Disponibles en espaol UNIT/ ISO/IEC 27001 UNIT/ ISO/IEC 27002 (Ex-ISO/IEC 17799) En proceso ISO/IEC 27000 Fundamentos y vocabulario. ISO/IEC 27003 Directrices para la implementacin de un SGSI. ISO/IEC 27004 Mtricas para la GSI. ISO/IEC 27005 Gestin de riesgos de la SI. ISO/IEC 27006 Requisitos para la acreditacin de las organizaciones que proporcionan la certificacin de los SGSI Implantacin de la ISO/IEC 27001 El.. (SGSI) es la parte del sistema de gestin de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la informacin. Seguridad de la Informacin? La seguridad de la informacin consiste en procesos y controles diseados para proteger informacin de su divulgacin no autorizada, transferencia, modificacin o destruccin, a los efectos de: asegurar la continuidad del negocio; minimizar posibles daos al negocio; maximizar oportunidades de negocios. La informacin es un activo que como otros activos importantes tiene valor y requiere en consecuencia una proteccin adecuada. La informacin puede estar: Impresa o escrita en papel. Almacenada electrnicamente. Trasmitida por correo o medios electrnicos Mostrada en filmes. Hablada en conversacin. La seguridad de la informacin se caracteriza aqu como la preservacin de: su confidencialidad, asegurando que slo quienes estn autorizados pueden acceder a la informacin; su integridad, asegurando que la informacin y sus mtodos de proceso son exactos y completos. su disponibilidad, asegurando que los usuarios autorizados tienen acceso a la informacin y a sus activos asociados cuando lo requieran. (Planificar /Hacer /Verificar /Actuar) Establecer el SGSI (Plan) Establecer la poltica de seguridad, objetivos, metas, procesos y procedimientos relevantes para manejar riesgos y mejorar la seguridad de la informacin para generar resultados de acuerdo con una poltica y objetivos marco de la organizacin. Definir el alcance del SGSI a la luz de la organizacin. Seamos consistente con los objetivos. Definir la Poltica de Seguridad. Definir y Aplicar un enfoque sistmico para evaluar el riesgo. No se establece una metodologa a seguir. Intentemos su integracin con otros metodologas ya utilizadas internamente. Anlisis de Riesgos (Plan) Matriz de Riesgos Establecer el SGSI (Plan) Identificar y evaluar opciones para tratar los riesgos Identificados Mitigar, Eliminar, Transferir, Aceptar Dentro del Alcance definido. Seleccionar objetivos de control y controles a implementar (Mitigar), En virtud del resultado del anlisis de riesgos, considerando a su vez los requisitos legales y regulatorios. A partir de los 133 controles definidos por la ISO/IEC 27002 Establecer enunciado de aplicabilidad Seleccin o no de cada uno de los controles y explicacin. Objetivos de Control y Controles Implementar y operar (Do) Implementar y operar la poltica de seguridad, controles, procesos y procedimientos. Implementar plan de tratamiento de riesgos. Transferir, Eliminar, Aceptar, Mitigar.. Clave para el xito de la implantacin. Implementar programas de Capacitacin y concientizacin continua. Clave para el xito de la implantacin. Implementar procedimientos y controles de deteccin y respuesta a incidentes. Clave para el xito del seguimiento y la mejora. Implementar indicadores para medir la eficacia de los controles. Clave para el xito del seguimiento y la mejora. Monitoreo y Revisin (Check) Evaluar y medir la performance de los procesos contra la poltica de seguridad, los objetivos y experiencia practica y reportar los resultados a la direccin para su revisin. Revisar el nivel de riesgo residual aceptable, considerando los cambios en el entorno. Auditorias internas. Siempre clave Revisiones por parte de la Direccin Indicadores El contar con un conjunto adecuado de indicadores, asociados a los objetivos y controles de seguridad definidos e Implementados es crtico para el adecuado seguimiento y mejora continua del SGSI. Mantenimiento y mejora (Act) Tomar acciones correctivas y preventivas, basadas en los resultados de la revisin de la direccin, para lograr la mejora continua del SGSI. Identificar mejoras en el SGSI a fin de implementarlas. Tomar las acciones apropiadas (preventivas y correctivas). Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas. Revisar el SGSI donde sea necesario implementando las acciones seleccionadas. Factores crticos de xito El apoyo visible y el compromiso evidente de la alta direccin Factores crticos de xito El apoyo visible y el compromiso evidente de la alta direccin Asignacin de recursos econmicos y en especial humanos. Concientizacin de los mandos medios. Un alcance, poltica y objetivos que reflejen los objetivos del negocio. Ser consiente del esfuerzo permanente que se requiere. Factores crticos de xito La adecuada capacitacin y permanente concientizacin del personal. Un sistema de gestin de incidentes que permita centralizar el registro y seguimiento de los eventos e incidentes de seguridad. Un sistema integrado de indicadores que permita evaluar la eficacia de los controles y procesos implementados. Herramientas de gestin de permita centralizar el registro y seguimiento de diferentes procesos y controles.