Implementación efectiva de un SGSI ISO 27001.
Rodrigo Baldecchi Q.
Gerente Corporativo de Calidad
04-SEP-14
CHILE
COLOMBIA
ECUADOR
MÉXICO
BRASIL PERÚ
ARGENTINA
COSTA RICA
URUGUAY
PANAMÁ
2 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
1. Encuadre general.
2. La intención y el control.
3. Alcance.
4. Roadmap.
5. Implementación.
6. Política de SI.
7. Organización.
8. Riesgo.
9. Matriz SOA.
10. Incidentes de SI.
11. Plan de Continuidad del negocio.
12. Medición y mejora.
13. Cambio de versión de la norma.
14. Preguntas.
ÍNDICE
2
3 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Encuadre general
La información es un activo esencial y es decisiva para la
viabilidad de una organización. Adopta diferentes formas, impresa,
escrita en papel, digital, transmitida por correo, mostrada en
videos o hablada en conversaciones.
Debido a que está disponible en ambientes cada vez más
interconectados, está expuesta a amenazas y vulnerabilidades.
La seguridad de la información es la protección de la información
contra una amplia gama de amenazas; para minimizar los daños,
ampliar las oportunidades del negocio, maximizar el retorno de las
inversiones y asegurar la continuidad del negocio.
Se va logrando mediante la implementación de un conjunto
adecuado de políticas, procesos, procedimientos, organización,
controles, hardware y software y, lo más importante, mediante
comportamientos éticos de las personas.
3
4 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
La intención y el control
El aumento del control sobre las actividades de las personas.
¿Es posible controlar las intenciones de las personas?
Por lo tanto, se requiere ir más lejos…
4
5 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Sistemas de gestión
Para ISO (International Organization for Standardization) un
sistema de gestión queda definido por un proceso de 4 etapas,
creado por Walter Andrew Shewhart (1891 – 1967) y
popularizado por William Edwards Deming (1900 – 1993),
Planificar (Plan), Implementar (Do), Medir (Check) y Mejorar (Act).
Planificar
Implementar
Medir
Mejorar
5
6 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Conceptos generales de un SGSI
ISO 27001 es un Sistema de Gestión de la Seguridad de la
Información (SGSI).
La seguridad de la información queda definida por tres atributos:
a) Confidencialidad; b) Integridad; c) Disponibilidad.
La seguridad de la información (SI) es la protección de la
información contra una amplia gama de amenazas respecto a: i)
Minimizar daños; ii) Oportunidades del negocio; iii) Retorno de la
inversión; iv) Continuidad del negocio; v) Cultura ética.
El SGSI garantiza la SI mediante una estructura de buenas
prácticas, definidas por: a) Gestión de riesgos; b) Políticas; c)
Procesos; d) Procedimientos; e) Controles; f) Revisiones; g)
Mejoras.
6
7 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Conceptos básicos de SI
La Seguridad de la Información consiste en mantener:
Confidencialidad: Información disponible exclusivamente a personas
autorizadas.
Integridad: Mantenimiento de la exactitud y validez de la información,
protegiéndola de modificaciones o alteraciones no autorizadas. Contra la
integridad la información puede parecer manipulada, corrupta o incompleta.
Disponibilidad: Acceso y utilización de los servicios sólo y en el momento de
ser solicitado por una persona autorizada.
Seguridad de la información
Confidencialidad Integridad Disponibilidad
8 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Alcance
Por ejemplo, el alcance del SGSI queda cubierto por los procesos
de las siguientes áreas:
Facility
• Espacio físico; energía eléctrica; aire acondicionado; protección
contra incendios; accesos…
Administración
• Monitoreo; accesos lógicos; bases de datos; aplicativos…
Explotación/Respaldo
• Mallas de procesos; almacenamiento de información…
Comunicaciones
• Redes de datos; seguridad lógica; monitoreo equipos de
comunicaciones; enlaces…
SAP
• Administración de sistemas SAP.
8
9 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Roadmap
ETAPA I
Documentación
Capacitación formal en el
SGSI
Documentar requisitos
normativos
Publicar documentación
del SGSI
ETAPA II
Implementación
Difundir
Capacitar
Implementar
ETAPA III
Análisis crítico
Auditorías Internas
Mejoras
ETAPA IV
Certificación
Pre-certificación
Certificación
2014
Marzo - Mayo Junio - Agosto Septiembre -
Octubre Noviembre
9
10 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Implementación
Facility Administra
ción Explotación/Respaldo
Comunicaciones
SAP
10
ISO 27001
Requisitos
Política
Organización
Activos
RRHH
…
…
Cumplimiento
Oficial de Seguridad Responsable
Calidad Servicios de Data Center & Cloud
Gap
Gap
Ca
lid
ad
(Gap)
Gap
Gap
(Gap) (Gap)
Gap
Gap
Gap Gap
Gap
(Gap) (Gap)
Gap C
ali
dad
C
ali
dad
Ca
lid
ad
C
ali
dad
Ca
lid
ad
C
ali
dad
Ca
lid
ad
C
ali
dad
Responsable Responsable Responsable Responsable
Ca
lid
ad
11 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Matriz de responsabilidades
Áreas Rol Nombre Responsabilidades
Calidad Oficial de
seguridad de
SONDA
Marcelo
Aravena M.
1.- Hacer el gap análisis. Es decir, comparar, mediante
entrevistas a los roles elegidos, lo que actualmente se
hace en las áreas del alcance, respecto a lo que se debe
hacer, según ISO 27001.
2.- Garantizar que los requisitos de la norma ISO 27001,
en función del gap análisis, queden correctamente
implementados en las áreas dentro del alcance. Se
preocupa del ¿qué se debe hacer?
3.- Elaborar la documentación del SGSI.
4.- Dedicación prioritaria a este proyecto.
5.- En régimen, es el responsables de auditar el SGSI, de
las Revisiones Gerenciales, del CSI y de la relación con
el organismo de certificación externo.
G. Servicios de
Data Center
Gerente de área Sergio
Rademacher L.
1.- Definir el alcance. Es decir, las áreas y los sistemas.
2.- Aprobar la documentación del SGSI.
Seguridad Oficial de
Seguridad Data
Center
Jacob Delgado
S.
1.- Definir el ¿Cómo? Se implementará los
procedimientos del SGSI.
2.- En régimen, debe asegurar el cumplimiento del
modelo. Es decir, cuida que se haga lo que está
declarado en los procedimientos.
11
12 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Matriz de responsabilidades
Áreas Rol Nombre Responsabilidades
Facility
Jefe Data Center
Quilicura Miguel Soto
Entregan al OSI de Calidad la
información y la evidencia de lo que
actualmente se hace, de tal manera de
determinar el gap análisis.
Jefe Data Center
Teatinos y Santa
Isabel
José M. Arriagada
Administración
Supervisor de
Base de Datos Freddy Espinoza
Supervisor de
administración
Unix
Tomás Jiménez
Supervisor de
administración
Microsoft
Cristián Leiva
Supervisor de
sistemas de
virtualización.
Richard Cáceres
12
13 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Definición de política
13
14 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Política de seguridad de la información
Política general de SI.
Política de SI por dominio.
14
15 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Organización
Comité de seguridad de la Información (CSI) (A 6.1.2 ó A 6.1.3)
“Se deben mantener los contactos apropiados con las autoridades
pertinentes.”
Deben estar representadas todas las áreas de la empresa.
G. General; G. Negocios; G. Logística; G. Personas; G. Contraloría;
D. Legal; G. Calidad; OSI.
Oficial de seguridad de la información.
Área de calidad.
Auditores internos en calidad y seguridad de la información.
Revisiones Gerenciales
Políticas
Procesos y procedimientos
15
16 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Riesgo operacional
¿Qué es el riesgo operacional?
El Comité de Basilea II lo define como: “el riesgo de pérdidas debido a la
inadecuación o a fallas en los procesos, personal y sistemas internos o por causa
de eventos externos”
¿Qué es la gestión de riesgo operacional?
Más allá de la definición de riesgo operacional, lo importante es contar
con un proceso de gestión de riesgos operativos o riesgos operacionales.
Este proceso de riesgo operacional es el que debería garantizar la buena
gestión de los riesgos según los estándares internacionales.
Según el Comité de Basilea II, se entiende por “gestión” de riesgo
operacional al proceso de “identificación, evaluación, seguimiento y control”
del riesgo operacional.
Conclusión: La “gestión de riesgo" es un proceso esencial en la empresa.
16
17 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Gestión de riesgo - Metodología
Matriz de Riesgo
Productos o servicios
Procesos - Activos
Amenazas
Vulnerabilidades
Probabilidad de ocurrencia
Impacto
Nivel de riesgo > 2
Tratamiento del riesgo
• Mitigar
• Aceptar
• Transferir
• Eliminar
Proyecto
Nuevo nivel de riesgo ≤ 2
Medición de la eficacia 17
Muy Alto 3 3 4 5 5
Alto 3 3 3 4 5
Moderado 2 3 3 3 4
Bajo 1 2 3 3 3
Mínimo 1 1 2 3 3
Extremada
mente
improbable
Muy
improbableProbable
Muy
probable
Extremada
mente
probable
IMP
AC
TO
PROBABILIDAD
18 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Gestión de riesgo - Evolución
(#) riesgos aceptados
19 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Matriz SOA
Declaración de aplicabilidad (SOA: Statement of Applicability)
Se construye una tabla con el dominio, control, justificación de la
exclusión, documento.
19
20 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Incidentes de Seguridad de la Información
Definir cuáles serán tratados. Por ejemplo, los incidentes mayores.
(Como se trata de un tema de cambio cultural, la recomendación es ir
desde lo simple a lo complejo.)
Procedimiento de incidentes de SI.
Tratamiento.
20
21 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Plan de continuidad del negocio
Alcance.
BIA.
Gestión de riesgo.
Estrategias de continuidad.
Plan de Continuidad.
Pruebas.
Mejoras.
21
22 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Auditorías internas
Preparación de auditores.
Calendario.
Ejecución del calendario.
Tratamiento de hallazgos.
Mejoras.
22
SGSI ISO 27001Auditorías Internas AI
Revisión Gerencial RG RealizadaAuditoría de Pre-certificación AP Programada
Auditoría de Vigilancia AV No realizada Auditoría de re-certificación AR
Aprobado por
Fecha
Indicador general
06 13 20 27 03 10 17 24 03 10 17 24 31 07 14 21 28 05 12 19 26 02 09 16 23 30 07 14 21 28 04 11 18 25 01 08 15 22 29 06 13 20 27 03 10 17 24 01 08 15 22 29
4 Sistema de Gestión de Seguridad de la
Información
4.1 Requisitos Generales AI9 RG RG AR AR AI RG AI RG
4.2 Establecer y manejar el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.1 Establecer el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.2 Implementar y operar el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.3 Monitorear y revisar el SGSI AI9 RG RG AR AR AI RG AI RG
4.2.4 Mantener y mejorar el SGSI AI9 RG RG AR AR AI RG AI RG
4.3 Requisitos de documentación AI9 RG RG AR AR AI RG AI RG
4.3.1 General AI9 RG RG AR AR AI RG AI RG
4.3.2 Control de documentos AI9 RG RG AR AR AI RG AI RG
4.3.3 Control de registros AI9 RG RG AR AR AI RG AI RG
5 Responsabilidad de la gerencia
5.1 Compromiso de la gerencia AI9 RG RG AR AR AI RG AI RG
5.2 Gestión de recursos AI9 RG RG AR AR AI RG AI RG
5.2.1 Provisión de recursos AI9 RG RG AR AR AI RG AI RG
5.2.2 Capacitación, conocimiento y capacidad AI9 RG RG AR AR AI RG AI RG
6 Auditorías Internas SGSI
Procedimiento de auditorías internas AI9 RG RG AR AR AI RG AI RG
Plan de auditorías internas AI9 RG RG AR AR AI RG AI RG
Tratamiento de no-conformidades AI9 RG RG AR AR AI RG AI RG
7 Revisión Gerencial
7.1 General AI9 RG RG AR AR AI RG AI RG
7.2 Insumo de la revisión AI9 RG RG AR AR AI RG AI RG
7.3 Resultado de la revisión AI9 RG RG AR AR AI RG AI RG
8 Mejoramiento del SGSI
8.1 Mejoramiento continuo AI9 RG RG AR AR AI RG AI RG
8.2 Acción correctiva AI9 RG RG AR AR AI RG AI RG
8.3 Acción preventiva AI9 RG RG AR AR AI RG AI RG
9 Objetivos de control y controles
Anexo A de la norma AI9 RG RG AR AR AI RG AI RG
Requisitos NormativosEnero Febrero Abril JulioJunioMarzo
PROGRAMA DE AUDITORÍAS AÑO 2014 FACILITIES
Noviembre DiciembreAgosto
Ger. Datacenter/Ger. Calidad
Septiembre OctubreMayo
1-mar-14
23 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Revisiones gerenciales
La alta dirección debe revisar el SGSI, según la planificación
definida, según conveniencia, suficiencia y efectividad.
Estado de las acciones, en función de las RG anteriores.
Los cambios internos y externos relevantes para el SGSI.
Desempeño de:
NC y acciones correctivas.
Mediciones e indicadores.
Resultado de auditorías internas y externas.
Cumplimiento de los objetivos de la SI.
Comentarios de partes interesadas.
Resultado de la evaluación y tratamiento de riesgo.
Oportunidades para la mejora continua.
Acta que evidencie las acciones y los acuerdos de la RG.
23
24 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
El punto de partida de la seguridad de la información
Un cierto número de controles puede ser considerado un buen
punto de partida para implementar la seguridad de la información.
Estos están basados en requisitos legales esenciales o que se
consideren práctica habitual de la seguridad de la información.
Protección de los datos y la privacidad de la información personal.
Protección de los registros de la información.
Derechos de la propiedad intelectual.
Documentación de la política de seguridad de la información.
Asignación de responsabilidades.
Concienciación, formación y capacitación en seguridad de la
información.
Vulnerabilidad técnica.
Gestión de incidentes de seguridad.
Gestión de continuidad del negocio.
25 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Recomendaciones
¿Cómo implementar buenas prácticas?
Diferencia entre el “qué se debe hacer” y el “cómo se hace”
Establecer acuerdos.
El rol de las personas
Actitudes
Aptitudes
Los ámbitos
Predisponen (para bien o para mal)
Relacionan y mezclan niveles.
Que sean armónicos y no disonantes…
Los procesos
Procedimientos
Las relaciones entre los procesos
La implementación
25
26 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Cambio de versión de la norma ISO 27001
ISO
27001:2005
ISO
27001:2013 Notas
8 puntos
clásicos. Anexo SL
Garantizar la coherencia entre las futuras y actuales normas de
sistemas de gestión.
Favorecer la integración de sistemas de gestión.
Facilitar a los usuarios la comprensión y entendimiento de las
normas de gestión.
11 dominios 14 dominios Las principales modificaciones se ven reflejadas en la estructura
y el contenido de los controles que conforman el Anexo “A”, todo
como resultado de un proceso de fusión, exclusión e
incorporación de nuevos controles de seguridad. 133 controles 113 controles
26
27 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Estructura del nuevo estándar
27
28 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
ISO 27001:2013 (14 dominios; 113 controles)
A.5 Política de seguridad.
A.6 Organización de la seguridad de la información.
A.7 Seguridad de los RRHH.
A.8 Gestión de activos.
A.9 Control de accesos.
A.10 Criptografía.
A.11 Seguridad física y ambiental.
A.12 Seguridad en las operaciones.
A.13 Transferencia de información.
A.14 Adquisición de sistemas, desarrollo y mantenimiento.
A.15 Relación con proveedores.
A.16 Gestión de los incidentes de seguridad.
A.17 Continuidad del negocio.
A.18 Cumplimiento con requerimientos legales y
contractuales.
Dominios ISO 27001
28
ISO 27001:2005 (11 dominios; 133 controles)
A.5 Política de seguridad.
A.6 Organización de la seguridad de la información.
A.7 Gestión de activos.
A.8 Seguridad de los RRHH.
A.9 Seguridad física y del ambiente.
A.10 Gestión de comunicaciones y operaciones.
A.11 Control de acceso.
A.12 Adquisición, desarrollo y mantenimiento de
sistemas de información.
A.13 Gestión de incidentes de seguridad de la
información.
A.14 Gestión de la continuidad del negocio.
A.15 Cumplimiento.
29 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Requisito Descripción
Alcance del SGSI Ámbito de la organización que queda sometido al SGSI, incluyendo una identificación
clara de las dependencias, relaciones y límites que existen entre el alcance y aquellas
partes que no hayan sido consideradas.
Política y objetivos de seguridad Documento de contenido genérico que establece el compromiso de la dirección y el
enfoque de la organización en la gestión de la seguridad de la información.
Procedimientos y controles del
SGSI
Aquellos procedimientos que regulan el propio funcionamiento del SGSI.
Declaración de aplicabilidad:
(SOA -Statement of Applicability)
Documento que contiene los objetivos de control y los controles contemplados por el
SGSI, basado en los resultados de los procesos de evaluación y tratamiento de riesgos,
justificando inclusiones y exclusiones.
Metodología de evaluación de
riesgos
Descripción de la forma como se realizará la evaluación de las amenazas,
vulnerabilidades, probabilidades de ocurrencia e impactos en relación a los activos de
información dentro del alcance definido, y los criterios de aceptación de riesgo.
Informe de evaluación y plan de
tratamiento de riesgos
Estudio resultante de aplicar la metodología de evaluación anteriormente mencionada a
los activos de información de la organización. Plan de tratamiento de los riesgos.
Plan de continuidad del negocio Documento que identifica los planes para enfrentar diferentes escenarios. Las pruebas,
los análisis del resultado de las pruebas y las acciones de mejoras del plan.
Procedimientos documentados Todos los necesarios para asegurar la planificación, operación y control de los procesos
de seguridad de la información, así como para la medida de la eficacia de los controles
implantados.
Registros Evidencia objetiva del funcionamiento del SGSI.
Documentos del SGSI
29
30 Presentación ISO 27001 en congreso CIGRAS www.sonda.com
Tel (56-2) 657 50 00 Fax (56-2) 657 54 10 Teatinos 500 / Santiago / CHILE
www.SONDA.com
FIN 30
Rodrigo Baldecchi