Claconsi 2012 bsi-lecciones aprendidas sgsi
-
Upload
maricarmen-garcia-de-urena -
Category
Business
-
view
254 -
download
3
Transcript of Claconsi 2012 bsi-lecciones aprendidas sgsi
Octubre, 2009
Expositor: Maricarmen GarcíaRisk Product Manager
BSI Group México
Lecciones aprendidas en la Implementación de Sistemas de Gestión de Seguridad de la Información bajo el
estándar ISO 27001
• Introducción
• Lecciones aprendidas por empresas que han implementado y certificado
• Reflexiones
Agenda:
Introducción
Un Sistema de Gestión de Seguridad de la Información, protege a los activos de información más valiosos de las empresas mediante la gestión adecuada de riesgos de seguridad de la información, con el objeto de implementar controles que garanticen la adecuada protección de los mismos.
Introducción
Un SGSI cuenta con una estructura específica y constituido con ciertos
elementos claves.
IntroducciónUna vez contemplado el alcance, límites y objetivos de
un SGSI, los elementos clave, como punto de partida de una implementación adecuada son
principalmente:1. Identificación de Activos
2. Análisis y Evaluación de Riesgos (vulnerabilidades, amenazas, impactos, posibilidad)
1. Tratamiento de Riesgos (Decisión del riesgo = Aceptar, Evitar, Transferir, Controlar)
Introducción
4. Declaración de aplicabilidad - SoA(Selección de controles del Anexo A, para riesgos que se han decidido controlar)
4. Implementación de Controles declarados en el SoA
5. Política del SGSI
6. Documentación y registros específicos del SGSI
Introducción
8. Procesos y políticas del SGSI
9. Procedimientos de Auditorías Internas
10. Procedimientos de acciones preventivas y correctivas
11. Revisiones de la dirección
Lecciones aprendidas por empresas que han implementado y certificado
• Lección 1.
Creer que la implementación de controles de seguridad es “el todo” sin considerar
los elementos clave de un SGSI.
Lecciones aprendidas por empresas que han implementado y certificado
• Lección 2.
Una buena selección de un método de análisis de riesgos asegura el
cumplimiento de una adecuada implementación de un SGSI.
Lecciones aprendidas por empresas que han implementado y certificado
• Lección 3.
Un SGSI adecuadamente implementado o certificado, no exime a las organizaciones
del cumplimiento legal o regulatorio aplicable a las mismas.
Lecciones aprendidas por empresas que han implementado y certificado
• Lección 4.
Es un error considerar que mientras un SGSI cuente con la mayor parte de los
133 controles señalados en el ISO 27001, se garantiza una mejor seguridad
de la información.
Lecciones aprendidas por empresas que han implementado y certificado
• Lección 5.
Sin el apoyo formal real de la Alta Dirección en las empresas, es imposible demostrar el logro del cumplimiento de
una implementación
Lecciones aprendidas por empresas que han implementado y certificado
• Lección 6.
La concientización en seguridad de la información es un proceso continuo que
mediante un programa de formación permite formar una cultura en seguridad
de la información en el activo más valioso de información (gente) de las
empresas.
Lecciones aprendidas por empresas que han implementado y certificado
• Lección 7.
Un SGSI debe operarse día a día, incorporando una adecuada a la gestión de riesgos e incidentes del día a día en la
empresa.
Lecciones aprendidas por empresas que han implementado y certificado
• Lección 8.
Lograr un certificado de registro por una entidad certificadora es “sencillo” siempre y cuando se cumplan los
criterios definidos en el estándar. Lo “difícil” es mantener el cumplimiento
mediante auditorías de mantenimiento al SGSI.
Lecciones aprendidas por empresas que han implementado y certificado
• Lección 9.
Un SGSI debe de garantizar la continuidad de los procesos definidos en su alcance, por lo que la
planeación de la continuidad debe de alinearse a ello y demostrar que en caso de un
incidente se pueda seguir operando considerando los temas de seguridad que le
corresponda tratar.
Reflexiones
¿Si la información de nuestra organización es de interés público, debe darse a
conocer?
Al dar a conocer el logro de una implementación o la obtención de un
certificado de registro de un SGSI ¿qué implicaciones tiene?
BSILíder Global
• Certificador global líder con más de 68,000 localidades y clientes certificados en más de 120 países
• Líder en auditorías y certificaciones de: Continuidad del Negocio – BS 25999 Seguridad de la Información – ISO/IEC 27001 Gestión de Servicios TI – ISO/IEC 20000 Calidad – ISO 9001 Gestión Ambiental – ISO 14001 Automotriz – ISO/TS 16949 Aeroespacial – AS9100 Salud y Seguridad – OHSAS 18001 Alimentos – ISO 22000
Contáctenos
Oficina Ciudad de México
Torre Mayor
Paseo de la Reforma No.505 Piso 41 Suite C
México, Distrito Federal
+52 (55) 5241 1370
+52 (55) 5241 1371
23
Oficina Monterrey, Nuevo León
Torre Capitel
Av. Lázaro Cárdenas No.1810 Piso 9 Suite 908
Monterrey, NL
+52 (81) 8155 6100
+52 (81) 8155 6105
www.bsigroup.com.mx