La presentación contiene, a un alto nivel, diferencias claves entre implementar un SGSI y nivelar el área de SI a través de la definición de un Plan Director de SI #SGSI #seguridad #infosec #PlanDirectorSI
1. SGSI vs. Plan Director
de Seguridad de la
Información
Junio, 2013
Seguridad de la Información
2. Contenido
2
• Seguridad de la Información vs. Seguridad Informática
• Sistema de Gestión de Seguridad de la Información (SGSI)
• Plan Director de Seguridad de la Información
• Consideraciones SGSI
• Consideraciones Plan Director
• Comparativo SGSI vs. Plan Director
3. Seguridad de la Información
Organización Seguridad
RRHH
Seguridad Física
Regulación y Cumplimiento
Seguridad de la Información vs. Seguridad Informática
3
Seguridad Informática
Aplicaciones
Sistemas Operativos
Bases de Datos
ServidoresAplicaciones
Sistemas Operativos
Bases de Datos
Servidores
4. Sistema de Gestión de Seguridad de
la Información
4
Un Sistema de Gestión de la Seguridad de la Información (SGSI) es un conjunto
de procesos, políticas, y procedimientos organizados de manera lógica y
soportados por objetivos a nivel estratégico:
• Permite organizar las medidas de seguridad de acuerdo a objetivos de negocio
y reducir los riesgos a niveles aceptables, cambiando el escenario actual
donde la seguridad es un gasto y transformándola en una herramienta para
viabilizar negocios más seguros y mejor gestionados.
5. Plan Director de Seguridad de la Información
5
El Plan Director de Seguridad de la Información incluye la definición de:
• Marco de Gobierno: organización, roles y responsabilidades, plan de
capacitación, métricas de desempeño, acuerdos de niveles de servicio
• Plan Estratégico: estado actual, estado futuro, iniciativas corto, mediano y
largo plazo, plan de capacitación
• Marco Normativo: políticas y procedimientos, plan de sensibilización
Permite organizar el área responsable de Seguridad de la Información con un
enfoque basado en mejores prácticas.
6. Consideraciones SGSI
Planificación
• Principales Actividades: Esquema de Gestión del Proyecto, Plan
de Capacitación
• Tiempo estimado: 1 mes
Ejecución
• Principales actividades: Alineación Estratégica, Análisis de Riesgos
(Definición metodología y ejecución), Requisitos ISO27001 (Gestión
documental, Mejora continua, Auditoría Interna)
• Tiempo estimado: 3-4 meses
Pre-
auditoría
• Principales Actividades: Definición y ejecución de revisión
independiente (otro equipo de trabajo). Resolución de hallazgos
relacionados con proyecto (requisitos)
• Tiempo estimado: 1 mes
6
7. Consideraciones Plan Director de Seguridad de la Información
Planificación
• Principales Actividades: Esquema de Gestión del Proyecto, Plan
de Capacitación
• Tiempo estimado: 0,5 meses
Ejecución
• Principales actividades: Análisis de situación actual, definición
de estrategia y hoja de ruta de iniciativas
• Tiempo estimado: 1-2 meses
Apoyo y
Asesoría
• Principales Actividades: Definición de principales políticas,
procedimientos y documentos de configuración
• Tiempo estimado: 1 mes
7
8. Comparativo
SGSI vs. Plan Director
8
Característica SGSI Plan Director
Alcance TI, Seguridad, RRHH,
Legal/Regulatorio y
Negocio (depende del
alcance definido)
Seguridad y TI
Duración 5-6 meses 2-3 meses
Principales Actividades Análisis de Riesgos
(Impacto y Probabilidad)
Gestión documental
(requisitos ISO 27001)
Políticas y
procedimientos
Análisis de Brecha (S.
Actual y Futura)
Definición de estrategia
Definición de hoja de ruta
Políticas y
procedimientos
Personas Todas (de acuerdo al
alcance)
Seguridad y TI. Se
recomienda dictar cursos
de sensibilización
Impacto Muy Alto Medio
Recursos Alto Medio