Implementación efectiva de un SGSI ISO 27001 - Isaca

Implementación efectiva de un SGSI ISO 27001.

Rodrigo Baldecchi Q.

Gerente Corporativo de Calidad

04-SEP-14

CHILE

COLOMBIA

ECUADOR

MÉXICO

BRASIL PERÚ

ARGENTINA

COSTA RICA

URUGUAY

PANAMÁ

2 Presentación ISO 27001 en congreso CIGRAS www.sonda.com

1. Encuadre general.

2. La intención y el control.

3. Alcance.

4. Roadmap.

5. Implementación.

6. Política de SI.

7. Organización.

8. Riesgo.

9. Matriz SOA.

10. Incidentes de SI.

11. Plan de Continuidad del negocio.

12. Medición y mejora.

13. Cambio de versión de la norma.

14. Preguntas.

ÍNDICE

2


Encuadre general

La información es un activo esencial y es decisiva para la

viabilidad de una organización. Adopta diferentes formas, impresa,

escrita en papel, digital, transmitida por correo, mostrada en

videos o hablada en conversaciones.

Debido a que está disponible en ambientes cada vez más

interconectados, está expuesta a amenazas y vulnerabilidades.

La seguridad de la información es la protección de la información

contra una amplia gama de amenazas; para minimizar los daños,

ampliar las oportunidades del negocio, maximizar el retorno de las

inversiones y asegurar la continuidad del negocio.

Se va logrando mediante la implementación de un conjunto

adecuado de políticas, procesos, procedimientos, organización,

controles, hardware y software y, lo más importante, mediante

comportamientos éticos de las personas.

3


La intención y el control

El aumento del control sobre las actividades de las personas.

¿Es posible controlar las intenciones de las personas?

Por lo tanto, se requiere ir más lejos…

4


Sistemas de gestión

Para ISO (International Organization for Standardization) un

sistema de gestión queda definido por un proceso de 4 etapas,

creado por Walter Andrew Shewhart (1891 – 1967) y

popularizado por William Edwards Deming (1900 – 1993),

Planificar (Plan), Implementar (Do), Medir (Check) y Mejorar (Act).

Planificar

Implementar

Medir

Mejorar

5


Conceptos generales de un SGSI

ISO 27001 es un Sistema de Gestión de la Seguridad de la

Información (SGSI).

La seguridad de la información queda definida por tres atributos:

a) Confidencialidad; b) Integridad; c) Disponibilidad.

La seguridad de la información (SI) es la protección de la

información contra una amplia gama de amenazas respecto a: i)

Minimizar daños; ii) Oportunidades del negocio; iii) Retorno de la

inversión; iv) Continuidad del negocio; v) Cultura ética.

El SGSI garantiza la SI mediante una estructura de buenas

prácticas, definidas por: a) Gestión de riesgos; b) Políticas; c)

Procesos; d) Procedimientos; e) Controles; f) Revisiones; g)

Mejoras.

6


Conceptos básicos de SI

La Seguridad de la Información consiste en mantener:

Confidencialidad: Información disponible exclusivamente a personas

autorizadas.

Integridad: Mantenimiento de la exactitud y validez de la información,

protegiéndola de modificaciones o alteraciones no autorizadas. Contra la

integridad la información puede parecer manipulada, corrupta o incompleta.

Disponibilidad: Acceso y utilización de los servicios sólo y en el momento de

ser solicitado por una persona autorizada.

Seguridad de la información

Confidencialidad Integridad Disponibilidad


Alcance

Por ejemplo, el alcance del SGSI queda cubierto por los procesos

de las siguientes áreas:

Facility

• Espacio físico; energía eléctrica; aire acondicionado; protección

contra incendios; accesos…

Administración

• Monitoreo; accesos lógicos; bases de datos; aplicativos…

Explotación/Respaldo

• Mallas de procesos; almacenamiento de información…

Comunicaciones

• Redes de datos; seguridad lógica; monitoreo equipos de

comunicaciones; enlaces…

SAP

• Administración de sistemas SAP.

8


Roadmap

ETAPA I

Documentación

Capacitación formal en el

SGSI

Documentar requisitos

normativos

Publicar documentación

del SGSI

ETAPA II

Implementación

Difundir

Capacitar

Implementar

ETAPA III

Análisis crítico

Auditorías Internas

Mejoras

ETAPA IV

Certificación

Pre-certificación

Certificación

2014

Marzo - Mayo Junio - Agosto Septiembre -

Octubre Noviembre

9


Implementación

Facility Administra

ción Explotación/Respaldo

Comunicaciones

SAP

10

ISO 27001

Requisitos

Política

Organización

Activos

RRHH

…

…

Cumplimiento

Oficial de Seguridad Responsable

Calidad Servicios de Data Center & Cloud

Gap

Gap

Ca

lid

ad

(Gap)

Gap

Gap

(Gap) (Gap)

Gap

Gap

Gap Gap

Gap

(Gap) (Gap)

Gap C

ali

dad

C

ali

dad

Ca

lid

ad

C

ali

dad

Ca

lid

ad

C

ali

dad

Ca

lid

ad

C

ali

dad

Responsable Responsable Responsable Responsable

Ca

lid

ad


Matriz de responsabilidades

Áreas Rol Nombre Responsabilidades

Calidad Oficial de

seguridad de

SONDA

Marcelo

Aravena M.

1.- Hacer el gap análisis. Es decir, comparar, mediante

entrevistas a los roles elegidos, lo que actualmente se

hace en las áreas del alcance, respecto a lo que se debe

hacer, según ISO 27001.

2.- Garantizar que los requisitos de la norma ISO 27001,

en función del gap análisis, queden correctamente

implementados en las áreas dentro del alcance. Se

preocupa del ¿qué se debe hacer?

3.- Elaborar la documentación del SGSI.

4.- Dedicación prioritaria a este proyecto.

5.- En régimen, es el responsables de auditar el SGSI, de

las Revisiones Gerenciales, del CSI y de la relación con

el organismo de certificación externo.

G. Servicios de

Data Center

Gerente de área Sergio

Rademacher L.

1.- Definir el alcance. Es decir, las áreas y los sistemas.

2.- Aprobar la documentación del SGSI.

Seguridad Oficial de

Seguridad Data

Center

Jacob Delgado

S.

1.- Definir el ¿Cómo? Se implementará los

procedimientos del SGSI.

2.- En régimen, debe asegurar el cumplimiento del

modelo. Es decir, cuida que se haga lo que está

declarado en los procedimientos.

11


Matriz de responsabilidades

Áreas Rol Nombre Responsabilidades

Facility

Jefe Data Center

Quilicura Miguel Soto

Entregan al OSI de Calidad la

información y la evidencia de lo que

actualmente se hace, de tal manera de

determinar el gap análisis.

Jefe Data Center

Teatinos y Santa

Isabel

José M. Arriagada

Administración

Supervisor de

Base de Datos Freddy Espinoza

Supervisor de

administración

Unix

Tomás Jiménez

Supervisor de

administración

Microsoft

Cristián Leiva

Supervisor de

sistemas de

virtualización.

Richard Cáceres

12


Definición de política

13


Política de seguridad de la información

Política general de SI.

Política de SI por dominio.

14


Organización

Comité de seguridad de la Información (CSI) (A 6.1.2 ó A 6.1.3)

“Se deben mantener los contactos apropiados con las autoridades

pertinentes.”

Deben estar representadas todas las áreas de la empresa.

G. General; G. Negocios; G. Logística; G. Personas; G. Contraloría;

D. Legal; G. Calidad; OSI.

Oficial de seguridad de la información.

Área de calidad.

Auditores internos en calidad y seguridad de la información.

Revisiones Gerenciales

Políticas

Procesos y procedimientos

15


Riesgo operacional

¿Qué es el riesgo operacional?

El Comité de Basilea II lo define como: “el riesgo de pérdidas debido a la

inadecuación o a fallas en los procesos, personal y sistemas internos o por causa

de eventos externos”

¿Qué es la gestión de riesgo operacional?

Más allá de la definición de riesgo operacional, lo importante es contar

con un proceso de gestión de riesgos operativos o riesgos operacionales.

Este proceso de riesgo operacional es el que debería garantizar la buena

gestión de los riesgos según los estándares internacionales.

Según el Comité de Basilea II, se entiende por “gestión” de riesgo

operacional al proceso de “identificación, evaluación, seguimiento y control”

del riesgo operacional.

Conclusión: La “gestión de riesgo" es un proceso esencial en la empresa.

16


Gestión de riesgo - Metodología

Matriz de Riesgo

Productos o servicios

Procesos - Activos

Amenazas

Vulnerabilidades

Probabilidad de ocurrencia

Impacto

Nivel de riesgo > 2

Tratamiento del riesgo

• Mitigar

• Aceptar

• Transferir

• Eliminar

Proyecto

Nuevo nivel de riesgo ≤ 2

Medición de la eficacia 17

Muy Alto 3 3 4 5 5

Alto 3 3 3 4 5

Moderado 2 3 3 3 4

Bajo 1 2 3 3 3

Mínimo 1 1 2 3 3

Extremada

mente

improbable

Muy

improbableProbable

Muy

probable

Extremada

mente

probable

IMP

AC

TO

PROBABILIDAD


Gestión de riesgo - Evolución

(#) riesgos aceptados


Matriz SOA

Declaración de aplicabilidad (SOA: Statement of Applicability)

Se construye una tabla con el dominio, control, justificación de la

exclusión, documento.

19


Incidentes de Seguridad de la Información

Definir cuáles serán tratados. Por ejemplo, los incidentes mayores.

(Como se trata de un tema de cambio cultural, la recomendación es ir

desde lo simple a lo complejo.)

Procedimiento de incidentes de SI.

Tratamiento.

20


Plan de continuidad del negocio

Alcance.

BIA.

Gestión de riesgo.

Estrategias de continuidad.

Plan de Continuidad.

Pruebas.

Mejoras.

21


Auditorías internas

Preparación de auditores.

Calendario.

Ejecución del calendario.

Tratamiento de hallazgos.

Mejoras.

22

SGSI ISO 27001Auditorías Internas AI

Revisión Gerencial RG RealizadaAuditoría de Pre-certificación AP Programada

Auditoría de Vigilancia AV No realizada Auditoría de re-certificación AR

Aprobado por

Fecha

Indicador general

06 13 20 27 03 10 17 24 03 10 17 24 31 07 14 21 28 05 12 19 26 02 09 16 23 30 07 14 21 28 04 11 18 25 01 08 15 22 29 06 13 20 27 03 10 17 24 01 08 15 22 29

4 Sistema de Gestión de Seguridad de la

Información

4.1 Requisitos Generales AI9 RG RG AR AR AI RG AI RG

4.2 Establecer y manejar el SGSI AI9 RG RG AR AR AI RG AI RG

4.2.1 Establecer el SGSI AI9 RG RG AR AR AI RG AI RG

4.2.2 Implementar y operar el SGSI AI9 RG RG AR AR AI RG AI RG

4.2.3 Monitorear y revisar el SGSI AI9 RG RG AR AR AI RG AI RG

4.2.4 Mantener y mejorar el SGSI AI9 RG RG AR AR AI RG AI RG

4.3 Requisitos de documentación AI9 RG RG AR AR AI RG AI RG

4.3.1 General AI9 RG RG AR AR AI RG AI RG

4.3.2 Control de documentos AI9 RG RG AR AR AI RG AI RG

4.3.3 Control de registros AI9 RG RG AR AR AI RG AI RG

5 Responsabilidad de la gerencia

5.1 Compromiso de la gerencia AI9 RG RG AR AR AI RG AI RG

5.2 Gestión de recursos AI9 RG RG AR AR AI RG AI RG

5.2.1 Provisión de recursos AI9 RG RG AR AR AI RG AI RG

5.2.2 Capacitación, conocimiento y capacidad AI9 RG RG AR AR AI RG AI RG

6 Auditorías Internas SGSI

Procedimiento de auditorías internas AI9 RG RG AR AR AI RG AI RG

Plan de auditorías internas AI9 RG RG AR AR AI RG AI RG

Tratamiento de no-conformidades AI9 RG RG AR AR AI RG AI RG

7 Revisión Gerencial

7.1 General AI9 RG RG AR AR AI RG AI RG

7.2 Insumo de la revisión AI9 RG RG AR AR AI RG AI RG

7.3 Resultado de la revisión AI9 RG RG AR AR AI RG AI RG

8 Mejoramiento del SGSI

8.1 Mejoramiento continuo AI9 RG RG AR AR AI RG AI RG

8.2 Acción correctiva AI9 RG RG AR AR AI RG AI RG

8.3 Acción preventiva AI9 RG RG AR AR AI RG AI RG

9 Objetivos de control y controles

Anexo A de la norma AI9 RG RG AR AR AI RG AI RG

Requisitos NormativosEnero Febrero Abril JulioJunioMarzo

PROGRAMA DE AUDITORÍAS AÑO 2014 FACILITIES

Noviembre DiciembreAgosto

Ger. Datacenter/Ger. Calidad

Septiembre OctubreMayo

1-mar-14


Revisiones gerenciales

La alta dirección debe revisar el SGSI, según la planificación

definida, según conveniencia, suficiencia y efectividad.

Estado de las acciones, en función de las RG anteriores.

Los cambios internos y externos relevantes para el SGSI.

Desempeño de:

NC y acciones correctivas.

Mediciones e indicadores.

Resultado de auditorías internas y externas.

Cumplimiento de los objetivos de la SI.

Comentarios de partes interesadas.

Resultado de la evaluación y tratamiento de riesgo.

Oportunidades para la mejora continua.

Acta que evidencie las acciones y los acuerdos de la RG.

23


El punto de partida de la seguridad de la información

Un cierto número de controles puede ser considerado un buen

punto de partida para implementar la seguridad de la información.

Estos están basados en requisitos legales esenciales o que se

consideren práctica habitual de la seguridad de la información.

Protección de los datos y la privacidad de la información personal.

Protección de los registros de la información.

Derechos de la propiedad intelectual.

Documentación de la política de seguridad de la información.

Asignación de responsabilidades.

Concienciación, formación y capacitación en seguridad de la

información.

Vulnerabilidad técnica.

Gestión de incidentes de seguridad.

Gestión de continuidad del negocio.


Recomendaciones

¿Cómo implementar buenas prácticas?

Diferencia entre el “qué se debe hacer” y el “cómo se hace”

Establecer acuerdos.

El rol de las personas

Actitudes

Aptitudes

Los ámbitos

Predisponen (para bien o para mal)

Relacionan y mezclan niveles.

Que sean armónicos y no disonantes…

Los procesos

Procedimientos

Las relaciones entre los procesos

La implementación

25


Cambio de versión de la norma ISO 27001

ISO

27001:2005

ISO

27001:2013 Notas

8 puntos

clásicos. Anexo SL

Garantizar la coherencia entre las futuras y actuales normas de

sistemas de gestión.

Favorecer la integración de sistemas de gestión.

Facilitar a los usuarios la comprensión y entendimiento de las

normas de gestión.

11 dominios 14 dominios Las principales modificaciones se ven reflejadas en la estructura

y el contenido de los controles que conforman el Anexo “A”, todo

como resultado de un proceso de fusión, exclusión e

incorporación de nuevos controles de seguridad. 133 controles 113 controles

26


Estructura del nuevo estándar

27


ISO 27001:2013 (14 dominios; 113 controles)

A.5 Política de seguridad.

A.6 Organización de la seguridad de la información.

A.7 Seguridad de los RRHH.

A.8 Gestión de activos.

A.9 Control de accesos.

A.10 Criptografía.

A.11 Seguridad física y ambiental.

A.12 Seguridad en las operaciones.

A.13 Transferencia de información.

A.14 Adquisición de sistemas, desarrollo y mantenimiento.

A.15 Relación con proveedores.

A.16 Gestión de los incidentes de seguridad.

A.17 Continuidad del negocio.

A.18 Cumplimiento con requerimientos legales y

contractuales.

Dominios ISO 27001

28

ISO 27001:2005 (11 dominios; 133 controles)

A.5 Política de seguridad.

A.6 Organización de la seguridad de la información.

A.7 Gestión de activos.

A.8 Seguridad de los RRHH.

A.9 Seguridad física y del ambiente.

A.10 Gestión de comunicaciones y operaciones.

A.11 Control de acceso.

A.12 Adquisición, desarrollo y mantenimiento de

sistemas de información.

A.13 Gestión de incidentes de seguridad de la

información.

A.14 Gestión de la continuidad del negocio.

A.15 Cumplimiento.


Requisito Descripción

Alcance del SGSI Ámbito de la organización que queda sometido al SGSI, incluyendo una identificación

clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas

partes que no hayan sido consideradas.

Política y objetivos de seguridad Documento de contenido genérico que establece el compromiso de la dirección y el

enfoque de la organización en la gestión de la seguridad de la información.

Procedimientos y controles del

SGSI

Aquellos procedimientos que regulan el propio funcionamiento del SGSI.

Declaración de aplicabilidad:

(SOA -Statement of Applicability)

Documento que contiene los objetivos de control y los controles contemplados por el

SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos,

justificando inclusiones y exclusiones.

Metodología de evaluación de

riesgos

Descripción de la forma como se realizará la evaluación de las amenazas,

vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de

información dentro del alcance definido, y los criterios de aceptación de riesgo.

Informe de evaluación y plan de

tratamiento de riesgos

Estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a

los activos de información de la organización. Plan de tratamiento de los riesgos.

Plan de continuidad del negocio Documento que identifica los planes para enfrentar diferentes escenarios. Las pruebas,

los análisis del resultado de las pruebas y las acciones de mejoras del plan.

Procedimientos documentados Todos los necesarios para asegurar la planificación, operación y control de los procesos

de seguridad de la información, así como para la medida de la eficacia de los controles

implantados.

Registros Evidencia objetiva del funcionamiento del SGSI.

Documentos del SGSI

29


Tel (56-2) 657 50 00 Fax (56-2) 657 54 10 Teatinos 500 / Santiago / CHILE

www.SONDA.com

FIN 30

Rodrigo Baldecchi

[email protected]

http://www.sonda.com/

Implementación efectiva de un SGSI ISO 27001 - Isaca

Documents

Transcript of Implementación efectiva de un SGSI ISO 27001 - Isaca