Cigras2014 - Exposición 2 Cigras Iso 27001 - Rbq

Implementacin efectiva de un SGSI ISO 27001.

Rodrigo Baldecchi Q.

Gerente Corporativo de Calidad

04-SEP-14

CHILE

COLOMBIA

ECUADOR

MXICO

BRASIL PER

ARGENTINA

COSTA RICA

URUGUAY

PANAM

2 Presentacin ISO 27001 en congreso CIGRAS www.sonda.com

1. Encuadre general.

2. La intencin y el control.

3. Alcance.

4. Roadmap.

5. Implementacin.

6. Poltica de SI.

7. Organizacin.

8. Riesgo.

9. Matriz SOA.

10. Incidentes de SI.

11. Plan de Continuidad del negocio.

12. Medicin y mejora.

13. Cambio de versin de la norma.

14. Preguntas.

NDICE

2


Encuadre general

La informacin es un activo esencial y es decisiva para la viabilidad de una organizacin. Adopta diferentes formas, impresa,

escrita en papel, digital, transmitida por correo, mostrada en

videos o hablada en conversaciones.

Debido a que est disponible en ambientes cada vez ms interconectados, est expuesta a amenazas y vulnerabilidades.

La seguridad de la informacin es la proteccin de la informacin contra una amplia gama de amenazas; para minimizar los daos,

ampliar las oportunidades del negocio, maximizar el retorno de las

inversiones y asegurar la continuidad del negocio.

Se va logrando mediante la implementacin de un conjunto adecuado de polticas, procesos, procedimientos, organizacin,

controles, hardware y software y, lo ms importante, mediante

comportamientos ticos de las personas.

3


La intencin y el control

El aumento del control sobre las actividades de las personas.

Es posible controlar las intenciones de las personas?

Por lo tanto, se requiere ir ms lejos

4


Sistemas de gestin

Para ISO (International Organization for Standardization) un sistema de gestin queda definido por un proceso de 4 etapas,

creado por Walter Andrew Shewhart (1891 1967) y popularizado por William Edwards Deming (1900 1993), Planificar (Plan), Implementar (Do), Medir (Check) y Mejorar (Act).

Planificar

Implementar

Medir

Mejorar

5


Conceptos generales de un SGSI

ISO 27001 es un Sistema de Gestin de la Seguridad de la Informacin (SGSI).

La seguridad de la informacin queda definida por tres atributos: a) Confidencialidad; b) Integridad; c) Disponibilidad.

La seguridad de la informacin (SI) es la proteccin de la informacin contra una amplia gama de amenazas respecto a: i)

Minimizar daos; ii) Oportunidades del negocio; iii) Retorno de la

inversin; iv) Continuidad del negocio; v) Cultura tica.

El SGSI garantiza la SI mediante una estructura de buenas prcticas, definidas por: a) Gestin de riesgos; b) Polticas; c)

Procesos; d) Procedimientos; e) Controles; f) Revisiones; g)

Mejoras.

6


Conceptos bsicos de SI

La Seguridad de la Informacin consiste en mantener:

Confidencialidad: Informacin disponible exclusivamente a personas autorizadas.

Integridad: Mantenimiento de la exactitud y validez de la informacin, protegindola de modificaciones o alteraciones no autorizadas. Contra la

integridad la informacin puede parecer manipulada, corrupta o incompleta.

Disponibilidad: Acceso y utilizacin de los servicios slo y en el momento de ser solicitado por una persona autorizada.

Seguridad de la informacin

Confidencialidad Integridad Disponibilidad


Alcance

Por ejemplo, el alcance del SGSI queda cubierto por los procesos de las siguientes reas:

Facility

Espacio fsico; energa elctrica; aire acondicionado; proteccin contra incendios; accesos

Administracin

Monitoreo; accesos lgicos; bases de datos; aplicativos

Explotacin/Respaldo

Mallas de procesos; almacenamiento de informacin

Comunicaciones

Redes de datos; seguridad lgica; monitoreo equipos de comunicaciones; enlaces

SAP

Administracin de sistemas SAP.

8


Roadmap

ETAPA I

Documentacin

Capacitacin formal en el

SGSI

Documentar requisitos

normativos

Publicar documentacin

del SGSI

ETAPA II

Implementacin

Difundir

Capacitar

Implementar

ETAPA III

Anlisis crtico

Auditoras Internas

Mejoras

ETAPA IV

Certificacin

Pre-certificacin

Certificacin

2014

Marzo - Mayo Junio - Agosto Septiembre -

Octubre Noviembre

9


Implementacin

Facility Administra

cin Explotacin/Respaldo

Comunicaciones

SAP

10

ISO 27001

Requisitos

Poltica

Organizacin

Activos

RRHH

Cumplimiento

Oficial de Seguridad Responsable

Calidad Servicios de Data Center & Cloud

Gap

Gap

Ca

lid

ad

(Gap)

Gap

Gap

(Gap) (Gap)

Gap

Gap

Gap Gap

Gap

(Gap) (Gap)

Gap C

ali

dad

C

ali

dad

Ca

lid

ad

C

ali

dad

Ca

lid

ad

C

ali

dad

Ca

lid

ad

C

ali

dad

Responsable Responsable Responsable Responsable

Ca

lid

ad


Matriz de responsabilidades

reas Rol Nombre Responsabilidades

Calidad Oficial de

seguridad de

SONDA

Marcelo

Aravena M.

1.- Hacer el gap anlisis. Es decir, comparar, mediante

entrevistas a los roles elegidos, lo que actualmente se

hace en las reas del alcance, respecto a lo que se debe

hacer, segn ISO 27001.

2.- Garantizar que los requisitos de la norma ISO 27001,

en funcin del gap anlisis, queden correctamente

implementados en las reas dentro del alcance. Se

preocupa del qu se debe hacer?

3.- Elaborar la documentacin del SGSI.

4.- Dedicacin prioritaria a este proyecto.

5.- En rgimen, es el responsables de auditar el SGSI, de

las Revisiones Gerenciales, del CSI y de la relacin con

el organismo de certificacin externo.

G. Servicios de

Data Center

Gerente de rea Sergio

Rademacher L.

1.- Definir el alcance. Es decir, las reas y los sistemas.

2.- Aprobar la documentacin del SGSI.

Seguridad Oficial de

Seguridad Data

Center

Jacob Delgado

S.

1.- Definir el Cmo? Se implementar los

procedimientos del SGSI.

2.- En rgimen, debe asegurar el cumplimiento del

modelo. Es decir, cuida que se haga lo que est

declarado en los procedimientos.

11


Matriz de responsabilidades

reas Rol Nombre Responsabilidades

Facility

Jefe Data Center

Quilicura Miguel Soto

Entregan al OSI de Calidad la

informacin y la evidencia de lo que

actualmente se hace, de tal manera de

determinar el gap anlisis.

Jefe Data Center

Teatinos y Santa

Isabel

Jos M. Arriagada

Administracin

Supervisor de

Base de Datos Freddy Espinoza

Supervisor de

administracin

Unix

Toms Jimnez

Supervisor de

administracin

Microsoft

Cristin Leiva

Supervisor de

sistemas de

virtualizacin.

Richard Cceres

12


Definicin de poltica

13


Poltica de seguridad de la informacin

Poltica general de SI.

Poltica de SI por dominio.

14


Organizacin

Comit de seguridad de la Informacin (CSI) (A 6.1.2 A 6.1.3)

Se deben mantener los contactos apropiados con las autoridades pertinentes.

Deben estar representadas todas las reas de la empresa.

G. General; G. Negocios; G. Logstica; G. Personas; G. Contralora; D. Legal; G. Calidad; OSI.

Oficial de seguridad de la informacin.

rea de calidad.

Auditores internos en calidad y seguridad de la informacin.

Revisiones Gerenciales

Polticas

Procesos y procedimientos

15


Riesgo operacional

Qu es el riesgo operacional?

El Comit de Basilea II lo define como: el riesgo de prdidas debido a la inadecuacin o a fallas en los procesos, personal y sistemas internos o por causa

de eventos externos

Qu es la gestin de riesgo operacional?

Ms all de la definicin de riesgo operacional, lo importante es contar

con un proceso de gestin de riesgos operativos o riesgos operacionales.

Este proceso de riesgo operacional es el que debera garantizar la buena

gestin de los riesgos segn los estndares internacionales.

Segn el Comit de Basilea II, se entiende por gestin de riesgo operacional al proceso de identificacin, evaluacin, seguimiento y control del riesgo operacional.

Conclusin: La gestin de riesgo" es un proceso esencial en la empresa.

16


Gestin de riesgo - Metodologa

Matriz de Riesgo

Productos o servicios

Procesos - Activos

Amenazas

Vulnerabilidades

Probabilidad de ocurrencia

Impacto

Nivel de riesgo > 2

Tratamiento del riesgo

Mitigar

Aceptar

Transferir

Eliminar

Proyecto

Nuevo nivel de riesgo 2

Medicin de la eficacia 17

Muy Alto 3 3 4 5 5

Alto 3 3 3 4 5

Moderado 2 3 3 3 4

Bajo 1 2 3 3 3

Mnimo 1 1 2 3 3

Extremada

mente

improbable

Muy

improbableProbable

Muy

probable

Extremada

mente

probable

IMP

AC

TO

PROBABILIDAD


Gestin de riesgo - Evolucin

(#) riesgos aceptados


Matriz SOA

Declaracin de aplicabilidad (SOA: Statement of Applicability)

Se construye una tabla con el dominio, control, justificacin de la exclusin, documento.

19


Incidentes de Seguridad de la Informacin

Definir cules sern tratados. Por ejemplo, los incidentes mayores.

(Como se trata de un tema de cambio cultural, la recomendacin es ir

desde lo simple a lo complejo.)

Procedimiento de incidentes de SI.

Tratamiento.

20


Plan de continuidad del negocio

Alcance.

BIA.

Gestin de riesgo.

Estrategias de continuidad.

Plan de Continuidad.

Pruebas.

Mejoras.

21


Auditoras internas

Preparacin de auditores.

Calendario.

Ejecucin del calendario.

Tratamiento de hallazgos.

Mejoras.

22

SGSI ISO 27001Auditoras Internas AI

Revisin Gerencial RG RealizadaAuditora de Pre-certificacin AP Programada

Auditora de Vigilancia AV No realizada Auditora de re-certificacin AR

Aprobado por

Fecha

Indicador general

06 13 20 27 03 10 17 24 03 10 17 24 31 07 14 21 28 05 12 19 26 02 09 16 23 30 07 14 21 28 04 11 18 25 01 08 15 22 29 06 13 20 27 03 10 17 24 01 08 15 22 29

4 Sistema de Gestin de Seguridad de la

Informacin

4.1 Requisitos Generales AI9 RG RG AR AR AI RG AI RG

4.2 Establecer y manejar el SGSI AI9 RG RG AR AR AI RG AI RG

4.2.1 Establecer el SGSI AI9 RG RG AR AR AI RG AI RG

4.2.2 Implementar y operar el SGSI AI9 RG RG AR AR AI RG AI RG

4.2.3 Monitorear y revisar el SGSI AI9 RG RG AR AR AI RG AI RG

4.2.4 Mantener y mejorar el SGSI AI9 RG RG AR AR AI RG AI RG

4.3 Requisitos de documentacin AI9 RG RG AR AR AI RG AI RG

4.3.1 General AI9 RG RG AR AR AI RG AI RG

4.3.2 Control de documentos AI9 RG RG AR AR AI RG AI RG

4.3.3 Control de registros AI9 RG RG AR AR AI RG AI RG

5 Responsabilidad de la gerencia

5.1 Compromiso de la gerencia AI9 RG RG AR AR AI RG AI RG

5.2 Gestin de recursos AI9 RG RG AR AR AI RG AI RG

5.2.1 Provisin de recursos AI9 RG RG AR AR AI RG AI RG

5.2.2 Capacitacin, conocimiento y capacidad AI9 RG RG AR AR AI RG AI RG

6 Auditoras Internas SGSI

Procedimiento de auditoras internas AI9 RG RG AR AR AI RG AI RG

Plan de auditoras internas AI9 RG RG AR AR AI RG AI RG

Tratamiento de no-conformidades AI9 RG RG AR AR AI RG AI RG

7 Revisin Gerencial

7.1 General AI9 RG RG AR AR AI RG AI RG

7.2 Insumo de la revisin AI9 RG RG AR AR AI RG AI RG

7.3 Resultado de la revisin AI9 RG RG AR AR AI RG AI RG

8 Mejoramiento del SGSI

8.1 Mejoramiento continuo AI9 RG RG AR AR AI RG AI RG

8.2 Accin correctiva AI9 RG RG AR AR AI RG AI RG

8.3 Accin preventiva AI9 RG RG AR AR AI RG AI RG

9 Objetivos de control y controles

Anexo A de la norma AI9 RG RG AR AR AI RG AI RG

Requisitos NormativosEnero Febrero Abril JulioJunioMarzo

PROGRAMA DE AUDITORAS AO 2014 FACILITIES

Noviembre DiciembreAgosto

Ger. Datacenter/Ger. Calidad

Septiembre OctubreMayo

1-mar-14


Revisiones gerenciales

La alta direccin debe revisar el SGSI, segn la planificacin definida, segn conveniencia, suficiencia y efectividad.

Estado de las acciones, en funcin de las RG anteriores.

Los cambios internos y externos relevantes para el SGSI.

Desempeo de:

NC y acciones correctivas.

Mediciones e indicadores.

Resultado de auditoras internas y externas.

Cumplimiento de los objetivos de la SI.

Comentarios de partes interesadas.

Resultado de la evaluacin y tratamiento de riesgo.

Oportunidades para la mejora continua.

Acta que evidencie las acciones y los acuerdos de la RG.

23


El punto de partida de la seguridad de la informacin

Un cierto nmero de controles puede ser considerado un buen punto de partida para implementar la seguridad de la informacin.

Estos estn basados en requisitos legales esenciales o que se

consideren prctica habitual de la seguridad de la informacin.

Proteccin de los datos y la privacidad de la informacin personal.

Proteccin de los registros de la informacin.

Derechos de la propiedad intelectual.

Documentacin de la poltica de seguridad de la informacin.

Asignacin de responsabilidades.

Concienciacin, formacin y capacitacin en seguridad de la informacin.

Vulnerabilidad tcnica.

Gestin de incidentes de seguridad.

Gestin de continuidad del negocio.


Recomendaciones

Cmo implementar buenas prcticas?

Diferencia entre el qu se debe hacer y el cmo se hace

Establecer acuerdos.

El rol de las personas

Actitudes

Aptitudes

Los mbitos

Predisponen (para bien o para mal)

Relacionan y mezclan niveles.

Que sean armnicos y no disonantes

Los procesos

Procedimientos

Las relaciones entre los procesos

La implementacin

25


Cambio de versin de la norma ISO 27001

ISO

27001:2005

ISO

27001:2013 Notas

8 puntos

clsicos. Anexo SL

Garantizar la coherencia entre las futuras y actuales normas de

sistemas de gestin.

Favorecer la integracin de sistemas de gestin.

Facilitar a los usuarios la comprensin y entendimiento de las

normas de gestin.

11 dominios 14 dominios Las principales modificaciones se ven reflejadas en la estructura

y el contenido de los controles que conforman el Anexo A, todo como resultado de un proceso de fusin, exclusin e

incorporacin de nuevos controles de seguridad. 133 controles 113 controles

26


Estructura del nuevo estndar

27


ISO 27001:2013 (14 dominios; 113 controles)

A.5 Poltica de seguridad.

A.6 Organizacin de la seguridad de la informacin.

A.7 Seguridad de los RRHH.

A.8 Gestin de activos.

A.9 Control de accesos.

A.10 Criptografa.

A.11 Seguridad fsica y ambiental.

A.12 Seguridad en las operaciones.

A.13 Transferencia de informacin.

A.14 Adquisicin de sistemas, desarrollo y mantenimiento.

A.15 Relacin con proveedores.

A.16 Gestin de los incidentes de seguridad.

A.17 Continuidad del negocio.

A.18 Cumplimiento con requerimientos legales y

contractuales.

Dominios ISO 27001

28

ISO 27001:2005 (11 dominios; 133 controles)

A.5 Poltica de seguridad.

A.6 Organizacin de la seguridad de la informacin.

A.7 Gestin de activos.

A.8 Seguridad de los RRHH.

A.9 Seguridad fsica y del ambiente.

A.10 Gestin de comunicaciones y operaciones.

A.11 Control de acceso.

A.12 Adquisicin, desarrollo y mantenimiento de

sistemas de informacin.

A.13 Gestin de incidentes de seguridad de la

informacin.

A.14 Gestin de la continuidad del negocio.

A.15 Cumplimiento.


Requisito Descripcin

Alcance del SGSI mbito de la organizacin que queda sometido al SGSI, incluyendo una identificacin

clara de las dependencias, relaciones y lmites que existen entre el alcance y aquellas

partes que no hayan sido consideradas.

Poltica y objetivos de seguridad Documento de contenido genrico que establece el compromiso de la direccin y el

enfoque de la organizacin en la gestin de la seguridad de la informacin.

Procedimientos y controles del

SGSI

Aquellos procedimientos que regulan el propio funcionamiento del SGSI.

Declaracin de aplicabilidad:

(SOA -Statement of Applicability)

Documento que contiene los objetivos de control y los controles contemplados por el

SGSI, basado en los resultados de los procesos de evaluacin y tratamiento de riesgos,

justificando inclusiones y exclusiones.

Metodologa de evaluacin de

riesgos

Descripcin de la forma como se realizar la evaluacin de las amenazas,

vulnerabilidades, probabilidades de ocurrencia e impactos en relacin a los activos de

informacin dentro del alcance definido, y los criterios de aceptacin de riesgo.

Informe de evaluacin y plan de

tratamiento de riesgos

Estudio resultante de aplicar la metodologa de evaluacin anteriormente mencionada a

los activos de informacin de la organizacin. Plan de tratamiento de los riesgos.

Plan de continuidad del negocio Documento que identifica los planes para enfrentar diferentes escenarios. Las pruebas,

los anlisis del resultado de las pruebas y las acciones de mejoras del plan.

Procedimientos documentados Todos los necesarios para asegurar la planificacin, operacin y control de los procesos

de seguridad de la informacin, as como para la medida de la eficacia de los controles

implantados.

Registros Evidencia objetiva del funcionamiento del SGSI.

Documentos del SGSI

29


Tel (56-2) 657 50 00 Fax (56-2) 657 54 10 Teatinos 500 / Santiago / CHILE

www.SONDA.com

FIN 30

Rodrigo Baldecchi

[email protected]

Documents

Cigras2014 - Exposición 2 Cigras Iso 27001 - Rbq