![Page 1: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/1.jpg)
Estrategias para la Implementación de un Sistema
de Gestión de Seguridad de Información
![Page 2: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/2.jpg)
Agenda
Definiciones , Aspectos Conceptuales, Tendencias
Metodología propuesta para ISO/IEC 27001
Paso a Paso…
Conclusiones
1
2
3
4
5
Introducción
![Page 3: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/3.jpg)
Antes de comenzar …
• Recomendaciones de la sala• Uso de teléfonos móviles, notebooks y PDA• No fumar
![Page 4: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/4.jpg)
FACILITADOR
Eduardo A. Recabarren Domínguez
Oficial de Privacidad y Seguridad del Banco de Chile
Ingeniero en Computación e InformáticaIngeniero Civil Industrial
![Page 5: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/5.jpg)
¿Quiénes somos?
El Banco de Chile, fundado en 1893, ha liderado el mercado financiero chileno como uno de los bancos más exitosos en términos de retorno de activos y en la creación de mayor valor para sus accionistas.
Las actividades del Banco de Chile se desarrollan bajo una estrategia multimarca, en que las marcas Banco de Chile y Banco Edwards-Citi cubren los segmentos de empresas y personas, mientras que el segmento de consumo es atendido bajo la marca Banco Credichile, a través de redes de distribución independientes y de cobertura nacional.
![Page 6: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/6.jpg)
¿Quiénes somos?
El 2 de enero del 2008 nace un nuevo Banco de Chile, a raíz de la fusión que se produce entre éste y Citibank Chile.
La nueva organización cuenta con:
Una participación de mercado en torno al 20% de las
colocaciones del sistema.
Más de 1,5 millones de clientes
Una red de cobertura con más de 400 sucursales a lo largo del
país.
Nuevas ventajas competitivas, con una mejor cobertura
internacional, para la gama de productos y servicios globales
ofrecidos a los clientes.
![Page 7: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/7.jpg)
- Gerente General - Gerente División Gestión y Control Financiero - Gerente División Operaciones y Tecnología
- Gerente División de Calidad - Gerente División Contraloría
- Gerente Seguridad y Prevención de Riesgo - Gerente de Riesgo Operacional
- Gerente General - Gerente División Gestión y Control Financiero - Gerente División Operaciones y Tecnología
- Gerente División de Calidad - Gerente División Contraloría
- Gerente Seguridad y Prevención de Riesgo - Gerente de Riesgo Operacional
Seguimiento, control deavance y escalamiento
Seguimiento, control deavance y escalamiento PMO
- Gerente de Riesgo Operacional - Gerente Operaciones Especializadas Tesorería
- Gerente de Contraloría - Gerente Servicio Cliente - Jefe Área Consumo
- Jefe Depto. Riesgo Operacional - Gerente Serv. Procesamiento e Infraestructura
- Gerencia Zonal - Gerente Operaciones Productos Masivos
- Gerente de Riesgo Operacional - Gerente Operaciones Especializadas Tesorería
- Gerente de Contraloría - Gerente Servicio Cliente - Jefe Área Consumo
- Jefe Depto. Riesgo Operacional - Gerente Serv. Procesamiento e Infraestructura
- Gerencia Zonal - Gerente Operaciones Productos Masivos Comité Operativo de
Riesgo Operacional
CERO - Comité Ejecutivode Riesgo Operacional
Gerencia Riesgo Operacional
AREA RIESGO OPERACIONAL AREA SEGURIDAD DE LA INFORMACION
AREA CONTINUIDAD DEL NEGOCIO
Autoevaluación de Riesgo Operacional Proceso SOX
Matriz de Autoevaluación (MAE )Proceso de Castigos
Evaluación de Proveedores (SAS 70)Evaluación nuevos procesos y productos
Educación
Autoevaluación de Riesgo Operacional Proceso SOX
Matriz de Autoevaluación (MAE )Proceso de Castigos
Evaluación de Proveedores (SAS 70)Evaluación nuevos procesos y productos
Educación
Proyectos Tecnológicos Administración de Infraestructura TI
Evaluación de Riesgo Aceptación de riesgo
Comité Administración de Incidentes (SIRT) Comité de Arquitectura Tecnológica (CAT)
Educación
Proyectos Tecnológicos Administración de Infraestructura TI
Evaluación de Riesgo Aceptación de riesgo
Comité Administración de Incidentes (SIRT) Comité de Arquitectura Tecnológica (CAT)
Educación
Modelo de ContinuidadDefinición Procesos Críticos
Planes de Continuidad del NegocioPlan de Recuperación de Desastres
Comité Administración de Crisis Coordinación de Pruebas
Educación
Modelo de ContinuidadDefinición Procesos Críticos
Planes de Continuidad del NegocioPlan de Recuperación de Desastres
Comité Administración de Crisis Coordinación de Pruebas
Educación
Estructura Gobierno de SI…
![Page 8: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/8.jpg)
Algunas Definiciones Previas..
Seguridad de la Información (SI).- Preservación de la confidencialidad, integridad y disponibilidad de la información; adicionalmente autenticidad, responsabilidad, no repudio y confiabilidad.
SGSI.- La parte del Sistema de gestión Global, basada en una orientación a riesgo de negocio, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información.
Activo.- Algo que tiene valor para la organización (ISO/IEC 13335-1:2004)
Amenaza.- Evento que puede provocar un incidente en la organización produciendo daños o pérdidas materiales y/o inmateriales
Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias externas.
![Page 9: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/9.jpg)
9
Tendencias…
![Page 10: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/10.jpg)
10
Tendencias…
![Page 11: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/11.jpg)
11
Tendencias…
![Page 12: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/12.jpg)
12
Tendencias
Tendencias…
![Page 13: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/13.jpg)
Cabe la Pregunta:
¿ A quien compete la Seguridad de la Información en una organización: ?
Gestores de la organización
Contralores, auditores internos
Personal de TI
Personal en general
Aspectos Conceptuales…
“La Seguridad de la Información es responsabilidad de los dueños de la información” “La Seguridad de la Información es responsabilidad de los dueños de la información”
![Page 14: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/14.jpg)
Misión:
Detectar que se debe proteger
Detectar nuestras debilidades
Proponer controles
Implementar controles
Medir el desempeño de los controles
Aspectos Conceptuales
![Page 15: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/15.jpg)
¿Qué es ISO/IEC 27000?
• Familia de estándares ISO orientados a la Seguridad de Información
• ISO 27000: Conceptos y definiciones que soportan a la familia.
![Page 16: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/16.jpg)
Integrantes
• ISO /IEC 27001• ISO /IEC 27002• ISO/IEC 27003: Guía de Implementación siguiendo PHVA• ISO/IEC 27004: Estándar para Métricas y Mediciones de
Gestión de Seguridad de Información• ISO/IEC 27005: Estándar de Gestión de Riesgos de
Seguridad de información (BS-7799:3)• ISO/IEC 27006: Guía para la recuperación ante
desastres de servicios tecnológicos de información y comunicación”
![Page 17: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/17.jpg)
Gestión de Riesgos de la Información
![Page 18: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/18.jpg)
¿POR QUÉ GESTIÓN DE RIESGOS DE LA INFORMACIÓN?
Necesidad de Proteger la Información Sin embargo, esto puede generar:
Crecimiento de cantidad y complejidad de los controles
Pérdida del foco de actividades (Seguridad v/s Negocio)
Por otra parte, requiere: Mediciones del impacto producido por los controles
en seguridad Aplicar un criterio de negocios
![Page 19: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/19.jpg)
¿CUAL ESCOGER?
Depende de cual sea el objetivo Orientada a Procesos
ISO 9001:2000 ISO/IEC 27001 CMM ITIL ISM3
Orientada a Controles ISO 13335-4 BSI-ITPM
Orientada a Productos Common Criteria
Orientada al Análisis de Riesgos OCTAVE Magerit
Orientada a la Buenas Prácticas ISO/EIC 17799:2005 Cobit ISF-SGP
![Page 20: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/20.jpg)
Implantación de un SGSI
![Page 21: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/21.jpg)
Metodología propuesta para ISO/IEC 27001 (1/5)
Factores Críticos de Éxito Apoyo de la
Administración Beneficios de
NegociosGuía para la aproximación procesos Guía para el uso del modelo PHVA
![Page 22: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/22.jpg)
Metodología propuesta para ISO/IEC 27004 (2/5)
Guía Proceso “Planificar”Introducción
Estableciendo el alcance del SGSIFormulando las políticas de SGSI y Seguridad de InformaciónEjecutando la valoración de riesgosTomando decisiones en el tratamiento de riesgos
![Page 23: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/23.jpg)
Metodología propuesta para ISO/IEC 27004 (3/5)
Guía Proceso “Hacer”IntroducciónCreando e Implantando el Plan de
Tratamiento de RiesgosImplementado los controlesCapacitación y sensibilización Implementando un programa de manejo
de incidentes de seguridad de información
Administrando recursos
![Page 24: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/24.jpg)
Metodología propuesta para ISO/IEC 27004 (4/5)
Guía Proceso “Verificar”IntroducciónMonitoreo
• Chequeo rutinario• Self-policing
proceduresRevisionesHaciendo Auditorias internas del SGSIEjecutando revisiones administrativasMidiendo el SGSIAnalizando tendenciasControlando documentación y registros
![Page 25: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/25.jpg)
Metodología propuesta para ISO/IEC 27004 (5/5)
Guía Proceso “Actuar”IntroducciónImplementando mejorasIdentificando no-conformidadesIdentificando e implementado acciones
preventivas y correctivasAsegurando mejora continua. ProbandoComunicando cambios y mejoras
![Page 26: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/26.jpg)
Oferta del mercado …
• Implantador “certificado”• Metodologías “express” para SGSI
¿Cuales son los pasos previos y su construcción?
![Page 27: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/27.jpg)
Pasos Previos …
Cómo me preparo para el proceso…
![Page 28: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/28.jpg)
Pasos Previos …
I. Identificar los objetivos estratégicos de la organización
II. Identificar legislación, regulaciones y obligaciones contractuales aplicables
III. Establezca el ámbito al que orientará su laborIV. Establecer la necesidad de gestionar los riesgosV. Identificar procesos claveVI. Identificar a las personas claveVII. Identificar los activos de información relevantes
![Page 29: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/29.jpg)
Lo primero es …
• Defina su propia planificación Estrategia de Seguridad Objetivos Tareas específicas Plazos y entregables
• Recomendación:
Nunca deje de retroalimentar a la alta dirección…
![Page 30: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/30.jpg)
• Ley 19223 Delitos Informáticos. • Ley 19799 Firma Electrónica.• Ley 19628 Protección de datos
Personales• Ley 20009 Responsabilidad de tarjetas
de crédito• Otras específicas • Obligaciones contractuales y
regulaciones• Tabule para contar con registro y orden.• ¡¡Atención las transnacionales!!
Identificando legislación aplicable…
Legislación Chilena…
![Page 31: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/31.jpg)
Implantación de un Sistema de Gestión de Seguridad de la
Información
![Page 32: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/32.jpg)
Implantación de un sistema de Gestión de Seguridad de Información
► Establecer el Alcance► Establezca criterios de riesgo► Identifique y valorice los activos de información► Determine el nivel de riesgo real► Escriba la Política de Seguridad► Elabore el Documento de Aplicabilidad
►Objetivos de control y controles► Definición de políticas, normas y procedimientos► Producción e implantación► Complementación de la documentación del SGSI► Auditoria y Revisión del SGSI► Resumen revisión de proceso de implantación
![Page 33: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/33.jpg)
Establecer el Alcance
• Definir cual o cuales procesos serán considerados dentro del SGSI
• Especificar activos que participan Listado de contratos y acuerdos Mapas de red Inventario de activos relevantes
(Cláusulas 4.2.a ISO/IEC 27001)
![Page 34: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/34.jpg)
Identificando objetivos estratégicos (1/2)
• Pregunte…• Un gran número de organizaciones no realiza
planificación estratégica• Cual es el objetivo de la organización
¿Quién es él o los clientes? ¿Cuáles son las necesidades de su cliente que su
organización satisface? ¿Cómo satisface su organización las necesidades de
sus clientes?• Podrá tener una idea de cuales son las principales
líneas de actividad de la organización
![Page 35: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/35.jpg)
Identificando objetivos estratégicos (2/2)
• Para cada negocio o actividad identificado responda: ¿Existen metas de crecimiento? ¿Existe orden de posicionar algún producto o servicio
en particular? ¿Objetivos Financieros? ¿Mejorar la satisfacción de los clientes? ¿Mejorar el tiempo de solución de problemas
internos? ¿Desarrollar un nuevo negocio?
• Estas respuestas le ayudarán a tener una idea general de los objetivos estratégicos de su organización.
![Page 36: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/36.jpg)
Mapa de Procesos (1/4)
Proceso I
Proceso E Proceso B
Proceso H Proceso L Proceso F Proceso C
Proceso G Proceso K
Proceso AProceso JProceso D
Es
tra
teg
ico
sC
lav
eD
e A
po
yo
![Page 37: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/37.jpg)
Mapa de Procesos (2/4)
TareasProceso (Propietario)
Salidas
Medidas de Mejora¿Cambios?
Entradas
Activos RegistrosControles
![Page 38: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/38.jpg)
Mapa de Procesos (2/4)
TareasProceso (Propietario)
Salidas
Medidas de Mejora¿Cambios?
Entradas
Activos RegistrosControles
![Page 39: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/39.jpg)
Mapa de Procesos (3/4)C
lien
tes
Clie
nte
s
![Page 40: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/40.jpg)
Mapa de Procesos (4/4)
Interrelación de procesos
![Page 41: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/41.jpg)
Establezca Alcance
• Establezca el alcance de su Sistema de Gestion de Seguridad de Informacion.
![Page 42: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/42.jpg)
Identifique y valorice los activos de información
• Identifique los activos de información• Defina a los roles asociados a cada uno de
ellos• Clasifique los activos de información de
acuerdo a algún criterio preestablecido• Redacte guías de uso aceptable de los activos
dependiendo su clasificación
(Cláusulas 7.1, 7.2 ISO/IEC 17799:2005)
![Page 43: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/43.jpg)
Identificar los activos
• Caracterice cada uno de los procesos relevantes para los objetivos asociados a su proyecto de Seguridad de Información
![Page 44: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/44.jpg)
Identificar los activos de información
• Cuales son los activos de información Procesamiento Almacenamiento Otros
• Definición de Roles Dueño Custodio Usuario
![Page 45: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/45.jpg)
Identificar Riesgos
• ¿Qué puede suceder?• ¿Cómo puede suceder?• Tomando en cuenta los resultados de ejercicios anteriores,
formule su propia tabla de identificación de riesgos
![Page 46: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/46.jpg)
Análisis de Riesgo (2/2)
• Realice un análisis de riesgo empleando uno de los métodos mencionados anteriormente.
![Page 47: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/47.jpg)
Evaluación de Riesgo
• Evalúe los Riesgos empleando uno de los criterios mencionados o defina un criterio propio con su grupo de trabajo.
![Page 48: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/48.jpg)
Establezca el criterios de riesgo
• Defina la metodología de aproximación a la valoración de riesgo y documéntela.
• Desarrolle el proceso de análisis y evaluación de riesgos.
(Cláusula 4.2.1.c;d;e ISO/IEC 27001:2005)
![Page 49: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/49.jpg)
Política de Seguridad
• Escriba una Política de Seguridad de Información
• Emplee la ficha 8.• Defina un protocolo de revisiones de la misma.
(Cláusula 5.1, ISO/IEC 17799:2005) (Cláusula 4.2.1b ISO/IEC 27001:2005)
![Page 50: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/50.jpg)
Escriba el Documento de Aplicabilidad
• Seleccione los Objetivos de Control y Controles.
• Justifique cualquier exclusión apoyándose en el análisis de riesgos
(Cláusula 4.2.1j ISO/IEC 27001:2005)
![Page 51: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/51.jpg)
Documento de Aplicabilidad
• Escriba su documentos de Aplicabilidad
![Page 52: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/52.jpg)
Definición de Políticas, normas …Estructura Documental
• Establezca un sistema de gestión de documentos Política General Alcance Documentado Procedimientos de Apoyo a SGSI Descripción Aproximación AR Reporte del Análisis de Riesgos Plan de Tratamiento de Riesgos Procedimientos Documentados
Acciones Correctivas Acciones Preventivas Plan de Auditorias Plan de Revisiones Administrativas
Registros requeridos Control de Documentos Control de Registros
Documento de Aplicabilidad
![Page 53: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/53.jpg)
Complementación de Documentación
• Es necesario crear una política específica
![Page 54: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/54.jpg)
Procedimiento Mejora Continua
• Plan de Auditorias Internas Registros de ejecución
• Plan de Revisiones Administrativas Registros
• Proc. Manejo No-Conformidades• Proc. Acciones Preventivas
(Cláusulas 6, 7 y 8 ISO/IEC 27001:2005)
![Page 55: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/55.jpg)
Resumen de Pasos para la Implementación…
![Page 56: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/56.jpg)
Plan de Continuidad Operativa de
Negocio (BCP)
Plan de Contingencia Tecnológico
(DRP)
Plan Anual de Seguridad de la Información
Plan Anual de Riesgo
Operacional
Oficial de Seguridad de la Información (OSI)
Define Política de Continuidad y Estrategia
Desarrolla y actualiza
Impulsa y coordina Comité de Seguridad
Información
Desarrolla, mantiene y realiza seguimiento al
SGSI
Depende
Aprueba
Define y confecciona
Controla
Aprueba
Auditoría
Audita
![Page 57: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/57.jpg)
Conclusiones
La Seguridad de la Información es un Proceso La Seguridad de la Información se basa en Personas La Seguridad de la Información debe orientarse al Riesgo
No existe la Seguridad Absoluta. El SGSI AYUDA a la gestión.
Un proyecto SGSI requiere un equipo de trabajo MULTICONOCIMIENTO
![Page 58: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información](https://reader036.vdocumento.com/reader036/viewer/2022082604/54e0ca474a79595b298b59d4/html5/thumbnails/58.jpg)
Conclusiones
Beneficios de un SGSI Conocer realmente los activos que disponemos Involucrar a la Alta dirección en la Seg. de la Inf. Realizar análisis de Riesgos para el desarrollo del Negocio Disponer de planes de contingencia ante incidentes Disminución de riesgos a Niveles aceptables …..