2 Presentación ISO 27001 - Comite de Seguridad

CapacitacindelSistemade
Capacitacin
del Sistema de
Gestin Integral
GestinIntegral
PresentacinparaelComitdeSeguridad
Norma ISO 27001:2005
NormaISO27001:2005
Febrero2010
Qu es el activo de Informacin?
Activo de Informacin
Informacin, es todo lo que
manipula directa o indirectamente
una informacin, que tiene como
valor el lograr el cumplimiento de los
valor,
objetivos estratgicos de la
Organizacin, incluso la propia
i f
informacin
i d
dentro d
de una
organizacin, por lo que debe
protegerse contra amenazas para
que el negocio funcione
correctamente.
Preparadopor:ConsultoresQEC InformacindeusointernodeAhorroCoop
La SEGURIDAD se planifica, controla y mejora
Esta norma internacional especifica los requisitos para

establecer, implantar, poner en funcionamiento, controlar,
revisar, mantener y mejorar un SGSI documentado dentro
del contexto global de los riesgos de negocio de la
organizacin.
g
Especifica
p f los requisitos
q
para
p
la implantacin
p
de los controles de seguridad hechos a medida de las
necesidades de organizaciones individuales o partes de las
mismas
mismas
Certificacin
Ce
t cac de
del SGS
SGSI
La certificacin no implica que la organizacin a
obtenido
b id determinado
d
i d niveles
i l
d seguridad
de
id d de
d la
l
informacin para sus productos y/o servicios.
Las organizaciones certificadas pueden tener mayor

confianza es su capacidad para gestionar la seguridad
de la informacin, y por ende ayudara a asegurar a sus
socios,
i
clientes,
li t
y accionistas
i it
con quien
i
h
hacen
negocios.
Tpicos a Tratar
I. SGSI
II. Riesgos y
Controles
III. Actividades para la

certificacin
3.1 Introduccin
1.1 Metodologa del SGSI
2.1 Introduccin
1 2 Modelo de SGSI
1.2
2.2 Administracin
de riesgos
1.3 Documentacin del SGI
2.3 Revisin de
Controles
3.4 Actividades de la
empresa certificadora
1.4 Conclusiones
3.5 Actividades posteriores
1.4 Funciones y
responsabilidades en el
SGI
3.2 Proceso de Certificacin

3 3 Pasos a Seguir
3.3
3 6 Mantencin y mejora
3.6
3.7 Tpicos de evaluacin
1.1 Metodologa
1.1 Metodologa
del SGSI
del SGSI
1.2 Modelo del

SGSI
1.3
D
Documentacin
t i
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
Cmo establecer los requisitos?

q
Es esencial que la Organizacin identifique sus requisitos
de seguridad.
seguridad
Existentresfuentesprincipales.
p
p
Laprimerfuenteprocededelavaloracindelosriesgos
d l O
delaOrganizacin.Conella:
i i C
ll
Seidentificanlasamenazasalosactivos,
Seevalalavulnerabilidadylaprobabilidaddesu
Se evala la vulnerabilidad y la probabilidad de su
ocurrencia.
Seestimasuposibleimpacto.
1.1 Metodologa
1.1 Metodologa
del SGSI
del SGSI
1.2 Modelo del

SGSI
1.3
D
Documentacin
t i
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
Cmo establecer los requisitos?

q
La segunda fuente es el conjunto de requisitos legales,
estatutarios, regulatorios y contractuales que debe
satisfacer:
laOrganizacin,
sussocioscomerciales,
loscontratistas
losproveedoresdeservicios.
LLa tercera fuente
f
est formada
f
d por los
l
principios,
i i i
objetivos y requisitos que la Organizacin ha desarrollado
para apoyar
p
p y sus operaciones.
p
1.1 Metodologa
1.1 Metodologa
del SGSI
del SGSI
1.2 Modelo del

SGSI
1.3
D
Documentacin
t i
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
SGSI
El sistema de gestin de la seguridad de la informacin
(SGSI) es la parte del sistema de gestin de la empresa,
empresa
basado en un enfoque de riesgos del negocio, para:
Establecer,
Implementar,
Operar,
Monitorear,
M i
Mantener y mejorar la seguridad de la informacin.
Incluye.
Estructura, polticas, actividades, responsabilidades,
prcticas, procedimientos, procesos y recueros.
1.1 Metodologa
1.1 Metodologa
del SGSI
del SGSI
(Planificar/Hacer/Verificar/Actuar)
1.2 Modelo del

SGSI
1.3
D
Documentacin
t i
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
1.1 Metodologa
1.1 Metodologa
del SGSI
del SGSI
(Planificar/Hacer/Verificar/Actuar)
1.2 Modelo del

SGSI
1.3
D
Documentacin
t i
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
Establecer el SGSI (Plan)

EstablecerelSGSI
1.1 Metodologa
1.1 Metodologa
del SGSI
del SGSI
1.2 Modelo del

SGSI
Establecer la p
poltica de seguridad,
g
, objetivos,
j
, metas,, p
procesos y
procedimientos relevantes para manejar riesgos y mejorar la
seguridad de la informacin para generar resultados de acuerdo
con una poltica y objetivos marco de la organizacin.
DefinirelalcancedelSGSIalaluzdelaorganizacin.
DefinirlaPolticadeSeguridad.
Aplicarunenfoquesistmicoparaevaluarelriesgo.
1.3
D
Documentacin
t i
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
Noseestableceunametodologaaseguir.
Establecer el SGSI (Plan)

EstablecerelSGSI
1.1 Metodologa
1.1 Metodologa
del SGSI
del SGSI
1.2 Modelo del

SGSI
Identificaryevaluaropcionesparatratarelriesgo
Mitigar,eliminar,transferir,aceptar
SeleccionarobjetivosdeControlycontrolesaimplementar
(Mitigar).
ApartirdeloscontrolesdefinidosporlaISO/IEC27002
Establecerenunciadodeaplicabilidad
1.3
D
Documentacin
t i
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
1.1 Metodologa
1.1 Metodologa
del SGSI
del SGSI
Implementaryoperar(Do)
p
y p
( )
Implementar y operar la poltica de seguridad, controles,

procesos y procedimientos.
procedimientos
Implementar plan de tratamiento de riesgos.

Transferir, eliminar, aceptar
Implementar
l
l controles
los
l seleccionados.
l
d
Mitigar
Aceptar riesgo residual.

Firma de la alta direccin para riesgos que superan el
nivel definido.
1.2 Modelo del

SGSI
1.3
D
Documentacin
t i
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
Implementar y operar (Do)
1.1 Metodologa
1.1 Metodologa
del SGSI
del SGSI
1.2 Modelo del

SGSI
1.3
D
Documentacin
t i
del SGI
I l
Implementar
t medidas
did para evaluar
l
l eficacia
la
fi i de
d los
l controles
t l
Gestionar operaciones y recursos.
Implementar programas de Capacitacin y concientizacin.
Implementar procedimientos y controles de deteccin y

respuesta a incidentes.
incidentes
1.4
1
4 Funciones y
responsabilidades
del SGI
Monitoreo y Revisin ((Check))
1.1 Metodologa
1.1 Metodologa
del SGSI
del SGSI
1.2 Modelo del

SGSI
1.3
D
Documentacin
t i
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
Evaluar y medir la performance de los procesos contra la poltica

de seguridad, los objetivos y experiencia practica y reportar los
resultados a la direccin para su revisin.
Revisar
Revisarelnivelderiesgoresidualaceptable,considerando:
el nivel de riesgo residual aceptable, considerando:
Cambiosenlaorganizacin.
Cambiosenlatecnologas.
Cambiosenlosobjetivosdelnegocio.
C bi
l
bj i
d l
i
Cambiosenlasamenazas.
Cambiosenlascondicionesexternas(ej.Regulaciones,
( j
g
,
leyes).
Realizarauditoriasinternas.
Realizar auditorias internas
RealizarrevisionesporpartedeladireccindelSGSI.
1.1 Metodologa
1.1 Metodologa
del SGSI
del SGSI
Monitoreo y Revisin (Check)

MonitoreoyRevisin(Check)
Sedebeestableceryejecutarprocedimientosdemonitoreo
para:
Detectarerrores.
Identificarataquesalaseguridadfallidosyexitosos.
Brindaralagerenciaindicadoresparadeterminarla
Brindar a la gerencia indicadores para determinar la
adecuacindeloscontrolesyellogrodelosobjetivos
deseguridad.
Determinarlasaccionesrealizadaspararesolver
Determinar las acciones realizadas para resolver
brechasalaseguridad.
Mantenerregistrosdelasaccionesyeventosquepueden
impactaralSGSI.
RealizarrevisionesregularesalaeficienciadelSGSI.
1.2 Modelo del

SGSI
1.3
D
Documentacin
t i
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
1.1 Metodologa
1.1 Metodologa
del SGSI
del SGSI
MantenimientoymejoradelSGSI
y
j
1.2 Modelo del

SGSI
1.3
D
Documentacin
t i
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
Tomar acciones correctivas y preventivas, basadas en los

resultados de la revisin de la direccin,
direccin para lograr la mejora
continua del SGSI.
MedireldesempeodelSGSI.
IdentificarmejorasenelSGSIafindeimplementarlas.
Tomarlasapropiadasaccionesaimplementarenelcicloen
Tomar las apropiadas acciones a implementar en el ciclo en
cuestin(preventivasycorrectivas).
Comunicar los resultados y las acciones a emprender, y
consultar con todas las partes involucradas.
Revisar el SGSI donde sea necesario implementando las
acciones seleccionadas.
1.1 Metodologa
1.1 Metodologa
del SGSI
del SGSI
1.2 Modelo del

SGSI
1.3
D
Documentacin
t i
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
RequisitosdeCertificacindelSGSI
La norma establece requisitos para Establecer, Implementar y
Documentar un SGSI.
Definir el alcance del SGSI (fronteras)

Definir una poltica de seguridad
Identificar activos
Realizar el anlisis de riesgos de activos.
activos
Identificar las reas dbiles de los activo
Tomar decisiones p
para manejar
j el riesgo
g
Seleccionar los controles apropiados
Implementar y manejar los controles seleccionados
Elaborar la declaracin de aplicabilidad
1.1 Metodologa
1.1 Metodologa
del SGSI
del SGSI
1.2 Modelo del

SGSI
1.3
D
Documentacin
t i
del SGI
Objetivos de auditora
Para obtener la certificacin.

Revisar conformidad con la norma (ISO/IEC 27001)
Revisar grado de puesta en prctica del sistema
Revisar la eficacia y adecuacin en el cumplimiento de:
Poltica de seguridad
Objetivos de seguridad
Identificar las fallas y debilidades en la seguridad

Proporcionar una oportunidad para mejorar el SGSI
Cumplir requisitos contractuales.
Cumplir requisitos regulatorios.
1.4
1
4 Funciones y
responsabilidades
del SGI
1.1 Metodologa
1.1 Metodologa
del SGSI
del SGSI
Inicio
1.3
D
Documentacin
t i
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
RES
SUME
EN
1.2 Modelo del

SGSI
Compaa a decidido
la implementacin
ISO 27001
Asignacin de
responsabilidades
del proyecto
Definicin de la poltica
de seguridad
de la Informacin
Definicin del alcance

del Sistema de Gestin
d Seguridad
de
S
id d de
d la
l
Informacin (SGSI)
identificar las
principales
amenazas, riesgos,
impactos
y vulnerabilidades
Identificar el alcance
del SGSI para los
riesgos y amenazas
Enfoque de la Empresa
para la
Ad i i t
Administracin
i
del Riesgo
Documento de
anlisis de riesgos
Definir la forma de
gestionar los riesgos
identificados
Controles de la gua
ISO 17799
y otros
t
controles
t l no
considerados en esta
Seleccionar los
objet os y controles
objetivos
co t o es
a ser implementados
Implementacin
d controles
de
t l
Listo para la
certificacin
Tomar medidas
correctivas
Documento de
Poltica de Seguridad
Documento de
responsabilidades
Documento de
declaracin
de aplicabilidad (SOA)
SI
Aprobacin
Certificacin concedida
NO
1.21.2
Modelo
deldel
Modelo
SGSI SGSI
1.3
D
Documentacin
t i
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
OBS
SERVAC
CIN (AU
UDITORIA
A, MONITOREO))
1.1 Metodologa
del SGSI
1.1 Metodologa
del SGSI
1.2 Modelo del

SGSI
1.3 Documentacin
D
Documentacin
t i
d l SGI
del
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
1.1 Metodologa
del SGSI
1.2 Modelo del

SGSI
1.3 Documentacin
D
Documentacin
t i
d l SGI
del
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
1.1 Metodologa
del SGSI
Manual de seguridad: Sera la documentacin que inspira y dirige todo el

sistema, el que expone y determina las intenciones, alcance, objetivos,
responsabilidades, polticas y directrices principales del SGI.
1.2 Modelo del

SGSI
Procedimientos: Documentos en el nivel operativo, que asegura que se

realicen de forma eficaz la planificacin, operacin y control de los
1.3 Documentacin
D
Documentacin
t i
d l SGI
del
del SGI
procesos de seguridad de la informacin

informacin.
Instrucciones, checklists y formularios: Documentos que describen
1.4
1
4 Funciones y
responsabilidades
del SGI
p
relacionadas con
cmo se realizan las tareas y las actividades especficas
la seguridad de la informacin.
Registros: Documentos que proporcionan una evidencia objetiva del
cumplimiento de los requisitos del SGI; estn asociados a documentos de
los otros tres niveles como output que demuestra que se ha cumplido lo
indicado en los mismos
mismos.
1.1 Metodologa
del SGSI
1.2 Modelo del

SGSI
1.3 Documentacin
D
Documentacin
t i
d l SGI
del
del SGI
Poltica de seguridad
Objetivos de Control
Descripciones de cargo
Procedimientos
M
Manual
l del
d l SGSI
Que otros
Q
t
documentos?
Para qu sirven los documentos?

1.4
1
4 Funciones y
responsabilidades
del SGI
Para proveer formas correctas y completas de cmo ejecutar el trabajo y mantener altos niveles
de calidad. A su vez, para asegurar que las tareas claves se ejecuten en forma consistente, an
cuando el personal que normalmente las ejecuta est ausente.
Mejorar
j
la comunicacin dentro y entre las distintas reas.
Ayudar en la capacitacin y entrenamiento de las personas.
Qu tengo que hacer si observo un problema?.

Sistema las personas deben
Ante cualquier problema que detecte en la implementacin del Sistema,
comunicar de la situacin a su Jefe Directo.
1.1 Metodologa
del SGSI
1.2 Modelo del

SGSI
1.3 Documentacin
D
Documentacin
t i
d l SGI
del
del SGI
Polticas, Normas, Procedimientos de

S
Seguridad.
id d
Todo intento por formalizar cualquier tarea o aspecto relacionado con la
seguridad
id d d
de lla iinformacin,
f
i d
debe
b ttratar
t como mnimo
i
d
de responder
d a ttres
preguntas:
Qu: Objetivo, requisito o regulacin que se quiere satisfacer o cumplir
(L que h
(Lo
hay que llograr).
)
Quin: Responsable de la tarea o encargado de que se cumpla
(El encargado de hacerlo posible).
1.4
1
4 Funciones y
responsabilidades
del SGI
Cmo: Descripcin de las actividades que darn con la consecucin del

objetivo o requisito (Lo que haya que hacer para conseguirlo).
Los d
L
documentos
t que se elaboran
l b
para fformalizar
li
lla seguridad
id d ttratan,
t
a
diferentes niveles, de responder a esas preguntas, relacionndose de manera
jerrquica unos con otros:
1.1 Metodologa
del SGSI
1.2 Modelo del

SGSI
1.3 Documentacin
D
Documentacin
t i
d l SGI
del
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
Polticas de Seguridad
g
Deben establecer las necesidades y requisitos de proteccin en el

mbito de la organizacin.
Formalmente describe qu tipo de gestin de la seguridad se

pretende lograr y cules son los objetivos perseguidos.
qu q
quiere la organizacin
g
a muy
y alto nivel,, de forma muy
y
Definen q
genrica, quedando como una declaracin de intenciones sobre la
seguridad de la Organizacin.
poltica de seguridad
g
p
puede apoyarse
p y
en documentos de menor
Una p
rango que sirven para materializar en hechos tangibles y concretos
los principios y objetivos de seguridad establecidos.
g
instrucciones tcnicas de
Ellos son: Procedimientos de Seguridad,
trabajo, normas, estndares.
1.1 Metodologa
del SGSI
1.2 Modelo del

SGSI
1.3 Documentacin
D
Documentacin
t i
d l SGI
del
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
Procedimientos de Seguridad
Determina las acciones o tareas a realizar en el desempeo de un

proceso relacionado con la seguridad y las personas o grupos
responsables de su ejecucin.
La especificacin de una serie de pasos en relacin a la ejecucin

de una actividad que trata de cumplir con una norma establecida.
Un procedimiento alineado a las buenas prcticas, garantiza que en

la ejecucin de actividades se considerarn determinados aspectos
d seguridad.
de
id d
1.1 Metodologa
del SGSI
1.2 Modelo del

SGSI
1.3 Documentacin
D
Documentacin
t i
d l SGI
del
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
Instrucciones tcnicas de Seguridad

g
Determina las acciones o tareas necesarias para completar una

actividad o proceso de un procedimiento concreto
concreto. (Hardware
(Hardware,
Sistema Operativo, Aplicacin, Datos, Usuarios).
Son la especificacin pormenorizada de los pasos a ejecutar.
Deben documentarse los aspectos tcnicos necesarios para que

la persona que ejecute la instruccin tcnica no tenga que tomar
decisiones respecto a la ejecucin de la misma.
Procedimiento Control de Registros

1.1 Metodologa
del SGSI
Quienes Participan
1.2 Modelo del
SGSI
1.3 Documentacin
D
Documentacin
t i
d l SGI
del
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
Todas las personas de la empresa, que sean asignadas para administrar y

g
Cuando se p
pone en marcha el p
procedimiento,, El
mantener registros.
Representante de Gerencia definen a los responsables.
De que se trata
El Encargado de Documentacin mantiene un Listado de Registros, que indica
todos los controles que estos reciben y adems, el responsable de los controles
indicados.
Porqu es necesario
La Norma ISO 27001:2005 lo establece como procedimiento obligatorio y su uso
permite poder recuperar un registro e ir eliminando registros muy antiguos.
antiguos
Que registros se generan

El Encargado de Documentacin genera el Listado de Registros, que contiene
todos los registros de los diferentes documentos y procesos del Sistema.
Procedimiento Acciones Correctivas y Preventivas

1.1 Metodologa
del SGSI
1.2 Modelo del

SGSI
Quienes Participan
Todas las personas de la empresa en la deteccin de no conformidades. Los
auditores en deteccin de no conformidades en auditorias. Responsables de las
reas en la definicin de acciones correctivas. Jefe de Auditoria Interna en la
verificacin y cierre.
De que se trata
1.3 Documentacin
D
Documentacin
t i
d l SGI
del
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
Hay que definir acciones para todas las no conformidades detectadas en la

operacin de la empresa. Las acciones deben atacar el problema de fondo. Si
cualquier persona la detecta, debe notificar a su Jefe directo .
Porqu es necesario
La Norma ISO 27001:2005 lo establece como procedimiento obligatorio para que
se tomen acciones a los problemas detectados, y acciones preventivas a los
problemas potenciales, que ataquen la causa de los problemas, eliminndolos de
raz.

S
li it d
d
i C
ti /P
ti
ti
lla no conformidad,
f
id d ell
Solicitudes
de A
Accin
Correctiva/Preventiva,
que contiene
anlisis de causa y la accin definida.
Procedimiento de Gestin de Reclamos de Clientes

1.1 Metodologa
del SGSI
1.2 Modelo del

SGSI
Quienes Participan
- Gerencia General
- Jefe de Informtica
- Jefe de Auditoria Interna
De que se trata
1.3 Documentacin
D
Documentacin
t i
d l SGI
del
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
La persona que recibe un reclamo debe responder al cliente y registra el reclamo

y la accin tomada. Tambin,, define si el reclamo fue a p
partir de una falla interna
y si es as, informa de una No Conformidad.
El Gerente General es informado de los reclamos por fallas graves en los
servicios.
Porqu es necesario
Se establece para que la empresa tenga la retroalimentacin del cliente y puedan
tomar acciones (correctivas/preventivas). Con lo cual se va mejorando. La norma
pide que se registren las acciones tomadas a partir de los reclamos.

Reclamos
de
Clientes
Clientes,
Correctivas/Preventivas.
Informe
No
Conformidades
Conformidades,
Acciones
1.1 Metodologa
del SGSI
Responsables
p
de los procedimientos
p
del Proceso
Quienes Participan
1.2 Modelo del

SGSI
1.3 Documentacin
D
Documentacin
t i
d l SGI
del
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
Todos los responsables asociados al proceso de negocio sujeto al cambio.

cambio
De que se trata
- Estar en conocimiento de los cambios que impulse la administracin.
- Conocer y aplicar los procedimientos del SGI establecidos.
- Informar situaciones que deben ser corregidas como parte del sistema de
calidad.
- Resguardar adecuadamente los documentos y registros asociados a las
actividades desarrolladas cotidianamente.
Porqu es necesario
La Norma ISO 27001:2005 lo establece como parte de la prctica de los
responsabilidades de los integrantes del proceso de negocios.
Procedimiento Revisin Gerencial

1.1 Metodologa
del SGSI
1.2 Modelo del

SGSI
Quienes Participan
Representante del Directorio, Gerente General, Jefe de Informtica, Jefe de
Auditoria Interna, Encargado documental, Jefes de reas invitados y las personas
que ellos determinen que deben asistir.
De que se trata
1.3 Documentacin
D
Documentacin
t i
d l SGI
del
del SGI
1.4
1
4 Funciones y
responsabilidades
del SGI
Realizar revisiones al SGI una vez anual como mnimo, o las veces que sean
necesarias en funcin a la definicin de la Gerencia General. El Jefe de Auditoria
Interna prepara la informacin a utilizar en la reunin. Cada invitado debe llevar la
informacin que le sea solicitada. Los acuerdos se registran en un acta. En cada
reunin se revisa el cumplimiento de los acuerdos.
Porqu es necesario
Porque de esta forma la Gerencia se involucra en la revisin de que lo que est
pasando y adems puede asignar recursos o solicitar acciones, con lo cual se
i i i ell proceso de
inicia
d mejora.
j
Si todo
t d se cumple,
l hablamos
h bl
d mejora
de
j
continua.
ti

Acta de Revisin Gerencial, con acuerdos tomados.
Procedimiento Auditorias Internas

1.1 Metodologa
del SGSI
Quienes Participan
Un equipo de auditores internos o externos. Todas las personas como
auditados .
1.2 Modelo del

SGSI
1.3 Documentacin
D
Documentacin
t i
d l SGI
del
del SGI
De que se trata
El equipo de auditores ejecuta revisiones de cumplimiento de los requisitos
normativos y de los procedimientos, chequeando que se usen los registros.
Porqu es necesario
1.4
1
4 Funciones y
responsabilidades
del SGI
La Norma ISO 27001:2005 lo establece como procedimiento obligatorio para

que se realicen estas revisiones en forma sistemtica (planificada) y se tomen
acciones que ataquen la causa de los problemas, eliminndolos de raz.

Lista de verificacin que ocupan los auditores, registros de no conformidades,
que adems sirve para registrar el anlisis de causa y las acciones definidas y
el informe de la auditoria.
1.1 Metodologa
del SGSI
1.2 Modelo del

SGSI
1.3
D
Documentacin
t i
del SGI
1.4
1
4 Funciones y
1.4 Funciones y
responsabilidades
responsabilidades
del SGI
del SGI
Comitde
Seguridad
1.1 Metodologa
del SGSI
1.2 Modelo del

SGSI
1.3
D
Documentacin
t i
del SGI
Comit de Auditora
ComitdeAuditora
AuditoriaInterna
OficialdeSeguridad
delaInformacin
1.4
1
4 Funciones y
1.4 Funciones y
responsabilidades
responsabilidades
del SGI
del SGI
JefedeInformtica
JefedeNormas
Tpicos a Tratar
I. SGSI
1.1 Presentacin de
las actividades
de la
metodologa
1.2 Presentar
Modelo de SGSI
1.3 Documentacin
del SGI
1.4 Funciones y
responsabilidade
s en el SGI
II.Riesgos y Controles
2.1 Introduccin
2.2 Administracin de
riesgos
2.3 Revisin de controles
2 4 Conclusiones
2.4
C
l i
III. Actividades para la

certificacin
3.1 Introduccin
3.2 Proceso de Certificacin
3 3 Pasos a Seguir
3.3
empresa certificadora
3 6 Mantencin y mejora
3.6
2.1
Introduccin
2.1
Introduccin
2.2 Administracin
de riesgos
BENEFICIOS DE LA ADMIMINISTRACIN DE RIESGOS
Proteger la reputacin corporativa
Tomar mejores decisiones basadas en la evaluacin de riesgos
2.3 Revisin de
Controles
2.4 Conclusiones
Consideraciones de Costo / Beneficio
Mejorar la asignacin de recursos
Reducir la volatilidad y validar las iniciativas en la Reingeniera de Procesos

9
Incluir los procesos crticos en el control corporativo y estabilizarlos
Reducir la posibilidad de impactos en desempeo financiero, aumento de costos y

crecimiento por anlisis estratgicos y de procesos ineficientes
Operar dentro de un marco aceptable de apetito al riesgo

9
Estabilizar la operacin
Maximizar las ventajas sobre las oportunidades de riesgos
Enfocarse en la administracin de riesgos para generar mejores resultados
Anticipar nuevos riesgos y oportunidades que resultan a raz de cambios en la industria,

industria el
mercado, globalizacin etc...
9
La existencia de stos puede encubrirse por un deficiente anlisis estratgico y de

procesos
U solo
l riesgo,
i
ti i d y controlado,
t l d puede
d tener
t
i d
t
Un
no anticipado
consecuencias
desastrosas
Cultura de riesgos
VISIN DE LA ADMINISTRACIN DE RIESGOS
2.1
Introduccin
2.1
Introduccin
3
2.2 Administracin
de riesgos
Estratgica
2.3 Revisin de
Controles
Tctico
2.4 Conclusiones
Reactivo
La gerencia no hacen nfasis en la

administracin de riesgos
Administracin de riesgos manejada

nicamente en silos
Cobertura incompleta
No hay un acercamiento en el manejo

de riesgos as como su lenguaje
Proactiva Direccin y comit de riesgos
Los riesgos son manejados y evaluados

para toda la organizacin
Utilizacin de un lenguaje comn y

j de los riesgos
g
acercamiento al manejo
Anlisis del portafolio de riesgos en un

tiempo real
Optimizacin y reporteo de los riesgos
Soporte de la Direccin y la gerencia
Peridico perfil de riesgo
Reconocimiento de las amplias

necesidades de la empresa en la
administracin de riesgos
2.1 Introduccin
2.2Administracin
Administracin
2.2
de Riesgos
de riesgos
2.3 Revisin de
Controles
2.4 Conclusiones
2.1 Introduccin
2.2Administracin
Administracin
2.2
de Riesgos
de riesgos
2.3 Revisin de
Controles
2.4 Conclusiones
2.1 Introduccin
2.2Administracin
Administracin
2.2
de Riesgos
de riesgos
2.3 Revisin de
Controles
2.4 Conclusiones
2.1 Introduccin
2.2Administracin
Administracin
2.2
de Riesgos
de riesgos
2.3 Revisin de
Controles
Entendimiento del proceso de la compaa y su

dependencia de los sistemas.
Identificacin de observaciones y recomendaciones

para mejora del desempeo
j
al desempeo
p
Validar las mejoras
Identificacin y evaluacin de riesgos de procesos
Identificacin y evaluacin de controles por los

riesgos identificados
Categorizacin de riesgos y controles
2.4 Conclusiones
2.1 Introduccin
2.2Administracin
Administracin
2.2
de Riesgos
de riesgos
2.3 Revisin de
Controles
2.4 Conclusiones
2.1 Introduccin
Ri
Riesgos?
?
2.2Administracin
Administracin
2.2
de Riesgos
de riesgos
2.3 Revisin de
Controles
2.4 Conclusiones
Pero si nunca pasa nada!!.

Esto no real.
Lo que sucede es que hoy sabemos muy
poco
poco.
La empresa necesita contar con informacin
sobre la cual tomar decisiones a los efectos de
establecer controles necesarios y eficaces.
2.1 Introduccin
Amenazas
2.2Administracin
Administracin
2.2
de Riesgos
de riesgos
2.3 Revisin de
Controles
2.4 Conclusiones
2.1 Introduccin
Ms Amenazas!!
2.2Administracin
Administracin
2.2
de Riesgos
de riesgos
2.3 Revisin de
Controles
2.4 Conclusiones
2.1 Introduccin
2.2Administracin
Administracin
2.2
de Riesgos
de riesgos
2.3 Revisin de
Controles
2.4 Conclusiones
Vulnerabilidades Comunes
VulnerabilidadesComunes
Inadecuado
adecuado co
compromiso
p o so de laa d
direccin.
ecc
Personal inadecuadamente capacitado y concientizado.
Inadecuada asignacin de responsabilidades.
Ausencia de polticas/ procedimientos.
Ausencia de controles
(fsicos/lgicos)
(preventivos/detectivos/correctivos)
Ausencia de reportes de incidentes y vulnerabilidades.

Inadecuado seguimiento y monitoreo de los controles.
controles
2.1 Introduccin
2.2Administracin
Administracin
2.2
de Riesgos
de riesgos
2.3 Revisin de
Controles
Anlisis
Estratgico
Anlisis de
Procesos
de Negocio
+
Evaluacin
de
Riesgos
Evaluacin
de
Controles
Riesgo
Residual
Plan de
Mejora /
Plan de
Auditora
Plan de
Mejora y
Ejecucin del
Plan
2.4 Conclusiones
Fuerzas
Externas
Procesos
ocesos
Estratgicos
Riesgos
Estratgicos
E
t t i
y de Procesos
Di
Diseo
Objetivos del
Cliente
Procesos
Bsicos
Perfil de Riesgo
Efectividad
Administrativ
a
Procesos
de Apoyo
Probabilidad e
Importancia
Balance
Apetito de
Riesgo
Evaluacin
con la
gerencia
Clasificacin
Final
Planes
detallados
Priorizacin
Reportes
Status
Status,
Reportes,
Planes de
Mejora
Actualizacion
2.1 Introduccin
REVISIN DE LAS DUDAS DEL SOA
2.2 Administracin
de riesgos
2.32.3
Revisin
dede
Revisin
Controles
Controles
2.4 Conclusiones
2.1 Introduccin
2.2 Administracin
de riesgos
2.3 Revisin de
Controles
2.4
2.4Conclusiones
Conclusiones
C
Comencemoselproceso
l
R
ReportecualquierIncidente,evento,debilidad,etc.quea
t
l i I id t
t d bilid d t
suentenderafectealaseguridad(disponibilidad,
integridad,confidencialidad)
g
,
)
Nodivulgueinformacinsensible.
Destruyaadecuadamentelainformacinsensible.
Sigaloslineamientos,polticasyprocedimientosquesele
distribuirn.
H
t
Hagapreguntas.
2.1 Introduccin
2.2 Administracin
de riesgos
2.3 Revisin de
Controles
2.4
2.4Conclusiones
Conclusiones
Mantengasucontraseaconfidencial.
Seaconsientedelosriesgosqueestnasociadosauna
accinorecurso.
Lasmedidasimplementadastienenunmotivo.
L
did i l
t d ti
ti
LonoprohibidoNOestaexpresamente
permitido.
itid
Nuestraseguridaddependedeusted.
Laobtencindelacertificacin
tambin
tambin.
I. SGSI
1.1 Presentacin de
las actividades
de la
metodologa
12 P
1.2
Presentar
t
Modelo de SGSI
1.3 Documentacin
del SGI
1.4 Funciones y
responsabilidade
s en el SGI
II. Riesgos y
Controles
III. Certificacin
2.1 Introduccin
2.2 Administracin
de riesgos
2.3 Revisin de
Controles
3.1 Proceso de
Certificacin
3.2 Pasos a Seguir
1.4 Conclusiones
p
certificadora
Empresa
3.5 Mantencin y mejora
Proceso para obtener una certificacin

Proceso
3.13.1
Proceso
dede
Certificacin
certificacin
3.2 Pasos a
Seguir
3.3 Actividades de
la empresa
certificadora
SOLICITUD DE INFORMACIN
Organismo de Certificacin
ESTUDIO DE LA DOCUMENTACIN
Entidad de Inspeccin
VISITA A LAS INSTALACIONES Y TOMA DE MUESTRAS
3.4 Actividades
posteriores
Revisin de las evidencias /controles / Riesgos

VALIDACIN DE LA EVIDENCIA
3.5 Mantencin y
mejora
Organismo de Certificacin
EVALUACIN DE LOS RESULTADOS
RESPECTO A LA NORMA DE
ESPECIFICACIN TCNICA
No Conforme
3.6 Tpicos
p
de
evaluacin
Conforme
CONCESIN DEL CERTIFICADO
Pasos a seguir hasta la certificacin

3.1 Proceso de
certificacin
3.2
3.2 Pasos
Pasos aa Seguir
Seguir
3.3 Actividades de
la empresa
certificadora
3.4 Actividades
posteriores
1.
Documentar y validar los procesos (operativos, transversales, Estratgicos, Apoyo).
2.
Validar la operatividad del SGI en AHORROCOOP a travs de mtricas.
3.
Realizar auditoras internas del SGI e implementar un plan de mejoramiento.
4.
Entender los riesgos que administran los usuarios en funcin de los activos de
informacin (Ej.:
(Ej : Rotulacin,
Rotulacin protectores de pantalla,
pantalla polticas,
polticas etc.)
etc )
3.5 Mantencin y
mejora
5.
3.6 Tpicos
p
de
evaluacin
El proyecto requerir del compromiso y el esfuerzo de todos para lograr la meta de

certificacin.
Actividades que desarrolla la empresa certificadora

3.1 Proceso de
certificacin
3.2 Pasos a
Seguir
3.3
3.3Actividades
Actividadesde
de
la empresa
la empresa
certificadora
certificadora
Proceso de Certificacin
1
Duracin
1 da
Solicitud
3.4 Actividades
posteriores
Estudio de la Documentacin
10
0 das
d as
3.5 Mantencin y
mejora
3.6 Tpicos
p
de
evaluacin
3
4
Auditora de Certificacin in Situ
Certificacin
2 das
30 das
TOTAL
43 das app.
3.1 Proceso de
certificacin
3.2 Pasos a
Seguir
Actividades posteriores a la certificacin de

AHORROCOOP para el rea de Informtica.
- Visitas de vigilancia de la certificacin semestrales / anuales.
3.3 Actividades de
la empresa
certificadora
g
de visitas durante un p
perodo de 3 aos.
- Programa
Actividades
3.43.4
Actividades
posteriores
posteriores
- Re certificacin por un nuevo perodo.
3.5 Mantencin y
mejora
- Actualizacin del sistema en la medida que se actualice las
3.6 Tpicos
p
de
evaluacin
normativas ((ISO 9001/ ISO 27001).

)
Mantencin y mejora en el tiempo del SGI

3.1 Proceso de
certificacin
3.2 Pasos a
Seguir
Las reas (PERSONAL DE AHORROCOOP) deben

ser responsables de:
- Asegurar que el sistema de gestin integral (SGI) se mantenga y mejore
en el tiempo (Como ?).
3.3 Actividades de
la empresa
certificadora
3.4 Actividades
posteriores
3.5 Mantencin y
3.5 Mantencin y
mejora
mejora
3.6 Tpicos
p
de
evaluacin
- Mantener operativos todos los procesos/ Procedimientos/ Evidencias del

sistema de gestin de Integral (SGI).
- Mejorar a partir de los resultados obtenidos.
obtenidos
- Entender y comunicar los cambios de negocios y sus respectivos riesgos
asociados
asociados.
- Determinar
la
necesidad
de
cambios
nivel
de
las
polticas
(calidad/seguridad), Objetivos (calidad/seguridad) y la planificacin del

sistema en general.
Cmo es la AUDITORIA DE
CERTIFICACION ?
3.1 Proceso de
certificacin
3.2 Pasos a
Seguir
Entrevista a usuarios finales por un tiempo de 1 hora de duracin

aproximadamente
En la entrevista el AUDITOR busca:
3.3 Actividades de
la empresa
certificadora
Entender para que sirve el SGI /Cual es su propsito?
3.4 Actividades
posteriores
Que le indiquemos de cuales son nuestras responsabilidades frente a

los objetivos de seguridad.
seguridad
3.5 Mantencin y
mejora
3.63.6
Tpicos
p
dede
Tpicos
evaluacin
evaluacin
Que ocurre en el caso de la existencia de una incidencia de seguridad,

como se administra,
administra como se comunica y como se cierra.
cierra
Conocer la existencia de incidentes de seguridad que hayan ocurridos,
ya que posteriormente efecta controles cruzados
Cmo es la AUDITORIA DE CERTIFICACION ? (Cont.)

3.1 Proceso de
certificacin
3.2 Pasos a
Seguir
En la entrevista el AUDITOR evala: ( continuacin)

Que tengamos evidencia que demuestre que hacemos lo que
decimos en los procedimientos.
3.3 Actividades de
la empresa
certificadora
3.4 Actividades
posteriores
La evidencia debe corresponder a lo indicado en los flujos y en

los procedimientos, si corresponde.
En todos los casos,
casos la evidencia corresponde a un registro y por
3.5 Mantencin y
mejora
3.63.6
Tpicos
p
dede
Tpicos
evaluacin
evaluacin
lo tanto debe estar controlado.

El CONTROL DE REGISTROS queda en evidencia desde el
momento en que nos piden un registro y podemos: ubicarlo,
acceder rpidamente, verificar que est completo.

3.1 Proceso de
certificacin
3.2 Pasos a
Seguir
3.3 Actividades de
la empresa
certificadora
En la entrevista el AUDITOR verifica: ( continuacin)

Que podamos acceder a los documentos que correspondan a la
ltima versin.
Que los documentos que tengamos disponibles en los escritorios
se encuentren clasificados y rotulados.
3.4 Actividades
posteriores
3.5 Mantencin y
mejora
3.63.6
Tpicos
p
dede
Tpicos
evaluacin
evaluacin
Que se entiende por poltica de escritorio limpio.

Que el usuario haya tenido una induccin (capacitacin) al tema
de seguridad, con el fin de verificar posteriormente fechas de los
cursos y su correspondiente evidencia.
Que en general, tengamos nocin de los trminos de seguridad,
auditoria interna, comits de seguridad, etc.

3.1 Proceso de
certificacin
3.2 Pasos a
Seguir
3.3 Actividades de
la empresa
certificadora
3.4 Actividades
posteriores
En la misma entrevista el AUDITOR (para Informtica) verifica:

Que
podamos
mostrar
evidencia
que
demuestre
seguimiento o mediciones del proceso.

Cmo va el proceso?
Se alcanzan los resultados?
Q
Qu estamos haciendo p
para q
que se alcancen los
3.5 Mantencin y
mejora
3.63.6
Tpicos
p
dede
Tpicos
evaluacin
evaluacin
resultados?.
Q
Que p
podamos responder
p
cmo nos ha ido en las auditorias
internas. Se han encontrado problemas en el proceso?.
Que mejoras
se estn desarrollando al SGI?. ((Cantidad,,
j
responsables, tiempos, resultados)

3.1 Proceso de
certificacin
3.2 Pasos a
Seguir
3.3 Actividades de
la empresa
certificadora
3.4 Actividades
posteriores
3.5 Mantencin y
mejora
Nunca se debe dejar solo al auditor, siempre y en

todo momento debe estar acompaado
p
por el Jefe
p
de Auditoria Interna, o por quien este defina..
En algunos casos, el auditor recoge informacin en
esta entrevista para realizar chequeos cruzados de
informacin en el siguiente proceso.
3.63.6
Tpicos
p
dede
Tpicos
evaluacin
evaluacin

3.1 Proceso de
certificacin
Adicionalmente, el auditor puede evaluar nuestro conocimiento de

3.2 Pasos a
Seguir
3.3 Actividades de
la empresa
certificadora
3.4 Actividades
posteriores
3.5 Mantencin y
mejora
3.63.6
Tpicos
p
dede
Tpicos
evaluacin
evaluacin
otros
t
procesos del
d l Sistema
Si t
d Gestin
de
G ti Integral
I t
l
en los
l
cuales
l
podemos participar:
CAPACITACION Y ENTRENAMIENTO
EVALUACION DE COMPETENCIAS
AUDITORIAS INTERNAS
ACCIONES CORRECTIVAS Y PREVENTIVAS
CONTROL DE DOCUMENTOS
REVISION GERENCIAL
Las preguntas COMODIN

3.1 Proceso de
certificacin
3.2 Pasos a
Seguir
POLITICA DE CALIDAD /SEGURIDAD
involucrado usted)
3.3 Actividades de
la empresa
certificadora
3.4 Actividades
posteriores
3.5 Mantencin y
mejora
3.63.6
Tpicos
p
dede
Tpicos
evaluacin
evaluacin
Conoce la Poltica de calidad y Seguridad de AHORROCOOP? (Donde esta
Indique dos aspectos importantes
CUMPLIMIENTO DE LOS REQUISITOS
MEJORA CONTINUA
OBJETIVOS DE CALIDAD / SEGURIDAD
Su trabajo
j como aporta
p
al logro
g de los objetivos
j
((CALIDAD,, SEGURIDAD))
Cual de los objetivos de seguridad es ms importante
DESCRIPCION DE CARGO
La conoce? (Es real esta descripcin o usted hace otras tareas?)
Podemos revisarla?
D d usted
t d tiene
ti
d fi id los
l aspectos
t de
d cumplimiento
li i t del
d l SGI?
Donde
definido
RECOMENDACIONES
3.1 Proceso de
certificacin
3.2 Pasos a
Seguir
3.3 Actividades de
la empresa
certificadora
3.4 Actividades
posteriores
3.5 Mantencin y
mejora
Responder con seguridad a las preguntas.

Responder lo que el auditor pregunta, no extenderse
ms de lo necesario.
Mostrar los registros Solicitados.
Si ell auditor
dit pregunta
t por los
l procedimientos,
di i t
acceder
d a
la Intranet (y no a otro lugar).
3.63.6
Tpicos
p
dede
Tpicos
evaluacin
evaluacin
No hay preguntas que requieran de nuestra memoria,

siempre
que sea necesario acceder a la intranet.
p q
GRACIAS

2 Presentación ISO 27001 - Comite de Seguridad

Încărcat de

Informații document

Descriere originală:

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

2 Presentación ISO 27001 - Comite de Seguridad

Încărcat de

Drepturi de autor:

Formate disponibile

CapacitacindelSistemade

La SEGURIDAD se planifica, controla y mejora

Esta norma internacional especifica los requisitos para

Las organizaciones certificadas pueden tener mayor

III. Actividades para la

1.1 Metodologa del SGSI

1.3 Documentacin del SGI

3.5 Actividades posteriores

3.2 Proceso de Certificacin

1.2 Modelo del

Cmo establecer los requisitos?

1.2 Modelo del

Cmo establecer los requisitos?

1.2 Modelo del

1.2 Modelo del

1.2 Modelo del

Establecer el SGSI (Plan)

1.2 Modelo del

Establecer el SGSI (Plan)

1.2 Modelo del

Implementar y operar la poltica de seguridad, controles,

Implementar plan de tratamiento de riesgos.

Aceptar riesgo residual.

1.2 Modelo del

Implementar y operar (Do)

1.2 Modelo del

Gestionar operaciones y recursos.

Implementar programas de Capacitacin y concientizacin.

Implementar procedimientos y controles de deteccin y

Monitoreo y Revisin ((Check))

1.2 Modelo del

Evaluar y medir la performance de los procesos contra la poltica

Monitoreo y Revisin (Check)

1.2 Modelo del

1.2 Modelo del

Tomar acciones correctivas y preventivas, basadas en los

1.2 Modelo del

Definir el alcance del SGSI (fronteras)

1.2 Modelo del

Para obtener la certificacin.

Identificar las fallas y debilidades en la seguridad

1.2 Modelo del

Definicin del alcance

1.2 Modelo del

1.2 Modelo del

Manual de seguridad: Sera la documentacin que inspira y dirige todo el

1.2 Modelo del

Procedimientos: Documentos en el nivel operativo, que asegura que se

procesos de seguridad de la informacin

1.2 Modelo del

Para qu sirven los documentos?

Qu tengo que hacer si observo un problema?.

1.2 Modelo del

Polticas, Normas, Procedimientos de

Cmo: Descripcin de las actividades que darn con la consecucin del

1.2 Modelo del

Deben establecer las necesidades y requisitos de proteccin en el

Formalmente describe qu tipo de gestin de la seguridad se

1.2 Modelo del

Determina las acciones o tareas a realizar en el desempeo de un

La especificacin de una serie de pasos en relacin a la ejecucin

Un procedimiento alineado a las buenas prcticas, garantiza que en