GUÍA DE PROCESOS PARA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

Transcripción

1 GUÍA DE PROCESOS PARA IMPLEMENTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN (SGSI)

2 LA NORMA ISO 27001: 2005 ESTABLECE QUE LA IMPLANTACIÓN DE PROCESOS PARA LA GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SE ESTRUCTURE EN LAS CUATRO ETAPAS IDENTIFICADAS CON LAS SIGLAS PDCA. EL CICLO PDCA REPRESENTA UNA FORMA DE ORGANIZAR LOS CAMBIOS O LAS ACCIONES DE MEJORA EN LAS ORGANIZACIONES. NOS RECUERDA QUE ADEMÁS DE PLANIFICAR E IMPLEMENTAR LOS CAMBIOS, HAY QUE COMPROBAR EL ÉXITO DE LAS ACCIONES Y SI HAY ALGO QUE CORREGIR O PREVENIR, SE DEBE ACTUAR PARA SUBSANARLO.

3 LAS CLAVES PARA ALCANZAR PROCESOS PLAN EL ÉXITO EN UNA IMPLEMENTACIÓN DEL SGSI ES TENER SIEMPRE EN CUENTA LAS TRES ÁREAS BÁSICAS PARA EL CAMBIO CULTURAL ORGANIZACIONAL: Y DO SGSI ACT LOS PROCESOS, LAS HERRAMIENTAS QUE LOS SOPORTAN Y LAS PERSONAS. CHECK HERRAMIENTAS PERSONAS

4 LA DEFINICIÓN DE NUEVAS FORMAS DE HACER MÁS EFICIENTES, ESTRUCTURANDO LOS TRABAJOS PRIMERO EN PROCESOS, ESTOS EN SUBPROCESOS, ACTIVIDADES Y EN PROCEDIMIENTOS DETALLADOS, FORMARÁ PARTE DEL CONOCIMIENTO Y CULTURA DE LA EMPRESA Y SE INCORPORARÁ CON RIGOR AL SGSI. LA PLANIFICACIÓN DE LA DEFINICIÓN DE LOS PROCESOS SE REALIZA EN LA FASE PLAN Y SU PROPIA DEFINICIÓN SE REALIZA EN LA FASE DO.

5 LAS HERRAMIENTAS DE GESTIÓN TI SON ESENCIALES PARA PROPORCIONAR LA AGILIDAD NECESARIA EN LA ORGANIZACIÓN PARA GARANTIZAR QUE SE SIGUEN LAS FORMAS DE HACER DEFINIDAS Y PARA ALMACENAR Y RETENER EL CONOCIMIENTO. ADEMÁS, PERMITEN EL SEGUIMIENTO DE LOS PROCESOS, SU MEDICIÓN Y MEJORA. LA SELECCIÓN DE HERRAMIENTAS VENDRÁ MARCADA POR LOS REQUISITOS QUE IMPONGAN LOS PROCESOS YA DEFINIDOS. CON FRECUENCIA CONSTITUYE UN PROYECTO EN SÍ MISMO. HAY UN PRIMER GRUPO DE HERRAMIENTAS QUE POSIBILITAN LA ACTIVIDAD DE IMPLANTACIÓN DE LAS NORMAS, POR LO QUE DEBEN SER LAS PRIMERAS QUE SE SELECCIONEN E IMPLEMENTEN: EL SOPORTE DOCUMENTAL DEL SISTEMA DE GESTIÓN. LA HERRAMIENTA DE DISEÑO DE PROCESOS. HERRAMIENTA DE GESTIÓN DE PROYECTOS Y BITÁCORA.

6 NO HAY QUE OLVIDAR QUE UNA EXCELENTE DEFINICIÓN DE PROCESOS NO ES SUFICIENTE. NI SIQUIERA LAS MEJORES HERRAMIENTAS DE SOPORTE, PUES GRAN PARTE DEL TRABAJO REQUIERE DE LA INTERVENCIÓN DE LAS PERSONAS QUE FORMAN PARTE DEL EQUIPO DE TI. LO ANTERIOR RATIFICA QUE EL OLVIDADO FACTOR HUMANO RESULTA SER CLAVE EN EL ÉXITO DE LA IMPLANTACIÓN Y POR ENDE, CLAVE PARA LA SUPERVIVENCIA DE LA EMPRESA.

7 LA IMPLEMENTACIÓN DE LA NORMA REQUIERE DE COMENZAR POR UNA EVALUACIÓN DE LA SITUACIÓN ACTUAL DE PARTIDA QUE DEBE CONTENER: DESCRIPCIÓN DE LA PROBLEMÁTICA PRINCIPAL ACTUAL DE LA ORGANIZACIÓN. MISIÓN, SERVICIOS, INFRAESTRUCTURA, PERSONAL, VOLÚMENES DE ACTIVIDAD, HERRAMIENTAS DE GESTIÓN, ETC. ANÁLISIS DE MADUREZ INICIAL DE LA ACTIVIDAD DE LA ORGANIZACIÓN. MATRIZ FODA. ANÁLISIS DE RATIOS O INDICADORES GENERALES DE LA ORGANIZACIÓN Y SU COMPARACIÓN CON EL MERCADO. CONCLUSIONES Y ACCIONES A EMPRENDER, ESTABLECIENDO FASES PARA ELLAS.

8 PERSONAS PRELIMINAR HERRAMIENTAS PROCESOS DEFINICIÓN DE LOS PRIMEROS ESTÁNDARES. DEFINICIÓN DE LOS PRIMEROS PROCESOS. DEFINICIÓN DE LOS PROCEDIMIENTOS. DEFINICIÓN DELOS ROLES. DEFINICIÓN DE INDICADORES. FORMACIÓN A LÍDERES. CREACIÓN DE EQUIPO DE IMPLEMENTACIÓN. EVALUACIÓN O ASSESSENT OBJETIVOS. PLAN DE IMPLEMENTACIÓN. PRESENTACIONES INTERNAS. COMUNICACIÓN INICIAL. REQUISITOS DE HERRAMIENTAS. SELECCIÓN Y COMPRA DE SW Y HW. PARAMETRIZACIÓN DE HERRAMIENTAS. IMPLANTACIÓN DE HERRAMIENTAS. CARGA DE DATOS. FORMACIÓN DE PROFESIONALES. PLAN DE COMUNICACIÓN. CAMBIO ORGANIZATIVO. ENTRENAMIENTO DEL PERSONAL. DESPLIEGUE DE HERRAMIENTAS. CAMBIO DE FORMAS DE TRABAJO.

9 OBJETIVO: PLANIFICAR LA IMPLEMENTACIÓN DEBE DEFINIR LO SIGUIENTE: DEL SGSI. COMO MÍNIMO EL PLAN EL ALCANCE. LOS OBJETIVOS Y REQUISITOS. LOS PROCESOS QUE SE VAN A EJECUTAR. LOS ROLES Y RESPONSABILIDADES. LAS FASES ENTRE LOS PROCESOS. EL ENFOQUE, EVALUACIÓN, LA GESTIÓN DE ACTIVIDADES Y DE LOS RIESGOS PARA LA CONSECUCIÓN DE OBJETIVOS DEFINIDOS. LOS RECURSOS, EL EQUIPAMIENTO Y LOS PRESUPUESTOS NECESARIOS PARA ALCANZAR LOS OBJETIVOS DEFINIDOS. HERRAMIENTAS ADECUADAS PARA DAR SOPORTE A PROCESOS. COMO SE VA A GESTIONAR, AUDITAR Y MEJORAR EL SGSI. DEBEN ESTAR CLARAMENTE DEFINIDAS TANTO LA ORIENTACIÓN DE LA GESTIÓN COMO LAS RESPONSABILIDADES DOCUMENTADAS PARA REVISAR, AUTORIZAR, COMUNICAR E IMPLEMENTAR Y MANTENER LOS PLANES.

10 BÚSQUEDA DE ÉXITOS RÁPIDOS QUICK WINS EN LA PLANIFICACIÓN DE LA IMPLEMENTACIÓN HAY QUE TENER EN CUENTA LA BÚSQUEDA DE ÉXITOS RÁPIDOS, CONOCIDOS COMO LOS QUICK-WINS. DADO QUE EL PROCESO DE TRANSFORMACIÓN ES PROLONGADO, RESULTA ESENCIAL ACOMPAÑAR TODO EL CAMINO CON ÉXITOS RÁPIDOS QUE INFUNDAN MORAL Y CONFIANZA AL PROYECTO, TANTO A LA DIRECCIÓN, COMO AL RESTO DEL PERSONAL. UN ÉXITO RÁPIDO ES UNA ACTUACIÓN SENCILLA DE IMPLEMENTAR QUE APORTA RESULTADOS TANGIBLES DE FORMA INMEDIATA. EJ.: CREACIÓN DE UN COMITÉ DE CAMBIOS QUE DE FORMA INMEDIATA PONGA ORDEN EN LAS IMPLANTACIONES. MEJORAR LA ATENCIÓN DE INCIDENCIAS, CENTRÁNDOSE EN UN SISTEMA CRÍTICO. DOCUMENTAR LA CONFIGURACIÓN DE LOS SISTEMAS CRÍTICOS. RESOLVER ALGUNOS DE LOS PROBLEMAS QUE GENERAN MUCHOS INCIDENTES Y CONSOLIDAR LA INFORMACIÓN DE INCIDENTES EN UNA ÚNICA BASE DE DATOS. REALIZACIÓN DE UN INFORME SOBRE EL ESTADO DE TI QUE PERMITA INVOLUCRAR A LA DIRECCIÓN DEL PROYECTO.

11 OBJETIVO: IMPLEMENTACIÓN DEL SGSI. INCLUYE: ASIGNACIÓN DE PRESUPUESTOS Y FONDOS. ASIGNACIÓN DE ROLES Y RESPONSABILIDADES. DOCUMENTACIÓN Y MANTENIMIENTO DE POLÍTICAS, PROCEDIMIENTOS Y DEFINICIONES PARA CADA PROCESO O CONJUNTO DE PROCESOS. IDENTIFICACIÓN Y GESTIÓN DE RIESGOS GESTIÓN DE EQUIPOS DE TRABAJO, EJ: CONTRATACIÓN Y DESARROLLO DEL PERSONAL ADECUADO Y LA GESTIÓN DE CONTINUIDAD DEL PERSONAL. GESTIÓN DE EQUIPAMIENTO Y EL PRESUPUESTO. INFORMAR DEL PROGRESO EN COMPARACIÓN CON LOS PLANES. COORDINACIÓN DE LOS PROCESO DE INFORMACIÓN. GESTIÓN DE SEGURIDAD DE LA

12 LO RECOMENDABLE ES CONTAR CON APOYO EXTERNO, EN FORMA DE CONSULTORÍA, PARA LOS TRES ASPECTOS: DEFINICIÓN DE PROCESOS Y PROCEDIMIENTOS, IMPLANTACIÓN DE HERRAMIENTAS Y FORMACIÓN DE CAMBIO CULTURAL. SE REQUIERE UNA FUERTE IMPLICACIÓN DE LA ALTA DIRECCIÓN Y LA NECESIDAD DE UN RESPONSABLE DE ALTO NIVEL EN LA ORGANIZACIÓN EL CUAL DEBE CONTAR CON PERSONAL DE APOYO EN SU LABOR. PARA LA ETAPA DE PLANIFICACIÓN E IMPLANTACIÓN DE ESTA NORMA SE DEBE CONSTITUIR UN EQUIPO DE TRABAJO ESPECÍFICO O GRUPO DE IMPLANTACIÓN QUE ESTARÁ ACTIVO DESDE LAS PRIMERAS FASES DE DEFINICIÓN HASTA CONCLUIR LA IMPLANTACIÓN FINAL. ES COMPLICADO ABORDAR LA TRANSFORMACIÓN INTERNA CONTANDO ÚNICAMENTE CON EL PERSONAL DE LA EMPRESA, PUES CON FRECUENCIA SE CARECE DE LOS CONOCIMIENTOS, LOS PERFILES O LA EXPERIENCIA ADECUADOS.

13 OBJETIVO: DETERMINAR EL GRADO DE EFECTIVIDAD DE LA IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN. PARA ELLO SE DEBE MONITORIZAR, MEDIR Y REVISAR EL GRADO DE CONSECUCIÓN DE LOS OBJETIVOS ALCANZADOS. SE DEBE REVISAR SI LOS REQUISITOS DE GESTIÓN : SON CONFORMES CON EL PLAN DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN Y LOS REQUISITOS DE LA NORMA. SE IMPLEMENTAN Y MANTIENEN DE MANERA EFICAZ.

14 SE DEBE PLANIFICAR UN PROGRAMA DE AUDITORÍAS, TENIENDO EN CUENTA EL ESTADO Y LA IMPORTANCIA DE LOS PROCESOS Y LAS ÁREAS A AUDITAR ASÍ COMO, LOS RESULTADOS DE LAS AUDITORIAS ANTERIORES. SE DEBEN DEFINIR EN UN PROCEDIMIENTO LOS CRITERIOS, EL ALCANCE, LA FRECUENCIA Y LOS MÉTODOS DE AUDITORÍA. EL OBJETIVO DE LAS REVISIONES Y AUDITORÍAS DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SE DEBE REGISTRAR JUNTO CON LAS CONCLUSIONES DE DICHAS AUDITORÍAS, SUS REVISIONES Y LAS ACCIONES CORRECTIVAS QUE SE HAYAN IDENTIFICADO. SE DEBE COMUNICAR A LAS PARTES CORRESPONDIENTES DE LA EXISTENCIA DE CUALQUIER ÁREA SIGNIFICATIVA CON ALGUNA NO CONFORMIDAD U OTRA DISCREPANCIA.

15 OBJETIVO: MEJORAR LA EFICACIA Y LA EFICIENCIA DEL SGSI. DEBE HABER UNA POLÍTICA PUBLICADA SOBRE LA MEJORA DEL SGSI. SE DEBE CORREGIR CUALQUIER NO CONFORMIDAD CON LA NORMA O CON LOS PLANES DE GESTIÓN. SE DEBEN DEFINIR CLARAMENTE LOS ROLES Y LAS RESPONSABILIDAD PARA LAS ACTIVIDADES DE MEJORA DEL SISTEMA. SE DEBEN EVALUAR, REGISTRAR, PRIORIZAR Y AUTORIZAR TODAS LAS PROPUESTAS DE MEJORAS DEL SISTEMA. SE DEBE UTILIZAR UN PLAN PARA CONTROLAR LA ACTIVIDAD. ESTABLECER OBJETIVOS DE MEJORA EN CUANTO A LA CALIDAD, LOS COSTOS Y LA UTILIZACIÓN DE RECURSOS. TENER EN CUENTA LAS APORTACIONES IMPORTANTES, REFERENTES A LAS MEJORAS QUE SE REALICEN. MEDIR, INFORMAR Y COMUNICAR LAS MEJORAS EN EL SGSI REVISAR LAS POLÍTICAS, PLANES Y PROCEDIMIENTOS DE LA SI SIEMPRE QUE SEA NECESARIO ASEGURAR QUE TODAS LAS ACCIONES APROBADAS SE LLEVAN A CABO Y QUE SE ALCANZAN LOS OBJETIVOS DESEADOS.

16 LAS ACCIONES DE MEJORAS PUEDEN ABARCAR TODO TIPO DE ACTIVIDAD NECESARIA; MEJORAS TECNOLÓGICAS, INCORPORACIÓN DE HERRAMIENTAS, FORMACIÓN DE INVOLUCRADOS, COMUNICACIÓN, MEJORA DE DOCUMENTACIÓN, ETC. LAS PROPUESTAS DE MEJORAS QUE PUEDEN EMANAR DE DIVERSAS FUENTES, SE AGRUPAN PARA ORGANIZAR EN UN PLAN CONSOLIDADO. ASÍ, LA MEJORA CONTINUA DE LA GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SE REALIZA DE UNA FORMA COORDINADA POR UN RESPONSABLE ÚNICO DE ESTA ACTIVIDAD.

17 LA IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN SIGUIENDO EL CICLO PDCA Y LOS REQUISITOS ESPECIFICADOS Y RECOMENDADOS EN LA NORMA ISO 27001, APORTARÁN, ENTRE OTROS, LOS SIGUIENTES BENEFICIOS: PERMITIRÁ QUE TODAS LAS ACTIVIDADES DE TRANSFORMACIÓN DE LA ORGANIZACIÓN SE LLEVEN A CABO DE UNA FORMA CONTROLADA Y ORGANIZADA. LOS OBJETIVOS SE FIJAN EN FUNCIÓN A LA SITUACIÓN DE PARTIDA, OBTENIDA MEDIANTE EVALUACIÓN INICIAL. LOS PROYECTOS DE IMPLEMENTACIÓN TIENEN OBJETIVOS FIJADOS. SE MONITORIZAN Y MIDEN RESULTADOS DE LOS PROYECTOS. SE ESTABLECE UN PLAN DE MEJORA CONTINUA. SE APROVECHA LA EXPERIENCIA DE OTRAS ORGANIZACIONES QUE INICIARON ANTES EL CAMINO.