Basado en la ISO

27001:2013
Seguridad de la Informacin

Agenda

Gobierno de Seguridad de la Informacin

Organizacin del Proyecto
Alineando el negocio con la Seguridad de la Informacin
Gestin de Riesgos
Indicadores de gestin

Mejora Continua
Seguridad de la Informacin

Gobierno de Seguridad de la Informacin

Seguridad de la Informacin

Gobierno de Seguridad de
la Informacin
El Gobierno de Seguridad de la Informacin est compuesto por
un conjunto de responsabilidades y practicas llevadas a cabo
mediante la junta ejecutiva con el objetivo de proporcionar la
direccin estratgica, asegurando que los objetivos se logran,
cerciorndose de que los riesgos se gestionan de manera
adecuada y asegurando que los recursos de la empresa son
usados responsablemente
Fuente: IT Governance Institute

Seguridad de la Informacin

Gobierno de Seguridad de
la Informacin

El Gobierno de Seguridad de la Informacin es un subconjunto de Gobierno

de la Empresa que proporciona la direccin estratgica, asegura que los
objetivos se logran, gestiona los riesgos adecuadamente, asigna
responsabilidades a los recursos de la organizacin, y supervisa el xito o el
fracaso del programa de seguridad de la empresa.
Fuente - Information Security Governance

Seguridad de la Informacin

ISO 27014
La ISO-27014 indica seis principios de gobiernos de la seguridad de
informacin los cuales son:

1. Establecer responsabilidad con respecto a la seguridad de la informacin

en toda la organizacin
2. Adoptar una aproximacin basada en el riesgo.
3. Establecer la direccin de las decisiones de inversin en seguridad de la
informacin
4. Asegurar conformidad con los requerimientos internos y externos.
5. Fomentar un entorno positivo respecto de la seguridad.
6. Revisar el rendimiento en relacin a los resultados de negocio.

Seguridad de la Informacin

ISO 27014
1. Establecer responsabilidad con respecto a la seguridad de la
informacin en toda la organizacin.
La seguridad de la informacin se gestiona a un nivel de la organizacin que
permita la toma de decisiones?
Las actividades asociadas a la seguridad lgica y fsica se realizan de forma
coordinada?.
La responsabilidad y rendicin de cuentas con respecto a la seguridad se
establece a travs del ciclo completo de las actividades de la organizacin
incluidos terceros?.

Seguridad de la Informacin

ISO 27014

2. Adoptar una aproximacin basada en el riesgo.

Las decisiones se toman en funcin del riesgo?.

El nivel aceptable de seguridad se basa en el apetito al
riesgo de la organizacin?, se incluye en l la posible
prdida de ventaja competitiva, riesgos de cumplimiento
y responsabilidad, interrupciones operativas, prdida
financiera y dao a la reputacin?.
Se asignan los recursos apropiados para implementar
la gestin de riesgos en la organizacin?.
Seguridad de la Informacin

ISO 27014

3. Establecer la direccin de las decisiones de

inversin en seguridad de la informacin.

La estrategia de inversiones en seguridad de la

informacin se establece en funcin de los resultados de
negocio alcanzados?.
Las inversiones en seguridad se integran con los
procesos generales existentes para las inversiones y
gastos de la organizacin?.

Seguridad de la Informacin

ISO 27014
4. Asegurar conformidad con los requerimientos internos y externos.
Se garantiza que las polticas y prcticas son conformes con la regulacin
y legislacin existente, con los compromisos y contratos de la organizacin
y con otros requerimientos internos o externos?.
Se realizan auditoras de seguridad independientes?.

Seguridad de la Informacin

ISO 27014

5. Fomentar un entorno positivo respecto de la

seguridad.
A la hora de implementar la gobernanza de la seguridad,
se tiene en cuenta el comportamiento humano, incluyendo
la evolucin de las necesidades de las partes interesadas?
Se exige, promueve y apoya la coordinacin de las
actividades de las partes interesadas para alcanzar una
direccin coherente de la seguridad (educacin, formacin y
programas de concienciacin)?.

Seguridad de la Informacin

ISO 27014
6. Revisar el rendimiento en relacin a
los resultados de negocio.

La aproximacin tomada para proteger la

informacin es adecuada al propsito de
apoyar la organizacin proporcionando
niveles acordados de seguridad de la
informacin?.
Se mantiene la seguridad en los niveles
requeridos para alcanzar los
requerimientos actuales y futuros del
negocio?.
Se evala la seguridad en relacin a su
impacto en el negocio y no slo en base a
la eficacia y eficiencia de los controles?.

Seguridad de la Informacin

ISO 27014

Seguridad de la Informacin

Organizacin del Proyecto

Seguridad de la Informacin

Requisitos y expectativas de las partes interesadas

respecto a l SGSI

ENTRADA

Seguridad de la Informacin

Contexto de la
Organizacin

Liderazgo
Mejora

Planificacin
Evaluacin

Operacin
SALIDA

Requisitos y expectativas de las partes interesadas

gestionadas con el SGSI

Fases de la Metodologa

Fases de la Metodologa
7 FASES
Contexto
organizacin

Liderazgo

Planificacin

Proyecto
del SGSI

Soporte

Operacin

Evaluacin

Mejora

Seguridad de la Informacin

Implantacin del
SGSI

Fases de la Metodologa
Contexto
organizacin

Seguridad de la Informacin

Liderazgo

Planificacin

Soporte

Operacin

Evaluacin

Mejora

Fases de la Metodologa
Contexto
organizacin

Seguridad de la Informacin

Liderazgo

Planificacin

Soporte

Operacin

Evaluacin

Mejora

Fases de la Metodologa
Contexto
organizacin

Seguridad de la Informacin

Liderazgo

Planificacin

Soporte

Operacin

Evaluacin

Mejora

Fases de la Metodologa
Contexto
organizacin

Seguridad de la Informacin

Liderazgo

Planificacin

Soporte

Operacin

Evaluacin

Mejora

Fases de la Metodologa
Contexto
organizacin

Seguridad de la Informacin

Liderazgo

Planificacin

Soporte

Operacin

Evaluacin

Mejora

Fases de la Metodologa
Contexto
organizacin

Seguridad de la Informacin

Liderazgo

Planificacin

Soporte

Operacin

Evaluacin

Mejora

Fases de la Metodologa
Contexto
organizacin

Seguridad de la Informacin

Liderazgo

Planificacin

Soporte

Operacin

Evaluacin

Mejora

Alineando el negocio con la Seguridad de la Informacin

Seguridad de la Informacin

Comprensin de la Misin,
Objetivos, Valores y Estrategias

Misin

Valores

Estrategias
Alineamiento

Objetivos

Polticas Corporativas

Seguridad de la Informacin

Estratgico

Los
objetivos
De
La
Seguridad
de la
Informacin

Polticas de Seguridad de
la Informacin

Anlisis del Ambiente

Externo
Fortalezas

Debilidades

Existen varias metodologas para

entender cmo funciona
una
organizacin

Oportunidades

Seguridad de la Informacin

Amenazas

Lo importante es identificar las

caractersticas de los factores
ambientales internos y externos
que influyen en la gestin de la
continuidad del negocio: misin,
actividades
principales,
organizacin
interna,
partes
interesadas, ttc.

Anlisis del Entorno Interno

Estratgico (Quin establece las orientaciones estratgicas?)
Gobierno (Quin coordina y gestiona
las
operaciones?)
Operacional ( Quin participa en las actividades de produccin y
apoyo?)

Comprender la estructura y los

principales actores de
la
organizacin relacionados con
el mbito de aplicacin en los
planos:

Seguridad de la Informacin

Identificacin de los Principales

Procesos y Actividades

Activos de
Informacin Claves

Oferta de Productos
y servicios

Procesos de
Negocios

Cules son los

Activos de informacin
Claves de la
Organizacin?

Cules son los bienes y

Servicios producidos por
la organizacin?

Cules so los
Procesos claves que
Permiten a la
Organizacin cumplir
Con su misin?

Seguridad de la Informacin

Anlisis del Ambiente

Externo

Plan del proyecto

Diagrama de GANNT
Documento Alcance del SGSI
Acta de Constitucin del proyecto

Seguridad de la Informacin

Documentos

Plan del proyecto

Diagrama de GANNT
Documento Alcance del SGSI
Acta de Constitucin del proyecto

Seguridad de la Informacin

Gestin de Riesgos
Seguridad de la Informacin

Qu cambia en la gestin
de riesgos?

No tenemos que usar la norma ISO 31000 para

la gestin de riesgos. La norma ISO 31000 slo
se menciona en la norma ISO 27001: 2013,
pero no es obligatorio.

No se tiene que eliminar los activos, amenazas

y vulnerabilidades de nuestra evaluacin de
riesgos. Se puede mantener la metodologa
antigua porque la norma ISO 27001: 2013 te
deja libertad para determinar los riesgos de la
forma que desee.

Seguridad de la Informacin

Qu cambia en la gestin
de riesgos?
No se debe dejar de lado el identificar a los
propietarios de activos. Aunque la norma ISO
27001: 2013 no requiere que usted identifique
los propietarios de activos como parte de la
evaluacin del riesgo, el control A.8.1.2 Control
lo requiere.

En la Poltica de seguridad de la informacin de

nivel superior no se necesita establecer
criterios con los que los riesgos sern
evaluados - este era el requisito de la norma
ISO 27001: 2005 4.2.1 b 4)); en la norma ISO
27001: 2013, usted todava tiene que definir
los criterios de evaluacin de riesgo, pero no
como parte de la poltica de nivel superior.

Seguridad de la Informacin

Qu cambia en la gestin
de riesgos?
Se puede identificar los riesgos en funcin de
sus procesos, en funcin de sus
departamentos, utilizando slo las amenazas y
vulnerabilidades no, o cualquier otra
metodologa
Es necesario identificar los propietarios del
riesgo.

ISO 27001: 2005 requiere que la

administracin apruebe riesgos residuales, as
como la implementacin y operacin del SGSI.
Por el contrario, en la norma ISO 27001: 2013
los propietarios de los riesgos deben aceptar
los riesgos residuales y aprobar el plan de
tratamiento de riesgos.
Seguridad de la Informacin

Qu cambia en la gestin
de riesgos?
Las opciones de tratamiento en la revisin
2013 no slo se limitan a la aplicacin de los
controles, la aceptacin de riesgos, evitando
los riesgos, y la transferencia de riesgos como
lo fueron en la revisin de 2005 - bsicamente,
usted es libre de considerar cualquier opcin
de tratamiento que crea apropiado.

Seguridad de la Informacin

Qu cambia en la gestin
de riesgos?

Seguridad de la Informacin

Indicadores de gestin
Seguridad de la Informacin

Indicadores del SGSI

ISO 27004

Seguridad de la Informacin

Indicadores del SGSI

ISO 27004
Entrenamiento del SGSI
Personal entrenado en el SGSI
Entrenamiento en Seguridad de la Informacin
Concientizacin en el Cumplimiento de la Seguridad de
la Informacin
Polticas de contraseas
Calidad de las contraseas manual
Calidad de las contraseas automtica
Proceso de revisin del SGSI
Mejora continua de la gestin de incidentes de la
seguridad de la informacin del SGSI

Seguridad de la Informacin

Indicadores del SGSI

ISO 27004
Efectividad Implementacin de acciones
correctivas
Compromiso de la alta direccin
Proteccin contra cdigo malicioso
Controles fsicos de entrada
Revisin de los archivos de registro de actividades
Gestin de la periodicidad del mantenimiento
Seguridad en acuerdos con terceras partes

Seguridad de la Informacin

Documento
Documento Indicadores del SGSI

Seguridad de la Informacin

Mejora Continua
Seguridad de la Informacin

Revisin de Documentos

Seguridad de la Informacin

Revisin de Controles

Seguridad de la Informacin

Preguntas antes de
contratar a un consultor
1. Cul es su experiencia en su industria en particular?
2. Cuntos clientes tena? Qu tipo de clientes que ha servido? Puede
proporcionar una lista de referencias?
3. Cul es su reputacin - lo que hacen los otros consultores dicen de l;
qu dicen sus clientes acerca de l?
4. Cul es su experiencia (negocio), adems de la norma ISO 27001 y / o ISO
22301?
5. Cul es su experiencia en otras normas ISO?
6. Habla su idioma a la perfeccin?
7. Tiene algn conflicto de inters?

Seguridad de la Informacin

Preguntas antes de
contratar a un consultor
1. Cuntos proyectos de implantacin ISO 22301 27001 / ISO ha termin con xito en
los ltimos dos aos?
2. Cuntos de sus clientes solicitaron la certificacin, y cuntas eran con xito la
norma ISO 27001 / ISO 22301 certificada (en su primer intento)?
3. Cul fue la parte ms compleja del proyecto ISO 27001 / ISO 22301 que ha tenido?
Puede describir brevemente?
4. Cul es su trayectoria educativa en la norma ISO 27001 / ISO 22301; es decir, lo
que los certificados tiene?
5. l entregas ISO 27001 o ISO 22301 entrenamientos? En caso afirmativo, cuntos
entrenamientos tena que prev, para cuntas personas?
6. Alguna vez ha publicado ninguno de los artculos de expertos? Cuntas y dnde?
7. Trabaj como auditor de certificacin?
8. Puede que le muestre ejemplos de la documentacin de evaluacin del riesgo que
l cre para algunos de sus clientes?

Seguridad de la Informacin

Preguntas antes de
contratar a un consultor
1. Cul es el precio total de sus servicios (asegrese de que
incluye todo: anlisis, entrevistas, desarrollo de
documentacin, capacitacin, costos de transporte, etc.)?
2. Cules son los servicios adicionales que usted tendr que
comprar a otros proveedores?
3. Cul es el costo de su tiempo de los empleados que
participan en el proyecto?

Seguridad de la Informacin

Preguntas

Seguridad de la Informacin

Seguridad de la Informacin