Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Gestin de Seguridad de
la Informacin ISO 27001
Implementador ISO 27001
2
1. CONCEPTOS GENERALES
3
Informacin
La informacin es un activo que, al
igual que otros activos
empresariales importantes, es
esencial para los negocios de una
organizacin y, por consiguiente,
debe ser adecuadamente protegido.
La informacin puede ser
almacenada de muchas formas,
incluyendo: forma digital (por
ejemplo, archivos de datos
almacenados en medios
electrnicos o pticos), forma
material (por ejemplo, en papel), as
como informacin no representada
en forma de conocimiento de los
empleados.
4
Informacin
La informacin puede ser
transmitida por diversos
medios incluyendo:
mensajera,
comunicacin electrnica
o verbal.
Cualquiera que sea la
forma que tome la
informacin, o los medios
por los cuales se
transmite la informacin,
siempre necesita una
proteccin adecuada.
5
Seguridad de la Informacin
SEGURIDAD DE LA INFORMACIN
6
Seguridad de la Informacin
La seguridad de la informacin involucra la
aplicacin y administracin de medidas de
seguridad apropiadas que incluyen una amplia
gama de amenazas, con el objetivo de asegurar el
xito y continuidad del negocio sostenido y
minimizar los impactos de los incidentes de
seguridad de la informacin.
7
Gestin
La gestin implica actividades para dirigir, controlar y
mejorar continuamente la organizacin dentro de
estructuras apropiadas.
Las actividades de gestin incluyen el acto, la manera o
la prctica de organizar, manejar, dirigir, supervisar y
controlar los recursos.
8
Sistema de Gestin
Un sistema de gestin utiliza un
marco de recursos para
alcanzar los objetivos de una
organizacin.
El sistema de gestin incluye la
estructura organizativa, las
polticas, las actividades de
planificacin, las
responsabilidades, las prcticas,
los procedimientos, los
procesos y los recursos.
9
Organizaciones
Los requisitos establecidos en esta Norma son
genricos y estn hechos para aplicarse a todas las
organizaciones, sin importar su tipo, tamao o
naturaleza
10
Organizaciones
Organizaciones de todo tipo y tamao :
11
Elementos de la gestin de la
seguridad de la informacin
La proteccin de los activos de informacin es
esencial para que una organizacin pueda alcanzar
sus objetivos y mantener, mejorar su cumplimiento
e imagen legal.
Estas actividades coordinadas que dirigen la
implementacin de controles adecuados y el
tratamiento de riesgos inaceptables para la
seguridad de la informacin se conocen
generalmente como elementos de la gestin de la
seguridad de la informacin.
12
Riesgos y Controles
A medida que los riesgos de seguridad de la
informacin y la efectividad de los controles cambian
, las organizaciones necesitan:
A. Supervisar y evaluar la eficacia de los controles y
procedimientos implementados;
B. Identificar los riesgos emergentes que deben
tratarse; y
C. Seleccionar, implementar y mejorar los controles
apropiados segn sea necesario.
13
Qu es un SGSI?
Un Sistema de Gestin de la Seguridad de la
Informacin (SGSI) consiste en las polticas,
procedimientos, directrices, recursos y actividades
asociados, gestionados colectivamente por una
organizacin, con el fin de proteger sus activos de
informacin.
Un SGSI es un enfoque sistemico para establecer,
implementar, operar, monitorear, revisar, mantener
y mejorar la seguridad de la informacin de una
organizacin para lograr los objetivos de negocio.
14
Qu es un SGSI?
Se basa en una evaluacin de riesgos y en los
niveles de aceptacin de riesgos de la organizacin
diseados para tratar y gestionar los riesgos de
forma eficaz.
Analizar los requisitos para la proteccin de los
activos de informacin y aplicar los controles
apropiados para asegurar la proteccin de estos
activos de informacin, segn se requiera,
contribuye a la implementacin exitosa de un SGSI.
15
Principios fundamentales de
un SGSI
A) conciencia de la necesidad de seguridad de la informacin;
16
Principios fundamentales de
un SGSI
F) la seguridad incorporada como elemento esencial de
las redes y sistemas de informacin;
17
Familia ISO 27000
La familia de estndares del SGSI consiste en
estndares interrelacionados, ya publicados o en
desarrollo, y contiene una serie de componentes
estructurales significativos.
Estos componentes se centran en los estndares
normativos que describen los requisitos del SGSI
(ISO / IEC 27001) y los requisitos del organismo de
certificacin (ISO / IEC 27006) para aquellos que
certifican la conformidad con ISO / IEC 27001.
18
Familia ISO 27000
19
Requerimiento
Debern y No debern
Los trminos "debern" y "no debern" indicarn los
requisitos estrictamente de Conformidad con el
documento y de la cual no se permite ninguna
desviacin
20
Recomendacin
Deberan y No deberan
Los trminos "deberan" y "no deberan" indican
que entre varias posibilidades se recomienda tomar
una accin en particular, pero esta no es
obligatoria.
21
2. REQUISITOS DE LA ISO/IEC
27001:2013
22
Son requisitos, es obligatorio!
23
ISO/IEC 27001:2013 Captulos
1. Alcance
2. Referencias
10. Mejora
normativas
9. Evaluacin 3. Trminos y
del desempeo definiciones
4. Contexto de
8. Operacin
la organizacin
7. Soporte 5. Liderazgo
6. Planeacin
24
Clusula 4. Contexto de la
organizacin
Esta clusula est centrada en identificar quienes son
los clientes o beneficiarios del SGSI. Para ello, la
organizacin se debe plantear diferentes puntos de
vista desde los que ver el porqu de las necesidades
de seguridad y cules son los requisitos a garantizar.
Todo ello se concreta en las siguientes subclusulas.
Clusula 4. Contexto de la
organizacin
4.1 Entender la organizacin y su contexto. Para todo
SGSI es vital entender nuestro modelo de negocio y
nuestro entorno. Considerar todo aquello que puede
condicionar el lograr los resultados de nuestro SGSI.
4.2 Entender las necesidades y expectativas de las partes
interesadas. Tambin es crtico identificar quienes son
nuestras partes interesadas internas y cules son sus
necesidades respecto a la seguridad. En este sentido el
alcance del SGSI puede o no cubrir todos los procesos de
negocio de la Organizacin y en el caso de ser slo una
parte, tendr como partes interesadas a otras reas que
sern clientes de la seguridad.
Clusula 4. Contexto de la
organizacin
4.3 Determinar el alcance del SGSI. Con todas las
reflexiones anteriores en esta clusula se determina
la creacin del primero de los documentos que
constituyen el SGSI, el alcance del sistema. Se
deben establecer los lmites del SGSI en el alcance
que tiene que ser expresado en trminos de: 1)
asuntos internos y externos considerados en 4.1 2)
requisitos identificados de esas necesidades. 3)
interfaces y dependencias entre las actividades
realizada por la organizacin y las que son realizadas
por otras organizaciones.
Taller
Clusula 4
Contexto de la
organizacin
28
5 Liderazgo
34
6. Planificacin
Esta clusula secuencia los pasos para la creacin del
SGSI en donde es una tarea clave y principal para la
toma de decisiones el proceso de identificacin y
anlisis del riesgo.
6. Planificacin
6.1. Acciones para dirigir los riesgos y oportunidades.
En la nueva redaccin, la planificacin del SGSI est
condicionada por los objetivos propios de la
Organizacin, los requisitos identificados en la
clusula 4 y el propio anlisis de los riesgos. La
organizacin debe planificar el SGSI para determinar
los riesgos y oportunidades que le permita:
A) asegurar que el SGSI logra los resultados.
B) prevenir o reducir los efectos no deseados.
C) lograr la mejora continua.
6. Planificacin
6.2 Objetivos y planes para lograrlos.
Este apartado es otro de los cambios sustanciales de esta nueva
versin. Se dedica una subclusula entera a la formalizacin de
objetivos.
En este sentido, la organizacin deber establecer objetivos segn
funciones y niveles de forma que sean coherentes con la poltica de
seguridad, sean medibles, tengan en cuenta los requisitos y
necesidades del SGSI as como los resultados del anlisis de riesgos.
Para estos objetivos se deber determinar:
que se tendr que lograr
que recursos sern necesarios
quin ser responsable del seguimiento del objetivo
cuando se darn por logrados
cmo se medirn los resultados.
Taller
Clusula 6
Planificacin
38
7. Soporte
Esta clusula establece qu medios sern necesarios en
la puesta en marcha del SGSI.
En este sentido adems de identificar las necesidades
materiales se insiste tambin en la importancia de las
personas y de sus capacidades tcnicas siendo necesaria
la formacin y la concienciacin para garantizar que son
las adecuadas.
Adems se especifican los requisitos generales que debe
garantizar el sistema en relacin a la documentacin que
forma parte del mismo y al proceso de gestin respecto a
los cambios o actualizaciones necesarios para ir
mantenindolo vigente.
7. Soporte
7.1 Recursos.
Cmo es obvio, una decisin estratgica de este
calado debe contar con los recursos necesarios para
lograr el buen funcionamiento del SGSI. Los ajustes
presupuestarios podrn influir en las posibles
inversiones a realizar y condicionarn el apetito de
riesgo de la organizacin pero en cualquier caso,
siempre hay unos mnimos que habr que asumir
como son la dedicacin del personal que vigila y
opera el SGSI.
7. Soporte
7.2 Competencias.
En relacin al factor humano, el equipo de
personas que de soporte al SGSI debe tener un
adecuado nivel de conocimiento o disponer de los
recursos para hacer que los logren. Adems debe
quedar evidencia de este proceso de capacitacin.
7. Soporte
7.3 Concienciacin
El personal que trabaja dentro del alcance del SGSI
tambin debe ser consciente de la poltica de
seguridad, de su contribucin a la efectividad del
sistema y de sus implicaciones en la resolucin de no
conformidades.
7. Soporte
7.4 Comunicacin. Este apartado formaliza las vas de
comunicacin dentro del SGSI y determina que debern
identificarse las necesidades internas y externas en
materia de comunicacin sobre la seguridad de la
informacin estableciendo:
A) que debe comunicar.
B) cuando debe hacerse.
C) a quien debe hacerse.
D) quien comunicar.
E) E) como la comunicacin ser transportada o que
medios se utilizarn.
7. Soporte
7.5 Documentacin.
En esta subclusula se definen los requisitos
generales para el control de la documentacin del
sistema. Cabe destacar que en esta versin se
introduce como novedad que sea el criterio de la
propia organizacin el que establezca sus propias
necesidades de documentacin siempre que ello
garantice la efectividad del sistema
Taller
Clusula 7
Soporte
45
8. Operacin
Esta clusula determina cmo se garantiza el
funcionamiento del SGSI una vez ha completado su
fase de construccin y entra en los diferentes ciclos
PDCA en aos sucesivos.
8. Operacin
8.1. Planificacin operativa y control.
Para ello, en esta subclusula se determina que la
organizacin deber planificar, implementar y
controlar los procesos necesarios para garantizar los
requisitos e implementar las acciones necesarias
para la gestin del riesgo (6.1). La organizacin
deber implementar los planes para alcanzar los
objetivos de seguridad propuestos (6.2).
8. Operacin
8.2. Anlisis del riesgo.
El anlisis de riesgos es un proceso recurrente que
debe ajustar las decisiones de la organizacin o
plantear cambiar el apetito de riesgo segn se
vayan logrando resultados que manifiesten el control
de los riesgos que se estn ya gestionando. Para ello,
debe realizarse el proceso de identificacin del riesgo
a intervalos planificados o cuando se planteen u
ocurran cambios significativos, tomando acciones
segn los criterios de aceptacin del riesgo (6.1.2.a)
8. Operacin
8.3. Tratamiento del riesgo.
La organizacin estar implantando el plan de
tratamiento del riesgo. Conforme se logren ciertos
hitos, se irn modificando los criterios de aceptacin
del riesgo y eso provocar que ao tras ao los
planes se vayan tambin actualizando para reflejar la
nueva toma de decisiones. Por tanto, la gestin de la
seguridad implica la ejecucin continuada del plan
de tratamiento que ao tras ao se debe tambin
revisar.
Taller
Clusula 8
Operacin
50
9. Evaluacin del rendimiento
Este es otro de los apartados ms importantes de
este reenfoque de la gestin hacia la bsqueda de
resultados. Si en la clusula 6.2 Objetivos hemos
definido cuales son los beneficios esperados del
funcionamiento del SGSI, en esta clusula 9 se
establece cmo se analizar si dichos objetivos se
estn o no cumpliendo.
9. Evaluacin del rendimiento
9.1. Monitorizacin, medicin, anlisis y evaluacin.
Para que la organizacin pueda evaluar el rendimiento y la
efectividad del SGSI, se tiene que concretar y determinar:
A) que necesita ser monitorizando y medido, incluyendo los
procesos de seguridad y controles.
B) los mtodos para monitorizar, medir, analizar y evaluar, cuando
sea aplicable, para asegurar unos resultados adecuados.
C) cuando las monitorizaciones y mediciones debern ser
realizadas.
D) quin deber monitorizar y medir.
E) cuando los resultados de la monitorizacin y medicin debern
ser analizados y evaluados (rangos de normalidad y anomala)
F) quien analizara y evaluara estos resultados.
9. Evaluacin del rendimiento
9.2 Auditora interna.
Otra de las actividades fundamentales dentro del proceso de
retroalimentacin y control de todo sistema es la actividad de
verificacin o chequeo. En este caso, corresponde al proceso
de gestin de la auditora interna. La norma determina que la
organizacin deber realizar auditoras internas a intervalos
planificados para obtener informacin sobre el
funcionamiento del SGSI en relacin a:
A) es conforme con:
1. los requisitos propios de la organizacin para el
SGSI.
2. los requisitos del estndar.
B) est eficientemente implantado y mantenido. De nuevo se
debe valorar el logro de los resultados esperados.
9. Evaluacin del rendimiento
9.3. Revisin por Direccin.
Como resultado de las actividades de anlisis de la
gestin (Monitorizacin, medicin y auditora
interna) debe llegar la fase de toma de decisiones o
de realizacin de ajustes. En todo ciclo de control de
sistemas, las desviaciones son gestionadas
modificando los criterios de control para lograr que
cambien las cosas y que las salidas sean las
esperadas. En este proceso de gestin del SGSI, la
alta direccin deber revisar el SGSI a intervalos
planificados para asegurar su contina adecuacin,
vigencia y efectividad
Taller
Clusula 9
Evaluacin del
redimiento
55
10. Mejora
Esta es el proceso de ajuste o de control de
desviaciones del SGSI donde las cosas que no
funcionan de forma adecuada son documentadas
para aplicar acciones de correccin que mitiguen
tanto las consecuencias directas como las causas que
las ocasionan.
10. Mejora
10.1. No conformidad y accin correctiva.
Esta subclusula ahora est ms claramente descrita y
formaliza mejor el proceso de gestin de no conformidades y
acciones correctivas indicando como requisitos que cuando
una no conformidad se identifique habr que:
A) reaccionar contra la no conformidad
B) evaluar las necesidades de acciones para eliminar las
causas de la no conformidad con el objetivo de que no se
repita u ocurra de nuevo
C) implementar la accin necesaria.
D) revisar la efectividad de las acciones correctivas tomadas
E) hacer cambios en el SGSI si fueran necesarios.
10. Mejora
10.2. Mejora continua
Como filosofa general del ciclo de Deming o PDCA,
esta subclusula determina que el propsito
fundamental de la organizacin deber ser el mejorar
de forma continua la vigencia, adecuacin y
efectividad del SGSI, es decir, ao tras ao debe
buscarse el consolidar las cosas que se hacen bien,
mejorar las que no funcionan o plantearse nuevos
controles para seguir reduciendo niveles de riesgo y
los umbrales de aceptacin de los mismos.
Taller
Clusula 10
Mejora
59
Un mundo mejor con la estandarizacin de las normas ISO
60
Muchas Gracias
61
Preguntas
62
www.iticsec.com
informes@iticsec.com
Av. Ricardo Palma 687 Miraflores Lima - Per
Central: (+511) 726-2709 RPC: (+51) 980-997203
63