CIGRAS2014 Exposición 2 CIGRAS ISO 27001 Rbq
COSTA RICA
PANAMÁ
COLOMBIA
ECUADOR
BRASIL
PERÚ
URUGUAY
CHILE
ARGENTINA
Implementación efectiva de un SGSI ISO 27001.
Rodrigo Baldecchi Q.
Gerente Corporativo de Calidad
04-SEP-14
ÍNDICE
1. Encuadre general.
2. La intención y el control.
3. Alcance.
4. Roadmap.
5. Implementación.
6. Política de SI.
7. Organización.
8. Riesgo.
9. Matriz SOA.
10. Incidentes de SI.
11. Plan deContinuidad del negocio.
12. Medición y mejora.
13. Cambio de versión de la norma.
2
2
www.sonda.com
14. Preguntas.
Presentación ISO 27001 en congreso CIGRAS
Encuadre general
La información es un activo esencial y es decisiva para la
viabilidad de una organización. Adopta diferentes formas, impresa,
escrita en papel, digital, transmitida por correo, mostrada en
videos o hablada enconversaciones.
Debido a que está disponible en ambientes cada vez más
interconectados, está expuesta a amenazas y vulnerabilidades.
La seguridad de la información es la protección de la información
contra una amplia gama de amenazas; para minimizar los daños,
ampliar las oportunidades del negocio, maximizar el retorno de las
inversiones y asegurar la continuidad del negocio.
Se va logrando mediante laimplementación de un conjunto
adecuado de políticas, procesos, procedimientos, organización,
controles, hardware y software y, lo más importante, mediante
comportamientos éticos de las personas.
3
3
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
La intención y el control
El aumento del control sobre las actividades de las personas.
¿Es posible controlar las intenciones de laspersonas?
Por lo tanto, se requiere ir más lejos…
4
4
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Sistemas de gestión
Para ISO (International Organization for Standardization) un
sistema de gestión queda definido por un proceso de 4 etapas,
creado por Walter Andrew Shewhart (1891 – 1967) y
popularizado por William Edwards Deming (1900 – 1993),
Planificar (Plan), Implementar (Do),Medir (Check) y Mejorar (Act).
Planificar
Implementar
Medir
Mejorar
5
5
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Conceptos generales de un SGSI
ISO 27001 es un Sistema de Gestión de la Seguridad de la
Información (SGSI).
La seguridad de la información queda definida por tres atributos:
a) Confidencialidad; b) Integridad; c) Disponibilidad.
La seguridad de lainformación (SI) es la protección de la
información contra una amplia gama de amenazas respecto a: i)
Minimizar daños; ii) Oportunidades del negocio; iii) Retorno de la
inversión; iv) Continuidad del negocio; v) Cultura ética.
El SGSI garantiza la SI mediante una estructura de buenas
prácticas, definidas por: a) Gestión de riesgos; b) Políticas; c)
Procesos; d) Procedimientos; e) Controles; f)Revisiones; g)
Mejoras.
6
6
www.sonda.com
Presentación ISO 27001 en congreso CIGRAS
Conceptos básicos de SI
La Seguridad de la Información consiste en mantener:
Confidencialidad: Información disponible exclusivamente a personas
autorizadas.
Integridad: Mantenimiento de la exactitud y validez de la información,
protegiéndola de modificaciones o alteraciones no autorizadas. Contra la
integridadla información puede parecer manipulada, corrupta o incompleta.
Disponibilidad: Acceso y utilización de los servicios sólo y en el momento de
ser solicitado por una persona autorizada.
Seguridad de la información
Confidencialidad
7
www.sonda.com
Integridad
Disponibilidad
Presentación ISO 27001 en congreso CIGRAS
Alcance
Por ejemplo, el alcance del SGSI queda cubierto por los procesos
delas siguientes áreas:
Facility
• Espacio físico; energía eléctrica; aire acondicionado; protección
contra incendios; accesos…
Administración
• Monitoreo; accesos lógicos; bases de datos; aplicativos…
Explotación/Respaldo
• Mallas de procesos; almacenamiento de información…
Comunicaciones
• Redes de datos; seguridad lógica; monitoreo equipos de
comunicaciones; enlaces…
SAP
•...
Regístrate para leer el documento completo.