Вы находитесь на странице: 1из 63

Sistemas de Gestin

de
Seguridad de la
Informacin
SGSI I
Mg. Ing. Omar Olivos
olivosomar@gmail.com
c14057@grupoutp.edu.pe
SGSI

Un SGSI es parte de un sistema


global de gestin que !asado en
el anlisis de riesgos esta!lece
implementa opera monitori"a
revisa mantiene # me$ora la
seguridad de la in%ormaci&n.
ISO '7001('005
ISO 27001

)s un est*ndar internacional que


provee un modelo para establecer
implementar operar
monitorear revisar mantener #
mejorar un SGSI
ISO '7001('005
P!" # P$%"
SG
SI
Plani&c
ar
acer
!eri&c
ar
"ctuar
'stablecer el
SGSI
Implementar (
Operar
)onitorear (
*evisar
)antener (
)ejorar
Plani&car
Identi&car la informacin a ser
protegida
"nali+ar los riesgos de la
informacin
$e&nir el plan de tratamiento de
riesgos
P!"

Implementar el Plan de
,ratamiento de *iesgos
acer

*evisar ( 'valuar la
performance del SGSI al
revisar la efectividad del
P,*
!eri&c
ar

*eali+ar las correcciones


necesarias ( mejorar el
proceso
"ctuar
!entajas ISO 27001
)ejora la seguridad
-uen Gobierno
%umplimiento
*educcin de costos
)ar.eting
Plani&car
$e&nir el alcance del SGSI
$e&nir la Pol/tica del SGSI
$e&nir el enfo0ue de la evaluacin de riesgos de la
organi+acin
Identi&car los riesgos
"nali+ar las opciones de tratamiento de riesgo
Seleccionar los objetivos de control ( los controles
para el tratamiento de riesgos
Obtener la aprobacin ( autori+acin de la
organi+acin para el tratamiento de riesgos ( el
riesgo residual
Preparar el SO"
'structura del ISO 27001
ISO '7001
ISO '7001
Secci&n
1
Secci&n
1
Secci&n
'
Secci&n
'
Seccin 1

+umplimiento O!ligatorio

),plica como construir el SGSI


!asado en el modelo -./0

-artes 4 5 1 7 # 2
Seccin 2

O!$etivos de +ontrol

133 +ontroles

11 4ominios

0ne,o 0
Seccin 2
+ontrol

+ontramedidas

0ntivirus

-rograma de
+apacitaci&n

-roceso de
Gesti&n de
+am!io
O!$etivos de
+ontrol

)speci5car la
ra"&n por el
cual se utili"a
un control o un
grupo de
controles
,area
1'jemplos2
Seccin 1 # 2

Secci&n 1 es o!ligatoria

)l ISMS es implementado seg6n el


modelo -./0

7o es o!ligatorio utili"ar todos los


controles

0lgunos no ser*n v*lidos


,areas
1'jemplos2
SGSI Overvie3
!ista General SGSI
14# Gap "nal(sis 5 "nlisis de -rec6a
24# 'stablecer %omit7 de Seguridad de
la Informacin
84# $e&nir el "lcance
94# Identi&car ( clasi&car los activos
:4# "nlisis de *iesgos
;4# Gestin de *iesgos
74# "uditor/a interna
<4# "uditor/a de %erti&cacin
Procesos = !ista General
4e5nir
0lcance
4e5nir
0lcance
Identi5ca
r #
+lasi5car
0ctivos
Identi5ca
r #
+lasi5car
0ctivos
0n*lisis
de
8iesgos
0n*lisis
de
8iesgos
Gesti&n
de
8iesgos
Gesti&n
de
8iesgos
0n*lisis
de
9rec:a
0n*lisis
de
9rec:a
0uditor;a
Interna
0uditor;a
Interna
0uditor;a
de
+erti5caci
&n
0uditor;a
de
+erti5caci
&n
"nlisis de -rec6a
Gap 0nal#sis
1Por 0u72

-ara la implementaci&n de un SGSI


necesito(
8ecursos
,iempo $inero umanos
1>u7 muestra2

)stado actual de la Seguridad de la


In%ormaci&n

9rec:a entre estado actual # el


deseado

8a"ones para implementar un SGSI

0#uda a estimar recursos necesarios


)uestra las debilidades ( la brec6a
e?istente con el estndar actual de la
industria
14# "nlisis de -rec6a

9ene5cios

<ener idea clara de la situaci&n actual

=ista de controles ausentes o de5cientes

-osi!les impactos de ausencias o


de5ciencias

+osto en tiempo dinero # personas

-lan de 0cci&n

-riori"ar las de!ilidades a atender primero

=ista de prioridades como input al resto del


SGSI
14# "nlisis de -rec6a
*evisin de las prcticas de la
seguridad de la informacin
actual de la organi+acin ( la
comparacin con los controles del
ISO 27001
*evisin de las prcticas de la
seguridad de la informacin
actual de la organi+acin ( la
comparacin con los controles del
ISO 27001
$e&nicin
Identi&cacin de la diferencia
entre el nivel actual de la
Seguridad de la Informacin en
la organi+acin ( el nivel 0ue se
desea obtener @o el nivel
estndar de la industriaA
Identi&cacin de la diferencia
entre el nivel actual de la
Seguridad de la Informacin en
la organi+acin ( el nivel 0ue se
desea obtener @o el nivel
estndar de la industriaA
Bo es obligatorio
Bo es obligatorio
'jemplo
)ejores
Prcticas
Pass3ords

)/nimo <
caracteres

S/mbolos (
alfanum7ric
os
Ca
Organi+acin
Pass3ords

)/nimo ;
caracteres
G"P
G"P
'nfo0ue de aplicacin

+ontroles como !enc:mar>

Uso de :erramienta
1. <oda la organi"aci&n
'. S&lo un *rea del negocio
3. 1 # ' ?@
14# "nlisis de -rec6a
Dtilidad
*eporte
"nlisis de
-rec6a
*eporte
"nlisis de
*iesgos
Plan de
,ratamiento
de *iesgos
!ista General SGSI
14# Gap "nal(sis 5 "nlisis de -rec6a
24# 'stablecer %omit7 de Seguridad de
la Informacin
84# $e&nir el "lcance
94# Identi&car ( clasi&car los activos
:4# "nlisis de *iesgos
;4# Gestin de *iesgos
74# "uditor/a interna
<4# "uditor/a de %erti&cacin
%omit7 de Gestin de
Seguridad de la
Informacin
'stablecer %omit7 de
Seguridad de la Informacin

+omitA de Gesti&n de Seguridad de


la In%ormaci&n

+omitA de 8evisi&n de la Seguridad


de la In%ormaci&n
'0uipo de la alta direccin
encargado de implementarE
mantener ( mejorar el SGSI
'0uipo de la alta direccin
encargado de implementarE
mantener ( mejorar el SGSI
%omposicin

8epresentantes Breas de 7egocio

+ISO C +SO

4irector D +:airman E+)O +FOG

)quipo 0uditor;a

Independiente

8eporta al 4irector
Implementador F "uditor
Implementador F "uditor
%omposicin
)quipo
0uditor
+:airma
n del
SGSI
9usiness
Function
1
9usiness
Function
'
H.
9usiness
Function
n
E+GISO

8esponsa!ilidad -4+0

8evisar # apro!ar las actividades del SGSI


$irector # %6airman

)$ecutivo de alto nivel E+)O +FOG

-residir reuniones

0utoridad 5nal para la toma de decisiones

-unto de vista del negocio

9alance entre seguridad # negocio


%ISO 5 %SO

8esponsa!le de la implementaci&n. =idera.

Inicia nuevas actividades SGSI

8ecoge in%ormaci&n de *reas negocio


clientes entes regulatorios etc

In%ormar al director del estado del SGSI


%ISO 5 %SO

0Iade valor

In%ormar al comitA del estado de la


industria

7uevos retos de seguridad

8etos %uturos

),periencia

7uevas estrategias SGSI


*epresentantes Greas
Begocio

OJners:ip de implementaci&n en sus


*reas

Feed!ac> al 4irector

7uevos requerimientos del negocio

7uevas necesidades de Seguridad de la


In%ormaci&n
'0uipo "uditor

-resentar reporte de auditor;a

/isi&n equili!rada de la calidad de la


implementaci&n

Mantener independencia en todo momento

4ar con5an"a a partes interesadas


,areas del %omit7

8eunirse en intervalos preKde5nidos

+ada 3 o 1 meses

8evisar el estado actual del SGSI


riesgos etc

0pro!ar nuevas pol;ticas iniciativas


actividades

8evisar los in%ormes de auditor;a

8ecomendar acciones correctivas a las


violaciones

+onsiderar nuevas amena"as de in%o sec


"ne?o "4;
!ista General SGSI
14# Gap "nal(sis 5 "nlisis de -rec6a
24# 'stablecer %omit7 de Seguridad de
la Informacin
84# $e&nir el "lcance
94# Identi&car ( clasi&car los activos
:4# "nlisis de *iesgos
;4# Gestin de *iesgos
74# "uditor/a interna
<4# "uditor/a de %erti&cacin
Plani&car
$e&nir el alcance del SGSI
$e&nir la Pol/tica del SGSI
$e&nir el enfo0ue de la evaluacin de riesgos de la
organi+acin
Identi&car los riesgos
"nali+ar las opciones de tratamiento de riesgo
Seleccionar los objetivos de control ( los controles
para el tratamiento de riesgos
Obtener la aprobacin ( autori+acin de la
organi+acin para el tratamiento de riesgos ( el
riesgo residual
Preparar el SO"
"lcance del SGSI
$e&nir "lcance
<area del +omitA de Gerencia de Seguridad de la
In%ormaci&n
84# $e&nir el "lcance

=i!ertad para incluir o e,cluir


procesos del negocio
>u7 es e?actamente lo 0ue se
protege
>u7 es e?actamente lo 0ue se
protege
-rocesos
de
7egocio
-rocesos
de
7egocio
0ctivos
de
In%ormaci
&n
0ctivos
de
In%ormaci
&n
U!icaci&
n
Geogr*5
ca
U!icaci&
n
Geogr*5
ca
"lcance transmiteH

+u*les %unciones del negocio son


importantes

+u*les son los sistemas de


in%ormaci&n a proteger

U!icaciones geogr*5cas donde se


aplicar*

=as e,clusiones
$ocumento pIblico
Impreso en el certi&cado
"lcance # %erti&cado
"lcance # %erti&cado
"lcance # %erti&cado
%aracter/sticas

+onsidera la naturale"a del negocio

-rotege los procesos estratAgicos del


negocio

)speci%;ca las u!icaciones a proteger

S&lo .L

.L # todas o5cinas descentrali"adas

.L # algunas o5cinas descentrali"adas

S&lo algunas o5cinas

),clusiones

8a"ones
'scribir el "lcance
7om!re
Organi"aci&n
Inclusion
es
),clusion
es

0#uda visuali"ar el alcance

Muestra claramente las inclusiones # e,clusiones

F*cil de e,plicar a la gerencia auditores partes


interesadas
'jemplo
)l Sistema de Gesti&n de Seguridad de la
In%ormaci&n ESGSIG de Tu Hogar con Estilo S.A.
tiene como alcance los procesos de Venta de
Productos y Servicios por Internet #
Recibo, alistamiento y despacho de
mercanca teniendo en cuenta para este
6ltimo que su implantaci&n se ver* acotada al
Centro de Distribucin Principal de +osta
8ica u!icado en 0la$uela # al Almacn
Colonia del Rio u!icado en San MosA de
+osta 8ica.
'jemplo
,area

?)$emplos@
Pol/tica
Pol/tica

-ol;tica

-lan de acci&n para orientar las


decisiones # lograr o!$etivos

-ol;tica de Seguridad de la
In%ormaci&n

4ocumento que esta!lece Npor quAO #


Nc&moO la organi"aci&n planea proteger
la in%ormaci&n # los activos de
in%ormaci&n
$e&niciones
Pol/ticas
Procedimientos
Guidelines
'jemplo

Cos sistemas del negocio


contienen informacin
con&dencial4

,oda la informacin con&dencial


deber tener controles de acceso
adecuados
Pol/tica

'l control de acceso por defecto


ser contraseJas con un m/nimo
de < caracteres alfanum7ricos
Procedimie
nto

,ips de como crear contraseJas


seguras de < caracteres
alfanum7ricos
Guidelines
Pol/ticas =
Procedimientos H
Pol/tica de
Seguridad
Pol/ticas
espec/&cas
de Dsuario
Kinal
Procedimien
tos
Guidelines
Pol/ticas
espec/&cas
de funcin
Procedimien
tos
Guidelines
Pol/ticas
espec/&cas
,7cnicas
Procedimien
tos
Guidelines
Pol/tica de
Seguridad
de la
Informacin
Pol/tica del
SGSI
Pol/tica de Seguridad

Introducci&n

),plica por quA la organi"aci&n


implementar* el SGSI

8a"ones para adoptar ISO '7001


como est*ndar

4eclaraci&n del alcance

+omitA de Seguridad

=ista de pol;ticas # procedimientos


relacionados
Pol/ticas 'spec/&cas

Su!con$unto de la pol;tica principal

+omplementa la pol;tica

)$emplo
<odos los sistemas con5denciales de!er*n
tener controles de acceso adecuados
-ol;tica de +ontrol de 0cceso
Gestin de %ontraseJas
Sistemas -iom7tricos
%ontrol de "cceso K/sico
Pr?ima clase

9uscar ' e$emplos de 0lcance

-resentar una noticia de actualidad


%omentarios 5
%onsultas
olivosomar@gmail.com
c14057@grupoutp.edu.pe