Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

ISO 27001

No description
by

Edgar Trujillo F

on 7 April 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of ISO 27001

ISO 27001
¿COMO SE IMPLEMENTA UN SGSI?
Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA
Auditorías internas
ISO 27001
La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.
Este proceso es el que constituye un SGSI, que podría considerarse, por analogía con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la información.
Garantizar un nivel de protección total es virtualmente imposible.

ISO 27001
¿Qué es un SGSI?
SGSI es la abreviatura utilizada para referirse a un Sistema de Gestión de la Seguridad de la Información.
Un sistema de gestión de la seguridad de la información garantiza que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos.

¿Para qué sirve un SGSI?
¿Qué incluye un SGSI?
En el ámbito de la gestión de la calidad según ISO 9001, siempre se ha mostrado gráficamente la documentación del sistema como una pirámide de cuatro niveles. Es posible trasladar ese modelo a un Sistema de Gestión de la Seguridad de la Información basado en ISO 27001.
¿Se integra un SGSI con otros sistemas de gestión?
La gestión de las actividades de las organizaciones se realiza, cada vez con más frecuencia, según sistemas de gestión basados en estándares internacionales: se gestiona la calidad según ISO 9001, el impacto medio-ambiental según ISO 14001 o la prevención de riesgos laborales según OHSAS 18001.
Se añade ISO 27001 como estándar de gestión de seguridad de la información.

Se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita.
La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad.
• Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
• Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.
• Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran.

La información, junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes de una organización. La confidencialidad, integridad y disponibilidad de la información pueden llegar a ser esenciales para mantener los niveles de la organización.
Para garantizar que la seguridad de la información sea gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI.


Las organizaciones y sus sistemas de información están expuestos a un número cada vez más elevado de amenazas, un SGSI es una herramienta de gran utilidad para proteger a los sistemas de estas amenazas y de importante ayuda para la gestión de las organizaciones.
Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.
El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la planificación e implantación de controles de seguridad basados en una evaluación de riesgos.
Documentación del sistema como una pirámide de cuatro niveles
Documentos de Nivel 1
Manual de seguridad: por analogía con el manual de calidad, aunque el término se usa también en otros ámbitos. Sería el documento que inspira y dirige todo el sistema, el que expone y determina las intenciones, alcance, objetivos, responsabilidades, políticas y directrices principales, etc., del SGSI.
Documentos de Nivel 2
Procedimientos: documentos en el nivel operativo, que aseguran que se realicen de forma eficaz la planificación, operación y control de los procesos de seguridad de la información.

Documentos de Nivel 3
Instrucciones, checklists y formularios: documentos que describen cómo se realizan las tareas y las actividades específicas relacionadas con la seguridad de la información.
Documentos de Nivel 4
Registros: documentos que proporcionan una evidencia objetiva del cumplimiento de los requisitos del SGSI; están asociados a documentos de los otros tres niveles como output que demuestra que se ha cumplido lo indicado en los mismos.

El objetivo último debería ser llegar a un único sistema de gestión que contemple todos los aspectos necesarios para la organización, basándose en el ciclo PDCA de mejora continua común a todos estos estándares. Las facilidades para la integración de las normas ISO son evidentes mediante la consulta de sus anexos.

Actividad realizada por la misma organización a intervalos planeados.

Determina si los objetivos de control, controles, procesos y procedimientos del SGSI cumplen con los requerimientos establecidos, las legislaciones y regulaciones relevantes.

Cumplen con los
requerimientos de seguridad de la información identificados; se implementan y mantienen
de manera efectiva; y se realizan conforme lo esperado.
Para la realización de una auditoría se toman en cuenta el
estatus y la importancia de los procesos y áreas
a ser auditadas, así como los resultados de auditorías previas.

Se debe definir el criterio, alcance, frecuencia y métodos de auditoría.

Los auditores
y la realización de las auditorías
deben asegurar la objetividad e imparcialidad
del proceso de auditoría.
"Los auditores NO deben auditar su propio trabajo."

Las
responsabilidades y requerimientos
para la planificación y realización de las auditorías, y para el reporte de resultados y mantenimiento de registros
se deben definir en un procedimiento documentado.
Cada dirección de área debe asegurar
que se den sin demora las acciones para eliminar las no-conformidades detectadas y sus causas.

Para las actividades de seguimiento se deberá de incluir la verificación de las acciones tomadas y un reporte de resultados de verificación.
Revisión gerencial del SGSI
Para asegurar la continua idoneidad, conveniencia y efectividad del SGSI, La gerencia debe revisarla al menos una vez al año.

En cada revisión se deberán incluir oportunidades de evaluación para el mejoramiento y la necesidad de cambios en el SGSI, incluyendo la política de seguridad y los objetivos de seguridad.

Cada revisión se deberá documentar cuidadosamente y se deberán mantener registros.
a) resultados de auditorías y revisiones del SGSI;

b) retroalimentación de las partes interesadas;

c) técnicas, productos o procedimientos, que se podrían utilizar en la organización para
mejorar el desempeño y efectividad del SGSI;

d) estatus de acciones preventivas y correctivas;

e) vulnerabilidades o amenazas no tratadas adecuadamente en la evaluación de riesgo
previa;

f) resultados de mediciones de efectividad;

g) acciones de seguimiento de las revisiones gerenciales previas;

h) cualquier cambio que pudiera afectar el SGSI; y
i) recomendaciones para el mejoramiento.
Insumo de la revisión
El resultado de la revisión gerencial

debe incluir cualquier decisión y acción relacionada con lo
siguiente:

a) mejoramiento de la efectividad del SGSI;
b) actualización de la evaluación del riesgo y el plan de tratamiento del riesgo;
c) modificación de procedimientos y controles que afectan la seguridad de la información, si
fuese necesario, para responder a eventos internos o externos que pudieran tener
impacto sobre el SGSI, incluyendo cambios en:
1) requerimientos comerciales;
2) requerimientos de seguridad;
3) procesos comerciales que afectan los requerimientos comerciales existentes;
4) requerimientos reguladores o legales;
5) obligaciones contractuales; y
6) niveles de riesgo y/o criterio de aceptación del riesgo.
d) necesidades de recursos;
e) mejoramiento de cómo se mide la efectividad de los controles.
Mejoramiento de SGSI
Mejoramiento continuo
La organización debe mejorar continuamente
la efectividad del SGSI a través del uso de la política
de seguridad de la información, objetivos de seguridad de la información, resultados de auditoría,
análisis de los eventos monitoreados, acciones correctivas y preventivas, y la revisión gerencial.

Acción correctiva

La organización debe realizar las acciones para eliminar la causa de las no-conformidades con los
requerimientos del SGSI para poder evitar la recurrencia. El procedimiento documentado para la
acción correctiva debe definir los requerimientos para:

a) identificar las no-conformidades;
b) determinar las causas de las no-conformidades;
c) evaluar la necesidad de acciones para asegurar que las no-conformidades no vuelvan a
ocurrir;
d) determinar e implementar la acción correctiva necesaria;
e) registrar los resultados de la acción tomada (ver 4.3.3); y
f) revisar la acción correctiva tomada.

Acción preventiva

La organización debe determinar la acción para eliminar la causa de las no-conformidades potenciales de los requerimientos SGSI para evitar su ocurrencia.
Las acciones preventivas tomadas deben ser apropiadas para el impacto de los problemas potenciales. El procedimiento documentado para la acción preventiva debe definir los requerimientos para:

a) identificar las no-conformidades potenciales y sus causas;
b) evaluar la necesidad para la acción para evitar la ocurrencia de no-conformidades;
c) determinar e implementar la acción preventiva necesaria;
d) registrar los resultados de la acción tomada (ver 4.3.3); y
e) revisar la acción preventiva tomada.

La organización debe identificar los riesgos cambiados e identificar los requerimientos de acción preventiva enfocando la atención sobre los riesgos cambiados significativamente.
La prioridad de las acciones preventivas se debe determinar en base a los resultados de la evaluación del riesgo.

Requerimientos generales
La organización debe establecer, implementar, operar, monitorear, mantener y mejorar continuamente un SGSI documentado dentro del contexto de las actividades comerciales generales de la organización y los riesgos que enfrentan.
Establecer y manejar el SGSI
La organización debe hacer lo siguiente:

a) Definir el alcance y los límites del SGSI
b) Definir una política SGSI en términos de las características del negocio, la organización, su ubicación, activos y tecnología.
c) Definir el enfoque de valuación del riesgo de la organización

• Identificar una metodología de cálculo del riesgo adecuado para el SGSI.
• Desarrollar los criterios para aceptar los riesgos e identificar los niveles de riesgo aceptables.


d) Identificar los riesgos
• Identificar los activos dentro del alcance del SGSI y los propietarios de estos activos.
• Identificar las amenazas para aquellos activos
• Identificar las vulnerabilidades que podrían ser explotadas por las amenazas.
• Identificar los impactos que pueden tener las pérdidas de confiabilidad, integridad y disponibilidad sobre los activos.

e) Analizar y evaluar el riesgo
• Calcular el impacto comercial sobre la organización que podría resultar de una falla en la seguridad.
• Calcular los niveles de riesgo.

f) Identificar y evaluar las opciones para el tratamiento de los riesgos.
• Aplicar los controles apropiados.
• Aceptar los riesgos consciente y objetivamente, siempre que satisfagan claramente las políticas y el criterio de aceptación del riesgo de la organización.

g) Obtener la autorización de la gerencia para implementar y operar el SGSI.


a) Formular un plan de tratamiento de riesgo que identifique la acción gerencial apropiada, los recursos, las responsabilidades y prioridades para manejar los riesgos de la seguridad de información.

b) Implementar los controles seleccionados para satisfacer los objetivos de control.

c) Definir cómo medir la efectividad de los controles o grupos de controles seleccionados.

d) Implementar los programas de capacitación y conocimiento.

e) Manejar recursos para el SGSI.

f) Implementar los procedimientos y otros controles capaces de permitir una pronta detección de y respuesta a incidentes de seguridad.

a) Ejecutar procedimientos de monitoreo y revisión

b) Realizar revisiones regulares de la efectividad del SGSI (incluyendo satisfacer la política y objetivos de seguridad del SGSI, y revisar los controles de seguridad)

c) Medir la efectividad de los controles para verificar que se hayan cumplido los requerimientos de seguridad.

d) Realizar auditorías SGSI internas a intervalos planeados.


Implementar y operar el SGSI
Monitorear y revisar el SGSI
Mantener y mejorar el SGSI
a) Implementar las mejoras identificadas en el SGSI.

b) Tomar las acciones correctivas y preventivas apropiadas.

c) Comunicar los resultados y acciones a todas las partes interesadas.

d) Asegurar que las mejoras logren sus objetivos señalados.

Requerimientos de documentación
La documentación debe incluir los registros de las decisiones gerenciales, asegurar que las acciones puedan ser monitoreadas a las decisiones y políticas gerenciales, y los resultados registrados deben ser reproducibles
a) Enunciados documentados de la política SGSI y los objetivos
b) El alcance del SGSI
c) Una descripción de la metodología de evaluación del riesgo
d) Reporte de evaluación del riesgo
e) Plan de tratamiento del riesgo
f) Registros requeridos por este Estándar Internacional

Responsabilidad de la gerencia
Plan (planificar): establecer el SGSI.
Compromiso de la gerencia
La gerencia debe proporcionar evidencia de su compromiso con el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejoramiento del SGSI
-Definir el alcance del SGSI en términos del negocio, la organización, su localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión.
-Identificar los riesgos
-Analizar y evaluar los riesgos

a) Establecer una política SGSI

b) Asegurar que se establezcan objetivos y planes SGSI

c) Establecer roles y responsabilidades para la seguridad de información.

d) Comunicar a la organización la importancia de lograr los objetivos de seguridad de la información

d) Proporcionar los recursos suficientes para desarrollar, implementar, operar, monitorear, revisar, mantener y mejorar el SGSI.

e) Decidir el criterio para la aceptación del riesgo y los niveles de riesgo aceptables

f) Asegurar que se realicen las auditorías internas SGSI

Do: Implementar y utilizar el SGSI
Gestión de recursos
- Se lleva acabo la implatacion de los controles de la seguridad
-Definir el plan de tratamiento de riesgos
-Gestionar los recursos
a) Establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI.

b) Asegurar que los procedimientos de seguridad de la información respalden los requerimientos comerciales.

c) Mantener una seguridad adecuada mediante la correcta aplicación de todos los controles implementados

Check: Monitorizar y revisar el SGSI
d) Llevar a cabo revisiones cuando sean necesarias, y reaccionar apropiadamente ante los resultados de estas revisiones.

e) Donde se requiera, mejorar la efectividad del SGSI

-monitorización y revisión
-Revisar el SGSI por parte de la dirección
-Actualizar los planes de seguridad
Act: Mantener y mejorar el SGSI
-Implantar en el SGSI las mejoras identificadas.
-Realizar las acciones preventivas y correctivas
-Comunicar las acciones y mejoras a todas las partes interesadas
-Asegurarse que las mejoras introducidas alcanzan los objetivos previstos.

¿Qué tareas tiene la Gerencia en un SGSI?
Metodologias de Análisis de riesgos
La implantacion de un SGSI es una desicion
estrategica que debe involucrar a toda la organizacion, que debe ser apoyada y dirigida por la direccion.
El diseño de SGSI depende de los objetivos y necesidades de la empresa
Análisis holandes A&K
CRAMM (Inglaterra)
EBIOS
IT-GRUNDSCHUTE (Alemania)
MAGERIT (España)
Manual de Seguridad de TI Austriaco
MARION-MEHARI
ISO 27005
OCTAVE (EU)
NIST SP800-30

-Garantizar que los procedimientos de seguridad de la información apoyan los requerimientos de negocio.
-Aplicar correctamente todos los controles implementados, manteniendo de esa forma la seguridad adecuada.
-Mejorar la eficacia del SGSI donde sea necesario.
-Asignar suficientes recursos al SGSI en todas sus fases.
-Asegurarse de que se establecen objetivos y planes del SGSI.
Full transcript