• Author / Uploaded
• tochan13

Citation preview

Basado en la ISO 27001:2013 Seguridad de la Información

Agenda

Gobierno de Seguridad de la Información Organización del Proyecto Alineando el negocio con la Seguridad de la Información Gestión de Riesgos Indicadores de gestión

Mejora Continua Seguridad de la Información

Gobierno de Seguridad de la Información Seguridad de la Información

Gobierno de Seguridad de la Información El Gobierno de Seguridad de la Información está compuesto por un conjunto de responsabilidades y practicas llevadas a cabo mediante la junta ejecutiva con el objetivo de proporcionar la dirección estratégica, asegurando que los objetivos se logran, cerciorándose de que los riesgos se gestionan de manera adecuada y asegurando que los recursos de la empresa son usados responsablemente Fuente: IT Governance Institute

Seguridad de la Información

Gobierno de Seguridad de la Información

El Gobierno de Seguridad de la Información es un subconjunto de Gobierno de la Empresa que proporciona la dirección estratégica, asegura que los objetivos se logran, gestiona los riesgos adecuadamente, asigna responsabilidades a los recursos de la organización, y supervisa el éxito o el fracaso del programa de seguridad de la empresa. Fuente - Information Security Governance

Seguridad de la Información

ISO 27014 La ISO-27014 indica seis principios de gobiernos de la seguridad de información los cuales son:

1. Establecer responsabilidad con respecto a la seguridad de la información en toda la organización 2. Adoptar una aproximación basada en el riesgo. 3. Establecer la dirección de las decisiones de inversión en seguridad de la información 4. Asegurar conformidad con los requerimientos internos y externos. 5. Fomentar un entorno positivo respecto de la seguridad. 6. Revisar el rendimiento en relación a los resultados de negocio.

Seguridad de la Información

ISO 27014 1. Establecer responsabilidad con respecto a la seguridad de la información en toda la organización. •¿La seguridad de la información se gestiona a un nivel de la organización que permita la toma de decisiones? •¿Las actividades asociadas a la seguridad lógica y física se realizan de forma coordinada?. •¿La responsabilidad y rendición de cuentas con respecto a la seguridad se establece a través del ciclo completo de las actividades de la organización incluidos terceros?.

Seguridad de la Información

ISO 27014

2. Adoptar una aproximación basada en el riesgo.

•¿Las decisiones se toman en función del riesgo?. •El nivel aceptable de seguridad ¿se basa en el apetito al riesgo de la organización?, ¿se incluye en él la posible pérdida de ventaja competitiva, riesgos de cumplimiento y responsabilidad, interrupciones operativas, pérdida financiera y daño a la reputación?. •¿Se asignan los recursos apropiados para implementar la gestión de riesgos en la organización?. Seguridad de la Información

ISO 27014

3. Establecer la dirección de las decisiones de inversión en seguridad de la información.

•¿La estrategia de inversiones en seguridad de la información se establece en función de los resultados de negocio alcanzados?. •¿Las inversiones en seguridad se integran con los procesos generales existentes para las inversiones y gastos de la organización?.

Seguridad de la Información

ISO 27014 4. Asegurar conformidad con los requerimientos internos y externos. •¿Se garantiza que las políticas y prácticas son conformes con la regulación y legislación existente, con los compromisos y contratos de la organización y con otros requerimientos internos o externos?. •¿Se realizan auditorías de seguridad independientes?.

Seguridad de la Información

ISO 27014

5. Fomentar un entorno positivo respecto de la seguridad. A la hora de implementar la gobernanza de la seguridad, ¿se tiene en cuenta el comportamiento humano, incluyendo la evolución de las necesidades de las partes interesadas? ¿Se exige, promueve y apoya la coordinación de las actividades de las partes interesadas para alcanzar una dirección coherente de la seguridad (educación, formación y programas de concienciación)?.

Seguridad de la Información

ISO 27014 6. Revisar el rendimiento en relación a los resultados de negocio.

¿La aproximación tomada para proteger la información es adecuada al propósito de apoyar la organización proporcionando niveles acordados de seguridad de la información?. ¿Se mantiene la seguridad en los niveles requeridos para alcanzar los requerimientos actuales y futuros del negocio?. ¿Se evalúa la seguridad en relación a su impacto en el negocio y no sólo en base a la eficacia y eficiencia de los controles?.

Seguridad de la Información

ISO 27014

Seguridad de la Información

Organización del Proyecto Seguridad de la Información

Requisitos y expectativas de las partes interesadas respecto a l SGSI

ENTRADA

Seguridad de la Información

Contexto de la Organización

Liderazgo Mejora

Planificación Evaluación

Operación SALIDA

Requisitos y expectativas de las partes interesadas gestionadas con el SGSI

Fases de la Metodología

Fases de la Metodología 7 FASES Contexto organización

Liderazgo

Planificación

Proyecto del SGSI

Soporte

Operación

Evaluación

Mejora

Seguridad de la Información

Implantación del SGSI

Fases de la Metodología Contexto organización

Seguridad de la Información

Liderazgo

Planificación

Soporte

Operación

Evaluación

Mejora

Fases de la Metodología Contexto organización

Seguridad de la Información

Liderazgo

Planificación

Soporte

Operación

Evaluación

Mejora

Fases de la Metodología Contexto organización

Seguridad de la Información

Liderazgo

Planificación

Soporte

Operación

Evaluación

Mejora

Fases de la Metodología Contexto organización

Seguridad de la Información

Liderazgo

Planificación

Soporte

Operación

Evaluación

Mejora

Fases de la Metodología Contexto organización

Seguridad de la Información

Liderazgo

Planificación

Soporte

Operación

Evaluación

Mejora

Fases de la Metodología Contexto organización

Seguridad de la Información

Liderazgo

Planificación

Soporte

Operación

Evaluación

Mejora

Fases de la Metodología Contexto organización

Seguridad de la Información

Liderazgo

Planificación

Soporte

Operación

Evaluación

Mejora

Alineando el negocio con la Seguridad de la Información Seguridad de la Información

Comprensión de la Misión, Objetivos, Valores y Estrategias

Misión

Valores

Estrategias Alineamiento

Objetivos

Políticas Corporativas

Seguridad de la Información

Estratégico

Los objetivos De La Seguridad de la Información

Políticas de Seguridad de la Información

Análisis del Ambiente Externo Fortalezas

Debilidades

Existen varias metodologías para entender cómo funciona una organización

Oportunidades

Seguridad de la Información

Amenazas

Lo importante es identificar las características de los factores ambientales internos y externos que influyen en la gestión de la continuidad del negocio: misión, actividades principales, organización interna, partes interesadas, ttc.

Análisis del Entorno Interno •Estratégico (¿Quién establece las orientaciones estratégicas?) •Gobierno (¿Quién coordina y gestiona las operaciones?) •Operacional ( ¿Quién participa en las actividades de producción y apoyo?)

Comprender la estructura y los principales actores de la organización relacionados con el ámbito de aplicación en los planos:

Seguridad de la Información

Identificación de los Principales Procesos y Actividades

Activos de Información Claves

Oferta de Productos y servicios

Procesos de Negocios

¿Cuáles son los Activos de información Claves de la Organización?

¿Cuáles son los bienes y Servicios producidos por la organización?

¿Cuáles so los Procesos claves que Permiten a la Organización cumplir Con su misión?

Seguridad de la Información

Análisis del Ambiente Externo • • • •

Plan del proyecto Diagrama de GANNT Documento Alcance del SGSI Acta de Constitución del proyecto

Seguridad de la Información

Documentos

• • • •

Plan del proyecto Diagrama de GANNT Documento Alcance del SGSI Acta de Constitución del proyecto

Seguridad de la Información

Gestión de Riesgos Seguridad de la Información

¿Qué cambia en la gestión de riesgos?

No tenemos que usar la norma ISO 31000 para la gestión de riesgos. La norma ISO 31000 sólo se menciona en la norma ISO 27001: 2013, pero no es obligatorio.

No se tiene que eliminar los activos, amenazas y vulnerabilidades de nuestra evaluación de riesgos. Se puede mantener la metodología antigua porque la norma ISO 27001: 2013 te deja libertad para determinar los riesgos de la forma que desee.

Seguridad de la Información

¿Qué cambia en la gestión de riesgos? No se debe dejar de lado el identificar a los propietarios de activos. Aunque la norma ISO 27001: 2013 no requiere que usted identifique los propietarios de activos como parte de la evaluación del riesgo, el control A.8.1.2 Control lo requiere.

En la Política de seguridad de la información de nivel superior no se necesita establecer criterios con los que los riesgos serán evaluados - este era el requisito de la norma ISO 27001: 2005 4.2.1 b 4)); en la norma ISO 27001: 2013, usted todavía tiene que definir los criterios de evaluación de riesgo, pero no como parte de la política de nivel superior.

Seguridad de la Información

¿Qué cambia en la gestión de riesgos? Se puede identificar los riesgos en función de sus procesos, en función de sus departamentos, utilizando sólo las amenazas y vulnerabilidades no, o cualquier otra metodología Es necesario identificar los propietarios del riesgo.

ISO 27001: 2005 requiere que la administración apruebe riesgos residuales, así como la implementación y operación del SGSI. Por el contrario, en la norma ISO 27001: 2013 los propietarios de los riesgos deben aceptar los riesgos residuales y aprobar el plan de tratamiento de riesgos. Seguridad de la Información

¿Qué cambia en la gestión de riesgos? Las opciones de tratamiento en la revisión 2013 no sólo se limitan a la aplicación de los controles, la aceptación de riesgos, evitando los riesgos, y la transferencia de riesgos como lo fueron en la revisión de 2005 - básicamente, usted es libre de considerar cualquier opción de tratamiento que crea apropiado.

Seguridad de la Información

¿Qué cambia en la gestión de riesgos?

Seguridad de la Información

Indicadores de gestión Seguridad de la Información

Indicadores del SGSI ISO 27004

Seguridad de la Información

Indicadores del SGSI ISO 27004 Entrenamiento del SGSI  Personal entrenado en el SGSI  Entrenamiento en Seguridad de la Información  Concientización en el Cumplimiento de la Seguridad de la Información  Políticas de contraseñas  Calidad de las contraseñas – manual  Calidad de las contraseñas – automática  Proceso de revisión del SGSI  Mejora continua de la gestión de incidentes de la seguridad de la información del SGSI 

Seguridad de la Información

Indicadores del SGSI ISO 27004  Efectividad Implementación de acciones correctivas  Compromiso de la alta dirección  Protección contra código malicioso  Controles físicos de entrada  Revisión de los archivos de registro de actividades  Gestión de la periodicidad del mantenimiento  Seguridad en acuerdos con terceras partes

Seguridad de la Información

Documento • Documento Indicadores del SGSI

Seguridad de la Información

Mejora Continua Seguridad de la Información

Revisión de Documentos

Seguridad de la Información

Revisión de Controles

Seguridad de la Información

Preguntas antes de contratar a un consultor 1. ¿Cuál es su experiencia en su industria en particular? 2. ¿Cuántos clientes tenía? ¿Qué tipo de clientes que ha servido? ¿Puede proporcionar una lista de referencias? 3. ¿Cuál es su reputación - lo que hacen los otros consultores dicen de él; ¿qué dicen sus clientes acerca de él? 4. ¿Cuál es su experiencia (negocio), además de la norma ISO 27001 y / o ISO 22301? 5. ¿Cuál es su experiencia en otras normas ISO? 6. ¿Habla su idioma a la perfección? 7. ¿Tiene algún conflicto de interés?

Seguridad de la Información

Preguntas antes de contratar a un consultor 1. ¿Cuántos proyectos de implantación ISO 22301 27001 / ISO ha terminó con éxito en los últimos dos años? 2. ¿Cuántos de sus clientes solicitaron la certificación, y cuántas eran con éxito la norma ISO 27001 / ISO 22301 certificada (en su primer intento)? 3. ¿Cuál fue la parte más compleja del proyecto ISO 27001 / ISO 22301 que ha tenido? ¿Puede describir brevemente? 4. ¿Cuál es su trayectoria educativa en la norma ISO 27001 / ISO 22301; es decir, lo que los certificados tiene? 5. ¿él entregas ISO 27001 o ISO 22301 entrenamientos? En caso afirmativo, ¿cuántos entrenamientos tenía que prevé, para cuántas personas? 6. ¿Alguna vez ha publicado ninguno de los artículos de expertos? ¿Cuántas y dónde? 7. ¿Trabajó como auditor de certificación? 8. ¿Puede que le muestre ejemplos de la documentación de evaluación del riesgo que él creó para algunos de sus clientes?

Seguridad de la Información

Preguntas antes de contratar a un consultor 1. ¿Cuál es el precio total de sus servicios (asegúrese de que incluye todo: análisis, entrevistas, desarrollo de documentación, capacitación, costos de transporte, etc.)? 2. ¿Cuáles son los servicios adicionales que usted tendrá que comprar a otros proveedores? 3. ¿Cuál es el costo de su tiempo de los empleados que participan en el proyecto?

Seguridad de la Información

Preguntas

Seguridad de la Información

Seguridad de la Información