El documento proporciona una guía para implementar un sistema de gestión de seguridad de la información (SGSI) para pymes. Explica que es necesario determinar el alcance del SGSI en función a la misión y visión de la empresa, identificar y gestionar los activos de información, evaluar los riesgos, aplicar controles básicos de seguridad, implementar métricas, evaluar procesos y controles, informar sobre los resultados e impulsar la mejora continua.
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
Seguridad PYMES
1. SEGURIDAD DE LA
INFORMACIÓN PARA PYMES
Israel Aráoz Severiche
Profesional en seguridad de la Información
https://medium.com/@iaraoz
https://twitter.com/iara0z
https://bo.linkedin.com/in/iaraoz
iaraoz@tarsecurity.com
2. AGENDA
• ¿Por donde comenzar?
• 4 aspectos claves en la implementación de un SGSI
según la norma ISO/IEC 27001:2013
• Planificar
• Operación
• Evaluar
• Mejorar
• Resumen
• Recursos
3. RESUMEN
Profesional : Ing. De Sistemas, Especialidad en Seguridad
Informática
Certificaciones : LA ISO/IEC 27001:2013 PECB, AI SO/IEC
27001:2013 TÜV,LI ISO 22301:2012 PECB, CEHv8 y CHFIv8 de EC-
Council
Autor del Libro : Implementación ISO/IEC 27001:2013: Un enfoque
práctico
Expositor : en conferencias de seguridad en Bolivia, Guatemala y
Chile
Experiencia : mas de 10 años de experiencia como consultor en
seguridad de la información para Guatemala, Bolivia. Oficial de
Seguridad de la Información en el sector de Hidrocarburos
(Empresa certificada con la ISO/IEC 27001:2013)
Fundador de https://www.tarsecurity.com
4. Gestión
“Lo que no se define no se puede medir. Lo
que no se mide, no se puede mejorar. Lo que
no se mejora, se degrada siempre”
Lord Kelvin
5. ¿POR DONDE COMENZAR?
Misión y Visión de la empresa
Procesos de Negocio, Recurso Humano
Servicios de tecnología, Información
Procesos
Empresa
Tecnología
6. 4 ASPECTOS CLAVES
C o n t e x t o d e l a
empresa, requisitos
r e g u l a t o r i o s ,
procesos, cultura
organizacional
OPERACIÓN
EVALUAR
PLANIFICAR
MEJORA
No conformidades,
Acciones correctivas
a p r o c e s o s y
C o n t r o l e s d e
Seguridad
A c t i v o s d e
Información, Gestion
de riesgo, Controles
de Seguridad
Seguimiento,
Métricas,
Auditorias
Internas
9. ESTRUCTURA ORGANIZATIVA
Gerencia General
Tecnología de la Inf. Legal Recursos Humanos Auditoria OSI
AuxiliarInfraestructura
Base de Datos
Apoyo de la alta dirección, asignación de recursos tecnológicos, humanos y
financieros
Identificar roles y asignar responsabilidades
Gestión de seguridad alineada a los objetivos del negocio
10. OBJETIVOS
• Política de Seguridad de la
información
• Debe ser precisa y concisa.
• Establecer responsabilidades.
• Evidenciar el liderazgo y Apoyo la
implementación.
• N o e s r e c o m e n d a b l e a g r e g a r
términos “técnicos”, evitará entrerar
en detallas con estos términos.
12. DOCUMENTACIÓN
• Procedimiento para la gestión documental
• Procedimientos, Políticas
• Caratula (Titulo, codificación , versión, fecha de publicación)
• Método de codificación
• Contenido (Objetivo, Alcance, Responsabilidades, contenido , registros ,
distribución, sumario de revisiones )
• Quien aprobará, quien editará, periodicidad para la revisión
• Registros y Anexos
• Contenido (Titulo, codificación, logo, forma de almacenamiento)
14. RIESGO Y CONTROLES
• Seleccionar la metodología de evaluación
• Definir impacto y probabilidad
• Establecer los criterios de aceptación de riesgo
• Debilidades y Amenazas
• ISO/IEC 27005
• Magerit
PROBABILIDAD
Probable (3) 3 6 9
Ocasional (2) 2 4 6
Improbable (1) 1 2 3
Bajo (1) Medio (2) Alto (3)
IMPACTO
15. RIESGO Y CONTROLES
• Evaluación de riesgo
ID Activo Propietario Amenaza Vulnerabilidad P I R C I D
GR.001 S e r v i d o r d e
Aplicaciones
G e r e n t e d e
Tecnología de
la Información
Fallas técnicas Mantenimiento
d e e q u i p o
Inadecuado
3 3 9
ü ü ü
GR.002 S e r v i d o r d e
Base de datos
Administrador
d e B a s e d e
Datos.
Acceso lógico
no autorizado
F a l t a d e
controles de
acceso lógicos.
2 2 4
ü ü ü
GR.003 E q u i p o d e
Escritorio
G e r e n t e d e
Tecnología de
la Información
C ó d i g o
Malicioso
A n t i v i r u s
inadecuado
1 2 2
X
X
X
GR.004 Equipo portátil G e r e n t e d e
Tecnología de
la Información
Robo F a l t a d e
c o n t r o l d e
acceso físico
1 2 2
ü
X X
16. RIESGO Y CONTROLES
• Controles de Seguridad de la Información
• ISO/IEC 27002:2013 “Código de prácticas para los controles de
seguridad de la información”
• Los 20 controles críticos de CIS (Centro de seguridad de
internet)
• Controles de seguridad y privacidad para Sistemas de
información federal y organizaciones (NIST, Instituto Nacional
de Estándares y Tecnología)
17. RECURSOS HUMANOS
• Establecer los perfiles para cada cargo
• Experiencia y conocimiento (aplicable para los auditores internos)
• Plan de capacitación al personal (Objetivo, periodicidad)
• Concienciación e inducción al nuevo personal (Acuerdo de
Confidencialidad)
• Comunicación corporativa
• Quién comunica
• Cómo comunicar
• Cuándo comunicar
• Qué comunicar
19. EVALUAR
• Establecer Indicadores
• Quién recolectará, analizará y presentará los resultados
• Qué controles y procesos serán evaluados
• Criterios de evaluación (necesidad del negocio)
• Cada cuanto serán presentado los resultados
• Que hacer en caso de que los resultados de evaluación no
cumplan con los criterios (Ajustes a los controles o la gestión de
riesgo)
20. EVALUAR
CONTROL MEDIA CRITERIO FRECUENCIA
C a p a c i t a c i ó n e n
s e g u r i d a d d e l a
información
(Cant de usuarios
c a p a c i t a d o s x
100 %) / Cant. De
u s u a r i o s e n l a
organización.
R e s u l t a d o > 8 5 %
Aceptable
Resultado > 60% y
Resultado < 85%
Regular
R e s u l t a d o < 6 0 %
Incumplimiento
Revisión : Trimestral
PROCESOS SGSI
No Conformidades ( C a n t . D e N o
conformidades
r e g i s t r a d a s x
100%) / (Cant. De
N o
conformidades
c o r r e g i d a s a
tiempo)
Re s u l t a d o > 9 0 %
Aceptable
Resultado > 60% y
Resultado < 90%
Regular
Re s u l t a d o < 6 0 %
Incumplimiento
Revisión : Mensual
21. EVALUAR
• Auditoria Interna
• Establecer programas de auditoria
• Determinar perfil para auditor interno y Líder auditor
• Desarrollar el plan de auditoria
• Registro de Actividades de seguimiento
• Consultar la norma ISO/IEC 19011:2018 Directrices para la
auditoría de los sistemas de gestión
22. EVALUAR
• Presentación de resultados
• Redactar un documento para la gestión de la revisión por
la dirección (responsables, periodicidad de revisión, quien
convoca, participantes, etc.)
• En la reunión se debe tomar en cuenta :
• Resultados de indicadores
• Resultados de la Auditoria Interna (Informe)
• Estado del Plan de tratamiento de riesgo
• No conformidades y acciones correctivas
23. MEJORA
En la vida hay que progresar a diario, ser hoy más hábil que ayer y menos que
mañana. El camino nunca termina
YAMAMOTO TSUNETOMO
24. MEJORA
• No conformidades y acciones correctivas
• Determinar las causas de la no conformidad
• Acciones para controlar y corregir
NO NO CONFORMIDAD RESPONSABLE ACCIÓN
NC001 N o s e i d e n t i f i c ó u n a
m e t o d o l o g í a p a r a l a
evaluación de riesgo.
R e s p o n s a b l e d e
S e g u r i d a d d e l a
Información
Redactar y aprobar
un procedimiento
para la evaluación
de riesgo
25. MEJORA
• Mejora Continua
• Comentarios, Sugerencias de las partes interesadas
• Actualización / Ajustes a los procesos de Gestion de Seguridad
de la Información
• Acciones propuestas por la alta dirección
26. RESUMEN
• Es necesario determinar el alcance en función a la
necesidad del negocio (Misíon, Visión)
• Identificar y gestionar los activos de información e
informaticos.
• Evaluar el riesgo de los activos
• Aplicar los controles (enfocarse en los “basics”)
• Implementar metricas
• Evaluar el desemepeño de procesos y controles
• Informar sobre los resultados de evaluación
• Mejora Continua