Sistema  de  Gestión  de  Seguridad  de  la  Información  

Esquema  de  Implantación    

Cristina  García  Pérez  

ISO/IEC  27000   Vocabulario  estándar  para  el  SGSI  

ISO/IEC  27001    Requisitos.  Es  certificable  

ISO/IEC  27002   Código  de  buenas  prácticas  para  la  gestión  seguridad  de  la  información.  

ISO/IEC  27003   Directrices  para  la  implementación  de  un  SGSI.  

ISO/IEC  27004   Métricas  para  la  gestión  de  la  seguridad  de  la  información.  

ISO/IEC  27005   Gestión  de  Riesgos  de  la  seguridad  de  la  información.  

ISO/IEC  27006   Requisitos  para  la  acreditación  de  las  organizaciones  que  proporcionan  la  certificación  de  los  SGSI.  

ISO/IEC  27007   Guía  para  auditar  al  SGSI.  

ISO/IEC  27799:2008   Guía  para  implementar  ISO/IEC  27002  en  la  industria  de  la  salud.  

ISO/IEC  27035:2011   Seguridad  de  la  información-­‐Técnicas  de  Seguridad-­‐  Gestión  de    Incidentes  de  Seguridad  

Familia  de  Normas  ISO  27000  

Definición  del  Alcance  

• Identificar  los  procesos  de  negocio  claves.  • Identificar  los  tipos  de  información  y  su  flujo.  

• Identificar  el  soporte  de  TI.  • Identificar  el  entorno  físico  (edificios,  salas,etc).  

• Identificar  las  personas  relevantes.  

Análisis  Diferencial    

• Detecta  áreas  de  carencia  evidentes.  • Permite  conocer  el  nivel  de  madurez  de  los  controles  de  la  organización.  

• Permite  identificar  acciones  de  mejora  sin  esperar  al  Análisis  de  Riesgos.  

Fase  Inicial    

Informe  de  Alcance  

Informe  de  Nivel  de  Madurez  de  los  Controles  

Plan  de  implantación  y  Recomendaciones  

*  El  Modelo  de  Capacidad  y  Madurez  o  CMM  (Capability  Maturity  Model),  es  un  modelo  de  evaluación  de  procesos  de  una  organización.  

*  Para  dotar  de  más  riqueza  al  análisis  diferencial,  una  buena  práctica  es  evaluar  diferentes  aspectos  para  cada  control  

Fase  Inicial.  Análisis  del  Diferencial  

Puntuación   Madurez  

0   Inexistente  

1   Inicial/Ad  Hoc  

2   Repetible  pero  intuitivo  

3   Proceso  definido  

4   Gestionado  y  evaluable  

5   Optimizado  

Objetivo  

El  nivel  3  es  el  nivel  de  implantación  requerido  para  certificarse,  pero  para  algunos  controles  de  más  alto  riesgo  es  el  nivel  4  

nivel  3  es  el  nivel  de  implantación  requerido  para  certificarse,  pero  para  alguno  

Aspecto  de  control   Descripción  

Reconocimiento   Reconocimiento  y  comunicación  del  asunto  de  seguridad  en  la  organización  

Documentación   La  política,  normas  y  procedimientos  documentados  relacionados  con  el  control  de  Seguridad  

Implantación   Procesos  asociados  y  formación  para  poner  en  práctica  las  directrices  

Evaluación   Evaluar  la  eficacia  de  la  política  y  los  procesos  asociados  y  hacer  mejoras  basadas  en  ello  

Informe  Estado  Resumido  

Plan  de  Implantación  y  Recomendaciones    

Recomendación   Sección  27001  

Aprobar  documento  de  Política  de  Seguridad  de  la  Información   A-­‐5.1.1  A-­‐6.1.1  

Colocar  toda  la  documentación  de  Política,  Procedimientos  y  Estándares  bajo  un  sistema  de  gestión  de  cambios  

4.3.2  A-­‐5.1.2  

Formalizar  la  “Seguridad”  como  un  elemento  de  agenda  para  las  reuniones  de  Revisión  de  Negocio.  

A-­‐6.1.1  

Asegurarse  que  el  puesto  de  Director  de  Seguridad  de  la  Información  está  bien  definido   A-­‐6.1.3  

Fase  Inicial.  Resultado  

El  plan  de  implantación  dependerá  de  :    •  Los  Activos  de  información  incluidos  en  el  

Alcance  del  SGSI.  

•  La  metodología  o  herramienta  seleccionada  para  Análisis  y  Gestión  de  Riesgos.  

•  El  nivel  de  detalle  elegido.  

Análisis  y  Gestión  de  Riesgos  

• Según  Metodología  MAGERIT  

• Herramienta  PILAR  • Informe  de  Riesgos  • Plan  de  Tratamiento  

Implantación  de  Controles  

• Elaboración  del  SOA  • Documentar  SGSI  

Auditoría  Interna  

• Establecer  el  Plan  de  Auditoría  

• Realizar  la  Auditoría.  

Fase  II.  Implantación  Informe  de  Riesgos  

PTR  

SOA  (Declaración  de  Aplicabilidad)  

Documentación  del  SGSI  

Plan  de  Auditoría  

Informe  de  Auditoría  

Políticas  Normas  

Procedimientos/Guías  

Tareas/Operacionales  Evidencias/Registros  

Plan  de  Acciones  Correctivas  de  las  NCs  encontradas  en  Auditoría  Interna  

Fase  II.  Implantación.  Enfoques  Activos   Amenazas   Vulnerabilidades  

Riesgo  

Contramedida  

Implantación  

Auditoría  

ANAL

ISIS  

TRAT

AMIENTO

 

La  selección  de  controles  debe    hacerse  en  base  a  tres  fuentes  de  requisitos  de  seguridad  •  Normas  internas  •  Análisis  y  tratamiento  de  riesgos  •  Obligaciones  legales  

Ahorro  de  tiempo  en  la  implantación    

Auditoría  de  Certificación  

• Realización  de  la  Auditoría  de  Certificación  de  ISO/IEC  27001  por  el  organismo  de  Certificación  elegido  

• (Aenor,  Applus,  SGS,  BSI…etc)  

Plan  de  acciones  Correctivas    

• Elaboración  del  Plan  de  Acciones  Correctivas  

Fase  III.  Certificación    

Informe  de  Auditoría    

CERTIFICACIÓN  

Informe  de  Auditoría  

PAC  

Fin    

Muchas  gracias