ISO 27001 Planificación e Implementación. Conceptos Básicos
ISO 27001 Planificación e Implementación. Conceptos Básicos
Proceso de implementación
Obtener apoyo de la dirección: Colaboración de las directivas, hay que establecer el proyecto
Alcance preliminar: definir cual es el alcance del sistema de gestión, (a toda la organización, o a una parte)
Plan del proyecto: Que es lo que se quiere hacer
Presupuesto y plan RRHH: Conocer el presupuesto y personal disponible para el proceso
Requisitos: Tener claridad en los requisitos dependiendo el país en el que se aplica
Una vez recolectada la información lo que sigue es crear un modelo de negocio que incluya:
· * Las prioridades
· * Objetivos para implementar
· * Estructura de la organización
Comprender de esta manera todas las necesidades particulares,
Se debe crear un plan inicial del proyecto:
· * Comprender la relevancia del SGSI
· * Aclarar las funciones de la seguridad de la información
· * Las responsabilidades necesarias
Cuyo resultado será:
· * Aprobación de la dirección
· * Compromiso para implementar SGSI
· * Realizar las actividades de implementación
Entregables:
· * Modelo de negocio
· * Plan del proyecto SGSI con los hitos claves
Se debe realizar la recolección de la información relevante que ilustra el valor de un SGSI
La organización debe:
· * Hay que aclarar que necesita un SGSI
· * Decidir los objetivos de implementación
· * Poner en marcha el proyecto
Los Objetivos se definen con base en las siguientes preguntas
· ¿Como un SGSI mejora la gestión de riesgos?
· Como puede un SGSI mejorar la SI?
· ¿Como un SGSI crea una ventana competitiva para la organización?
Teniendo en cuenta la aclaración de las prioridades de la organización se responden algunas preguntas:
Negocios críticos y áreas de la organización
· ¿Cuáles son los negocios críticos y áreas de la organización?
· ¿Qué áreas del negocio proporcionan el negocio principal y por qué?
· ¿Existes relaciones y acuerdos con terceras partes? ¿Y por qué?
· ¿Hay servicios externalizados?
Cuál es la información sensible o valiosa
· Que información es sensible para la organización
· ¿Cuáles serían las consecuencias de que cierta información fuera revelada?
Legal y reglamentario
· ¿Qué leyes relativas al tratamiento de riesgos o de SI, se aplican a la organización?
· ¿La organización parte de una organización publica global?
Acuerdos contractuales
· ¿Cuáles son los requisitos para el resguardo de la información?
· ¿Existen requisitos contractuales de servicio?
Requisitos de la industria que especifican determinados controles de SI
· ¿Qué requisitos específicos del sector se aplican a la organización?
· ¿Interrupciones en cada proceso critico?
En el entorno de amenas
· ¿Qué tipo de protección se necesita y contra que amenazas?
· ¿Cuáles son las distintas categorías de información que requieren protección?
· ¿Cuáles son los distintos tipos de actividades de la información que deben ser protegidos?
Los requisitos de continuidad del negocio
· ¿Cuáles son los procesos críticos de negocio?
· ¿Cuánto tiempo puede la organización tolerar interrupciones en cada proceso critico?
Los Requisito de la norma ISO 27001 describen el alcance en términos de las características del negocio, su ubicación, los bienes y la tecnología.
La información resultante nos sirve para apoyar esta determinación
Objetivos de Gestion (ejemplos)
· Facilitar la continuidad del negocio y recuperación ante desastres
· Mejora de la gestión de los incidentes
· Se tiene en cuenta los demás contractuales legales y reglamentarios
· Reducción de costos de los controles de seguridad
· Protección de los activos estratégicos
· Demoras en las partes interesadas que los activos de información se encuentran protegidos adecuadamente
· Establecimiento de un control interno
Entregables,
· Documento que resume los objetivos prioridades del SI, y los requisitos de la organización
· Lista de requisitos reglamentarios, contractuales y de la industria relacionados con la seguridad de la información
· Las características de la organización, su ubicación los bienes y ola tecnología
Esto nos sirve para definir el ALCANCE PRELIMINAR
ALCANCE PRELIMINAR
Se incluye la definición preliminar del alcance que es necesario para el proyecto SGSI
En este proceso la dirección debe:
· Definir la estructura de la organización
· el alcance preliminar debe definirse para proporcionar la orientación para las decisiones de implementación
· es necesario para crear el modelo de negocio y plan de proyecto
La salida de esta etapa será un documento que define el alcance preliminar dl SGSI Q INCLUYE
· Resumen de los mandatos establecidos y obligaciones externas
· Descripción de como las áreas interactúan
· Lista de los objetivos de negocio
· Lista de los procesos críticos de negocio, los sistemas, los activos de información, estructuras organizativas y ubicaciones geográficas
· Sistemas existentes de Gestion, cumplimiento de las regulaciones
· Las características del negocio, ubicación bienes y tecnología
Salida
· El entregable es un documento que describe el alcance preliminar del SGSI
ANALISIS DEL SISTEMA DE GESTION EXISTENTE
En caso de que se cuente ya con un sistema de Gestion ya sea 9001 etc.…
Entrada
· Información general sobre la organización
· La documentación existente sobre el sistema de Gestion
· Previa evaluación de los temas de seguridad de la información (informe de consultoría, informe de auditoría, revisión por la dirección, etc.…)
Actividades
· Recopilación de la información sobre las practicas de seguridad de la información de la organización existentes con sus procesos, planes, procedimientos y medidas aplicadas, en la actualidad,
· Hacer el análisis de brechas del cumplimiento y la eficacia actual del sistema de Gestion con el requisito de la norma y documentar la diferencia
· Establecimiento de objetivos y la publicación de un informe de análisis de brechas
Salida
· Lista de las practica s de seguridad de la información de la organización existentes con sus procedimientos y medidas aplicadas en la actualidad
· Generar documento Informe de análisis de brechas
Se debe establecer un modelo de negocio y plan de proyecto
La aprobación para la Gestión y asignación del proyecto debe ser obtenida mediante la creación del modelo de negocio y la propuesta del proyecto
Entrada
· La respuesta a las aclaraciones
· Información del alcance preliminar, alcance, roles y responsabilidades de Dirección
· La información para el caso de negocio y plan de proyecto debe incluir el tiempo estimado recursos y los hitos necesarios para las actividades principales
· El caso de negocio y plan inicial del proyecto SGSI sirven como la base del proyecto y también garantía el compromiso de la dirección y la aprobación de los recursos necesarios para la implementación
Dentro del plan del proyecto se deben incluir breves declaraciones como:
· Metas y objetivos
· Beneficio
· Alcance preliminar
· Procesos de negocio
· Factores críticos
· Descripción general del proyecto a nivel gerencial
· Plan de implementación inicial
· Las funciones y responsabilidades
· Los recursos
· Consideraciones de implementación
· Línea de tiempo con hitos clave
· Factores críticos de éxito
· Cuantificar los beneficios para la organización
Dentro del negocio y plan de proyecto
Se debe identificar y disponer de tiempo suficiente para examinar y hacer comentarios sobre el caso de negocio y la propuesta del proyecto
Se debe actualizarse cuando sea necesario y luego de sus comentarios se debe presentar4 a la dirección para su aprobación
La dirección debe aprobó ar el modelo de negocio y el plan inicial del proyecto con el fin de lograr la plena compromiso y comenzar la ejecución del proyecto
Los beneficios esperados de compromiso con la dirección son:
· Conocimiento y aplicación de las leyes reglamentos y obligaciones.
· Eficiencia en los múltiples procesos de seguridad de la información
· Aumento de confianza
· Identificación y protección de la información crítica para el negocio
Salida:
· Aprobación documentada por la dirección para ejecutar el proyecto de SGSI con los recursos asignados
· Modelo de negocio documentado
· Propuesta inicial del proyecto
COMO CREAR UN CASO DE NEGOCIO
9 pasos:
1 identificación de la necesidad
2 definir el objetivo
3 identificar alternativas
4 recopilar datos
5 analizar finanzas
6 seleccionar alternativas
7 valorar riesgos
8 definir metadato
9 documentar y comunidad
PROCESO DE IMPLENTACION
ROLES Y RESPONSABILIDADES
· Lista de los grupos de interés que se beneficiarían de los resultados del proyecto del SGSI
Dirección
· Debe determinar quienes ejecutara el proyecto del SGSI, estructura organizativa y recursos
· Debe identificar explícitamente el papel con la responsabilidad general de la Gestion de seguridad de la información
· Debe asignar roles y responsabilidades en función de la habilidad que se requiere para realizar el trabajo
Las consideraciones más importantes son:
· La responsabilidad general de las tareas en el nivel de Gestion
· Asignación del representante de la dirección
· Cada recurso es igualmente responsable de su tarea original y para el mantenimiento del SI
Salida:
El entregable es un documento o una tabla que describe las funciones y responsabilidades con los nombres para implementar con éxito (ejemplo un organigrama organizado)
ALCANCE Y LIMITES
· Tecnología de la información y comunicación
· Alcance y los limites
· Características especificadas en la norma ISO/IEC 2700 (negocio, organización, ubicación los activos y los aspectos tecnológicos)
· Alcance y los límites de la organización
Definición del alcance:
Entrada
· Descripción de la organización
· Lista de las partes interesadas y requisitos
· Lista de las obligaciones legales
· Informe del análisis de brecha
· Objetivos de la organización
· Objetivos del SGSI
· Alcance preliminar del SGSI
Salida
· Ámbito de aplicación documentado y aprobado
Declaración del ámbito de aplicación
Actividades
· Definiendo los limites organizaciones del ámbito de aplicación
· Definiendo los límites del sistema de información del ámbito de aplicación
· Definiendo los límites físicos del ámbito de aplicación
· Redacción de la declaración del ámbito de aplicación del SGSI y del alcance
POLITICA DE SEGURIDAD
Se debe desarrollar y aprobar la política de seguridad de la información (PSI)
Establecimiento de la PSI por la dirección
· Que sea pertinente al objetivo de la organización
· Que incluya los objetivos del SI
· Que proporcione el marco de trabajo para establecer los objetivos del SI
· Que incluya un compromiso de satisfacer los requisitos aplicables relacionados con la SI
· Que incluya un compromiso para mejora continua
· Debe estar disponible para las partes interesadas
El Entregable es un documento que describe la Gestion de la política de seguridad de la información que debe ese aprobado y comunicado por las partes interesadas
POLITICAS DE SEGURIDAD
· Control de accesos
· Seguridad para proveedores
· Dispositivos móviles
· Clasificación de la información
· Contraseñas
Estructura sugerida
· Resumen de la política
· Introducción
· Alcance
· Objetivos
· Principios
· Responsabilidades
· Resultados claves
· Políticas relacionadas
OBJETIVOS DE LA SEGURIDAD DE LA INFORMACION
Se deben establecer niveles y funciones relevantes
Deben:
· Ser consientes con la PSI
· Ser medibles
· Tomar en consideración los requisitos del SI
· SER Comunicados
· Estar actualizados
PROCESO DE IMPLEMENTACION
PROCESO DE SOPORTE
· Procedimiento de control documental
· Procedimiento de control de registros
· Procedimiento para las auditorías internas
· Procedimiento para el tratamiento de las no conformidades
· Procedimiento para las acciones correctivas y acciones preventivas
PROCESO DE IMPLEMNTACION
GESTIÓN DE RIESGOS
Es un proceso sistemático con respecto a la seguridad de la información para ver cuales son las necesidades, requisitos y así crear una metodología y un sistema eficaz para la seguridad de la información.
El enfoque es de acuerdo con el entorno de la organización y debe estar alineado con la Gestion del riesgo empresarial
La Gestion de riesgo debe aplicarse en todo proceso de la seguridad de la información tanto para implementación y operación del SGSI
ISRM ISO/IEC 27005:2011
ACTIVIDADES DE GESTIÓN DE RIESGOS DE SEGURIDAD DE LA INFORMACION RELEVANTES LAS CUATRO FASES DEL PROCESO DE SGSI
PROCESO SGSI | PROCESO DE GESTION DE RIESGOS |
PLAN | Establecer el contexto Evaluación de riesgo Desarrollo de un plan de riesgo Aceptación del riesgo |
DO | Implementación del plan de tratamiento de riesgo |
CHECK | Monitoreo continuo y revisión del riesgo |
ACT | Mantener y mejorar el riesgo de la seguridad de la información Proceso de Gestion |
PROCESO DE ANALISIS
· Identificación de los activos y propietarios
· Identificación de los requisitos legales, comerciales
· Tasación de los activos (impacto de una perdida de CID)
· Identificación de las amenazas
· Identificación de vulnerabilidades
· Calculo = amenazas y vulnerabilidades = posibilidad de materializar
- impacto del riesgo
- probabilidad de que el riesgo se materialice
· Revisión de los controle implementados
PROCESO DE IMPLEMENTACION
PROCESO DE EVALUACIÓN DE GESTIÓN DE RIESGOS
Proceso de evaluación:
· Calculo del riesgo / escala de medición de los niveles del riesgo
Criterios sugeridos
· Impacto económico
· Tiempo de recuperación de la empresa
· Posibilidad real de ocurrencia
· Posibilidad de interrumpir las actividades
Todo el proceso de análisis y evaluación del riesgo debe estar documentado
PROCESO DE IMPLEMENTACION
PROCESO DE TRATAMIENTO DEL RIESGO
· Mitigar – controles
· Evitar – la actividad
· Transferir – servidor de correo a la nube
· Aceptar – la aprobación de aceptación debe ser por alta dirección
SELECCIONAR LOS OBJETIVOS DE CONTROL Y LOS CONTROLES
· Seleccionar las opciones apropiadas tomando en consideración los resultados de la evaluación de riesgos
· Determinar todos los controles
· Comparar los controles definiditos (6.1.3 b) con los del anexo “A”
· Verificar que ningún control necesario fue omitido
SELECCIONAR LOS OBJETIVOS DE CONTROL Y LOS CONTROLES
Se encuentran alineados con aquellos enumerados en ISO/EEC 27002:2013, cláusulas del 5 al 18 y deben ser uti8lizados con la cláusula 6.1.3 ISO/IEC 27001:2013
· A.5 POLITICA DE SEGURIDAD DE LA INFORMACION (2)
· A.6 ORGANIZACIÓN DE LA SEGURIDAD DE LA INFOMACION (7)
· A.7 seguridad en los recursos humanos (6)
· A.8 gestión de activos (10)
· A.9 control de accesos (14)
· A.10 criptografía (2)
· A.11 seguridad física y del ambiente (15)
· A.12 seguridad de las operaciones (14)
· A.13 seguridad de las comunicaciones (7)
· A.14 adquisición, desarrollo y mantenimiento del sistema (13)
· A.15 relaciones con los proveedores (5)
· A.16 Gestion de incidentes de la SI (5)
· A.17 aspectos de SI en la Gestion de CN(bcms) (4)
· A.18 Cumplimiento (8)
DECLARACION DE APLICABILIDAD
La declaración de aplicabilidad es un documento importante del SGSI
Todos los objetivos de control y controles seleccionados del anexo A forman parte de la decoración de aplicabilidad
La declaración de aplicabilidad debe incluir todos los objetivos de control, los controles seleccionados y se exige que se haga una breve explicación de las razones para su selección
PROCESO DE IMPLEMENTACION
DENTRO DEL PROCESO DE IMPLEMENTACION
SOPORTE
Información documentada del SGSI
- Información necesaria para el estándar ISO/EIC 27001:2013
- Información documentada definida como necesaria para la efectividad del SGSI
Puede variar de acuerdo con:
· Tamaño de las organizaciones, tipo de actividades, procesos, productos y servicios
· Complejidad de los procesos y sus interacciones
· Competencia de las personas
Control de la información documentada debe ser controlada para asegurar (7.5.3)
· Este disponible y apropiada para su uso y cuando sea necesario
· Debidamente protegida (por ejemplo, de pérdidas de confidencialidad, uso inapropiado o perdida de integridad)
CONTROLES Y PROCEDIMIENTOS MANDATORIOS
· Alcance del SGSI (clausula 4.3)
· La política y los objetivos del SI (Clausula 5.2 y 6.2)
· Procesos de evaluación y tratamiento de riesgos (clausula 6.1.2, 6.1.3, 8.2 y 8.3)
· Declaración de aplicabilidad (clausula 6.1.3 d)
· Plan de tratamiento de riesgos (clausulas 6.1.3)
· Informe de la evaluación de riesgos (clausula 8.2)
· Definición de roles y responsabilidades en la seguridad (clausulas A.7.1.2 Y A.13.2.4)
· Inventario de activos (clausula A.8.1.1)
· Uso aceptable de los activos (clausula A.8.1.3)
· Política de control de acceso (Clausula A.9.1.1)
· Procedimientos de operación para la Gestion de IT (clausula a.12.1.1)
· Principios de ingeniería para sistemas seguros (clausula A.14.2.5)
· Política para la seguridad de proveedores (clausula A.15.1.1)
· Procedimiento para la Gestion de incidentes (clausula A.16.1.5)
· Procedimiento y estrategia para la continuidad de negocio (clausula A.17.1.2)
· Requisitos estatutarios, regulatorios y contractuales (clausula A.18.1.1)
Registros mandatorios
· Registro de entrenamientos, capacidades, experiencia y cualificaciones/ (clausula 7.2)
· Resultado de monitoreo y mediciones (clausual9.1)
· Programa de la auditoria interna (clausula 9.2)
· Resultado de las auditorías internas (clausual9.2)
· Resultado de la revisión por la dirección (clausula 9.3)
· Resultados de las acciones correctivas (clausula 10.1)
· Logs de los eventos de actividades del usuario, excepciones y eventos de seguridad (clausulas A.12.4.1 y A.12.4.3)
PROCESO DE IMPLEMENTACION
PROGRAMA DE CONCIENTIZACION
Plan de concientización
· Comité de seguridad de la información
· Memo de un director de la organización
· Newletter o publicación interna
· Afiches en carteleras
· Charlas a gerentes, jefes…
· Baja en cascada
Desarrollar una cultura de seguridad y preparar al personal
PROGRAMAS DE FORMACION
Formación sobre programas específicos en materia de seguridad de la información
· Certificaciones profesionales
· Certificaciones de fabricantes
· Certificaciones técnicas
· Formación para auditores
COMPETENCIAS Y COMUNICACIÓN
¿Quien debe determinar y proporcionar los recursos necesarios? Para el establecimiento, implementación, mantenimiento y mejora del SGSI
· Determinar las competencias de las personas que trabajan bajo su control y afecta su desempeño
· Hay que asegurar que sean competentes basados en una educación capacitación o experiencia adecuada
· Cuando corresponda tomar las acciones para adquirir las competencias y evaluar la efectividad
· Retener la información documentada adecuada como evidencia
Conocimiento
· Política de seguridad de la información
· Contribuir a la eficacia del SGSI, incluyendo los beneficios del desempeño
· Las implicancias por no cumplir con los requisitos del SGSI
Comunicación interna y externa
· Que comunicar
· Cuando comunicarlos
· Con quien comunicarlo
· Quien debe comunicarlo
· Que procesos se verán afectados por la comunicación
Comentarios
Publicar un comentario