Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Iso 27001

2,181 views

Published on

  • Be the first to comment

  • Be the first to like this

Iso 27001

  1. 1. ISO 27001 - 2012
  2. 2. Contenidos• EuroHelp.• ¿Qué es un SGSI?• Implantar un SGSI.• Beneficios ISO 27001.• Propuesta de Proyecto 2012. 2
  3. 3. EUROHELP
  4. 4. EurohelpIntroducción:• Presencia Geográfica: • Bilbao • Zaragoza • Donostia • Santander • Madrid • Barcelona 4
  5. 5. EurohelpActividad Seguridad• Consultoría Seguridad de la Información: • LOPD. • ENS. • ISO 27001. • LSSICE-LPI.• Desarrollo seguro (Security by Design): • Productos (HDIV/ hdiv.org, logLOPD, MySIGN etc). 5
  6. 6. EurohelpOtras Actividades • Desarrollo de software a medida: • Especializada en entornos java web. • Otros entornos: NET, PHP, COBOL. • Consultoría: • Definición de arquitecturas o frameworks. 6
  7. 7. ¿QUÉ ES UN SGSI?
  8. 8. ¿Qué es un SGSI?Un SGSI es un Sistema de Gestión Fundamentado en UNE-ISO/IEC 27001:2007 (certificable). ISO, basada en el ciclo de mejora continua PDCA. Para Gestionar Riesgos de Seguridad. Un SGSI basado en ISO 27001 se puede integrar con SGC (ISO 9001) y SGMA (ISO 14001). Se suma ISO 27002 (no certificable), conjunto de controles de seguridad de la información. 8
  9. 9. ¿Qué es un SGSI?Seguridad Informática # Seguridad de la InformaciónDe manera errónea se utilizan estos dos conceptos indistintamente, pero sontotalmente diferentes: La Seguridad Informática está orientado principalmente hacia los sistemas de TI, es decir, intenta solventar aspectos técnicos. La Seguridad de la Información no se limita únicamente a los sistemas de TI, sino que también engloba la seguridad física, operacional y organizacional del sistema de información. 9
  10. 10. ¿Qué es un SGSI?Además del Sistema de Gestión, incorpora controlesLa norma ISO 27002 desarrolla una serie de controles que se pueden aplicarpara mitigar los riesgos y que se agrupan en 11 objetivos de control: 10
  11. 11. ¿Qué es un SGSI?Información no es sinónimo de Datos Personales • Implantar un SGSI no es lo mismo que implantar la LOPD. • Los cumplimientos legales (LOPD entre otros) forman parte de los objetivos de control de la norma: 11
  12. 12. IMPLANTAR UN SGSI
  13. 13. Implantar un SGSIComprender la norma aplicable ISO/IEC 27001 - Requisitos implantación del SGSI. La más importante (certificale). ISO/IEC 27002 - Código de buenas prácticas (no certificable). ISO/IEC 27003 - Directrices para un SGSI. ISO/IEC 27004 - Métricas para un SGSI. ISO/IEC 27005 - Gestión de Riesgos. GUÍAS. Ejemplo ISO/IEC 27799:2008 - Guía para implementar ISO/IEC 27002 en la industria de la salud. 13
  14. 14. Implantar un SGSI Determinar el alcance Procesos externos a la empresa (servicios contratados) Procesos de la empresa fuera del alcance Alcance del SGSI Proceso de apoyo Acuerdo deAcuerdo de Servicio Servicio Colaboración externo 14
  15. 15. Implantar un SGSIPlanificar el proyecto Análisis de Software de Vulnerabilidades gestión Técnicas Análisis de Plan de Implantación Riesgos Tratamiento SGSI y Auditoría de Riesgos Controles Cumplimiento de la LOPD 15
  16. 16. Implantar un SGSIElementos básicos del SGSI Confidencialidad Amenazas Activos ISO 27005  Metodología  Integridad Vulnerabilidades Análisis de Riesgos Disponibilidad Controles ISO 27001  Sistema de Gestión ISO 27002  Controles de Seguridad 16
  17. 17. Implantar un SGSIAnalizar y Gestionar los Riesgos Confidencialidad Amenazas ISO 27005  Metodología  Activos Integridad Vulnerabilidades Análisis de Riesgos Disponibilidad Controles Metodología sencilla, resultados comparables y reproducibles, revisar el Análisis de Riesgos (AR) anualmente. Trazabilidad entre resultados del AR y los controles aplicados mitigando riesgos. Implicar a la Dirección de la organización en la valoración de sus activos. Ayudarse de alguna herramienta informática que ayude en la revisión del AR. 17
  18. 18. Implantar un SGSIAnalizar y Gestionar los Riesgos Activos:  Clasificar (físicos, información, software, personas, servicios).  Establecer dependencias.  Establecer criterios de agrupación.  Ajustar valoraciones.  Valoración C-I-D por propietarios. 18
  19. 19. Implantar un SGSIAnalizar y Gestionar los Riesgos  Amenazas y vulnerabilidades.  Establecer las relaciones entre los tipos de activos, las amenazas que les afectan, las vulnerabilidades que pueden hacer presentes a las amenazas y los controles que mitigan dichas amenazas. 19
  20. 20. Implantar un SGSIAnalizar y Gestionar los Riesgos  Amenazas y vulnerabilidades: para cada activo o grupo de activos.  Valorar la probabilidad de existencia de la amenaza.  Valorar cada vulnerabilidad frente a dicha amenaza.  Tener en cuenta la existencia de controles ya implantados (formalmente, documentados, sistemáticos, auditados o no). 20
  21. 21. Implantar un SGSIAnalizar y Gestionar los Riesgos  Si existen otros sistemas de gestión ya implantados (ISO 9001, ISO 14001), prever la integración de desde un principio.  Evitar duplicidades.  Integrar la documentación.  Establecer mecánicas de gestión de la documentación (workflow de aprobación de documentos).  Si es posible, ayudarse de alguna herramienta informática que ayude al registro y análisis de los aspectos básicos de gestión (menos papel = mayor efectividad). 21
  22. 22. Implantar un SGSIIntegrar Sistemas de Gestión y la Documentación Definir la estructura documental del sistema de gestión integrado. Establecer workflow de revisión y aprobación de documentos. Procurar trazabilidad de los documentos del sistema. 22
  23. 23. Implantar un SGSIImplantar Controles Los controles de la norma se aplican para dar respuesta a los riesgos detectados.  Es importante la trazabilidad.  Es importante el seguimiento mediante indicadores. Los controles (la norma) son los mismos para una Gran empresa que para una PYME: hay que adaptarlos a la realidad de la empresa. Todos los controles son aplicables, en general. Las excepciones se justifican y documentan. Muchas cosas ya se hacen en la empresa, pero no son sistemáticas, no se documentan o no se auditan. 23
  24. 24. Implantar un SGSIImplantar Controles Conocer los controles, su finalidad, las recomendaciones de implantación. Conocer la relación entre control, vulnerabilidad, amenaza y tipo de activo (trazabilidad). Aplicar los controles según los resultados del AR (Plan de Tratamiento, Declaración de Aplicabilidad). 24
  25. 25. Implantar un SGSIImplicación, dedicación, mejora continua La implantación del SGSI requiere la implicación de la Dirección.  No es “cosa de los de TI”.  Autorizar recursos y dedicaciones.  Aprobaciones. La implantación, si se hace con una consultora, puede requerir una persona con dedicación media de un 10% durante 6-12 meses. Todos los años se requiere dedicación: es un sistema de mejora continua. El objetivo no debe ser obtener el certificado, aunque tiene su interés estratégico para la empresa. 25
  26. 26. BENEFICIOS ISO 27001
  27. 27. Beneficios ISO 27001¿Por qué ISO 27001?1. Para mejorar la seguridad de la información en la empresa, garantizando su continuidad, la confidencialidad y las mejores prácticas de los empleados.2. Para proyectar a mis clientes la seguridad de trabajar con un proveedor que dispone de sistemas certificados por un tercero de confianza.3. Para alcanzar el nivel exigido en los pliegos de la Administración relativos a servicios TIC, ya que está en relación directa con el Esquema Nacional de Seguridad que las Administraciones obligatoriamente deben cumplir.4. Por los beneficios en la gestión de la empresa que genera, estableciendo procesos y optimizando recursos a través del control de riesgos. 27
  28. 28. PROPUESTA DE PROYECTO - 2012
  29. 29. Propuesta de Proyecto 2012Eurohelp & Aidcon Consulting Con EUROHELP & AIDCON CONSULTING como consultoras:  45 empresas implantadas y certificadas, 8 más en proceso (2012).  Software AGGIL® de análisis de riesgos e implantación del SGSI. Participación de empresas, interesadas en implantar y certificar un SGSI ISO 27001 porque trabajan con la Administración Pública o porque desean destacar y ser entidades más competitivas . Proyecto realizado con una aplicación para la gestión del SGSI de la entidad (Aggil). 29
  30. 30. ¡Gracias!Jon Turrillas SabalzaAuditor Líder Seguridad de la Informaciónjturrillas@euro-help.es / 943 433018 / 650 103 706

×