Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Implementación efectiva de un SGSI ISO 27001

Anuncio 
MÉXICO
COSTA RICA
PANAMÁ
COLOMBIA
ECUADOR
BRASIL
PERÚ
URUGUAY
CHILE
ARGENTINA
Implementación efectiva de un SGSI ISO 27001.
Rodrigo Baldecchi Q.
Gerente Corporativo de Calidad
04-SEP-14
ÍNDICE
1. Encuadre general.
2. La intención y el control.
3. Alcance.
4. Roadmap.
5. Implementación.
6. Política de SI.
7. Organización.
8. Riesgo.
9. Matriz SOA.
10. Incidentes de SI.
11. Plan de Continuidad del negocio.
12. Medición y mejora.
13. Cambio de versión de la norma.
2
2
www.sonda.com
14. Preguntas.
Presentación ISO 27001 en congreso CIGRAS
Encuadre general
 La información es un activo esencial y es decisiva para la
viabilidad de una organización. Adopta diferentes formas, impresa,
escrita en papel, digital, transmitida por correo, mostrada en
videos o hablada en conversaciones.
 Debido a que está disponible en ambientes cada vez más
interconectados, está expuesta a amenazas y vulnerabilidades.
 La seguridad de la información es la protección de la información
contra una amplia gama de amenazas; para minimizar los daños,
ampliar las oportunidades del negocio, maximizar el retorno de las
inversiones y asegurar la continuidad del negocio.
 Se va logrando mediante la implementación de un conjunto
adecuado de políticas, procesos, procedimientos, organización,
controles, hardware y software y, lo más importante, mediante
comportamientos éticos de las personas.
3
3
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
La intención y el control
 El aumento del control sobre las actividades de las personas.
 ¿Es posible controlar las intenciones de las personas?
 Por lo tanto, se requiere ir más lejos…
4
4
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Sistemas de gestión
 Para ISO (International Organization for Standardization) un
sistema de gestión queda definido por un proceso de 4 etapas,
creado por Walter Andrew Shewhart (1891 – 1967) y
popularizado por William Edwards Deming (1900 – 1993),
Planificar (Plan), Implementar (Do), Medir (Check) y Mejorar (Act).




Planificar
Implementar
Medir
Mejorar
5
5
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Conceptos generales de un SGSI
 ISO 27001 es un Sistema de Gestión de la Seguridad de la
Información (SGSI).
 La seguridad de la información queda definida por tres atributos:
a) Confidencialidad; b) Integridad; c) Disponibilidad.
 La seguridad de la información (SI) es la protección de la
información contra una amplia gama de amenazas respecto a: i)
Minimizar daños; ii) Oportunidades del negocio; iii) Retorno de la
inversión; iv) Continuidad del negocio; v) Cultura ética.
 El SGSI garantiza la SI mediante una estructura de buenas
prácticas, definidas por: a) Gestión de riesgos; b) Políticas; c)
Procesos; d) Procedimientos; e) Controles; f) Revisiones; g)
Mejoras.
6
6
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Conceptos básicos de SI
 La Seguridad de la Información consiste en mantener:
 Confidencialidad: Información disponible exclusivamente a personas
autorizadas.
 Integridad: Mantenimiento de la exactitud y validez de la información,
protegiéndola de modificaciones o alteraciones no autorizadas. Contra la
integridad la información puede parecer manipulada, corrupta o incompleta.
 Disponibilidad: Acceso y utilización de los servicios sólo y en el momento de
ser solicitado por una persona autorizada.
Seguridad de la información
Confidencialidad
7
www.sonda.com
Integridad
Disponibilidad
Presentación ISO 27001 en congreso CIGRAS
Alcance
 Por ejemplo, el alcance del SGSI queda cubierto por los procesos
de las siguientes áreas:
 Facility
• Espacio físico; energía eléctrica; aire acondicionado; protección
contra incendios; accesos…
 Administración
• Monitoreo; accesos lógicos; bases de datos; aplicativos…
 Explotación/Respaldo
• Mallas de procesos; almacenamiento de información…
 Comunicaciones
• Redes de datos; seguridad lógica; monitoreo equipos de
comunicaciones; enlaces…
 SAP
• Administración de sistemas SAP.
8
8
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Roadmap
ETAPA I
Documentación
ETAPA II
Implementación
Capacitación
formal en el
SGSI
Difundir
Documentar
requisitos
normativos
Capacitar
Publicar
documentación
del SGSI
Marzo - Mayo
ETAPA III
Análisis crítico
ETAPA IV
Certificación
Auditorías
Internas
Precertificación
Mejoras
Certificación
Implementar
Septiembre Octubre
Junio - Agosto
Noviembre
2014
9
9
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Implementación
Organización
Gap
Activos
Gap
Comunicac
iones
Gap
SAP
Calidad
Gap
Política
Explotació
n/Respaldo
Calidad
Requisitos
Administra
ción
Calidad
Facility
Calidad
ISO 27001
Servicios de Data Center & Cloud
Calidad
Calidad
Gap
Cumplimiento
Oficial de Seguridad
10
www.sonda.com
Gap
Calidad
Gap
Calidad
Gap
Gap
Calidad
…
Gap
Calidad
…
Calidad
RRHH
(Gap) (Gap) (Gap) (Gap) (Gap)
Responsable
Responsable
Responsable
Responsable
Responsable 10
Presentación ISO 27001 en congreso CIGRAS
Matriz de responsabilidades
Áreas
Rol
Nombre
Responsabilidades
Calidad
Oficial de
seguridad de
SONDA
Marcelo
Aravena M.
1.- Hacer el gap análisis. Es decir, comparar, mediante
entrevistas a los roles elegidos, lo que actualmente se
hace en las áreas del alcance, respecto a lo que se debe
hacer, según ISO 27001.
2.- Garantizar que los requisitos de la norma ISO 27001,
en función del gap análisis, queden correctamente
implementados en las áreas dentro del alcance. Se
preocupa del ¿qué se debe hacer?
3.- Elaborar la documentación del SGSI.
4.- Dedicación prioritaria a este proyecto.
5.- En régimen, es el responsables de auditar el SGSI, de
las Revisiones Gerenciales, del CSI y de la relación con
el organismo de certificación externo.
G. Servicios de
Data Center
Gerente de área
Sergio
Rademacher L.
1.- Definir el alcance. Es decir, las áreas y los sistemas.
2.- Aprobar la documentación del SGSI.
Seguridad
Oficial de
Seguridad Data
Center
Jacob Delgado
S.
1.- Definir el ¿Cómo? Se implementará los
procedimientos del SGSI.
2.- En régimen, debe asegurar el cumplimiento del
modelo. Es decir, cuida que se haga lo que está
declarado en los procedimientos.
11
11
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Matriz de responsabilidades
Áreas
Facility
Administración
Rol
Nombre
Jefe Data Center
Quilicura
Miguel Soto
Jefe Data Center
Teatinos y Santa
Isabel
José M. Arriagada
Supervisor de
Base de Datos
Freddy Espinoza
Supervisor de
administración
Unix
Tomás Jiménez
Supervisor de
administración
Microsoft
Cristián Leiva
Supervisor de
sistemas de
virtualización.
Richard Cáceres
Responsabilidades
Entregan al OSI de Calidad la
información y la evidencia de lo que
actualmente se hace, de tal manera de
determinar el gap análisis.
12
12
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Definición de política
13
13
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Política de seguridad de la información
 Política general de SI.
 Política de SI por dominio.
14
14
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Organización
 Comité de seguridad de la Información (CSI) (A 6.1.2 ó A 6.1.3)
“Se deben mantener los contactos apropiados con las autoridades
pertinentes.”
 Deben estar representadas todas las áreas de la empresa.
 G. General; G. Negocios; G. Logística; G. Personas; G. Contraloría;
D. Legal; G. Calidad; OSI.






Oficial de seguridad de la información.
Área de calidad.
Auditores internos en calidad y seguridad de la información.
Revisiones Gerenciales
Políticas
Procesos y procedimientos
15
15
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Riesgo operacional

¿Qué es el riesgo operacional?
El Comité de Basilea II lo define como: “el riesgo de pérdidas debido a la
inadecuación o a fallas en los procesos, personal y sistemas internos o por causa
de eventos externos”

¿Qué es la gestión de riesgo operacional?
Más allá de la definición de riesgo operacional, lo importante es contar
con un proceso de gestión de riesgos operativos o riesgos operacionales.
Este proceso de riesgo operacional es el que debería garantizar la buena
gestión de los riesgos según los estándares internacionales.
Según el Comité de Basilea II, se entiende por “gestión” de riesgo
operacional al proceso de “identificación, evaluación, seguimiento y control”
del riesgo operacional.
Conclusión: La “gestión de riesgo" es un proceso esencial en la empresa.
16
16
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Gestión de riesgo - Metodología








Productos o servicios
Procesos - Activos
Amenazas
Vulnerabilidades
Probabilidad de ocurrencia
Impacto
Nivel de riesgo > 2
Tratamiento del riesgo
•
•
•
•
Mitigar
Aceptar
Transferir
Eliminar
 Proyecto
 Nuevo nivel de riesgo ≤ 2
 Medición de la eficacia
17
www.sonda.com
IMPACTO
 Matriz de Riesgo
Muy Alto
3
3
4
5
5
Alto
3
3
3
4
5
Moderado
2
3
3
3
4
Bajo
1
2
3
3
3
Mínimo
1
1
2
3
3
Probable
Muy
probable
Extremada
mente
probable
Extremada
Muy
mente
improbable
improbable
PROBABILIDAD
17
Presentación ISO 27001 en congreso CIGRAS
Gestión de riesgo - Evolución
(#) riesgos aceptados
18
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Matriz SOA
 Declaración de aplicabilidad (SOA: Statement of Applicability)
 Se construye una tabla con el dominio, control, justificación de la
exclusión, documento.
19
19
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Incidentes de Seguridad de la Información
 Definir cuáles serán tratados. Por ejemplo, los incidentes mayores.
(Como se trata de un tema de cambio cultural, la recomendación es ir
desde lo simple a lo complejo.)
 Procedimiento de incidentes de SI.
 Tratamiento.
20
20
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Plan de continuidad del negocio







Alcance.
BIA.
Gestión de riesgo.
Estrategias de continuidad.
Plan de Continuidad.
Pruebas.
Mejoras.
21
21
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Auditorías internas





Preparación de auditores.
Calendario.
Ejecución del calendario.
Tratamiento de hallazgos.
Mejoras.
SGSI ISO 27001
PROGRAMA DE AUDITORÍAS AÑO 2014 FACILITIES
Auditorías Internas
Revisión Gerencial
Auditoría de Pre-certificación
Auditoría de Vigilancia
Auditoría de re-certificación
AI
RG
AP
AV
AR
Ger. Datacenter/Ger. Calidad
Aprobado por
Fecha
Realizada
Programada
No realizada
1-mar-14
Indicador general
Enero
Requisitos Normativos
06
4 Sistema de Gestión de Seguridad de la
Información
4.1 Requisitos Generales
4.2 Establecer y manejar el SGSI
4.2.1 Establecer el SGSI
4.2.2 Implementar y operar el SGSI
4.2.3 Monitorear y revisar el SGSI
4.2.4 Mantener y mejorar el SGSI
4.3 Requisitos de documentación
4.3.1 General
4.3.2 Control de documentos
4.3.3 Control de registros
13
20
Febrero
27
03
10
17
Marzo
24
03
10
17
Abril
24
14
21
Mayo
28
05
12
19
Junio
26
02
09
16
Julio
23
30
07
14
21
Agosto
28
04
11
18
Septiembre
25
01
08
15
22
Octubre
29
06
13
20
Noviembre
27
03
10
17
Diciembre
31
07
24
01
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
08
15
22
29
5 Responsabilidad de la gerencia
5.1 Compromiso de la gerencia
5.2 Gestión de recursos
5.2.1 Provisión de recursos
5.2.2 Capacitación, conocimiento y capacidad
6 Auditorías Internas SGSI
Procedimiento de auditorías internas
Plan de auditorías internas
Tratamiento de no-conformidades
7 Revisión Gerencial
7.1 General
7.2 Insumo de la revisión
7.3 Resultado de la revisión
8 Mejoramiento del SGSI
8.1 Mejoramiento continuo
8.2 Acción correctiva
8.3 Acción preventiva
22
9 Objetivos de control y controles
Anexo A de la norma
22
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Revisiones gerenciales
 La alta dirección debe revisar el SGSI, según la planificación
definida, según conveniencia, suficiencia y efectividad.
 Estado de las acciones, en función de las RG anteriores.
 Los cambios internos y externos relevantes para el SGSI.
 Desempeño de:








NC y acciones correctivas.
Mediciones e indicadores.
Resultado de auditorías internas y externas.
Cumplimiento de los objetivos de la SI.
Comentarios de partes interesadas.
Resultado de la evaluación y tratamiento de riesgo.
Oportunidades para la mejora continua.
Acta que evidencie las acciones y los acuerdos de la RG.
23
23
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
El punto de partida de la seguridad de la información
 Un cierto número de controles puede ser considerado un buen
punto de partida para implementar la seguridad de la información.
Estos están basados en requisitos legales esenciales o que se
consideren práctica habitual de la seguridad de la información.






Protección de los datos y la privacidad de la información personal.
Protección de los registros de la información.
Derechos de la propiedad intelectual.
Documentación de la política de seguridad de la información.
Asignación de responsabilidades.
Concienciación, formación y capacitación en seguridad de la
información.
 Vulnerabilidad técnica.
 Gestión de incidentes de seguridad.
 Gestión de continuidad del negocio.
24
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Recomendaciones
 ¿Cómo implementar buenas prácticas?
 Diferencia entre el “qué se debe hacer” y el “cómo se hace”
 Establecer acuerdos.
 El rol de las personas
 Actitudes
 Aptitudes
 Los ámbitos
 Predisponen (para bien o para mal)
 Relacionan y mezclan niveles.
 Que sean armónicos y no disonantes…
 Los procesos
 Procedimientos
 Las relaciones entre los procesos
 La implementación
25
25
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Cambio de versión de la norma ISO 27001
ISO
27001:2005
ISO
27001:2013
8 puntos
clásicos.
Anexo SL
11 dominios
14 dominios
133 controles
113 controles
Notas
Garantizar la coherencia entre las futuras y actuales normas de
sistemas de gestión.
Favorecer la integración de sistemas de gestión.
Facilitar a los usuarios la comprensión y entendimiento de las
normas de gestión.
Las principales modificaciones se ven reflejadas en la estructura
y el contenido de los controles que conforman el Anexo “A”, todo
como resultado de un proceso de fusión, exclusión e
incorporación de nuevos controles de seguridad.
26
26
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Estructura del nuevo estándar
27
27
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Dominios ISO 27001
ISO 27001:2005 (11 dominios; 133 controles)
ISO 27001:2013 (14 dominios; 113 controles)
A.5
Política de seguridad.
A.5
Política de seguridad.
A.6
Organización de la seguridad de la información.
A.6
Organización de la seguridad de la información.
A.7
Gestión de activos.
A.7
Seguridad de los RRHH.
A.8
Seguridad de los RRHH.
A.8
Gestión de activos.
A.9
Seguridad física y del ambiente.
A.9
Control de accesos.
A.10
Gestión de comunicaciones y operaciones.
A.10
Criptografía.
A.11
Control de acceso.
A.11
Seguridad física y ambiental.
A.12
Adquisición, desarrollo y mantenimiento de
sistemas de información.
A.12
Seguridad en las operaciones.
A.13
Gestión de incidentes de seguridad de la
información.
A.13
Transferencia de información.
A.14
Gestión de la continuidad del negocio.
A.14
Adquisición de sistemas, desarrollo y mantenimiento.
A.15
Cumplimiento.
A.15
Relación con proveedores.
A.16
Gestión de los incidentes de seguridad.
A.17
Continuidad del negocio.
A.18
Cumplimiento con requerimientos legales y
contractuales.
28
www.sonda.com
28
Presentación ISO 27001 en congreso CIGRAS
Documentos del SGSI
Requisito
Descripción
Alcance del SGSI
Ámbito de la organización que queda sometido al SGSI, incluyendo una identificación
clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas
partes que no hayan sido consideradas.
Política y objetivos de seguridad
Documento de contenido genérico que establece el compromiso de la dirección y el
enfoque de la organización en la gestión de la seguridad de la información.
Procedimientos y controles del
SGSI
Aquellos procedimientos que regulan el propio funcionamiento del SGSI.
Declaración de aplicabilidad:
(SOA -Statement of Applicability)
Documento que contiene los objetivos de control y los controles contemplados por el
SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos,
justificando inclusiones y exclusiones.
Metodología de evaluación de
riesgos
Descripción de la forma como se realizará la evaluación de las amenazas,
vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de
información dentro del alcance definido, y los criterios de aceptación de riesgo.
Informe de evaluación y plan de
tratamiento de riesgos
Estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a
los activos de información de la organización. Plan de tratamiento de los riesgos.
Plan de continuidad del negocio
Documento que identifica los planes para enfrentar diferentes escenarios. Las pruebas,
los análisis del resultado de las pruebas y las acciones de mejoras del plan.
Procedimientos documentados
Todos los necesarios para asegurar la planificación, operación y control de los procesos
de seguridad de la información, así como para la medida de la eficacia de los controles
implantados.
Registros
Evidencia objetiva del funcionamiento del SGSI.
29
29
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Tel (56-2) 657 50 00
Fax (56-2) 657 54 10
Teatinos 500 /
Santiago / CHILE
www.SONDA.com
Rodrigo Baldecchi
[email protected]
FIN
30
www.sonda.com
30
Presentación ISO 27001 en congreso CIGRAS
Documentos relacionados
Responsabilidad social : materias fundamentales
Responsabilidad social : materias fundamentales
Los Tecnológicos que conforman el grupo D, establecen el
Los Tecnológicos que conforman el grupo D, establecen el
Misión: Agregar valor a sus clientes mediante el mejor uso
Misión: Agregar valor a sus clientes mediante el mejor uso
Documento872511 872511
Documento872511 872511
Centro de Investigaciones en granos y semillas (CIGRAS)
Centro de Investigaciones en granos y semillas (CIGRAS)
Descargar
Anuncio
Anuncio