Documente Academic
Documente Profesional
Documente Cultură
INTRODUCCIN.............................................................................................. 2
CONTEXTUALIZACIN..................................................................................... 3
Definicin del problema.............................................................................. 3
OBJETIVOS DE LA IMPLEMENTACIN DE ISO -27001.......................................4
Objetivos Generales.................................................................................... 4
Objetivos Especficos.................................................................................. 4
ANLISIS DIFERENCIAL................................................................................... 5
Metodologa a usar...................................................................................... 5
ANLISIS GAP.............................................................................................. 5
....................................................................................................................... 6
ANLISIS DE RIESGOS.................................................................................... 7
Listado de activos....................................................................................... 7
Valoracin de los Activos............................................................................. 8
Dimensiones de Seguridad.........................................................................8
Anlisis de Amenazas.................................................................................. 9
Anlisis de Riesgos.................................................................................... 11
Recomendaciones..................................................................................... 11
PROYECTOS DE MEJORAS CRTICOS.............................................................13
ANLISIS DE CUMPLIMIENTO........................................................................13
Requisitos SGSI......................................................................................... 13
Dominios de Control.................................................................................. 15
INTRODUCCIN
La seguridad de la informacin, segn ISO 27001, consiste en la
preservacin de su confidencialidad, integridad y disponibilidad, as como de
los sistemas implicados en su tratamiento, dentro de una organizacin.
El Plan de Director se desarrollar para los activos informacin que estn a
cargo de la Direccin de Tecnologa de la informacin y que se encuentran
en la infraestructura local de la Oficina Central para los usuarios de
institucin que estn ubicados en el edificio de la Oficina Central y que no
pertenezcan o sean administrados por funcionarios de sus filiales o
empresas asociadas.
CMO IMPLEMENTAR ISO 27001?
Para implementar la norma ISO 27001 en una empresa, usted tiene que
seguir estos 16 pasos:
1) Obtener el apoyo de la direccin.
2) Utilizar una metodologa para gestin de proyectos.
3) Definir el alcance del SGSI.
4) Redactar una poltica de alto nivel sobre seguridad de la
informacin.
5) Definir la metodologa de evaluacin de riesgos.
6) Realizar la evaluacin y el tratamiento de riesgos.
7) Redactar la Declaracin de aplicabilidad.
8) Redactar el Plan de tratamiento de riesgos.
9) Definir la forma de medir la efectividad de sus controles y de su
SGSI.
10) Implementar todos los controles y procedimientos necesarios.
11) Implementar programas de capacitacin y concienciacin.
12) Realizar todas las operaciones diarias establecidas en la
documentacin de su SGSI.
13) Monitorear y medir su SGSI.
14) Realizar la auditora interna.
CONTEXTUALIZACIN
Definicin del problema
Actualmente MULTIMETALES S.A. no cuenta con los controles, medidas,
procedimientos de seguridad necesarios para resguardar sus activos de
informacin, tales como documentos, software, dispositivos fsicos,
personas, imagen, reputacin y servicios, estn expuestos a altos niveles de
riesgos, frente a las diversas amenazas fsicas y lgicas existentes:
Desastres naturales (Tormentas, rayos, terremotos, inundaciones, etc.)
Estructurales (Incendios, inundaciones, humedad, cortes de electricidad,
agua, refrigeracin, comunicaciones, etc.)
Hardware (Fallo total o parcial de Servidores, Estaciones PC, porttiles,
etc.)
Software (Errores en los SO, BD, software
aplicaciones, elementos de seguridad, etc.)
base,
Web
servers,
Objetivos Especficos
Alinear los procesos de la Direccin de TI de Oficina Central para
cumplir con los requisitos de la norma ISO/IEC 27001:2013 y
gestionar su respectiva documentacin y divulgacin.
Implementar los controles definidos en el documento Declaracin de
Aplicabilidad V1.0 en los procesos gestionados por la Direccin de TI,
recursos humanos y bienes y servicios de Oficina central, con
seguimientos mensuales que evalen el grado de implementacin.
Identificar las polticas y normas necesarias que soporten la poltica
de seguridad de la informacin para cubrir la implementacin de los
controles definidos en el documento Declaracin de Aplicabilidad V1.0
y realizar una campaa de divulgacin a los funcionarios de la Oficina
Central y las empresas afiliadas.
Identificar los procesos necesarios para desarrollar el plan de
seguridad, la implementacin de controles y la gestin del SGSI y a su
vez, generar la documentacin necesaria basada en los formatos y
nomenclaturas del Sistema de Gestin Documental de la compaa.
ANLISIS DIFERENCIAL
Metodologa a usar
Modelo de Madurez de la Capacidad (CMM)
ANLISIS GAP
Anlisis Gap para ISO-27001
La valoracin de cada dominio de control se realiz basada en la
ponderacin de las valoraciones de los objetivos de control que a su vez son
el resultado de la evaluacin del grado de implementacin de cada control
independiente y se resumen en la siguiente tabla:
ANLISIS DE RIESGOS
La primera etapa hacia la consecucin del Plan de Implementacin de un
SGSI consistir en la evaluacin de nuestros activos, considerando las
dependencias existentes entre ellos y realizando una valoracin de los
mismos.
Listado de activos
Dimensiones de Seguridad
Anlisis de Amenazas
estn
clasificadas en
los
siguientes
Anlisis de Riesgos
Recomendaciones
ANLISIS DE CUMPLIMIENTO
Requisitos SGSI
La norma ISO/IEC 27001:2013 especifica los requerimientos para establecer,
implementar, mantener y continuamente mejorar el sistema de gestin de
seguridad de la informacin y agrupa sus requerimientos en 7 clusulas.
Comparacin de porcentaje de implementacin
La
siguiente
matriz indica la categorizacin de cada clusula de acuerdo a la valoracin
de procesos presentada:
SGSI de acuerdo
siguiente grfico.
Dominios de Control
La valoracin de cada dominio de control se realiz basada en la
ponderacin de las valoraciones de los objetivos de control que a su vez son
el resultado de la evaluacin del grado de implementacin de cada control
independiente y se resumen en la siguiente tabla: