Embed Size (px)
Citation preview
“Existen pequeños hábitos vitales que debemos tener
muy en cuenta. Son los que ayudan a construir nuestra seguridad día a
día”
Implantación de un Sistema de Gestión de Seguridad de la Información
Vanesa Gil LaredoConsultora Jurídico-
Procedimental
RESTRINGIDO 2
Índice
Indice
¿Por qué implantar un SGSI?
Metodología de implantación de un SGSI.
Factores clave de éxito.
Auditoría de Certificación.
RESTRINGIDO 3
¿Por qué implantar un SGSI?
¿Qué es la Seguridad de la Información?
Protección de la información de un amplio rango de
amenazas, con el fin de asegurar la continuidad del
negocio, minimizar los riesgos de negocio y
maximizar el retorno de la inversión y las oportunidades
de negocio.
Preservación de la confidencialidad, integridad y
disponibilidad de la información.
RESTRINGIDO 4
¿Por qué implantar un SGSI?
Obtención de la certificación de un Sistema de Gestión de la Seguridad de la Información (SGSI).
Disposiciones normativas base de la implantación:
ISO/IEC 17799:2005: “Código de Buenas Prácticas para la Gestión de la Seguridad de la Información”.
Directrices básicas para la gestión de la seguridad de la información, con el fin de garantizar la confidencialidad, integridad y disponibilidad de la información objeto de tratamiento en la Organización.
UNE 71502: “Especificaciones para los Sistemas de Gestión de la Seguridad de la Información”.
Directrices generales para el diseño e implantación de un Sistema de Gestión de Seguridad de la Información.
RESTRINGIDO 5
¿Por qué implantar un SGSI?
Ventajas de la obtención de la certificación del SGSI
Marco de gestión de la seguridad consistente e internacionalmente reconocido.
Imagen corporativa de compromiso con la seguridad.
Buenas prácticas para la gestión de la seguridad de la información.
Reducción de los riesgos de seguridad.
Promueve la confianza en las relaciones con terceros.
Seguridad de la información como proceso de gestión (no proceso técnico).
Equilibrio entre seguridad física, técnica, procedimental y de personal.
RESTRINGIDO 6
Metodología de Implantación de un SGSI
Para garantizar la efectiva implantación del SGSI es fundamental considerar el modelo conocido como PDCA (Plan-Do-Check-Act).
Establecer el Alcance del SGSI
Monitorizar y Revisar el SGSI
Mejorar
el SGSI
Diseñar e Implantar el
SGSI
CICLO DE DESARROLLO,
MANTENIMIENTO Y MEJORA (PDCA)
PLANIFICARPLANIFICAR (PLAN)
EJECUTAR (DO)
REVISAR (CHECK)
ACTUAR (ACT)
RESTRINGIDO 7
Metodología de Implantación de un SGSI
La Metodología de implantación del SGSI consta de las siguientes fases:
Fase IV: Gestión
del Riesgo
Fase IV: Gestión
del Riesgo
Fase V:Selección de Controles
a Implantar
Fase V:Selección de Controles
a Implantar
Fase VI:Implantación de
Controles Seleccionados
Fase VI:Implantación de
Controles Seleccionados
GESTIÓN DE PROYECTOGESTIÓN DE PROYECTO
Fase VII:Completar
requerimientos para certificación
Fase VII:Completar
requerimientos para certificación
Fase II:Desarrollo de la
Política de Seguridad
de la Información
Fase II:Desarrollo de la
Política de Seguridad
de la Información
Fase III:Realizac ión del
Análisisde Riesgos
Fase III:Realizac ión del
Análisisde Riesgos
GESTIÓN DE PROYECTOGESTIÓN DE PROYECTO
Fase I:Definición del Alcance del
SGSI
Fase I:Definición del Alcance del
SGSI
RESTRINGIDO 8
Definición del Alcance del SGSI
DEFINICIÓN DEL ALCANCE DEL SGSI
Determinación del alcance del SGSI:ProcesosActivosTecnología ServiciosPersonal y relaciones con terceros
Aspectos a considerar:
Objetivos de negocio.Objetivos estratégicos de seguridad.
Necesidad de una correcta definición del alcance del SGSI.
Participación activa de la Dirección, para garantizar la consecución de un marco de seguridad consistente.
RESTRINGIDO 9
Definición del Alcance del SGSI
Requerimientos de seguridad
de la información
Alcance del SGSI:
Totalidad de los sistemas.Conjunto de procesos limitado.
Considerar las iniciativas y acciones en materia de seguridad realizadas hasta la fecha.
Mayor amplitud, mayor dificultad.
Obtención de un inventario de activos.
Identificar departamentos implicados y relación entre los mismos.
Satisfaccióndel cliente
Satisfaccióndel clienteTercerosTerceros
OrganizaciónOrganización
SGSISGSIServicios
Generales
Dirección Seguridad
Asesoría Jurídica
Proveedoresexternos
Necesidades del clienteNecesidades
del cliente
Proveedores externos
RRHH
Personal externo
Desarrollo
Operaciones
Producción
RESTRINGIDO 10
Política de Seguridad de la Información
DESARROLLO DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN
Definir el objetivo de la Organización con respecto a la seguridad de la información.
Nivel de seguridad objetivo acorde a las necesidades del negocio.
Aspectos a contemplar:
Compromiso de la Organización de obtener y mantener la certificación.
Objetivo de implantación y alcance del SGSI.
Directrices globales en materia de seguridad (Norma ISO/IEC 17799).
Responsabilidades del personal implicado en el SGSI.
Marco jurídico aplicable al SGSI.
Apoyo por parte de la Dirección a la implantación del SGSI.
Revisiones periódicas de la Política y del SGSI.
RESTRINGIDO 11
Análisis de Riesgos
REALIZACIÓN DE UN ANÁLISIS DE RIESGOS
Identificar y evaluar los riesgos relacionados con el SGSI.
Actividad 1.Identificación yValoración de
Activos
Actividad 1.Identificación yValoración de
Activos
Actividad 2.Identificaciónde Amenazas
Actividad 2.Identificaciónde Amenazas
Actividad 3.Identificación
deVulnerabilidades
Actividad 3.Identificación
deVulnerabilidades
Actividad 4.Evaluacióndel impacto
Actividad 4.Evaluacióndel impacto
Actividad 5.Evaluación del
riesgo
Actividad 5.Evaluación del
riesgo
Evaluar el impacto de una pérdida de confidencialidad, integridad o disponibilidad de los activos.
Identificar amenazas y probabilidad de ocurrencia de las mismas.
Identificar vulnerabilidades que favorecerían la materialización de estas amenazas.
Identificar los controles de seguridad existentes.
RESTRINGIDO 12
Análisis de Riesgos
Requerimientos de seguridad
de la información
Principales dificultades para la realización del Análisis de Riesgos:
Selección de la metodología a emplear: MAGERIT v1.0, NIST Special Publication 800-30,
OCTAVE,…
Alcance del Análisis de Riesgos (cuanto más amplio sea el alcance, mayor dificultad).
Valoración de activos: Procesos que soportan vs. Visión Departamentos.
Tipos de impacto: impacto financiero, imagen pública, impacto legal, operativo, humano,…
Tipificación de amenazas y vulnerabilidades.
Empleo de criterios cuantitativos o cualitativos.
Aprobación de los resultados del Análisis por parte de la Dirección.
RESTRINGIDO 13
Gestión del Riesgo
GESTIÓN DEL RIESGO
Reducir el riesgo a un nivel aceptable para la Organización.
Identificar áreas de mayor riesgo que necesitan mayor protección.
Establecer la estrategia de gestión del riesgo de la Organización:
Reducir el riesgo Asumir el riesgoTransferir el riesgoEvitar el riesgo
Definir el grado de aceptación de nivel de riesgo.
Análisis comparativo: controles existentes vs. controles necesarios para la reducción de los riesgos.
RESTRINGIDO 14
Gestión del Riesgo
Aspectos a considerar para una correcta gestión de la seguridad de la información:
Política de Seguridad
Organización de la Seguridad de la Información
Gestión de Activos
Seguridad de los Recursos Humanos
Seguridad Física y del Entorno
Gestión de Comunicaciones y Operaciones
Control de Acceso
Adquisición, Desarrollo y Mantenimiento de Sistemas
Gestión de Incidentes de Seguridad de la Información
Gestión de Continuidad de Negocio
Conformidad con Requisitos Legales
RESTRINGIDO 15
Selección de Controles
SELECCIÓN DE CONTROLES A IMPLANTAR
Identificar y seleccionar los objetivos de control y controles aplicables al SGSI para reducir el
riesgo.
Estimar la eficacia de los controles para lograr la reducción del riesgo.
Desarrollo del SOA (Declaración de Aplicabilidad).
Justificación de la no implantación de controles.
Repercusiones de la nueva versión del 2005 en la
obtención de la certificación (Empresas actualmente
en proceso de certificación).
RESTRINGIDO 16
Implantación de Controles Seleccionados
IMPLANTACIÓN DE CONTROLES SELECCIONADOS
Planificar la implantación de los controles seleccionados.
Diseño de un Plan de Implantación:
Medidas a adoptarPrioridad de implantación Fecha de implantación Costes de implantación Recursos necesarios (humanos, tecnológicos, económicos)Responsable de la implantación
Definir el nivel de participación necesario de las diferentes áreas.
Desarrollar un Plan de Formación y Concienciación de usuarios.
RESTRINGIDO 17
Requerimientos para la Certificación
COMPLETAR REQUERIMIENTOS PARA CERTIFICACIÓN
Completar el desarrollo de la documentación necesaria para la obtención de la Certificación en base a la Norma UNE 71502.
Documentación del SGSI: Política, Análisis de Riesgos, SOA, Plan de Implantación,…
Documentación de los procedimientos necesarios
para garantizar la planificación, operación y control
de los controles incluidos en el SGSI.
Realización de revisiones periódicas del SGSI.
Desarrollo de procedimientos para la monitorización y evaluación de los controles implantados.
Política
Procedimientos
Guías, formularios, instrucciones,…
Registros
Nivel 1
Nivel 2
Nivel 3
Nivel 4
RESTRINGIDO 18
Requerimientos de seguridad
de la información
Formalización de las iniciativas de seguridad desarrolladas en la Organización: Enfoque global para la gestión de la seguridad
Continuación lógica del trabajo realizado durante la obtención de una Certificación de Calidad.
Apoyo por parte de la Dirección a la implantación del SGSI.
Obtención de la aprobación de productos resultantes de las diferentes fases. Creación de un Comité de Seguridad.
Formación y concienciación en materia de seguridad.
Componente fundamental: Revisión y mejora continua del SGSI.
Existencia de registros suficientes que garanticen la plena
implantación del SGSI.
Factores Clave de Éxito
RESTRINGIDO 19
Factores Clave de Éxito
Requerimientos de seguridad
de la información
Revisión y evaluación del SGSI
Objeto
Verificar la efectiva implantación de los controles.
Verificar la adecuación de los controles a las características de la Organización.
Identificar aspectos susceptibles de mejora.
Adoptar medidas preventivas y correctivas.
Aspectos a revisar
Vulnerabilidades y amenazas a las que se encuentran expuestos los activos.
Cambios relevantes en la Organización que puedan suponer modificaciones en el SGSI
Nuevas técnicas o productos de gestión de la seguridad de la información.
Gestión de incidentes que se hayan podido materializar.
RESTRINGIDO 20
Auditoría de Certificación
Fases de la Auditoría:
Revisión de documentación del SGSI.
Auditoría de Implementación.
Búsqueda de evidencia objetiva:
Intención
Implantación
Eficacia
Mejora Continua
Dictamen del Auditor.
Certificación del SGSI.
Muchas Gracias por su Atención
