Certificación ISO Preparación

Transcripción

1 Certificación ISO Preparación Lic. Raúl l Castellanos CISM, PCI-QSA, Lead Auditor ISO rcastellanos@cybsec.com

2 Qué es la ISO 27001? Es un modelo para: Establecer Implementar Operar Monitorear Revisar Mantener Mejorar Un Sistema de Gestión de Seguridad de la Información 2

3 El Standard SGSI Vista Histórica Implementación Certificación BS Parte 1 - Febrero 1995 BS Parte 2 - Febrero 1998 ISO 17799:2000 BS :2002 ISO/IEC 17799:2005 ISO/IEC 27002:2005 UNE 71502:2004 ISO/IEC ISO/IEC 27001: :2005 UNE 3

4 Etapas de Certificación Si Preparación Auditoría de Certificación Cumple? Certificación No Remediación 4

5 Como es el SGSI?? 5

6 Componentes del SGSI Política de Seguridad alineada al negocio Organización de la seguridad Control de activos asociados a la información Seguridad de los RR HH Seguridad Física y Ambiental Gestión de las comunicaciones y operaciones Control de acceso Adquisición, desarrollo y mantenimiento de los sistemas Gestión de incidentes de seguridad Gestión de la continuidad del negocio Cumplimiento legislativo y normativo 6

7 Componentes del SGSI Política de Seguridad alineada al negocio Documento y registro de revisiones Organización de la seguridad Organigrama del área de S.I. Misión y Visión de S.I. Descripción de responsabilidades, roles y funciones Acuerdos de confidencialidad Cláusulas de seguridad en contratos de terceros 7

8 Componentes del SGSI Control de activos asociados a la información Inventarios de hardware, software, aplicaciones y DBMS Norma de uso aceptable de los activos Designación de los propietarios de activos Norma de clasificación de la información Seguridad de los recursos humanos Procedimiento de chequeo de postulantes a empleo Cláusulas de seguridad en los contratos de terceros Capacitación/concientización según necesidades de la posición Controles al término del empleo 8

9 Componentes del SGSI Seguridad física y ambiental Controles de acceso físico Detección de humo e intrusión Suministro continuo de energía Disponibilidad de mantenimiento de Hw y Sw Seguridad de los dispositivos móviles 9

10 Componentes del SGSI Gestión de comunicaciones y operaciones Procedimientos operativos Procedimientos de control de cambios y separación de ambientes Capacity Planning Antivirus/Antispyware Procedimiento de back up/restore Diseño seguro de los servicios de red Procedimientos de gestión de medios removibles Procedimiento de manejo de información Seguridad en comercio electrónico Gestión de logs 10

11 Componentes del SGSI Control de acceso Política de control de accesos Procedimiento de administración de usuarios Uso de claves y cuidado del equipamiento Política de acceso a las redes (local y remoto) Identificación y registro de usuarios Política de tele-trabajo Desarrollo y mantenimiento de los sistemas Seguridad en el ciclo de vida de los sistemas Controles criptográficos Procedimientos de prueba 11

12 Componentes del SGSI Gestión de incidentes Procedimiento de manejo de incidentes Integración de los incidentes al proceso de mejora continua Gestión de la continuidad comercial Evaluación del riesgo de los activos de información Plan de continuidad del negocio Cumplimiento Procedimientos de uso de propiedad intelectual Cumplimiento Ley Habeas Data y normativa aplicacble Registro de auditorías de sistemas de información 12

13 Cómo nos preparamos? 1 Paso: Definir alcance de la certificación 2 Paso: Gap Analysis de las 11 dimensiones Def. Recursos Priorización 3 Paso: Definición y ejecución del Plan 13

14 Alcance de la Certificación El SGSI no necesariamente debe abarcar toda la Organización Puede acotarse a: Una Unidad de Negocios Un sector de la Organización Un Centro de Procesamiento 14

15 Gap Analysis Se identifican áreas de incumplimiento Se categorizan según criticidad Se definen acciones de remediación 15

16 Preparación Se identifican recursos humanos y materiales Se arma y ejecuta un Plan de trabajo Se hace una revisión previa a la auditoría 16

17 PREGUNTAS Contacto: CYBSEC S.A Security Systems 17

18 MUCHAS GRACIAS!!! 18