Sistema de Gestión de Seguridad de la Información Esquema de Implantación. Cristina García Pérez

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Sistema de Gestión de Seguridad de la Información Esquema de Implantación. Cristina García Pérez"

Concepción Hernández Aguilar
hace 6 años
Vistas:

1 Sistema de Gestión de Seguridad de la Información Esquema de Implantación Cristina García Pérez

2 Familia de Normas ISO ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC Vocabulario estándar para el SGSI Requisitos. Es certificable Código de buenas prácticas para la gestión seguridad de la información. Directrices para la implementación de un SGSI. Métricas para la gestión de la seguridad de la información. Gestión de Riesgos de la seguridad de la información. Requisitos para la acreditación de las organizaciones que proporcionan la certificación de los SGSI. Guía para auditar al SGSI. ISO/IEC 27799:2008 Guía para implementar ISO/IEC en la industria de la salud. ISO/IEC 27035:2011 Seguridad de la información- Técnicas de Seguridad- Gestión de Incidentes de Seguridad

3 Fase Inicial Definición del Alcance Análisis Diferencial Identificar los procesos de negocio claves. Identificar los tipos de información y su flujo. Identificar el soporte de TI. Identificar el entorno físico (edificios, salas,etc). Identificar las personas relevantes. Informe de Alcance Detecta áreas de carencia evidentes. Permite conocer el nivel de madurez de los controles de la organización. Permite identificar acciones de mejora sin esperar al Análisis de Riesgos. Informe de Nivel de Madurez de los Controles Plan de implantación y Recomendaciones

4 Fase Inicial. Análisis del Diferencial * El Modelo de Capacidad y Madurez o CMM (Capability Maturity Model), es un modelo de evaluación de procesos de una organización. El nivel 3 es el nivel de implantación requerido para certificarse, pero para algunos controles de más alto riesgo es el nivel 4 Objetivo Puntuación Madurez 0 Inexistente 1 Inicial/Ad Hoc 2 Repetible pero intuitivo 3 Proceso definido 4 Gestionado y evaluable 5 Optimizado * Para dotar de más riqueza al análisis diferencial, una buena práctica es evaluar diferentes aspectos para cada control Aspecto de control Reconocimiento Documentación Implantación Evaluación Descripción Reconocimiento y comunicación del asunto de seguridad en la organización nivel 3 es el nivel de implantación requerido para certificarse, pero para alguno La política, normas y procedimientos documentados relacionados con el control de Seguridad Procesos asociados y formación para poner en práctica las directrices Evaluar la eficacia de la política y los procesos asociados y hacer mejoras basadas en ello

Fase Inicial. Resultado Informe Estado Resumido Plan de Implantación y Recomendaciones El plan de implantación dependerá de : Los Activos de información incluidos en el Alcance del SGSI.

5 Fase Inicial. Resultado Informe Estado Resumido Plan de Implantación y Recomendaciones El plan de implantación dependerá de : Los Activos de información incluidos en el Alcance del SGSI. La metodología o herramienta seleccionada para Análisis y Gestión de Riesgos. El nivel de detalle elegido. Recomendación Aprobar documento de Política de Seguridad de la Información Colocar toda la documentación de Política, Procedimientos y Estándares bajo un sistema de gestión de cambios Formalizar la Seguridad como un elemento de agenda para las reuniones de Revisión de Negocio. Asegurarse que el puesto de Director de Seguridad de la Información está bien definido Sección A A A A A

Informe de Riesgos Plan de Tratamiento Informe de Riesgos PTR SOA (Declaración de

SGSI Documentación del SGSI Establecer el Plan de Auditoría Realizar la Auditoría.

6 Fase II. Implantación Análisis y Gestión de Riesgos Según Metodología MAGERIT Herramienta PILAR Informe de Riesgos Plan de Tratamiento Informe de Riesgos PTR SOA (Declaración de Aplicabilidad) Implantación de Controles Auditoría Interna Elaboración del SOA Documentar SGSI Documentación del SGSI Establecer el Plan de Auditoría Realizar la Auditoría. Políticas Normas Procedimientos/ Guías Tareas/Operacionales Evidencias/Registros Plan de Auditoría Informe de Auditoría Plan de Acciones Correctivas de las NCs encontradas en Auditoría Interna

7 Fase II. Implantación. Enfoques ANALISIS TRATAMIENTO Activos Amenazas Vulnerabilidades Riesgo Contramedida Implantación Auditoría La selección de controles debe hacerse en base a tres fuentes de requisitos de seguridad Normas internas Análisis y tratamiento de riesgos Obligaciones legales Ahorro de tiempo en la implantación

8 Fase III. Certificación Auditoría de Certificación Plan de acciones Correctivas Realización de la Auditoría de Certificación de ISO/IEC por el organismo de Certificación elegido (Aenor, Applus, SGS, BSI etc) Elaboración del Plan de Acciones Correctivas Informe Informe dde e AAuditoría uditoría PAC CERTIFICACIÓN

9 Fin Muchas gracias

Documentos relacionados

ISO/IEC Gestión de la seguridad de la información. Ing. Marco Antonio Paredes Poblano

ISO/IEC Gestión de la seguridad de la información. Ing. Marco Antonio Paredes Poblano ISO/IEC 27001 Gestión de la seguridad de la información Ing. Marco Antonio Paredes Poblano Qué es información? Conjunto de datos organizados en poder de una entidad que poseen valor para la misma. La información