Metodologia Propuesta 27001PlanificarEstablecer Hacer Implementar PHVAVerificarMonitorear y revisarActuar Mantener y mejorarP-Establecer el alcance y formulando las polticas del SGSI y valorando riesgos y sus tratamientos.H-Implantando el tratamiento de riesgos, implementandocontroles, capacitacin y sensibilizacin.V-Revisiones, haciendo auditoras internas de SGSI , controlandoregistros y documentacin.A-implementando mejoras, acciones correctivas, preventivas identificando no conformidades.Resumen de pasos para la implementacin:__________________________________

Oficial de Seguridad(depende de la GG):-Realiza la auditoria, desarrolla y actualiza el plan de continuidad(BCP)y el plan de contingencia tecnolgico(DRP) , define el plan de seguridadde la informacin junto con el comit de SI.Desarrolla , mantiene y realiza seguimiento al SGSI.

Capitulo 2.Poltica: las polticas son desplegadas y soportadas por estndaresmejores prcticas, procedimientos y guas.Las polticas deben ser pocas.Estndar: buscan hacer cumplir las polticas, Mejor prctica: es el enfoque ms efectivo en una implementacin de seguridad.Guia: son recomendaciones que se deben considerar al implementar la seguridad.Procedimiento: definen como las polticas , estndares , mejores practicas , guiassern implementadas en una situacin dada.los procedimientos son desarrollados implemetados y supervisados por el dueo del proceso o sistema.Ejemplo:-En el nivel ms alto se elabora la poltica para toda la organizacin por ejemplo:garantizar seguridad en el correo electrnico cuyo contenido de informacin sea confidencial -Esta poltica puede ser soportada por varios ESTANDARES por ejemplo mensajes enviado usando algn sistema de criptografa (hace cumplir la politica).-una mejor prctica, podra ser relacionada sobre la manera de configurar el correo con el fin de garantizar el cumplimiento de la poltica y del estandar.-Procedimientos: especifican requerimientos para que al politica y los estndares se apliquen en una dependencia especifica.Podran especificar requerimientos para q la poltica y los standares que la soportan sean aplicados en una dependencia especfica. -las guias incluyen informacin sobre tecnicas , configuraciones , secuencias de comandos que seguirn los usuarios para asegurar la informacin.

Cmo establecer los requisitos de seguridad?

Existen tres fuentesprincipales.

1. La primera fuente procede de la valoracin de los riesgos de la organizacin,Con ella se identifican las amenazas a los activos, se evala la vulnerabilidad y la probabilidad de su ocurrencia y se estima su posible impacto.

2. La segunda fuente es el conjunto de requisitos legales, estatutos, regulaciones ycontratos que debera satisfacer la organizacin, sus socios comerciales, los contratistasy los proveedores de servicios.

3. La tercera fuente est formada por los principios, objetivos y requisitos queforman parte del tratamiento de la informacin que la organizacin ha desarrollado paraapoyar sus operaciones.

Evaluacin de los riesgos de seguridadLos controles que se consideran esenciales para una organizacin desde un punto de vistaLegislativo comprenden:a) la proteccin de los datos de carcter personal y la intimidad de las personas(vase el inciso 15.1.4);b) la salvaguarda de los registros de la organizacin (vase el inciso 15.1.3);c) los derechos de la propiedad intelectual (vase el inciso 15.1.2).Los controles que se consideran la mejor prctica habitual para conseguir la seguridad de laInformacin comprenden:a) la documentacin de la poltica de seguridad de la informacin (vase el inciso5.1.1);b) la asignacin de responsabilidades de seguridad (vase el inciso 6.1.3);c) la formacin y capacitacin para la seguridad de la informacin (vase el inciso8.2.2);d) el procedimiento correcto en las aplicaciones (vase el inciso 12.2);e) la gestin de la vulnerabilidad tcnica (vase el inciso 12.6);f) la gestin de la continuidad del negocio (vase el inciso 14);g) el registro de las incidencias de seguridad y las mejoras (vase el inciso 13.2).

Estos controles pueden aplicarse a la mayora de las organizaciones y los entornos.Es conveniente sealar que pese a la importancia dada a los controles en este documento, laimportancia de cualquier control debera determinarse a la luz de los riesgos especficos queafronta la organizacin. Por tanto y aunque el enfoque anterior se considere un buen punto departida, no sustituye a la seleccin de controles basada en una evaluacin del riesgo.Factores crticos de xitoLa experiencia muestra que los siguientes factores suelen ser crticos para el xito de laimplantacin de la seguridad de la informacin en una organizacin: - a) una poltica, objetivos y actividades que reflejen los objetivos del negocio de laorganizacin;b) un enfoque para implantar, mantener, monitorear e improvisar la seguridad quesea consistente con la cultura de la organizacin;c) el apoyo visible y el compromiso de la alta gerencia;d) una buena comprensin de los requisitos de la seguridad, de la evaluacin delriesgo y de la gestin del riesgo;e) la conviccin eficaz de la necesidad de la seguridad a todos los directivos yempleados;f) la distribucin de guas sobre la poltica de seguridad de la informacin de laorganizacin y de normas a todos los empleados y contratistas;g) aprovisionamiento para financiar actividades de gestin de seguridad de lainformacin;h) la formacin y capacitacin adecuadas;i) establecer un efectivo proceso de gestin de incidentes de la seguridad deinformacin;j) un sistema integrado y equilibrado de medida que permita evaluar elrendimiento de la gestin de la seguridad de la informacin y sugerir mejoras.