare de la razón del sistema de seguridad de la información es el de asegurar que se está en cumplimiento con una gran variedad de leyes y regulaciones, así que tiene sentido para la entidad que tiene estas obligaciones de cumplimiento estar completamente definidas en el alcance del proyecto de seguridad de la información. • Se debe tener presente que un SGSI es un sistema administrativo, una estructura formal que administra desarrollos para asegurar que su política de seguridad de la información es aplicada consistentemente a través de la organización.
Definición de Límites • Típicamente, los límites son identificables lógica y físicamente. • Los límites deben ser identificados en términos de la organización, o parte de la organización, que debe ser protegida, cuales redes y cuales datos, y en que ubicaciones geográficas. • Organizaciones de múltiples sitios o virtuales necesitan considerar cuidadosamente los diferentes requisitos de seguridad de sus diferentes sitios y las implicaciones administrativas de estos. • El proceso de diseño e implementación de un SGSI es usualmente simple cuando incluye completamente a la organización para la cual la junta o el equipo gerencial tiene responsabilidades definidas.
Mapeo de la Red • El mapa inicial que se dibuja ayuda a hacer el ejercicio de alcance inicial, el cual necesita ser extendido como parte de un proyecto detallado en fase de planeación para asegurarse que todos los aspectos de los sistemas de información han sido identificados. • El mapa de la infraestructura debería también integrarse con la lista de activos de tecnología (los cuales conformaran la base de la evaluación de riesgos) y deberían ser un documento vivo, el cual es actualizado a medida que cambia la red.
Planeación Guía de implantación ISO27001
Planeación • Para los propósitos de la implementación de un SGSI, la ‘planeación’ incluye el manejo de temas como el desarrollo de consultores, como se administrará el proyecto, que tantos sistemas de administración serán integrados, y la identificación de las responsabilidades claves y requisitos de recursos a través del ciclo de vida del proyecto.
Aproximación estructurada a la implementación (1) • Planee a) Defina el alcance del SGSI b) Defina la política de seguridad de la información c) Defina una aproximación sistemática de evaluación de riesgos d) Realice la evaluación de riesgos para identificar, dentro del contexto de la política y el alcance del SGSI, los activos importantes de información de la organización y los riesgos de éstos e) Evalúe los riesgos f) Identifique y evalúe opciones para el tratamiento de estos riesgos g) Seleccione, para cada aproximación, los objetivos de control y los controles que serán implementados h) Prepare una Declaración de Aplicabilidad (SoA)
Aproximación estructurada a la implementación (2) • Haga a) Formulación del plan de tratamiento de riesgos, y su documentación, incluyendo los procesos planeados y los procedimientos detallados b) Implementación de un plan de tratamiento de riesgos y controles planeados c) Entrenamiento apropiado para el personal afectado, así como también programas de prevención d) Manejo de operaciones y recursos en línea con el SGSI e) Implementación de procedimientos que le permiten un aviso temprano de la detección, y respuesta a, incidentes de seguridad
Aproximación estructurada a la implementación (3) • Chequee – La etapa de chequeo es, esencialmente, solo un paso, sin embargo contiene un conjunto de pasos subsidiarios: • Monitoreo • Revisión • Pruebas • Auditoría
Aproximación estructurada a la implementación (4) • Actúe – Los resultados de las pruebas y auditorías deben ser revisados por la administración, así como también el SGSI, a la luz de el ambiente cambiante de riesgos, la tecnología u otras circunstancias; las mejoras a el SGSI deben ser identificadas, documentadas e implementadas. – Posteriormente, deben ser sujetas de una revisión constante, pruebas posteriores y mejoramiento de implementación, en un proceso conocido como ‘mejoramiento continuo’
Integración con los sistemas de administración de seguridad existentes • La evaluación de riesgos es un paso crítico; cualquier control implementado antes de una evaluación de riesgos que se haya realizado puede ser deficiente o inapropiado. • También es muy probable que algunos de los controles implementados posteriormente a la terminación de una evaluación de riesgos apropiada puedan ser demasiado robustos, y por ende no son costo efectivos, y ciertamente no reflejan el estándar o la guía de la ISO 17799; la certificación debe ser tan compleja de lograr con los controles extremadamente robustos así como los débiles. • ISO 27001 necesita asegurarse de que esos controles que se toman son los adecuados y apropiados y que esos controles requeridos adicionales son implementados lo más rápido posible. En otras palabras, un análisis de brecha entre lo que se tiene y lo que se requiere debe ser realizado.
Análisis de Brecha • Este análisis de brecha puede ser conducido tanto de arriba abajo como de abajo a arriba. • Un análisis de abajo a arriba empezará recogiendo la información de todos los controles que se tienen actualmente implementados al interior de la organización y entonces evaluar si son o no adecuados contra los requerimientos de la declaración de aplicabilidad de la organización y el estándar. • Una aproximación de arriba abajo empieza por los controles identificados en la declaración de aplicabilidad y evalúa la extensión a cuales ya han sido implementados. • La declaración de aplicabilidad solo estará completa una vez todos los riesgos identificados sean evaluados y la aplicabilidad de todos los controles identificados ha sido considerada y documentada. • Usualmente, la declaración se inicia antes de que es implemente alguno de los controles y completada una vez el control final se pone en marcha.
Integración al Sistema de Calidad • El SGSI debe ser integrado con el sistema de aseguramiento de la calidad a su mayor extensión posible. • Particularmente, las cláusulas 4.3 (Documentación), 4.3.2 (Control de documentos) y 4.3.3 (registros) pueden (y deberían) ser cumplidos mediante la aplicación de cualquier requisito de control de documentación existente de un sistema de manejo de ISO 9001. • La aproximación lógica es que la aproximación de la ISO 9000 debe ser adoptada por cualquier organización que implemente un SGSI.
Gerencia de Proyectos (1) • El equipo ciertamente debe incluir al menos un gerente de proyectos experimentado, el cual sería el responsable de trazar y reportar el progreso contra los objetivos planeados. • El equipo del proyecto debe reportarle tanto al jefe del comité de dirección o (preferiblemente) al CEO y debe tener la autoridad apropiada delegada para implementar un plan de proyecto para el SGSI aprobada por la junta. (Cláusula 5.1e) • Aparte del gerente responsable de la seguridad de la información y un experto en seguridad de la información entrenado, la representación más crítica será de ventas, operaciones y admiinstración.
Gerencia de Proyectos (2) • Director del Equipo del Proyecto – El director necesita, entonces, ser alguien que es capaz de obtener el respeto de todos los miembros del equipo del proyecto.
Plan del Proyecto • El plan del proyecto necesita contener y delinear un calendario y una identificación de alto nivel de las responsabilidades, así como también el camino crítico para ser completado. • También debería proporcionar un alcance suficiente para aquellos que tendrán que implementar el plan para encontrar las soluciones apropiadas a los muchos desafíos operacionales que este proyecto tendrá. • Hay un número de razones posibles para esto, incluyendo el deseo del director de TI de no perder el control de la seguridad de TI (particularmente en la acreditación de ISO27001 que se ha definido como una responsabilidad del departamento de TI), el deseo del departamento de TI de mantener su halo de misticismo y miedo de que sus controles puedan ser encontrados como inadecuados. • ISO 27001 requiere que la junta de la organización y la alta dirección tome el control del SGSI y que toda la organización apoye y entienda los aspectos clave de la política de seguridad. • El equipo del proyecto necesitaran un entrenamiento inicial en los principios de ISO 27001, la metodología de cambio y gerencia de proyectos y los principios de las comunicaciones internas. • El director de TI y el personal de TI deberán tener las competencias específicas en Seguridad de la Información y, si esto requiere ser apalancado por entrenamiento, este debe ser realizado por una organización que reconozca y entienda los aspectos técnicos del entrenamiento en ISO 27001.
Costos y Monitoreo del Proyecto • Los aspectos clave del progreso del proyecto que deben ser revisados son: 1. Luego de completar el borrador de la declaración de aplicabilidad (SoA). Cualquiera de los costos luego de esto deben ser mínimos, pero, hasta que la Soa defina lo que se requiere hacer, no será posible tener un presupuesto efectivo para la implementación. 2. Luego de la implementación de la parte inicial de los procedimientos que aplican a los controles identificados. 3. Luego de completar el primer ciclo de auditorías del sistema y las revisiones y posterior a la visita inicial del cuerpo de certificación. 4. Anualmente, como parte de la revisión regular del SGSI, para asegurar que el presupuesto esta correctamente aplicado, y que algún asunto de nuevas tecnologías, amenazas y vulnerabilidades estén siendo tenidas en cuenta.
Comunicaciones Guía de implantación de ISO 27001
Comunicaciones • Las comunicaciones de arriba debajo de la visión de seguridad de la información – porque se requiere el SGSI, cuales son las responsabilidades legales de la organización, como será la percepción del negocio una vez se ha completado el programa y cuales son los beneficios que traerá a todos en la organización. • Reuniones regulares en cascada a todo el personal acerca del progreso sobre los objetivos del plan. • Un mecanismo para asegurar que los factores clave y los individuos en el desarrollo de los componentes clave del sistema. • Un mecanismo para asegurar la retroalimentación regular e inmediata de las personas de la organización, o las organizaciones de tercera parte afectadas, para así tener una aproximación de su experiencia directa del sistema inicial así como su implementación puede ser usada en la evolución de la versión final. • Las comunicaciones frente a frente deberían ser apuntaladas con un sistema para compartir la información efectivo.
Comunicaciones (cont.) • Se va a requerir un compromiso simple, fuerte, amplio en toda la organización, de arriba abajo, soportado por un gran número de discusiones en las cuales se ajustará como el proyecto del SGSI mejorará específicamente las circunstancias de negocios para cada persona con la que se habla.
Política de Seguridad de la Información • La extensión en la cual se ha tenido éxito en la construcción de un soporte a través de la organización y a través de las funciones para este proyecto se verá reflejado en la facilidad con la cual se va a poder tener un borrador de la política de seguridad de la información y se llega a un acuerdo sobre la misma. • Esta política de seguridad de la información es el conductor principal para el SGSI; ajusta las políticas de la junta, y los requerimientos respecto a la seguridad de la información.
Evaluación de Riesgos Guía de implantación de ISO 27001
Evaluación de Riesgos • Entender el significado total de este proceso es crítico, y es uno de los procesos claves para el éxito del proyecto. • La junta adopta una política de seguridad de la información debido a que hay un número significativo de riesgos a la disponibilidad, integridad y confidencialidad de la información de la organización. • El punto de partida de cualquier director de proyecto de un SGSI para considerar el riesgo es de aceptar la existencia de funciones para el manejo de riesgos (si es que hay una) dentro de la organización, con el objetivo de entender: a) Su aproximación total a los riesgos. b) Su aproximación específica a los riesgos de seguridad de la información.
Introducción de Administración de Riesgos • La administración de riesgos es una disciplina para manejar cualquier riesgo no especulativo, aquellos riesgos en los cuales solo puede ocurrir una pérdida. • Usualmente, la identificación de un riesgo es tanto especulativo o permanentemente refleja el apetito por el riesgo de la organización.
Planes de Administración de Riesgos (1) 1. Eliminar Riesgos. 2. Reducir aquellos riesgos que no pueden ser eliminados a un nivel aceptable. 3. Vivir con ellos, ejercitando controles cuidadosos que los mantienen en un nivel aceptable. 4. Transferirlos, mediante el aseguramiento, a algún otra organización.
Planes de Administración de Riesgos (2) • Las estrategias de administración de riesgos usualmente están basadas en una evaluación de los beneficios económicos que la organización puede derivar de una inversión en un control particular. • En otras palabras, para cada control que la organización pueda implementar, el cálculo es aquel cuyo costo de implementación puede ser sopesado de los beneficios económicos de los que se pueda derivar, o las pérdidas económicas que puedan ser evitadas como resultado de su implementación. • Una aproximación sistemática a la evaluación de riesgos puede tener en cuenta los requisitos de negocios, legales y regulatorios ubicados en los negocios. • En otras palabras, deben ser conducidas por el negocio. • Los negocios, manejados por su junta de directivos, deben identificar las amenazas a los activos, vulnerabilidades e impactos en la organización y debería determinar el grado de riesgo que la organización esté preparada a aceptar – a la luz de su modelo de negocios, su estrategia de negocios y sus criterios de inversión.
Evaluación de Riesgos (1) • La evaluación de riesgos es el ‘estudio sistemático’ de activos, amenazas, vulnerabilidades e impactos a los activos y las probabilidades y consecuencias de dichos riesgos. a) El daño de negocios probable como resultado de un rango de fallas de negocios. b) La probabilidad realística de dichas fallas si ocurren. • La complejidad de una evaluación de riesgos dependerá de la complejidad de la organización y los riesgos que se están analizando.
Evaluación de Riesgos (2) • Análisis de Riesgos – El análisis cualitativo de riesgos es de lejos el mas usado ampliamente (y es la aproximación esperada por ISO 27001). – El análisis de riesgos empieza con la identificación de los activos que están dentro del alcance del SGSI propuesto, debido a que estos activos son los que están ‘en riesgo’. – Todas las entradas individuales en el análisis reflejarán el prejuicio individual, y así el proceso de recolección de información debería cuestionar las entradas para establecer que es lo que en realidad se sabe – y que no se sabe.
Amenazas • Una amenaza es algo que puede ir mal o que puede atacar un activo. • Pueden ser tanto internas como externas. • Las amenazas siempre están presentes para cada sistema o activo – debido a que es valioso para su dueño, o será disponible para alguien más. • Para cada uno de los activos, las amenazas deberían ser consideradas bajo la luz de los encabezados de confidencialidad, integridad y disponibilidad.
Vulnerabilidades • Las vulnerabilidades dejan un sistema expuesto a un ataque por una amenaza o permiten que un ataque sea exitoso o que tenga un mayor impacto.
Impacto • Identificar los posibles impactos que la explotación exitosa de una vulnerabilidad por una amenaza tendría en la integridad, confidencialidad y disponibilidad de un activo (análisis de impacto). • Evalúa la probabilidad de que el evento ocurra, usando un sistema de clasificación tal como: una vez cada ciertos años, una vez al año, una vez cada seis meses, etc. • Los ataques por virus por ejemplo pueden caer en la categoría de ‘Todos los días’.
Controles • El punto clave para tener en cuenta acerca de la evaluación de riesgos es que no es un ejercicio de solo una vez. • Se necesitará repetirlo en una base regular, solo chequear la línea base de la evaluación es aún preciso, y aquellos controles que se han desplegado sean aún apropiados.
Selección de Controles Guía de implantación de ISO 27001
Tipos de Controles 1. Los controles disuasorios reducen la probabilidad de un ataque deliberado. 2. Los controles preventivos protegen vulnerabilidades y hacen que los ataques no tengan éxito o reducen su impacto. 3. Los controles correctivos reducen el efecto de un ataque. 4. Los controles detectivos descubren ataques y disparan controles preventivos o correctivos.
Criterio de Selección de Controles • El principio consiste en que el costo de implementación y mantenimiento de un control no debe ser mayor que el costo identificado y cuantificado del impacto de la amenaza (o amenazas) identificadas. • Ninguna organización debe invertir en tecnologías de seguridad de la información (hardware o software) o implementar procesos y procedimientos de administración de seguridad de la información sin antes no haber realizado una evaluación de riesgos y controles que les asegure que: – La inversión propuesta (el costo total del control) es el mismo que, o menor que, el costo del impacto de la amenaza identificada. – La clasificación de riesgos, la cual tiene en cuenta su probabilidad, su apropiación de la inversión propuesta, y – La prioridad del riesgo – por ejemplo, todos los riesgos con priorizaciones mayores ya han sido apropiadamente controlados y, entonces, es ahora apropiado invertir en los controles para éste.
Declaración de Aplicabilidad (SoA) • La SoA es, en esencia, una lista de los controles identificados en el Anexo A de ISO 27001:2005 en conjunto con su declaración sea que el control se aplique o no a la organización. • La SoA describe como es aplicada e identifica las políticas y procedimientos a través de los cuales es aplicado, la SoA explica porque no es aplicado, y proporciona razones claras y concisas.
Documentación Guía de implantación de ISO 27001
Documentación • ISO 27001 describe la documentación mínima que debe ser incluida en el SGSI (para cumplir con los requisitos del estándar de que la organización mantiene los registros suficientes para demostrar el cumplimiento con los requerimientos del estándar). Estos documentos incluyen: – La política de seguridad de la información, la declaración del alcance del SGSI, la evaluación de riesgos, los objetivos de control y la declaración de aplicabilidad. En conjunto, estos forman el manual de políticas del SGSI. – Evidencia de las acciones tomadas por la organización y su gerencia para especificar el alcance del SGSI (las minutas de la junta y las reuniones del comité de dirección, así como también algunos reportes de especialistas). – Una descripción de la plataforma administrativa (comité de dirección, etc.). Esto podría ser útil si se relaciona con un gráfico de la estructura organizacional. – El plan de tratamiento de riesgos y los procedimientos documentados relacionados (los cuales pueden incluir las responsabilidades y las acciones requeridas) que implementan cada uno de los controles específicos. Un procedimiento describe quien ha hecho que, bajo que condiciones, o para cuando, y como. Estos procedimientos (que podrían ser uno para cada uno de los controles implementados) serían parte del manual de políticas el cual, en sí mismo, puede estar en formato impreso o electrónico. – Los procedimientos (los cuales pueden incluir responsabilidades y acciones requeridas) que gobiernan la administración y revisión del SGSI. Estos pueden ser parte del manual de políticas.
Cuatro niveles de documentación • En términos prácticos, hay cuatro niveles de documentación de un SGSI, y cada nivel tiene diferentes características, incluyendo acerca de quien está autorizado a tomar decisiones relacionadas con revisiones a estos. Los cuatro niveles son: 1. La política aprobada por la junta corporativa, la cual dirige todos los otros aspectos del SGSI. 2. La declaración de aplicabilidad y las políticas individuales (estableciendo, por instancias, que constituye el uso aceptable de la Internet) 3. Procedimientos detallados, que describen quien es responsable de hacer que y en que orden. 4. Instrucciones de Operaciones/Trabajo, que determinan precisamente en detalle como cada una de las tareas identificadas son realizadas. • La cantidad de trabajo se incrementa a medida que se desciende por los cuatro niveles; el nivel mas demandante en términos de tiempo, es producir el cuarto nivel – aún si es esencialmente la documentación de los métodos existentes de realizar actividades específicas – una vez, estos han sido formados en línea con los requisitos de control.
Pruebas Guía de implantación de ISO 27001
Pruebas • Un SGSI debe trabajar en el mundo real. • Se han identificado los riesgos, se ha desplegado lo que se considera ser los controles apropiados, y se quiere estar seguro de dos cosas: – Que los controles trabajan como debe ser – Y que cuando se ven abrumados (y tarde o temprano lo serán), sus medidas de contra emergencia funcionarán
Tipos de Pruebas • Auditoría directa: la que involucra a un auditor entrenado que realiza un procedimiento documentado y solicita se le demuestre que lo que se describe en el procedimiento es efectivamente lo que pasa. • ‘Prueba de Papel’: Este es un ejercicio intelectual, que requiere más de una persona, y que requiere familiaridad con las vulnerabilidades del activo, los mecanismos de control y los mecanismos de tratamiento de las amenazas potenciales. • Prueba de la vida real limitada: Esta, por ejemplo, involucrara apagar el cuarto de servidores durante las operaciones normales, para observar si el sistema UPS y los procedimientos de apagado del servidor funcionan como es especificado. • Prueba de gran escenario: usualmente usado para probar planes de continuidad de negocios. • Se necesitará programas las auditorías y pruebas para que, en el curso del año, todos los aspectos del SGSI estén cubiertos.
Certificación Exitosa Guía de implantación de ISO 27001
Certificación 1. Asegúrese que la documentación este completa, comprensible y totalmente disponible para la inspección – en la visita inicial, que se presenta antes de la auditoría de certificación. 2. Asegúrese que toda su auditoría interna y los registros de pruebas están inmediatamente disponibles para los auditores de certificación cuando planifican y comienzan su trabajo; ellos deberían usar estos registros para garantizar que se enfocan en las áreas clave del SGSI, y así asegurarse que se han probado adecuadamente. 3. Entrene al personal de toda la organización para que sea completamente honesto con los auditores, especialmente acerca de cosas que puedan sentir que no vayan con el estándar. Esto sirve a dos propósitos: muestra las debilidades que se requiera reforzar, además que demuestra a los auditores que se tiene una organización abierta que identifica y maneja los problemas de seguridad de la información. 4. Eduque ese personal que pueda ser más probable de ser entrevistado por los auditores para que les muestren como el sistema que está siendo examinado trabaja realmente y a restringir todo lo que dicen a responder la pregunta específica que les está haciendo el auditor, en lugar de moverse a explicar todo lo demás que no es específico i ajustado al asunto de la pregunta. 5. Críticamente, asegúrese que están completamente involucrados en la auditoría de certificación. Si es necesario, ensaye con el personal administrativo el tipo de preguntas y los tipos de respuestas que se espera den. 6. Esté preparado para argumentar – constructiva y calmadamente, pero si hay asuntos en los cuales siente que el auditor no ha entendido su SGSI o algún aspecto de éste, o se ha malinterpretado el estándar, y es, como resultado el reporte de una no-conformidad (mayor o menor), se debe explicar, calmada y firmemente, porque se cree que se esté en lo correcto.
1 de 62

Guía de implementación iso 27001:2013

Educación

Guía de implementación de la norma ISO 27001.

Juan Fernando Jaramillo
Juan Fernando JaramilloCISO en Gobernación de Antioquia

Recomendados

Iso 27001 por
Iso 27001Iso 27001
Iso 27001Eurohelp Consulting
1.9K vistas30 diapositivas
Iso 27001 2013 por
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
5.6K vistas147 diapositivas
Sistemas de Gestión de Seguridad de la Información por
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información ESET Latinoamérica
25.6K vistas1 diapositiva
Presentación iso 27001 por
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
5.2K vistas8 diapositivas
ISO 27001 cambios 2005 a 2013 por
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
10.7K vistas26 diapositivas
AI04 ISO/IEC 27001 por
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
1.7K vistas138 diapositivas

Más contenido relacionado

La actualidad más candente

Normal de ISO/IEC 27001 por
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Brayan A. Sanchez
829 vistas16 diapositivas
Presentacion SGSI por
Presentacion SGSIPresentacion SGSI
Presentacion SGSIGLORIA VIVEROS
1.4K vistas13 diapositivas
How can the ISO 27701 help to design, implement, operate and improve a privac... por
How can the ISO 27701 help to design, implement, operate and improve a privac...How can the ISO 27701 help to design, implement, operate and improve a privac...
How can the ISO 27701 help to design, implement, operate and improve a privac...Hernan Huwyler, MBA CPA
261 vistas20 diapositivas
Resumo ISO 27002 por
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002Fernando Palma
17.2K vistas8 diapositivas
Iso 27001 por
Iso 27001Iso 27001
Iso 27001Adam Miller
3.2K vistas55 diapositivas
Sample exam information_security_foundation_latin_american_spanish por
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
4.5K vistas40 diapositivas

La actualidad más candente(20)

Normal de ISO/IEC 27001 por Brayan A. Sanchez
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001
Brayan A. Sanchez829 vistas
Presentacion SGSI por GLORIA VIVEROS
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
GLORIA VIVEROS1.4K vistas
How can the ISO 27701 help to design, implement, operate and improve a privac... por Hernan Huwyler, MBA CPA
How can the ISO 27701 help to design, implement, operate and improve a privac...How can the ISO 27701 help to design, implement, operate and improve a privac...
How can the ISO 27701 help to design, implement, operate and improve a privac...
Hernan Huwyler, MBA CPA261 vistas
Resumo ISO 27002 por Fernando Palma
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
Fernando Palma17.2K vistas
Iso 27001 por Adam Miller
Iso 27001Iso 27001
Iso 27001
Adam Miller3.2K vistas
Sample exam information_security_foundation_latin_american_spanish por edu25
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanish
edu254.5K vistas
Cybersecurity Roadmap Development for Executives por Krist Davood - Principal - CIO
Cybersecurity Roadmap Development for ExecutivesCybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for Executives
Krist Davood - Principal - CIO1.3K vistas
Gestion de Seguridad informatica por Carlos Cardenas Fernandez
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez15.1K vistas
2022-Q2-Webinar-ISO_Spanish_Final.pdf por ControlCase
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf
ControlCase388 vistas
Riesgo de ti por Leo Gomez
Riesgo de tiRiesgo de ti
Riesgo de ti
Leo Gomez11.1K vistas
ISO 27001 In The Age Of Privacy por ControlCase
ISO 27001 In The Age Of PrivacyISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of Privacy
ControlCase415 vistas
Asignando roles, responsabilidad y autoridad en la seguridad de la información por PECB
Asignando roles, responsabilidad y autoridad en la seguridad de la informaciónAsignando roles, responsabilidad y autoridad en la seguridad de la información
Asignando roles, responsabilidad y autoridad en la seguridad de la información
PECB 6.3K vistas
ISO 27001 2002 Update Webinar.pdf por ControlCase
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdf
ControlCase1.6K vistas
Iso 27001 gestion de riesgos por Primala Sistema de Gestion
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
Primala Sistema de Gestion4.4K vistas
ISO 27001 Awareness/TRansition.pptx por Dr Madhu Aman Sharma
ISO 27001 Awareness/TRansition.pptxISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptx
Dr Madhu Aman Sharma1.4K vistas
Curso SGSI por José María Apellidos
Curso SGSICurso SGSI
Curso SGSI
José María Apellidos7.2K vistas
NIST Cybersecurity Framework 101 por Erick Kish, U.S. Commercial Service
NIST Cybersecurity Framework 101 NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101
Erick Kish, U.S. Commercial Service4.8K vistas
Iso 27001 interpretación introducción por Maria Jose Buigues
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
Maria Jose Buigues3.7K vistas
SOC2 Intro and Mindfulness por EmilyGladstoneCole
SOC2 Intro and MindfulnessSOC2 Intro and Mindfulness
SOC2 Intro and Mindfulness
EmilyGladstoneCole96 vistas
Cobit5 presentación por e-auditoria.org | Eduardo Ledesma & Asoc.
Cobit5 presentaciónCobit5 presentación
Cobit5 presentación
e-auditoria.org | Eduardo Ledesma & Asoc.3.1K vistas

Destacado

Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos por
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
4.4K vistas44 diapositivas
Iso 27001 2013 por
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Yango Alexander Colmenares
8.1K vistas20 diapositivas
Seguridad y auditoria informatica, iso 17799 por
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
20.3K vistas18 diapositivas
ISO/IEC 27001:2013 An Overview por
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
40K vistas7 diapositivas
Certificacion Iso 27001 isec-segurity por
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-seguritySecurinf.com Seguridad Informatica - Tecnoweb2.com
2.5K vistas59 diapositivas
Norma iso 17799 por
Norma iso 17799Norma iso 17799
Norma iso 17799Freddy Fernando Cajamarca Sarmiento
9.8K vistas16 diapositivas

Destacado(10)

Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos por Gonzalo de la Pedraja
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Gonzalo de la Pedraja4.4K vistas
Iso 27001 2013 por Yango Alexander Colmenares
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Yango Alexander Colmenares8.1K vistas
Seguridad y auditoria informatica, iso 17799 por Iestp Instituto Superior
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior 20.3K vistas
ISO/IEC 27001:2013 An Overview por Ahmed Riad .
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview
Ahmed Riad .40K vistas
Certificacion Iso 27001 isec-segurity por Securinf.com Seguridad Informatica - Tecnoweb2.com
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
Securinf.com Seguridad Informatica - Tecnoweb2.com2.5K vistas
Norma iso 17799 por Freddy Fernando Cajamarca Sarmiento
Norma iso 17799Norma iso 17799
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento9.8K vistas
Caso práctico implantación iso 27001 por ascêndia reingeniería + consultoría
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
ascêndia reingeniería + consultoría13K vistas
PROPUESTA PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD E HIGI... por AsForGod C.A
PROPUESTA PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD E HIGI...PROPUESTA PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD E HIGI...
PROPUESTA PARA LA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD E HIGI...
AsForGod C.A 162.6K vistas
Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017 por NVIDIA
Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017
Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017
NVIDIA17K vistas
Top 5 Deep Learning and AI Stories - October 6, 2017 por NVIDIA
Top 5 Deep Learning and AI Stories - October 6, 2017Top 5 Deep Learning and AI Stories - October 6, 2017
Top 5 Deep Learning and AI Stories - October 6, 2017
NVIDIA1.8M vistas

Similar a Guía de implementación iso 27001:2013

JACHV(UNAH-VS)-COMPRENDER iso 27001 por
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001jhony alejandro
90 vistas21 diapositivas
Sistema de gestion de la informacion heidy villatoro por
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroHeissel21
119 vistas20 diapositivas
Presentación sgsi janethpiscoya por
Presentación sgsi janethpiscoyaPresentación sgsi janethpiscoya
Presentación sgsi janethpiscoyaProf. Janeth Piscoya
2.2K vistas19 diapositivas
UNE-ISO/IEC 27001 por
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001Zenia Castro
245 vistas10 diapositivas
Claconsi 2012 bsi-lecciones aprendidas sgsi por
Claconsi 2012 bsi-lecciones aprendidas sgsiClaconsi 2012 bsi-lecciones aprendidas sgsi
Claconsi 2012 bsi-lecciones aprendidas sgsiMaricarmen García de Ureña
698 vistas23 diapositivas
Seguridad De La InformacióN por
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
885 vistas15 diapositivas

Similar a Guía de implementación iso 27001:2013(20)

JACHV(UNAH-VS)-COMPRENDER iso 27001 por jhony alejandro
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001
jhony alejandro90 vistas
Sistema de gestion de la informacion heidy villatoro por Heissel21
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoro
Heissel21119 vistas
Presentación sgsi janethpiscoya por Prof. Janeth Piscoya
Presentación sgsi janethpiscoyaPresentación sgsi janethpiscoya
Presentación sgsi janethpiscoya
Prof. Janeth Piscoya2.2K vistas
UNE-ISO/IEC 27001 por Zenia Castro
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
Zenia Castro245 vistas
Claconsi 2012 bsi-lecciones aprendidas sgsi por Maricarmen García de Ureña
Claconsi 2012 bsi-lecciones aprendidas sgsiClaconsi 2012 bsi-lecciones aprendidas sgsi
Claconsi 2012 bsi-lecciones aprendidas sgsi
Maricarmen García de Ureña698 vistas
Seguridad De La InformacióN por martin
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
martin885 vistas
Norma iso 27001 por Fabiola_Escoto
Norma iso 27001Norma iso 27001
Norma iso 27001
Fabiola_Escoto626 vistas
Auditoria inf. por Fer22P
Auditoria inf.Auditoria inf.
Auditoria inf.
Fer22P640 vistas
Implantacion sgsi iso27001 por ITsencial
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
ITsencial513 vistas
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA por Gestión de la Calidad de UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Gestión de la Calidad de UTN BA3.2K vistas
SGSI - Seguridad Informatica por Ramón Segura Garijo
SGSI - Seguridad InformaticaSGSI - Seguridad Informatica
SGSI - Seguridad Informatica
Ramón Segura Garijo49 vistas
Norma iso 27000 por Carlos Pineda Pinto
Norma iso 27000Norma iso 27000
Norma iso 27000
Carlos Pineda Pinto74 vistas
Seguridad De La Información por ferd3116
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
ferd311685 vistas
Metodología implantación y certificación de PyMEs en ISO-27001 por Alejandro Corletti Estrada
Metodología implantación y certificación de PyMEs en ISO-27001Metodología implantación y certificación de PyMEs en ISO-27001
Metodología implantación y certificación de PyMEs en ISO-27001
Alejandro Corletti Estrada2.9K vistas
Dumar resumen analitico investigativo sobre el iso 27005 por ffffffffe23
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005
ffffffffe232.8K vistas
Resumen de sgsi por Geybi Sabillon
Resumen de sgsiResumen de sgsi
Resumen de sgsi
Geybi Sabillon402 vistas
Sistema de gestión de la seguridad de la informacion por Darwin Calix
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Darwin Calix46 vistas
Presentación 1 por Fabián González Araya
Presentación 1Presentación 1
Presentación 1
Fabián González Araya84 vistas
Presentación politicas juan jose mejia por jjm5212
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
jjm521255 vistas
Introduccion iso27001 por Juan Fernando Jaramillo
Introduccion iso27001Introduccion iso27001
Introduccion iso27001
Juan Fernando Jaramillo710 vistas

Último

Clases y formación de palabras. por
Clases y formación de palabras. Clases y formación de palabras.
Clases y formación de palabras. gemaclemente
25 vistas8 diapositivas
GUIA SERVICIO COMUNITARIO por
GUIA SERVICIO COMUNITARIOGUIA SERVICIO COMUNITARIO
GUIA SERVICIO COMUNITARIOJULIANELOYCARNEIROMA1
22 vistas43 diapositivas
Estrategias y Recursos en el Aula Ccesa.pdf por
Estrategias y Recursos en el Aula Ccesa.pdfEstrategias y Recursos en el Aula Ccesa.pdf
Estrategias y Recursos en el Aula Ccesa.pdfDemetrio Ccesa Rayme
268 vistas119 diapositivas
DESERCIÓN ESCOLAR.pptx por
DESERCIÓN ESCOLAR.pptxDESERCIÓN ESCOLAR.pptx
DESERCIÓN ESCOLAR.pptxrecwebleta
49 vistas6 diapositivas
Semana 4.pptx por
Semana 4.pptxSemana 4.pptx
Semana 4.pptxValdezsalvadorMayleM
50 vistas9 diapositivas
Semana 3.pdf por
Semana 3.pdfSemana 3.pdf
Semana 3.pdfValdezsalvadorMayleM
101 vistas7 diapositivas

Último(20)

Clases y formación de palabras. por gemaclemente
Clases y formación de palabras. Clases y formación de palabras.
Clases y formación de palabras.
gemaclemente25 vistas
GUIA SERVICIO COMUNITARIO por JULIANELOYCARNEIROMA1
GUIA SERVICIO COMUNITARIOGUIA SERVICIO COMUNITARIO
GUIA SERVICIO COMUNITARIO
JULIANELOYCARNEIROMA122 vistas
Estrategias y Recursos en el Aula Ccesa.pdf por Demetrio Ccesa Rayme
Estrategias y Recursos en el Aula Ccesa.pdfEstrategias y Recursos en el Aula Ccesa.pdf
Estrategias y Recursos en el Aula Ccesa.pdf
Demetrio Ccesa Rayme268 vistas
DESERCIÓN ESCOLAR.pptx por recwebleta
DESERCIÓN ESCOLAR.pptxDESERCIÓN ESCOLAR.pptx
DESERCIÓN ESCOLAR.pptx
recwebleta49 vistas
Semana 4.pptx por ValdezsalvadorMayleM
Semana 4.pptxSemana 4.pptx
Semana 4.pptx
ValdezsalvadorMayleM50 vistas
Semana 3.pdf por ValdezsalvadorMayleM
Semana 3.pdfSemana 3.pdf
Semana 3.pdf
ValdezsalvadorMayleM101 vistas
Recreos musicales.pdf por arribaletur
Recreos musicales.pdfRecreos musicales.pdf
Recreos musicales.pdf
arribaletur143 vistas
Plan analítico en la NEM (2).pptx por Norberto Millán Muñoz
Plan analítico en la NEM (2).pptxPlan analítico en la NEM (2).pptx
Plan analítico en la NEM (2).pptx
Norberto Millán Muñoz186 vistas
Proteinas 2023.pdf por IES Vicent Andres Estelles
Proteinas 2023.pdfProteinas 2023.pdf
Proteinas 2023.pdf
IES Vicent Andres Estelles31 vistas
Contenidos y PDA 6° Grado.docx por Norberto Millán Muñoz
Contenidos y PDA 6° Grado.docxContenidos y PDA 6° Grado.docx
Contenidos y PDA 6° Grado.docx
Norberto Millán Muñoz61 vistas
5°_GRADO_-_ACTIVIDAD_DEL_24_DE_NOVIEMBRE.doc por josetejada220380
5°_GRADO_-_ACTIVIDAD_DEL_24_DE_NOVIEMBRE.doc5°_GRADO_-_ACTIVIDAD_DEL_24_DE_NOVIEMBRE.doc
5°_GRADO_-_ACTIVIDAD_DEL_24_DE_NOVIEMBRE.doc
josetejada22038023 vistas
2324_s3_Orientaciones_Tercera_Sesion_Preescolar_Primaria_Secundaria.pdf por Norberto Millán Muñoz
2324_s3_Orientaciones_Tercera_Sesion_Preescolar_Primaria_Secundaria.pdf2324_s3_Orientaciones_Tercera_Sesion_Preescolar_Primaria_Secundaria.pdf
2324_s3_Orientaciones_Tercera_Sesion_Preescolar_Primaria_Secundaria.pdf
Norberto Millán Muñoz202 vistas
Narrar historias a través de mapas digitales: Story Maps. El proyecto BIOMAPS por Isaac Buzo
Narrar historias a través de mapas digitales: Story Maps. El proyecto BIOMAPSNarrar historias a través de mapas digitales: Story Maps. El proyecto BIOMAPS
Narrar historias a través de mapas digitales: Story Maps. El proyecto BIOMAPS
Isaac Buzo263 vistas
Inteligencia Artificial en las aulas por Lorena Fernández
Inteligencia Artificial en las aulasInteligencia Artificial en las aulas
Inteligencia Artificial en las aulas
Lorena Fernández59 vistas
Tema 6 (anexo 04).- NPS.pdf por Daniel Ángel Corral de la Mata, Ph.D.
Tema 6 (anexo 04).- NPS.pdfTema 6 (anexo 04).- NPS.pdf
Tema 6 (anexo 04).- NPS.pdf
Daniel Ángel Corral de la Mata, Ph.D.27 vistas
CONVERSACIONES SAN ESTEBAN 23-24 por San Esteban Comunicación Dominicos de Salamanca
CONVERSACIONES SAN ESTEBAN 23-24CONVERSACIONES SAN ESTEBAN 23-24
CONVERSACIONES SAN ESTEBAN 23-24
San Esteban Comunicación Dominicos de Salamanca168 vistas
expresion algebraica.pdf por WilkerlySoto
expresion algebraica.pdfexpresion algebraica.pdf
expresion algebraica.pdf
WilkerlySoto24 vistas
Concepto de determinación de necesidades.pdf por LauraJuarez87
Concepto de determinación de necesidades.pdfConcepto de determinación de necesidades.pdf
Concepto de determinación de necesidades.pdf
LauraJuarez8729 vistas
Muestra Anual de Literatura Clásica y Latín.pptx por María Roxana
Muestra Anual de Literatura Clásica y Latín.pptxMuestra Anual de Literatura Clásica y Latín.pptx
Muestra Anual de Literatura Clásica y Latín.pptx
María Roxana108 vistas
Ác. nucleicos 2023.pdf por IES Vicent Andres Estelles
Ác. nucleicos 2023.pdfÁc. nucleicos 2023.pdf
Ác. nucleicos 2023.pdf
IES Vicent Andres Estelles31 vistas

Guía de implementación iso 27001:2013

  • 1. Gestión Estratégica GUÍA DE IMPLEMENTACIÓN ISO 27001
  • 2. Agenda 1. Aproximación inicial 2. Soporte Administrativo 3. Alcance 4. Planeación 5. Comunicación 6. Evaluación de Riesgos 7. Selección de Controles 8. Documentación 9. Pruebas 10. Certificación Exitosa
  • 3. Aproximación Inicial La preparación de una implementación exitosa implica cuatro factores: 1. Conocimiento – y ser capaz de comunicarlo claramente – porque la seguridad de la información es importante para cualquier organización y, particularmente la suya, 2. Saber específicamente porque ISO 27001 es la forma correcta de proporcionar seguridad a la información – y que esto también significa tener un conocimiento base del estándar y como funciona, 3. Saber como se va a estructurar el proyecto, cuales son los elementos clave (los que siguen), y porque es la mejor forma de trabajarla, 4. Saber si se van a contratar consultores o lo va a hacer usted mismo, y los pros y contras de ambas.
  • 4. Que es la gestión de la seguridad? • El sistema de gestión de la seguridad de la información (SGSI) es la parte del sistema de gestión global basada en un enfoque de riesgos del negocio, para: – Implementar, operar, monitorear, mantener y mejorar la seguridad de la información.
  • 5. Modelo PHVA • Definir la política de • Adoptar acciones correctivas seguridad • Adoptar acciones • Establecer el alcance del preventivas SGSI • Adoptar acciones de mejora • Realizar análisis de riesgos • Seleccionar los controles Planear Hacer Actuar Verificar • Implantar el SGSI • Revisar la eficacia de los • Implantar los controles controles • Implantar indicadores • Realizar auditorías internas del SGSI • Revisiones del sistema por parte de la dirección
  • 6. Alcance del SGSI • Descripción de la empresa • Delimitación del alcance • Descripción de la organización dentro de la empresa
  • 7. Política de Seguridad de la Información • Establecer anualmente objetivos con relación a la Seguridad de la Información • Complimiento de requisitos legales en materia de seguridad de la información • Realizar el análisis de riesgo
  • 8. Identificación y valoración de activos 1. Identificación de dueños de activos de la información 2. Identificación de procesos/procedimientos 3. Identificación y clasificación de activos 4. Agrupamiento de activos (tipo-cliente-ubicación) 5. Valoración de los activos 6. Valoración de los grupos
  • 9. ISO/IEC 17799:2005 • La seguridad de la información es un asunto de negocios, no uno de tecnología. • Se trata de asegurar la disponibilidad, confidencialidad e integridad de la información de la organización. • La introducción de la ISO/IEC 17799:2005 dice que ‘es la protección de la información de una variedad de amenazas con el objetivo de garantizar la continuidad del negocio, minimizar el daño y maximizar el retorno de la inversión y las oportunidades de negocios, además que es una herramienta útil para mantener una ventaja competitiva, un flujo de caja, rentabilidad, cumplimiento legal y regulatorio y una imagen comercial.
  • 10. Riesgos de Información y Riesgos Regulatorios • El propósito de un sistema de gestión de seguridad de la información es el de reducir y controlar los riesgos a la seguridad de la información. • Su organización necesita entender entonces, de una manera visceral, como se relacionan estos riesgos con sus operaciones.
  • 11. Soporte Administrativo Guía de Implementación de ISO27001
  • 12. Soporte Administrativo • La implementación exitosa de un SGSI depende absolutamente de que el proyecto tenga todo el apoyo desde la gerencia administrativa del negocio.
  • 13. Alineación estratégica • La primera razón de porque el CEO debe apoyar completamente el proyecto de SGSI es que este es un proyecto de negocio, y no solamente un proyecto de TI. • El compromiso de la alta gerencia significa que el proyecto obtenga los recursos (financieros y humanos) que requiere.
  • 14. Administración de Cambios • Un proyecto exitoso de implementación de un SGSI es, en otras palabras, de bajo perfil, pero sin embargo es un proyecto que administra todos los cambios de la organización de una manera aplica y la forma en que la organización tiene que aprender de la experiencia de los programas de administración de cambios exitosos.
  • 15. El rol del CEO • El CEO necesita estar completamente al tanto de los problemas estratégicos relacionados con el gobierno de TI y de seguridad de la información y el valor para la compañía de una certificación exitosa. • La cláusula 5.1 de el estándar específicamente requiere evidencia de este compromimo desde la alta gerencia.
  • 16. El compromiso del CEO • Cualquiera sea la procedencia del mensaje, sea interno o por medio de consultores externos, es necesario explicar que el soporte activo y comprometido es esencial al proyecto, es necesario explicar porque (razones abajo), y se necesita especificar lo que este implica. 1. Que el CEO personalmente aplica al entender los beneficios de negocio que persiguen la estrategia de seguridad de la información, y el retorno de la inversión que este proyecto traera a la organización. 2. Que el CEO organizará una presentación a la Junta Directiva sobre la estrategia de seguridad de la información, incluyendo la certificación del SGSI en las metas de negocio para el año, asegurando el soporte de la misma para lograr el objetivo. 3. Y organiza un monitoreo de el progreso del proyecto (el cual asegurara que el proyecto logre y mantenga su naturaleza política que mejorara las probabilidades de éxito del mismo) mediante su ciclo de vida. 4. Que el CEO personalmente organizará la presentación del proyecto a el grupo de directivos de la organización así como también a todo el personal en cada foro organizacional que es usado para la comunicación del personal. 5. El CEO debe nominar a alguno de sus altos ejecutivos para soportar el proyecto y liderar el Comité de Seguridad, para proporcionar soporte y respaldo día a día, y para liderar los esfuerzos de administración de cambios. Y que esta persona tiene que estar comprometido con el éxito del proyecto, y preparado para hacer lo que sea necesario para que este tenga éxito. 6. Que el CEO claramente especifique – para la junta directiva y para cualquiera en la organización – la prioridad de este proyecto, y la autoridad para involucrar aquellos quienes deben contribuir al éxito de este proyecto. 7. Que el CEO pone ejemplo personal aplicando todas las prácticas y siguiendo todos los procedimientos que hacen parte del nuevo SGSI.
  • 17. Soporte de Gerencia Administrativa • Un proyecto de un SGSI cruza transversalmente todas las áreas de la organización, y por consiguiente, es necesario estar seguro cuales son los líderes clave al interior de la misma. 1. El Comité de Seguridad puede ser liderado tanto por el CEO como por alguien que haya sido nominado por el CEO y debe ser de un grupo orientado a los negocios de la organización. Este grupo debe incluir algunos individuos que pueden ser reacios al proyecto, y que, si es posible, se les den responsabilidades clave de liderar el éxito del proyecto. Finalmente, se debe resaltar la importancia de que este grupo no tenga una preponderancia de gente perteneciente al área de TI o personal técnico – el proyecto debe verse como un proyecto del negocio, no solo uno de TI. 2. El CEO debe hacer la presentación inicial del Comité de Seguridad, y la presentación debería enfocarse en los riesgos de seguridad que enfrenta la organización, y en los impactos potenciales para la organización en el caso de una falla en la implementación de la seguridad apropiado, y debería ajustar la categorización relativa y la importancia que tiene el proyecto.
  • 19. Alcance • La cláusula 4.2.1b de ISO27001 define claramente los componentes de la política del SGSI. • La política debe ser aprobada por el comité. • Su alcance (4.2.1ª), y la política en sí, debe tener en cuenta las características del negocio, su organización, localización, activos y tecnología. • La política debe incluir un marco de trabajo para ajustar los objetivos de la política y establecer el sentido general de su dirección. • Debe tener en cuenta los requisitos legales, de negocios, regulatorios y contractuales de seguridad. • El alcance es esencial para cualquier organización de cualquier tamaño: se debe decidir cuales activos de información se van a proteger – y cuales no – antes de decidir en su protección adecuada. • Se debe ser categórico en definir que va a estar dentro de la fortaleza de seguridad y que va a quedar por fuera, y esto significa que no se desea que ningún sistema de información, dispositivo o unidad de negocios quede a ambos lados – ya que este sería en enlace más débil.
  • 20. Seguridad de Punto Final • La decisión del alcance necesita incluir todos los dispositivos de información que la gente usa para realizar su trabajo – tales como celulares, tabletas, PDAs, portátiles inalámbricos, equipos de escritorio etc. – así como también los sistemas de oficina centrales mas obvios – contabilidad, nómina, producción, ventas y manejo de ordenes, correo electrónico, ofimática, etc. -. • Pare de la razón del sistema de seguridad de la información es el de asegurar que se está en cumplimiento con una gran variedad de leyes y regulaciones, así que tiene sentido para la entidad que tiene estas obligaciones de cumplimiento estar completamente definidas en el alcance del proyecto de seguridad de la información. • Se debe tener presente que un SGSI es un sistema administrativo, una estructura formal que administra desarrollos para asegurar que su política de seguridad de la información es aplicada consistentemente a través de la organización.
  • 21. Definición de Límites • Típicamente, los límites son identificables lógica y físicamente. • Los límites deben ser identificados en términos de la organización, o parte de la organización, que debe ser protegida, cuales redes y cuales datos, y en que ubicaciones geográficas. • Organizaciones de múltiples sitios o virtuales necesitan considerar cuidadosamente los diferentes requisitos de seguridad de sus diferentes sitios y las implicaciones administrativas de estos. • El proceso de diseño e implementación de un SGSI es usualmente simple cuando incluye completamente a la organización para la cual la junta o el equipo gerencial tiene responsabilidades definidas.
  • 22. Mapeo de la Red • El mapa inicial que se dibuja ayuda a hacer el ejercicio de alcance inicial, el cual necesita ser extendido como parte de un proyecto detallado en fase de planeación para asegurarse que todos los aspectos de los sistemas de información han sido identificados. • El mapa de la infraestructura debería también integrarse con la lista de activos de tecnología (los cuales conformaran la base de la evaluación de riesgos) y deberían ser un documento vivo, el cual es actualizado a medida que cambia la red.
  • 24. Planeación • Para los propósitos de la implementación de un SGSI, la ‘planeación’ incluye el manejo de temas como el desarrollo de consultores, como se administrará el proyecto, que tantos sistemas de administración serán integrados, y la identificación de las responsabilidades claves y requisitos de recursos a través del ciclo de vida del proyecto.
  • 25. Aproximación estructurada a la implementación (1) • Planee a) Defina el alcance del SGSI b) Defina la política de seguridad de la información c) Defina una aproximación sistemática de evaluación de riesgos d) Realice la evaluación de riesgos para identificar, dentro del contexto de la política y el alcance del SGSI, los activos importantes de información de la organización y los riesgos de éstos e) Evalúe los riesgos f) Identifique y evalúe opciones para el tratamiento de estos riesgos g) Seleccione, para cada aproximación, los objetivos de control y los controles que serán implementados h) Prepare una Declaración de Aplicabilidad (SoA)
  • 26. Aproximación estructurada a la implementación (2) • Haga a) Formulación del plan de tratamiento de riesgos, y su documentación, incluyendo los procesos planeados y los procedimientos detallados b) Implementación de un plan de tratamiento de riesgos y controles planeados c) Entrenamiento apropiado para el personal afectado, así como también programas de prevención d) Manejo de operaciones y recursos en línea con el SGSI e) Implementación de procedimientos que le permiten un aviso temprano de la detección, y respuesta a, incidentes de seguridad
  • 27. Aproximación estructurada a la implementación (3) • Chequee – La etapa de chequeo es, esencialmente, solo un paso, sin embargo contiene un conjunto de pasos subsidiarios: • Monitoreo • Revisión • Pruebas • Auditoría
  • 28. Aproximación estructurada a la implementación (4) • Actúe – Los resultados de las pruebas y auditorías deben ser revisados por la administración, así como también el SGSI, a la luz de el ambiente cambiante de riesgos, la tecnología u otras circunstancias; las mejoras a el SGSI deben ser identificadas, documentadas e implementadas. – Posteriormente, deben ser sujetas de una revisión constante, pruebas posteriores y mejoramiento de implementación, en un proceso conocido como ‘mejoramiento continuo’
  • 29. Integración con los sistemas de administración de seguridad existentes • La evaluación de riesgos es un paso crítico; cualquier control implementado antes de una evaluación de riesgos que se haya realizado puede ser deficiente o inapropiado. • También es muy probable que algunos de los controles implementados posteriormente a la terminación de una evaluación de riesgos apropiada puedan ser demasiado robustos, y por ende no son costo efectivos, y ciertamente no reflejan el estándar o la guía de la ISO 17799; la certificación debe ser tan compleja de lograr con los controles extremadamente robustos así como los débiles. • ISO 27001 necesita asegurarse de que esos controles que se toman son los adecuados y apropiados y que esos controles requeridos adicionales son implementados lo más rápido posible. En otras palabras, un análisis de brecha entre lo que se tiene y lo que se requiere debe ser realizado.
  • 30. Análisis de Brecha • Este análisis de brecha puede ser conducido tanto de arriba abajo como de abajo a arriba. • Un análisis de abajo a arriba empezará recogiendo la información de todos los controles que se tienen actualmente implementados al interior de la organización y entonces evaluar si son o no adecuados contra los requerimientos de la declaración de aplicabilidad de la organización y el estándar. • Una aproximación de arriba abajo empieza por los controles identificados en la declaración de aplicabilidad y evalúa la extensión a cuales ya han sido implementados. • La declaración de aplicabilidad solo estará completa una vez todos los riesgos identificados sean evaluados y la aplicabilidad de todos los controles identificados ha sido considerada y documentada. • Usualmente, la declaración se inicia antes de que es implemente alguno de los controles y completada una vez el control final se pone en marcha.
  • 31. Integración al Sistema de Calidad • El SGSI debe ser integrado con el sistema de aseguramiento de la calidad a su mayor extensión posible. • Particularmente, las cláusulas 4.3 (Documentación), 4.3.2 (Control de documentos) y 4.3.3 (registros) pueden (y deberían) ser cumplidos mediante la aplicación de cualquier requisito de control de documentación existente de un sistema de manejo de ISO 9001. • La aproximación lógica es que la aproximación de la ISO 9000 debe ser adoptada por cualquier organización que implemente un SGSI.
  • 32. Gerencia de Proyectos (1) • El equipo ciertamente debe incluir al menos un gerente de proyectos experimentado, el cual sería el responsable de trazar y reportar el progreso contra los objetivos planeados. • El equipo del proyecto debe reportarle tanto al jefe del comité de dirección o (preferiblemente) al CEO y debe tener la autoridad apropiada delegada para implementar un plan de proyecto para el SGSI aprobada por la junta. (Cláusula 5.1e) • Aparte del gerente responsable de la seguridad de la información y un experto en seguridad de la información entrenado, la representación más crítica será de ventas, operaciones y admiinstración.
  • 33. Gerencia de Proyectos (2) • Director del Equipo del Proyecto – El director necesita, entonces, ser alguien que es capaz de obtener el respeto de todos los miembros del equipo del proyecto.
  • 34. Plan del Proyecto • El plan del proyecto necesita contener y delinear un calendario y una identificación de alto nivel de las responsabilidades, así como también el camino crítico para ser completado. • También debería proporcionar un alcance suficiente para aquellos que tendrán que implementar el plan para encontrar las soluciones apropiadas a los muchos desafíos operacionales que este proyecto tendrá. • Hay un número de razones posibles para esto, incluyendo el deseo del director de TI de no perder el control de la seguridad de TI (particularmente en la acreditación de ISO27001 que se ha definido como una responsabilidad del departamento de TI), el deseo del departamento de TI de mantener su halo de misticismo y miedo de que sus controles puedan ser encontrados como inadecuados. • ISO 27001 requiere que la junta de la organización y la alta dirección tome el control del SGSI y que toda la organización apoye y entienda los aspectos clave de la política de seguridad. • El equipo del proyecto necesitaran un entrenamiento inicial en los principios de ISO 27001, la metodología de cambio y gerencia de proyectos y los principios de las comunicaciones internas. • El director de TI y el personal de TI deberán tener las competencias específicas en Seguridad de la Información y, si esto requiere ser apalancado por entrenamiento, este debe ser realizado por una organización que reconozca y entienda los aspectos técnicos del entrenamiento en ISO 27001.
  • 35. Costos y Monitoreo del Proyecto • Los aspectos clave del progreso del proyecto que deben ser revisados son: 1. Luego de completar el borrador de la declaración de aplicabilidad (SoA). Cualquiera de los costos luego de esto deben ser mínimos, pero, hasta que la Soa defina lo que se requiere hacer, no será posible tener un presupuesto efectivo para la implementación. 2. Luego de la implementación de la parte inicial de los procedimientos que aplican a los controles identificados. 3. Luego de completar el primer ciclo de auditorías del sistema y las revisiones y posterior a la visita inicial del cuerpo de certificación. 4. Anualmente, como parte de la revisión regular del SGSI, para asegurar que el presupuesto esta correctamente aplicado, y que algún asunto de nuevas tecnologías, amenazas y vulnerabilidades estén siendo tenidas en cuenta.
  • 37. Comunicaciones • Las comunicaciones de arriba debajo de la visión de seguridad de la información – porque se requiere el SGSI, cuales son las responsabilidades legales de la organización, como será la percepción del negocio una vez se ha completado el programa y cuales son los beneficios que traerá a todos en la organización. • Reuniones regulares en cascada a todo el personal acerca del progreso sobre los objetivos del plan. • Un mecanismo para asegurar que los factores clave y los individuos en el desarrollo de los componentes clave del sistema. • Un mecanismo para asegurar la retroalimentación regular e inmediata de las personas de la organización, o las organizaciones de tercera parte afectadas, para así tener una aproximación de su experiencia directa del sistema inicial así como su implementación puede ser usada en la evolución de la versión final. • Las comunicaciones frente a frente deberían ser apuntaladas con un sistema para compartir la información efectivo.
  • 38. Comunicaciones (cont.) • Se va a requerir un compromiso simple, fuerte, amplio en toda la organización, de arriba abajo, soportado por un gran número de discusiones en las cuales se ajustará como el proyecto del SGSI mejorará específicamente las circunstancias de negocios para cada persona con la que se habla.
  • 39. Política de Seguridad de la Información • La extensión en la cual se ha tenido éxito en la construcción de un soporte a través de la organización y a través de las funciones para este proyecto se verá reflejado en la facilidad con la cual se va a poder tener un borrador de la política de seguridad de la información y se llega a un acuerdo sobre la misma. • Esta política de seguridad de la información es el conductor principal para el SGSI; ajusta las políticas de la junta, y los requerimientos respecto a la seguridad de la información.
  • 40. Evaluación de Riesgos Guía de implantación de ISO 27001
  • 41. Evaluación de Riesgos • Entender el significado total de este proceso es crítico, y es uno de los procesos claves para el éxito del proyecto. • La junta adopta una política de seguridad de la información debido a que hay un número significativo de riesgos a la disponibilidad, integridad y confidencialidad de la información de la organización. • El punto de partida de cualquier director de proyecto de un SGSI para considerar el riesgo es de aceptar la existencia de funciones para el manejo de riesgos (si es que hay una) dentro de la organización, con el objetivo de entender: a) Su aproximación total a los riesgos. b) Su aproximación específica a los riesgos de seguridad de la información.
  • 42. Introducción de Administración de Riesgos • La administración de riesgos es una disciplina para manejar cualquier riesgo no especulativo, aquellos riesgos en los cuales solo puede ocurrir una pérdida. • Usualmente, la identificación de un riesgo es tanto especulativo o permanentemente refleja el apetito por el riesgo de la organización.
  • 43. Planes de Administración de Riesgos (1) 1. Eliminar Riesgos. 2. Reducir aquellos riesgos que no pueden ser eliminados a un nivel aceptable. 3. Vivir con ellos, ejercitando controles cuidadosos que los mantienen en un nivel aceptable. 4. Transferirlos, mediante el aseguramiento, a algún otra organización.
  • 44. Planes de Administración de Riesgos (2) • Las estrategias de administración de riesgos usualmente están basadas en una evaluación de los beneficios económicos que la organización puede derivar de una inversión en un control particular. • En otras palabras, para cada control que la organización pueda implementar, el cálculo es aquel cuyo costo de implementación puede ser sopesado de los beneficios económicos de los que se pueda derivar, o las pérdidas económicas que puedan ser evitadas como resultado de su implementación. • Una aproximación sistemática a la evaluación de riesgos puede tener en cuenta los requisitos de negocios, legales y regulatorios ubicados en los negocios. • En otras palabras, deben ser conducidas por el negocio. • Los negocios, manejados por su junta de directivos, deben identificar las amenazas a los activos, vulnerabilidades e impactos en la organización y debería determinar el grado de riesgo que la organización esté preparada a aceptar – a la luz de su modelo de negocios, su estrategia de negocios y sus criterios de inversión.
  • 45. Evaluación de Riesgos (1) • La evaluación de riesgos es el ‘estudio sistemático’ de activos, amenazas, vulnerabilidades e impactos a los activos y las probabilidades y consecuencias de dichos riesgos. a) El daño de negocios probable como resultado de un rango de fallas de negocios. b) La probabilidad realística de dichas fallas si ocurren. • La complejidad de una evaluación de riesgos dependerá de la complejidad de la organización y los riesgos que se están analizando.
  • 46. Evaluación de Riesgos (2) • Análisis de Riesgos – El análisis cualitativo de riesgos es de lejos el mas usado ampliamente (y es la aproximación esperada por ISO 27001). – El análisis de riesgos empieza con la identificación de los activos que están dentro del alcance del SGSI propuesto, debido a que estos activos son los que están ‘en riesgo’. – Todas las entradas individuales en el análisis reflejarán el prejuicio individual, y así el proceso de recolección de información debería cuestionar las entradas para establecer que es lo que en realidad se sabe – y que no se sabe.
  • 47. Amenazas • Una amenaza es algo que puede ir mal o que puede atacar un activo. • Pueden ser tanto internas como externas. • Las amenazas siempre están presentes para cada sistema o activo – debido a que es valioso para su dueño, o será disponible para alguien más. • Para cada uno de los activos, las amenazas deberían ser consideradas bajo la luz de los encabezados de confidencialidad, integridad y disponibilidad.
  • 48. Vulnerabilidades • Las vulnerabilidades dejan un sistema expuesto a un ataque por una amenaza o permiten que un ataque sea exitoso o que tenga un mayor impacto.
  • 49. Impacto • Identificar los posibles impactos que la explotación exitosa de una vulnerabilidad por una amenaza tendría en la integridad, confidencialidad y disponibilidad de un activo (análisis de impacto). • Evalúa la probabilidad de que el evento ocurra, usando un sistema de clasificación tal como: una vez cada ciertos años, una vez al año, una vez cada seis meses, etc. • Los ataques por virus por ejemplo pueden caer en la categoría de ‘Todos los días’.
  • 50. Controles • El punto clave para tener en cuenta acerca de la evaluación de riesgos es que no es un ejercicio de solo una vez. • Se necesitará repetirlo en una base regular, solo chequear la línea base de la evaluación es aún preciso, y aquellos controles que se han desplegado sean aún apropiados.
  • 51. Selección de Controles Guía de implantación de ISO 27001
  • 52. Tipos de Controles 1. Los controles disuasorios reducen la probabilidad de un ataque deliberado. 2. Los controles preventivos protegen vulnerabilidades y hacen que los ataques no tengan éxito o reducen su impacto. 3. Los controles correctivos reducen el efecto de un ataque. 4. Los controles detectivos descubren ataques y disparan controles preventivos o correctivos.
  • 53. Criterio de Selección de Controles • El principio consiste en que el costo de implementación y mantenimiento de un control no debe ser mayor que el costo identificado y cuantificado del impacto de la amenaza (o amenazas) identificadas. • Ninguna organización debe invertir en tecnologías de seguridad de la información (hardware o software) o implementar procesos y procedimientos de administración de seguridad de la información sin antes no haber realizado una evaluación de riesgos y controles que les asegure que: – La inversión propuesta (el costo total del control) es el mismo que, o menor que, el costo del impacto de la amenaza identificada. – La clasificación de riesgos, la cual tiene en cuenta su probabilidad, su apropiación de la inversión propuesta, y – La prioridad del riesgo – por ejemplo, todos los riesgos con priorizaciones mayores ya han sido apropiadamente controlados y, entonces, es ahora apropiado invertir en los controles para éste.
  • 54. Declaración de Aplicabilidad (SoA) • La SoA es, en esencia, una lista de los controles identificados en el Anexo A de ISO 27001:2005 en conjunto con su declaración sea que el control se aplique o no a la organización. • La SoA describe como es aplicada e identifica las políticas y procedimientos a través de los cuales es aplicado, la SoA explica porque no es aplicado, y proporciona razones claras y concisas.
  • 56. Documentación • ISO 27001 describe la documentación mínima que debe ser incluida en el SGSI (para cumplir con los requisitos del estándar de que la organización mantiene los registros suficientes para demostrar el cumplimiento con los requerimientos del estándar). Estos documentos incluyen: – La política de seguridad de la información, la declaración del alcance del SGSI, la evaluación de riesgos, los objetivos de control y la declaración de aplicabilidad. En conjunto, estos forman el manual de políticas del SGSI. – Evidencia de las acciones tomadas por la organización y su gerencia para especificar el alcance del SGSI (las minutas de la junta y las reuniones del comité de dirección, así como también algunos reportes de especialistas). – Una descripción de la plataforma administrativa (comité de dirección, etc.). Esto podría ser útil si se relaciona con un gráfico de la estructura organizacional. – El plan de tratamiento de riesgos y los procedimientos documentados relacionados (los cuales pueden incluir las responsabilidades y las acciones requeridas) que implementan cada uno de los controles específicos. Un procedimiento describe quien ha hecho que, bajo que condiciones, o para cuando, y como. Estos procedimientos (que podrían ser uno para cada uno de los controles implementados) serían parte del manual de políticas el cual, en sí mismo, puede estar en formato impreso o electrónico. – Los procedimientos (los cuales pueden incluir responsabilidades y acciones requeridas) que gobiernan la administración y revisión del SGSI. Estos pueden ser parte del manual de políticas.
  • 57. Cuatro niveles de documentación • En términos prácticos, hay cuatro niveles de documentación de un SGSI, y cada nivel tiene diferentes características, incluyendo acerca de quien está autorizado a tomar decisiones relacionadas con revisiones a estos. Los cuatro niveles son: 1. La política aprobada por la junta corporativa, la cual dirige todos los otros aspectos del SGSI. 2. La declaración de aplicabilidad y las políticas individuales (estableciendo, por instancias, que constituye el uso aceptable de la Internet) 3. Procedimientos detallados, que describen quien es responsable de hacer que y en que orden. 4. Instrucciones de Operaciones/Trabajo, que determinan precisamente en detalle como cada una de las tareas identificadas son realizadas. • La cantidad de trabajo se incrementa a medida que se desciende por los cuatro niveles; el nivel mas demandante en términos de tiempo, es producir el cuarto nivel – aún si es esencialmente la documentación de los métodos existentes de realizar actividades específicas – una vez, estos han sido formados en línea con los requisitos de control.
  • 59. Pruebas • Un SGSI debe trabajar en el mundo real. • Se han identificado los riesgos, se ha desplegado lo que se considera ser los controles apropiados, y se quiere estar seguro de dos cosas: – Que los controles trabajan como debe ser – Y que cuando se ven abrumados (y tarde o temprano lo serán), sus medidas de contra emergencia funcionarán
  • 60. Tipos de Pruebas • Auditoría directa: la que involucra a un auditor entrenado que realiza un procedimiento documentado y solicita se le demuestre que lo que se describe en el procedimiento es efectivamente lo que pasa. • ‘Prueba de Papel’: Este es un ejercicio intelectual, que requiere más de una persona, y que requiere familiaridad con las vulnerabilidades del activo, los mecanismos de control y los mecanismos de tratamiento de las amenazas potenciales. • Prueba de la vida real limitada: Esta, por ejemplo, involucrara apagar el cuarto de servidores durante las operaciones normales, para observar si el sistema UPS y los procedimientos de apagado del servidor funcionan como es especificado. • Prueba de gran escenario: usualmente usado para probar planes de continuidad de negocios. • Se necesitará programas las auditorías y pruebas para que, en el curso del año, todos los aspectos del SGSI estén cubiertos.
  • 61. Certificación Exitosa Guía de implantación de ISO 27001
  • 62. Certificación 1. Asegúrese que la documentación este completa, comprensible y totalmente disponible para la inspección – en la visita inicial, que se presenta antes de la auditoría de certificación. 2. Asegúrese que toda su auditoría interna y los registros de pruebas están inmediatamente disponibles para los auditores de certificación cuando planifican y comienzan su trabajo; ellos deberían usar estos registros para garantizar que se enfocan en las áreas clave del SGSI, y así asegurarse que se han probado adecuadamente. 3. Entrene al personal de toda la organización para que sea completamente honesto con los auditores, especialmente acerca de cosas que puedan sentir que no vayan con el estándar. Esto sirve a dos propósitos: muestra las debilidades que se requiera reforzar, además que demuestra a los auditores que se tiene una organización abierta que identifica y maneja los problemas de seguridad de la información. 4. Eduque ese personal que pueda ser más probable de ser entrevistado por los auditores para que les muestren como el sistema que está siendo examinado trabaja realmente y a restringir todo lo que dicen a responder la pregunta específica que les está haciendo el auditor, en lugar de moverse a explicar todo lo demás que no es específico i ajustado al asunto de la pregunta. 5. Críticamente, asegúrese que están completamente involucrados en la auditoría de certificación. Si es necesario, ensaye con el personal administrativo el tipo de preguntas y los tipos de respuestas que se espera den. 6. Esté preparado para argumentar – constructiva y calmadamente, pero si hay asuntos en los cuales siente que el auditor no ha entendido su SGSI o algún aspecto de éste, o se ha malinterpretado el estándar, y es, como resultado el reporte de una no-conformidad (mayor o menor), se debe explicar, calmada y firmemente, porque se cree que se esté en lo correcto.