implantaciÓn de un sistema de gestiÓn de seguridad de informaciÓn bajo la Óptica iso 27001:2005
DESCRIPTION
La implantación del modelo ISO 27001:2005 requiere una participación completa del nivel estratégico.La correcta implantación del modelo en una empresa debe seguir pasos metodológicos comprobados y consistentes, que den resultados comparables y reproducibles.El Ciclo metodológico para la implantación del modelo ISO 27001:2005 consta de 11 fases y de 26 actividades.El funcionamiento de la metodología tiene que ir acompañado de habilidades para la documentación de los documentos exigidos por el ISO 27001:2005.Todos los pasos de la metodología están orientados a preparar a una empresa en el menor tiempo posible, para obtener la certificación internacional del modelo.TRANSCRIPT
UNIVERSIDAD AUTÓNOMA DE SANTO DOMINGO Fundada el 28 de Octubre de 1538
Primada de América
FACULTAD DE CIENCIAS ESCUELA DE INFORMÁTICA
Centro Nagua
Maestría en Auditoria y Seguridad Informática Sistema de Gestión de Seguridad de la Información (SGSI), Normas, Controles, Implantación y
Proceso de Certificación. (INF-842)
PROFESOR
Lic. Eddy L. Brito P.
TEMA PARTICIPANTES
IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE
INFORMACIÓN BAJO LA ÓPTICA ISO 27001:2005
Licda. Alcelis E. Ozoria Gelabert
Lic. Alex Rafael Polanco Bobadilla
Licda. Dilannia Yinet Taveras Núñez
Licda. Eloy Peña Santana
Lic. Luís Keylin Hernández
Licda. María Eduvigis De Jesús Luna
Licda. María Elena Amaro Medina
Ing. Milciades Comas Sánchez
Licda. Sixta María Hernández Hinojosa
Licda. Virtudes Miguel Calcaño
02 de diciembre de 2012
Las organ izac iones gastan mi l lones de dó lares en f i rewal ls y d i spos i t ivos de segur idad , pero
t i ran e l d inero porque n inguna de es tas medidas cubre e l es labón más déb i l de la cadena de
segur idad: l a gente que usa y admin is t ra los ordenadores.
Kevin Mitnick
27000 Visión general y vocabulario
27007 Guías de Auditoría
27008 Revisión de los Controles
27002 Código de Buenas
Prácticas
27003 Guías de Implementación
27005 Gestión de riesgo
27004 Métricas
27011 Organizaciones de Telecomunicaciones
27799 Organizaciones de Salud
27001 Requisitos
27006 Requisitos para
Organismos Certificadores
Ref.: Normative
(Requirements standars)
Informative (Guidelines standars)
Term
inolo
gía
Requi
sito
s gene
rale
s G
uías
gene
rale
s G
uias
esp
eci
fica
s p
or
sect
or
ISO IEC IS 27031:2011 ISO IEC FCD 27033-X ISO IEC FCD 27034 ISO IEC IS 27035:2011
Fixed line:
supports
FAMILIA DE NORMAS ISO/IEC 27000
MODELO PDCA APLICADO A LOS PROCESOS DE SGSI
PARTES
INTERESADAS
REQUERIMIENTOS
Y EXPECTATIVAS
DE LA SEGURIDAD
DE INFORMACIÓN
PARTES
INTERESADAS
SEGURIDAD DE
INFORMACIÓN
MANEJADA
ESTABLECER
EL SGSI 4.2
IMPLEMENTAR
Y OPERAR EL
SGSI 4.2.2
MANTENER
Y MEJORAR EL
SGSI 4.2.4
MONITOREAR
Y REVISAR
EL SGSI 4.2.3
PLAN
DO
CHECK
ACT
Desarrollar,
mantener
y mejorar
el ciclo
CONTROLES: DOMINIOS
Políticas de Seguridad
Organización de la seguridad de la información
Gestión de activos Control de accesos
Cumplimiento
Seguridad física y ambiental
Seguridad de recursos humanos
Adquisición, desarrollo y mantenimiento de
información
Gestión de incidentes de seg. de la información
Gestión de continuidad del
negocio
Gestión de comunicaciones y
operaciones
Evaluación y
tratamiento
de riesgos Seguridad organizativa Seguridad lógica Seguridad física Seguridad legal
CICLO METODOLÓGICO PARA LA IMPLANTAR EL SGSI ISO 27001:2005
Entendimiento de los
requerimientos del modelo
(1)
Determinación del
Alcance del modelo
(2)
Análisis y evaluación
del riesgo
(3)
Elaboración Plan de Gestión
de Continuidad Comercial
(4)
Implementar y operar
el SGSI
(5)
Monitorear y revisar
el SGSI
(6)
Mantener y mejorar
el SGSI
(7)
Desarrollo de competencias
organizacionales
(8)
Redacción del Manual de
Seguridad de Información
(9)
Ejecución de
Auditorias Internas
(10)
Obtención de la
Certificación Internacional
(11)
FASE I – ENTENDIMIENTO DE LOS REQUERIMIENTOS DEL MODELO
¿QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN?
FASE II – DETERMINACIÓN DEL ALCANCE DEL MODELO DE LA
EMPRESA
TÉCNICA DE GRUPO NOMINAL ¿QUÉ PROCESO SELECCIONAR?
# PROCESO
EQUIPO ESTRATÉGICO TÁCTICO
TO
TAL
Alc
elis
Ale
x
Dila
nnia
Eloy
Luis
Ma
ría
Ma
ría e
.
Mic
liad
es
Six
ta
Vir
tud
es
1 Contabilidad 3 2 2 4 5 3 1 17
2 Aud. Int. 4 4 4 4 4 19
3 Sistemas 1 5 2 4 5 5 5 5 5 37
4 Asesoría leg. 1 1
5 Seguridad 3 4 4 3 14
6 Tesorería 3 3 9
7 Créditos 3 1 2 4 2 2 12
8 Logística 2 3 5
9 Adm. de Cred. 5 5 10
10 Age. Org. Des. 2 2 1 5
11 Defen. cli. 5 2 1 8
12 MAR / ANG 1 1 1 3
SBS
Bancos.
-Seg. de archivos
-Adm. antivirus
e incidentes
-Control acceso
-Perfil usuario
-Monitoreo y
afinamiento
-Copias de seguridad
-Actualización de
objetos y código
fuente
-Inst. aplicaciones
-Actualizaciones
-Mantenimiento
-Inv. aplicaciones
-Clasificación activos
Redes y tele-
comunicaciones
-Comunicación de
voz y datos
-Adm. y config. de
equipos
-Manejo de perfiles.
Tesorería
Seguridad
Seguridad Base de
datos
Soporte
técnico
METODOLOGÍA DE LAS ELIPSES APLICADO AL PROCESO SISTEMAS
FASE III – EFECTUAR UN ANÁLISIS Y EVALUACIÓN DEL
RIESGO
IDENTIFICACIÓN DE ACTIVOS
# ACTIVOS
1 Servidor de base de datos
2 Infraestructura de red
3 Licencias de software
4 Suministro de energía alternativa
5 Servidor de aplicaciones
6 Sistemas de telecomunicaciones
7 Manuales
8 Gerente de TI
9 IDS / IPS
10 Software de seguridad
11 Hardware
12 Sistema de backup
TASACIÓN DE ACTIVOS DE INFORMACIÓN
ACTIVO CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD TOTAL
Servidor de base de datos 5 5 5 5
Infraestructura de red 4 5 3 4
Servidor de aplicaciones 4 4 4 4
Gerente de TI 4 3 3 3
Hardware 3 5 4 4
ACTIVOS DE INFORMACIÓN Y PROPIETARIOS
ACTIVOS DE INFORMACIÓN PROPIETARIOS
SERVIDOR DE BASE DE DATOS SISTEMAS
INFRAESTRUCTURA DE RED SISTEMAS
SERVIDOR DE APLICACIONES SISTEMAS
GERENTE DE TI SISTEMAS
HARDWARE SISTEMAS
IDENTIFICACIÓN DE LAS AMENAZAS
Activos de
información Naturales
A
instalaciones Humanas Tecnológicas Operaciones Sociales
Servidor de
base de datos
• Inundaciones
• Terremotos
• Caída de
energía
• Perdida de
personal clave
• Fallas del
manejador de
BD
• Errores de admi-
nistración de BD
• DoS
• Acceso no
autorizado
• Sabotaje
Infraestructura
de red
• Factores
ambientales
• Incendio
• Caída de
energía
• Perdida de
personal clave
• Fallas en la red
• Ancho de
banda
insuficiente
• Perdida de
seguridad
• Fallas en equipo
• DoS
• Hacking
Servidor de
aplicaciones
• Incendio
• Caída de
energía
• Perdida de
personal clave
• Fallas de
software
• Mal administración
del sistema
• Aspectos
regulatorios
• Acceso no
autorizado
Gerente de TI • Huracanes
• Epidemias
• Enfermedades
• Desvinculación
del personal
• Errores de uso • Delincuencia
Hardware • Inundación
• Incendio
• Caída de
energía
• Mal uso de los
equipos
• Fallas de
hardware
• Falta de
mantenimiento
• No apagado del
equipo • Robo
PROBABILIDAD DE OCURRENCIA DE AMENAZAS
Activos de información Amenazas Probabilidad
de ocurrencia TOTAL
Servidor de base de datos
• Caída de energía
• Perdida de personal clave
• Errores de administración de BD
• Acceso no autorizado
• Inundaciones, Terremotos, Fallas del manejador de BD, DoS, Sabotaje
• 5
• 2
• 2
• 4
3
Infraestructura de red
• Caída de energía
• Fallas en la red
• DoS
• Hacking
• Factores ambientales, Incendio, Perdida de personal clave, Ancho de banda
insuficiente, Perdida de seguridad, Fallas en equipo
• 3
• 4
• 1
• 3
2
Servidor de aplicaciones
• Caída de energía
• Perdida de personal clave
• Fallas de software
• Acceso no autorizado
• Incendio, Mal administración del sistema, Aspectos regulatorios
• 3
• 2
• 2
• 1
2
Gerente de TI
• Epidemias
• Desvinculación del personal
• Errores de uso
• Delincuencia
• Huracanes, Enfermedades
• 3
• 4
• 2
• 5
4
Hardware
• Perdida de energía
• Fallas hardware
• Falta de mantenimiento
• Robo
• Inundación, incendio, mal uso de los equipos, no apagado de los equipos
• 3
• 2
• 2
• 4
3
POSIBLE EXPLOTACIÓN DE VULNERABILIDADES
Activos de
información Amenazas Vulnerabilidad
Posibilidad de
ser explotada
la amenaza
TOTAL
VULN.
Servidor de base de
datos
Perdida de personal
clave
• Enfermedad
• Empleados desmotivados
• Renuncia voluntaria
• Fallecimiento
• 1
• 1
• 1
• 1
1
Acceso no
autorizado
• Falta de políticas de acceso
• Segregación inapropiada de funciones
• Password sin modificar
• 1
• 2
• 1
1
Caída de energía
• Falta de mantenimiento a los equipos de energía alterna
• Suspensión del servicio eléctrico
• Apagado de los equipos de energía alterna
• Variaciones de voltajes
• 1
• 3
• 1
• 2
2
Errores de
administración de
base de datos
• Falta de entrenamiento en seguridad
• Carencia de control de copiado
• Falta de actualización
• 3
• 2
• 1
2
FASE IV – ELABORACIÓN DEL PLAN DE CONTINUIDAD DEL
NEGOCIO
El plan de continuidad del negocio y su metodología son exigidos por el modelo, mediante el control A.14
FASE V – IMPLEMENTAR Y OPERAR EL SGSI
Sixta M. Hernandez H.
Dilannia Y. taveras N.
ACTIVIDADES EN LAS QUE SE DIVIDE LA FASE IMPLEMENTAR Y OPERAR
Elaborar el plan de tratamiento del riesgo.
Determinar la efectividad de los controles y la métrica.
DEBERES DE LA ORGANIZACIÓN (ISO/IEC 27001)
Formular un plan de tratamiento de riesgos que identifiquen la acción, recursos, responsabilidades y prioridades de la gerencia para manejar los riesgos de seguridad de la información.
Implementar el plan de tratamiento de riesgo a fin de alcanzar los objetivos de control identificados, lo cual incluye considerar la financiación y la asignación de funciones y responsabilidades.
Definir el enfoque de evaluación de riesgos de la organización:
identificar una metodología de evaluación de riesgos que sea adecuada para el SGSI y para los requisitos de seguridad de la información del negocio, legales y de regulación identificados.
prepara criterios de aceptación del riesgo e identificar los niveles de riesgos aceptables.
Implementar programas de entrenamiento y concientización.
Administrar las operaciones del SGSI.
Administrar recursos para el SGSI.
Implementar procedimientos y otros controles capaces de permitir la rápida detección y respuesta a incidentes de seguridad.
FASE: DO
El diseño e implementación del SGSI de una organización esta influenciado por sus necesidades y objetivos, requisitos de seguridad, los procesos, empleados y estructura de la organización.
Se espera que la escala de implementación de un SGSI se establezca de acuerdo a la organización, es decir una situación sencilla requiere una solución de SGSI sencilla.
DETERMINAR LA EFECTIVIDAD DE LOS CONTROLES Y LA MÉTRICA
Definir como medir la eficacia de los controles o grupos de controles seleccionados y especificar como serán utilizadas estas mediciones para evaluar la efectividad del control para producir los resultados comparables y reproducibles. La medición de eficacia de los controles permite que los gerentes y el personal determinen cuanto bien los controles logran los objetivos de control planificados. La empresa debe definir sus indicadores para poder determinar con evidencias objetivas si los controles seleccionados logran su propósito y poder determinar si el desempeño del SGSI es el adecuado.
Políticas
Procedimientos
Instrucciones
Registros
Objetivos Generales
Desarrollo de los objetivos
Comandos Técnicos
Indicadores, Métricas
4 TIPOS DISTINTOS DE DOCUMENTACIÓN
Es en los registros es que se incluyen los indicadores y métricas
de seguridad que permiten evaluar la consecuencia de los objetivos
de seguridad establecidos.
FASE VI - MONITOREAR Y REVISAR EL SGSI
Lic. Luís Keylin Hernández
Actividades de esta fase:
Detección de incidentes y eventos de seguridad.
La norma ISO 27001:2005 en su Sección 3 “Términos y Definiciones”.
Un evento de seguridad: “ocurrencia identificada de una situación de sistema, servicio o red que indica una posible violación de la política de seguridad de la información o falla de salvaguardas, o una situación previamente desconocida que puede ser relevante para la seguridad”.
Un incidente de seguridad: “un evento o serie de eventos de seguridad de la información indeseables o inesperados que tienen una probabilidad importante de comprometer las operaciones de negocios y amenazar la seguridad de la información”.
Realización de las revisiones periódicas al SGSI. Esta actividad esta complementada con la clausula 7 de la Norma ISO 27001:2005 “Revisión del SGSI por la Dirección” Generalidades: la gerencia deberá revisar el SGSI al menos una vez al año.
(Apropiado, adecuado y efectivo).
Entradas de la revisión: La entrada para una revisión de gerencia deberá incluir:
a)los resultados de las auditorias y revisiones del SGSI;
b)la retroalimentación de las partes interesadas;
c)las técnicas, productos o procedimientos, que podrían usarse en
la organización para mejorar el desempeño y efectividad del SGSI;
d)situación de las medidas preventivas y correctivas;
e)las vulnerabilidades o amenazas que no se enfocaron adecuadamente
en la evaluación de riesgos previa;
f)los resultados de las mediciones de efectividad;
g)las medidas de seguimiento de revisiones de gerencia anteriores;
h)cualquier cambio que pudiera afectar al SGSI; y
i)recomendaciones de mejoras
Salidas de la revisión El resultado de la revisión de gerencia deberá incluir cualquier decisión y acción relativas a lo siguiente:
a) Mejoramiento de la efectividad del SGSI.
b) Actualización de la evaluación de riesgos y del plan de tratamiento de
riesgos.
c) Modificación de los procedimientos y controles de seguridad de la
información, según sea necesario, para responder a eventos internos o
externos que puedan impactar el SGSI, incluyendo cambios en:
1.los requerimientos del negocio;
2.los requisitos de seguridad;
3.procesos de negocios que afectan los requerimientos actuales del negocio;
4.requisitos de regulación o legales;
5.obligaciones contractuales; y
6.criterios de niveles de riesgo y/o de aceptación de riesgos.
d) Necesidades de recursos.
e) Mejoramiento de la medición de efectividad de los controles.
FASE VII – MANTENER Y MEJORAR EL SGSI
Lic. Virtudes Miguel
Calcaño
• Implantar Mejoras
• Acciones Correctivas
• Acciones Preventivas
¿CÓMO MEJORAR?
Mediante el uso de políticas de seguridad de la información;
Objetivos de seguridad de información;
Resultados de auditorias;
Análisis de eventos monitoreados;
Acciones correctivas y preventivas;
Revisiones de gerencias.
RELACIÓN CON LA CLAUSULA 8.2 Y 8.3 DE LA NORMA
Implementar las acciones correctivas y preventivas.
Se deben tener procedimientos documentados;
Haber generado en la cultura de la organización el hábito de que ante un no cumplimiento de requerimiento, se genera acciones correctivas;
La empresa debe haber desarrollado el hábito de estar periódicamente revisado estadísticamente, observar tendencia y con base en esa información, elaborar acciones preventivas.
8.2 ACCIÓN CORRECTIVA
La organización debe tomar acciones para eliminar la causa de las no conformidades con los requerimientos del SGSI, para prevenir su recurrencias.
El procedimiento documentado para las acciones correctivas debe definir los requisitos para:
a) Identificar las no conformidad;
b) Determinar las causa de las no conformidades;
c) Evaluar la necesidad de acciones, para asegurarse de que las no conformidades no vuelven a ocurrir;
d) Determinar e implementar las acciones correctivas necesarias;
e) Registrar los recursos de la acciones tomadas;
f) Revisar las acciones correctivas tomadas.
8.3 ACCIÓN PREVENTIVA
La organización debe determinar acciones para eliminar las causas de las no conformidades potenciales con los requisitos del SGSI, para prevenir su ocurrencia.
Las acciones correctivas deben ser apropiadas a los impactos de los problemas potenciales, el procedimiento documentado para las acciones preventivas debe definir los requisitos para:
a) Identificar las no conformidades y sus causas;
b) Evaluar las necesidades de actuar para prevenir la ocurrencia de no conformidad;
c) Determinar e implementar la acciones preventivas necesarias;
d) Registrar los resultados de las acciones tomadas;
e) Revisar las acciones preventivas tomadas.
FASE VIII – DESARROLLO DE COMPETENCIAS
ORGANIZACIONALES
Ing. Milciades Comas S.
Lic. Alcelis E. Ozoria
Gelabert
DESARROLLO DE COMPETENCIAS ORGANIZACIONALES
La implementación del modelo ISO 27001:2005 exige que la empresa tenga ciertas competencias organizacionales, desarrolladas en el personal de la empresa.
En esencias, se requieren tres competencias básicas, las cuales conforman las tres actividades de esta fase.
1- ENTRENAMIENTO EN DOCUMENTACIÓN DE UN SGSI
Es de vital importancia que el personal afectado por la implantación del modelo tenga las destrezas para poder documental procedimientos, políticas, instrucciones de trabajo, y saber identificar registros del Sistema de Seguridad de Información.
2- ENTRENAMIENTO EN MANEJO DE LA ACCIÓN CORRECTIVA Y PREVENTIVA
Ante la ocurrencia de una no conformidad (el no cumplimiento con los requerimientos) se debe iniciar la acción correctiva. La Cláusula 8.2 es muy clara al respecto.
Por otro lado, el modelo exige a la empresa que ¨recolecte datos de todas la ocurrencias de incidentes de seguridad significativos del SGSI¨. Cláusula 4.3.3.
El objetivo de este requerimiento es que, con base en evidencias objetivas de ocurrencias, se vean las tendencias y las empresas desarrolle acciones preventivas para evitar que la no conformidad se presente.
3- ENTRENAMIENTO EN MANEJO DE LA AUDITORÍA
La auditoría, tal como lo exige la cláusula 6 de la norma, requiere que la empresa se audite a sí misma para demostrar que su sistema se mantiene y que busca nuevas oportunidades de mejora. Usualmente las empresas deciden formar a personal interno como auditores internos, para cumplir con el requerimiento de la cláusula 5.2.2, "capacitación, conocimiento y capacidad", el personal que ejecutará la función de auditor interno debe cumplir con el requerimiento de tener las competencias. La práctica internacional exige que las personas hayan sido capacitadas por medio de un curso no menor de 16 horas.
5.2.2 ENTRENAMIENTO, CONCIENTIZACIÓN Y COMPETENCIA
La organización deberá asegurar que todo el personal al que se le ha asignado responsabilidades definidas en el SGSI sea competente para desempeñar las tareas requeridas, mediante lo siguiente:
Determinando las competencias necesarias para el personal que ejecuta trabajo relativo al SGSI;
Proporcionando entrenamiento o tomando otras medidas (por ejemplo, empleando personal competente) para satisfacer estas necesidades;
Evaluando la efectividad de las medidas tomadas; y
5.2.2 ENTRENAMIENTO, CONCIENTIZACIÓN Y COMPETENCIA
d) Manteniendo registros de la educación, entrenamiento, especialidades, experiencia y calificaciones. La organización también deberá asegurar que todo el personal pertinente está consciente de la relevancia e importancia de sus actividades de seguridad de la información, y cómo contribuyen ellos al logro de los objetivos de SGSI.
FASE IX – REDACCIÓN DEL MANUAL DE SEGURIDAD DE
INFORMACIÓN
Eloy Peña Santana
y
María Elena Amaro
PIRAMIDE DOCUMENTAL
LA REDACCIÓN DEL MANUAL DE SEGURIDAD
Organiza la Documentación,
Facilita la Auditoria,
Agrupa la Documentación, considerada como vital.
4.3 REQUISITOS DE DOCUMENTACION
Incluir los registros de las decisiones de gerencia;
Asegurar que las acciones sean derivadas de las decisiones y políticas de gerencia;
Que los resultados sean reproducibles.
LA DOCUMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DEBE INCLUIR
a) Las declaraciones documentadas de la política y objetivos del SGSI (ver 4.2.1b);
b) Los alcances del SGSI (ver 4.2.1a));
c) Los procedimientos y controles que apoyan el SGSI;
d) La descripción de la metodología de evaluación de los riesgos (ver 4.2.1c);
e) El informe de evaluación de riesgos (ver 4.2.1c a 4.2.1g);
f) El plan de tratamiento de riesgos (ver 4.2.2b);
g) Procedimientos documentados que la organización necesita para asegurar el planeamiento, operación y control efectivos de sus procesos de seguridad de la información y describir cómo medir la efectividad de los controles (ver 4.2.3c);
h) Los registros requeridos por esta Norma Internacional (ver 4.3.3);
i) La Declaración de Aplicabilidad.
A) POLÍTICAS Y OBJETIVOS DEL SGSI
Documento de contenido genérico que establece el compromiso de la dirección y el enfoque de la organización en la gestión de la seguridad de la información.
Para los fines de esta Norma Internacional, la política del SGSI es considerada como un superconjunto de la política de seguridad de la información. Estas políticas pueden describirse en un solo documento.
4.2,1b) Definir una política de SGSI en función de las características del negocio, la organización, su ubicación, activos y tecnología.
B) ALCANCE DEL SGSI
Ámbito de la organización que queda sometido al SGSI. Se debe incluir una identificación clara de las dependencias, relaciones y limites que existen entre el alcance y aquellas partes que no hayan sido consideradas, prestando especial atención en aquellos casos en los que el ámbito de influencia del SGSI considere una parte menor de la organización como delegaciones, divisiones, áreas, procesos o tareas concretas
4.2.1a) Definir el alcance y límites del SGSI en función de las características del negocio, la organización, su ubicación, activos, tecnología, e incluyendo detalles y justificación de cualquier exclusión del alcance (ver 1.2).
C) PROCEDIMIENTOS Y MECANISMOS DE CONTROL QUE SOPORTAN AL SGSI:
Son aquellos procedimientos que regulan el propio funcionamiento del SGSI.
D) DESCRIPCIÓN DE LA METODOLOGÍA DE EVALUACIÓN DE LOS RIESGOS.
4.2.1 c: Definir el enfoque de evaluación de riesgos de la organización.
1.- Identificar la metodología de evaluación de
riesgos que sea adecuada.
2.- Preparar criterios de aceptación de
riesgos e identificar los niveles de riesgos
aceptables.
E) INFORME DE EVALUACIÓN DE RIESGOS
4.2.1. g : Seleccionar objetivos de control y controles para el tratamiento de los riegos.
1.-Los objetivos de control y controles deberán seleccionarse y e implementarse para cumplir con los requisitos identificados en el proceso de evaluación de riesgos.
2.- La selección de estos objetivos deberá tomar en cuenta los criterios de aceptación de riesgos (ver 4.2.1 c) así como los requisitos legales, de regulación y contractuales.
F) PLAN DE TRATAMIENTO DE RIESGOS
4.2.2. b: Implementar el plan de tratamiento de riesgos a fin de alcanzar los objetivos de control identificados, lo cual incluye considerar la financiación y la asignación de funciones y responsabilidades.
4.2.3. c: Medir la efectividad de los controles para verificar que los requisitos de seguridad se han cumplido.
G) PROCEDIMIENTOS DOCUMENTADOS QUE LA ORGANIZACIÓN NECESITA PARA ASEGURAR EL PLANEAMIENTO, OPERACIÓN Y CONTROL EFECTIVOS DE SUS PROCESOS DE SEGURIDAD DE LA INFORMACIÓN Y DESCRIBIR CÓMO MEDIR LA EFECTIVIDAD DE LOS CONTROLES.
H) LOS REQUISITOS REQUERIDOS POR ESTA NORMA INTERNACIONAL
4.3.3 Control de Registros: se deberá establecer y mantener registros para proveer evidencias.
Los registros deberán permanecer legibles, fácilmente identificables.
Se deberán documentar e implementar controles para la identificación, almacenamiento, protección, recuperación, tiempo de retención y eliminación de registros.
I) DECLARACIÓN DE APLICABILIDAD
FASE X – EJECUCIÓN DE AUDITORÍAS INTERNAS
Licda. María E.
De Jesús Luna
CLAUSULA 6: AUDITORIAS INTERNAS DEL SGSI
Literalmente, Plantea: “Las organización debe realizar auditoria internas del SGSI a intervalos planeados para determinar si los objetivos, controles, procesos y procedimientos de sus SGSI”
a) Cumplen con los requerimientos del estándar y la legislación o regulaciones relevantes;
b) Cumplen con los requisitos de seguridad de la información identificados;
c) Son implementados y mantenidos de manera efectivo;
d) Se desempeñan como se esperaba.
AUDITORIAS INTERNAS DEL SGSI
Las auditorias deben realizarse cumpliendo con todas las exigencias de la clausula 6 de la norma.
Deben utilizarse los lineamientos de la ISO 190011:2002
El auditor debe ser independiente al área auditada y mantener registros de Auditoria y sus resultados.
La auditoria es un elemento fundamental para asegurar el mantenimiento del sistema e impulsar la mejora continua.
La gerencia es responsable del área siendo auditada, debe accionar para que se eliminen las no-conformidades detectadas y sus causas.
PROCEDIMIENTO GENERAL DE AUDITORIA AL SGSI
Definir un Plan Anual de Auditoria
Planificación de Auditoria
Ejecución de Auditoria
Informe de Auditoria
Reunión con DGC
FASE XI – OBTENCIÓN DE LA CERTIFICACIÓN INTERNACIONAL
Lic. Alex Rafael Polanco
Bobadilla
EL CERTIFICADO
Obtener un documento a través de un tercero de confianza que verifica la correcta implantación de la norma. Con ello se certifica la gestión del sistema pero no las medidas implantadas o la
seguridad de la empresa. Lo que certifica es que la empresa gestiona adecuadamente la seguridad.
Las empresas certifican sus sistemas: Para mejorar su imagen;
Porque sus clientes lo demandan;
Porque creen que es bueno para su gestión interna.
Para poder certificarse un SGSI tiene que: Estar basado en la norma ISO/IEC 27001;
Estar implantado y funcionando;
Existir evidencias que lo demuestren;
Contar con recursos económicos y personal de la empresa para atender a las demandas de la entidad de certificación.
BÚSQUEDA DE LA EMPRESA CERTIFICADORA
La empresa certificadora debe: Contar con auditores certificados;
Posee la adecuada acreditación.
Gestión de solicitud de certificación Especificando datos relevantes sobre la organización y la implantación del
SGSI
Alcance;
Número de empleados;
Calculo del precio y el número de días de duración de la auditoria;
Número de auditores que la llevarán a cabo, etc.
REALIZACIÓN DE LA AUDITORÍA POR PARTE DE LA CERTIFICADORA
I. Auditoria Documental La política de seguridad;
El alcance de la certificación;
El análisis de riesgos;
La selección de los controles de acuerdo con la declaración de aplicabilidad;
La revisión de la documentación de los controles seleccionados por la entidad de certificación.
II. Auditoria de Cumplimiento
EL INFORME
1. Todo correcto;
2. Observaciones sobre el sistema que no tienen excesiva relevancia pero que deben ser tenidas en cuenta en la siguiente fase de la auditoria, bien para ser revisadas in-situ o bien para ser mejoradas en el siguiente ciclo de mejora;
3. No conformidades menores. Estas son incidencias encontradas en la implantación subsanables mediante la presentación de un Plan de Acciones Correctivas en el que se identifican la incidencia y la manera de solucionarla;
4. No conformidades mayores que deben ser subsanadas por la empresa sin su resolución y en la mayor parte de los casos, la realización de una auditoria extraordinaria por parte de la entidad de certificación, no se obtendría el certificado ya que se trata de incumplimientos graves de la norma. En caso de darse tras la auditoria documental es necesario su resolución antes de llevar a cabo la auditoria in-situ.
OBTENCIÓN DE LA CERTIFICACIÓN
Una vez conseguido el certificado del sistema, éste tiene una validez de tres años, aunque está sujeto a revisiones anuales.
Durante el primer año se realiza la auditoria inicial. Posteriormente cada tres años se realiza una auditoria de renovación.
En los dos años posteriores tanto a la auditoria inicial como a las de renovación se realizaran auditorias de seguimiento. Una vez conseguido el certificado del sistema, éste tiene una validez de tres años, aunque está sujeto a revisiones anuales.
CONCLUSIONES
La implantación del modelo ISO 27001:2005 requiere una participación completa del nivel estratégico.
Su papel tiene que ser protagónico en la implantación del modelo.
La implantación del ISO 27001:2005 tiene que contemplarse como un proyecto, el cual tiene: Tiempos asignados a actividades;
Consume recursos;
Tiene un gerente que lo controla;
Tiene un padrino que lo apoya (alta gerencia).
La correcta implantación del modelo en una empresa debe seguir pasos metodológicos comprobados y consistentes, que den resultados comparables y reproducibles.
El Ciclo metodológico para la implantación del modelo ISO 27001:2005 consta de 11 fases y de 26 actividades.
El funcionamiento de la metodología tiene que ir acompañado de habilidades para la documentación de los documentos exigidos por el ISO 27001:2005.
Todos los pasos de la metodología están orientados a preparar a una empresa en el menor tiempo posible, para obtener la certificación internacional del modelo.
La duración en implantar el ISO 27001:2005 depende de: • El alcance del modelo;
• Los recursos disponibles;
• La participación de la gerencia;
• La prioridad que se le da al proyecto de implantación.
Usualmente es un estimado adecuado calcular unos doce meses.
Licda. Alcelis E. Ozoria Gelabert
Lic. Alex Rafael Polanco Bobadilla
Licda. Dilannia Yinet Taveras Núñez
Licda. Eloy Peña Santana
Lic. Luís Keylin Hernández
Licda. María Eduvigis De Jesús Luna
Licda. María Elena Amaro Medina
Ing. Milciades Comas Sánchez
Licda. Sixta María Hernández Hinojosa
Licda. Virtudes Miguel Calcaño