Octubre, 2009

Expositor: Maricarmen GarcíaRisk Product Manager

BSI Group México

Lecciones aprendidas en la Implementación de Sistemas de Gestión de Seguridad de la Información bajo el

estándar ISO 27001

• Introducción

• Lecciones aprendidas por empresas que han implementado y certificado

• Reflexiones

Agenda:

Introducción

Introducción

Un Sistema de Gestión de Seguridad de la Información, protege a los activos de información más valiosos de las empresas mediante la gestión adecuada de riesgos de seguridad de la información, con el objeto de implementar controles que garanticen la adecuada protección de los mismos.

Introducción

Un SGSI cuenta con una estructura específica y constituido con ciertos

elementos claves.

IntroducciónUna vez contemplado el alcance, límites y objetivos de

un SGSI, los elementos clave, como punto de partida de una implementación adecuada son

principalmente:1. Identificación de Activos

2. Análisis y Evaluación de Riesgos (vulnerabilidades, amenazas, impactos, posibilidad)

1. Tratamiento de Riesgos (Decisión del riesgo = Aceptar, Evitar, Transferir, Controlar)

Introducción

4. Declaración de aplicabilidad - SoA(Selección de controles del Anexo A, para riesgos que se han decidido controlar)

4. Implementación de Controles declarados en el SoA

5. Política del SGSI

6. Documentación y registros específicos del SGSI

Introducción

8. Procesos y políticas del SGSI

9. Procedimientos de Auditorías Internas

10. Procedimientos de acciones preventivas y correctivas

11. Revisiones de la dirección

Lecciones aprendidas

Lecciones aprendidas por empresas que han implementado y certificado

• Lección 1.

Creer que la implementación de controles de seguridad es “el todo” sin considerar

los elementos clave de un SGSI.

Lecciones aprendidas por empresas que han implementado y certificado

• Lección 2.

Una buena selección de un método de análisis de riesgos asegura el

cumplimiento de una adecuada implementación de un SGSI.

Lecciones aprendidas por empresas que han implementado y certificado

• Lección 3.

Un SGSI adecuadamente implementado o certificado, no exime a las organizaciones

del cumplimiento legal o regulatorio aplicable a las mismas.

Lecciones aprendidas por empresas que han implementado y certificado

• Lección 4.

Es un error considerar que mientras un SGSI cuente con la mayor parte de los

133 controles señalados en el ISO 27001, se garantiza una mejor seguridad

de la información.

Lecciones aprendidas por empresas que han implementado y certificado

• Lección 5.

Sin el apoyo formal real de la Alta Dirección en las empresas, es imposible demostrar el logro del cumplimiento de

una implementación

Lecciones aprendidas por empresas que han implementado y certificado

• Lección 6.

La concientización en seguridad de la información es un proceso continuo que

mediante un programa de formación permite formar una cultura en seguridad

de la información en el activo más valioso de información (gente) de las

empresas.

Lecciones aprendidas por empresas que han implementado y certificado

• Lección 7.

Un SGSI debe operarse día a día, incorporando una adecuada a la gestión de riesgos e incidentes del día a día en la

empresa.

Lecciones aprendidas por empresas que han implementado y certificado

• Lección 8.

Lograr un certificado de registro por una entidad certificadora es “sencillo” siempre y cuando se cumplan los

criterios definidos en el estándar. Lo “difícil” es mantener el cumplimiento

mediante auditorías de mantenimiento al SGSI.

Lecciones aprendidas por empresas que han implementado y certificado

• Lección 9.

Un SGSI debe de garantizar la continuidad de los procesos definidos en su alcance, por lo que la

planeación de la continuidad debe de alinearse a ello y demostrar que en caso de un

incidente se pueda seguir operando considerando los temas de seguridad que le

corresponda tratar.

Reflexiones

Reflexiones

¿Si la información de nuestra organización es de interés público, debe darse a

conocer?

Al dar a conocer el logro de una implementación o la obtención de un

certificado de registro de un SGSI ¿qué implicaciones tiene?

Gracias

BSILíder Global

• Certificador global líder con más de 68,000 localidades y clientes certificados en más de 120 países

• Líder en auditorías y certificaciones de: Continuidad del Negocio – BS 25999 Seguridad de la Información – ISO/IEC 27001 Gestión de Servicios TI – ISO/IEC 20000 Calidad – ISO 9001 Gestión Ambiental – ISO 14001 Automotriz – ISO/TS 16949 Aeroespacial – AS9100 Salud y Seguridad – OHSAS 18001 Alimentos – ISO 22000

Contáctenos

Oficina Ciudad de México

Torre Mayor

Paseo de la Reforma No.505 Piso 41 Suite C

México, Distrito Federal

+52 (55) 5241 1370

+52 (55) 5241 1371

23

Oficina Monterrey, Nuevo León

Torre Capitel

Av. Lázaro Cárdenas No.1810 Piso 9 Suite 908

Monterrey, NL

+52 (81) 8155 6100

+52 (81) 8155 6105

informacion.msmexico@bsigroup.com

www.bsigroup.com.mx