Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información...

48
Taller: “Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información” Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010

Transcript of Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información...

Page 1: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Taller:

“Estrategias para la Implementación de un Sistema

de Gestión de Seguridad de Información”

Miami - 2010

© Banco de Chile – Eduardo Recabarren - 2010

Page 2: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Antes de comenzar …

• Recomendaciones de la sala

• Uso de teléfonos móviles, notebooks y PDA

• No fumar

• Salidas de Emergencia

© Banco de Chile – Eduardo Recabarren - 2010

Page 3: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

FACILITADOR

Eduardo A. Recabarren Domínguez

Oficial de Privacidad y Seguridad del Banco de Chile

Licenciado en Ciencias de la IngenieríaIngeniero en Computación e Informática

Ingeniero Civil Industrial

© Banco de Chile – Eduardo Recabarren - 2010

Page 4: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Agenda

Definiciones , Aspectos Conceptuales, Tendencias

Metodología propuesta para Implementación SGSI, según ISO27001:2005

Descripción en Detalle

Conclusiones

1

2

3

4

5

Introducción

© Banco de Chile – Eduardo Recabarren - 2010

Page 5: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

1

El Banco de Chile, fundado en 1893, ha liderado el mercado financiero chileno como uno de los

bancos más exitosos en términos de

retorno de activos y en la creación de

mayor valor para sus accionistas

2

Estrategia multimarca, en que las marcas

Banco de Chile y Banco Edwards-Citi cubren los

segmentos de empresas y personas,

mientras que el segmento de consumo

es atendido bajo la marca Banco

Credichile, a través de redes de distribución independientes y de cobertura nacional

3

El 2 de enero del 2008 nace un nuevo Banco de Chile, a raíz de la

fusión que se produce entre éste y Citibank

Chile.• Participación de Mercado

en torno al 20% de las colocaciones del Sistema• Más de 1,5 millones de

clientes• Más de 400 sucursales.

• Nuevas ventajas competitivas.

© Banco de Chile – Eduardo Recabarren - 2010

¿Quiénes somos?

Page 6: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

- Gerente General - Gerente División Gestión y Control Financiero

- Gerente División Operaciones y Tecnología - Gerente División de Calidad - Gerente División Contraloría

- Gerente Seguridad y Prevención de Riesgo - Gerente de Riesgo Operacional

- Gerente General - Gerente División Gestión y Control Financiero

- Gerente División Operaciones y Tecnología - Gerente División de Calidad - Gerente División Contraloría

- Gerente Seguridad y Prevención de Riesgo - Gerente de Riesgo Operacional

Seguimiento, control deavance y escalamiento

Seguimiento, control deavance y escalamiento PMO

- Gerente de Riesgo Operacional - Gerente Operaciones Especializadas Tesorería

- Gerente de Contraloría - Gerente Servicio Cliente

- Jefe Área Consumo - Jefe Depto. Riesgo Operacional

- Gerente Serv. Procesamiento e Infraestructura- Gerencia Zonal

- Gerente Operaciones Productos Masivos

- Gerente de Riesgo Operacional - Gerente Operaciones Especializadas Tesorería

- Gerente de Contraloría - Gerente Servicio Cliente

- Jefe Área Consumo - Jefe Depto. Riesgo Operacional

- Gerente Serv. Procesamiento e Infraestructura- Gerencia Zonal

- Gerente Operaciones Productos Masivos Comité Operativo de Riesgo Operacional

CERO - Comité Ejecutivode Riesgo Operacional

Gerencia Riesgo Operacional

AREA RIESGO OPERACIONAL AREA SEGURIDAD DE LA INFORMACION

AREA CONTINUIDAD DEL NEGOCIO

Autoevaluación de Riesgo Operacional Proceso SOX

Matriz de Autoevaluación (MAE )Proceso de Castigos

Evaluación de Proveedores (SAS 70)Evaluación nuevos procesos y productos

Educación

Autoevaluación de Riesgo Operacional Proceso SOX

Matriz de Autoevaluación (MAE )Proceso de Castigos

Evaluación de Proveedores (SAS 70)Evaluación nuevos procesos y productos

Educación

Proyectos Tecnológicos Administración de Infraestructura TI

Evaluación de Riesgo Aceptación de riesgo

Comité Administración de Incidentes (SIRT) Comité de Arquitectura Tecnológica (CAT)

Educación

Proyectos Tecnológicos Administración de Infraestructura TI

Evaluación de Riesgo Aceptación de riesgo

Comité Administración de Incidentes (SIRT) Comité de Arquitectura Tecnológica (CAT)

Educación

Modelo de ContinuidadDefinición Procesos Críticos

Planes de Continuidad del NegocioPlan de Recuperación de Desastres

Comité Administración de Crisis Coordinación de Pruebas

Educación

Modelo de ContinuidadDefinición Procesos Críticos

Planes de Continuidad del NegocioPlan de Recuperación de Desastres

Comité Administración de Crisis Coordinación de Pruebas

Educación

Estructura Gobierno de SI…

© Banco de Chile – Eduardo Recabarren - 2010

Page 7: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Agenda

Definiciones , Aspectos Conceptuales, Tendencias

Metodología propuesta para Implementación SGSI - ISO/IEC 27001

Paso a Paso…

Conclusiones

1

2

3

4

5

Introducción

© Banco de Chile – Eduardo Recabarren - 2010

Page 8: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Algunas Definiciones Previas..

Seguridad de la Información (SI).- Preservación de la confidencialidad, integridad y disponibilidad de la información; adicionalmente autenticidad, responsabilidad, no repudio y confiabilidad.

SGSI.- es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la información.

Activo.- Algo que tiene valor para la organización (ISO/IEC 13335-1:2004)

Amenaza.- Evento que puede provocar un incidente en la organización produciendo daños o pérdidas materiales y/o inmateriales

Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias externas.

© Banco de Chile – Eduardo Recabarren - 2010

Page 9: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Algunas Definiciones Previas..

El SGSI: es el concepto sobre el que se construye ISO 27001.

La Gestión de la Seguridad de la Información ,debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización.

Garantizar un nivel de protección total es imposible incluso en el caso de disponer de un presupuesto ilimitado.

El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

© Banco de Chile – Eduardo Recabarren - 2010

Page 10: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

¿POR QUÉ GESTIÓN DE RIESGOS DE LA INFORMACIÓN?

Necesidad de Proteger la Información

Sin embargo, esto puede generar:

Crecimiento de cantidad y complejidad de los controles

Pérdida del foco de actividades (Seguridad v/s Negocio)

Por otra parte, requiere:

Mediciones del impacto producido por los controles en seguridad

Aplicar un criterio de negocios

Algunas Definiciones Previas..

© Banco de Chile – Eduardo Recabarren - 2010

Page 11: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

¿CUAL NORMA O ESTANDAR ESCOGERPARA GESTION DE RIESGO DE LA

INFORMACION?Depende de cual sea el objetivo

Orientada a Procesos ISO 9001:2000 ISO/IEC 27001 CMM ITIL ISM3

Orientada a Controles ISO 13335-4 BSI-ITPM

Orientada a Productos Common Criteria

Orientada al Análisis de Riesgos OCTAVE Magerit

Orientada a la Buenas Prácticas ISO/EIC 17799:2005 Cobit ISF-SGP

Algunas Definiciones Previas..

© Banco de Chile – Eduardo Recabarren - 2010

Page 12: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Cabe la Pregunta:

¿ A quien compete la Seguridad de la Información en una organización?

Aspectos Conceptuales…

© Banco de Chile – Eduardo Recabarren - 2010

Gestores de la Organización

Personal de TI

Personal en General

Controladores, Auditores Internos

““La SI es La SI es responsabilidad de responsabilidad de

los dueños de la los dueños de la Información”Información”

Page 13: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

MisiónMisión

© Banco de Chile – Eduardo Recabarren - 2010

Detectar nuestras debilidades

Detectar que se debe proteger

Medir el desempeño de los

controles

Implementar controles

Proponer controles

Aspectos Conceptuales…

AA

BB

CC

DDEE

Page 14: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

14

Tendencias…

© Banco de Chile – Eduardo Recabarren - 2010

Page 15: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

15

Tendencias…

© Banco de Chile – Eduardo Recabarren - 2010

Page 16: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

16

Tendencias…

© Banco de Chile – Eduardo Recabarren - 2010

Page 17: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

17

Tendencias

Tendencias…

© Banco de Chile – Eduardo Recabarren - 2010

Page 18: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

18

Terremoto en Chile Feb-27-2010Magnitud de 8,8° M

Eventos de la Naturaleza…

Page 19: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

19

Ausencia Masiva de Personal

Falta de Servicios de Proveedores Críticos

Otros Eventos …

Page 20: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

..

Agenda

Definiciones , Aspectos Conceptuales, Tendencias

Metodología propuesta para Implementación SGSI según ISO/IEC 27001

Descripción en Detalle

Conclusiones

1

2

3

4

5

Introducción

© Banco de Chile – Eduardo Recabarren - 2010

Page 21: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Metodología propuesta para Implantación SGSI según ISO/IEC 27001 (1/4)

Guía Proceso “Planificar”Estableciendo el alcance del SGSI

Formulando las políticas de SGSI y Seguridad de Información

Realizando la valoración de riesgos

Y tomando decisiones en el tratamiento de riesgos

© Banco de Chile – Eduardo Recabarren - 2010

Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.

Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclo continuo PDCA, tradicional en los sistemas de gestión de la calidad.

Page 22: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Guía Proceso “Hacer”Creando e Implantando el Plan de

Tratamiento de Riesgos

Implementado los controles

Capacitación y sensibilización

Implementando un programa de manejo de incidentes de seguridad de información

Administrando los recursos

Metodología propuesta para Implantación SGSI según ISO/IEC 27001(2/4)

© Banco de Chile – Eduardo Recabarren - 2010

Page 23: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Guía Proceso “Verificar”Monitoreo

• Chequeo rutinario• Self-policing

proceduresRevisionesHaciendo Auditorias internas del SGSIEjecutando revisiones administrativasMidiendo el SGSIAnalizando tendenciasControlando documentación y registros

Metodología propuesta para Implantación SGSI según ISO/IEC 27001 (3/4)

© Banco de Chile – Eduardo Recabarren - 2010

Page 24: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Guía Proceso “Actuar”Implementando mejorasIdentificando no-conformidadesIdentificando e implementado acciones

preventivas y correctivasAsegurando mejora continua. ProbandoComunicando cambios y mejoras

Metodología propuesta para Implantación SGSI según ISO/IEC 27001(4/4)

© Banco de Chile – Eduardo Recabarren - 2010

Page 25: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Agenda

Definiciones , Aspectos Conceptuales, Tendencias

Metodología propuesta para ISO/IEC 27001

Descripción en Detalle

Conclusiones

1

2

3

4

5

Introducción

© Banco de Chile – Eduardo Recabarren - 2010

Page 26: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Implantación de un Sistema de Gestión de Seguridad de Información (SGSI)

► Establezca el Alcance► Establezca criterios de riesgo► Identifique y valorice los activos de información► Determine el nivel de riesgo real► Escriba la Política de Seguridad► Elabore el Documento de Aplicabilidad

►Objetivos de control y controles► Realice la definición de políticas, normas y procedimientos► Producción e implantación► Complementación de la documentación del SGSI► Auditoria y Revisión del SGSI► Resumen revisión de proceso de implantación

© Banco de Chile – Eduardo Recabarren - 2010

Page 27: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Establecer el Alcance

• Definir cual o cuales procesos serán considerados dentro del

SGSI

• Especificar activos que participan

Listado de contratos y acuerdos

Mapas de red

Inventario de activos relevantes

(Cláusulas 4.2.a ISO/IEC 27001)

© Banco de Chile – Eduardo Recabarren - 2010

Page 28: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Identificando objetivos estratégicos (1/2)

• Pregunte…

• Un gran número de organizaciones no realiza planificación

estratégica

• Cual es el objetivo de la organización

¿Quién es él o los clientes?

¿Cuáles son las necesidades de su cliente que su organización

satisface?

¿Cómo satisface su organización las necesidades de sus

clientes?

• Podrá tener una idea de cuales son las principales líneas de

actividad de la organización

© Banco de Chile – Eduardo Recabarren - 2010

Page 29: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Identificando objetivos estratégicos (2/2)

• Para cada negocio o actividad identificado responda:

¿Existen metas de crecimiento?

¿Existe orden de posicionar algún producto o servicio en

particular?

¿Objetivos Financieros?

¿Mejorar la satisfacción de los clientes?

¿Mejorar el tiempo de solución de problemas internos?

¿Desarrollar un nuevo negocio?

• Estas respuestas le ayudarán a tener una idea general de los

objetivos estratégicos de su organización.

© Banco de Chile – Eduardo Recabarren - 2010

Page 30: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Mapa de Procesos (1/3)

Proceso I

Proceso E Proceso B

Proceso H Proceso L Proceso F Proceso C

Proceso G Proceso K

Proceso AProceso JProceso D

Es

tra

teg

ico

sC

lav

eD

e A

po

yo

© Banco de Chile – Eduardo Recabarren - 2010

Page 31: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Mapa de Procesos (2/3)

TareasProceso (Propietario)

Salidas

Medidas de Mejora¿Cambios?

Entradas

Activos RegistrosControles

© Banco de Chile – Eduardo Recabarren - 2010

Page 32: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Mapa de Procesos (2/3)

TareasProceso (Propietario)

Salidas

Medidas de Mejora¿Cambios?

Entradas

Activos RegistrosControles

© Banco de Chile – Eduardo Recabarren - 2010

Page 33: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Mapa de Procesos (3/3)

Interrelación de procesos

© Banco de Chile – Eduardo Recabarren - 2010

Page 34: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Identifique y valorice los activos de información

• Identifique los activos de información

• Defina a los roles asociados a cada uno de ellos

• Clasifique los activos de información de acuerdo a algún criterio

preestablecido

• Redacte guías de uso aceptable de los activos dependiendo su

clasificación

(Cláusulas 7.1, 7.2 ISO/IEC 17799:2005)

© Banco de Chile – Eduardo Recabarren - 2010

Page 35: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Identificar los activos de información

• Cuales son los activos de información

Procesamiento

Almacenamiento

Otros

• Definición de Roles

Dueño

Custodio

Usuario

© Banco de Chile – Eduardo Recabarren - 2010

Page 36: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Identificar Riesgos

• ¿Qué puede suceder?

• ¿Cómo puede suceder?

• Puede formular su propia tabla de identificación de riesgos

© Banco de Chile – Eduardo Recabarren - 2010

Page 37: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Análisis de Riesgo

• Realice un análisis de riesgo

empleando uno de los

métodos mencionados

anteriormente.

© Banco de Chile – Eduardo Recabarren - 2010

Page 38: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Evaluación de Riesgo

• Evalúe los Riesgos empleando uno

de los criterios mencionados o

defina un criterio propio con su

grupo de trabajo.

© Banco de Chile – Eduardo Recabarren - 2010

Page 39: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Establezca el criterios de riesgo

• Defina la metodología de aproximación a la valoración de riesgo y documéntela.

• Desarrolle el proceso de análisis y evaluación de riesgos.

(Cláusula 4.2.1.c;d;e ISO/IEC 27001:2005)

© Banco de Chile – Eduardo Recabarren - 2010

Page 40: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Política de Seguridad

• Escriba una Política de Seguridad de Información

• Defina un protocolo de revisiones de la misma.

(Cláusula 5.1, ISO/IEC 17799:2005) (Cláusula 4.2.1b ISO/IEC 27001:2005)

© Banco de Chile – Eduardo Recabarren - 2010

Page 41: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Escriba el Documento de Aplicabilidad

• Seleccione los Objetivos de Control y Controles.

• Justifique cualquier exclusión apoyándose en el análisis de riesgos

(Cláusula 4.2.1j ISO/IEC 27001:2005)

© Banco de Chile – Eduardo Recabarren - 2010

Page 42: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Documento de Aplicabilidad

• Escriba su documentos de Aplicabilidad

Declaración de aplicabilidad (SOA): documento que contiene los objetivos de control y los controles contemplados por el SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos, justificando inclusiones y exclusiones.

© Banco de Chile – Eduardo Recabarren - 2010

Page 43: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Definición de Políticas, normas …Estructura Documental

• Establezca un sistema de gestión de documentos Política General Alcance Documentado Procedimientos de Apoyo a SGSI Descripción Aproximación AR Reporte del Análisis de Riesgos Plan de Tratamiento de Riesgos Procedimientos Documentados

Acciones Correctivas Acciones Preventivas Plan de Auditorias Plan de Revisiones Administrativas

Registros requeridos Control de Documentos Control de Registros

Documento de Aplicabilidad

© Banco de Chile – Eduardo Recabarren - 2010

Page 44: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Resumen de Pasos para la Implementación…

© Banco de Chile – Eduardo Recabarren - 2010

Page 45: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Plan de Continuidad Operativa de

Negocio (BCP)

Plan de Contingencia Tecnológico

(DRP)

Plan Anual de Seguridad de la Información

Plan Anual de Riesgo

Operacional

Oficial de Seguridad de la Información (OSI)

Define Política de Continuidad y Estrategia

Desarrolla y actualiza

Impulsa y coordina Comité de Seguridad

Información

Desarrolla, mantiene y realiza seguimiento al

SGSI

Depende

Aprueba

Define y confecciona

Controla

Aprueba

Auditoría

Audita

© Banco de Chile – Eduardo Recabarren - 2010

Page 46: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Agenda

Definiciones , Aspectos Conceptuales, Tendencias

Metodología propuesta para ISO/IEC 27001

Paso a Paso…

Conclusiones ….. Y Reflexiones Finales

1

2

3

4

5

Introducción

© Banco de Chile – Eduardo Recabarren - 2010

Page 47: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Conclusiones

La Seguridad de la Información NO es un proyecto es un Proceso La Seguridad de la Información debe orientarse al Riesgo No existe la Seguridad Absoluta. El SGSI AYUDA a la gestión. Un proyecto SGSI requiere un equipo de trabajo

MULTICONOCIMIENTO

La Seguridad de la Información se basa en Personas

© Banco de Chile – Eduardo Recabarren - 2010

Page 48: Taller: Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información Miami - 2010 © Banco de Chile – Eduardo Recabarren - 2010.

Beneficios de un SGSI

Conocer realmente los activos que disponemos

Involucrar a la Alta Dirección en la Seg. de la Información

Realizar análisis de Riesgos para el desarrollo del Negocio

Disponer de planes de contingencia ante incidentes

Disminución de los Riesgos a Niveles aceptables

….. Entre otros

© Banco de Chile – Eduardo Recabarren - 2010