Entendiendo los SGSI

Entendiendo los SGSI
De la norma a la obtención de beneficios
Entendiendo los SGSI_26032015.pptx
26 de Marzo de 2015
Índice
1. La nueva ISO27001:2013
2. El Proyecto
3. Proceso de Certificación
2 | ISO27001| 26 Marzo de 2015
1. La nueva ISO27001:2013
La normativa ISO/IEC 27001:2013 …
• Es una versión actualizada de la anterior ISO27001:2005
• Define las especificaciones para crear, operar, mantener y mejorar un Sistema
de Gestión de Seguridad de la Información (SGSI)
• Fue publicada como norma internacional en el año 2013
• Se basa en un Modelo de Mejora Continua (Plan-Do-Check-Act)
• La obtención de la certificación se realiza a través de la demostración del
cumplimiento de los controles incluidos dentro del código de buenas practicas
asociado.
3 | ISO27001| 26 Marzo de 2015
1. La nueva ISO27001:2013
Está estructurada en:
• Dominios
• Establecen 14 dominios o familias que agrupan
controles destinados al mismo fin
• Objetivos de Control
• Explican el objetivo al que darán solución los
controles existentes
• Controles
• 114 controles que identifican cada una de las
acciones que deben realizarse para cumplir un
objetivo
4 | ISO27001| 26 Marzo de 2015
1. La nueva ISO27001:2013
Las 14 dominios y los 114 controles se agrupan en:
5 | ISO27001| 26 Marzo de 2015
1. La nueva ISO27001:2013
Un ejemplo:
• Cláusula General
• Gestión de la Continuidad de Negocio
• Objetivo de Seguridad
• Evitar las interrupciones en la continuidad de las actividades críticas de
negocio y proteger la información crítica de los procesos de negocio
frente a fallos graves y/o desastres
• Control
• Plan de Continuidad de Negocio y recuperación ante desastres
• Planes de Contingencia
6
6 | ISO27001| 26 Marzo de 2015
1. La nueva ISO27001:2013
Qué se obtiene:
• Ejemplo del contenido del informe de auditoria que emite BSI
7
7 | ISO27001| 26 Marzo de 2015
1. La nueva ISO27001:2013
Certificar la gestión de la Seguridad de la Información en una norma
exigente y de reconocido prestigio internacional beneficia porque …
•
•
•
•
•
•
•
Permite comparar la calidad en la gestión de la Seguridad con el resto de
grandes corporaciones.
Potencia la imagen de calidad de una Entidad ante sus clientes
Aporta confianza a los clientes y colaboradores sobre como una entidad
gestionamos su seguridad
Demuestra la calidad de los procesos de seguridad ante terceros y
entidades reguladoras
Ayuda a garantizar la calidad de la seguridad ante posible sanciones
(legislaciones vigentes, en España ej: Código Penal, LOPD, etc..)
Verifica independientemente que los riesgos de la entidad estén
correctamente identificados, evaluados y gestionados al tiempo que
formaliza procesos y procedimientos de protección de la información.
Demuestra el compromiso de la cúpula directiva de la entidad con la
seguridad de la información.
8 | ISO27001| 26 Marzo de 2015
2. El Proyecto
Obtener la certificación implica …
• Cumplir con el ciclo de mejora continua requerido por la
norma
• Superar las revisiones periódicas por parte del certificador en
las que la entidad debe demostrar el cumplimiento de lo
anterior
Y para conseguirlo, hay que
activar un proyecto interno
9 | ISO27001| 26 Marzo de 2015
2. El Proyecto
Nuestro día a día
10 | ISO27001| 26 Marzo de 2015
2. El Proyecto
11 | ISO27001| 26 Marzo de 2015
2. El Proyecto
12 | ISO27001| 26 Marzo de 2015
2. El Proyecto
Enfoque metodológico
El proceso de creación, revisión y mantenimiento de un SGSI
se va a desarrollar en base a cinco grandes líneas de trabajo:
 Selección del alcance de certificación
 Adaptación de la entidad al nuevo estándar
ISO27001:2013 publicado el 1 de Octubre de 2013.
 Revisión y actualización de los sistemas de análisis y
gestión de riesgos
 Adecuación del Cuerpo Normativo
 Sensibilización, concienciación y formación
13 | ISO27001| 26 Marzo de 2015
2. El Proyecto
Enfoque metodológico
 Seleccionar el alcance de certificación
 Identificar cuál es el alcance que beneficia a nuestra
entidad
 Ser consciente de las relaciones que dicho alcance tiene
con:
 Los procesos de la entidad
 El personal de la Entidad
 Terceros/proveedores
 Legislación vigente
“Cuidado con lo que se pide, no siento que nos lo
vayan a dar”
14 | ISO27001| 26 Marzo de 2015
2. El Proyecto
Enfoque metodológico
 Adaptación al nuevo estándar ISO27001:2013 publicado el 1 de
Octubre de 2013.
•
Entrevistas con los implicados
•
Creación de un Sistema Documental que se adecua a los requisitos
•
Actualización del análisis de riesgos de seguridad de la información
•
Desarrollo e implantación de planes de acción preventivos y correctivos
•
Formación especifica a los participantes
15 | ISO27001| 26 Marzo de 2015
2. El Proyecto
Enfoque metodológico
 Creación de un sistema de análisis y gestión de riesgos
•
Revisión de activos, amenazas y vulnerabilidades
•
Actualización de las reglas de inteligencia y revisión de los cálculos
actuariales.
•
Actualización del valor del riesgo de cada activo
•
Plan de acciones para gestionar el riesgo
•
Aprobación de riesgo residual
•
Aprobación de los planes de acción
16 | ISO27001| 26 Marzo de 2015
2. El Proyecto
Enfoque metodológico
 Creación de un Cuerpo Normativo de Seguridad de la Información
•
Creación de la Política, normas, directrices, recomendaciones, … a lo
establecido en el estándar
•
Revisión de los procedimientos existentes para asegurar el cumplimiento
de lo establecido en el estándar
•
Revisión del inventario-control de documentos existentes
•
Medición de indicadores
•
Control y gestión de evidencias
•
Aprobaciones
17 | ISO27001| 26 Marzo de 2015
2. El Proyecto
Enfoque metodológico
 Sensibilización, Concienciación y Formación
•
Recordar a todos los participantes los principios fundamentales del SGSI y
los nuevos requisitos de la norma ISO/IEC 27001:2013.
•
Insistir en el conocimiento general de en qué y cómo afecta la implantación
y el mantenimiento del SGSI en el día a día.
18 | ISO27001| 26 Marzo de 2015
2. El Proyecto
Responsabilidades de los responsables implicados:
 Proporcionar información y colaborar de forma que se pueda:
•
•
•
•
•
•
•
•
Identificar al personal que va a participar y el nombre de sus agrupaciones.
Revisar los activos involucrados en los procesos del SGSI
Valorar los requisitos de seguridad para Analizar y Gestionar los Riesgos del SGSI.
Actualizar el documento “Descripción de procesos” con sus actividades.
Actualizar el valor de los indicadores de su responsabilidad.
En caso de que existan, corregir las recomendaciones y observaciones identificadas en
el SGSI.
Verificar el nivel de cumplimiento de los controles que le correspondan.
Identificar las evidencias de cumplimiento de los controles de la ISO27002 bajo su
responsabilidad.
19 | ISO27001| 26 Marzo de 2015
2. El Proyecto
Responsabilidades de los responsables implicados:
 Asistir a la formación continua del SGSI.
•
Verificar que los implicados en el SGSI bajo su responsabilidad están formados también.
 Asistir a las entrevistas de BSI en caso de ser convocado
 Estar disponibles durante los días de la revisión
•
Pueden ser llamados por el auditor aunque no están inicialmente en agenda.
20 | ISO27001| 26 Marzo de 2015
2. El Proyecto
A los recursos fuera de Seguridad de la información …
•
Les informamos de su intervención concreta en el proyecto
en aquellas necesidades que se identifiquen para la
obtención de la certificación. Esta información se recibirá
mediante correos electrónicos.
•
Les solicitamos la actualización de la documentación que se
precise, validando los controles implantados así como la
revisión de las métricas.
•
Adicionalmente, algunos podrán ser requeridos en
reuniones de seguimiento esporádicas y para recibir la
formación previa a la auditoria de certificación
•
A criterio del auditor de BSI, podrá ser necesaria su
presencia durante la realización de la auditoría de
certificación (siempre que tengamos proveedores)
21
21 | ISO27001| 26 Marzo de 2015
2. El Proyecto
Una posible estructura de proyecto
Tarea
Fecha Inicio
Fecha Fin Prevista
Estrategia de creación del SGSI
Aprobación por la Dirección del proyecto
Primer mes
Presentación de Lanzamiento a los implicados
Actualización de los datos por los implicados
Actualización del análisis y gestión de los riesgos
Segundo y tercer mes
Creación del Sistema Documental del SGSI
Sensibilización, concienciación y formación
Presentación de cierre de proyecto
Preparación de la visita delos auditores
Auditoria de renovación del certificado ISO27001
22 | ISO27001| 26 Marzo de 2015
Cuarto mes
2. El Proyecto
Modelo de seguimiento del Proyecto
• Tras la reunión de lanzamiento y con el objetivo de llevar un
correcto seguimiento del proyecto, se pueden establecer las
siguientes reuniones:
• Comité de Seguridad, con una periodicidad mensual al que asistirán
los responsables del proyecto para realizar el seguimiento del
proyecto y aprobar los resultados que se obtengan.
• Seguimiento del Proyecto con una periodicidad semanal o quincenal
al que asistirán los gestores del proyecto y algún colaborador
esporádicamente.
• De trabajo y formación, que afectarán a todos los participantes del
proyecto. Inicialmente estimamos que a lo largo del mismo se
convocarán una media de una reunión conjunta de 60 minutos.
• Cierre de Proyecto, planificada con una semana de antelación al
proceso de auditoria de certificación
23 | ISO27001| 26 Marzo de 2015
3. Proceso de certificación
Dependiendo de la empresa de certificación que se elija, los tiempos pueden
variar:
• El proceso de certificación dura al menos 3 días
• Consiste en un sistema de preguntas realizado por los auditores que deben
verses soportados por evidencias.
24 | ISO27001| 26 Marzo de 2015
3. Procesos de certificación
Entidad certificada en la norma
ISO / IEC 27001:2014
25
25 | ISO27001| 26 Marzo de 2015
GRACIAS
Isabel María Gómez González
Email: [email protected]
http://www.linkedin.com/in/ismgomez
26 | ISO27001| 26 Marzo de 2015

Download Report