Seguridad de la Información
Agenda
Gobierno de Seguridad de la Información
Organización del Proyecto
Alineando el negocio con la Seguridad de la Información
Gestión de Riesgos
Indicadores de gestión
Mejora Continua
Seguridad de la Información
El Gobierno de Seguridad de la Información está compuesto por
un conjunto de responsabilidades y practicas llevadas a cabo
mediante la junta ejecutiva con el objetivo de proporcionar la
dirección estratégica, asegurando que los objetivos se logran,
cerciorándose de que los riesgos se gestionan de manera
adecuada y asegurando que los recursos de la empresa son
usados responsablemente Fuente: IT Governance Institute
Gobierno de Seguridad de
la Información
Seguridad de la Información
El Gobierno de Seguridad de la Información es un subconjunto de Gobierno
de la Empresa que proporciona la dirección estratégica, asegura que los
objetivos se logran, gestiona los riesgos adecuadamente, asigna responsabilidades a los recursos de la organización, y supervisa el éxito o el
fracaso del programa de seguridad de la empresa. Fuente - Information Security Governance
Gobierno de Seguridad de
la Información
Seguridad de la Información
La ISO-27014 indica seis principios de gobiernos de la seguridad de
información los cuales son:
1. Establecer responsabilidad con respecto a la seguridad de la información
en toda la organización
2. Adoptar una aproximación basada en el riesgo.
3. Establecer la dirección de las decisiones de inversión en seguridad de la
información
4. Asegurar conformidad con los requerimientos internos y externos.
5. Fomentar un entorno positivo respecto de la seguridad.
6. Revisar el rendimiento en relación a los resultados de negocio.
ISO 27014
Seguridad de la Información
ISO 27014
1. Establecer responsabilidad con respecto a la seguridad de la
información en toda la organización.
•¿La seguridad de la información se gestiona a un nivel de la organización que
permita la toma de decisiones?
•¿Las actividades asociadas a la seguridad lógica y física se realizan de forma
coordinada?.
•¿La responsabilidad y rendición de cuentas con respecto a la seguridad se
establece a través del ciclo completo de las actividades de la organización
incluidos terceros?.
Seguridad de la Información
2. Adoptar una aproximación basada en el riesgo.
•¿Las decisiones se toman en función del riesgo?.
•El nivel aceptable de seguridad ¿se basa en el apetito al
riesgo de la organización?, ¿se incluye en él la posible
pérdida de ventaja competitiva, riesgos de cumplimiento
y responsabilidad, interrupciones operativas, pérdida
financiera y daño a la reputación?.
•¿Se asignan los recursos apropiados para implementar
la gestión de riesgos en la organización?.
ISO 27014
Seguridad de la Información
ISO 27014
3. Establecer la dirección de las decisiones de
inversión en seguridad de la información.
•¿La estrategia de inversiones en seguridad de la
información se establece en función de los resultados de
negocio alcanzados?.
•¿Las inversiones en seguridad se integran con los
procesos generales existentes para las inversiones y
gastos de la organización?.
Seguridad de la Información
ISO 27014
4. Asegurar conformidad con los requerimientos internos y externos.
•¿Se garantiza que las políticas y prácticas son conformes con la regulación
y legislación existente, con los compromisos y contratos de la organización
y con otros requerimientos internos o externos?.
•¿Se realizan auditorías de seguridad independientes?.
Seguridad de la Información
ISO 27014
5. Fomentar un entorno positivo respecto de la
seguridad.
A la hora de implementar la gobernanza de la seguridad,
¿se tiene en cuenta el comportamiento humano, incluyendo
la evolución de las necesidades de las partes interesadas?
¿Se exige, promueve y apoya la coordinación de las
actividades de las partes interesadas para alcanzar una
dirección coherente de la seguridad (educación, formación y
programas de concienciación)?.
Seguridad de la Información
ISO 27014
6. Revisar el rendimiento en relación a
los resultados de negocio.
¿La aproximación tomada para proteger la
información es adecuada al propósito de
apoyar la organización proporcionando
niveles acordados de seguridad de la
información?.
¿Se mantiene la seguridad en los niveles
requeridos para alcanzar los
requerimientos actuales y futuros del
negocio?.
¿Se evalúa la seguridad en relación a su
impacto en el negocio y no sólo en base a
la eficacia y eficiencia de los controles?.
Seguridad de la Información
Re
qu
isit
os
y ex
pe
ctat
ivas
de
las
par
tes
inte
resa
das
re
spe
cto
a l
SGSI
Re
qu
isit
os
y ex
pe
ctat
ivas
de
las
par
tes
inte
resa
das
ge
stio
nad
as c
on
el S
GSI
Contexto de la Organización
Liderazgo
Planificación
Operación
Evaluación
Mejora
ENTRADA
SALIDA
Fases de la Metodología
Seguridad de la Información
Proyecto del SGSI
Contexto organización
Liderazgo
Planificación
Soporte
Operación
Evaluación
Mejora
7 FASES
Implantación del SGSI
Fases de la Metodología
Seguridad de la Información
Contexto organización
Liderazgo Planificación Soporte Operación Evaluación Mejora
Fases de la Metodología
Seguridad de la Información
Contexto organización
Liderazgo Planificación Soporte Operación Evaluación Mejora
Fases de la Metodología
Seguridad de la Información
Contexto organización
Liderazgo Planificación Soporte Operación Evaluación Mejora
Fases de la Metodología
Seguridad de la Información
Contexto organización
Liderazgo Planificación Soporte Operación Evaluación Mejora
Fases de la Metodología
Seguridad de la Información
Contexto organización
Liderazgo Planificación Soporte Operación Evaluación Mejora
Fases de la Metodología
Seguridad de la Información
Contexto organización
Liderazgo Planificación Soporte Operación Evaluación Mejora
Fases de la Metodología
Seguridad de la Información
Contexto organización
Liderazgo Planificación Soporte Operación Evaluación Mejora
Fases de la Metodología
Seguridad de la Información
Comprensión de la Misión,
Objetivos, Valores y Estrategias
Misión
Valores
Los
objetivos
De
La
Seguridad
de la
Información
Estratégico
Alineamiento
Estrategias
Objetivos
Políticas Corporativas Políticas de Seguridad de
la Información
Seguridad de la Información
Análisis del Ambiente
Externo
Existen varias metodologías para
entender cómo funciona una
organización
Lo importante es identificar las
características de los factores
ambientales internos y externos
que influyen en la gestión de la
continuidad del negocio: misión,
actividades principales,
organización interna, partes
interesadas, ttc.
Fortalezas Debilidades
Oportunidades Amenazas
Seguridad de la Información
Análisis del Entorno Interno
Comprender la estructura y los
principales actores de la
organización relacionados con
el ámbito de aplicación en los
planos:
•Estratégico (¿Quién establece las orientaciones estratégicas?)
•Gobierno (¿Quién coordina y gestiona las operaciones?)
•Operacional ( ¿Quién participa en las actividades de producción y
apoyo?)
Seguridad de la Información
Identificación de los Principales
Procesos y Actividades
Activos de
Información Claves
¿Cuáles son los
Activos de información
Claves de la
Organización?
Oferta de Productos
y servicios
¿Cuáles son los bienes y
Servicios producidos por
la organización?
Procesos de
Negocios
¿Cuáles so los
Procesos claves que
Permiten a la
Organización cumplir
Con su misión?
Seguridad de la Información
• Plan del proyecto
• Diagrama de GANNT
• Documento Alcance del SGSI
• Acta de Constitución del proyecto
Análisis del Ambiente
Externo
Seguridad de la Información
• Plan del proyecto
• Diagrama de GANNT
• Documento Alcance del SGSI
• Acta de Constitución del proyecto
Documentos
Seguridad de la Información
No tenemos que usar la norma ISO 31000 para la gestión de riesgos. La norma ISO 31000 sólo se menciona en la norma ISO 27001: 2013, pero no es obligatorio.
No se tiene que eliminar los activos, amenazas y vulnerabilidades de nuestra evaluación de riesgos. Se puede mantener la metodología antigua porque la norma ISO 27001: 2013 te deja libertad para determinar los riesgos de la forma que desee.
¿Qué cambia en la gestión
de riesgos?
Seguridad de la Información
No se debe dejar de lado el identificar a los propietarios de activos. Aunque la norma ISO 27001: 2013 no requiere que usted identifique los propietarios de activos como parte de la evaluación del riesgo, el control A.8.1.2 Control lo requiere.
En la Política de seguridad de la información de nivel superior no se necesita establecer criterios con los que los riesgos serán evaluados - este era el requisito de la norma ISO 27001: 2005 4.2.1 b 4)); en la norma ISO 27001: 2013, usted todavía tiene que definir los criterios de evaluación de riesgo, pero no como parte de la política de nivel superior.
¿Qué cambia en la gestión
de riesgos?
Seguridad de la Información
Se puede identificar los riesgos en función de sus procesos, en función de sus departamentos, utilizando sólo las amenazas y vulnerabilidades no, o cualquier otra metodología
Es necesario identificar los propietarios del riesgo.
ISO 27001: 2005 requiere que la administración apruebe riesgos residuales, así como la implementación y operación del SGSI. Por el contrario, en la norma ISO 27001: 2013 los propietarios de los riesgos deben aceptar los riesgos residuales y aprobar el plan de tratamiento de riesgos.
¿Qué cambia en la gestión
de riesgos?
Seguridad de la Información
Las opciones de tratamiento en la revisión 2013 no sólo se limitan a la aplicación de los controles, la aceptación de riesgos, evitando los riesgos, y la transferencia de riesgos como lo fueron en la revisión de 2005 - básicamente, usted es libre de considerar cualquier opción de tratamiento que crea apropiado.
¿Qué cambia en la gestión
de riesgos?
Seguridad de la Información
Entrenamiento del SGSI
Personal entrenado en el SGSI
Entrenamiento en Seguridad de la Información
Concientización en el Cumplimiento de la Seguridad de
la Información
Políticas de contraseñas
Calidad de las contraseñas – manual
Calidad de las contraseñas – automática
Proceso de revisión del SGSI
Mejora continua de la gestión de incidentes de la
seguridad de la información del SGSI
Indicadores del SGSI
ISO 27004
Seguridad de la Información
Efectividad Implementación de acciones
correctivas
Compromiso de la alta dirección
Protección contra código malicioso
Controles físicos de entrada
Revisión de los archivos de registro de actividades
Gestión de la periodicidad del mantenimiento
Seguridad en acuerdos con terceras partes
Indicadores del SGSI
ISO 27004
Seguridad de la Información
Documento
• Documento Indicadores del SGSI
Seguridad de la Información
1. ¿Cuál es su experiencia en su industria en particular?
2. ¿Cuántos clientes tenía? ¿Qué tipo de clientes que ha servido? ¿Puede proporcionar una lista de referencias?
3. ¿Cuál es su reputación - lo que hacen los otros consultores dicen de él; ¿qué dicen sus clientes acerca de él?
4. ¿Cuál es su experiencia (negocio), además de la norma ISO 27001 y / o ISO 22301?
5. ¿Cuál es su experiencia en otras normas ISO?
6. ¿Habla su idioma a la perfección?
7. ¿Tiene algún conflicto de interés?
Preguntas antes de
contratar a un consultor
Seguridad de la Información
1. ¿Cuántos proyectos de implantación ISO 22301 27001 / ISO ha terminó con éxito en los últimos dos años?
2. ¿Cuántos de sus clientes solicitaron la certificación, y cuántas eran con éxito la norma ISO 27001 / ISO 22301 certificada (en su primer intento)?
3. ¿Cuál fue la parte más compleja del proyecto ISO 27001 / ISO 22301 que ha tenido? ¿Puede describir brevemente?
4. ¿Cuál es su trayectoria educativa en la norma ISO 27001 / ISO 22301; es decir, lo que los certificados tiene?
5. ¿él entregas ISO 27001 o ISO 22301 entrenamientos? En caso afirmativo, ¿cuántos entrenamientos tenía que prevé, para cuántas personas?
6. ¿Alguna vez ha publicado ninguno de los artículos de expertos? ¿Cuántas y dónde?
7. ¿Trabajó como auditor de certificación?
8. ¿Puede que le muestre ejemplos de la documentación de evaluación del riesgo que él creó para algunos de sus clientes?
Preguntas antes de
contratar a un consultor
Seguridad de la Información
1. ¿Cuál es el precio total de sus servicios (asegúrese de que incluye todo: análisis, entrevistas, desarrollo de documentación, capacitación, costos de transporte, etc.)?
2. ¿Cuáles son los servicios adicionales que usted tendrá que comprar a otros proveedores?
3. ¿Cuál es el costo de su tiempo de los empleados que participan en el proyecto?
Preguntas antes de
contratar a un consultor
Top Related