Implementando un Sistema de Gestin

de Seguridad de la Informacin con ISO 27001

www.kinakuta.com.mx

Nosotros
Somos una empresa integrada por
profesionales apasionados por la
seguridad, con una oferta de servicios
diferenciada en Gestin de Riesgos,
Cumplimiento y Seguridad
Nuestros Servicios se enfocan a empresas
con un alta regulacin en materia de
seguridad y proteccin de datos

www.kinakuta.com.mx

Preguntas comunes

Qu es un sistema de gestin?
Qu debo proteger?
Por qu?
Quin lo debe hacer?
Qu medidas debo tomar?
Es un software?

www.kinakuta.com.mx

Antecedentes

www.kinakuta.com.mx

Antecedentes
1999
1995

BS77991:1999
BS77992:1999
Revisin de
las partes 1
y2

BS7799
Parte 1
Cdigo de
buenas
prcticas

2007

2002

ISO/IEC
27001
La parte 2
se adopta
como ISO

BS77992:2002
Revisin de
la parte 2

1998

2000

2005

BS7799
Parte 2
Especificaci
n de un
SGSI

ISO/IEC
17799:2000
Parte 1 se
adopta
como ISO

ISO
17799:2005
Revisin de
ISO 17799

www.kinakuta.com.mx

DISEANDO UN
PROGRAMA DE SEGURIDAD
CON ISO 27001

www.kinakuta.com.mx

Objetivos de la gestion
de la seguridad

Seguridad de la informacin
Proteccin contra prdida, alteracin y
divulgacin no autorizada.
Motivacin: Inters propio
Proteccin de datos
Proteccin de la personalidad y los
derechos personales de los individuos, que
salen en los datos, para evitar
consecuencias negativas en contra de
ellos.
Motivacin: Cumplimiento regulatorio
www.kinakuta.com.mx

Los sistemas de Gestin

Es una estructura probada para la gestin y mejora
continua de las polticas, los procedimientos y
procesos de la organizacin.
ISO 27001, ISO 20000, ISO 9001, ISO 14001, Etc.

Ayuda a lograr los objetivos de la organizacin

mediante una serie de estrategias, que incluyen la
optimizacin de procesos, el enfoque centrado en la
gestin y el pensamiento disciplinado.
www.kinakuta.com.mx

La norma ISO 27001

Es una solucin de mejora continua en base a la cual
puede desarrollarse un Sistema de Gestin de
Seguridad de la Informacin (SGSI) que permita
evaluar todo tipo de riesgos o amenazas
susceptibles de poner en peligro la informacin de
una organizacin tanto propia como datos de
terceros.
Permite establecer los controles y estrategias ms
adecuadas para eliminar o minimizar dichos
peligros.
www.kinakuta.com.mx

Elementos
de la gestin de la seguridad

Activos
Amenazas

Controles

SGSI
www.kinakuta.com.mx

Propsito
De un SGSI

Garantizar que los riesgos de la seguridad de la

informacin sean conocidos, asumidos,
gestionados y minimizados por la organizacin
de una forma documentada, sistemtica y
estructurada

www.kinakuta.com.mx

El ciclo PDCA
de la gestin de la seguridad

Planear
(Plan)

Hacer
(Do)

Actuar
(Act)

Revisar
(Check)

www.kinakuta.com.mx

Planear

Definir la poltica de seguridad

Establecer al alcance del SGSI
Realizar el anlisis de riesgo
Seleccionar los controles
Definir competencias
Establecer un mapa de procesos
Definir autoridades y responsabilidades
www.kinakuta.com.mx

Hacer
Implantar el plan de gestin de riesgos
Implantar el SGSI
Implantar los controles

www.kinakuta.com.mx

Revisar
Revisar internamente el
SGSI
Realizar auditoras internas
del SGSI
Poner en marcha
indicadores y mtricas
Hacer una revisin por parte
de la Direccin
www.kinakuta.com.mx

Actuar
Adoptar acciones correctivas
Adoptar acciones de mejora

www.kinakuta.com.mx

Mapa de Ruta

www.kinakuta.com.mx

Hay muchas formas de llegar...

La complicada...

La correcta...

Estado Actual...

esperar a que nos

auditen (y
multen) y nos
digan qu esta
mal...
reaccionar
cuando alguien
nos solicite
derechos ARCO...

Estado Actual...
implantar
parches en
procesos y
sistemas

contratar una
asesora legal

actuar a la
defensiva ante
cualquier
reclamacin
...Cumplimiento?

Implementar un
Sistema de
Gestin de
Seguridad de
Informacin

...Cumplimiento Integral

www.kinakuta.com.mx

Un enfoque
prctico y efectivo
Tomamos la complejidad del entorno de manejo
de la seguridad de la informacin y la
simplificamos mediante:
1. Un diagnstico integral
(legal, tcnico y administrativo)
2. La implantacin de los procesos y
controles de proteccin de datos
personales
3. El asesoramiento para mantener la
seguridad de los datos a travs del tiempo
Simplicidad

Practicidad

Transparencia
www.kinakuta.com.mx

Una estrategia modular

Paso 1: Diagnstico

Anlisis de
brecha
Dictamen de
nivel de
cumplimiento
Anlisis de
Riesgos Inicial

Paso 2: Implantacin de
Controles

Implantacin de
controles
Capacitacin y
concientizacin al
personal

Paso 3:
Seguimiento

Seguimiento
Auditoras
peridicas
Anlisis de
Riesgos
Mejora continua
de los controles

www.kinakuta.com.mx

Diagnstico

Diagnstico sobre la
estructura
organizacional
implementada en la
Organizacin para la
proteccin de los
activos
Diagnstico sobre
los mecanismos
actuales de control
para la proteccin
de los activos de la
Organizacin.

Identificacin de
activos, amenazas y
riesgos relevantes a
los activos

Anlisis de riesgos inicial

Entendimiento de
las medidas
jurdicas,
organizacionales,
tcnicas y fsicas
aplicables o
relevantes para la
organizacin.

Dictamen de nivel de
cumplimiento

Anlisis de brecha

Paso 1

Identificacin de
controles para
mitigacin de
riesgos

www.kinakuta.com.mx

Implementacin

Plan de accin para la

implementacin de
los controles
resultantes del
anlisis de riesgo

al personal

Caracterizacin de
controles de acuerdo
a las caractersticas
operativas,
gerenciales y
distribucin
geogrfica de la
Organizacin

Capacitacin

de controles

Implantacin

Paso 2
Formacin al personal
directamente
relacionado con la
operacin de los
controles
implementados.

Programa de
sensibilizacin a la
comunidad de la
Organizacin sobre el
compromiso de la
empresa con la
seguridad.

www.kinakuta.com.mx

Seguimiento

Generacin de
mtricas

Auditoras peridicas

Seguimiento

Operacin de los
procesos y controles

Medicin
consistente de la
efectividad de los
procesos y controles
implementados a
travs del anlisis de
los registros
operativos de los
mismos y sus
mtricas.

Anlisis de Riesgos

Paso 3
Validacin de la
efectividad de los
controles planeados
e implementados en
funcin de la
mitigacin del
riesgo.
Inicia un nuevo ciclo
PDCA.

www.kinakuta.com.mx

Tiempos de implementacin
Tpicos
Diagnstico (2m)
Anlisis de brechas
Dictamen
Anlisis de riesgos

Implementacin (6m)
Implementacin de
controles

Capacitacin

Seguimiento (12m)
Seguimiento
Auditorias
peridicas
Anlisis de riesgos

www.kinakuta.com.mx

Beneficios del modelo

Cumplir integralmente con el entorno regulatorio
Establecer un marco y modelo de gobierno de SI
Implantar una cultura de administracin de riesgos
Incrementar los niveles de seguridad
Contar con un plan/programa de seguridad
Fortalecer la imagen ante: clientes, proveedores,
socios de negocio y empleados
Incrementar los niveles de control interno

www.kinakuta.com.mx

PREGUNTAS?

www.kinakuta.com.mx

GRACIAS!
Juan Antonio Lugo
Kinakuta
antonio.lugo@kinakuta.com.mx

www.kinakuta.com.mx