iso27001_erd_v04

5/15/2018 ISO27001_ERD_v04 - slidepdf.com

http://slidepdf.com/reader/full/iso27001erdv04 1/48

Taller:

“Estrategias para laImplementación de unSistema de Gestión de

Seguridad de Información”

Miami - 2010

© Banco de Chile – Eduardo Recabarren - 2010



Antes de comenzar …

• Recomendaciones de la sala

• Uso de teléfonos móviles, notebooks y PDA

• No fumar

• Salidas de Emergencia




FACILITADOR

Eduardo A. Recabarren Domínguez

Oficial de Privacidad y Seguridad

del Banco de Chile

Licenciado en Ciencias de la Ingeniería

Ingeniero en Computación e Informática

Ingeniero Civil Industrial




Agenda

Definiciones , Aspectos Conceptuales, Tendencias

Metodología propuesta para Implementación SGSI, según ISO27001:2005

Descripción en Detalle

Conclusiones

1

2

3

4

5

Introducción




1

El Banco de Chile,fundado en 1893, haliderado el mercadofinanciero chileno

como uno de losbancos más exitososen términos de

retorno de activos yen la creación de

mayor valor para susaccionistas

2

Estrategia multimarca,en que las marcas

Banco de Chile y BancoEdwards-Citi cubren los

segmentos de

empresas y personas,mientras que el

segmento de consumoes atendido bajo la

marca BancoCredichile, a través deredes de distribución

independientes y decobertura nacional

3

El 2 de enero del 2008nace un nuevo Bancode Chile, a raíz de la

fusión que se produce

entre éste y Citibank Chile.• Participación de Mercado

en torno al 20% de lascolocaciones del Sistema• Más de 1,5 millones de

clientes• Más de 400 sucursales.

• Nuevas ventajascompetitivas.


¿Quiénes somos?



- Gerente General- Gerente División Gestión y Control Financiero

- Gerente División Operaciones y Tecnología- Gerente División de Calidad- Gerente División Contraloría

- Gerente Seguridad y Prevención de Riesgo- Gerente de Riesgo Operacional

Seguimiento, control deavance y escalamiento PMO

- Gerente de Riesgo Operacional- Gerente Operaciones Especializadas Tesorería

- Gerente de Contraloría- Gerente Servicio Cliente- Jefe Área Consumo

- Jefe Depto. Riesgo Operacional- Gerente Serv. Procesamiento e Infraestructura

- Gerencia Zonal- Gerente Operaciones Productos MasivosComité Operativo de

Riesgo Operacional

CERO - Comité Ejecutivode Riesgo Operacional

Gerencia Riesgo Operacional

AREA RIESGO OPERACIONALAREA SEGURIDAD DE LA

INFORMACIONAREA CONTINUIDAD DEL

NEGOCIO

Autoevaluación de Riesgo OperacionalProceso SOX

Matriz de Autoevaluación (MAE )Proceso de Castigos

Evaluación de Proveedores (SAS 70)Evaluación nuevos procesos y productos

Educación

Proyectos TecnológicosAdministración de Infraestructura TI

Evaluación de RiesgoAceptación de riesgo

Comité Administración de Incidentes (SIRT)Comité de Arquitectura Tecnológica (CAT)

Educación

Modelo de ContinuidadDefinición Procesos Críticos

Planes de Continuidad del NegocioPlan de Recuperación de Desastres

Comité Administración de CrisisCoordinación de Pruebas

Educación

Estructura Gobierno de SI…




Agenda


Metodología propuesta para Implementación SGSI - ISO/IEC 27001

Paso a Paso…

Conclusiones

1

2

3

4

5

Introducción




Algunas Definiciones Previas..

Seguridad de la Información (SI).- Preservación de la confidencialidad, integridad y

disponibilidad de la información; adicionalmente autenticidad, responsabilidad, norepudio y confiabilidad.

SGSI.- es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos

del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la

seguridad de la información.

Activo.- Algo que tiene valor para la organización (ISO/IEC 13335-1:2004)

Amenaza.- Evento que puede provocar un incidente en la organización produciendo daños o

pérdidas materiales y/o inmateriales

Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias externas.





El SGSI: es el concepto sobre el que se construye ISO 27001.

La Gestión de la Seguridad de la Información ,debe realizarse mediante un proceso

sistemático, documentado y conocido por toda la organización.

Garantizar un nivel de protección total es imposible incluso en el caso de disponer de un

presupuesto ilimitado.

El propósito de un sistema de gestión de la seguridad de la información es, por tanto,

garantizar que los riesgos de la seguridad de la información son conocidos,

asumidos, gestionados y minimizados por la organización de una forma

documentada, sistemática, estructurada, repetible, eficiente y adaptada a loscambios que se produzcan en los riesgos, el entorno y las tecnologías.




¿POR QUÉ GESTIÓN DE RIESGOS DE LA INFORMACIÓN?

Necesidad de Proteger la Información

Sin embargo, esto puede generar:

Crecimiento de cantidad y complejidad de los controles

Pérdida del foco de actividades (Seguridad v/s Negocio) Por otra parte, requiere:

Mediciones del impacto producido por los controles en seguridad

Aplicar un criterio de negocios





¿CUAL NORMA O ESTANDAR ESCOGER PARA GESTION DE RIESGO DE LA INFORMACION?

Depende de cual sea el objetivo Orientada a Procesos

ISO 9001:2000 ISO/IEC 27001 CMM ITIL ISM3

Orientada a Controles

ISO 13335-4

BSI-ITPM Orientada a Productos

Common Criteria Orientada al Análisis de Riesgos

OCTAVE Magerit

Orientada a la Buenas Prácticas

ISO/EIC 17799:2005 Cobit ISF-SGP





Cabe la Pregunta:

¿ A quien compete la Seguridad de la Información en una organización?

Aspectos Conceptuales…


Gestores de laOrganización

Personal de TI

Personal en General

Controladores,Auditores Internos

“La SI esresponsabilidad de

los dueños de laInformación”



Misión


Detectar nuestrasdebilidades

Detectar que se

debe proteger

Medir eldesempeño de los

controles

Implementarcontroles

Proponercontroles

Aspectos Conceptuales…

A

B

C

DE



Tendencias…




16

Tendencias…




17

Tendencias

Tendencias…


d l l



18

Terremoto en Chile Feb-27-2010Magnitud de 8,8° M

Eventos de la Naturaleza…

O



19

Ausencia Masiva de Personal

Falta de Servicios de Proveedores Críticos

Otros Eventos …



..

Agenda


Metodología propuesta para Implementación SGSI según ISO/IEC 27001


Conclusiones

1

2

3

4

5

Introducción




Metodología propuesta paraImplantación SGSI según ISO/IEC 27001 (1/4)

Guía Proceso “Planificar” Estableciendo el alcance del SGSI

Formulando las políticas de SGSI ySeguridad de Información

Realizando la valoración de riesgos

Y tomando decisiones en el

tratamiento de riesgos


Para establecer y gestionar un Sistema de Gestión de la Seguridad de la Información en base a ISO 27001, se utiliza el ciclocontinuo PDCA, tradicional en los sistemas de gestión de la calidad.



Guía Proceso “Hacer” Creando e Implantando el Plan de

Tratamiento de Riesgos

Implementado los controles

Capacitación y sensibilización

Implementando un programa de manejo

de incidentes de seguridad deinformación

Administrando los recursos

Metodología propuesta paraImplantación SGSI según ISO/IEC 27001(2/4)




Guía Proceso “Verificar” Monitoreo

• Chequeo rutinario • Self-policing

procedures RevisionesHaciendo Auditorias internas del SGSIEjecutando revisiones administrativasMidiendo el SGSI

Analizando tendenciasControlando documentación y registros

Metodología propuesta paraImplantación SGSI según ISO/IEC 27001 (3/4)




Guía Proceso “Actuar” Implementando mejorasIdentificando no-conformidades

Identificando e implementado accionespreventivas y correctivasAsegurando mejora continua.ProbandoComunicando cambios y mejoras

Metodología propuesta paraImplantación SGSI según ISO/IEC 27001(4/4)




Agenda


Metodología propuesta para ISO/IEC 27001


Conclusiones

1

2

3

4

5

Introducción




Implantación de un Sistema de Gestión deSeguridad de Información (SGSI)

►Establezca el Alcance►Establezca criterios de riesgo

► Identifique y valorice los activos de información

►Determine el nivel de riesgo real

►Escriba la Política de Seguridad►Elabore el Documento de Aplicabilidad

►Objetivos de control y controles

►Realice la definición de políticas, normas y procedimientos

►Producción e implantación►Complementación de la documentación del SGSI

►Auditoria y Revisión del SGSI

►Resumen revisión de proceso de implantación


Establecer el Alcance



Establecer el Alcance

• Definir cual o cuales procesos serán considerados dentro del

SGSI

• Especificar activos que participan

Listado de contratos y acuerdos

Mapas de red

Inventario de activos relevantes

(Cláusulas 4.2.a ISO/IEC 27001)




Identificando objetivos estratégicos (1/2)

• Pregunte…

• Un gran número de organizaciones no realiza planificación

estratégica

• Cual es el objetivo de la organización

¿Quién es él o los clientes?

¿Cuáles son las necesidades de su cliente que su

organización satisface?

¿Cómo satisface su organización las necesidades de susclientes?

• Podrá tener una idea de cuales son las principales líneas de

actividad de la organización




Identificando objetivos estratégicos (2/2)

• Para cada negocio o actividad identificado responda:

¿Existen metas de crecimiento?

¿Existe orden de posicionar algún producto o servicio en

particular?

¿Objetivos Financieros?

¿Mejorar la satisfacción de los clientes?

¿Mejorar el tiempo de solución de problemas internos?

¿Desarrollar un nuevo negocio?

• Estas respuestas le ayudarán a tener una idea general de los

objetivos estratégicos de su organización.




Mapa de Procesos (1/3)

Proceso I

Proceso E Proceso B

Proceso H Proceso L Proceso F Proceso C

Proceso G Proceso K

Proceso AProceso JProceso D

E s t r a t e g i c o s

C l a v

e

D e

A p o y o





TareasProceso (Propietario)

Salidas

Medidas de Mejora¿Cambios?

Entradas

Activos RegistrosControles





Interrelación de procesos




Identifique y valorice los activos de información

• Identifique los activos de información

• Defina a los roles asociados a cada uno de ellos

• Clasifique los activos de información de acuerdo a algún criterio

preestablecido

• Redacte guías de uso aceptable de los activos dependiendo su

clasificación

(Cláusulas 7.1, 7.2 ISO/IEC 17799:2005)




Identificar los activos de información

• Cuales son los activos de información

Procesamiento

Almacenamiento

Otros• Definición de Roles

Dueño

Custodio Usuario




Identificar Riesgos

• ¿Qué puede suceder?

• ¿Cómo puede suceder?

• Puede formular su propia tabla de identificación de riesgos




Análisis de Riesgo

• Realice un análisis de riesgo

empleando uno de los

métodos mencionados

anteriormente.




Evaluación de Riesgo

• Evalúe los Riesgos empleando uno

de los criterios mencionados o

defina un criterio propio con su

grupo de trabajo.




Establezca el criterios de riesgo

• Defina la metodología de aproximación a la valoración de riesgoy documéntela.

• Desarrolle el proceso de análisis y evaluación de riesgos.

(Cláusula 4.2.1.c;d;e ISO/IEC 27001:2005)




Política de Seguridad

•

Escriba una Política de Seguridad de Información• Defina un protocolo de revisiones de la misma.

(Cláusula 5.1, ISO/IEC 17799:2005) (Cláusula 4.2.1b ISO/IEC 27001:2005)




Escriba el Documento de Aplicabilidad

• Seleccione los Objetivos de Control y Controles.• Justifique cualquier exclusión apoyándose en el

análisis de riesgos

(Cláusula 4.2.1j ISO/IEC 27001:2005)




Documento de Aplicabilidad

• Escriba su documentos de Aplicabilidad

Declaración de aplicabilidad (SOA): documento que contiene losobjetivos de control y los controles contemplados por el SGSI,

basado en los resultados de los procesos de evaluación ytratamiento de riesgos, justificando inclusiones y exclusiones.




Definición de Políticas, normas … Estructura Documental

• Establezca un sistema de gestión de documentos

Política General Alcance Documentado

Procedimientos de Apoyo a SGSI

Descripción Aproximación AR

Reporte del Análisis de Riesgos

Plan de Tratamiento de Riesgos

Procedimientos Documentados

Acciones Correctivas

Acciones Preventivas

Plan de Auditorias

Plan de Revisiones Administrativas

Registros requeridos

Control de Documentos

Control de Registros

Documento de Aplicabilidad




Resumen de Pasos para la Implementación…




Plan de

Continuidad

Operativa deNegocio (BCP)

Plan deContingenciaTecnológico

(DRP)

Plan Anual deSeguridad dela Información

Plan Anual deRiesgo

Operacional

Oficial de Seguridad dela Información (OSI)

Define Política deContinuidad y Estrategia

Desarrolla y actualiza

Impulsa y coordinaComité de Seguridad

Información

Desarrolla, mantieney realiza seguimiento al

SGSI

Depende

Aprueba

Define y confecciona

Controla

Aprueba

Auditoría

Audita




Agenda


Metodología propuesta para ISO/IEC 27001

Paso a Paso…

Conclusiones ….. Y Reflexiones Finales

1

2

3

4

5

Introducción




Conclusiones

La Seguridad de la Información NO es un proyecto es unProceso

La Seguridad de la Información debe orientarse al Riesgo

No existe la Seguridad Absoluta.

El SGSI AYUDA a la gestión. Un proyecto SGSI requiere un equipo de trabajo

MULTICONOCIMIENTO

La Seguridad de la Información se basa enPersonas




Beneficios de un SGSI

Conocer realmente los activos que disponemos

Involucrar a la Alta Dirección en la Seg. de la Información

Realizar análisis de Riesgos para el desarrollo del Negocio Disponer de planes de contingencia ante incidentes

Disminución de los Riesgos a Niveles aceptables

….. Entre otros

iso27001_erd_v04

Documents