El documento describe los requisitos de ISO 27001 para establecer, implementar, operar, monitorear y mejorar un Sistema de Gestión de Seguridad de la Información (SGSI). Detalla los pasos para definir la política y alcance del SGSI, evaluar riesgos, seleccionar controles, implementar el plan de tratamiento de riesgos, realizar auditorías internas y revisiones gerenciales, e implementar mejoras continuas.
1. ISO 27001
Requisitos para la especificación de sistemas
de gestión de la seguridad de la información
Auditoria, calidad y seguridad
Alejandro Benítez Arnaiz
David Herrero de la Peña
2. Índice
Introducción …………………………………………………………..3-4
Alcance…………………………………………………………….......5-6
Sistema de Gestión de Seguridad de la Información (SGSI)…6-18
Establecer y manejar el SGSI……………………………………7-13
Establecer
Implementar y operar
Monitorear y revisar el SGSI
Requerimientos de documentación……………………….....14
Responsabilidad de la gerencia…………………………….....15
Auditorías internas…………………………………………………16
Revisión gerencial del SGSI………………………………………17
Mejoramiento del SGSI……………………………………………18
David Herrero, Alejandro Benítez
2
3. Introducción
General
Un SGSI es para una organización el diseño, implantación, mantenimiento
de un conjunto de procesos para gestionar eficientemente la
accesibilidad de la información, buscando asegurar la confidencialidad,
integridad y disponibilidad de los activos de información minimizando a la
vez los riesgos de seguridad de la información.
Este estándar Internacional está preparado para proporcionar un modelo
para establecer, implementar, operar, monitorear, revisar, mantener y
mejorar un Sistema de Gestión de Seguridad de la Información.
La adopción de un SGSI debe ser una decisión estratégica de la
organización.
La implementación de un SGSI se debe extender en concordancia con las
necesidades de la organización.
David Herrero, Alejandro Benítez
3
4. Introducción
Enfoque del proceso
Es necesario identificar y manejar muchas actividades para que la
organización funcione de manera efectiva.
La aplicación de un sistema de procesos dentro de una organización,
junto con sus interacciones, se puede considerar el enfoque de un
proceso.
Es necesario:
Entender los requerimientos de seguridad del a información de una
organización
Operar controles para manejar los riesgos de la seguridad de la información
Monitorear la efectividad del SGSI
Mejorar de forma continua
David Herrero, Alejandro Benítez
4
5. Alcance
General
Este estándar abarca todos los tipos de organizaciones.
Especifica los requerimientos para implementar controles de seguridad
personalizados para las necesidades de una organización o parte de ella.
El SGSI está diseñado para asegurar la selección adecuada y proporcionar
controles de seguridad para proteger los activos de la organización.
David Herrero, Alejandro Benítez
5
6. Alcance
Aplicación
Los requerimientos son genéricos y están diseñados para ser aplicables en
todas las organizaciones.
Cualquier exclusión de un control tiene que ser justificada para poder
recibir la aceptación de la ISO
Estas exclusiones, además, no deben afectar a la capacidad y
responsabilidad de la organización.
David Herrero, Alejandro Benítez
6
7. Sistema de gestión de seguridad de la
información
Establecer el SGSI
La organización debe:
Definir el alcance y el límite del SGSI
Definir una política del SGSI que:
Incluya un marco para establecer los objetivos
Tome en cuenta los requerimientos comerciales
Esté alineada con el contexto de la gestión de riesgo
Establezca el criterio para evaluar el riesgo
Haya sido aprobado por la gerencia
Definir el enfoque de valuación de riesgo
David Herrero, Alejandro Benítez
7
8. Sistema de gestión de seguridad de la
información
Establecer el SGSI
Identificar los riesgos:
Identificar los activos dentro del SGSI
Identificar las amenazas para esos activos
Identificar las vulnerabilidades
Identificar los impactos de las pérdidas
Analizar y evaluar el riesgo:
Calcular el impacto de una falla de seguridad
Calcular la probabilidad de esa falla
Calcular los niveles de riesgo
Determinar si ese riesgo es aceptable
David Herrero, Alejandro Benítez
8
9. Sistema de gestión de seguridad de la
información
Establecer el SGSI
Identificar y evaluar los tratamientos del riesgo:
Aplicar los controles apropiados
Aceptar los riesgos de forma consciente y objetiva
Evitar los riesgos
Transferir los riesgos a otras entidades(aseguradoras)
Seleccionar objetivos de control y controles para el tratamiento de
riesgo.
Obtener aprobación de la gerencia
Obtener autorización de la gerencia para implementar un SGSI
Preparar un enunciado de aplicabilidad que incluya:
Objetivos de control y controles seleccionados
Objetivos de control y controles actuales
Exclusión de los objetivos de control y razones
David Herrero, Alejandro Benítez
9
10. Sistema de gestión de seguridad de la
información
Implementar y operar el SGSI
Formular un plan: acción gerencial, recursos,
responsabilidades, prioridades.
Implementar el plan de tratamiento de riesgo.
Implementar los controles seleccionados en el apartado
anterior.
Definir unas métricas para medir la efectividad.
Manejar las operaciones de SGSI
Manejar los recursos para el SGSI (ver luego)
Implementar los procedimientos capaces de detectar y
dar una respuesta pronta a incidentes de seguridad.
David Herrero, Alejandro Benítez
10
11. Sistema de gestión de seguridad de la
información
Monitorear y revisar el SGSI
Ejecutar procedimientos de monitoreo para:
detectar errores en los resultados
identificar incidentes prontamente (fallos de seguridad)
informar a la gerencia si las actividades de seguridad se
están realizando como se esperaba
determinar si las acciones tomadas para resolver una
violación de seguridad son efectivas
Realizar revisiones regulares de la efectividad del
SGSI(auditorías, sugerencias y retroalimentación).
Medir la efectividad de las métricas
Revisar las evaluaciones del riesgo a intervalos planeados
y revisar el nivel de riesgo residual y aceptable teniendo
en cuenta los posibles cambios.David Herrero, Alejandro Benítez
11
12. Sistema de gestión de seguridad de la
información
Monitorear y revisar el SGSI
Realizar auditorías internas.
Actualizar los planes de seguridad para tomar en cuenta
los nuevos descubrimientos.
Registrar las acciones y eventos que podrían tener un
impacto sobre la efectividad del SGSI.
David Herrero, Alejandro Benítez
12
13. Sistema de gestión de seguridad de la
información
Mantener y mejorar el SGSI
Realizar estas acciones regularmente:
Implementar las mejoras identificadas en el SGSI
Tomar acciones correctivas y preventivas, lecciones
aprendidas de otras organizaciones
Comunicar los resultados y acciones a todas las partes
interesadas
Asegurar que las mejorar logren sus objetivos
David Herrero, Alejandro Benítez
13
14. Sistema de gestión de seguridad de la
información
Requerimientos de documentación
General
Documentación con todos los registros de las decisiones, resultados
reproducibles.
Enunciados de la política SGSI
Procedimientos y controles de soporte del SGSI
EL alcance del SGSI
Reporte de evaluación de riesgo
Plan de tratamiento de riesgo
Control de documentos
Deben ser protegidos y controlados (distribución)
Revisar y actualizar los documentos conforme sea necesario
Asegurar que se identifiquen los cambios y la versión actual (disponible)
Asegurar la integridad de los documentos
Control de registros
Registros de requerimientos y la operación efectiva del SGSI
David Herrero, Alejandro Benítez
14
15. Sistema de gestión de seguridad de la
información
Responsabilidad de la gerencia
Compromiso de la gerencia
Establecer una política de SGSI, con objetivos y planes
Establecer roles y responsabilidades
Proporcionar recursos
Decidir el criterio para la aceptación de riesgos
Asegurar las auditorias
Gestión de recursos(proporcionar recursos para:)
Establecer, implementar, operar, monitorear, mantener y mejorar el SGSI
Llevar a cabo revisiones
Tratar los requerimientos legales
Gestión de recursos(personal competente para realizar las tareas de :)
Determinar las capacidades necesarias para el personal
Proporcionar la capacitación necesaria
Evaluar la efectividad de los empleados
Todo el personal debe ser consciente de su importancia
David Herrero, Alejandro Benítez
15
16. Sistema de gestión de seguridad de la
información
Auditorías internas SGSI
Se deben realizar auditorías internas para
determinar el cumplimiento de los objetivos.
Cumplen con los requerimientos del Estándar
Internacional
Planear las auditorías teniendo en cuenta las
anteriores
Las responsabilidades y requerimientos de las
auditorías deben estar documentadas
El responsable del área auditada debe ejecutar
sin demora las acciones previstas por la auditoría
David Herrero, Alejandro Benítez
16
17. Sistema de gestión de seguridad de la
información
Revisión Gerencial del SGSI
La gerencia debe revisar el SGSi al menos una vez al año para asegurar
su continua idoneidad
Esta revisión debe incluir oportunidades de mejora
La revisión debe incluir:
Recomendaciones para el mejoramiento
Retroalimentación de las partes interesadas
Vulnerabilidades no tratadas adecuadamente en la evaluación de
riesgo
Actualizaciones de los riesgos
Modificaciones de procedimientos
Necesidades de recursos
David Herrero, Alejandro Benítez
17
18. Sistema de gestión de seguridad de la
información
Mejoramiento del SGSI
Mejoramiento continuo
Acción correctiva
Eliminar la causa de las no-
conformidades para evitar recurrencia
Acción preventiva
Eliminar la causa de las no-
conformidades potenciales
David Herrero, Alejandro Benítez
18
Editor's Notes
Aunque estén en formato digital
Aunque estén en formato digital
Registros de visitas, de auditoria, solicitud de acceso
Aunque estén en formato digital
Registros de visitas, de auditoria, solicitud de acceso