Negociación Como Habilidad
A/S Paulo Delmonte, CISA Jefe de Seguridad de la Información SONDA Uruguay
Objetivo
Compartir con ustedes nuestra experiencia de implantación y certificación del Sistema de Gestión de la Seguridad de la Información (SGSI) de SONDA Uruguay bajo la norma ISO/IEC 27001
2
SONDA
Agenda
• Aspectos sobre la norma ISO/IEC 27001 • Proceso deimplantación y certificación del SGSI • Conclusiones, preguntas y respuestas
3
SONDA
Aspectos de la norma ISO/IEC 27001
4
SONDA
¿Qué es gestión de la seguridad?
• El Sistema de Gestión de la Seguridad de la Información (SGSI) es la parte del sistema de gestión global basada en un enfoque de riesgos del negocio, para: • Implementar, operar, monitorear, mantener y mejorar la seguridad dela información.
5
SONDA
Conceptos Fundamentales
Amenazas
Protegen contra Explotan
Vulnerabilidades
Exponen
Aumentan
Aumentan
Controles
Determinan Eficacia
Cubiertos por
Reducen
Riesgos
Activos
Tienen
Indican
Aumentan
Métricas
Requerimientos
Valor
Impacto potencial en el negocio
6
SONDA
Planificar/ Hacer / Verificar / Actuar
Definir lapolítica de seguridad Establecer el alcance del SGSI Realizar análisis de riesgos Adoptar acciones correctivas
Planificar
Actuar
Adoptar acciones preventivas Adoptar acciones de mejora
Seleccionar los controles
PHVA
Hacer Verificar
Revisar la eficacia de los controles Realizar auditorías internas del SGSI Revisiones del SGSI por parte de la Dirección
Implantar el SGSI
Implantarlos controles Implantar indicadores
• Modelo P-H-V-A
7
SONDA
Objetivos de Control y Controles
Dominio Objetivos de Control Controles
5
6 7 8 9 10 11
Política de Seguridad
Organización de la seguridad Gestión de activos Seguridad de los Recursos Humanos Seguridad física y del entorno Gestión de comunicaciones y operaciones Control de acceso
1
2 2 3 2 10 7
2
11 5 9 13 32 2512
13 14 15
Adquisición, Desarrollo y mantenimiento de sistemas
Gestión de incidentes de seguridad Gestión de continuidad del negocio Cumplimiento
6
2 1 3
16
5 5 10
Totales
39
133
8
SONDA
Proceso de implantación y certificación
9
SONDA
Introducción – SONDA
SONDA es la principal empresa latinoamericana de Servicios TI e Integración de Sistemas
Ingresos2008 > US$ 671 millones Utilidades US$ 80 millones Empleados > 10.000
Organización regional con un amplio alcance en América Latina
10
SONDA
Introducción – SONDA
México Costa Rica Colombia Ecuador Perú
9 países 20 oficinas comerciales > 500 centros de servicio
Brasil
Uruguay
Argentina Chile
11
SONDA
Introducción – Data Center
El Data Center es una unidad de negocios quebrinda servicios relacionados con el área de Tecnología de la Información, como son hosting, housing, outsourcing de TI, contingencia.
Vice Presidencia del Directorio
Tecnológica Comercial Servicios Proyectos
Administración y Finanzas
Soporte infraestructura
Service Desk
Aplicaciones
Consultoría
Servicios Residentes
Centros de cómputos
Calidad
PMO
12
SONDAIntroducción – Historia
• Objetivo corporativo • Creación de proyecto para la consecución del objetivo
13
SONDA
Proyecto
• Apoyo de la PMO • Entregables
– E1: Acuerdos de confidencialidad – E2: Informe de análisis de riesgo – E3: Procesos implantados
Capacitación al personal Indicadores del SGSI Auditoría interna realizada
– E4: Certificado ISO 27001
• Presupuesto
– Previsiones delsector para mejoras y nuevos controles – Estimación de RRHH en base a dimensión de proyecto/cliente
14
SONDA
Proyecto de implantación
• Etapa 1
– Actividad principal:
• Análisis de riesgo
– Duración: abril a agosto de 2008
• Etapa 2
– Actividad principal:
• Implementación de controles
– Duración: agosto a diciembre de 2008
SONDA
15
Proyecto de implantación – Etapa...
Regístrate para leer el documento completo.