Objetivos

Conocer y poner en marcha la metodología de implementación del SGSI de acuerdo a la Norma ISO 27001.

Definir el Comité de Seguridad de la Información (CSI) y sus funciones.

Definir política, alcance, objetivos y responsabilidades del SGSI.

Realizar el inventario de activos definiendo su impacto en la organización por la violación de los elementos de seguridad de la información.

METODLOGÍA PARA LA

IMPLEMENTACIÓN DEL SGSI

Ing. Msc. Marlon Giovanni Martínez Pérez

marlon_martinez@ugb.edu.sv

MODELO DE PROCESOS - PHVA

El ciclo PHVA (o PDCA en ingles) es una herramienta de la mejora continua, diseñada por el Dr. Walter Shewhart en 1920 y presentada por Deming a partir del año 1950

Se basa en un ciclo de 4 pasos: Planificar (Plan), Hacer (Do), Verificar (Check) y Actuar (Act)

Es común usar esta metodología en la implementación de un sistema de gestión.

MODELO DE PROCESOS - PHVA

MODELO DE PROCESOS - PHVA

CORRELACIÓN DE LA METODOLOGIA

CON LAS NORMAS ISO 27000

ARRANQUE DEL PROYECTO

COMPROMISO DE LA

DIRECCIÓN

APOYO EN PLANIFICACIÓN

CONFORMAR EL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN.

-Definir responsabilidades para el personal involucrado.

Comité de Seguridad de la Información

- CSI

Cuerpo integrado por representantes de todas las áreas sustantivas de la organización, destinado a garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad para lograr un trabajo eficaz y seguro.

Comité de Seguridad de la Información

– Caso Práctico

POLÍTICA DEL SGSI

Política del SGSI

Generalidades Alcance

Objetivos Responsabilidades

Política del SGSI – Caso Práctico

Alcance del SGSI

Alcance del SGSI

Alcance del SGSI – Caso Práctico

Tomar en cuenta:

El alcance delimita claramente el SGSI, indicando las áreas

especificas y procesos de aplicación.

Objetivos del SGSI – Caso Práctico

Responsabilidades – Caso Práctico

Responsabilidades – Caso Práctico

Responsabilidades – Caso Práctico

IDENTIFICACIÓN DEL RIESGO

La identificación del riesgo contempla inicialmente la

determinación de los activos de información dentro del

alcance del SGSI, teniendo en cuenta la ubicación,

responsable y funciones.

Se deben determinar las amenazas, vulnerabilidades e

impactos en la organización, por las posibles pérdidas de

confiabilidad, integridad y disponibilidad sobre los activos.

INVENTARIO DE ACTIVOS

Se debe realizar un inventario de activos relacionando cada

proceso de la organización contemplado en el alcance del

SGSI.

Los activos hacen referencia a: personal de la

organización, imagen corporativa, información,

sistemas de información, procesos, productos,

aplicaciones y el entorno físico.

Se deben determinar las amenazas, vulnerabilidades e

impactos en la organización, por las posibles pérdidas de

confiabilidad, integridad y disponibilidad sobre los activos.

INVENTARIO DE ACTIVOS

IDENTIFICACIÓN DEL IMPACTO

Una vez identificados los activos de información que posee la

empresa para cada uno de los procesos que se han decidido

incluir dentro del alcance del SGSI, se debe identificar

cual sería el impacto que tendría en su respectivo proceso

la pérdida o alteración de cada uno de los activos

identificados.

Para la evaluación del impacto se proponen 3 requisitos

propios de los activos de información de una empresa, como

lo describe la ISO 27001:2005 (Confidencialidad, Integridad

y Disponibilidad).

IDENTIFICACIÓN DEL IMPACTO

Para cada requisito se han establecido 3 niveles de impacto

(bajo, mediano y alto).

Al momento de decidir cuál de los 3 niveles aplica para cada

categoría, se debe conformar un grupo interdisciplinar de

evaluación.

La cuantificación final debe salir de un acuerdo general del

grupo, el ejercicio debe hacerse tomando activo por activo.

REQUISITOS PARA IDENTIFICACIÓN DE

IMPACTO

REQUISITOS PARA IDENTIFICACIÓN DE

IMPACTO

REQUISITOS PARA IDENTIFICACIÓN DE

IMPACTO

IDENTIFICACIÓN DEL IMPACTO