Ingeniero De Sistemas
Páginas: 5 (1172 palabras)
Publicado: 15 de enero de 2013
Implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) alineado al estándar ISO/IEC 27001
Introducción
La información se ha convertido en un activo valioso para las organizaciones, por lo que requiere de una adecuada protección. Una buena forma de hacerlo es implantando un SGSI alineado al estándar ISO/IEC 27001, es decir, un proceso sistemático, documentado y conocidopor toda la organización, que procure garantizar la gestión correcta de la seguridad de la información, para lo cual sigue el modelo de mejora continua, ilustrado en la Figura 1.
Figura 1. Modelo de mejora continua (PHVA / PDCA).
El presente documento, elaborado con base en una experiencia piloto, pretende servir de guía para los interesados en implantar un SGSI alineado al estándar ISO27001.
Etapas
Llevar a cabo la implantación de un SGSI comprende las siguientes etapas:
1. Identificar los objetivos del negocio
2. Obtener el patrocinio de la alta dirección
3. Establecer el alcance (algunos procesos del negocio)
4. Diagnóstico / Análisis de brecha (Gap Analysis)
5. Asignar recursos y capacitar al equipo
6. Análisis y evaluación de riesgos de activosde información
* Definir método de análisis y evaluación
* Preparar un inventario de los activos de información a proteger,
* Análisis
* Evaluación y ranking
7. Gestionar el riesgo y elaborar un plan de tratamiento de riesgos
8. Establecer la normativa para controlar el riesgo
9. Monitorizar la implantación del SGSI
10. Prepararse para la auditoriade certificación
11. Llevar a cabo auditorías internas periódicas.
Objetivo
El objetivo del proyecto es diseñar e implantar un SGSI alineado al estándar ISO/IEC 27001, con base en un proceso, para luego hacerlo extensivo a los demás procesos de la institución.
Alcance
El alcance definido es el proceso Gestión de Servicios TI, integrante del macro proceso Gestión de Tecnologías deInformación, ilustrado en la Figura 2. El cual se focaliza en la fase de operación (producción) de tres (3) Servicios TI: LBTR, SIMC y Trade Thru, ilustrados en la Figura 3.
Figura 2. Procesos de Gestión de Tecnologías de Información.
Figura 3. Procesos, Servicios y Activos TI
Diagnóstico o Análisis de Brecha (Gap analysis)
En esta etapa se determina la brecha con respecto al nivel demadurez de los requerimientos del estándar ISO/IEC 27001:2005, el cual dispone de unas cláusulas cuya finalidad es establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI, en el contexto de los requerimientos de la institución.
El estándar comprende dos (2) secciones: En la primera se especifican cinco (5) cláusulas, de cumplimiento obligatorio para obtener lacertificación, enfocadas a características metodológicas del SGSI. En la segunda, denominada Anexo A, se definen los controles mínimos para gestionar la seguridad de la información de manera adecuada. Desde el punto de vista de la certificación, cualquier exclusión de controles necesita justificarse y debe suministrarse evidencia de que los riesgos asociados han sido aceptados apropiadamente por laspersonas responsables.
Las cláusulas metodológicas definidas en el estándar son:
4. Sistema de Gestión de Seguridad de la Información
5. Responsabilidad de la Dirección
6. Auditorías Internas
7. Revisión de la Dirección
8. Mejora continua del SGSI.
Los controles del Anexo A están organizados en once (11) dominios, denominados A5 hasta A15:
A.5 Política de Seguridad
A.6Organización de la Seguridad de la Información
A.7 Gestión de Recursos
A.8 Seguridad de los Recursos Humanos
A.9 Seguridad Física y del Entorno
A.10 Gestión de las Comunicaciones y Operaciones
A.11 Control de Acceso
A.12 Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
A.13 Gestión de los Incidentes de Seguridad
A.14 Gestión de la Continuidad del Negocio...
Introducción
La información se ha convertido en un activo valioso para las organizaciones, por lo que requiere de una adecuada protección. Una buena forma de hacerlo es implantando un SGSI alineado al estándar ISO/IEC 27001, es decir, un proceso sistemático, documentado y conocidopor toda la organización, que procure garantizar la gestión correcta de la seguridad de la información, para lo cual sigue el modelo de mejora continua, ilustrado en la Figura 1.
Figura 1. Modelo de mejora continua (PHVA / PDCA).
El presente documento, elaborado con base en una experiencia piloto, pretende servir de guía para los interesados en implantar un SGSI alineado al estándar ISO27001.
Etapas
Llevar a cabo la implantación de un SGSI comprende las siguientes etapas:
1. Identificar los objetivos del negocio
2. Obtener el patrocinio de la alta dirección
3. Establecer el alcance (algunos procesos del negocio)
4. Diagnóstico / Análisis de brecha (Gap Analysis)
5. Asignar recursos y capacitar al equipo
6. Análisis y evaluación de riesgos de activosde información
* Definir método de análisis y evaluación
* Preparar un inventario de los activos de información a proteger,
* Análisis
* Evaluación y ranking
7. Gestionar el riesgo y elaborar un plan de tratamiento de riesgos
8. Establecer la normativa para controlar el riesgo
9. Monitorizar la implantación del SGSI
10. Prepararse para la auditoriade certificación
11. Llevar a cabo auditorías internas periódicas.
Objetivo
El objetivo del proyecto es diseñar e implantar un SGSI alineado al estándar ISO/IEC 27001, con base en un proceso, para luego hacerlo extensivo a los demás procesos de la institución.
Alcance
El alcance definido es el proceso Gestión de Servicios TI, integrante del macro proceso Gestión de Tecnologías deInformación, ilustrado en la Figura 2. El cual se focaliza en la fase de operación (producción) de tres (3) Servicios TI: LBTR, SIMC y Trade Thru, ilustrados en la Figura 3.
Figura 2. Procesos de Gestión de Tecnologías de Información.
Figura 3. Procesos, Servicios y Activos TI
Diagnóstico o Análisis de Brecha (Gap analysis)
En esta etapa se determina la brecha con respecto al nivel demadurez de los requerimientos del estándar ISO/IEC 27001:2005, el cual dispone de unas cláusulas cuya finalidad es establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SGSI, en el contexto de los requerimientos de la institución.
El estándar comprende dos (2) secciones: En la primera se especifican cinco (5) cláusulas, de cumplimiento obligatorio para obtener lacertificación, enfocadas a características metodológicas del SGSI. En la segunda, denominada Anexo A, se definen los controles mínimos para gestionar la seguridad de la información de manera adecuada. Desde el punto de vista de la certificación, cualquier exclusión de controles necesita justificarse y debe suministrarse evidencia de que los riesgos asociados han sido aceptados apropiadamente por laspersonas responsables.
Las cláusulas metodológicas definidas en el estándar son:
4. Sistema de Gestión de Seguridad de la Información
5. Responsabilidad de la Dirección
6. Auditorías Internas
7. Revisión de la Dirección
8. Mejora continua del SGSI.
Los controles del Anexo A están organizados en once (11) dominios, denominados A5 hasta A15:
A.5 Política de Seguridad
A.6Organización de la Seguridad de la Información
A.7 Gestión de Recursos
A.8 Seguridad de los Recursos Humanos
A.9 Seguridad Física y del Entorno
A.10 Gestión de las Comunicaciones y Operaciones
A.11 Control de Acceso
A.12 Adquisición, Desarrollo y Mantenimiento de Sistemas de Información
A.13 Gestión de los Incidentes de Seguridad
A.14 Gestión de la Continuidad del Negocio...
Leer documento completo
Regístrate para leer el documento completo.