02 Metodología SGSI

8/17/2019 02 Metodología SGSI

1/54

Metodología de implementación delSGSI

Recopilado por Max Alonzo H. junio 201 ! actualización ma"o 201#


2/54

INDICE

9 Claves delexito

1. Enfoque Inicial

2. Apoyo a la gestión3. Alcance4. Plani cación5. Comunicación

6. E aluación !el"iesgo#. $elección !e

cont"oles%. &ocumentación'. Ensayo ()est*


3/54

9 Claves del exito


4/54


5/54

Enfoque inicial

C)IC+,-I' Cla es !el

e ito


6/54

Enfoque inicial

C)IC+,-I

' Cla es !ele ito

•,n /uen inicio te ga"anti0a el 5 !el p"oyecto.•El l !e" !el p"oyecto tiene que comp"en!e" que tiene quea!minist"a" los "ecu"sos y el tiempo a!ecua!amente.•Casi a to!o el mun!o no le gusta el cam/io . a mayo" a !e

la gente e" un p"oyecto $ $I como algo que apo"ta tantoel cam/io y lo !esconoci!o en su i!a la/o"al. $e tiene !osg"upos !e pe"sonas unas que an a apoya" y ot"as que ana esta" pasi as.•El g"upo que li!e"a el p"oyecto !e/e p"opo"ciona" el

entusiasmo8 y la ce"te0a y la comp"ensión !e lo que est en 9uego.

•El p"oyecto no !e/e pe"!e" c"e!i/ili!a! .


7/54

El $ $I !e/e se" c"ea!o pa"a log"a" el : ito8 esto signi ca;• Conoce" y se" capa0 !e comunica" cla"amente la "a0ón po"la segu"i!a! !e la info"mación.

• Conoce" espec camente la "a0ón po"que la I$< 2# 1 es lamane"a !e p"opo"ciona" la segu"i!a! !e la info"mación yesto tam/i:n signi ca tene" un conocimiento !e la no"ma ycómo funciona .

• Conoce" la fo"ma en que el p"oyecto a a se" est"uctu"a!a8cuales son los elementos cla e8 y po" qu: esta es la me9o"mane"a !e =ace"lo.

• $a/e" si a a utili0a" consulto"es o =ace"lo po" s solo 8 y!ete"mina" las enta9as y !es enta9as.

Enfoque inicial


e ito


8/54

Apoyo a la gestión


e ito


9/54

Apoyo a lagestión


e ito

APOYO DE LA DIRECCION• a segu"i!a! !e la info"mación es tanto una cuestión !egestión y la go/e"nan0a. El : ito !e la aplicación !e un $ $I!epen!e a/solutamente en que el p"oyecto tenga un apoyo"eal !e la pa"te supe"io" !e la o"gani0ación .

• El P"oyecto !el $ $I no es un p"oyecto !e )I 8 es un p"oyectoest"at:gico8 a!em s no es una acti i!a! !e /a9o impacto.


10/54

Apoyo a lagestión


e ito

ALINEAMIENTO ESTRATEGICO• El $ $I !e/e esta" alinea!o con los mo!elos8 est"ategias ymetas !el negocio y tiene que se" la p"io"i!a! y asigna"leun ni el a!ecua!o !e "ecu"sos.

• Es necesa"io sa/e" cuales son los "iesgos est"at:gicos queenf"enta la o"gani0ación8 y cómo estos se "e>e9an y sep"io"i0an en los "iegos !e la segu"i!a! !e la info"mación.


11/54

GestiónInstitucional

Apoyo a lagestión


e ito


12/54

-ecesi!a! !elog"a"

o/9eti os


13/54

Apoyo a lagestión


e ito

PRIORI ACI!N Y APRO"ACI!N• -o solo es su ciente que se cono0ca que el p"oyecto !el$ $I es impo"tante8 tienes que lle a"lo a un comit: pa"aque lo entien!a y le !en los "ecu"sos =umanos y nancie"osnecesa"ios .

• El esta/lecimiento !e p"io"i!a!es !e su p"oyecto en "elacióncon to!os los !em s p"oyectos y acti i!a!es !ent"o !e lao"gani0ación !e/e que!a" cla"o.


14/54

Apoyo a lagestión


e ito

GESTION DE CAM"IOS•El $ $I no es algo que simplemente pue!e se" in9e"ta!a enla o"gani0ación e istente o const"ui!o en los p"ocesose istentes.•El : ito !e la aplicación !e un $ $I no "equie"e un !etalla!op"og"ama !e gestión !e cam/io est"at:gico in!i i!ual 8 po" elcont"a"io !e/e inco"po"a" a equipos !e t"a/a9o . $e !e/eesta/lece" con completa cla"i!a! ante el pe"sonal !i"ecti osupe"io"8 los enca"ga!os !e con!uci" el p"oyecto =aciaa!elante8 y aquellos cuyas p" cticas !e t"a/a9o se e" nafecta!os8 en cuanto a po" qu: el cam/io es necesa"io.


15/54

Apoyo a lagestión


e ito

#$NCION DEL DIRECTOR GENERAL•&e/e se" la fue"0a impulso"a !et" s !el p"og"ama y el log"o!e la ce"ti cación I$< 2# 1 !e/e" a se" un cla"o o/9eti o !elactual plan !e negocios.• )iene que enten!e" completamente las cuestionesest"at:gicas en to"no a la go/e"nan0a !e )I y la segu"i!a! !ela info"mación y el alo" a la emp"esa !e ce"ti cación con: ito.•Capaci!a! !e a"ticula" las o/9eciones y cuestiones que seplantean pa"a po!e" mantene" el p"oyecto en el /uen camino=acia sus o/9eti os est"at:gicos.


16/54

Apoyo a lagestión


e ito

COMPROMISO DEL DIRECTOR GENERAL•Comp"ensión !e los /ene cios emp"esa"iales .• le a" una p"esentación a la ?esa &i"ecti a 8 a los e9ecuti osy a to!a la o"gani0ación.•-om/"a" a los altos e9ecuti os pa"a apoya" el p"oyecto.•Esta/lece" cla"amente las p"io"i!a!es !el p"oyecto .


17/54

Apoyo a lagestión


e ito

APOYO A LA GESTION DE LOS E%EC$TI&OSEl $ $I es un p"oyecto que a/a"ca to!as las pa"tes !e lao"gani0ación8 po" ello es necesa"io esta" segu"o !e que to!ossus p"incipales e9ecuti os pa"ticipen .1. Con gu"ación !e una o"gani0ación inte"secto"ial !e

!i"ección pa"a con!uci" el p"oyecto.2. El &i"ecto" ene"al !e/e" a =ace" la p"ime"a p"esentación

a la !i"ección !el g"upo .


18/54

Alcance


e ito


19/54

Alcance


e ito

•Es fun!amental sa/e" !e los l mites !el p"oyecto a e9ecuta" 8as como las asocia!as al $ $I.•Es esencial pa"a cualquie" tama@o !e la o"gani0acióni!enti ca" que acti os !e info"mación se an a p"otege" ycu les no8 incluso muc=os antes !e po!e" !eci!i" so/"e lap"otección a!ecua!a.•I$< 2# 1 e ige e pl citamente i!enti ca" lo que est fue"a!el alcance !e su $ $I as como su e clusión.


20/54

Alcance


e ito

EN#O'$E DE LA SEG$RIDAD•En el ento"no emp"esa"ial actual8 su /a""e"a !efensi a tieneque funciona" y !epen!e en g"an me!i!a !e los usua"ios .•Pue!e se" =ec=o so/"e la /ase emp"esa"ial8 !e o"gani0ación est"uctu"a !e gestión8 o so/"e la /ase !e la u/icacióngeog" ca .•El $ $I que a/a"ca to!as las acti i!a!es !ent"o !e laEmp"esa .


21/54

Alcance


e ito

DE#INICION DE LOS LIMITES• mites son i!enti ca/les f sicamente o lógicamente y est n!e ni!os en t:"minos !e la o"gani0ación y u/icacionesgeog" cas.• os limites !e/en tene" su p"opio conse9o !e a!minist"acióno !e gestión !e equipo8 su p"opio apoyo funcional8 susp"opios locales8 y su p"opia "e!.• )o!a e clusión no !e/e soca a" la segu"i!a! !e lao"gani0ación .•&e/e =a/e" l mites cla"os (!e ni!os en función !e lasca"acte" sticas !e la o"gani0ación8 pol ticas8 su u/icación8 los

acti os y la tecnolog a*.


22/54

Alcance


e ito

MAPEO DE LAS REDES DE TRA"A%O•?uest"a la fo"ma en que su a!minist"ación cent"al8 lossistemas !e info"mación y enlaces8 to!os 9untos inte"actBancon el "esto !el mun!o.•Es necesa"io i!enti ca" en !etalle to!os los !ispositi os8equipos8 con gu"ación8 funciones8 sistemas8 cone ionesf sicas8 etc.


23/54

Alcance


e ito

ATA%OS•Es un e""o" se" "est"icti o sin 9usti cación 8 po" e9emploi!enti ca" un alcance que incluya sólo una o cina cent"al.•Esa es la "a0ón po" la o/ligación !e 9usti ca" la e clusión !el

m/ito !e aplicación se =a int"o!uci!o en la no"ma I$<2# 1.


24/54


25/54

Planificación


e ito


26/54

Plani cación


e ito

(C!MO IMPLEMENTAR EL SGSI)Pa"a esta/lece" y gestiona" un $istema !e estión !e la$egu"i!a! !e la Info"mación en /ase a la I$< 2# 1;2 58 seutili0a el ciclo ite"ati o P&CA .

Plan (Plani ca"* + &o ( ace"* + C=ecD ( e"i ca"* + Act(Actua"*


27/54

Plani cación


e ito


28/54

Est*ate+ia ,a*a i-,le-enta*el SGSI(FA$A&< E- A ,IA P?F


29/54

O*+ani+*a-a

Plani cación


e ito


30/54

Plani cación


e itoEst*ate+ia ,a*a i-,le-enta* el SGSI en

una Institución


31/54

Conside*aciones ;pe"sonal8 "ecu"sosinfo"maticos8 consulto"es8etc.Monito*eo2&ocumento !e aplica/ili!a!

implementacion !econt"oles8 au!ito"ia8 etc.

P*o/ectos in3o*-aticos2Ca/lea!o est"uctu"a!oPlan !e contingenciaHi"mas elect"onicas&ata cente" (se" i!o"es8ai"e acon!iciona!o8etec.*

Est*uctu*a de

Costos

Plani cación


e ito


32/54

Comunicación


e ito


33/54

Comunicación


e ito

•$e !e/e aplica" los p"incipios !e comunica" y comunica"se

con f"ecuencia .•El : ito !el !espliegue !e un $ $I8 implica un /uen !ise@o yaplicación efecti a !el plan !e comunicación inte"na .•El cumplimiento con la no"ma I$< 2# 1 y el senti!o comBnsugie"en que los componentes p"incipales !e este plan !e/einclui";

Comunicación !e a""i/a a a/a9o !e la segu"i!a! !e lainfo"mación.$esiones o"!ina"ias !e info"mación en casca!a a to!o elpe"sonal so/"e los p"og"esos cont"a el plan !e e9ecución!e o/9eti os.,n mecanismo pa"a asegu"a" que los p"incipales g"upose in!i i!uos !ent"o !e la emp"esa sean consulta!os ypa"ticipen en el !esa""ollo !e los componentes cla e !elsistema.

as comunicaciones ca"a a ca"a !e/en se" "espal!a!os

con un sistema efecti o !e info"mación. (/oletines8co""eos mensa es etc.


34/54

ACEPTACION DEL PERSONAL• a info"mación inicial que !e/e conoce" el pe"sonal y la queacompa@a al p"oyecto es muy impo"tante8 en ella se !e/eesta/lece" cla"amente la natu"ale0a !e las amena0as queenf"enta la o"gani0ación y el coste posi/le8 nancie"os comono nancie"os p"o!ucto !e las iolaciones !e la segu"i!a! !ela info"mación.•,na fo"ma !e consegui" la aceptación !el usua"io es lat"a!ucción cla"a !e info"mación !e "iesgos !e segu"i!a! ytecnolog a en gene"al en función al negocio.

Comunicación


e ito


35/54

Comunicación


e ito

IN#ORMAR SO"RE LAS POLITICAS DE SEG$RIDAD• a info"mación so/"e la pol tica !e segu"i!a! y los "equisitosen mate"ia !e segu"i!a! !e la info"mación !e/e se" un!ocumento /"e e 8 pe"o =a !e captu"a" los "equisitos8 la"eali!a! !e o"gani0ación y cumpli" la no"mati i!a!.• )am/i:n "eque"i" la pa"ticipación !e to!os los emplea!os enla o"gani0ación y pue!en "eque"i" la pa"ticipación !e clientes8p"o ee!o"es8 accionistas y ot"os te"ce"os. Esta es una pa"te!el conte to !el $ $I.


36/54

Evaluación del riesgo


e ito

)


37/54

E aluación !el"iesgo


e ito

E&AL$ACI!N DEL RIESGO ES EN EL CORA !N DEL SGSI4•$u impo"tancia pa"a el p"oceso glo/al es fun!amental8 y esuna !e las cla es pa"a el : ito !el p"oyecto.• a 9unta a!opta una pol tica !e segu"i!a! !e la info"maciónpo"que e iste un nBme"o !e "iesgos impo"tantes que atentancont"a la !isponi/ili!a!8 con !enciali!a! e integ"i!a! !e lainfo"mación !e la o"gani0ación.• a o"gani0ación "equie"e sa/e" cual es el c"ite"io pa"ae alua" los "iesgos y el t"atamiento !e los mismos.

C)IC I


38/54

)o!a meto!olog a es /uena si i!enti ca los acti os8 amena0as8

ulne"a/ili!a!es y alo"i0a el "iesgo en función al impacto y sup"o/a/ili!a!.



e ito

C)IC I


39/54

Le/endaClasi cación ; Catego"i0ación;1. $ensi/le 1. Info"mación f sica

2. Con !encial 2. Info"mación lógica3. Inte"no 3. Info"mación aui!iti a4. Pu/lico 4. $oft a"e 5. a"! a"e

6. $e" icios #. Pe"sonal %. Intangi/le

&alo*i5acion del activo



e ito

C)IC I


40/54

Decla*ación del *ies+o



e ito

C)IC I


41/54

PCI N DE !ED"CCI NDE# !IE$%

PCI N E&I'A!E# !IE$%

PCI N DE'!AN$(E!ENCIA DE#

!IE$%

I)P#AN'A!C N'! #E$

# $ C N'! #E$ $ NEC N )ICA)EN'E

(AC'I*#E$ DEI)P#AN'A!# $+

#A$ C N$EC"ENCIA$ $ NEC N )ICA)EN'EDE$&A$'AD !A$+

# $ C N'! #E$ PE!)I'ENDI$)IN"I! # $ !IE$% $

A C NDICI NE$ ACEP'A*#E$+

PCI N DE ACEP'ACI N DE#

!IE$%

$I

$I

$I

N

N

N

T*ata-iento del *ies+o



e ito

C)IC I


42/54

$elección de controles


e ito

C)IC+ I


43/54

$elección !econt"oles


e ito

•El "iesgo es la com/inación !e la p"o/a/ili!a! !e un e ento ysus consecuencias8 el cont"ol es !e ni!o como el me!io pa"agestiona" el "iesgo .•El "iesgo "esi!ual es el que que!a luego !e implementa"nue os o me9o"es cont"oles.•En la p" ctica no e iste un sistema li/"e !e "iesgos 8 y noto!os los cont"oles implementa!os pue!en elimina" el "iesgoo "e!uci"lo a ni el .• os cont"oles lo seleccionamos !e la I$< 2# 2 8 o !ecualquie" ot"a no"ma Co/it8 I)I 8 etc.

C)IC+ I


44/54

Acti$o%! In&ormaciónde la 'rganización

(ontrole% Admini%trati$o%

(ontrole% )*cnico%

(ontrole% +í%ico%

Cont*olesAd-inist*ativos

Pol ticas8 est n!a"es8p"oce!imientos8gu as8 $elección !ePe"sonal8Ent"enamiento yE!ucación !e $egu"i!a!

Cont*olesT6cnicos

Cont"oles !e accesoógico8

Enc"iptación8&ispositi os !esegu"i!a!8I!enti cación yAutenticación

Cont*oles#7sicos

P"otección !e lasHacili!a!es8 gua"!ias!e segu"i!a!8 ce""a!u"as8Cont"ol am/iental8&etección !e Int"usos

os cont"oles a!minist"ati os8 t:cnicos y f sicos !e/en !e t"a/a9a" sin:"gicamentepa"a p"otege" los acti os !e info"mación !e la o"gani0ación.

A M

E N A A S A

M E N A

A S



e ito

C)IC+ I


45/54

Amena0a ulne"a/ili!a! Acti o

( o r r

e c t i $ o

, r e $

e n t i $

o

- e t e

c t i $ o

, e r %

u a % i $

o



e ito'ue ti,o de cont*ol es el -8s adecuado4

C)IC+ I


46/54

ACTI&O AMENAA

NI&ELDERIESGO

CONTROLACT$AL

CONTROLRE'$ERIDO

GAP ACCIONRE'$ERIDA

RESPONSA"LE

-om/"eP"opieta"ioClasi cacion

-atu"alumano

)ecnologico

Alto?e!ioFa9o

Antimal+Ja"e engate ay

Antimal+ a"een!esDtop

-oe isteantimal+Ja"e en!esDtop

$eleccionaA!qui"i"y!esplega" elcont"ol

)ecnolog a

Plan de t*ata-iento del *ies+o



e ito

C)IC+ I


47/54

A 4 POL;TICA DE SEG$RIDAD4 ESTADO DELCONTROL4


48/54

Documentación


e ito

C)IC+ I


49/54

&ocumentación


e ito

• a !ocumentación se" el consumo !e la mayo" canti!a! !etiempo !e to!o el p"oyecto 8 estos incluyen;• as pol ticas !e segu"i!a!8 el alcance8 e aluación !el "iesgo8los o/9eti os !e los cont"oles y el !ocumento !e aplica/ili!a!.•E i!encias !e las acciones (actas8 info"mes8 etc.*•&esc"ipción !el ma"co !e la gestión (!iag"ama !ecomponentes8 "e!es8 o"gani0ación8 etc.*.•Plan !e t"atamiento !e "iesgo.• os p"oce!imientos que incluye "esponsa/ili!a!es8 "egist"os8acciones "eque"i!as8 etc.

C)IC+ I


50/54

Los niveles de losdocu-entos

&ocumentación


e ito

C)IC+ I


51/54

Desc*i,ción Ensa/o Ex,e*tosexte*nos

@e**a-ientas / +u7as

Enten!e" laspol ticas

1 mes 1 semana 1 semana

Plani ca" 1 mes 1 semana 1 semanaPol ticas 1 mes 1 mes 1 semana&ocumento !eaplica/ili!a!

2 meses 2 meses 2 K 4 meses

P"oce!imientos

4 K 6 meses 3 K 5 meses 1 K 2 meses

&iag"amas einst"ucti os

5 K ' meses 4 K 6 meses 2 K 4 meses

)


52/54

Ensayo ,'est-


e ito

C)IC+ I


53/54

• a ultima cla e !el : ito es testea" to!o el $ $I .•El $ $I tiene que t"a/a9a" en el mun!o "eal8 po" lo tanto se"equie"e !os cosas; que los cont"oles t"a/a9en segBn lop"e isto y en el caso !e !es/o"!e8 las me!i!as !eeme"gencia !e/en t"a/a9a" /ien.•El enfoque P&CA se aplica al !espliegue glo/al !el $ $I ytam/i:n pa"a el !espliegue !e cont"oles in!i i!uales.

Ensayo ()est*


e ito

C)IC+ -I


54/54

Ensayo ()est*


e ito

E isten cuat"o tipos !e p"ue/a;• a p"ime"a es una au!ito" a 8 es solicita" una !emost"ación

!e que lo que se !esc"i/e en el p"oce!imiento es lo que"ealmente suce!e.

• El segun!o es un !ocumento !e p"ue/a limita!a (e cacia*8"equie"e esta" familia"i0a!o con las ulne"a/ili!a!es en elacti o8 cont"oles y los mecanismos y maquilla9e !e lasp"o/a/les amena0as.

• El te"ce"o es un test "eal (p"ue/as !e penet"ación8 "e isión!e "egist"os !e cont"oles*.

• El cua"to es la p"ue/a !e escena"ios (planes !e continui!a!

!e negocio*.

02 Metodología SGSI

Documents

Transcript of 02 Metodología SGSI