Consideraciones de La ISO27001

Fundamentos de la Norma ISO
27001 para la Gestin de la

Seguridad de la Informacin
Mdulo 4 Consideraciones de la Norma
ISO 27001
Expositor: Vctor Reyna Vargas

Ingeniero de Sistemas
vreynav@gmail.com
2012 VRV (Contacto: vreynav@gmail.com)
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Agenda
Mike conoce el Anlisis de Brechas.

Anlisis de Brechas.
Mike conoce el FGSI.
Foro de Gestin de la Seguridad de la Informacin.

Nuevamente Mike, SECUREMAN y la ISO27001

Gracias por introducirme
al ISO 27001.
De nada Mike.
Entonces, compro el
estndar y lo empiezo a
utilizar?
No Mike, no es tan
sencillo.
Cmo empiezo con la

ISO 27001?
Definitivamente.
Bueno, a mi Gerente
General y otros gerentes.
Ests en lo cierto. Debo

generar un buen caso de
negocio y presentarlo
como un requerimiento
del negocio.
Ok, djame hacerte

pensar.
Si vas a implementar la
ISO 27001, necesitas
dinero, tiempo y gente,
verdad?
A quin recurriras para
obtener esos recursos?
Correcto. Cmo piensas
convencerlos?
No es tan simple como
hablar con ellos y pedirles
que te firmen un cheque,
verdad?
Ahora lo ests
entendiendo. Vamos al
parque y sigamos
3
conversando.
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso
del autor.
En el parque(1)
Ok, continuemos
Seguro. Cmo genero

esos datos?
Seguro. Debes darle a tu

Gerente General y los
gerentes DATOS y
suficientes MOTIVOS DE
NEGOCIOS para
implementar la ISO27001.
Mi automvil.
Usemos un ejemplo.
Cuntame de algo que
poseas y que es muy
valioso y preciado para ti.
Por supuesto.
Ok. Y eres un conductor

responsable?
As es.
Y tienes un seguro para tu

automvil?
Bueno, incluso si manejo

responsablemente,
alguien ms podra ser
descuidado y podra
chocar mi automvil.
Ok. Entonces a pesar que

eres un conductor
responsable, por qu haz
gastado dinero en un
seguro?
Bingo Mike! Ahora, no

ests de acuerdo que la
Seguridad de la
Informacin tambin tiene
justificacin similar al del
Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso
del autor.
seguro?
En el parque(2)
Claro. Si tengo
informacin valiosa, har
lo mejor para protegerla,
incluso si las
probabilidades de una
prdida de informacin
son mnimas.
Porque alguien ms
podra ser descuidado o,
incluso peor, tratar de
robarla. Ahora tiene
sentido.
S, ahora lo entiendo.
Debo hacer prctica y
simple a la Seguridad de
la Informacin para mi
Gerente General y los
gerentes.
As es. Ahora eres capaz

de relacionar la Seguridad
de la Informacin con la
vida real.
Definitivamente.

En el parque(3)
Entonces Mike, esto
es lo que vas a hacer.
Vas a hacer un Anlisis de
Brechas y vas a presentar
los hallazgos a tu Gerente
General y los gerentes.
Qu es un Anlisis de
Brechas?
Un Anlisis de Brechas es un ejercicio

sencillo que genera la siguiente salida.
1. Te da una imagen real de que tan bueno
o malo es tu nivel actual de Seguridad de la
Informacin.
2. Te muestra la brecha entre las prcticas
actuales de Seguridad de la Informacin de
tu organizacin y las mejores prcticas de
Seguridad de la Informacin seguidas por
otras organizaciones.
3. Te da razones valiosas para empujar la
implementacin de un SGSI.
4. Te ayuda a estimar un costo aproximado
de la implementacin del SGSI.
Ok, entiendo. Un Anlisis

de Brechas me mostrar
QUE ms necesito hacer.
As es. Un Anlisis de Brechas es un gran

primer paso porque muestra las debilidades
2012
que tienes y cuan lejos ests detrs de
losVRV (Contacto: vreynav@gmail.com)
estndares actuales de la industria.
En el parque(4)

Agenda

Anlisis de Brechas.

Definicin del Anlisis de Brechas
Un Anlisis de Brechas es la
identificacin de la diferencia
entre el nivel actual de
Seguridad de la Informacin de
tu organizacin y la Seguridad
de la Informacin que tu
organizacin desea tener (o el
nivel de Seguridad de la
Informacin normalmente
practicada por la industria).

Ejemplo Brecha de Seguridad de la Informacin
La mejor prctica de la
industria para las
contraseas son: mnimo de
8 caracteres con una
mezcla de caracteres
alfanumricos y smbolos.
Tu organizacin slo sigue

un mnimo de 6 caracteres
sin poner nfasis en los
caracteres alfanumricos.

10
Importancia de un Anlisis de Brechas

1.
2.
3.
4.
5.
La primera Verificacin de la Realidad de la Gestin de la

Seguridad de la Informacin de tu organizacin.
Muestra en donde te ubicas en comparacin con organizaciones
ms seguras.
Promueve un SGSI conforme con la ISO 27001.
Proporciona motivos fuertes para justificar un SGSI.
Los hallazgos del Anlisis de Brechas puede proporcionar un costo y
esfuerzo aproximado para implementar la ISO 27001.
El Anlisis de Brechas es un punto de inicio importante para

obtener autorizacin y aprobacin para el SGSI.

11
Enfoques del Anlisis de Brechas

1.
2.
3.
Enfoque 1: Hacer un anlisis de brechas que cubra a toda la

organizacin.
Enfoque 2: Hacer un anlisis de brechas que cubra solo a una
funcin del negocio.
Ambas dependen del tiempo y recursos que se posean.
Nota: Se puede combinar ambos enfoques.

12
Pasos del Enfoque 1 Toda la organizacin

1.
2.
3.
Utilizar los controles de la ISO 27001 como la comparacin.

Hacer una encuesta de la organizacin.
Hacer la encuesta utilizando la herramienta de hoja de clculo que
se proporciona en este mdulo.

13
Pasos del Enfoque 2 Una funcin del negocio

1.
2.
3.
Utilizar los controles de la ISO 27001 como la comparacin.

En lugar de encuestar a toda la organizacin, escoger una funcin
del negocio.
Utilizar la misma hoja de clculo antes mencionada.

14
El Anlisis de Brechas y los Riesgos

Se pueden utilizar los informes del Anlisis de Brechas
cuando se define el Plan de Tratamiento de Riesgos.
Informe del Anlisis

de Brechas
Informe del Anlisis

de Riesgos
Plan de Tratamiento de
Riesgos

15
Agenda

Anlisis de Brechas.

16
Seguimos con Mike y el SECUREMAN(1)

Gracias. Ahora que he terminado
con el Anlisis de Brechas, qu
hago a continuacin?
Debes crear un Foro de Gestin

de la Seguridad de la
Informacin.
Quieres decir, algo como un

comit directivo de seguridad?
Muy parecido.
Quines de todos piensas que
deberan ser parte de este
comit?
Me las puedes decir?
No existen reglas directas y

rpidas pero existen algunas
guas que puedes seguir.
El FGSI tendr un representante
clave de cada funcin del
negocio como RRHH, Finanzas,
Ventas, etc.
Adems, t, el CISO, sers parte
del FGSI.
El foro tambin tendr un
Presidente, quien usualmente es
el Gerente General de la
empresa.
Ok. Quin ms?

Tambin habr un representante
del equipo de Auditoria y
reportar independientemente
al
17
Presidente.
Seguimos con Mike y el SECUREMAN(2)

Y por qu?
Bueno, auditar debe ser una
funcin independiente para
asegurar que los informes de
auditoria sean justos y sin
prejuicios.
Djame decirlo de esta forma.

Tus tareas as como las tareas
de los otros representantes del
FGSI es implementar la
Seguridad de la Informacin.
As es.
Bueno, la tarea del equipo de
auditoria es verificar que tan bien
haz implementado la Seguridad
de la Informacin.
Entiendo. El implementador no
debe se el auditor.
As es. Es la mejor prctica de la
industria.

Agenda

Anlisis de Brechas.

19
Definicin del Foro de Gestin de la Seguridad de la

Informacin
Un Foro de Gestin de la
Seguridad de la Informacin es
un equipo de gestin de alto
nivel que supervisa la
implementacin, el
mantenimiento y la mejora del
SGSI.

20
Estructura del FGSI
Presidente del
FGSI
Oficial Jefe de
Seguridad de
Informacin (CISO)
Representante de
la Funcin del
Negocio 1
Representante de
la Funcin del
Negocio 2
Representante del
equipo de Auditoria
Representante de
la Funcin del
Negocio n

21
Estructura del FGSI - Explicacin

1.
2.
3.
4.
El Presidente del FGSI es usualmente un ejecutivo de la Alta

Gerencia como el Gerente General.
El Oficial en Jefe de la Seguridad de la Informacin (CISO) es
usualmente alguien quien entiende bien los riesgos de seguridad de
la informacin o incluso podra ser un persona con experiencia
similar en gestin de riesgos. El CISO es elegido por el FGSI.
Cada funcin del negocio tendr un representante.
El equipo de auditoria ser independiente e informar directamente
al Presidente del FGSI.

22
Independencia del equipo de Auditoria
Para asegurar que el

implementador no sea el
auditor.
Para asegurar la ausencia de
prejuicios.
Para garantizar la veracidad y la
honestidad en los informes de
estado del SGSI.
Para dar confianza a las partes
interesadas.

23
Reuniones del FGSI
El FGSI debe reunirse en intervalos pre-definidos.

Idealmente una vez cada 3 meses o una vez cada 6 meses.
Actividades:
Revisar el estado actual del SGSI, los riesgos de seguridad de la informacin, etc.
Aprobar las nuevas polticas, iniciativas, actividades del SGSI.
Revisar los informes de auditoria.
Recomendar acciones correctivas para las violaciones de seguridad de la
informacin.
Considerar las nuevas amenazas en seguridad de la informacin.
Otras ms

24
Presidente - Responsabilidades
Presidir las reuniones y

revisiones del FGSI.
Autoridad final de las decisiones
de aprobacin o no aprobacin.
Tomar decisiones balanceadas
acerca de la Seguridad de la
Informacin.
Traer un sentido de Negocio a
la Seguridad de la Informacin.

25
CISO - Responsabilidades
Asumir la responsabilidad de la
implementacin del SGSI en la
organizacin.
Iniciar las nuevas actividades
del SGSI.
Recolectar retroalimentacin de
diferentes representantes de los
departamentos as como
tambin de los clientes y
cuerpos regulatorios.
Informar al Presidente acerca
del estado del SGSI.

26
El CISO puede agregar valor
Informar al FGSI acerca de lo

que el resto de la industria est
haciendo en el dominio de la
Seguridad de la Informacin.
Cules son los nuevos retos de
la Seguridad de la Informacin.
Cul podra ser el futuro de los
retos de la Seguridad de la
Informacin.
Compartir experiencias y
aprendizaje.
Presentar nuevas estrategias
del SGSI.
Otras ms

27
Representante de Funcin del Negocio - Responsabilidades
Asumir la propiedad de la
implementacin del SGSI en sus
respectivas funciones del
negocio.
Proporcionar retroalimentacin
al CISO.
Proporcionar informacin acerca
de nuevos requerimientos del
negocio que podran necesitar
soporte de Seguridad de la
Informacin.

28
Representante del Equipo de Auditoria - Responsabilidades
Enviar los informes de auditoria

al Presidente del FGSI.
Proporcionar una vista
balanceada de la calidad de la
implementacin del SGSI.
Mantener la independencia en
todo momento.

29
Taller 03: Foro de Gestin de la

Seguridad de la Informacin

30
Fin de la Presentacin

31

Consideraciones de La ISO27001

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Consideraciones de La ISO27001

Загружено:

Авторское право:

Доступные форматы

Fundamentos de la Norma ISO

27001 para la Gestin de la

Expositor: Vctor Reyna Vargas

Mike conoce el Anlisis de Brechas.

2012 VRV (Contacto: vreynav@gmail.com)

Nuevamente Mike, SECUREMAN y la ISO27001

Cmo empiezo con la

Ests en lo cierto. Debo

Ok, djame hacerte

Seguro. Cmo genero

Seguro. Debes darle a tu

Ok. Y eres un conductor

Y tienes un seguro para tu

Bueno, incluso si manejo

Ok. Entonces a pesar que

Bingo Mike! Ahora, no

As es. Ahora eres capaz

2012 VRV (Contacto: vreynav@gmail.com)

Un Anlisis de Brechas es un ejercicio

Ok, entiendo. Un Anlisis

As es. Un Anlisis de Brechas es un gran

2012 VRV (Contacto: vreynav@gmail.com)

Mike conoce el Anlisis de Brechas.

2012 VRV (Contacto: vreynav@gmail.com)

Definicin del Anlisis de Brechas

2012 VRV (Contacto: vreynav@gmail.com)

Ejemplo Brecha de Seguridad de la Informacin

Tu organizacin slo sigue

2012 VRV (Contacto: vreynav@gmail.com)

Importancia de un Anlisis de Brechas

La primera Verificacin de la Realidad de la Gestin de la

El Anlisis de Brechas es un punto de inicio importante para

2012 VRV (Contacto: vreynav@gmail.com)

Enfoques del Anlisis de Brechas

Enfoque 1: Hacer un anlisis de brechas que cubra a toda la

Nota: Se puede combinar ambos enfoques.

2012 VRV (Contacto: vreynav@gmail.com)

Pasos del Enfoque 1 Toda la organizacin

Utilizar los controles de la ISO 27001 como la comparacin.

2012 VRV (Contacto: vreynav@gmail.com)

Pasos del Enfoque 2 Una funcin del negocio

Utilizar los controles de la ISO 27001 como la comparacin.

2012 VRV (Contacto: vreynav@gmail.com)

El Anlisis de Brechas y los Riesgos

Informe del Anlisis

Informe del Anlisis

2012 VRV (Contacto: vreynav@gmail.com)

Mike conoce el Anlisis de Brechas.

2012 VRV (Contacto: vreynav@gmail.com)

Seguimos con Mike y el SECUREMAN(1)

Debes crear un Foro de Gestin

Quieres decir, algo como un

No existen reglas directas y

Ok. Quin ms?

Seguimos con Mike y el SECUREMAN(2)

Djame decirlo de esta forma.

2012 VRV (Contacto: vreynav@gmail.com)

Mike conoce el Anlisis de Brechas.

2012 VRV (Contacto: vreynav@gmail.com)

Definicin del Foro de Gestin de la Seguridad de la

2012 VRV (Contacto: vreynav@gmail.com)

Estructura del FGSI

2012 VRV (Contacto: vreynav@gmail.com)