© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Fundamentos de la Norma ISO
27001 para la Gestión de la
Seguridad de la Información
Módulo 4 – Consideraciones de la Norma
ISO 27001
Expositor: Víctor Reyna Vargas
Ingeniero de Sistemas
1
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Agenda
Mike conoce el Análisis de Brechas.
Análisis de Brechas.
Mike conoce el FGSI.
Foro de Gestión de la Seguridad de la Información.
2
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Nuevamente Mike, SECUREMAN y la ISO27001…
3
Gracias por introducirme
al ISO 27001. De nada Mike.
Entonces, compro el
estándar y lo empiezo a
utilizar?
No Mike, no es tan
sencillo.
Cómo empiezo con la
ISO 27001? Ok, déjame hacerte
pensar.
Bueno, a mi Gerente
General y otros gerentes.
Definitivamente.
Correcto. Cómo piensas
convencerlos?
Si vas a implementar la
ISO 27001, necesitas
dinero, tiempo y gente,
verdad?
A quién recurrirías para
obtener esos recursos?
Estás en lo cierto. Debo
generar un buen caso de
negocio y presentarlo
como un requerimiento
del negocio.
Ahora lo estás
entendiendo. Vamos al
parque y sigamos
conversando.
No es tan simple como
hablar con ellos y pedirles
que te firmen un cheque,
verdad?
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
En el parque…(1)
Ok, continuemos…
Seguro. Cómo genero
esos datos?
Mi automóvil.
Por supuesto.
Así es. Y tienes un seguro para tu
automóvil?
Bueno, incluso si manejo
responsablemente,
alguien más podría ser
descuidado y podría
chocar mi automóvil. Bingo Mike! Ahora, no
estás de acuerdo que la
Seguridad de la
Información también tiene
justificación similar al del
seguro?
Seguro. Debes darle a tu
Gerente General y los
gerentes DATOS y
suficientes MOTIVOS DE
NEGOCIOS para
implementar la ISO27001.
Usemos un ejemplo.
Cuéntame de algo que
poseas y que es muy
valioso y preciado para ti.
Ok. Y eres un conductor
responsable?
Ok. Entonces a pesar que
eres un conductor
responsable, por qué haz
gastado dinero en un
seguro?
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
En el parque…(2)
Claro. Si tengo
información valiosa, haré
lo mejor para protegerla,
incluso si las
probabilidades de una
pérdida de información
son mínimas.
Así es. Ahora eres capaz
de relacionar la Seguridad
de la Información con la
vida real.
Porque alguien más
podría ser descuidado o,
incluso peor, tratar de
robarla. Ahora tiene
sentido.
Sí, ahora lo entiendo.
Debo hacer práctica y
simple a la Seguridad de
la Información para mi
Gerente General y los
gerentes. Definitivamente.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
En el parque…(3)
6
Entonces Mike, esto
es lo que vas a hacer.
Vas a hacer un Análisis de
Brechas y vas a presentar
los hallazgos a tu Gerente
General y los gerentes. Qué es un Análisis de
Brechas?
3. Te da razones valiosas para empujar la
implementación de un SGSI.
2. Te muestra la brecha entre las prácticas
actuales de Seguridad de la Información de
tu organización y las “mejores prácticas de
Seguridad de la Información” seguidas por
otras organizaciones.
1. Te da una imagen real de que tan bueno
o malo es tu nivel actual de Seguridad de la
Información.
Un Análisis de Brechas es un ejercicio
sencillo que genera la siguiente salida.
Ok, entiendo. Un Análisis
de Brechas me mostrará
QUE más necesito hacer. Así es. Un Análisis de Brechas es un gran
primer paso porque muestra las debilidades
que tienes y cuan lejos estás detrás de los
estándares actuales de la industria.
4. Te ayuda a estimar un costo aproximado
de la implementación del SGSI.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
En el parque…(4)
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Agenda
Mike conoce el Análisis de Brechas.
Análisis de Brechas.
Mike conoce el FGSI.
Foro de Gestión de la Seguridad de la Información.
8
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Definición del Análisis de Brechas
9
Un Análisis de Brechas es la
identificación de la diferencia
entre el nivel actual de
Seguridad de la Información de
tu organización y la Seguridad
de la Información que tu
organización desea tener (o el
nivel de Seguridad de la
Información normalmente
practicada por la industria).
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Ejemplo – Brecha de Seguridad de la Información
10
• La mejor práctica de la
industria para las
contraseñas son: mínimo de
8 caracteres con una
mezcla de caracteres
alfanuméricos y símbolos.
• Tu organización sólo sigue
un mínimo de 6 caracteres
sin poner énfasis en los
caracteres alfanuméricos.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Importancia de un Análisis de Brechas
1. La primera “Verificación de la Realidad” de la Gestión de la
Seguridad de la Información de tu organización.
2. Muestra en donde te ubicas en comparación con organizaciones
“más seguras”.
3. Promueve un SGSI conforme con la ISO 27001.
4. Proporciona motivos fuertes para justificar un SGSI.
5. Los hallazgos del Análisis de Brechas puede proporcionar un costo y
esfuerzo aproximado para implementar la ISO 27001.
11
El Análisis de Brechas es un punto de inicio importante para
obtener autorización y aprobación para el SGSI.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Enfoques del Análisis de Brechas
1. Enfoque 1: Hacer un análisis de brechas que cubra a toda la
organización.
2. Enfoque 2: Hacer un análisis de brechas que cubra solo a una
función del negocio.
3. Ambas dependen del tiempo y recursos que se posean.
12
Nota: Se puede combinar ambos enfoques.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Pasos del Enfoque 1 – Toda la organización
1. Utilizar los controles de la ISO 27001 como la comparación.
2. Hacer una encuesta de la organización.
3. Hacer la encuesta utilizando la herramienta de hoja de cálculo que
se proporciona en este módulo.
13
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Pasos del Enfoque 2 – Una función del negocio
1. Utilizar los controles de la ISO 27001 como la comparación.
2. En lugar de encuestar a toda la organización, escoger una función
del negocio.
3. Utilizar la misma hoja de cálculo antes mencionada.
14
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
El Análisis de Brechas y los Riesgos
15
Se pueden utilizar los informes del Análisis de Brechas
cuando se define el Plan de Tratamiento de Riesgos.
Plan de Tratamiento de
Riesgos
Informe del Análisis
de Brechas Informe del Análisis
de Riesgos
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Agenda
Mike conoce el Análisis de Brechas.
Análisis de Brechas.
Mike conoce el FGSI.
Foro de Gestión de la Seguridad de la Información.
16
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Seguimos con Mike y el SECUREMAN…(1)
17
Gracias. Ahora que he terminado
con el Análisis de Brechas, qué
hago a continuación?
Debes crear un Foro de Gestión
de la Seguridad de la
Información.
Quieres decir, algo como un
comité directivo de seguridad? Muy parecido.
Quiénes de todos piensas que
deberían ser parte de este
comité? No existen reglas directas y
rápidas pero existen algunas
guías que puedes seguir. Me las puedes decir?
Además, tú, el CISO, serás parte
del FGSI.
El FGSI tendrá un representante
clave de cada función del
negocio como RRHH, Finanzas,
Ventas, etc.
Ok. Quién más? También habrá un representante
del equipo de “Auditoria” y
reportará independientemente al
Presidente.
El foro también tendrá un
Presidente, quien usualmente es
el Gerente General de la
empresa.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Seguimos con Mike y el SECUREMAN…(2)
Y por qué?
Bueno, “auditar” debe ser una
función independiente para
asegurar que los informes de
auditoria sean justos y sin
prejuicios.
Déjame decirlo de esta forma.
Tus tareas así como las tareas
de los otros representantes del
FGSI es implementar la
Seguridad de la Información.
Así es.
Bueno, la tarea del equipo de
auditoria es verificar que tan bien
haz implementado la Seguridad
de la Información.
Entiendo. El implementador no
debe se el auditor.
Así es. Es la mejor práctica de la
industria.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Agenda
Mike conoce el Análisis de Brechas.
Análisis de Brechas.
Mike conoce el FGSI.
Foro de Gestión de la Seguridad de la Información.
19
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Definición del Foro de Gestión de la Seguridad de la
Información
20
Un Foro de Gestión de la
Seguridad de la Información es
un equipo de gestión de alto
nivel que supervisa la
implementación, el
mantenimiento y la mejora del
SGSI.
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Estructura del FGSI
21
Presidente del FGSI
Representante de la Función del
Negocio 1
Representante de la Función del
Negocio 2
Representante de la Función del
Negocio n
Oficial Jefe de Seguridad de
Información (CISO)
Representante del equipo de Auditoria
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Estructura del FGSI - Explicación
1. El Presidente del FGSI es usualmente un ejecutivo de la Alta
Gerencia como el Gerente General.
2. El Oficial en Jefe de la Seguridad de la Información (CISO) es
usualmente alguien quien entiende bien los riesgos de seguridad de
la información o incluso podría ser un persona con experiencia
similar en gestión de riesgos. El CISO es elegido por el FGSI.
3. Cada función del negocio tendrá un representante.
4. El equipo de auditoria será independiente e informará directamente
al Presidente del FGSI.
22
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Independencia del equipo de Auditoria
Para asegurar que el
“implementador” no sea el
“auditor”.
Para asegurar la ausencia de
prejuicios.
Para garantizar la veracidad y la
honestidad en los informes de
estado del SGSI.
Para dar confianza a las partes
interesadas.
23
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Reuniones del FGSI
El FGSI debe reunirse en intervalos pre-definidos.
Idealmente una vez cada 3 meses o una vez cada 6 meses.
Actividades:
Revisar el estado actual del SGSI, los riesgos de seguridad de la información, etc.
Aprobar las nuevas políticas, iniciativas, actividades del SGSI.
Revisar los informes de auditoria.
Recomendar acciones correctivas para las violaciones de seguridad de la
información.
Considerar las nuevas amenazas en seguridad de la información.
Otras más…
24
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Presidente - Responsabilidades
Presidir las reuniones y
revisiones del FGSI.
Autoridad final de las decisiones
de aprobación o no aprobación.
Tomar decisiones balanceadas
acerca de la Seguridad de la
Información.
Traer un sentido de “Negocio” a
la Seguridad de la Información.
25
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
CISO - Responsabilidades
Asumir la responsabilidad de la
implementación del SGSI en la
organización.
Iniciar las nuevas actividades
del SGSI.
Recolectar retroalimentación de
diferentes representantes de los
departamentos así como
también de los clientes y
cuerpos regulatorios.
Informar al Presidente acerca
del estado del SGSI.
26
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
El CISO puede agregar valor
Informar al FGSI acerca de lo
que el resto de la industria está
haciendo en el dominio de la
Seguridad de la Información.
Cuáles son los nuevos retos de
la Seguridad de la Información.
Cuál podría ser el futuro de los
retos de la Seguridad de la
Información.
Compartir experiencias y
aprendizaje.
Presentar nuevas estrategias
del SGSI.
Otras más…
27
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Representante de Función del Negocio - Responsabilidades
Asumir la propiedad de la
implementación del SGSI en sus
respectivas funciones del
negocio.
Proporcionar retroalimentación
al CISO.
Proporcionar información acerca
de nuevos requerimientos del
negocio que podrían necesitar
soporte de Seguridad de la
Información.
28
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Representante del Equipo de Auditoria - Responsabilidades
Enviar los informes de auditoria
al Presidente del FGSI.
Proporcionar una vista
balanceada de la calidad de la
implementación del SGSI.
Mantener la independencia en
todo momento.
29
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Taller 03: Foro de Gestión de la
Seguridad de la Información
30
© 2012 VRV (Contacto: [email protected])
Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.
Fin de la Presentación
31
Top Related