El documento proporciona información sobre la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) de acuerdo con la norma ISO/IEC 27001. Explica los beneficios de implementar un SGSI, como la reducción de riesgos, ahorro de costos y cumplimiento legal. También describe las fases de implementación de un SGSI que incluyen el establecimiento, implantación, monitoreo y mejora continua del sistema.

1. Implantación SGSI Norma ISO /IEC 27001:2005

2. ¿Piensa en alguno de estos conceptos?: Cumplimiento Legal con la legislación vigente… Como puedo proteger el negocio… Ahorrar costes de una manera preventiva… Mejorar la imagen exterior y la confianza con los clientes y/o socios etc. .. ¿Cuánto valdría perder la información de su empresa? ¿Está preparada su empresa para un ataque inesperado?

3. Concienciación en Seguridad ¿Sus datos están seguros? ¿Los de sus clientes? Caso Real. Empresas. Torre Windsor de Madrid.

4. La Norma

5. Índice - Que es un SGSI. - Introducción ¿Por qué implantar un SGSI? - Beneficios - ¿Quién debe promover la implantación de ISO 27001 en la empresa? - Fases - ¿En qué ayudan los sistemas de gestión en general? - ¿Qué información protege un SGSI? - ¿Qué es exactamente la seguridad de la información? - ¿Por qué crece el número de empresas certificadas? - ¿Alguien puede obligarme a certificarme en ISO 27001? - Nuestro Objetivo - Ayudas. A PYMES Plan Avanza

6. Que es SGSI Sistema de Gestión de la Seguridad de la Información , una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones. Concepto central sobre el que se construye la norma ISO 27001 . Fuente. INTECO

7. ¿Por qué implantar un SGSI? La información es uno de los activos más importantes de toda organización, requiere junto a los procesos y sistemas que la manejan, ser protegidos frente a amenazas que puedan poner en peligro la continuidad de los niveles de competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos de la organización. La mayor parte de la información, reside en equipos informáticos, redes de datos y soportes de almacenamiento, encuadrados todos dentro de lo que se conoce como sistemas de información. Estos sistemas de información están sujetos a riesgos e inseguridades tanto desde dentro de la propia organización como desde fuera. A los riesgos físicos (accesos no autorizados a la información, catástrofes naturales – fuego, inundaciones, terremotos ... – , vandalismo, etc.) hay que sumarle los riesgos lógicos (virus, ataques de denegación de servicio, etc.). Fuente. INTECO

8. ¿Por qué implantar un SGSI? Es posible disminuir de forma significativa el impacto de los riesgos sin necesidad de realizar grandes inversiones Es necesario conocer y afrontar de manera ordenada los riesgos a los que está sometida la información, y a través de la participación activa de toda la organización, contemplar unos procedimientos adecuados y planificar e implantar controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos. Fuente. INTECO

9. Control y gestion de la Seguridad de la información El Sistema de Gestión de la Seguridad de la Información (SGSI) en las empresas ayuda a establecer estas políticas, procedimientos y controles en relación a los objetivos de negocio de la organización , con objeto de mantener siempre el riesgo por debajo del nivel asumible por la propia organización. Para los responsables de la entidad es una herramienta, alejada de tecnicismos, que les ofrece una visión global sobre el estado de sus sistemas de información, las medidas de seguridad que se están aplicando y los resultados que se están obteniendo de dicha aplicación. Todos estos datos permiten a la dirección una toma de decisiones sobre la estrategia a seguir. En definitiva, con un SGSI, la organización conoce los riesgos a los que está sometida su información y los gestiona mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente. Fuente. INTECO

10. Beneficios Reducción de riesgos Partiendo del Análisis de Riesgos que impone la norma, hasta la implementación de los controles, el conjunto de acciones adoptadas reducirá los riesgos hasta un nivel asumible por la PYME, siempre en relación a los objetivos de negocio de la organización. Ahorro Económico Como cualquier otro sistema de gestión, la implementación de la norma permite una racionalización de recursos, lo que repercute en un ahorro de costes. Poder tomar decisiones basadas en datos cuantitativos y no solo cualitativos, permite gestionar mejor el gasto en TI. De esta manera las inversiones en tecnología se ajusten a las prioridades que se han impuesto a través del Análisis de Riesgos, evitando los gastos innecesarios, inesperados, y sobredimensionados. Calidad a la seguridad La implementación de un SGSI transforma la seguridad en una actividad de gestión. Este concepto es importante ya que deja de lado un conjunto de actividades técnicas más o menos organizadas, para transformarse en un ciclo de vida metódico y controlado. En el que al participar toda la organización, se crea conciencia y compromiso de seguridad en todos los niveles de la empresa. Cumplimiento Legal Es necesario el cumplimiento de la legislación vigente. Todos los aspectos de conformidades legales de la norma deben responder a la legislación del país, y se verifica su adecuación y cumplimiento. Por lo tanto la certificación garantiza este hecho y a su vez seguramente crea un marco legal que protegerá a la empresa en aspectos que seguramente no se habían tenido en cuenta hasta entonces. Competitividad en el mercado Esta norma es tan importante como lo es hoy ISO 9000. Poco a poco las grandes empresas, los clientes y partners comenzarán a exigir esta certificación para abrir y compartir sus sistemas con cualquier PyME. Es el único modo que puede garantizar un equilibrio en las medidas de seguridad entre esas partes. Lo que la convierte en un importante factor diferenciador con la competencia, por las ventajas derivadas de la mejora de imagen y ventaja competitiva en el mercado. La UNE-ISO/IEC 27001 es un elemento de gestión que se irá generalizando en las empresas distinguiéndose claramente quienes se anticipen en su implantación.

11. ¿Quién debe promover la implantación de ISO 27001 en la empresa? La Dirección de la empresa debe liderar el proceso. Teniendo en cuenta que los riesgos que se intentan minimizar mediante un SGSI son, en primera instancia, riesgos para el negocio, es la Dirección quien debe tomar decisiones. Sin el apoyo decidido de la Dirección, según la propia ISO 27001 indica, no es posible la implantación ni la certificación de la norma en la empresa.

12. Fases 1 Establecimiento del SGSI. Inicio del Proyecto Asegurar el compromiso de la Dirección. Seleccionar y entrenar a los miembros del equipo inicial que participan en el proyecto. Definición del SGSI Identificación del alcance del SGSI y de la Política de Seguridad del SGSI. Recopilar los documentos de seguridad existentes en la organización. Preparar los procedimientos relacionados con la gestión y la operación del SGSI. Análisis de Riesgos Definición de una metodología para la clasificación de los riesgos. Creación de un inventario de activos. Evaluación de los activos a ser protegidos. Identificación y evaluación de amenazas y vulnerabilidades de los activos. Cálculo del valor de riesgo asociado a cada activo. Gestión de Riesgos Identificar y evaluar alternativas posibles para tratar los riesgos. Seleccionar e implantar los controles correctos que le permitan a la organización reducir el riesgo a un nivel aceptable. Redactar el documento de declaración de aplicabilidad (documento de selección de controles), que debe ser firmado por Dirección. Identificar los riesgos residuales que han quedado sin cubrir y obtener la firma de Dirección. Preparar el Plan de Tratamiento de Riesgos Preparar procedimientos para implantar los controles.

13. Fases 2 Implantación y Operación Implantación del SGSI Implantar el plan de tratamiento de riesgos. Implantar políticas y procedimientos del SGSI. Implantar los controles seleccionados. Formación y sensibilización Impartir formación entre los empleados sobre los nuevos procedimientos que se van a implantar. Concienciar a la plantilla de la importancia que el proyecto de seguridad tiene para la Organización.

14. Fases 3 Monitorización y Revisión Monitorización del SGSI Ejecutar procedimientos de monitorización para detectar errores de proceso, identificar fallos de seguridad de forma rápida y acciones a realizar. Revisión del SGSI Revisiones periódicas de la política y alcance del SGSI, así como de su eficacia. Revisiones de los niveles de riesgos residuales y riegos aceptables. Auditorías internas/externas del SGSI.

15. Fases 4 Mantenimiento y Mejora Mantenimiento del SGSI Comunicar resultados de las auditorías a las partes interesadas. Adoptar acciones correctivas y preventivas. Mejora Continua Medir el rendimiento del SGSI. Implantar las mejoras identificadas en las revisiones del SGSI.

16. ¿En qué ayudan los sistemas de gestión en general? Aseguran que una organización es dirigida de un modo eficiente y eficaz. Formalizan y sistematizan la gestión en procedimientos escritos instrucciones, formularios y registros que aseguren la eficiencia de la organización y su mejora continua. ¿Qué información protege un SGSI? Los activos de información de una organización, independientemente del soporte que se encuentren; p. ej., correos electrónicos, informes, escritos relevantes, páginas web, imágenes, documentos, hojas de cálculo, faxes, presentaciones, contratos, registros de clientes, información confidencial de trabajadores y colaboradores...

17. ¿Qué es exactamente la seguridad de la información? La seguridad de la información es la preservación de la confidencialidad, integridad y disponibilidad de la misma y de los sistemas implicados en su tratamiento dentro de una organización. Estos tres factores se definen como: • Confidencialidad: acceso a la información por parte únicamente de quienes estén autorizados. • Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso. • Disponibilidad: acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran.

18. ¿Por qué crece el número de empresas certificadas? El acta Sarbanes-Oxley en EEUU y la publicación de directivas en el ámbito EU y en cada estado miembro ha activado las alarmas en la dirección de las empresas. Adicionalmente a los requisitos legales establecidos para auditorías financieras, gestión de riesgos, financiación, plan de desastres, continuidad de negocio, etc., crece el número de requisitos legales relacionados con la protección de los datos de carácter personal. ISO27001 ayuda a considerar y adoptar los controles necesarios en los procesos de negocio y tratamiento de la información para satisfacer las demandas de la empresa, legales y de los clientes en materia de seguridad de la información.

19. ¿Alguien puede obligarme a certificarme en ISO 27001? Como obligación legal, a día de hoy, no. Sin embargo, como en toda relación comercial, el cliente puede exigir a su proveedor ciertas condiciones previas para ser considerado siquiera como opción de contratación. Hay administraciones públicas que están empezando a exigir certificados de este tipo a las empresas que quieran acceder a concursos públicos de productos o servicios relacionados con sistemas de información. Igualmente, es previsible que empresas privadas comiencen en algún momento a exigírselo a sus proveedores siempre que vaya a haber algún tipo actividad relacionada con información sensible. En Argentina (ver BCRA A4609), las entidades financieras, bancos, etc. están ya obligadas a cumplir la normativa.

20. Nuestra META Preparar a tu empresa para conseguir la certificación de tu SGSI. ITsencial, Elegida empresa implantadora del proyecto INTECO en implantaciones de la norma ISO 27001 Te ayudamos a conseguir tu certificación ISO 27001 con un grupo de profesionales, certificados por ITIL y auditores cualificados Consultoría para la implantación en ISO/IEC 27001:2005 + Formación en Fundamentos Iso 27002 Certificación Oficial Consultores y Auditores Cualificados

21. Ayudas Desde 2007 las Administraciones Públicas Españolas están realizando acciones subvencionadas, con el fin de que las pequeñas y medianas empresas mejoren la seguridad de la información que tratan con sus sistemas informáticos: SOLICITA MÁS INFORMACIÓN TEL. + 34 91 741 48 13 / [email_address] www.itsencial,.com