Documente Academic
Documente Profesional
Documente Cultură
COSTA RICA
PANAM
COLOMBIA
ECUADOR
BRASIL
PER
URUGUAY
CHILE
ARGENTINA
NDICE
1. Encuadre general.
2. La intencin y el control.
3. Alcance.
4. Roadmap.
5. Implementacin.
6. Poltica de SI.
7. Organizacin.
8. Riesgo.
9. Matriz SOA.
10. Incidentes de SI.
11. Plan de Continuidad del negocio.
12. Medicin y mejora.
13. Cambio de versin de la norma.
2
2
www.sonda.com
14. Preguntas.
Presentacin ISO 27001 en congreso CIGRAS
Encuadre general
La informacin es un activo esencial y es decisiva para la
viabilidad de una organizacin. Adopta diferentes formas, impresa,
escrita en papel, digital, transmitida por correo, mostrada en
videos o hablada en conversaciones.
Debido a que est disponible en ambientes cada vez ms
interconectados, est expuesta a amenazas y vulnerabilidades.
La seguridad de la informacin es la proteccin de la informacin
contra una amplia gama de amenazas; para minimizar los daos,
ampliar las oportunidades del negocio, maximizar el retorno de las
inversiones y asegurar la continuidad del negocio.
Se va logrando mediante la implementacin de un conjunto
adecuado de polticas, procesos, procedimientos, organizacin,
controles, hardware y software y, lo ms importante, mediante
comportamientos ticos de las personas.
3
www.sonda.com
La intencin y el control
El aumento del control sobre las actividades de las personas.
Es posible controlar las intenciones de las personas?
Por lo tanto, se requiere ir ms lejos
4
www.sonda.com
Sistemas de gestin
Para ISO (International Organization for Standardization) un
sistema de gestin queda definido por un proceso de 4 etapas,
creado por Walter Andrew Shewhart (1891 1967) y
popularizado por William Edwards Deming (1900 1993),
Planificar (Plan), Implementar (Do), Medir (Check) y Mejorar (Act).
Planificar
Implementar
Medir
Mejorar
5
www.sonda.com
6
www.sonda.com
Conceptos bsicos de SI
La Seguridad de la Informacin consiste en mantener:
Confidencialidad: Informacin disponible exclusivamente a personas
autorizadas.
Integridad: Mantenimiento de la exactitud y validez de la informacin,
protegindola de modificaciones o alteraciones no autorizadas. Contra la
integridad la informacin puede parecer manipulada, corrupta o incompleta.
Disponibilidad: Acceso y utilizacin de los servicios slo y en el momento de
ser solicitado por una persona autorizada.
Seguridad de la informacin
Confidencialidad
7
www.sonda.com
Integridad
Disponibilidad
Alcance
Por ejemplo, el alcance del SGSI queda cubierto por los procesos
de las siguientes reas:
Facility
Espacio fsico; energa elctrica; aire acondicionado; proteccin
contra incendios; accesos
Administracin
Monitoreo; accesos lgicos; bases de datos; aplicativos
Explotacin/Respaldo
Mallas de procesos; almacenamiento de informacin
Comunicaciones
Redes de datos; seguridad lgica; monitoreo equipos de
comunicaciones; enlaces
SAP
Administracin de sistemas SAP.
8
8
www.sonda.com
Roadmap
ETAPA I
Documentacin
ETAPA II
Implementacin
Capacitacin
formal en el
SGSI
Difundir
Documentar
requisitos
normativos
Capacitar
Publicar
documentacin
del SGSI
Marzo - Mayo
ETAPA III
Anlisis crtico
ETAPA IV
Certificacin
Auditoras
Internas
Precertificacin
Mejoras
Certificacin
Implementar
Septiembre Octubre
Junio - Agosto
Noviembre
2014
9
www.sonda.com
Implementacin
Organizacin
Gap
Activos
Gap
Comunicac
iones
Gap
SAP
Calidad
Gap
Poltica
Explotaci
n/Respaldo
Calidad
Requisitos
Administra
cin
Calidad
Facility
Calidad
ISO 27001
Calidad
Calidad
Gap
Cumplimiento
Oficial de Seguridad
10
www.sonda.com
Gap
Calidad
Gap
Calidad
Gap
Gap
Calidad
Gap
Calidad
Calidad
RRHH
Responsable
Responsable
Responsable
Responsable 10
Matriz de responsabilidades
reas
Rol
Nombre
Responsabilidades
Calidad
Oficial de
seguridad de
SONDA
Marcelo
Aravena M.
G. Servicios de
Data Center
Gerente de rea
Sergio
Rademacher L.
Seguridad
Oficial de
Seguridad Data
Center
Jacob Delgado
S.
11
11
www.sonda.com
Matriz de responsabilidades
reas
Facility
Administracin
Rol
Nombre
Miguel Soto
Jos M. Arriagada
Supervisor de
Base de Datos
Freddy Espinoza
Supervisor de
administracin
Unix
Toms Jimnez
Supervisor de
administracin
Microsoft
Cristin Leiva
Supervisor de
sistemas de
virtualizacin.
Richard Cceres
Responsabilidades
12
12
www.sonda.com
Definicin de poltica
13
13
www.sonda.com
14
14
www.sonda.com
Organizacin
Comit de seguridad de la Informacin (CSI) (A 6.1.2 A 6.1.3)
Se deben mantener los contactos apropiados con las autoridades
pertinentes.
Deben estar representadas todas las reas de la empresa.
G. General; G. Negocios; G. Logstica; G. Personas; G. Contralora;
D. Legal; G. Calidad; OSI.
15
15
www.sonda.com
Riesgo operacional
Qu es el riesgo operacional?
El Comit de Basilea II lo define como: el riesgo de prdidas debido a la
inadecuacin o a fallas en los procesos, personal y sistemas internos o por causa
de eventos externos
16
www.sonda.com
Productos o servicios
Procesos - Activos
Amenazas
Vulnerabilidades
Probabilidad de ocurrencia
Impacto
Nivel de riesgo > 2
Tratamiento del riesgo
Mitigar
Aceptar
Transferir
Eliminar
Proyecto
Nuevo nivel de riesgo 2
Medicin de la eficacia
17
www.sonda.com
IMPACTO
Matriz de Riesgo
Muy Alto
Alto
Moderado
Bajo
Mnimo
Probable
Muy
probable
Extremada
mente
probable
Extremada
Muy
mente
improbable
improbable
PROBABILIDAD
17
Presentacin ISO 27001 en congreso CIGRAS
Matriz SOA
Declaracin de aplicabilidad (SOA: Statement of Applicability)
Se construye una tabla con el dominio, control, justificacin de la
exclusin, documento.
19
19
www.sonda.com
20
20
www.sonda.com
Alcance.
BIA.
Gestin de riesgo.
Estrategias de continuidad.
Plan de Continuidad.
Pruebas.
Mejoras.
21
21
www.sonda.com
Auditoras internas
Preparacin de auditores.
Calendario.
Ejecucin del calendario.
Tratamiento de hallazgos.
Mejoras.
SGSI ISO 27001
Auditoras Internas
Revisin Gerencial
Auditora de Pre-certificacin
Auditora de Vigilancia
Auditora de re-certificacin
AI
RG
AP
AV
AR
Ger. Datacenter/Ger. Calidad
Aprobado por
Fecha
Realizada
Programada
No realizada
1-mar-14
Indicador general
Enero
Requisitos Normativos
06
13
20
Febrero
27
03
10
17
Marzo
24
03
10
17
Abril
24
14
21
Mayo
28
05
12
19
Junio
26
02
09
16
Julio
23
30
07
14
21
Agosto
28
04
11
18
Septiembre
25
01
08
15
22
Octubre
29
06
13
20
Noviembre
27
03
10
17
Diciembre
31
07
24
01
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
AI9
RG
RG
AR
AR
AI
RG
AI
RG
08
15
22
29
5 Responsabilidad de la gerencia
5.1 Compromiso de la gerencia
5.2 Gestin de recursos
5.2.1 Provisin de recursos
5.2.2 Capacitacin, conocimiento y capacidad
6 Auditoras Internas SGSI
Procedimiento de auditoras internas
Plan de auditoras internas
Tratamiento de no-conformidades
7 Revisin Gerencial
7.1 General
7.2 Insumo de la revisin
7.3 Resultado de la revisin
8 Mejoramiento del SGSI
8.1 Mejoramiento continuo
8.2 Accin correctiva
8.3 Accin preventiva
22
22
www.sonda.com
Revisiones gerenciales
La alta direccin debe revisar el SGSI, segn la planificacin
definida, segn conveniencia, suficiencia y efectividad.
Estado de las acciones, en funcin de las RG anteriores.
Los cambios internos y externos relevantes para el SGSI.
Desempeo de:
NC y acciones correctivas.
Mediciones e indicadores.
Resultado de auditoras internas y externas.
Cumplimiento de los objetivos de la SI.
23
23
www.sonda.com
24
www.sonda.com
Recomendaciones
Cmo implementar buenas prcticas?
Diferencia entre el qu se debe hacer y el cmo se hace
Establecer acuerdos.
Los mbitos
Predisponen (para bien o para mal)
Relacionan y mezclan niveles.
Que sean armnicos y no disonantes
Los procesos
Procedimientos
25
www.sonda.com
ISO
27001:2005
ISO
27001:2013
8 puntos
clsicos.
Anexo SL
11 dominios
14 dominios
133 controles
113 controles
Notas
Garantizar la coherencia entre las futuras y actuales normas de
sistemas de gestin.
Favorecer la integracin de sistemas de gestin.
Facilitar a los usuarios la comprensin y entendimiento de las
normas de gestin.
26
26
www.sonda.com
27
27
www.sonda.com
A.5
Poltica de seguridad.
A.5
Poltica de seguridad.
A.6
A.6
A.7
Gestin de activos.
A.7
A.8
A.8
Gestin de activos.
A.9
A.9
Control de accesos.
A.10
A.10
Criptografa.
A.11
Control de acceso.
A.11
A.12
A.12
A.13
A.13
Transferencia de informacin.
A.14
A.14
A.15
Cumplimiento.
A.15
A.16
A.17
A.18
28
www.sonda.com
28
Descripcin
Declaracin de aplicabilidad:
(SOA -Statement of Applicability)
Documento que contiene los objetivos de control y los controles contemplados por el
SGSI, basado en los resultados de los procesos de evaluacin y tratamiento de riesgos,
justificando inclusiones y exclusiones.
Metodologa de evaluacin de
riesgos
Documento que identifica los planes para enfrentar diferentes escenarios. Las pruebas,
los anlisis del resultado de las pruebas y las acciones de mejoras del plan.
Procedimientos documentados
Todos los necesarios para asegurar la planificacin, operacin y control de los procesos
de seguridad de la informacin, as como para la medida de la eficacia de los controles
implantados.
Registros
29
www.sonda.com
Rodrigo Baldecchi
rodrigo.baldecchi@sonda.com
FIN
30
www.sonda.com
30
Presentacin ISO 27001 en congreso CIGRAS