Negociación Como Habilidad

Implantación del SGSI de SONDA Uruguay

A/S Paulo Delmonte, CISA Jefe de Seguridad de la Información SONDA Uruguay

Objetivo

Compartir con ustedes nuestra experiencia de implantación y certificación del Sistema de Gestión de la Seguridad de la Información (SGSI) de SONDA Uruguay bajo la norma ISO/IEC 27001

2
SONDA

Agenda
• Aspectos sobre la norma ISO/IEC 27001 • Proceso deimplantación y certificación del SGSI • Conclusiones, preguntas y respuestas

3
SONDA

Aspectos de la norma ISO/IEC 27001

4
SONDA

¿Qué es gestión de la seguridad?
• El Sistema de Gestión de la Seguridad de la Información (SGSI) es la parte del sistema de gestión global basada en un enfoque de riesgos del negocio, para: • Implementar, operar, monitorear, mantener y mejorar la seguridad dela información.

5
SONDA

Conceptos Fundamentales
Amenazas
Protegen contra Explotan

Vulnerabilidades
Exponen

Aumentan

Aumentan

Controles
Determinan Eficacia
Cubiertos por

Reducen

Riesgos

Activos
Tienen

Indican
Aumentan

Métricas

Requerimientos

Valor

Impacto potencial en el negocio
6
SONDA

Planificar/ Hacer / Verificar / Actuar
Definir lapolítica de seguridad Establecer el alcance del SGSI Realizar análisis de riesgos Adoptar acciones correctivas

Planificar

Actuar

Adoptar acciones preventivas Adoptar acciones de mejora

Seleccionar los controles

PHVA
Hacer Verificar
Revisar la eficacia de los controles Realizar auditorías internas del SGSI Revisiones del SGSI por parte de la Dirección

Implantar el SGSI

Implantarlos controles Implantar indicadores

• Modelo P-H-V-A
7
SONDA

Objetivos de Control y Controles
Dominio Objetivos de Control Controles

5
6 7 8 9 10 11

Política de Seguridad
Organización de la seguridad Gestión de activos Seguridad de los Recursos Humanos Seguridad física y del entorno Gestión de comunicaciones y operaciones Control de acceso

1
2 2 3 2 10 7

2
11 5 9 13 32 2512
13 14 15

Adquisición, Desarrollo y mantenimiento de sistemas
Gestión de incidentes de seguridad Gestión de continuidad del negocio Cumplimiento

6
2 1 3

16
5 5 10

Totales

39

133
8

SONDA

Proceso de implantación y certificación

9
SONDA

Introducción – SONDA
SONDA es la principal empresa latinoamericana de Servicios TI e Integración de Sistemas

Ingresos2008 > US$ 671 millones Utilidades US$ 80 millones Empleados > 10.000

Organización regional con un amplio alcance en América Latina
10
SONDA

Introducción – SONDA
México Costa Rica Colombia Ecuador Perú

9 países 20 oficinas comerciales > 500 centros de servicio

Brasil

Uruguay
Argentina Chile
11

SONDA

Introducción – Data Center
El Data Center es una unidad de negocios quebrinda servicios relacionados con el área de Tecnología de la Información, como son hosting, housing, outsourcing de TI, contingencia.
Vice Presidencia del Directorio

Tecnológica Comercial Servicios Proyectos
Administración y Finanzas

Soporte infraestructura

Service Desk

Aplicaciones

Consultoría

Servicios Residentes

Centros de cómputos

Calidad

PMO

12
SONDAIntroducción – Historia
• Objetivo corporativo • Creación de proyecto para la consecución del objetivo

13
SONDA

Proyecto
• Apoyo de la PMO • Entregables
– E1: Acuerdos de confidencialidad – E2: Informe de análisis de riesgo – E3: Procesos implantados
Capacitación al personal Indicadores del SGSI Auditoría interna realizada

– E4: Certificado ISO 27001

• Presupuesto
– Previsiones delsector para mejoras y nuevos controles – Estimación de RRHH en base a dimensión de proyecto/cliente

14
SONDA

Proyecto de implantación
• Etapa 1
– Actividad principal:
• Análisis de riesgo

– Duración: abril a agosto de 2008

• Etapa 2
– Actividad principal:
• Implementación de controles

– Duración: agosto a diciembre de 2008
SONDA

15

Proyecto de implantación – Etapa...