Objetivos
Conocer y poner en marcha la metodología de implementación del SGSI de acuerdo a la Norma ISO 27001.
Definir el Comité de Seguridad de la Información (CSI) y sus funciones.
Definir política, alcance, objetivos y responsabilidades del SGSI.
Realizar el inventario de activos definiendo su impacto en la organización por la violación de los elementos de seguridad de la información.
METODLOGÍA PARA LA
IMPLEMENTACIÓN DEL SGSI
Ing. Msc. Marlon Giovanni Martínez Pérez
MODELO DE PROCESOS - PHVA
El ciclo PHVA (o PDCA en ingles) es una herramienta de la mejora continua, diseñada por el Dr. Walter Shewhart en 1920 y presentada por Deming a partir del año 1950
Se basa en un ciclo de 4 pasos: Planificar (Plan), Hacer (Do), Verificar (Check) y Actuar (Act)
Es común usar esta metodología en la implementación de un sistema de gestión.
ARRANQUE DEL PROYECTO
COMPROMISO DE LA
DIRECCIÓN
APOYO EN PLANIFICACIÓN
CONFORMAR EL COMITÉ DE SEGURIDAD DE LA INFORMACIÓN.
-Definir responsabilidades para el personal involucrado.
Comité de Seguridad de la Información
- CSI
Cuerpo integrado por representantes de todas las áreas sustantivas de la organización, destinado a garantizar el apoyo manifiesto de las autoridades a las iniciativas de seguridad para lograr un trabajo eficaz y seguro.
Alcance del SGSI – Caso Práctico
Tomar en cuenta:
El alcance delimita claramente el SGSI, indicando las áreas
especificas y procesos de aplicación.
IDENTIFICACIÓN DEL RIESGO
La identificación del riesgo contempla inicialmente la
determinación de los activos de información dentro del
alcance del SGSI, teniendo en cuenta la ubicación,
responsable y funciones.
Se deben determinar las amenazas, vulnerabilidades e
impactos en la organización, por las posibles pérdidas de
confiabilidad, integridad y disponibilidad sobre los activos.
INVENTARIO DE ACTIVOS
Se debe realizar un inventario de activos relacionando cada
proceso de la organización contemplado en el alcance del
SGSI.
Los activos hacen referencia a: personal de la
organización, imagen corporativa, información,
sistemas de información, procesos, productos,
aplicaciones y el entorno físico.
Se deben determinar las amenazas, vulnerabilidades e
impactos en la organización, por las posibles pérdidas de
confiabilidad, integridad y disponibilidad sobre los activos.
IDENTIFICACIÓN DEL IMPACTO
Una vez identificados los activos de información que posee la
empresa para cada uno de los procesos que se han decidido
incluir dentro del alcance del SGSI, se debe identificar
cual sería el impacto que tendría en su respectivo proceso
la pérdida o alteración de cada uno de los activos
identificados.
Para la evaluación del impacto se proponen 3 requisitos
propios de los activos de información de una empresa, como
lo describe la ISO 27001:2005 (Confidencialidad, Integridad
y Disponibilidad).
IDENTIFICACIÓN DEL IMPACTO
Para cada requisito se han establecido 3 niveles de impacto
(bajo, mediano y alto).
Al momento de decidir cuál de los 3 niveles aplica para cada
categoría, se debe conformar un grupo interdisciplinar de
evaluación.
La cuantificación final debe salir de un acuerdo general del
grupo, el ejercicio debe hacerse tomando activo por activo.