Title: Sistemas de Gestin de la
1- Sistemas de Gestión de la
- Seguridad de la Información
- UNE-ISO/IEC 27001
Iván Guardia Hernández
2TecnologÃas de la Información y la Comunicación
3Sistemas de Gestión
- Establece e Implanta unos procesos que permiten a
una organización realizar un producto/servicio
conforme a unas especificaciones dadas. - Mide y Evalúa los resultados obtenidos frente a
los objetivos marcados. - Incorpora un proceso de revisión para asegurar
que los problemas que puedan surgir se detectan y
se corrigen, y que permite identificar
oportunidades de mejora. - UNE-EN ISO 9001. Sistemas de Gestión de la
Calidad. - UNE-EN ISO 14001. Sistemas de Gestión Ambiental.
4Plan Do Check - Act
5SGSISistemas de Gestión de la Seguridad de la
Información
- Un SGSI es un sistema de gestión que comprende la
polÃtica, la estructura organizativa, los
procedimientos, los procesos y los recursos
necesarios para implantar la gestión de la
seguridad de la información - Por seguridad de la información, se entiende
principalmente por la preservación de las
caracterÃsticas de confidencialidad, integridad y
disponibilidad de la misma. Adicionalmente,
pueden considerarse otras propiedades, como
autenticación, no repudio o auditabilidad. - Implantar un SGSI no prueba que una organización
sea 100 segura. Aunque la seguridad completa no
exista, sà que se puede certificar su correcta
gestión.
6SGSI
Compromiso demostrar la eficacia de los
esfuerzos desarrollados para asegurar la
organización en todos sus niveles y probar la
diligencia razonable de sus administradores. Conf
ormidad con requisitos legales el registro
permite demostrar que la organización observa
todas las leyes y normativas aplicables al
alcance. Gestión de los riesgos obtención de
un mejor conocimiento de los sistemas de
información, sus debilidades y los medios de
protección. Garantiza también una mejor
disponibilidad de los materiales y
datos. Credibilidad y confianza los socios, los
accionistas y los clientes se tranquilizan al
constatar la importancia que la organización
concede a la protección de la información. Una
certificación también puede brindar una
diferenciación sobre la competencia y en el
mercado. Reducción de los costes vinculados a
los incidentes y posibilidad de disminución de
las primas de seguro. Mejora la sensibilización
del personal hacia la seguridad y a sus
responsabilidades en la organización.
7Análisis de Riesgos
827001
- TecnologÃa de la información. Técnicas de
seguridad. Sistemas de Gestión de la Seguridad de
la Información (SGSI). Requisitos. - La certificación UNE-ISO/IEC 27001 avala la
adecuada implantación, gestión y operación de
todo lo relacionado con la implantación de un
SGSI, siendo la norma más completa que existe en
lo relativo a la implantación de controles, que
permiten establecer un marco adecuado de gestión
de la seguridad de la información para las
organizaciones. - Sustituye a la BS 7799-2 y a la UNE 71502.
- Los requisitos de la Norma UNE-ISO/IEC 27001 son
complementarios a los de cualquier otro sistema
de gestión implantado, tal como gestión de la
calidad ISO 9001 o gestión medioambiental ISO
14001.
9Dominios
- PolÃtica de seguridad.
- Aspectos organizativos para la seguridad.
- Clasificación y control de activos.
- Seguridad ligada al personal.
- Seguridad fÃsica y del entorno.
- Gestión de comunicaciones y operaciones.
- Control de accesos.
- Desarrollo y mantenimiento de sistemas.
- Gestión de incidentes de seguridad de la
información. - Gestión de continuidad de negocio.
10ISO27000.es
11Implantación SGSI
12Fases implantación
- 1. Compromiso de la Dirección una de las bases
- fundamentales sobre las que iniciar un
proyecto - de este tipo es el apoyo claro y decidido de
la - Dirección de la organización.
- 2. Planificación, fechas, responsables como en
todo proyecto de envergadura, el tiempo y el
esfuerzo invertidos en esta fase multiplican sus
efectos positivos sobre el resto de fases. - 3. Definir alcance del SGSI según el modelo
organizativo, definir los lÃmites del marco de
dirección de seguridad de la información. - 4. Definir polÃtica de seguridad que incluya el
marco general y los objetivos de seguridad de la
información de la organización.
13Fases implantación
5. Inventario de activos todos aquellos
afectados por la seguridad de la
información. 6. Identificar amenazas y
vulnerabilidades todas las que afectan a
los activos del inventario. 7. Análisis de
riesgos evaluar el daño resultante de un fallo
de seguridad y la probabilidad de ocurrencia del
fallo. 8. Selección de controles. 9. Definir
plan de tratamiento de riesgos que identifique
las acciones, sus responsables y las prioridades
en la gestión de los riesgos. 10. Implantar plan
de tratamiento de riesgos con la meta de
alcanzar los objetivos de control identificados.
14Fases implantación
11. Implementar los controles todos los que se
determinaron en la fase anterior. 12.
Formación y concienciación de todo el personal
en lo relativo a la seguridad de la
información. 13. Desarrollo del marco normativo
necesario normas, manuales, procedimientos e
instrucciones. 14. Gestionar todos los recursos
asignados al SGSI. 15. Revisar el SGSI
Identificar mejoras al proceso del SGSI,
identificar nuevas vulnerabilidades, revisar
cambios organizativos y modificar
procedimientos. 16 .Realizar auditorÃas internas
del SGSI para determinar la efectividad del SGSI
y detectar posibles no conformidades.
15Proyectos y Salvaguardas
16Factores CrÃticos de Éxito
La concienciación del empleado por la
seguridad. Principal objetivo a conseguir.
Realización de comités de dirección con
descubrimiento continuo de No conformidades o
acciones de mejora. Creación de un sistema de
gestión de incidencias que recoja
notificaciones continuas por parte de los
usuarios (los incidentes de seguridad deben
ser reportados y analizados). La seguridad
absoluta no existe, se trata de reducir el riesgo
a niveles asumibles. La seguridad no es un
producto, es un proceso. La seguridad no es un
proyecto, es una actividad continua y el programa
de protección requiere el soporte de la
organización para tener éxito. La seguridad
debe ser inherente a los procesos del negocio.
17Qué está fallando?
Iván Guardia Hernández Auditor CISA CISSP
AENOR