Nothing Special   »   [go: up one dir, main page]
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 22 vistas

    1 PPT Clase6 Organizac SGSI CIETSI

    Cargado por

    yesenia.cordova.epsgrau

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    1 PPT Clase6 Organizac SGSI CIETSI

    Cargado por

    yesenia.cordova.epsgrau
    22 vistas44 páginas

    Título original

    1 Ppt Clase6 Organizac SGSI CIETSI

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    22 vistas44 páginas

    1 PPT Clase6 Organizac SGSI CIETSI

    Cargado por

    yesenia.cordova.epsgrau

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 44

    Curso:

    Implementación de un
    Sistema de Gestión de
    Seguridad de la Información
    bajo la norma ISO 27001

    www.cietsiperu.com
    SESIÓN 6: POLÍTICA Y ALCANCE DEL SGSI - ISO 27001

    Docente: Mg. Javier A. Seclén Arana


    Sistema de Gestión de Seguridad de la Información
    bajo la norma ISO 27001

    - INDICE -
    I. Estructura del Sistema de Gestión de Seguridad de la Información
    1. Estructura de implementación del SGSI.
    2. Fases de implementación del SGSI.

    II. Organización del Sistema de Gestión de Seguridad de la Información


    1. Organización del SGSI. Contexto y Liderazgo.
    2. Alcance del SGSI. Definición.
    3. Alcance del SGSI. Ejemplo.

    III. Política de Seguridad de Información

    IV. Taller 3. Elaboración de la Política y Alcance del SGSI


    Implementación de un Sistema de Gestión de
    Seguridad de la Información bajo la norma ISO 27001

    I. Estructura del Sistema de Gestión


    de Seguridad de la Información
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    ESTRUCTURA DE IMPLEMENTACIÓN DEL SGSI

    Implementación Implementación
    Operativa Estratégica

    Operativo Estratégico
    - Proyecto del SGSI - Proyecto del SGSI
    - Cláusula 6-8: Gest.Riesg - Cláusula 4: Alcance
    - Cláusula 9: Auditoria - Cláusula 5: Política
    - Cláusula 10: Mejora - Cláusula 7: Manual
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    ESTRUCTURA DE IMPLEMENTACIÓN DEL SGSI


    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    - Comprender la organización y su contexto


    Fases de Implementación SGSI (Cláusulas) Contexto de la - Necesidades y expectat. de las partes interesadas
    - Determinar el Alcance del sistema de gestión
    Organización - Sistema de Gestión de Seguridad de Información

    - Liderazgo y compromiso
    Liderazgo - Política
    - Roles y Responsabilidades

    Gestión de Riesgos

    - No conformidades y acción - Acciones para tratar los riesgos


    correctiva Mejora Planificación - Objetivos de seguridad de información
    - Mejora continua y planificación para conseguirlos

    - Recursos
    - Monitoreo, medición y análisis
    - Auditoría Interna
    Evaluación Soporte
    - Competencia
    - Concientización
    - Revisión por la gerencia del desempeño - Comunicación
    - Información documentada

    Operación - Planificación y control operacional


    - Evaluación de riesgos de seg.Info.
    - Tratamiento de riesgos de seg.info.
    Implementación de un Sistema de Gestión de
    Seguridad de la Información bajo la norma ISO 27001

    II. Organización del Sistema de Gestión de


    Seguridad de la Información
    - CONTEXTO y LIDERAZGO -
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    Organización del SGSI


    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    CONTEXTO DE LA ORGANIZACIÓN: COMPRENDER SU CONTEXTO

    1.1. LA ORGANIZACIÓN Y SU CONTEXTO

    ❑ En este ítem, se deben considerar factores internos y externos referidos a la organización y su contexto (cláusula 4.1). Es decir,
    se deben conocer los elementos relevantes para los propósitos de la organización y que afectan su capacidad para alcanzar los
    resultados deseados con relación al SGSI.

    Los factores internos, son elementos considerados dentro de la Los factores externos no son controlables por las actividades que
    organización y que se encuentran bajo el control de la misma, se llevan a cabo dentro de la organización, y entre otros, se
    como por ejemplo: misión, visión y objetivos; gobierno y encuentran: mercado local y competencia; prácticas de la
    estructura organizacional; roles y responsabilidades; políticas, industria; leyes y regulaciones; ambiente político y financiero;
    objetivos y estrategias; procesos y niveles de madurez; partes condiciones culturales y sociales; partes interesadas externas,
    interesadas internas, entre otros. entre otros factores.

    La identificación de los factores internos y externos permiten conocer las


    características de la empresa y el ambiente en el cual opera para lograr sus objetivos.
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    CONTEXTO DE LA ORGANIZACIÓN: PARTES INTERESADAS

    1.2. NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS

    ❑ Además, los requisitos de estándar también establecen que el


    alcance debe considerar las necesidades y expectativas de las
    partes interesadas (cláusula 4.2). Las partes interesadas son todos
    aquellos individuos, grupos u organizaciones que tengan algún
    beneficio o perjuicio, relacionado con los intereses y actividades
    de la organización.

    ❑ Las partes interesadas también pueden ser internas o externas, y


    deben ser consideradas como elementos importantes para la
    planeación del SGSI, ya que en ocasiones pueden incluir requisitos
    legales o reglamentarios, así como obligaciones contractuales.
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    CONTEXTO DE LA ORGANIZACIÓN: ALCANCE DEL SGSI

    1.2. DETERMINAR EL ALCANCE DEL SISTEMA DE GESTIÓN

    ❑ El alcance describe la extensión y los límites del SGSI, por lo que


    puede estar definido en términos de los activos de información, la
    ubicación física, las unidades organizacionales, actividades o procesos
    de mayor importancia para la organización, es decir, se trata de
    la selección de los elementos críticos a proteger.

    ❑ La definición del alcance es un requisito (de carácter obligatorio)


    descrito en la cláusula 4.3 de la ISO 27001, por lo que las
    características de este requisito tienen relación con las actividades
    esenciales de la organización, es decir, aquellas que permiten cumplir
    con la misión y los objetivos generales de la misma.
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    CONTEXTO DE LA ORGANIZACIÓN: ALCANCE DEL SGSI

    ❑ En el caso de que se vaya a certificar el sistema del SGSI en la organización, la definición del alcance tiene una importancia vital.

    ❑ El auditor en la etapa de certificación verificará si todos los elementos del SGSI cumplen sus requisitos y están correctamente
    implantados pero solo dentro de su alcance; no comprobará los departamentos o sistemas que no están incluidos en el alcance
    definidos para el SGSI.

    A los auditores de certificación suele resultarles interesante encontrar una descripción detallada de las instalaciones y ubicaciones que
    forman parte del alcance del SGSI.
    Si es posible y aunque no sea requisito escrito de la norma, incluya en el documento de la definición del alcance algunas cosas como:
    • Una descripción de la ubicación de los activos que incluya planos de planta para describir el perímetro
    • Descripción de las unidades organizativas, por ejemplo mediante organigramas

    Por ejemplo, si se utilizan PC portátiles que los empleados necesitan para acceder a la red local y a informaciones sensibles o a servicios que
    se encuentran en la red, entonces, deben incluirse en el alcance estas PCs portátiles.
    Tampoco es absolutamente necesario tener un documento exclusivo para la definición del alcance de la organización. Puede combinar o
    incluir este requisito dentro del documento de definición de la política de seguridad de la información o bien tener un documento separado
    donde se haga referencias a otros documentos donde se definan las partes interesadas y sus requisitos, el contexto de la organización, etc.
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    II.2. Alcance del SGSI


    -Definiendo el Alcance del SGSI-
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    DEFINIR EL ALCANCE DEL SGSI

    ❑ Para poder definir el alcance de un SGSI se deben identificar


    dentro de los procesos con los que cuenta la empresa
    aquellos considerados como “core” para el negocio y
    delimitar así el SGSI en base a ellos.

    ❑ Los procesos a incluir no son solo los procesos de seguridad o


    de TI si no que debemos considerar todos los procesos de
    negocio definidos dentro del alcance del SGSI.

    ❑ Conocer la organización y su contexto se plantea como un


    requisito de partida para poder establecer un punto de
    referencia en la aplicación del sistema de gestión de la
    seguridad de la información
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    MAPA DE PROCESOS
    (Esquema General)
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    MAPA DE PROCESOS
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    DEFINIR EL ALCANCE DEL SGSI (Normativa)

    RESOLUCIÓN MINISTERIAL Mapa de Procesos


    Nº 004-2016-PCM (Enero 2016)

    RESOLUCIÓN MINISTERIAL
    Nº 166-2017-PCM (Junio 2017)

    “Artículo 3.- Priorización del Alcance del Sistema de Gestión de Seguridad


    de la Información

    Las Entidades comprendidas en el Art. 1 de la R.M. N° 004-2016-PCM deben


    asegurar la implementación del Sistema de Gestión de Seguridad de la
    Información en su Institución, priorizando en el Alcance los procesos
    misionales y aquellos que sean relevantes para su operatividad”
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    DEFINIR EL ALCANCE DEL SGSI (Normativa)

    RESOLUCIÓN MINISTERIAL Mapa de Procesos


    Nº 004-2016-PCM (Enero 2016)

    RESOLUCIÓN MINISTERIAL
    Nº 166-2017-PCM (Junio 2017)

    “Artículo 3.- Priorización del Alcance del Sistema de Gestión de Seguridad


    de la Información

    Las Entidades comprendidas en el Art. 1 de la R.M. N° 004-2016-PCM deben


    asegurar la implementación del Sistema de Gestión de Seguridad de la
    Información en su Institución, priorizando en el Alcance los procesos
    misionales y aquellos que sean relevantes para su operatividad”
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    NIVEL DE PROCESOS
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    HERRAMIENTAS
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    II.3. Alcance del SGSI


    -Ejemplo del Alcance del SGSI-
    Sistema deSistema
    Gestión de Seguridad
    de Gestión de Seguridad de
    de Iala Información
    Información - ISOISO
    bajo la norma 27001
    27001
    ESTABLECER EL CONTEXTO

    DEFINIR EL CONTEXTO DE LA ORGANIZACIÓN

    1. Clientes de la Organización
    Mapa de Procesos:

    2. Tamaño:

    Formalmente, la entidad cuenta con alrededor


    de 500 personas entre personal de planta y
    personal contratista de manera permanente.

    Docente: Mg. Javier A. Seclén Arana Universidad Nacional Mayor de San Marcos - UNMSM
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    Situación Actual de la Organización - Alcance

    4. Alcance del SGSI en el IEES

    El alcance del plan para la implementación del SGSI se focaliza en el proceso misional más
    importante de la entidad, en el cual se concentra la línea primaria del negocio y es “La Gestión
    de Pruebas y Operaciones” con los siguientes subprocesos y procedimientos:
    Sistema deSistema
    Gestión de Seguridad
    de Gestión de Seguridad de
    de Iala Información
    Información - ISOISO
    bajo la norma 27001
    27001
    ESTABLECER EL CONTEXTO

    DIAGRAMAR EL ALCANCE

    Docente: Mg. Javier A. Seclén Arana Universidad Nacional Mayor de San Marcos - UNMSM
    Sistema deSistema
    Gestión de Seguridad
    de Gestión de Seguridad de
    de Iala Información
    Información - ISOISO
    bajo la norma 27001
    27001
    ESTABLECER EL CONTEXTO

    ELABORAR CUADRO DE E/S DEL PROCESO

    Docente: Mg. Javier A. Seclén Arana Universidad Nacional Mayor de San Marcos - UNMSM
    Sistema deSistema
    Gestión de Seguridad
    de Gestión de Seguridad de
    de Iala Información
    Información - ISOISO
    bajo la norma 27001
    27001
    ESTABLECER EL CONTEXTO

    REVISAR Y ANALIZAR EL ALCANCE

    Docente: Mg. Javier A. Seclén Arana Universidad Nacional Mayor de San Marcos - UNMSM
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    Situación Actual de la Organización - Alcance

    4. Alcance del SGSI en el ICFEES

    El alcance del plan para la implementación del SGSI se focaliza en el proceso misional más
    importante de la entidad, en el cual se concentra la línea primaria del negocio y es “La Gestión
    de Pruebas y Operaciones” con los siguientes subprocesos y procedimientos:
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    III. Política de Seguridad de la Información


    - Requisitos de la ISO 27001-
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    Elaboración de la Política de Seguridad de la Información

    La política de Seguridad de la Información -como requisito de la ISO 27001- debe considerar en líneas generales los
    objetivos de la seguridad de la información de la empresa u organización. Así que la primera pregunta a hacernos es:

    ¿Qué queremos conseguir con la Seguridad de la información?

    ❑ La Política es responsabilidad de la dirección, y tiene como misión además de establecer los objetivos, obtener una
    visión sintetizada de la funcionalidad y estado del sistema de gestión de la seguridad de la información.

    ❑ La Política debe plasmar cómo la seguridad de la información respalda al negocio en el logro de sus objetivos.

    ❑ Los objetivos de una organización normalmente tenemos que verlos desde dos perspectivas:

    ➢ Los objetivos comerciales

    ➢ Los objetivos de Seguridad de la información


    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    Objetivos de Seguridad de la Información

    ❑ Los objetivos de Seguridad de la Información no deben ser identificados en sí mismos si no como consecuencia del
    análisis de los objetivos del negocio en cuanto su necesidad para respaldar su consecución

    ❑ Los objetivos de seguridad de la información se ven afectados por las limitaciones comerciales y
    medioambientales, y por las amenazas y vulnerabilidades.

    ❑ Los objetivos de Seguridad de la Información deben ser medibles. Para ello, se deben considerar métricas que
    permitan la comparación entre la capacidad de seguridad actual y la capacidad requerida para cumplir con los
    requisitos del negocio.

    Para desarrollar su política de seguridad, debe definir claramente sus objetivos de seguridad.
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    Ejemplos de Objetivos de Seguridad de la Información

    Objetivos de seguridad de la información:

    1. Comprender y tratar los riesgos operacionales y estratégicos en seguridad de la información para que
    permanezcan en niveles aceptables para la organización.

    2. La protección de la confidencialidad de la información relacionada con los clientes y con los planes de
    desarrollo.

    3. La conservación de la integridad de los registros contables.

    4. Los servicios Web de acceso público y las redes internas cumplen con las especificaciones de
    disponibilidad requeridas.

    5. Entender y dar cobertura a las necesidades de todas las partes interesadas.


    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    Clasificación de la Política de Seguridad de la Información

    La Política de Seguridad de la Información establece el compromiso de la Dirección y el enfoque de la entidad en la


    gestión de la seguridad de la información. De tal manera que todos los miembros de la organización preserven la
    confidencialidad, integridad y disponibilidad de la información.

    Para tal efecto, se establecen las siguientes políticas agrupadas en dos niveles, así:

    ❑ Primer nivel – Política General


    Corresponde a una declaración de política de Seguridad de la información y objetivos, la cual establece las
    responsabilidades generales aplicables a todos los miembros de la Organización, respecto del uso adecuado de los
    recursos para la gestión de la información.

    ❑ Segundo nivel – Políticas Específicas


    Corresponde a políticas enfocadas a grupos, servicios o actividades particulares. Su definición y actualización debe
    reflejar cambios de índole organizacional y tecnológico.
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    Tipos de Política de Seguridad

    Nivel 1
    Política del SGSI
    en la organización

    Nivel 2
    Políticas de Seguridad
    de la Información
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    Política de Seguridad de la Información

    Nivel 1: Declaración de Política (General) de Seguridad de la Información

    ❑ Debe tener el marco general y los objetivos de seguridad de la información de la organización

    ❑ Debe explicar los requisitos de negocio, legales y contractuales en cuanto a seguridad

    ❑ Debe de estar alineada con la gestión de riesgo general, establecer criterios de evaluación de riesgo y ser
    aprobada por la Dirección.

    ❑ La política de seguridad es un documento muy general, una especie de "declaración e intenciones" de la


    Dirección, por lo que no pasará de dos o tres páginas.
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    Modelos de Política de Seguridad de la Información

    Ministerio del Ambiente


    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    Modelos de Política de Seguridad de la Información

    PETROPERÚ
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    Modelos de Política de Seguridad de la Información

    PETROPERÚ
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    Modelos de Política de Seguridad de la Información

    MIGRACIONES
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    Modelos de Política de Seguridad de la Información

    C.I.P. (Lima)
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001 Política de dispositivo móvil (Cl. A.6.2.1)
    Se deberá establecer la presente Política de Dispositivo Móvil:
    - Las características en las capacidades de los equipos deberán ser
    definidos en función de la importancia de la información procesada o
    Políticas de Seguridad de la Información almacenada en cada tipo de usuario que utiliza un dispositivo móvil
    de la organización.
    - Todos los usuarios de dispositivos móviles que contengan información
    Nivel 2: Políticas Específicas de Seguridad de la Información confidencial o de uso interno deben usar la última o la más segura
    versión de los productos de software. Los parches o actualizaciones
    serán obtenidos de manera formal, provenientes del fabricante.
    Política de escritorio y pantalla limpia (Cl. A.11.2.9) - Los usuarios que utilicen dispositivos móviles como computadores
    portátiles, en su puesto de trabajo, para el cumplimiento de las
    Se deberá establecer la presente Política de Escritorio y Pantalla Limpia:
    funciones asignadas deberán mantener el equipo asegurado con
    - Una vez finalizada la tarea diaria, los usuarios no deberán dejar hojas y papeles de trabajo
    cadena.
    sobre los escritorios.
    - Asimismo, no deberán dejar discos, usb u otros medios magnéticos u ópticos donde se - Los usuarios de dispositivos móviles deben mantener actualizado el
    pueda obtener información de la organización. software antivirus del dispositivo.
    - El almacenamiento de estos elementos se deberá realizar preferiblemente en gabinetes - El Propietario del Activo de Información en coordinación con el Oficial
    bajo llave. de Seguridad de la Información deberán precisar el tipo de
    - Se deberá tener especial cuidado con el uso de dispositivos como fotocopias e impresoras información que se puede mantener en los computadores personales
    de manera que el material con información sensible no permanezca en ellas sin atención, que son utilizados fuera de la NOMBRE DE LA EMPRESA. El acceso a
    y que no se use papel reciclado que contenga información confidencial. estos dispositivos deberá estar protegido mediante controles como
    La presente política debe estar soportada por procedimientos formales y responsabilidades claves de acceso de BIOS, software de protección y nunca deberá
    definidas. quedar el computador desatendido sin ningún bloqueo de acceso.

    Política sobre el uso de controles criptográficos (Cl. A.10.1.1)


    Se deberán utilizar controles criptográficos en los siguientes casos:
    - Para la transmisión de información clasificada, fuera de la
    organización.
    - Para el resguardo de información, cuando así surja de la evaluación
    de riesgos realizada por el Propietario de Activo de Información.
    - Se deberán desarrollar lineamientos respecto de la administración
    de claves, de la recuperación de información cifrada en caso de
    pérdida, compromiso o daño de las claves y en cuanto al reemplazo
    de las claves de cifrado.
    Implementación de un Sistema de Gestión de
    Seguridad de la Información bajo la norma ISO 27001

    IV. Taller de Trabajo


    (Alcance del SGSI y Política de Seguridad de la Información)
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    Taller de Trabajo 3: Organización del SGSI

    Revisión de los modelos provistos en el material de la semana 4


    ✓ Modelos del Alcance del SGSI en las Organizaciones
    ✓ Modelos de Política de Seguridad de la Información

    1. Establecer el Alcance del SGSI


    ✓ Revisión del mapa de procesos -esquema general- con los procesos estratégicos, misionales y de apoyo de la
    organización seleccionada.
    ✓ Selección del Alcance un proceso de negocio de la organización seleccionada.

    2. Establecer los Objetivos y la Política de Seguridad de la Información


    ✓ Establecidos los Objetivos de Seguridad de la Información, elaborar de la Política (General) de Seguridad de la
    organización seleccionada.

    Informe resumen del Taller


    ✓ Informe resumen de las actividades señaladas en el Taller 3, el cuál será entregado en el Aula Virtual en la
    Clase 6.
    Sistema de Gestión de Seguridad de Ia Información bajo la norma ISO 27001

    También podría gustarte