MXICO

COSTA RICA

PANAM

COLOMBIA

ECUADOR
BRASIL

PER

URUGUAY
CHILE

ARGENTINA

Implementacin efectiva de un SGSI ISO 27001.

Rodrigo Baldecchi Q.
Gerente Corporativo de Calidad
04-SEP-14

NDICE
1. Encuadre general.
2. La intencin y el control.
3. Alcance.

4. Roadmap.
5. Implementacin.
6. Poltica de SI.
7. Organizacin.

8. Riesgo.
9. Matriz SOA.
10. Incidentes de SI.
11. Plan de Continuidad del negocio.
12. Medicin y mejora.
13. Cambio de versin de la norma.
2

2
www.sonda.com

14. Preguntas.
Presentacin ISO 27001 en congreso CIGRAS

Encuadre general
La informacin es un activo esencial y es decisiva para la
viabilidad de una organizacin. Adopta diferentes formas, impresa,
escrita en papel, digital, transmitida por correo, mostrada en
videos o hablada en conversaciones.
Debido a que est disponible en ambientes cada vez ms
interconectados, est expuesta a amenazas y vulnerabilidades.
La seguridad de la informacin es la proteccin de la informacin
contra una amplia gama de amenazas; para minimizar los daos,
ampliar las oportunidades del negocio, maximizar el retorno de las
inversiones y asegurar la continuidad del negocio.
Se va logrando mediante la implementacin de un conjunto
adecuado de polticas, procesos, procedimientos, organizacin,
controles, hardware y software y, lo ms importante, mediante
comportamientos ticos de las personas.

3
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

La intencin y el control
El aumento del control sobre las actividades de las personas.
Es posible controlar las intenciones de las personas?
Por lo tanto, se requiere ir ms lejos

4
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Sistemas de gestin
Para ISO (International Organization for Standardization) un
sistema de gestin queda definido por un proceso de 4 etapas,
creado por Walter Andrew Shewhart (1891 1967) y
popularizado por William Edwards Deming (1900 1993),
Planificar (Plan), Implementar (Do), Medir (Check) y Mejorar (Act).

Planificar
Implementar
Medir
Mejorar

5
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Conceptos generales de un SGSI

ISO 27001 es un Sistema de Gestin de la Seguridad de la
Informacin (SGSI).
La seguridad de la informacin queda definida por tres atributos:
a) Confidencialidad; b) Integridad; c) Disponibilidad.
La seguridad de la informacin (SI) es la proteccin de la
informacin contra una amplia gama de amenazas respecto a: i)
Minimizar daos; ii) Oportunidades del negocio; iii) Retorno de la
inversin; iv) Continuidad del negocio; v) Cultura tica.
El SGSI garantiza la SI mediante una estructura de buenas
prcticas, definidas por: a) Gestin de riesgos; b) Polticas; c)
Procesos; d) Procedimientos; e) Controles; f) Revisiones; g)
Mejoras.

6
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Conceptos bsicos de SI
La Seguridad de la Informacin consiste en mantener:
Confidencialidad: Informacin disponible exclusivamente a personas
autorizadas.
Integridad: Mantenimiento de la exactitud y validez de la informacin,
protegindola de modificaciones o alteraciones no autorizadas. Contra la
integridad la informacin puede parecer manipulada, corrupta o incompleta.
Disponibilidad: Acceso y utilizacin de los servicios slo y en el momento de
ser solicitado por una persona autorizada.

Seguridad de la informacin
Confidencialidad

7
www.sonda.com

Integridad

Disponibilidad

Presentacin ISO 27001 en congreso CIGRAS

Alcance
Por ejemplo, el alcance del SGSI queda cubierto por los procesos
de las siguientes reas:
Facility
Espacio fsico; energa elctrica; aire acondicionado; proteccin
contra incendios; accesos

Administracin
Monitoreo; accesos lgicos; bases de datos; aplicativos

Explotacin/Respaldo
Mallas de procesos; almacenamiento de informacin

Comunicaciones
Redes de datos; seguridad lgica; monitoreo equipos de
comunicaciones; enlaces

SAP
Administracin de sistemas SAP.
8

8
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Roadmap
ETAPA I
Documentacin

ETAPA II
Implementacin

Capacitacin
formal en el
SGSI

Difundir

Documentar
requisitos
normativos

Capacitar

Publicar
documentacin
del SGSI

Marzo - Mayo

ETAPA III
Anlisis crtico

ETAPA IV
Certificacin

Auditoras
Internas

Precertificacin

Mejoras

Certificacin

Implementar

Septiembre Octubre

Junio - Agosto

Noviembre

2014

9
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Implementacin

Organizacin
Gap

Activos

Gap

Comunicac
iones

Gap

SAP

Calidad

Gap
Poltica

Explotaci
n/Respaldo

Calidad

Requisitos

Administra
cin

Calidad

Facility

Calidad

ISO 27001

Servicios de Data Center & Cloud

Calidad

Calidad

Gap

Cumplimiento

Oficial de Seguridad
10
www.sonda.com

Gap

Calidad

Gap

Calidad

Gap

Gap

Calidad

Gap

Calidad

Calidad

RRHH

(Gap) (Gap) (Gap) (Gap) (Gap)

Responsable

Responsable

Responsable

Responsable

Responsable 10

Presentacin ISO 27001 en congreso CIGRAS

Matriz de responsabilidades
reas

Rol

Nombre

Responsabilidades

Calidad

Oficial de
seguridad de
SONDA

Marcelo
Aravena M.

1.- Hacer el gap anlisis. Es decir, comparar, mediante

entrevistas a los roles elegidos, lo que actualmente se
hace en las reas del alcance, respecto a lo que se debe
hacer, segn ISO 27001.
2.- Garantizar que los requisitos de la norma ISO 27001,
en funcin del gap anlisis, queden correctamente
implementados en las reas dentro del alcance. Se
preocupa del qu se debe hacer?
3.- Elaborar la documentacin del SGSI.
4.- Dedicacin prioritaria a este proyecto.
5.- En rgimen, es el responsables de auditar el SGSI, de
las Revisiones Gerenciales, del CSI y de la relacin con
el organismo de certificacin externo.

G. Servicios de
Data Center

Gerente de rea

Sergio
Rademacher L.

1.- Definir el alcance. Es decir, las reas y los sistemas.

2.- Aprobar la documentacin del SGSI.

Seguridad

Oficial de
Seguridad Data
Center

Jacob Delgado
S.

1.- Definir el Cmo? Se implementar los

procedimientos del SGSI.
2.- En rgimen, debe asegurar el cumplimiento del
modelo. Es decir, cuida que se haga lo que est
declarado en los procedimientos.

11

11
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Matriz de responsabilidades
reas

Facility

Administracin

Rol

Nombre

Jefe Data Center

Quilicura

Miguel Soto

Jefe Data Center

Teatinos y Santa
Isabel

Jos M. Arriagada

Supervisor de
Base de Datos

Freddy Espinoza

Supervisor de
administracin
Unix

Toms Jimnez

Supervisor de
administracin
Microsoft

Cristin Leiva

Supervisor de
sistemas de
virtualizacin.

Richard Cceres

Responsabilidades

Entregan al OSI de Calidad la

informacin y la evidencia de lo que
actualmente se hace, de tal manera de
determinar el gap anlisis.

12

12
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Definicin de poltica

13

13
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Poltica de seguridad de la informacin

Poltica general de SI.
Poltica de SI por dominio.

14

14
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Organizacin
Comit de seguridad de la Informacin (CSI) (A 6.1.2 A 6.1.3)
Se deben mantener los contactos apropiados con las autoridades
pertinentes.
Deben estar representadas todas las reas de la empresa.
G. General; G. Negocios; G. Logstica; G. Personas; G. Contralora;
D. Legal; G. Calidad; OSI.

Oficial de seguridad de la informacin.

rea de calidad.
Auditores internos en calidad y seguridad de la informacin.
Revisiones Gerenciales
Polticas
Procesos y procedimientos

15

15
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Riesgo operacional

Qu es el riesgo operacional?
El Comit de Basilea II lo define como: el riesgo de prdidas debido a la
inadecuacin o a fallas en los procesos, personal y sistemas internos o por causa
de eventos externos

Qu es la gestin de riesgo operacional?

Ms all de la definicin de riesgo operacional, lo importante es contar
con un proceso de gestin de riesgos operativos o riesgos operacionales.
Este proceso de riesgo operacional es el que debera garantizar la buena
gestin de los riesgos segn los estndares internacionales.
Segn el Comit de Basilea II, se entiende por gestin de riesgo
operacional al proceso de identificacin, evaluacin, seguimiento y control
del riesgo operacional.
Conclusin: La gestin de riesgo" es un proceso esencial en la empresa.
16

16
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Gestin de riesgo - Metodologa

Productos o servicios
Procesos - Activos
Amenazas
Vulnerabilidades
Probabilidad de ocurrencia
Impacto
Nivel de riesgo > 2
Tratamiento del riesgo

Mitigar
Aceptar
Transferir
Eliminar

Proyecto
Nuevo nivel de riesgo 2

Medicin de la eficacia
17
www.sonda.com

IMPACTO

Matriz de Riesgo
Muy Alto

Alto

Moderado

Bajo

Mnimo

Probable

Muy
probable

Extremada
mente
probable

Extremada
Muy
mente
improbable
improbable

PROBABILIDAD

17
Presentacin ISO 27001 en congreso CIGRAS

Gestin de riesgo - Evolucin

(#) riesgos aceptados

18
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Matriz SOA
Declaracin de aplicabilidad (SOA: Statement of Applicability)
Se construye una tabla con el dominio, control, justificacin de la
exclusin, documento.

19

19
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Incidentes de Seguridad de la Informacin

Definir cules sern tratados. Por ejemplo, los incidentes mayores.
(Como se trata de un tema de cambio cultural, la recomendacin es ir
desde lo simple a lo complejo.)

Procedimiento de incidentes de SI.

Tratamiento.

20

20
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Plan de continuidad del negocio

Alcance.
BIA.
Gestin de riesgo.
Estrategias de continuidad.
Plan de Continuidad.
Pruebas.
Mejoras.

21

21
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Auditoras internas

Preparacin de auditores.
Calendario.
Ejecucin del calendario.
Tratamiento de hallazgos.
Mejoras.
SGSI ISO 27001

PROGRAMA DE AUDITORAS AO 2014 FACILITIES

Auditoras Internas
Revisin Gerencial
Auditora de Pre-certificacin
Auditora de Vigilancia
Auditora de re-certificacin

AI
RG
AP
AV
AR
Ger. Datacenter/Ger. Calidad

Aprobado por
Fecha

Realizada
Programada
No realizada

1-mar-14

Indicador general

Enero

Requisitos Normativos

06

4 Sistema de Gestin de Seguridad de la

Informacin
4.1 Requisitos Generales
4.2 Establecer y manejar el SGSI
4.2.1 Establecer el SGSI
4.2.2 Implementar y operar el SGSI
4.2.3 Monitorear y revisar el SGSI
4.2.4 Mantener y mejorar el SGSI
4.3 Requisitos de documentacin
4.3.1 General
4.3.2 Control de documentos
4.3.3 Control de registros

13

20

Febrero
27

03

10

17

Marzo
24

03

10

17

Abril
24

14

21

Mayo
28

05

12

19

Junio
26

02

09

16

Julio
23

30

07

14

21

Agosto
28

04

11

18

Septiembre
25

01

08

15

22

Octubre
29

06

13

20

Noviembre
27

03

10

17

Diciembre

31

07

24

01

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

AI9

RG

RG

AR

AR

AI

RG

AI

RG

08

15

22

29

5 Responsabilidad de la gerencia
5.1 Compromiso de la gerencia
5.2 Gestin de recursos
5.2.1 Provisin de recursos
5.2.2 Capacitacin, conocimiento y capacidad
6 Auditoras Internas SGSI
Procedimiento de auditoras internas
Plan de auditoras internas
Tratamiento de no-conformidades
7 Revisin Gerencial
7.1 General
7.2 Insumo de la revisin
7.3 Resultado de la revisin
8 Mejoramiento del SGSI
8.1 Mejoramiento continuo
8.2 Accin correctiva
8.3 Accin preventiva

22

9 Objetivos de control y controles

Anexo A de la norma

22
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Revisiones gerenciales
La alta direccin debe revisar el SGSI, segn la planificacin
definida, segn conveniencia, suficiencia y efectividad.
Estado de las acciones, en funcin de las RG anteriores.
Los cambios internos y externos relevantes para el SGSI.
Desempeo de:

NC y acciones correctivas.
Mediciones e indicadores.
Resultado de auditoras internas y externas.
Cumplimiento de los objetivos de la SI.

Comentarios de partes interesadas.

Resultado de la evaluacin y tratamiento de riesgo.
Oportunidades para la mejora continua.
Acta que evidencie las acciones y los acuerdos de la RG.

23

23
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

El punto de partida de la seguridad de la informacin

Un cierto nmero de controles puede ser considerado un buen
punto de partida para implementar la seguridad de la informacin.
Estos estn basados en requisitos legales esenciales o que se
consideren prctica habitual de la seguridad de la informacin.

Proteccin de los datos y la privacidad de la informacin personal.

Proteccin de los registros de la informacin.
Derechos de la propiedad intelectual.
Documentacin de la poltica de seguridad de la informacin.
Asignacin de responsabilidades.
Concienciacin, formacin y capacitacin en seguridad de la
informacin.
Vulnerabilidad tcnica.
Gestin de incidentes de seguridad.
Gestin de continuidad del negocio.

24
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Recomendaciones
Cmo implementar buenas prcticas?
Diferencia entre el qu se debe hacer y el cmo se hace
Establecer acuerdos.

El rol de las personas

Actitudes
Aptitudes

Los mbitos
Predisponen (para bien o para mal)
Relacionan y mezclan niveles.
Que sean armnicos y no disonantes

Los procesos
Procedimientos

Las relaciones entre los procesos

La implementacin
25

25
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Cambio de versin de la norma ISO 27001

ISO
27001:2005

ISO
27001:2013

8 puntos
clsicos.

Anexo SL

11 dominios

14 dominios

133 controles

113 controles

Notas
Garantizar la coherencia entre las futuras y actuales normas de
sistemas de gestin.
Favorecer la integracin de sistemas de gestin.
Facilitar a los usuarios la comprensin y entendimiento de las
normas de gestin.

Las principales modificaciones se ven reflejadas en la estructura

y el contenido de los controles que conforman el Anexo A, todo
como resultado de un proceso de fusin, exclusin e
incorporacin de nuevos controles de seguridad.

26

26
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Estructura del nuevo estndar

27

27
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Dominios ISO 27001

ISO 27001:2005 (11 dominios; 133 controles)

ISO 27001:2013 (14 dominios; 113 controles)

A.5

Poltica de seguridad.

A.5

Poltica de seguridad.

A.6

Organizacin de la seguridad de la informacin.

A.6

Organizacin de la seguridad de la informacin.

A.7

Gestin de activos.

A.7

Seguridad de los RRHH.

A.8

Seguridad de los RRHH.

A.8

Gestin de activos.

A.9

Seguridad fsica y del ambiente.

A.9

Control de accesos.

A.10

Gestin de comunicaciones y operaciones.

A.10

Criptografa.

A.11

Control de acceso.

A.11

Seguridad fsica y ambiental.

A.12

Adquisicin, desarrollo y mantenimiento de

sistemas de informacin.

A.12

Seguridad en las operaciones.

A.13

Gestin de incidentes de seguridad de la

informacin.

A.13

Transferencia de informacin.

A.14

Gestin de la continuidad del negocio.

A.14

Adquisicin de sistemas, desarrollo y mantenimiento.

A.15

Cumplimiento.

A.15

Relacin con proveedores.

A.16

Gestin de los incidentes de seguridad.

A.17

Continuidad del negocio.

A.18

Cumplimiento con requerimientos legales y

contractuales.

28
www.sonda.com

28

Presentacin ISO 27001 en congreso CIGRAS

Documentos del SGSI

Requisito

Descripcin

Alcance del SGSI

mbito de la organizacin que queda sometido al SGSI, incluyendo una identificacin

clara de las dependencias, relaciones y lmites que existen entre el alcance y aquellas
partes que no hayan sido consideradas.

Poltica y objetivos de seguridad

Documento de contenido genrico que establece el compromiso de la direccin y el

enfoque de la organizacin en la gestin de la seguridad de la informacin.

Procedimientos y controles del

SGSI

Aquellos procedimientos que regulan el propio funcionamiento del SGSI.

Declaracin de aplicabilidad:
(SOA -Statement of Applicability)

Documento que contiene los objetivos de control y los controles contemplados por el
SGSI, basado en los resultados de los procesos de evaluacin y tratamiento de riesgos,
justificando inclusiones y exclusiones.

Metodologa de evaluacin de
riesgos

Descripcin de la forma como se realizar la evaluacin de las amenazas,

vulnerabilidades, probabilidades de ocurrencia e impactos en relacin a los activos de
informacin dentro del alcance definido, y los criterios de aceptacin de riesgo.

Informe de evaluacin y plan de

tratamiento de riesgos

Estudio resultante de aplicar la metodologa de evaluacin anteriormente mencionada a

los activos de informacin de la organizacin. Plan de tratamiento de los riesgos.

Plan de continuidad del negocio

Documento que identifica los planes para enfrentar diferentes escenarios. Las pruebas,
los anlisis del resultado de las pruebas y las acciones de mejoras del plan.

Procedimientos documentados

Todos los necesarios para asegurar la planificacin, operacin y control de los procesos
de seguridad de la informacin, as como para la medida de la eficacia de los controles
implantados.

Registros

Evidencia objetiva del funcionamiento del SGSI.

29

29
www.sonda.com

Presentacin ISO 27001 en congreso CIGRAS

Tel (56-2) 657 50 00

Fax (56-2) 657 54 10
Teatinos 500 /
Santiago / CHILE
www.SONDA.com

Rodrigo Baldecchi
rodrigo.baldecchi@sonda.com
FIN

30
www.sonda.com

30
Presentacin ISO 27001 en congreso CIGRAS