SlideShare una empresa de Scribd logo

JACHV(UNAH-VS)-COMPRENDER iso 27001

Descargar como PPTX, PDF
jhony alejandro
jhony alejandro

No es de extrañar, por tanto, que la Norma UNE-ISO/IEC 27001 exija que se adopte un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI en una organización. Es decir, hay que diseñarlo, ponerlo en marcha, comprobar que se obtienen los resultados esperados y, en función de esa evaluación, tomar acciones para corregir las desviaciones detectadas o intentar mejorar la situación, en este caso, la seguridad de la información. Y todo ello de una manera ordenada y metódica, mediante un proceso.

1 de 21
Comprender la Norma UNE-ISO/IEC 27001 Presentado por: Jhony A. Chirinos 20122000446
Introducción La seguridad no es el resultado de un proceso, es un proceso en si mismo. Se conseguirá un nivel de seguridad aceptable en la medida en que este proceso funcione y progrese adecuadamente. No es de extrañar, por tanto, que la Norma UNE-ISO/IEC 27001 exija que se adopte un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI en una organización. Es decir, hay que diseñarlo, ponerlo en marcha, comprobar que se obtienen los resultados esperados y, en función de esa evaluación, tomar acciones para corregir las desviaciones detectadas o intentar mejorar la situación, en este caso, la seguridad de la información. Y todo ello de una manera ordenada y metódica, mediante un proceso.
2.1. Requisitos generales del sistema de gestión de la seguridad Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un “proceso”. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentación. Los requisitos que exige este estándar internacional son genéricos y aplicables a la totalidad de las organizaciones, independientemente de su tamaño o sector de actividad. En particular, no se acepta la exclusión de los requerimientos especificados en los apartados 4, 5, 6, 7 y 8 cuando una organización solicite su conformidad con esta norma. Estos apartados son las que realmente conforman el cuerpo principal de la norma: • Sistema de gestión de la seguridad de la información. • Responsabilidad de la dirección. • Auditorias internas del SGSI. • Revisión del SGSI por la dirección. • Mejora del SGSI.
Lo que la norma reclama es que exista un sistema documentado (política, análisis de riesgos, procedimientos, etc.), donde la dirección colabore activamente y se implique en el desarrollo y gestión del sistema. El sistema constara de una documentación en varios niveles: • Políticas, que proporcionan las guías generales de actuación en cada caso. • Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas previstas. • Registros, que son las evidencias de que se han llevado a cabo las actuaciones establecidas.
2.2. Establecimiento y gestión del SGSI Establecimiento del SGSI La norma establece una serie de requisitos, que se detallan a continuación. Para satisfacerlos, la organización debe buscar los medios mas apropiados a sus circunstancias, necesidades y, por supuesto, los recursos disponibles. Los requisitos en muchos casos no se encuentran definidos. La organización sabe, en términos generales, que nivel de seguridad desea, pero no existen mecanismos para expresarlo y documentarlo. Hay que concretar esas necesidades que se perciben para poder comenzar el diseño del SGSI. Sabiendo que se necesita se podrán proponer opciones y tomar decisiones.
Cuando una empresa decide adaptarse a esta norma , básicamente se emprenderán las actividades que se detallan a continuación, y que como tienen que ser documentadas, al finalizarlas, el SGSI contara ya con los siguientes documentos: • Política de seguridad, que contendrá las directrices generales a las que se ajustara la organización en cuanto a seguridad, así como la estrategia a seguir a la hora de establecer objetivos y líneas de actuación. La política estará alineada con el resto de los objetivos del negocio y políticas de gestión que existan en la organización. Esta política estará aprobada por la dirección. • Inventario de activos, que detallara los activos dentro del alcance del SGSI, así como los propietarios y la valoración de tales activos. • Análisis de riesgos, con los riesgos identificados basándose en la política de la organización sobre seguridad de la información y el grado de seguridad requerido. • Las decisiones de la dirección respecto a los riesgos identificados, asi como la aprobación de los riesgos residuales. • Documento de aplicabilidad con la relación de los controles que son aplicables para conseguir el nivel de riesgo residual aprobado por la dirección.
2- Definición del alcance del SGSI Es decir, sobre que proceso (o procesos) va a actuar, ya que no es necesaria la aplicación de la norma a toda la entidad. Hay que evaluar los recursos que se pueden dedicar al proyecto y si realmente es preciso abarcar organización. Normalmente es mas practico limitar el alcance del SGSI a aquellos servicios, departamentos o procesos en los que resulte mas sencillo, bien porque el esfuerzo va a ser menor o porque la visibilidad del proyecto (interna o externa) es mayor 3-Definición de la política de seguridad Decidir que criterios se van a seguir, estableciendo las principales líneas de acción que se van a seguir para que confidencialidad, la integridad y la disponibilidad queden garantizadas. Aunque a veces son difíciles de documentar, es esencial que el SGSI este alineado con el resto de las estrategias, planes y modos de funcionar la organización para que pueda integrarse en el día a día sin complicaciones y rindiendo resultados desde el principio. 4-Identificación de los activos de información Se deben identificar junto con sus responsables. El SGSI va a proteger los activos que queden dentro del alcance definido, por eso es vital listarlos todos, lo cual no significa que haya que cada componente de los sistemas de información y cada documento que se maneje en la empresa, pero si es indispensable identificar que activos son los que soportan los procesos de la organización. 5-Definición del enfoque del análisis de riesgos Hay que decidir como se enfocara el análisis de riesgos. El análisis de riesgos determinara las amenazas y vulnerabilidades de los activos de información previamente inventariados. Esta tarea es crucial para el correcto diseño del SGSI, puesto que de su resultado depende que se escojan unos controles u otros, que son los que conformaran nuestro sistema. 6-Cómo escoger la metodología del análisis de riesgos Puesto que la norma únicamente establece que los resultados han de ser comparables y repetibles, debe escogerse aquella metodología que mejor se adapte a los modos de trabajo de la organización, así el ejercicio se integrara sin problemas en el trabajo cotidiano. Además, ayuda a que los resultados sean mas aceptables por la organización y a que se pueda mantener en el tiempo. En particular es necesario documentar en esta fase: • La política de seguridad, que además debe aprobarse por la dirección. • La metodología a seguir para realizar el análisis de riesgos.
7-Tratamiento de los riesgos Obtenidos los niveles de riesgo, hay que decidir si son aceptables o no, según el criterio fijado previamente. Si lo son, hay que evaluar como se van a tratar esos riesgos: • Mitigar el riesgo. Es decir, reducirlo, mediante la implementación de controles que disminuyan el riesgo hasta un nivel aceptable. • Asumir el riesgo. La dirección tolera el riesgo, ya que esta por debajo de un valor de riesgo asumible o bien porque no se puede hacer frente razonablemente a ese riesgo, por costoso o por difícil. La dirección debe que los activos con un valor de riesgo inferior no estarán sometidos a controles que mitiguen el riesgo. • Transferir el riesgo a un tercero. Por ejemplo, asegurando el activo que tiene el riesgo o subcontratando el servicio. Aun así, evidenciar que la responsabilidad sobre el activo permanece siempre en manos de la organización y tener en cuenta que hay danos, como los causados a la reputación de la organización, que difícilmente son cubiertos por ningún seguro. • Eliminar el riesgo. Aunque no suele ser la opción mas viable, ya que puede resultar complicado o costoso. 8-Selección de controles La selección de controles es un punto critico del SGSI. A la hora de escoger o rechazar un control se debe considerar hasta que punto ese control va a ayudara reducir el riesgo que hay y cual va a ser el coste de su implementación y mantenimiento. 9-Gestión de riesgos Una vez seleccionados los controles se repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas seguridad implementadas y aquellas elegidas para hacerlo. 10-Declaración de aplicabilidad El siguiente requisito de la norma es la preparación de una declaración de aplicabilidad, que debe incluir: • Los objetivos de control y los controles seleccionados, con las razones de esta selección. • Los objetivos de control y los controles actualmente implementados, con una justificación. • La exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y la justificación dicha exclusión.
11-Implementación y puesta en marcha del SGSI Para poner en marcha el SGSI la dirección tiene que aprobar la documentación desarrollada en las actividades detalladas en el punto anterior y proveer los recursos necesarios para ejecutar las actividades. bien este objetivo puede lograrse a través de diversos esquemas, dependiendo de la estructura y tamaño de la organización, en cualquier caso se ha de contar con la designación de: • Un responsable de seguridad, que coordine las tareas y esfuerzos en materia de seguridad. Actuara como de todos los aspectos de seguridad de la organización y sus responsabilidades cubrirán todas las funciones de seguridad. • Un comité de seguridad que trate y busque soluciones a los temas de seguridad, resuelva los asuntos interdisciplinarios y apruebe directrices y normas. 12-Control y revisión del SGSI La revisión del SGSI forma parte de la fase del Check (comprobar) del ciclo PDCA. Hay que controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. 13-Mantenimiento y mejora del SGSI La seguridad es un proceso en continuo cambio. Las organizaciones no son estáticas y su gestión tampoco lo Por lo tanto, seria un grave error considerar que una vez analizados los riesgos y definidas las medidas para reducirlos se haya terminado el trabajo. Un sistema de gestión debe mantenerse y mejorarse en lo posible para que resulte efectivo. El mantenimiento incluye el detectar mejoras e implementarlas, aprender de los defectos y errores identificados, y aplicar acciones correctivas y preventivas donde sea apropiado.
2.3. Requisitos de documentación 1-Generalidades El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las políticas y las acciones tomadas y que se pueda demostrar que los controles seleccionados lo han sido como resultado de estas decisiones y del análisis de riesgos. Por ello es necesario tener documentado: • La política y los objetivos del SGSI. • El alcance del SGSI. • Una descripción de la metodología de análisis del riesgo. • El inventario de activos. • Los procedimientos y controles de apoyo al SGSI. • El análisis del riesgo. • El plan de tratamiento del riesgo. • La declaración de aplicabilidad. • Los procedimientos necesarios para la implementación de los controles y para asegurarse de que se cumplan los objetivos. • Los registros requeridos por la norma. 2-Control de documentos Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorias, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.). Los procedimientos de documentación deben contemplar como se generan, aprueban, revisan y actualizan los documentos según sea necesario.
3-Control de registros Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos. Ejemplo de registros son el libro de visitas, los informes auditorias y los logs de los sistemas. Los registros estarán protegidos y controlados teniendo en cuenta cualquier requisito de tipo legal, reglamentario obligación contractual. Permanecerán legibles, fácilmente identificables y recuperables. Los controles necesarios para la identificación, almacenamiento, protección, recuperación, tiempo de conservación y disposición de los registros se encontraran documentados e implementados. Deberán guardarse todos los registros del funcionamiento del proceso y las incidencias de seguridad significativas relacionadas con el SGSI.
2.4. Compromiso de la dirección Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la dirección, no solo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de cultura y concienciación que genera el proceso seria imposible de sobrellevar sin el compromiso constante de la dirección. La forma en la que se plasma este compromiso es colaborando o ejecutando, según los casos, las siguientes tareas: • Establecer la política del SGSI. • Asegurar que se establecen los objetivos y planes del SGSI. • Asignar los roles y las responsabilidades para la seguridad de la información. • Comunicar a la organización la conveniencia del cumplimiento de los objetivos de seguridad de la información y, conforme a la política de seguridad de la información, sus responsabilidades legales y la necesidad de la mejora continua. • Proporcionar recursos suficientes para implementar, mantener y mejorar el SGSI. • Decidir los criterios de aceptación de los riesgos. • Verificar que se realizan las auditorias internas del SGSI. • Dirigir la gestión de las revisiones del SGSI.
2.5. Gestión de los recursos Como se comentaba anteriormente, es la dirección la que debe gestionar los recursos. Ha de comenzar por proveer de recursos al desarrollo y mantenimiento del SGSI en función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI. Hay que contar con las diversas tareas que implica el funcionamiento, la verificación y la mejora del sistema, puesto que conservar el nivel de seguridad que aporta el SGSI solo puede lograrse comprobando regularmente que los procedimientos de seguridad están alineados con el negocio, que cumplen con los requisitos legales, que los controles están correctamente implementados y que se llevan a cabo las acciones oportunas para corregir errores y mejorar el sistema. Este punto es uno de los factores críticos de éxito. Sin una colaboración activa del personal es muy difícil implementar con éxito un SGSI.
2.6. Formación La norma exige que todos los trabajadores con responsabilidades definidas en el SGSI sean competentes para efectuar las actividades necesarias. Esto significa que hay que definir las competencias necesarias y, en función de tales necesidades, proporcionar la formación a la plantilla o adoptar otras acciones para satisfacerlas (por ejemplo, la contratación de personal competente). En la medida que seamos capaces de formar al personal y concienciarlo de que es fundamental ceñirse a las normas de seguridad, reduciremos drásticamente la probabilidad de fallos y su potencial impacto.
2.7. Auditorías internas Una de las herramientas mas interesantes para controlar el funcionamiento del SGSI son las auditorias internas. Estas auditorias deben programarse y prepararse regularmente, normalmente una vez al ano. Esta programación se recogerá en el plan de auditorias. A la hora de desarrollar el plan de auditorias hay que fijarse en: • El estado e importancia de los procesos y las áreas que serán auditadas, de este modo se determinara el tiempo y los recursos que habrá que destinar para efectuar la auditoria. • Los criterios de la auditoria. • El alcance, si va a ser global (va a abarcar toda la empresa) o parcial (solo una parte). • La frecuencia de realización de las auditorias, sabiendo que cada tres anos, al menos, toda la organización debe ser auditada. • Los métodos que se van a utilizar para hacer las auditorias.
2.8. Revisión por la dirección La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. El proceso de revisión por la dirección no debería ser un ejercicio ejecutado únicamente para cumplir los requisitos de la norma y de los auditores, sino que debería ser una parte integral del proceso de gestión del negocio de la organización. Esta revisión es una de las pocas tareas que se le asigna específicamente a la dirección, por lo que posee relevancia en varios aspectos: mantiene a la dirección en contacto con la realidad del SGSI, ya que lógicamente no se encuentra involucrada en el día a día, pero es importante que este al tanto de los trabajos realizados, de los logros obtenidos y de los problemas que aparezcan.
1-Entradas a la revisión Los resultados de la revisión deben ser documentados para proporcionar evidencia de su realización, involucrar la dirección en la gestión del sistema y apoyar las acciones de mejora. Las entradas a la revisión pueden ser: • Los resultados de las auditorias y las revisiones del SGSI. • Comentarios de las partes interesadas (usuarios de los sistemas de información, contratistas, clientes, etc.). • Técnicas, productos o procedimientos que podrían ser empleados en la organización para mejorar el funcionamiento y la efectividad del SGSI. • El estado de las acciones preventivas y correctivas. • Las vulnerabilidades o amenazas que no se han tratado adecuadamente en análisis de riesgos anteriores. • Los resultados de las métricas de efectividad. • Las acciones de seguimiento de anteriores revisiones por la dirección. • Cualquier cambio que pudiera afectar al SGSI. • Recomendaciones para la mejora. 2-Salidas de la revisión Los resultados de la revisión pueden ser de varios tipos: • Identificación de acciones para mejorar la efectividad del SGSI. • Actualización de la evaluación y la gestión de riesgos. • Modificación de los procedimientos y controles que afectan a la seguridad de la información para ajustarse a incidentes o cambios en: – Requisitos de negocio, de seguridad o legales. – Procesos de negocio que tengan efecto en los requisitos de negocio existentes. – Obligaciones contractuales. – Niveles de riesgo y/o criterios para aceptar los riesgos. – Necesidades de recursos. • Realización de mejoras en la manera de medir la efectividad de los controles.
2.9. Mejora continua La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo. Es un punto fundamental en cualquier sistema de gestión según las normas ISO. Este concepto también es crucial en todos los modelos de mejora de procesos o negocio que existen. En pura lógica, cualquier organización desea hacer las cosas cada vez mejor (mejores productos, mas baratos, en menos tiempo, mayores beneficios), por lo que la mejora continua es un concepto empresarial de primer orden.
1-Acción correctiva La acción correctiva se define como la tarea que se emprende para corregir una no conformidad significativa cualquiera de los requisitos del sistema de gestión de seguridad de la información. Localizado el problema debe determinarse la relación causa-efecto, considerando todas las causas posibles. A veces no es fácil dilucidar cuales son las causas exactas del problema, pero hay que intentar aproximarse lo posible. 2-Acción preventiva Las acciones preventivas se aplican para evitar la aparición de futuras no conformidades. Son acciones encaminadas a eliminar la causa de una posible no conformidad. Se puede decidir abrir acciones preventivas a raíz de observaciones detalladas en las auditorias internas o externas, del análisis de la evolución de los objetivos y de los resultados de las actividades de revisión, ya que pueden utilizarse como fuentes de información para el establecimiento de acciones preventivas: • Los resultados de la revisión por la dirección. • Los resultados de los análisis de incidencias y objetivos. • Los registros. • El personal.
2.10. El anexo A El anexo A contiene los 133 controles considerados como las mejores practicas en seguridad de la información y que se detallan en la Norma UNE-ISO/IEC 27002. A lo largo de la Norma UNE-ISO/IEC 27001 se referencia este anexo como el punto de partida para la selección de controles. Es decir, cuando se esta desarrollando el SGSI, al llegar a dicha tarea, se debe utilizar esta tabla como lista de chequeo para decidir si procede o no aplicar cada uno de los controles. El resultado de este chequeo se documentara en el documento de aplicabilidad.

Recomendados

Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Carlos Pineda Pinto
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
Orlin Jose Reyes
 
Sgsi
SgsiSgsi
Sgsi
Eric Wilson Urraco
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoro
Heissel21
 
Iso 27001 : Resumen
Iso 27001 : ResumenIso 27001 : Resumen
Iso 27001 : Resumen
David Herrero
 
SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001
Augusto Chevez
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Cinthia Yessenia Grandos
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
Toni Martin Avila
 

Recomendados

Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Carlos Pineda Pinto
 
Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001Presentación Norma UNE-ISO/IEC 27001
Presentación Norma UNE-ISO/IEC 27001
Orlin Jose Reyes
 
Sgsi
SgsiSgsi
Sgsi
Eric Wilson Urraco
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoro
Heissel21
 
Iso 27001 : Resumen
Iso 27001 : ResumenIso 27001 : Resumen
Iso 27001 : Resumen
David Herrero
 
SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001
Augusto Chevez
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Cinthia Yessenia Grandos
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
Toni Martin Avila
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
martin
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Darwin Calix
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)
dcordova923
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
universidad cesar vallejo
 
Introduccion iso27001
Introduccion iso27001Introduccion iso27001
Introduccion iso27001
Juan Fernando Jaramillo
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
Gladisichau
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
carolapd
 
Auditoria de seguridad y salud en el trabajo
Auditoria de seguridad y salud en el trabajoAuditoria de seguridad y salud en el trabajo
Auditoria de seguridad y salud en el trabajo
Yanet Caldas
 
Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)
SENA810561
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridad
Santiago Rivas Hormazábal
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
irwin_45
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridad
Mario Meneses
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
Denis Rauda
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Diego Cueva Córdova
 
Irma iso
Irma isoIrma iso
Irma iso
Jazmin Toxqui
 
Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.
peponlondon
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez
 
Auditorias en Seguridad e Higiene Industrial
Auditorias en Seguridad e Higiene IndustrialAuditorias en Seguridad e Higiene Industrial
Auditorias en Seguridad e Higiene Industrial
Alfredo Silva
 
Irma
IrmaIrma
Irma
Jazmin Toxqui
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
ITsencial
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Fabiola_Escoto
 
SGSI
SGSISGSI
SGSI
Angelica Lopez
 

Más contenido relacionado

La actualidad más candente

Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
martin
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
Darwin Calix
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)
dcordova923
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
universidad cesar vallejo
 
Introduccion iso27001
Introduccion iso27001Introduccion iso27001
Introduccion iso27001
Juan Fernando Jaramillo
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
Gladisichau
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
carolapd
 
Auditoria de seguridad y salud en el trabajo
Auditoria de seguridad y salud en el trabajoAuditoria de seguridad y salud en el trabajo
Auditoria de seguridad y salud en el trabajo
Yanet Caldas
 
Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)
SENA810561
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridad
Santiago Rivas Hormazábal
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
irwin_45
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridad
Mario Meneses
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
Denis Rauda
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Diego Cueva Córdova
 
Irma iso
Irma isoIrma iso
Irma iso
Jazmin Toxqui
 
Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.
peponlondon
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
Christopher Ticeran Lopez
 
Auditorias en Seguridad e Higiene Industrial
Auditorias en Seguridad e Higiene IndustrialAuditorias en Seguridad e Higiene Industrial
Auditorias en Seguridad e Higiene Industrial
Alfredo Silva
 
Irma
IrmaIrma
Irma
Jazmin Toxqui
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
ITsencial
 

La actualidad más candente (20)

Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
 
Introduccion iso27001
Introduccion iso27001Introduccion iso27001
Introduccion iso27001
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
 
Auditoria de seguridad y salud en el trabajo
Auditoria de seguridad y salud en el trabajoAuditoria de seguridad y salud en el trabajo
Auditoria de seguridad y salud en el trabajo
 
Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridad
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridad
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Irma iso
Irma isoIrma iso
Irma iso
 
Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.Auditoria de Sistemas Informacion como un activo.
Auditoria de Sistemas Informacion como un activo.
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Auditorias en Seguridad e Higiene Industrial
Auditorias en Seguridad e Higiene IndustrialAuditorias en Seguridad e Higiene Industrial
Auditorias en Seguridad e Higiene Industrial
 
Irma
IrmaIrma
Irma
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 

Similar a JACHV(UNAH-VS)-COMPRENDER iso 27001

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Fabiola_Escoto
 
SGSI
SGSISGSI
SGSI
Angelica Lopez
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001
Jennyfer Cribas
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfo
Adalinda Turcios
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
Fer22P
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
Gengali
 
Politicas
PoliticasPoliticas
Politicas
Jannina Lamber
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
jjm5212
 
Auditoria de certificacion
Auditoria de certificacionAuditoria de certificacion
Auditoria de certificacion
Alexander Cruz
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
Juan Fernando Jaramillo
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
Marvin Joel Diaz Navarro
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
carolapd
 
Iso27001
Iso27001Iso27001
Iso27001
ANDRULANCO2014
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
Jhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
Jhonny Javier Cantarero
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
yar_mal
 
SGSI - Seguridad Informatica
SGSI - Seguridad InformaticaSGSI - Seguridad Informatica
SGSI - Seguridad Informatica
Ramón Segura Garijo
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
Zenia Castro
 
Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdf
Hansel Rodriguez
 

Similar a JACHV(UNAH-VS)-COMPRENDER iso 27001 (20)

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
SGSI
SGSISGSI
SGSI
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfo
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y Política
 
Politicas
PoliticasPoliticas
Politicas
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
 
Auditoria de certificacion
Auditoria de certificacionAuditoria de certificacion
Auditoria de certificacion
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
 
Sistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la informaciónSistema de gestión de la seguridad de la información
Sistema de gestión de la seguridad de la información
 
Iso27001
Iso27001Iso27001
Iso27001
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282Sistemas de gestión de seguridad de la información yarleny perez_20102006282
Sistemas de gestión de seguridad de la información yarleny perez_20102006282
 
SGSI - Seguridad Informatica
SGSI - Seguridad InformaticaSGSI - Seguridad Informatica
SGSI - Seguridad Informatica
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
 
Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdf
 

Último

mi hermoso sector victor raul ,calle san jose
mi hermoso sector victor raul ,calle san josemi hermoso sector victor raul ,calle san jose
mi hermoso sector victor raul ,calle san jose
Ariana yglesias azañero
 
Manual Soporte y mantenimiento de computo.pdf
Manual Soporte y mantenimiento de computo.pdfManual Soporte y mantenimiento de computo.pdf
Manual Soporte y mantenimiento de computo.pdf
rmurillojesus
 
Presentacion Arduino 2024 implementando tinkercad.pptx
Presentacion Arduino 2024 implementando tinkercad.pptxPresentacion Arduino 2024 implementando tinkercad.pptx
Presentacion Arduino 2024 implementando tinkercad.pptx
Andrea713958
 
Manual de mantenimiento hadware xperts pdf
Manual de mantenimiento hadware xperts pdfManual de mantenimiento hadware xperts pdf
Manual de mantenimiento hadware xperts pdf
cbtistechserv
 
trabajo de mantenimiento de equipos ....
trabajo de mantenimiento de equipos ....trabajo de mantenimiento de equipos ....
trabajo de mantenimiento de equipos ....
luzmilalopez043tamar
 
Modelos de Teclados ergonómicos y Pantallas táctiles.pptx
Modelos de Teclados ergonómicos y Pantallas táctiles.pptxModelos de Teclados ergonómicos y Pantallas táctiles.pptx
Modelos de Teclados ergonómicos y Pantallas táctiles.pptx
ambargarc7
 
Unidad Central de Procesamiento (CPU): El Procesador
Unidad Central de Procesamiento (CPU): El ProcesadorUnidad Central de Procesamiento (CPU): El Procesador
Unidad Central de Procesamiento (CPU): El Procesador
castilloaldair788
 
ESTUDIANTES-CT-SESIÓN 5 -BI-.pdf SECUNDARIA 2024
ESTUDIANTES-CT-SESIÓN 5 -BI-.pdf SECUNDARIA 2024ESTUDIANTES-CT-SESIÓN 5 -BI-.pdf SECUNDARIA 2024
ESTUDIANTES-CT-SESIÓN 5 -BI-.pdf SECUNDARIA 2024
SelenyCubas
 
Qué es el oficio simple 1.1.pptx diapositivas
Qué es el oficio simple 1.1.pptx diapositivasQué es el oficio simple 1.1.pptx diapositivas
Qué es el oficio simple 1.1.pptx diapositivas
OsvelAndrBriceoGuerr
 

Último (9)

mi hermoso sector victor raul ,calle san jose
mi hermoso sector victor raul ,calle san josemi hermoso sector victor raul ,calle san jose
mi hermoso sector victor raul ,calle san jose
 
Manual Soporte y mantenimiento de computo.pdf
Manual Soporte y mantenimiento de computo.pdfManual Soporte y mantenimiento de computo.pdf
Manual Soporte y mantenimiento de computo.pdf
 
Presentacion Arduino 2024 implementando tinkercad.pptx
Presentacion Arduino 2024 implementando tinkercad.pptxPresentacion Arduino 2024 implementando tinkercad.pptx
Presentacion Arduino 2024 implementando tinkercad.pptx
 
Manual de mantenimiento hadware xperts pdf
Manual de mantenimiento hadware xperts pdfManual de mantenimiento hadware xperts pdf
Manual de mantenimiento hadware xperts pdf
 
trabajo de mantenimiento de equipos ....
trabajo de mantenimiento de equipos ....trabajo de mantenimiento de equipos ....
trabajo de mantenimiento de equipos ....
 
Modelos de Teclados ergonómicos y Pantallas táctiles.pptx
Modelos de Teclados ergonómicos y Pantallas táctiles.pptxModelos de Teclados ergonómicos y Pantallas táctiles.pptx
Modelos de Teclados ergonómicos y Pantallas táctiles.pptx
 
Unidad Central de Procesamiento (CPU): El Procesador
Unidad Central de Procesamiento (CPU): El ProcesadorUnidad Central de Procesamiento (CPU): El Procesador
Unidad Central de Procesamiento (CPU): El Procesador
 
ESTUDIANTES-CT-SESIÓN 5 -BI-.pdf SECUNDARIA 2024
ESTUDIANTES-CT-SESIÓN 5 -BI-.pdf SECUNDARIA 2024ESTUDIANTES-CT-SESIÓN 5 -BI-.pdf SECUNDARIA 2024
ESTUDIANTES-CT-SESIÓN 5 -BI-.pdf SECUNDARIA 2024
 
Qué es el oficio simple 1.1.pptx diapositivas
Qué es el oficio simple 1.1.pptx diapositivasQué es el oficio simple 1.1.pptx diapositivas
Qué es el oficio simple 1.1.pptx diapositivas
 

JACHV(UNAH-VS)-COMPRENDER iso 27001

  • 1. Comprender la Norma UNE-ISO/IEC 27001 Presentado por: Jhony A. Chirinos 20122000446
  • 2. Introducción La seguridad no es el resultado de un proceso, es un proceso en si mismo. Se conseguirá un nivel de seguridad aceptable en la medida en que este proceso funcione y progrese adecuadamente. No es de extrañar, por tanto, que la Norma UNE-ISO/IEC 27001 exija que se adopte un proceso para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI en una organización. Es decir, hay que diseñarlo, ponerlo en marcha, comprobar que se obtienen los resultados esperados y, en función de esa evaluación, tomar acciones para corregir las desviaciones detectadas o intentar mejorar la situación, en este caso, la seguridad de la información. Y todo ello de una manera ordenada y metódica, mediante un proceso.
  • 3. 2.1. Requisitos generales del sistema de gestión de la seguridad Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Cualquier actividad que emplea recursos y es administrada para transformar entradas en salidas, puede ser considerada como un “proceso”. A menudo, estas salidas son aprovechadas nuevamente como entradas, generando una realimentación. Los requisitos que exige este estándar internacional son genéricos y aplicables a la totalidad de las organizaciones, independientemente de su tamaño o sector de actividad. En particular, no se acepta la exclusión de los requerimientos especificados en los apartados 4, 5, 6, 7 y 8 cuando una organización solicite su conformidad con esta norma. Estos apartados son las que realmente conforman el cuerpo principal de la norma: • Sistema de gestión de la seguridad de la información. • Responsabilidad de la dirección. • Auditorias internas del SGSI. • Revisión del SGSI por la dirección. • Mejora del SGSI.
  • 4. Lo que la norma reclama es que exista un sistema documentado (política, análisis de riesgos, procedimientos, etc.), donde la dirección colabore activamente y se implique en el desarrollo y gestión del sistema. El sistema constara de una documentación en varios niveles: • Políticas, que proporcionan las guías generales de actuación en cada caso. • Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas previstas. • Registros, que son las evidencias de que se han llevado a cabo las actuaciones establecidas.
  • 5. 2.2. Establecimiento y gestión del SGSI Establecimiento del SGSI La norma establece una serie de requisitos, que se detallan a continuación. Para satisfacerlos, la organización debe buscar los medios mas apropiados a sus circunstancias, necesidades y, por supuesto, los recursos disponibles. Los requisitos en muchos casos no se encuentran definidos. La organización sabe, en términos generales, que nivel de seguridad desea, pero no existen mecanismos para expresarlo y documentarlo. Hay que concretar esas necesidades que se perciben para poder comenzar el diseño del SGSI. Sabiendo que se necesita se podrán proponer opciones y tomar decisiones.
  • 6. Cuando una empresa decide adaptarse a esta norma , básicamente se emprenderán las actividades que se detallan a continuación, y que como tienen que ser documentadas, al finalizarlas, el SGSI contara ya con los siguientes documentos: • Política de seguridad, que contendrá las directrices generales a las que se ajustara la organización en cuanto a seguridad, así como la estrategia a seguir a la hora de establecer objetivos y líneas de actuación. La política estará alineada con el resto de los objetivos del negocio y políticas de gestión que existan en la organización. Esta política estará aprobada por la dirección. • Inventario de activos, que detallara los activos dentro del alcance del SGSI, así como los propietarios y la valoración de tales activos. • Análisis de riesgos, con los riesgos identificados basándose en la política de la organización sobre seguridad de la información y el grado de seguridad requerido. • Las decisiones de la dirección respecto a los riesgos identificados, asi como la aprobación de los riesgos residuales. • Documento de aplicabilidad con la relación de los controles que son aplicables para conseguir el nivel de riesgo residual aprobado por la dirección.
  • 7.
  • 8. 2- Definición del alcance del SGSI Es decir, sobre que proceso (o procesos) va a actuar, ya que no es necesaria la aplicación de la norma a toda la entidad. Hay que evaluar los recursos que se pueden dedicar al proyecto y si realmente es preciso abarcar organización. Normalmente es mas practico limitar el alcance del SGSI a aquellos servicios, departamentos o procesos en los que resulte mas sencillo, bien porque el esfuerzo va a ser menor o porque la visibilidad del proyecto (interna o externa) es mayor 3-Definición de la política de seguridad Decidir que criterios se van a seguir, estableciendo las principales líneas de acción que se van a seguir para que confidencialidad, la integridad y la disponibilidad queden garantizadas. Aunque a veces son difíciles de documentar, es esencial que el SGSI este alineado con el resto de las estrategias, planes y modos de funcionar la organización para que pueda integrarse en el día a día sin complicaciones y rindiendo resultados desde el principio. 4-Identificación de los activos de información Se deben identificar junto con sus responsables. El SGSI va a proteger los activos que queden dentro del alcance definido, por eso es vital listarlos todos, lo cual no significa que haya que cada componente de los sistemas de información y cada documento que se maneje en la empresa, pero si es indispensable identificar que activos son los que soportan los procesos de la organización. 5-Definición del enfoque del análisis de riesgos Hay que decidir como se enfocara el análisis de riesgos. El análisis de riesgos determinara las amenazas y vulnerabilidades de los activos de información previamente inventariados. Esta tarea es crucial para el correcto diseño del SGSI, puesto que de su resultado depende que se escojan unos controles u otros, que son los que conformaran nuestro sistema. 6-Cómo escoger la metodología del análisis de riesgos Puesto que la norma únicamente establece que los resultados han de ser comparables y repetibles, debe escogerse aquella metodología que mejor se adapte a los modos de trabajo de la organización, así el ejercicio se integrara sin problemas en el trabajo cotidiano. Además, ayuda a que los resultados sean mas aceptables por la organización y a que se pueda mantener en el tiempo. En particular es necesario documentar en esta fase: • La política de seguridad, que además debe aprobarse por la dirección. • La metodología a seguir para realizar el análisis de riesgos.
  • 9. 7-Tratamiento de los riesgos Obtenidos los niveles de riesgo, hay que decidir si son aceptables o no, según el criterio fijado previamente. Si lo son, hay que evaluar como se van a tratar esos riesgos: • Mitigar el riesgo. Es decir, reducirlo, mediante la implementación de controles que disminuyan el riesgo hasta un nivel aceptable. • Asumir el riesgo. La dirección tolera el riesgo, ya que esta por debajo de un valor de riesgo asumible o bien porque no se puede hacer frente razonablemente a ese riesgo, por costoso o por difícil. La dirección debe que los activos con un valor de riesgo inferior no estarán sometidos a controles que mitiguen el riesgo. • Transferir el riesgo a un tercero. Por ejemplo, asegurando el activo que tiene el riesgo o subcontratando el servicio. Aun así, evidenciar que la responsabilidad sobre el activo permanece siempre en manos de la organización y tener en cuenta que hay danos, como los causados a la reputación de la organización, que difícilmente son cubiertos por ningún seguro. • Eliminar el riesgo. Aunque no suele ser la opción mas viable, ya que puede resultar complicado o costoso. 8-Selección de controles La selección de controles es un punto critico del SGSI. A la hora de escoger o rechazar un control se debe considerar hasta que punto ese control va a ayudara reducir el riesgo que hay y cual va a ser el coste de su implementación y mantenimiento. 9-Gestión de riesgos Una vez seleccionados los controles se repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas seguridad implementadas y aquellas elegidas para hacerlo. 10-Declaración de aplicabilidad El siguiente requisito de la norma es la preparación de una declaración de aplicabilidad, que debe incluir: • Los objetivos de control y los controles seleccionados, con las razones de esta selección. • Los objetivos de control y los controles actualmente implementados, con una justificación. • La exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y la justificación dicha exclusión.
  • 10. 11-Implementación y puesta en marcha del SGSI Para poner en marcha el SGSI la dirección tiene que aprobar la documentación desarrollada en las actividades detalladas en el punto anterior y proveer los recursos necesarios para ejecutar las actividades. bien este objetivo puede lograrse a través de diversos esquemas, dependiendo de la estructura y tamaño de la organización, en cualquier caso se ha de contar con la designación de: • Un responsable de seguridad, que coordine las tareas y esfuerzos en materia de seguridad. Actuara como de todos los aspectos de seguridad de la organización y sus responsabilidades cubrirán todas las funciones de seguridad. • Un comité de seguridad que trate y busque soluciones a los temas de seguridad, resuelva los asuntos interdisciplinarios y apruebe directrices y normas. 12-Control y revisión del SGSI La revisión del SGSI forma parte de la fase del Check (comprobar) del ciclo PDCA. Hay que controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. 13-Mantenimiento y mejora del SGSI La seguridad es un proceso en continuo cambio. Las organizaciones no son estáticas y su gestión tampoco lo Por lo tanto, seria un grave error considerar que una vez analizados los riesgos y definidas las medidas para reducirlos se haya terminado el trabajo. Un sistema de gestión debe mantenerse y mejorarse en lo posible para que resulte efectivo. El mantenimiento incluye el detectar mejoras e implementarlas, aprender de los defectos y errores identificados, y aplicar acciones correctivas y preventivas donde sea apropiado.
  • 11. 2.3. Requisitos de documentación 1-Generalidades El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las políticas y las acciones tomadas y que se pueda demostrar que los controles seleccionados lo han sido como resultado de estas decisiones y del análisis de riesgos. Por ello es necesario tener documentado: • La política y los objetivos del SGSI. • El alcance del SGSI. • Una descripción de la metodología de análisis del riesgo. • El inventario de activos. • Los procedimientos y controles de apoyo al SGSI. • El análisis del riesgo. • El plan de tratamiento del riesgo. • La declaración de aplicabilidad. • Los procedimientos necesarios para la implementación de los controles y para asegurarse de que se cumplan los objetivos. • Los registros requeridos por la norma. 2-Control de documentos Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorias, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.). Los procedimientos de documentación deben contemplar como se generan, aprueban, revisan y actualizan los documentos según sea necesario.
  • 12. 3-Control de registros Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos. Ejemplo de registros son el libro de visitas, los informes auditorias y los logs de los sistemas. Los registros estarán protegidos y controlados teniendo en cuenta cualquier requisito de tipo legal, reglamentario obligación contractual. Permanecerán legibles, fácilmente identificables y recuperables. Los controles necesarios para la identificación, almacenamiento, protección, recuperación, tiempo de conservación y disposición de los registros se encontraran documentados e implementados. Deberán guardarse todos los registros del funcionamiento del proceso y las incidencias de seguridad significativas relacionadas con el SGSI.
  • 13. 2.4. Compromiso de la dirección Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la dirección, no solo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de cultura y concienciación que genera el proceso seria imposible de sobrellevar sin el compromiso constante de la dirección. La forma en la que se plasma este compromiso es colaborando o ejecutando, según los casos, las siguientes tareas: • Establecer la política del SGSI. • Asegurar que se establecen los objetivos y planes del SGSI. • Asignar los roles y las responsabilidades para la seguridad de la información. • Comunicar a la organización la conveniencia del cumplimiento de los objetivos de seguridad de la información y, conforme a la política de seguridad de la información, sus responsabilidades legales y la necesidad de la mejora continua. • Proporcionar recursos suficientes para implementar, mantener y mejorar el SGSI. • Decidir los criterios de aceptación de los riesgos. • Verificar que se realizan las auditorias internas del SGSI. • Dirigir la gestión de las revisiones del SGSI.
  • 14. 2.5. Gestión de los recursos Como se comentaba anteriormente, es la dirección la que debe gestionar los recursos. Ha de comenzar por proveer de recursos al desarrollo y mantenimiento del SGSI en función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI. Hay que contar con las diversas tareas que implica el funcionamiento, la verificación y la mejora del sistema, puesto que conservar el nivel de seguridad que aporta el SGSI solo puede lograrse comprobando regularmente que los procedimientos de seguridad están alineados con el negocio, que cumplen con los requisitos legales, que los controles están correctamente implementados y que se llevan a cabo las acciones oportunas para corregir errores y mejorar el sistema. Este punto es uno de los factores críticos de éxito. Sin una colaboración activa del personal es muy difícil implementar con éxito un SGSI.
  • 15. 2.6. Formación La norma exige que todos los trabajadores con responsabilidades definidas en el SGSI sean competentes para efectuar las actividades necesarias. Esto significa que hay que definir las competencias necesarias y, en función de tales necesidades, proporcionar la formación a la plantilla o adoptar otras acciones para satisfacerlas (por ejemplo, la contratación de personal competente). En la medida que seamos capaces de formar al personal y concienciarlo de que es fundamental ceñirse a las normas de seguridad, reduciremos drásticamente la probabilidad de fallos y su potencial impacto.
  • 16. 2.7. Auditorías internas Una de las herramientas mas interesantes para controlar el funcionamiento del SGSI son las auditorias internas. Estas auditorias deben programarse y prepararse regularmente, normalmente una vez al ano. Esta programación se recogerá en el plan de auditorias. A la hora de desarrollar el plan de auditorias hay que fijarse en: • El estado e importancia de los procesos y las áreas que serán auditadas, de este modo se determinara el tiempo y los recursos que habrá que destinar para efectuar la auditoria. • Los criterios de la auditoria. • El alcance, si va a ser global (va a abarcar toda la empresa) o parcial (solo una parte). • La frecuencia de realización de las auditorias, sabiendo que cada tres anos, al menos, toda la organización debe ser auditada. • Los métodos que se van a utilizar para hacer las auditorias.
  • 17. 2.8. Revisión por la dirección La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. El proceso de revisión por la dirección no debería ser un ejercicio ejecutado únicamente para cumplir los requisitos de la norma y de los auditores, sino que debería ser una parte integral del proceso de gestión del negocio de la organización. Esta revisión es una de las pocas tareas que se le asigna específicamente a la dirección, por lo que posee relevancia en varios aspectos: mantiene a la dirección en contacto con la realidad del SGSI, ya que lógicamente no se encuentra involucrada en el día a día, pero es importante que este al tanto de los trabajos realizados, de los logros obtenidos y de los problemas que aparezcan.
  • 18. 1-Entradas a la revisión Los resultados de la revisión deben ser documentados para proporcionar evidencia de su realización, involucrar la dirección en la gestión del sistema y apoyar las acciones de mejora. Las entradas a la revisión pueden ser: • Los resultados de las auditorias y las revisiones del SGSI. • Comentarios de las partes interesadas (usuarios de los sistemas de información, contratistas, clientes, etc.). • Técnicas, productos o procedimientos que podrían ser empleados en la organización para mejorar el funcionamiento y la efectividad del SGSI. • El estado de las acciones preventivas y correctivas. • Las vulnerabilidades o amenazas que no se han tratado adecuadamente en análisis de riesgos anteriores. • Los resultados de las métricas de efectividad. • Las acciones de seguimiento de anteriores revisiones por la dirección. • Cualquier cambio que pudiera afectar al SGSI. • Recomendaciones para la mejora. 2-Salidas de la revisión Los resultados de la revisión pueden ser de varios tipos: • Identificación de acciones para mejorar la efectividad del SGSI. • Actualización de la evaluación y la gestión de riesgos. • Modificación de los procedimientos y controles que afectan a la seguridad de la información para ajustarse a incidentes o cambios en: – Requisitos de negocio, de seguridad o legales. – Procesos de negocio que tengan efecto en los requisitos de negocio existentes. – Obligaciones contractuales. – Niveles de riesgo y/o criterios para aceptar los riesgos. – Necesidades de recursos. • Realización de mejoras en la manera de medir la efectividad de los controles.
  • 19. 2.9. Mejora continua La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo. Es un punto fundamental en cualquier sistema de gestión según las normas ISO. Este concepto también es crucial en todos los modelos de mejora de procesos o negocio que existen. En pura lógica, cualquier organización desea hacer las cosas cada vez mejor (mejores productos, mas baratos, en menos tiempo, mayores beneficios), por lo que la mejora continua es un concepto empresarial de primer orden.
  • 20. 1-Acción correctiva La acción correctiva se define como la tarea que se emprende para corregir una no conformidad significativa cualquiera de los requisitos del sistema de gestión de seguridad de la información. Localizado el problema debe determinarse la relación causa-efecto, considerando todas las causas posibles. A veces no es fácil dilucidar cuales son las causas exactas del problema, pero hay que intentar aproximarse lo posible. 2-Acción preventiva Las acciones preventivas se aplican para evitar la aparición de futuras no conformidades. Son acciones encaminadas a eliminar la causa de una posible no conformidad. Se puede decidir abrir acciones preventivas a raíz de observaciones detalladas en las auditorias internas o externas, del análisis de la evolución de los objetivos y de los resultados de las actividades de revisión, ya que pueden utilizarse como fuentes de información para el establecimiento de acciones preventivas: • Los resultados de la revisión por la dirección. • Los resultados de los análisis de incidencias y objetivos. • Los registros. • El personal.
  • 21. 2.10. El anexo A El anexo A contiene los 133 controles considerados como las mejores practicas en seguridad de la información y que se detallan en la Norma UNE-ISO/IEC 27002. A lo largo de la Norma UNE-ISO/IEC 27001 se referencia este anexo como el punto de partida para la selección de controles. Es decir, cuando se esta desarrollando el SGSI, al llegar a dicha tarea, se debe utilizar esta tabla como lista de chequeo para decidir si procede o no aplicar cada uno de los controles. El resultado de este chequeo se documentara en el documento de aplicabilidad.