Basado en la ISO 27001:2013 · No tenemos que usar la norma ISO 31000 para la gestión de riesgos....

Seguridad de la Información

Basado en la ISO 27001:2013


Agenda

Gobierno de Seguridad de la Información

Organización del Proyecto

Alineando el negocio con la Seguridad de la Información

Gestión de Riesgos

Indicadores de gestión

Mejora Continua


Gobierno de Seguridad de la Información


El Gobierno de Seguridad de la Información está compuesto por

un conjunto de responsabilidades y practicas llevadas a cabo

mediante la junta ejecutiva con el objetivo de proporcionar la

dirección estratégica, asegurando que los objetivos se logran,

cerciorándose de que los riesgos se gestionan de manera

adecuada y asegurando que los recursos de la empresa son

usados responsablemente Fuente: IT Governance Institute

Gobierno de Seguridad de

la Información


El Gobierno de Seguridad de la Información es un subconjunto de Gobierno

de la Empresa que proporciona la dirección estratégica, asegura que los

objetivos se logran, gestiona los riesgos adecuadamente, asigna responsabilidades a los recursos de la organización, y supervisa el éxito o el

fracaso del programa de seguridad de la empresa. Fuente - Information Security Governance

Gobierno de Seguridad de

la Información


La ISO-27014 indica seis principios de gobiernos de la seguridad de

información los cuales son:

1. Establecer responsabilidad con respecto a la seguridad de la información

en toda la organización

2. Adoptar una aproximación basada en el riesgo.

3. Establecer la dirección de las decisiones de inversión en seguridad de la

información

4. Asegurar conformidad con los requerimientos internos y externos.

5. Fomentar un entorno positivo respecto de la seguridad.

6. Revisar el rendimiento en relación a los resultados de negocio.

ISO 27014


ISO 27014

1. Establecer responsabilidad con respecto a la seguridad de la

información en toda la organización.

•¿La seguridad de la información se gestiona a un nivel de la organización que

permita la toma de decisiones?

•¿Las actividades asociadas a la seguridad lógica y física se realizan de forma

coordinada?.

•¿La responsabilidad y rendición de cuentas con respecto a la seguridad se

establece a través del ciclo completo de las actividades de la organización

incluidos terceros?.


2. Adoptar una aproximación basada en el riesgo.

•¿Las decisiones se toman en función del riesgo?.

•El nivel aceptable de seguridad ¿se basa en el apetito al

riesgo de la organización?, ¿se incluye en él la posible

pérdida de ventaja competitiva, riesgos de cumplimiento

y responsabilidad, interrupciones operativas, pérdida

financiera y daño a la reputación?.

•¿Se asignan los recursos apropiados para implementar

la gestión de riesgos en la organización?.

ISO 27014


ISO 27014

3. Establecer la dirección de las decisiones de

inversión en seguridad de la información.

•¿La estrategia de inversiones en seguridad de la

información se establece en función de los resultados de

negocio alcanzados?.

•¿Las inversiones en seguridad se integran con los

procesos generales existentes para las inversiones y

gastos de la organización?.


ISO 27014

4. Asegurar conformidad con los requerimientos internos y externos.

•¿Se garantiza que las políticas y prácticas son conformes con la regulación

y legislación existente, con los compromisos y contratos de la organización

y con otros requerimientos internos o externos?.

•¿Se realizan auditorías de seguridad independientes?.


ISO 27014

5. Fomentar un entorno positivo respecto de la

seguridad.

A la hora de implementar la gobernanza de la seguridad,

¿se tiene en cuenta el comportamiento humano, incluyendo

la evolución de las necesidades de las partes interesadas?

¿Se exige, promueve y apoya la coordinación de las

actividades de las partes interesadas para alcanzar una

dirección coherente de la seguridad (educación, formación y

programas de concienciación)?.


ISO 27014

6. Revisar el rendimiento en relación a

los resultados de negocio.

¿La aproximación tomada para proteger la

información es adecuada al propósito de

apoyar la organización proporcionando

niveles acordados de seguridad de la

información?.

¿Se mantiene la seguridad en los niveles

requeridos para alcanzar los

requerimientos actuales y futuros del

negocio?.

¿Se evalúa la seguridad en relación a su

impacto en el negocio y no sólo en base a

la eficacia y eficiencia de los controles?.


ISO 27014


Organización del Proyecto


Re

qu

isit

os

y ex

pe

ctat

ivas

de

las

par

tes

inte

resa

das

re

spe

cto

a l

SGSI

Re

qu

isit

os

y ex

pe

ctat

ivas

de

las

par

tes

inte

resa

das

ge

stio

nad

as c

on

el S

GSI

Contexto de la Organización

Liderazgo

Planificación

Operación

Evaluación

Mejora

ENTRADA

SALIDA

Fases de la Metodología


Proyecto del SGSI

Contexto organización

Liderazgo

Planificación

Soporte

Operación

Evaluación

Mejora

7 FASES

Implantación del SGSI



Contexto organización

Liderazgo Planificación Soporte Operación Evaluación Mejora



Alineando el negocio con la Seguridad de la Información


Comprensión de la Misión,

Objetivos, Valores y Estrategias

Misión

Valores

Los

objetivos

De

La

Seguridad

de la

Información

Estratégico

Alineamiento

Estrategias

Objetivos

Políticas Corporativas Políticas de Seguridad de

la Información


Análisis del Ambiente

Externo

Existen varias metodologías para

entender cómo funciona una

organización

Lo importante es identificar las

características de los factores

ambientales internos y externos

que influyen en la gestión de la

continuidad del negocio: misión,

actividades principales,

organización interna, partes

interesadas, ttc.

Fortalezas Debilidades

Oportunidades Amenazas


Análisis del Entorno Interno

Comprender la estructura y los

principales actores de la

organización relacionados con

el ámbito de aplicación en los

planos:

•Estratégico (¿Quién establece las orientaciones estratégicas?)

•Gobierno (¿Quién coordina y gestiona las operaciones?)

•Operacional ( ¿Quién participa en las actividades de producción y

apoyo?)


Identificación de los Principales

Procesos y Actividades

Activos de

Información Claves

¿Cuáles son los

Activos de información

Claves de la

Organización?

Oferta de Productos

y servicios

¿Cuáles son los bienes y

Servicios producidos por

la organización?

Procesos de

Negocios

¿Cuáles so los

Procesos claves que

Permiten a la

Organización cumplir

Con su misión?


• Plan del proyecto

• Diagrama de GANNT

• Documento Alcance del SGSI

• Acta de Constitución del proyecto

Análisis del Ambiente

Externo

Plantillas SGSI/SGSI-001 - Plan del Proyecto.docx

Proyecto/Diagrama de Gannt Proyecto con ISO 27001 2013.pdf

Plantillas SGSI/SGSI-003 - Documento de alcance del SGSI.docx

Plantillas SGSI/Acta de constitucion del proyecto.docx


• Plan del proyecto

• Diagrama de GANNT

• Documento Alcance del SGSI

• Acta de Constitución del proyecto

Documentos

Plantillas SGSI/SGSI-001 - Plan del Proyecto.docx

Proyecto/Diagrama de Gannt Proyecto con ISO 27001 2013.pdf

Plantillas SGSI/SGSI-003 - Documento de alcance del SGSI.docx

Plantillas SGSI/Acta de constitucion del proyecto.docx


Gestión de Riesgos


No tenemos que usar la norma ISO 31000 para la gestión de riesgos. La norma ISO 31000 sólo se menciona en la norma ISO 27001: 2013, pero no es obligatorio.

No se tiene que eliminar los activos, amenazas y vulnerabilidades de nuestra evaluación de riesgos. Se puede mantener la metodología antigua porque la norma ISO 27001: 2013 te deja libertad para determinar los riesgos de la forma que desee.

¿Qué cambia en la gestión

de riesgos?


No se debe dejar de lado el identificar a los propietarios de activos. Aunque la norma ISO 27001: 2013 no requiere que usted identifique los propietarios de activos como parte de la evaluación del riesgo, el control A.8.1.2 Control lo requiere.

En la Política de seguridad de la información de nivel superior no se necesita establecer criterios con los que los riesgos serán evaluados - este era el requisito de la norma ISO 27001: 2005 4.2.1 b 4)); en la norma ISO 27001: 2013, usted todavía tiene que definir los criterios de evaluación de riesgo, pero no como parte de la política de nivel superior.


de riesgos?


Se puede identificar los riesgos en función de sus procesos, en función de sus departamentos, utilizando sólo las amenazas y vulnerabilidades no, o cualquier otra metodología

Es necesario identificar los propietarios del riesgo.

ISO 27001: 2005 requiere que la administración apruebe riesgos residuales, así como la implementación y operación del SGSI. Por el contrario, en la norma ISO 27001: 2013 los propietarios de los riesgos deben aceptar los riesgos residuales y aprobar el plan de tratamiento de riesgos.


de riesgos?


Las opciones de tratamiento en la revisión 2013 no sólo se limitan a la aplicación de los controles, la aceptación de riesgos, evitando los riesgos, y la transferencia de riesgos como lo fueron en la revisión de 2005 - básicamente, usted es libre de considerar cualquier opción de tratamiento que crea apropiado.


de riesgos?



de riesgos?


Indicadores de gestión


Indicadores del SGSI

ISO 27004


Entrenamiento del SGSI

Personal entrenado en el SGSI

Entrenamiento en Seguridad de la Información

Concientización en el Cumplimiento de la Seguridad de

la Información

Políticas de contraseñas

Calidad de las contraseñas – manual

Calidad de las contraseñas – automática

Proceso de revisión del SGSI

Mejora continua de la gestión de incidentes de la

seguridad de la información del SGSI


ISO 27004


Efectividad Implementación de acciones

correctivas

Compromiso de la alta dirección

Protección contra código malicioso

Controles físicos de entrada

Revisión de los archivos de registro de actividades

Gestión de la periodicidad del mantenimiento

Seguridad en acuerdos con terceras partes


ISO 27004


Documento

• Documento Indicadores del SGSI

Plantillas SGSI/SGSI-017 Documento indicadores del SGSI.docx


Mejora Continua


Revisión de Documentos


Revisión de Controles


1. ¿Cuál es su experiencia en su industria en particular?

2. ¿Cuántos clientes tenía? ¿Qué tipo de clientes que ha servido? ¿Puede proporcionar una lista de referencias?

3. ¿Cuál es su reputación - lo que hacen los otros consultores dicen de él; ¿qué dicen sus clientes acerca de él?

4. ¿Cuál es su experiencia (negocio), además de la norma ISO 27001 y / o ISO 22301?

5. ¿Cuál es su experiencia en otras normas ISO?

6. ¿Habla su idioma a la perfección?

7. ¿Tiene algún conflicto de interés?

Preguntas antes de

contratar a un consultor


1. ¿Cuántos proyectos de implantación ISO 22301 27001 / ISO ha terminó con éxito en los últimos dos años?

2. ¿Cuántos de sus clientes solicitaron la certificación, y cuántas eran con éxito la norma ISO 27001 / ISO 22301 certificada (en su primer intento)?

3. ¿Cuál fue la parte más compleja del proyecto ISO 27001 / ISO 22301 que ha tenido? ¿Puede describir brevemente?

4. ¿Cuál es su trayectoria educativa en la norma ISO 27001 / ISO 22301; es decir, lo que los certificados tiene?

5. ¿él entregas ISO 27001 o ISO 22301 entrenamientos? En caso afirmativo, ¿cuántos entrenamientos tenía que prevé, para cuántas personas?

6. ¿Alguna vez ha publicado ninguno de los artículos de expertos? ¿Cuántas y dónde?

7. ¿Trabajó como auditor de certificación?

8. ¿Puede que le muestre ejemplos de la documentación de evaluación del riesgo que él creó para algunos de sus clientes?

Preguntas antes de



1. ¿Cuál es el precio total de sus servicios (asegúrese de que incluye todo: análisis, entrevistas, desarrollo de documentación, capacitación, costos de transporte, etc.)?

2. ¿Cuáles son los servicios adicionales que usted tendrá que comprar a otros proveedores?

3. ¿Cuál es el costo de su tiempo de los empleados que participan en el proyecto?

Preguntas antes de



Preguntas

Basado en la ISO 27001:2013 · No tenemos que usar la norma ISO 31000 para la gestión de riesgos....

Documents

Transcript of Basado en la ISO 27001:2013 · No tenemos que usar la norma ISO 31000 para la gestión de riesgos....