Sistemas de Gestin de la Seguridad de la Informacin

UNE-ISO/IEC 27001Ivn Guardia Hernndez

Tecnologas de la Informacin y la Comunicacin

Sistemas de GestinEstablece e Implanta unos procesos que permiten a una organizacin realizar un producto/servicio conforme a unas especificaciones dadas.

Mide y Evala los resultados obtenidos frente a los objetivos marcados.

Incorpora un proceso de revisin para asegurar que los problemas que puedan surgir se detectan y se corrigen, y que permite identificar oportunidades de mejora.

UNE-EN ISO 9001. Sistemas de Gestin de la Calidad.

UNE-EN ISO 14001. Sistemas de Gestin Ambiental.

Plan Do Check - Act

SGSISistemas de Gestin de la Seguridad de la InformacinUn SGSI es un sistema de gestin que comprende la poltica, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestin de la seguridad de la informacin

Por seguridad de la informacin, se entiende principalmente por la preservacin de las caractersticas de confidencialidad, integridad y disponibilidad de la misma. Adicionalmente, pueden considerarse otras propiedades, como autenticacin, no repudio o auditabilidad.

Implantar un SGSI no prueba que una organizacin sea 100% segura. Aunque la seguridad completa no exista, s que se puede certificar su correcta gestin.

SGSICompromiso: demostrar la eficacia de los esfuerzos desarrollados para asegurar la organizacin en todos sus niveles y probar la diligencia razonable de sus administradores.

Conformidad con requisitos legales: el registro permite demostrar que la organizacin observa todas las leyes y normativas aplicables al alcance. Gestin de los riesgos: obtencin de un mejor conocimiento de los sistemas de informacin, sus debilidades y los medios de proteccin. Garantiza tambin una mejor disponibilidad de los materiales y datos.

Credibilidad y confianza: los socios, los accionistas y los clientes se tranquilizan al constatar la importancia que la organizacin concede a la proteccin de la informacin. Una certificacin tambin puede brindar una diferenciacin sobre la competencia y en el mercado.

Reduccin de los costes vinculados a los incidentes y posibilidad de disminucin de las primas de seguro.

Mejora la sensibilizacin del personal hacia la seguridad y a sus responsabilidades en la organizacin.

Anlisis de Riesgos

27001

Tecnologa de la informacin. Tcnicas de seguridad. Sistemas de Gestin de la Seguridad de la Informacin (SGSI). Requisitos.

La certificacin UNE-ISO/IEC 27001 avala la adecuada implantacin, gestin y operacin de todo lo relacionado con la implantacin de un SGSI, siendo la norma ms completa que existe en lo relativo a la implantacin de controles, que permiten establecer un marco adecuado de gestin de la seguridad de la informacin para las organizaciones.

Sustituye a la BS 7799-2 y a la UNE 71502.

Los requisitos de la Norma UNE-ISO/IEC 27001 son complementarios a los de cualquier otro sistema de gestin implantado, tal como gestin de la calidad ISO 9001 o gestin medioambiental ISO 14001.

DominiosPoltica de seguridad.

Aspectos organizativos para la seguridad.

Clasificacin y control de activos.

Seguridad ligada al personal.

Seguridad fsica y del entorno.

Gestin de comunicaciones y operaciones.

Control de accesos.

Desarrollo y mantenimiento de sistemas.

Gestin de incidentes de seguridad de la informacin.

Gestin de continuidad de negocio.

Conformidad.

ISO27000.es

Implantacin SGSI

Fases implantacin1. Compromiso de la Direccin: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Direccin de la organizacin.

2. Planificacin, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.

3. Definir alcance del SGSI: segn el modelo organizativo, definir los lmites del marco de direccin de seguridad de la informacin.

4. Definir poltica de seguridad: que incluya el marco general y los objetivos de seguridad de la informacin de la organizacin.

Fases implantacin

5. Inventario de activos: todos aquellos afectados por la seguridad de la informacin.

6. Identificar amenazas y vulnerabilidades: todas las que afectan a los activos del inventario.

7. Anlisis de riesgos: evaluar el dao resultante de un fallo de seguridad y la probabilidad de ocurrencia del fallo.

8. Seleccin de controles.

9. Definir plan de tratamiento de riesgos: que identifique las acciones, sus responsables y las prioridades en la gestin de los riesgos.

10. Implantar plan de tratamiento de riesgos: con la meta de alcanzar los objetivos de control identificados.

Fases implantacin

11. Implementar los controles: todos los que se determinaron en la fase anterior.

12. Formacin y concienciacin: de todo el personal en lo relativo a la seguridad de la informacin.

13. Desarrollo del marco normativo necesario: normas, manuales, procedimientos e instrucciones.

14. Gestionar todos los recursos asignados al SGSI.

15. Revisar el SGSI: Identificar mejoras al proceso del SGSI, identificar nuevas vulnerabilidades, revisar cambios organizativos y modificar procedimientos.

16 .Realizar auditoras internas del SGSI: para determinar la efectividad del SGSI y detectar posibles no conformidades.

Proyectos y Salvaguardas

Factores Crticos de xito

La concienciacin del empleado por la seguridad. Principal objetivo a conseguir.

Realizacin de comits de direccin con descubrimiento continuo de Noconformidades o acciones de mejora.

Creacin de un sistema de gestin de incidencias que recoja notificacionescontinuas por parte de los usuarios (los incidentes de seguridad deben serreportados y analizados).

La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles.

La seguridad no es un producto, es un proceso.

La seguridad no es un proyecto, es una actividad continua y el programa deproteccin requiere el soporte de la organizacin para tener xito.

La seguridad debe ser inherente a los procesos del negocio.

Ivn Guardia Hernndez Auditor CISA CISSP AENORQu est fallando?