iso27001_erd_v04
TRANSCRIPT
![Page 1: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/1.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 1/48
Taller:
“Estrategias para laImplementación de unSistema de Gestión de
Seguridad de Información”
Miami - 2010
© Banco de Chile – Eduardo Recabarren - 2010
![Page 2: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/2.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 2/48
Antes de comenzar …
• Recomendaciones de la sala
• Uso de teléfonos móviles, notebooks y PDA
• No fumar
• Salidas de Emergencia
© Banco de Chile – Eduardo Recabarren - 2010
![Page 3: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/3.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 3/48
FACILITADOR
Eduardo A. Recabarren Domínguez
Oficial de Privacidad y Seguridad
del Banco de Chile
Licenciado en Ciencias de la Ingeniería
Ingeniero en Computación e Informática
Ingeniero Civil Industrial
© Banco de Chile – Eduardo Recabarren - 2010
![Page 4: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/4.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 4/48
Agenda
Definiciones , Aspectos Conceptuales, Tendencias
Metodología propuesta para Implementación SGSI, según ISO27001:2005
Descripción en Detalle
Conclusiones
1
2
3
4
5
Introducción
© Banco de Chile – Eduardo Recabarren - 2010
![Page 5: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/5.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 5/48
1
El Banco de Chile,fundado en 1893, haliderado el mercadofinanciero chileno
como uno de losbancos más exitososen términos de
retorno de activos yen la creación de
mayor valor para susaccionistas
2
Estrategia multimarca,en que las marcas
Banco de Chile y BancoEdwards-Citi cubren los
segmentos de
empresas y personas,mientras que el
segmento de consumoes atendido bajo la
marca BancoCredichile, a través deredes de distribución
independientes y decobertura nacional
3
El 2 de enero del 2008nace un nuevo Bancode Chile, a raíz de la
fusión que se produce
entre éste y Citibank Chile.• Participación de Mercado
en torno al 20% de lascolocaciones del Sistema• Más de 1,5 millones de
clientes• Más de 400 sucursales.
• Nuevas ventajascompetitivas.
© Banco de Chile – Eduardo Recabarren - 2010
¿Quiénes somos?
![Page 6: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/6.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 6/48
- Gerente General- Gerente División Gestión y Control Financiero
- Gerente División Operaciones y Tecnología- Gerente División de Calidad- Gerente División Contraloría
- Gerente Seguridad y Prevención de Riesgo- Gerente de Riesgo Operacional
Seguimiento, control deavance y escalamiento PMO
- Gerente de Riesgo Operacional- Gerente Operaciones Especializadas Tesorería
- Gerente de Contraloría- Gerente Servicio Cliente- Jefe Área Consumo
- Jefe Depto. Riesgo Operacional- Gerente Serv. Procesamiento e Infraestructura
- Gerencia Zonal- Gerente Operaciones Productos MasivosComité Operativo de
Riesgo Operacional
CERO - Comité Ejecutivode Riesgo Operacional
Gerencia Riesgo Operacional
AREA RIESGO OPERACIONALAREA SEGURIDAD DE LA
INFORMACIONAREA CONTINUIDAD DEL
NEGOCIO
Autoevaluación de Riesgo OperacionalProceso SOX
Matriz de Autoevaluación (MAE )Proceso de Castigos
Evaluación de Proveedores (SAS 70)Evaluación nuevos procesos y productos
Educación
Proyectos TecnológicosAdministración de Infraestructura TI
Evaluación de RiesgoAceptación de riesgo
Comité Administración de Incidentes (SIRT)Comité de Arquitectura Tecnológica (CAT)
Educación
Modelo de ContinuidadDefinición Procesos Críticos
Planes de Continuidad del NegocioPlan de Recuperación de Desastres
Comité Administración de CrisisCoordinación de Pruebas
Educación
Estructura Gobierno de SI…
© Banco de Chile – Eduardo Recabarren - 2010
![Page 7: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/7.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 7/48
Agenda
Definiciones , Aspectos Conceptuales, Tendencias
Metodología propuesta para Implementación SGSI - ISO/IEC 27001
Paso a Paso…
Conclusiones
1
2
3
4
5
Introducción
© Banco de Chile – Eduardo Recabarren - 2010
![Page 8: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/8.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 8/48
Algunas Definiciones Previas..
Seguridad de la Información (SI).- Preservación de la confidencialidad, integridad y
disponibilidad de la información; adicionalmente autenticidad, responsabilidad, norepudio y confiabilidad.
SGSI.- es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos
del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la
seguridad de la información.
Activo.- Algo que tiene valor para la organización (ISO/IEC 13335-1:2004)
Amenaza.- Evento que puede provocar un incidente en la organización produciendo daños o
pérdidas materiales y/o inmateriales
Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias externas.
© Banco de Chile – Eduardo Recabarren - 2010
![Page 9: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/9.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 9/48
Algunas Definiciones Previas..
El SGSI: es el concepto sobre el que se construye ISO 27001.
La Gestión de la Seguridad de la Información ,debe realizarse mediante un proceso
sistemático, documentado y conocido por toda la organización.
Garantizar un nivel de protección total es imposible incluso en el caso de disponer de un
presupuesto ilimitado.
El propósito de un sistema de gestión de la seguridad de la información es, por tanto,
garantizar que los riesgos de la seguridad de la información son conocidos,
asumidos, gestionados y minimizados por la organización de una forma
documentada, sistemática, estructurada, repetible, eficiente y adaptada a loscambios que se produzcan en los riesgos, el entorno y las tecnologías.
© Banco de Chile – Eduardo Recabarren - 2010
![Page 10: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/10.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 10/48
¿POR QUÉ GESTIÓN DE RIESGOS DE LA INFORMACIÓN?
Necesidad de Proteger la Información
Sin embargo, esto puede generar:
Crecimiento de cantidad y complejidad de los controles
Pérdida del foco de actividades (Seguridad v/s Negocio) Por otra parte, requiere:
Mediciones del impacto producido por los controles en seguridad
Aplicar un criterio de negocios
Algunas Definiciones Previas..
© Banco de Chile – Eduardo Recabarren - 2010
![Page 11: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/11.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 11/48
¿CUAL NORMA O ESTANDAR ESCOGER PARA GESTION DE RIESGO DE LA INFORMACION?
Depende de cual sea el objetivo Orientada a Procesos
ISO 9001:2000 ISO/IEC 27001 CMM ITIL ISM3
Orientada a Controles
ISO 13335-4
BSI-ITPM Orientada a Productos
Common Criteria Orientada al Análisis de Riesgos
OCTAVE Magerit
Orientada a la Buenas Prácticas
ISO/EIC 17799:2005 Cobit ISF-SGP
Algunas Definiciones Previas..
© Banco de Chile – Eduardo Recabarren - 2010
![Page 12: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/12.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 12/48
Cabe la Pregunta:
¿ A quien compete la Seguridad de la Información en una organización?
Aspectos Conceptuales…
© Banco de Chile – Eduardo Recabarren - 2010
Gestores de laOrganización
Personal de TI
Personal en General
Controladores,Auditores Internos
“La SI esresponsabilidad de
los dueños de laInformación”
![Page 13: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/13.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 13/48
Misión
© Banco de Chile – Eduardo Recabarren - 2010
Detectar nuestrasdebilidades
Detectar que se
debe proteger
Medir eldesempeño de los
controles
Implementarcontroles
Proponercontroles
Aspectos Conceptuales…
A
B
C
DE
![Page 14: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/14.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 14/4814
Tendencias…
© Banco de Chile – Eduardo Recabarren - 2010
![Page 15: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/15.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 15/4815
Tendencias…
© Banco de Chile – Eduardo Recabarren - 2010
![Page 16: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/16.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 16/48
16
Tendencias…
© Banco de Chile – Eduardo Recabarren - 2010
![Page 17: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/17.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 17/48
17
Tendencias
Tendencias…
© Banco de Chile – Eduardo Recabarren - 2010
d l l
![Page 18: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/18.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 18/48
18
Terremoto en Chile Feb-27-2010Magnitud de 8,8° M
Eventos de la Naturaleza…
O
![Page 19: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/19.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 19/48
19
Ausencia Masiva de Personal
Falta de Servicios de Proveedores Críticos
Otros Eventos …
![Page 20: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/20.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 20/48
..
Agenda
Definiciones , Aspectos Conceptuales, Tendencias
Metodología propuesta para Implementación SGSI según ISO/IEC 27001
Descripción en Detalle
Conclusiones
1
2
3
4
5
Introducción
© Banco de Chile – Eduardo Recabarren - 2010
![Page 21: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/21.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 21/48
Metodología propuesta paraImplantación SGSI según ISO/IEC 27001 (1/4)
Guía Proceso “Planificar” Estableciendo el alcance del SGSI
Formulando las políticas de SGSI ySeguridad de Información
Realizando la valoración de riesgos
Y tomando decisiones en el
tratamiento de riesgos
© Banco de Chile – Eduardo Recabarren - 2010
Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclocontinuo PDCA, tradicional en los sistemas de gestión de la calidad.
![Page 22: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/22.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 22/48
Guía Proceso “Hacer” Creando e Implantando el Plan de
Tratamiento de Riesgos
Implementado los controles
Capacitación y sensibilización
Implementando un programa de manejo
de incidentes de seguridad deinformación
Administrando los recursos
Metodología propuesta paraImplantación SGSI según ISO/IEC 27001(2/4)
© Banco de Chile – Eduardo Recabarren - 2010
![Page 23: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/23.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 23/48
Guía Proceso “Verificar” Monitoreo
• Chequeo rutinario • Self-policing
procedures RevisionesHaciendo Auditorias internas del SGSIEjecutando revisiones administrativasMidiendo el SGSI
Analizando tendenciasControlando documentación y registros
Metodología propuesta paraImplantación SGSI según ISO/IEC 27001 (3/4)
© Banco de Chile – Eduardo Recabarren - 2010
![Page 24: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/24.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 24/48
Guía Proceso “Actuar” Implementando mejorasIdentificando no-conformidades
Identificando e implementado accionespreventivas y correctivasAsegurando mejora continua.ProbandoComunicando cambios y mejoras
Metodología propuesta paraImplantación SGSI según ISO/IEC 27001(4/4)
© Banco de Chile – Eduardo Recabarren - 2010
![Page 25: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/25.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 25/48
Agenda
Definiciones , Aspectos Conceptuales, Tendencias
Metodología propuesta para ISO/IEC 27001
Descripción en Detalle
Conclusiones
1
2
3
4
5
Introducción
© Banco de Chile – Eduardo Recabarren - 2010
![Page 26: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/26.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 26/48
Implantación de un Sistema de Gestión deSeguridad de Información (SGSI)
►Establezca el Alcance►Establezca criterios de riesgo
► Identifique y valorice los activos de información
►Determine el nivel de riesgo real
►Escriba la Política de Seguridad►Elabore el Documento de Aplicabilidad
►Objetivos de control y controles
►Realice la definición de políticas, normas y procedimientos
►Producción e implantación►Complementación de la documentación del SGSI
►Auditoria y Revisión del SGSI
►Resumen revisión de proceso de implantación
© Banco de Chile – Eduardo Recabarren - 2010
Establecer el Alcance
![Page 27: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/27.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 27/48
Establecer el Alcance
• Definir cual o cuales procesos serán considerados dentro del
SGSI
• Especificar activos que participan
Listado de contratos y acuerdos
Mapas de red
Inventario de activos relevantes
(Cláusulas 4.2.a ISO/IEC 27001)
© Banco de Chile – Eduardo Recabarren - 2010
![Page 28: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/28.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 28/48
Identificando objetivos estratégicos (1/2)
• Pregunte…
• Un gran número de organizaciones no realiza planificación
estratégica
• Cual es el objetivo de la organización
¿Quién es él o los clientes?
¿Cuáles son las necesidades de su cliente que su
organización satisface?
¿Cómo satisface su organización las necesidades de susclientes?
• Podrá tener una idea de cuales son las principales líneas de
actividad de la organización
© Banco de Chile – Eduardo Recabarren - 2010
![Page 29: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/29.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 29/48
Identificando objetivos estratégicos (2/2)
• Para cada negocio o actividad identificado responda:
¿Existen metas de crecimiento?
¿Existe orden de posicionar algún producto o servicio en
particular?
¿Objetivos Financieros?
¿Mejorar la satisfacción de los clientes?
¿Mejorar el tiempo de solución de problemas internos?
¿Desarrollar un nuevo negocio?
• Estas respuestas le ayudarán a tener una idea general de los
objetivos estratégicos de su organización.
© Banco de Chile – Eduardo Recabarren - 2010
![Page 30: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/30.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 30/48
Mapa de Procesos (1/3)
Proceso I
Proceso E Proceso B
Proceso H Proceso L Proceso F Proceso C
Proceso G Proceso K
Proceso AProceso JProceso D
E s t r a t e g i c o s
C l a v
e
D e
A p o y o
© Banco de Chile – Eduardo Recabarren - 2010
![Page 31: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/31.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 31/48
Mapa de Procesos (2/3)
TareasProceso (Propietario)
Salidas
Medidas de Mejora¿Cambios?
Entradas
Activos RegistrosControles
© Banco de Chile – Eduardo Recabarren - 2010
![Page 32: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/32.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 32/48
Mapa de Procesos (2/3)
TareasProceso (Propietario)
Salidas
Medidas de Mejora¿Cambios?
Entradas
Activos RegistrosControles
© Banco de Chile – Eduardo Recabarren - 2010
![Page 33: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/33.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 33/48
Mapa de Procesos (3/3)
Interrelación de procesos
© Banco de Chile – Eduardo Recabarren - 2010
![Page 34: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/34.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 34/48
Identifique y valorice los activos de información
• Identifique los activos de información
• Defina a los roles asociados a cada uno de ellos
• Clasifique los activos de información de acuerdo a algún criterio
preestablecido
• Redacte guías de uso aceptable de los activos dependiendo su
clasificación
(Cláusulas 7.1, 7.2 ISO/IEC 17799:2005)
© Banco de Chile – Eduardo Recabarren - 2010
![Page 35: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/35.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 35/48
Identificar los activos de información
• Cuales son los activos de información
Procesamiento
Almacenamiento
Otros• Definición de Roles
Dueño
Custodio Usuario
© Banco de Chile – Eduardo Recabarren - 2010
![Page 36: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/36.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 36/48
Identificar Riesgos
• ¿Qué puede suceder?
• ¿Cómo puede suceder?
• Puede formular su propia tabla de identificación de riesgos
© Banco de Chile – Eduardo Recabarren - 2010
![Page 37: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/37.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 37/48
Análisis de Riesgo
• Realice un análisis de riesgo
empleando uno de los
métodos mencionados
anteriormente.
© Banco de Chile – Eduardo Recabarren - 2010
![Page 38: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/38.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 38/48
Evaluación de Riesgo
• Evalúe los Riesgos empleando uno
de los criterios mencionados o
defina un criterio propio con su
grupo de trabajo.
© Banco de Chile – Eduardo Recabarren - 2010
![Page 39: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/39.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 39/48
Establezca el criterios de riesgo
• Defina la metodología de aproximación a la valoración de riesgoy documéntela.
• Desarrolle el proceso de análisis y evaluación de riesgos.
(Cláusula 4.2.1.c;d;e ISO/IEC 27001:2005)
© Banco de Chile – Eduardo Recabarren - 2010
![Page 40: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/40.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 40/48
Política de Seguridad
•
Escriba una Política de Seguridad de Información• Defina un protocolo de revisiones de la misma.
(Cláusula 5.1, ISO/IEC 17799:2005) (Cláusula 4.2.1b ISO/IEC 27001:2005)
© Banco de Chile – Eduardo Recabarren - 2010
![Page 41: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/41.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 41/48
Escriba el Documento de Aplicabilidad
• Seleccione los Objetivos de Control y Controles.• Justifique cualquier exclusión apoyándose en el
análisis de riesgos
(Cláusula 4.2.1j ISO/IEC 27001:2005)
© Banco de Chile – Eduardo Recabarren - 2010
![Page 42: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/42.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 42/48
Documento de Aplicabilidad
• Escriba su documentos de Aplicabilidad
Declaración de aplicabilidad (SOA): documento que contiene losobjetivos de control y los controles contemplados por el SGSI,
basado en los resultados de los procesos de evaluación ytratamiento de riesgos, justificando inclusiones y exclusiones.
© Banco de Chile – Eduardo Recabarren - 2010
![Page 43: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/43.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 43/48
Definición de Políticas, normas … Estructura Documental
• Establezca un sistema de gestión de documentos
Política General Alcance Documentado
Procedimientos de Apoyo a SGSI
Descripción Aproximación AR
Reporte del Análisis de Riesgos
Plan de Tratamiento de Riesgos
Procedimientos Documentados
Acciones Correctivas
Acciones Preventivas
Plan de Auditorias
Plan de Revisiones Administrativas
Registros requeridos
Control de Documentos
Control de Registros
Documento de Aplicabilidad
© Banco de Chile – Eduardo Recabarren - 2010
![Page 44: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/44.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 44/48
Resumen de Pasos para la Implementación…
© Banco de Chile – Eduardo Recabarren - 2010
![Page 45: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/45.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 45/48
Plan de
Continuidad
Operativa deNegocio (BCP)
Plan deContingenciaTecnológico
(DRP)
Plan Anual deSeguridad dela Información
Plan Anual deRiesgo
Operacional
Oficial de Seguridad dela Información (OSI)
Define Política deContinuidad y Estrategia
Desarrolla y actualiza
Impulsa y coordinaComité de Seguridad
Información
Desarrolla, mantieney realiza seguimiento al
SGSI
Depende
Aprueba
Define y confecciona
Controla
Aprueba
Auditoría
Audita
© Banco de Chile – Eduardo Recabarren - 2010
![Page 46: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/46.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 46/48
Agenda
Definiciones , Aspectos Conceptuales, Tendencias
Metodología propuesta para ISO/IEC 27001
Paso a Paso…
Conclusiones ….. Y Reflexiones Finales
1
2
3
4
5
Introducción
© Banco de Chile – Eduardo Recabarren - 2010
![Page 47: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/47.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 47/48
Conclusiones
La Seguridad de la Información NO es un proyecto es unProceso
La Seguridad de la Información debe orientarse al Riesgo
No existe la Seguridad Absoluta.
El SGSI AYUDA a la gestión. Un proyecto SGSI requiere un equipo de trabajo
MULTICONOCIMIENTO
La Seguridad de la Información se basa enPersonas
© Banco de Chile – Eduardo Recabarren - 2010
![Page 48: ISO27001_ERD_v04](https://reader030.vdocuments.co/reader030/viewer/2022020808/5572000749795991699ea6d0/html5/thumbnails/48.jpg)
5/15/2018 ISO27001_ERD_v04 - slidepdf.com
http://slidepdf.com/reader/full/iso27001erdv04 48/48
Beneficios de un SGSI
Conocer realmente los activos que disponemos
Involucrar a la Alta Dirección en la Seg. de la Información
Realizar análisis de Riesgos para el desarrollo del Negocio Disponer de planes de contingencia ante incidentes
Disminución de los Riesgos a Niveles aceptables
….. Entre otros