Professional Documents
Culture Documents
Agenda
Como lo sabesy
quin eres?
Ests bromeando? Y
que tipo de mal sueo
es este?
Creo que s.
Definitivamente puedo
utilizar alguna ayuda.
Hola Mike.
Ocupado con el
problema de
seguridad de la
informacin?
Soy SECUREMAN y
ayudo a las personas
con la gestin de la
seguridad de la
informacin.
SECUREMAN y lo suyo(1)
Por favor, me puedes
explicar qu es un
SGSI?
Mike, la respuesta a
tu problema es la
creacin de un SGSI.
Claro!!! Escuchar
cuidadosamente.
SECUREMAN y lo suyo(2)
Un Sistema de Gestin de la
Seguridad de la Informacin es un
marco de trabajo para evaluar
continuamente los riesgos de
seguridad de la informacin y tomar
acciones razonables para protegerla.
Detallando ms
Gracias. Por favor me
podras decir en qu
consiste un SGSI?
Wow! Suena
exactamente a lo que
necesito.
Y an ms
Entonces, existe un libro
o documento que pueda
comprar para entender
los diferentes procesos
en un SGSI e
implementarlo?
Buenohay algo
mucho mejor Mike.
Existes estndares
internacionalmente
aceptados para un
SGSI.
Como cules..?
Bueno, el ms popular
y ampliamente utilizado
es la norma ISO
270001.
La ISO 27001?
S. De hecho, te
ensear a disear e
implementar un SGSI
utilizando la ISO
27001.
Agenda
Definicin de un SGSI
P
Un SGSI es un marco de
trabajo de gestin para
identificar informacin
importante, evaluar
continuamente los riesgos de
seguridad a dicha informacin
importante y tomar acciones
razonables para protegerla.
SGSI
10
11
12
P Planificar.
H Hacer.
V Verificar.
A Actuar.
13
14
15
Es un estndar certificable.
Una organizacin puede
implementar un SGSI conforme
con la ISO 27001 y certificarse a
travs de un Cuerpo de
Certificacin Acreditado.
La certificacin ISO 27001
mejorar el perfil y la imagen de
una organizacin.
La certificacin ISO 27001
proporciona confianza a los
clientes ya que se protege la
informacin valiosa del negocio.
16
17
Descripcin
ISO/IEC 27000
ISO/IEC 27001:2005
ISO/IEC 27002:2005
ISO/IEC 27003
ISO/IEC 27004
ISO/IEC 27005:2008
18
P
El proceso de Implementacin
de la ISO 27001 se adhiere a
los pasos para la
implementacin de un SGSI tal
como lo discutimos antes.
SGSI
19
7.
8.
20
21
7.
22
23
Agenda
24
Divide y vencers
25
Importante!!!
26
Planificar
Seccin 4
Actuar
Seccin 8
Hacer
Seccin 5
Verificar
Seccin 6 y 7
27
28
se implementa
con
Seccin 2: Anexo A
A.5.1 del estndar
Documento de poltica
de Seguridad de la
Informacin.
29
se implementa
con
Seccin 2: Anexo A
A.6.1.1 del estndar
Compromiso de la Alta
Gerencia a la
Seguridad de la
Informacin
30
Importante
La Seccin 1 es
obligatoria para
obtener la
Certificacin ISO
27001
La Seccin 2,
algunos de los
controles son
obligatorios, otros no
31
Hay disponibilidad
de arreglos
alternativos
La Alta Gerencia de
la organizacin ha
decido aceptar el
riesgo
Factores geogrficos
y otras razones
vlidas o
justiticables
Criterios
para evitar
ciertos
controles
32
En resumen
33
Agenda
34
1.
2.
3.
4.
5.
6.
7.
8.
35
Grficamente
Analizar las
brechas
Definir el
alcance del
SGSI
Identificar y
clasificar los
activos
Realizar auditoria
internas
Analizar los
riesgos
Gestionar los
riesgos
Realizar auditoria
para Certificacin
36
Plan de Accin:
37
38
Presidente del
FGSI
Oficial Jefe de
Seguridad de
Informacin (CISO)
Representante de
la Funcin del
Negocio 1
Representante de
la Funcin del
Negocio 2
Representante del
equipo de Auditoria
Representante de
la Funcin del
Negocio n
39
40
41
42
Personas
Papel
Electrnico
43
Identificacin de Activos:
Listar todos los activos de
informacin importantes en
la organizacin de acuerdo
al alcance.
Clasificacin de Activos:
44
Confidencialidad Cun
sensible/secreta es la informacin en
esta laptop? Cuntas personas estn
autorizadas a VER esta informacin?
Integridad Cuntas personas estn
autorizadas a CAMBIAR esta
informacin.
Disponibilidad Cunta es la
duracin de TIEMPO que la laptop
debe estar disponible para ser
accedida por las personas
autorizadas?
45
46
47
48
49
50
51
Enunciado de Aplicabilidad
Estado
Justificacin
Evidencia
A.5.1.1 Documento
de Poltica de
Seguridad de la
Informacin
Si
Documento de poltica
de seguridad de la
informacin publicada en
la organizacin.
A.10.9.1 Comercio
Electrnico
No
La organizacin no tiene
ninguna transaccin va
comercio electrnico.
No aplica.
52
La Certificacin
53
54
Fin de la Presentacin
55