Basado en la ISO 27001:2013. Seguridad de la Información

Transcripción

1 Basado en la ISO 27001:2013

2 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua

3 Gobierno de

4 Gobierno de Seguridad de la Información El Gobierno de está compuesto por un conjunto de responsabilidades y practicas llevadas a cabo mediante la junta ejecutiva con el objetivo de proporcionar la dirección estratégica, asegurando que los objetivos se logran, cerciorándose de que los riesgos se gestionan de manera adecuada y asegurando que los recursos de la empresa son usados responsablemente Fuente: IT Governance Institute

5 Gobierno de Seguridad de la Información El Gobierno de es un subconjunto de Gobierno de la Empresa que proporciona la dirección estratégica, asegura que los objetivos se logran, gestiona los riesgos adecuadamente, asigna responsabilidades a los recursos de la organización, y supervisa el éxito o el fracaso del programa de seguridad de la empresa. Fuente - Information Security Governance

6 ISO La ISO indica seis principios de gobiernos de la seguridad de información los cuales son: 1. Establecer responsabilidad con respecto a la seguridad de la información en toda la organización 2. Adoptar una aproximación basada en el riesgo. 3. Establecer la dirección de las decisiones de inversión en seguridad de la información 4. Asegurar conformidad con los requerimientos internos y externos. 5. Fomentar un entorno positivo respecto de la seguridad. 6. Revisar el rendimiento en relación a los resultados de negocio.

7 ISO Establecer responsabilidad con respecto a la seguridad de la información en toda la organización. La seguridad de la información se gestiona a un nivel de la organización que permita la toma de decisiones? Las actividades asociadas a la seguridad lógica y física se realizan de forma coordinada?. La responsabilidad y rendición de cuentas con respecto a la seguridad se establece a través del ciclo completo de las actividades de la organización incluidos terceros?.

8 ISO Adoptar una aproximación basada en el riesgo. Las decisiones se toman en función del riesgo?. El nivel aceptable de seguridad se basa en el apetito al riesgo de la organización?, se incluye en él la posible pérdida de ventaja competitiva, riesgos de cumplimiento y responsabilidad, interrupciones operativas, pérdida financiera y daño a la reputación?. Se asignan los recursos apropiados para implementar la gestión de riesgos en la organización?.

9 ISO Establecer la dirección de las decisiones de inversión en seguridad de la información. La estrategia de inversiones en seguridad de la información se establece en función de los resultados de negocio alcanzados?. Las inversiones en seguridad se integran con los procesos generales existentes para las inversiones y gastos de la organización?.

10 ISO Asegurar conformidad con los requerimientos internos y externos. Se garantiza que las políticas y prácticas son conformes con la regulación y legislación existente, con los compromisos y contratos de la organización y con otros requerimientos internos o externos?. Se realizan auditorías de seguridad independientes?.

11 ISO Fomentar un entorno positivo respecto de la seguridad. A la hora de implementar la gobernanza de la seguridad, se tiene en cuenta el comportamiento humano, incluyendo la evolución de las necesidades de las partes interesadas? Se exige, promueve y apoya la coordinación de las actividades de las partes interesadas para alcanzar una dirección coherente de la seguridad (educación, formación y programas de concienciación)?.

12 ISO Revisar el rendimiento en relación a los resultados de negocio. La aproximación tomada para proteger la información es adecuada al propósito de apoyar la organización proporcionando niveles acordados de seguridad de la información?. Se mantiene la seguridad en los niveles requeridos para alcanzar los requerimientos actuales y futuros del negocio?. Se evalúa la seguridad en relación a su impacto en el negocio y no sólo en base a la eficacia y eficiencia de los controles?.

13 ISO 27014

14 Organización del Proyecto

15 Requisitos y expectativas de las partes interesadas respecto a l SGSI Requisitos y expectativas de las partes interesadas gestionadas con el SGSI Fases de la Metodología ENTRADA Contexto de la Organización Liderazgo Mejora Planificación Evaluación Operación SALIDA

16 Fases de la Metodología 7 FASES Contexto organización Liderazgo Proyecto del SGSI Planificación Soporte Implantación del SGSI Operación Evaluación Mejora

17 Fases de la Metodología Contexto organización Liderazgo Planificación Soporte Operación Evaluación Mejora

18 Fases de la Metodología Contexto organización Liderazgo Planificación Soporte Operación Evaluación Mejora

19 Fases de la Metodología Contexto organización Liderazgo Planificación Soporte Operación Evaluación Mejora

20 Fases de la Metodología Contexto organización Liderazgo Planificación Soporte Operación Evaluación Mejora

21 Fases de la Metodología Contexto organización Liderazgo Planificación Soporte Operación Evaluación Mejora

22 Fases de la Metodología Contexto organización Liderazgo Planificación Soporte Operación Evaluación Mejora

23 Fases de la Metodología Contexto organización Liderazgo Planificación Soporte Operación Evaluación Mejora

24 Alineando el negocio con la

25 Comprensión de la Misión, Objetivos, Valores y Estrategias Misión Valores Estrategias Objetivos Alineamiento Estratégico Los objetivos De La Seguridad de la Información Políticas Corporativas Políticas de Seguridad de la Información

26 Análisis del Ambiente Externo Fortalezas Oportunidades Debilidades Amenazas Existen varias metodologías para entender cómo funciona una organización Lo importante es identificar las características de los factores ambientales internos y externos que influyen en la gestión de la continuidad del negocio: misión, actividades principales, organización interna, partes interesadas, ttc.

27 Análisis del Entorno Interno Estratégico ( Quién establece las orientaciones estratégicas?) Gobierno ( Quién coordina y gestiona las operaciones?) Operacional ( Quién participa en las actividades de producción y apoyo?) Comprender la estructura y los principales actores de la organización relacionados con el ámbito de aplicación en los planos:

28 Identificación de los Principales Procesos y Actividades Activos de Información Claves Oferta de Productos y servicios Procesos de Negocios Cuáles son los Activos de información Claves de la Organización? Cuáles son los bienes y Servicios producidos por la organización? Cuáles so los Procesos claves que Permiten a la Organización cumplir Con su misión?

29 Análisis del Ambiente Externo Plan del proyecto Diagrama de GANNT Documento Alcance del SGSI Acta de Constitución del proyecto

30 Documentos Plan del proyecto Diagrama de GANNT Documento Alcance del SGSI Acta de Constitución del proyecto

31 Gestión de Riesgos

32 Qué cambia en la gestión de riesgos? No tenemos que usar la norma ISO para la gestión de riesgos. La norma ISO sólo se menciona en la norma ISO 27001: 2013, pero no es obligatorio. No se tiene que eliminar los activos, amenazas y vulnerabilidades de nuestra evaluación de riesgos. Se puede mantener la metodología antigua porque la norma ISO 27001: 2013 te deja libertad para determinar los riesgos de la forma que desee.

33 Qué cambia en la gestión de riesgos? No se debe dejar de lado el identificar a los propietarios de activos. Aunque la norma ISO 27001: 2013 no requiere que usted identifique los propietarios de activos como parte de la evaluación del riesgo, el control A Control lo requiere. En la Política de seguridad de la información de nivel superior no se necesita establecer criterios con los que los riesgos serán evaluados - este era el requisito de la norma ISO 27001: b 4)); en la norma ISO 27001: 2013, usted todavía tiene que definir los criterios de evaluación de riesgo, pero no como parte de la política de nivel superior.

34 Qué cambia en la gestión de riesgos? Se puede identificar los riesgos en función de sus procesos, en función de sus departamentos, utilizando sólo las amenazas y vulnerabilidades no, o cualquier otra metodología Es necesario identificar los propietarios del riesgo. ISO 27001: 2005 requiere que la administración apruebe riesgos residuales, así como la implementación y operación del SGSI. Por el contrario, en la norma ISO 27001: 2013 los propietarios de los riesgos deben aceptar los riesgos residuales y aprobar el plan de tratamiento de riesgos.

35 Qué cambia en la gestión de riesgos? Las opciones de tratamiento en la revisión 2013 no sólo se limitan a la aplicación de los controles, la aceptación de riesgos, evitando los riesgos, y la transferencia de riesgos como lo fueron en la revisión de básicamente, usted es libre de considerar cualquier opción de tratamiento que crea apropiado.

36 Qué cambia en la gestión de riesgos?

37 Indicadores de gestión

38 Indicadores del SGSI ISO 27004

39 Indicadores del SGSI ISO Entrenamiento del SGSI Personal entrenado en el SGSI Entrenamiento en Concientización en el Cumplimiento de la Seguridad de la Información Políticas de contraseñas Calidad de las contraseñas manual Calidad de las contraseñas automática Proceso de revisión del SGSI Mejora continua de la gestión de incidentes de la seguridad de la información del SGSI

40 Indicadores del SGSI ISO Efectividad Implementación de acciones correctivas Compromiso de la alta dirección Protección contra código malicioso Controles físicos de entrada Revisión de los archivos de registro de actividades Gestión de la periodicidad del mantenimiento Seguridad en acuerdos con terceras partes

41 Documento Documento Indicadores del SGSI

42 Mejora Continua

43 Revisión de Documentos

44 Revisión de Controles

45 Preguntas antes de contratar a un consultor 1. Cuál es su experiencia en su industria en particular? 2. Cuántos clientes tenía? Qué tipo de clientes que ha servido? Puede proporcionar una lista de referencias? 3. Cuál es su reputación - lo que hacen los otros consultores dicen de él; qué dicen sus clientes acerca de él? 4. Cuál es su experiencia (negocio), además de la norma ISO y / o ISO 22301? 5. Cuál es su experiencia en otras normas ISO? 6. Habla su idioma a la perfección? 7. Tiene algún conflicto de interés?

46 Preguntas antes de contratar a un consultor 1. Cuántos proyectos de implantación ISO / ISO ha terminó con éxito en los últimos dos años? 2. Cuántos de sus clientes solicitaron la certificación, y cuántas eran con éxito la norma ISO / ISO certificada (en su primer intento)? 3. Cuál fue la parte más compleja del proyecto ISO / ISO que ha tenido? Puede describir brevemente? 4. Cuál es su trayectoria educativa en la norma ISO / ISO 22301; es decir, lo que los certificados tiene? 5. él entregas ISO o ISO entrenamientos? En caso afirmativo, cuántos entrenamientos tenía que prevé, para cuántas personas? 6. Alguna vez ha publicado ninguno de los artículos de expertos? Cuántas y dónde? 7. Trabajó como auditor de certificación? 8. Puede que le muestre ejemplos de la documentación de evaluación del riesgo que él creó para algunos de sus clientes?

47 Preguntas antes de contratar a un consultor 1. Cuál es el precio total de sus servicios (asegúrese de que incluye todo: análisis, entrevistas, desarrollo de documentación, capacitación, costos de transporte, etc.)? 2. Cuáles son los servicios adicionales que usted tendrá que comprar a otros proveedores? 3. Cuál es el costo de su tiempo de los empleados que participan en el proyecto?

48 Preguntas

49