© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Fundamentos de la Norma ISO

27001 para la Gestión de la

Seguridad de la Información

Módulo 4 – Consideraciones de la Norma

ISO 27001

Expositor: Víctor Reyna Vargas

Ingeniero de Sistemas

vreynav@gmail.com

1

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Agenda

Mike conoce el Análisis de Brechas.

Análisis de Brechas.

Mike conoce el FGSI.

Foro de Gestión de la Seguridad de la Información.

2

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Nuevamente Mike, SECUREMAN y la ISO27001…

3

Gracias por introducirme

al ISO 27001. De nada Mike.

Entonces, compro el

estándar y lo empiezo a

utilizar?

No Mike, no es tan

sencillo.

Cómo empiezo con la

ISO 27001? Ok, déjame hacerte

pensar.

Bueno, a mi Gerente

General y otros gerentes.

Definitivamente.

Correcto. Cómo piensas

convencerlos?

Si vas a implementar la

ISO 27001, necesitas

dinero, tiempo y gente,

verdad?

A quién recurrirías para

obtener esos recursos?

Estás en lo cierto. Debo

generar un buen caso de

negocio y presentarlo

como un requerimiento

del negocio.

Ahora lo estás

entendiendo. Vamos al

parque y sigamos

conversando.

No es tan simple como

hablar con ellos y pedirles

que te firmen un cheque,

verdad?

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

En el parque…(1)

Ok, continuemos…

Seguro. Cómo genero

esos datos?

Mi automóvil.

Por supuesto.

Así es. Y tienes un seguro para tu

automóvil?

Bueno, incluso si manejo

responsablemente,

alguien más podría ser

descuidado y podría

chocar mi automóvil. Bingo Mike! Ahora, no

estás de acuerdo que la

Seguridad de la

Información también tiene

justificación similar al del

seguro?

Seguro. Debes darle a tu

Gerente General y los

gerentes DATOS y

suficientes MOTIVOS DE

NEGOCIOS para

implementar la ISO27001.

Usemos un ejemplo.

Cuéntame de algo que

poseas y que es muy

valioso y preciado para ti.

Ok. Y eres un conductor

responsable?

Ok. Entonces a pesar que

eres un conductor

responsable, por qué haz

gastado dinero en un

seguro?

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

En el parque…(2)

Claro. Si tengo

información valiosa, haré

lo mejor para protegerla,

incluso si las

probabilidades de una

pérdida de información

son mínimas.

Así es. Ahora eres capaz

de relacionar la Seguridad

de la Información con la

vida real.

Porque alguien más

podría ser descuidado o,

incluso peor, tratar de

robarla. Ahora tiene

sentido.

Sí, ahora lo entiendo.

Debo hacer práctica y

simple a la Seguridad de

la Información para mi

Gerente General y los

gerentes. Definitivamente.

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

En el parque…(3)

6

Entonces Mike, esto

es lo que vas a hacer.

Vas a hacer un Análisis de

Brechas y vas a presentar

los hallazgos a tu Gerente

General y los gerentes. Qué es un Análisis de

Brechas?

3. Te da razones valiosas para empujar la

implementación de un SGSI.

2. Te muestra la brecha entre las prácticas

actuales de Seguridad de la Información de

tu organización y las “mejores prácticas de

Seguridad de la Información” seguidas por

otras organizaciones.

1. Te da una imagen real de que tan bueno

o malo es tu nivel actual de Seguridad de la

Información.

Un Análisis de Brechas es un ejercicio

sencillo que genera la siguiente salida.

Ok, entiendo. Un Análisis

de Brechas me mostrará

QUE más necesito hacer. Así es. Un Análisis de Brechas es un gran

primer paso porque muestra las debilidades

que tienes y cuan lejos estás detrás de los

estándares actuales de la industria.

4. Te ayuda a estimar un costo aproximado

de la implementación del SGSI.

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

En el parque…(4)

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Agenda

Mike conoce el Análisis de Brechas.

Análisis de Brechas.

Mike conoce el FGSI.

Foro de Gestión de la Seguridad de la Información.

8

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Definición del Análisis de Brechas

9

Un Análisis de Brechas es la

identificación de la diferencia

entre el nivel actual de

Seguridad de la Información de

tu organización y la Seguridad

de la Información que tu

organización desea tener (o el

nivel de Seguridad de la

Información normalmente

practicada por la industria).

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Ejemplo – Brecha de Seguridad de la Información

10

• La mejor práctica de la

industria para las

contraseñas son: mínimo de

8 caracteres con una

mezcla de caracteres

alfanuméricos y símbolos.

• Tu organización sólo sigue

un mínimo de 6 caracteres

sin poner énfasis en los

caracteres alfanuméricos.

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Importancia de un Análisis de Brechas

1. La primera “Verificación de la Realidad” de la Gestión de la

Seguridad de la Información de tu organización.

2. Muestra en donde te ubicas en comparación con organizaciones

“más seguras”.

3. Promueve un SGSI conforme con la ISO 27001.

4. Proporciona motivos fuertes para justificar un SGSI.

5. Los hallazgos del Análisis de Brechas puede proporcionar un costo y

esfuerzo aproximado para implementar la ISO 27001.

11

El Análisis de Brechas es un punto de inicio importante para

obtener autorización y aprobación para el SGSI.

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Enfoques del Análisis de Brechas

1. Enfoque 1: Hacer un análisis de brechas que cubra a toda la

organización.

2. Enfoque 2: Hacer un análisis de brechas que cubra solo a una

función del negocio.

3. Ambas dependen del tiempo y recursos que se posean.

12

Nota: Se puede combinar ambos enfoques.

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Pasos del Enfoque 1 – Toda la organización

1. Utilizar los controles de la ISO 27001 como la comparación.

2. Hacer una encuesta de la organización.

3. Hacer la encuesta utilizando la herramienta de hoja de cálculo que

se proporciona en este módulo.

13

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Pasos del Enfoque 2 – Una función del negocio

1. Utilizar los controles de la ISO 27001 como la comparación.

2. En lugar de encuestar a toda la organización, escoger una función

del negocio.

3. Utilizar la misma hoja de cálculo antes mencionada.

14

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

El Análisis de Brechas y los Riesgos

15

Se pueden utilizar los informes del Análisis de Brechas

cuando se define el Plan de Tratamiento de Riesgos.

Plan de Tratamiento de

Riesgos

Informe del Análisis

de Brechas Informe del Análisis

de Riesgos

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Agenda

Mike conoce el Análisis de Brechas.

Análisis de Brechas.

Mike conoce el FGSI.

Foro de Gestión de la Seguridad de la Información.

16

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Seguimos con Mike y el SECUREMAN…(1)

17

Gracias. Ahora que he terminado

con el Análisis de Brechas, qué

hago a continuación?

Debes crear un Foro de Gestión

de la Seguridad de la

Información.

Quieres decir, algo como un

comité directivo de seguridad? Muy parecido.

Quiénes de todos piensas que

deberían ser parte de este

comité? No existen reglas directas y

rápidas pero existen algunas

guías que puedes seguir. Me las puedes decir?

Además, tú, el CISO, serás parte

del FGSI.

El FGSI tendrá un representante

clave de cada función del

negocio como RRHH, Finanzas,

Ventas, etc.

Ok. Quién más? También habrá un representante

del equipo de “Auditoria” y

reportará independientemente al

Presidente.

El foro también tendrá un

Presidente, quien usualmente es

el Gerente General de la

empresa.

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Seguimos con Mike y el SECUREMAN…(2)

Y por qué?

Bueno, “auditar” debe ser una

función independiente para

asegurar que los informes de

auditoria sean justos y sin

prejuicios.

Déjame decirlo de esta forma.

Tus tareas así como las tareas

de los otros representantes del

FGSI es implementar la

Seguridad de la Información.

Así es.

Bueno, la tarea del equipo de

auditoria es verificar que tan bien

haz implementado la Seguridad

de la Información.

Entiendo. El implementador no

debe se el auditor.

Así es. Es la mejor práctica de la

industria.

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Agenda

Mike conoce el Análisis de Brechas.

Análisis de Brechas.

Mike conoce el FGSI.

Foro de Gestión de la Seguridad de la Información.

19

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Definición del Foro de Gestión de la Seguridad de la

Información

20

Un Foro de Gestión de la

Seguridad de la Información es

un equipo de gestión de alto

nivel que supervisa la

implementación, el

mantenimiento y la mejora del

SGSI.

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Estructura del FGSI

21

Presidente del FGSI

Representante de la Función del

Negocio 1

Representante de la Función del

Negocio 2

Representante de la Función del

Negocio n

Oficial Jefe de Seguridad de

Información (CISO)

Representante del equipo de Auditoria

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Estructura del FGSI - Explicación

1. El Presidente del FGSI es usualmente un ejecutivo de la Alta

Gerencia como el Gerente General.

2. El Oficial en Jefe de la Seguridad de la Información (CISO) es

usualmente alguien quien entiende bien los riesgos de seguridad de

la información o incluso podría ser un persona con experiencia

similar en gestión de riesgos. El CISO es elegido por el FGSI.

3. Cada función del negocio tendrá un representante.

4. El equipo de auditoria será independiente e informará directamente

al Presidente del FGSI.

22

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Independencia del equipo de Auditoria

Para asegurar que el

“implementador” no sea el

“auditor”.

Para asegurar la ausencia de

prejuicios.

Para garantizar la veracidad y la

honestidad en los informes de

estado del SGSI.

Para dar confianza a las partes

interesadas.

23

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Reuniones del FGSI

El FGSI debe reunirse en intervalos pre-definidos.

Idealmente una vez cada 3 meses o una vez cada 6 meses.

Actividades:

Revisar el estado actual del SGSI, los riesgos de seguridad de la información, etc.

Aprobar las nuevas políticas, iniciativas, actividades del SGSI.

Revisar los informes de auditoria.

Recomendar acciones correctivas para las violaciones de seguridad de la

información.

Considerar las nuevas amenazas en seguridad de la información.

Otras más…

24

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Presidente - Responsabilidades

Presidir las reuniones y

revisiones del FGSI.

Autoridad final de las decisiones

de aprobación o no aprobación.

Tomar decisiones balanceadas

acerca de la Seguridad de la

Información.

Traer un sentido de “Negocio” a

la Seguridad de la Información.

25

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

CISO - Responsabilidades

Asumir la responsabilidad de la

implementación del SGSI en la

organización.

Iniciar las nuevas actividades

del SGSI.

Recolectar retroalimentación de

diferentes representantes de los

departamentos así como

también de los clientes y

cuerpos regulatorios.

Informar al Presidente acerca

del estado del SGSI.

26

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

El CISO puede agregar valor

Informar al FGSI acerca de lo

que el resto de la industria está

haciendo en el dominio de la

Seguridad de la Información.

Cuáles son los nuevos retos de

la Seguridad de la Información.

Cuál podría ser el futuro de los

retos de la Seguridad de la

Información.

Compartir experiencias y

aprendizaje.

Presentar nuevas estrategias

del SGSI.

Otras más…

27

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Representante de Función del Negocio - Responsabilidades

Asumir la propiedad de la

implementación del SGSI en sus

respectivas funciones del

negocio.

Proporcionar retroalimentación

al CISO.

Proporcionar información acerca

de nuevos requerimientos del

negocio que podrían necesitar

soporte de Seguridad de la

Información.

28

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Representante del Equipo de Auditoria - Responsabilidades

Enviar los informes de auditoria

al Presidente del FGSI.

Proporcionar una vista

balanceada de la calidad de la

implementación del SGSI.

Mantener la independencia en

todo momento.

29

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Taller 03: Foro de Gestión de la

Seguridad de la Información

30

© 2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproducción total o parcial o su uso comercial sin permiso del autor.

Fin de la Presentación

31