Agenda 1 Introducción 2 Definiciones , Aspectos Conceptuales, Tendencias 3 Metodología propuesta para ISO/IEC Paso a Paso… 5 Conclusiones 2 2.

Slides:



Advertisements
Presentaciones similares
PROCEDIMIENTO AUDITORIAS INTERNAS.
Advertisements

INTRODUCCION La norma NTC (Norma técnica colombiana) ISO 9001:08 consta de 8 capítulos, de los cuales son auditables del capítulo número cuatro al ocho.
Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
© Banco de Chile – Eduardo Recabarren
SEMINARIO DE AUDITORÍA INTEGRAL
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
UNIVERSIDAD "ALONSO DE OJEDA"
Diagnóstico de la Organización de la Calidad PDVSA
LABORATORIOS LETI S.A.V. – Planta Guarenas
Unidad III Sistemas de gestión de la calidad ISO 9000
Gestión de Recursos Informáticos Unidad Nº 3: Gestión de calidad y eficiencia.
NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.
Nombre: Claudia Grandi Bustillos
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.
Conceptos generales metodología levantamiento de procesos
INDICADORES DE GESTIÓN Y MEJORAMIENTO CONTINUO
PMO Vicepresidencia TyO _Servicios PMO
PROCEDIMIENTOS OBLIGATORIOS MANUAL DE CALIDAD Y OPERACIONES
NORMA ISO -9001: 2000 ISO
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
Segunda Jornada Nacional de Seguridad Informática ACIS 2002
AUDITORIA INTERNA.
SISTEMAS DE GESTION DE CALIDAD
Sistema de Gestión de la Calidad
Medición, Análisis y Mejora
Evaluación de Productos
ESCUELA POLITÉCNICA DEL EJÉRCITO
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
Manual del SAA NOTAS.
SISTEMA DE GESTION DE CALIDAD
Dr. Victor Izaguirre Pasquel
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
Presentación de la Norma Técnica de Seguridad de la Información
Desde la seguridad de la información hasta los Sistemas de Riesgo, Continuidad y Cumplimiento - Integración SGSI - Governance & Compliance.
“Sistemas de Gestión de Seguridad y Salud Ocupacional”
AREA DE SEGURIDAD DE LA INFORMACION
Requerimientos /Metas:
ISO 9001:2000 ES UNA CERTIFICACIÒN DE CALIDAD QUE PRETENDE LOGRAR LA SATISFACCION CONTINÙA DEL CLIENTE MEDIANTE EL CUMPLIMIENTO DE SUS NECESIDADES Y EXPECTATIVAS.
“Adopción de SGSI en el Sector Gobierno del PERÚ”
SISTEMAS DE GESTION DE CALIDAD ISO 9000:2000
SISTEMA DE GESTION DE LA SEGURIDAD Y SALUD EN EL TRABAJO (SG-SST)
Ing. Alexandra García Ing. Patricia Nogales. OBJETIVOS: General Específicos.
¿Para qué ISO 17025? Ser reconocido como competente en la realización de ensayos específicos. La satisfacción de los clientes y mayor confianza en los.
AUDITORIAS RESUMEN DE ASPECTOS RELEVANTE EN LA GESTION BASADO EN EL REFERENCIAL ISO 9001:2008.
DIRECTRICES PARA LA MEJORA DEL DESEMPEÑO
Gestión de la Continuidad del negocio BS BCI
El Programa de Mejoramiento de Gestión en su Tercera Etapa: Programa Marco de la Calidad e Implementación de Sistema de Gestión de Calidad en las instituciones.
COBIT 4.1 SISTESEG.
Gestión de Calidad Ley 872 de 2003, Decreto 4110 de 2004,Decretos Departamentales 0025 y 0063 de 2005 (Decretos modificados con la reforma institucional.
Plan de Sistemas de Información (PSI)
TEMA 5.- SISTEMAS DE GESTIÓN MEDIOAMBIENTAL (II):
SGSI y MAS Implantación en el M.H..
Programa de Auditoría Interna
35 años de investigación, innovando con energía 1 Mayo, 2012 P LAN DE ASEGURAMIENTO DE LA CALIDAD DEL DESARROLLO DE SOFTWARE E STÁNDAR IEEE 730 Y G UÍA.
AUDITORIAS EN SISTEMA DE GESTION INTEGRADA
SGSI: Sistemas de Gestión de la Seguridad de la Información
ISO 9000:2000 EFQM. MODELO EUROPEO.
 
Metodologías Lsi. Katia Tapia A., Mae.
UNIVERSIDAD LATINA II. FUNCIONES DEL ADMINISTRADOR.
Procesos itil Equipo 8.
Jefe del Sistema de Gestión de la Calidad y Ecoeficiencia
ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
Presentación de la Norma Técnica de Seguridad de la Información.
PROCESO CONTROL, EVALUACIÓN Y MEJORA Octubre 2015.
MODULO 4 Sistema Integrado de gestión 1 Sistema Integrado de gestión – conceptos, fundamentos y requisitos comunes MÓDULO 4.
Transcripción de la presentación:

Estrategias para la Implementación de un Sistema de Gestión de Seguridad de Información

Agenda 1 Introducción 2 Definiciones , Aspectos Conceptuales, Tendencias 3 Metodología propuesta para ISO/IEC 27001 4 Paso a Paso… 5 Conclusiones 2 2

Antes de comenzar … Recomendaciones de la sala Uso de teléfonos móviles, notebooks y PDA No fumar

FACILITADOR Eduardo A. Recabarren Domínguez Oficial de Privacidad y Seguridad del Banco de Chile Ingeniero en Computación e Informática Ingeniero Civil Industrial

¿Quiénes somos? El Banco de Chile, fundado en 1893, ha liderado el mercado financiero chileno como uno de los bancos más exitosos en términos de retorno de activos y en la creación de mayor valor para sus accionistas. Las actividades del Banco de Chile se desarrollan bajo una estrategia multimarca, en que las marcas Banco de Chile y Banco Edwards-Citi cubren los segmentos de empresas y personas, mientras que el segmento de consumo es atendido bajo la marca Banco Credichile, a través de redes de distribución independientes y de cobertura nacional.

¿Quiénes somos? El 2 de enero del 2008 nace un nuevo Banco de Chile, a raíz de la fusión que se produce entre éste y Citibank Chile. La nueva organización cuenta con: Una participación de mercado en torno al 20% de las colocaciones del sistema. Más de 1,5 millones de clientes Una red de cobertura con más de 400 sucursales a lo largo del país. Nuevas ventajas competitivas, con una mejor cobertura internacional, para la gama de productos y servicios globales ofrecidos a los clientes.

Estructura Gobierno de SI… Gerente General Gerente División Gestión y Control Financiero Gerente División Operaciones y Tecnología Gerente División de Calidad Gerente División Contraloría Gerente Seguridad y Prevención de Riesgo Gerente de Riesgo Operacional Gerente de Riesgo Operacional Gerente Operaciones Especializadas Tesorería Gerente de Contraloría Gerente Servicio Cliente Jefe Área Consumo Jefe Depto. Riesgo Operacional Gerente Serv. Procesamiento e Infraestructura Gerencia Zonal Gerente Operaciones Productos Masivos CERO - Comité Ejecutivo de Riesgo Operacional Comité Operativo de Riesgo Operacional Gerencia Riesgo Operacional Seguimiento, control de avance y escalamiento PMO AREA RIESGO OPERACIONAL AREA SEGURIDAD DE LA INFORMACION AREA CONTINUIDAD DEL NEGOCIO Autoevaluación de Riesgo Operacional Proceso SOX Matriz de Autoevaluación (MAE ) Proceso de Castigos Evaluación de Proveedores (SAS 70) Evaluación nuevos procesos y productos Educación Proyectos Tecnológicos Administración de Infraestructura TI Evaluación de Riesgo Aceptación de riesgo Comité Administración de Incidentes (SIRT) Comité de Arquitectura Tecnológica (CAT) Educación Modelo de Continuidad Definición Procesos Críticos Planes de Continuidad del Negocio Plan de Recuperación de Desastres Comité Administración de Crisis Coordinación de Pruebas Educación

Algunas Definiciones Previas.. Seguridad de la Información (SI).- Preservación de la confidencialidad, integridad y disponibilidad de la información; adicionalmente autenticidad, responsabilidad, no repudio y confiabilidad. SGSI.- La parte del Sistema de gestión Global, basada en una orientación a riesgo de negocio, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información. Activo.- Algo que tiene valor para la organización (ISO/IEC 13335-1:2004) Amenaza.- Evento que puede provocar un incidente en la organización produciendo daños o pérdidas materiales y/o inmateriales Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias externas.

Tendencias…

Tendencias… 10 10

Tendencias…

Tendencias… Tendencias

Aspectos Conceptuales… Cabe la Pregunta: ¿ A quien compete la Seguridad de la Información en una organización: ? Gestores de la organización Contralores, auditores internos Personal de TI Personal en general “La Seguridad de la Información es responsabilidad de los dueños de la información”

Aspectos Conceptuales Misión: Detectar que se debe proteger Detectar nuestras debilidades Proponer controles Implementar controles Medir el desempeño de los controles

¿Qué es ISO/IEC 27000? Familia de estándares ISO orientados a la Seguridad de Información ISO 27000: Conceptos y definiciones que soportan a la familia.

Integrantes ISO /IEC 27001 ISO /IEC 27002 ISO/IEC 27003: Guía de Implementación siguiendo PHVA ISO/IEC 27004: Estándar para Métricas y Mediciones de Gestión de Seguridad de Información ISO/IEC 27005: Estándar de Gestión de Riesgos de Seguridad de información (BS-7799:3) ISO/IEC 27006: Guía para la recuperación ante desastres de servicios tecnológicos de información y comunicación”

Gestión de Riesgos de la Información

¿POR QUÉ GESTIÓN DE RIESGOS DE LA INFORMACIÓN? Necesidad de Proteger la Información Sin embargo, esto puede generar: Crecimiento de cantidad y complejidad de los controles Pérdida del foco de actividades (Seguridad v/s Negocio) Por otra parte, requiere: Mediciones del impacto producido por los controles en seguridad Aplicar un criterio de negocios

Depende de cual sea el objetivo ¿CUAL ESCOGER? Depende de cual sea el objetivo Orientada a Procesos ISO 9001:2000 ISO/IEC 27001 CMM ITIL ISM3 Orientada a Controles ISO 13335-4 BSI-ITPM Orientada a Productos Common Criteria Orientada al Análisis de Riesgos OCTAVE Magerit Orientada a la Buenas Prácticas ISO/EIC 17799:2005 Cobit ISF-SGP

Implantación de un SGSI

Metodología propuesta para ISO/IEC 27001 (1/5) Factores Críticos de Éxito Apoyo de la Administración Beneficios de Negocios Guía para la aproximación procesos Guía para el uso del modelo PHVA

Metodología propuesta para ISO/IEC 27004 (2/5) Guía Proceso “Planificar” Introducción Estableciendo el alcance del SGSI Formulando las políticas de SGSI y Seguridad de Información Ejecutando la valoración de riesgos Tomando decisiones en el tratamiento de riesgos

Metodología propuesta para ISO/IEC 27004 (3/5) Guía Proceso “Hacer” Introducción Creando e Implantando el Plan de Tratamiento de Riesgos Implementado los controles Capacitación y sensibilización Implementando un programa de manejo de incidentes de seguridad de información Administrando recursos

Metodología propuesta para ISO/IEC 27004 (4/5) Guía Proceso “Verificar” Introducción Monitoreo Chequeo rutinario Self-policing procedures Revisiones Haciendo Auditorias internas del SGSI Ejecutando revisiones administrativas Midiendo el SGSI Analizando tendencias Controlando documentación y registros

Metodología propuesta para ISO/IEC 27004 (5/5) Guía Proceso “Actuar” Introducción Implementando mejoras Identificando no-conformidades Identificando e implementado acciones preventivas y correctivas Asegurando mejora continua. Probando Comunicando cambios y mejoras

¿Cuales son los pasos previos y su construcción? Oferta del mercado … Implantador “certificado” Metodologías “express” para SGSI ¿Cuales son los pasos previos y su construcción?

Pasos Previos … Cómo me preparo para el proceso…

Pasos Previos … Identificar los objetivos estratégicos de la organización Identificar legislación, regulaciones y obligaciones contractuales aplicables Establezca el ámbito al que orientará su labor Establecer la necesidad de gestionar los riesgos Identificar procesos clave Identificar a las personas clave Identificar los activos de información relevantes

Nunca deje de retroalimentar a la alta dirección… Lo primero es … Defina su propia planificación Estrategia de Seguridad Objetivos Tareas específicas Plazos y entregables Recomendación: Nunca deje de retroalimentar a la alta dirección…

Identificando legislación aplicable… Legislación Chilena… Ley 19223 Delitos Informáticos. Ley 19799 Firma Electrónica. Ley 19628 Protección de datos Personales Ley 20009 Responsabilidad de tarjetas de crédito Otras específicas Obligaciones contractuales y regulaciones Tabule para contar con registro y orden. ¡¡Atención las transnacionales!!

Implantación de un Sistema de Gestión de Seguridad de la Información

Implantación de un sistema de Gestión de Seguridad de Información Establecer el Alcance Establezca criterios de riesgo Identifique y valorice los activos de información Determine el nivel de riesgo real Escriba la Política de Seguridad Elabore el Documento de Aplicabilidad Objetivos de control y controles Definición de políticas, normas y procedimientos Producción e implantación Complementación de la documentación del SGSI Auditoria y Revisión del SGSI Resumen revisión de proceso de implantación

Definir cual o cuales procesos serán considerados dentro del SGSI Establecer el Alcance Definir cual o cuales procesos serán considerados dentro del SGSI Especificar activos que participan Listado de contratos y acuerdos Mapas de red Inventario de activos relevantes (Cláusulas 4.2.a ISO/IEC 27001)

Identificando objetivos estratégicos (1/2) Pregunte… Un gran número de organizaciones no realiza planificación estratégica Cual es el objetivo de la organización ¿Quién es él o los clientes? ¿Cuáles son las necesidades de su cliente que su organización satisface? ¿Cómo satisface su organización las necesidades de sus clientes? Podrá tener una idea de cuales son las principales líneas de actividad de la organización

Identificando objetivos estratégicos (2/2) Para cada negocio o actividad identificado responda: ¿Existen metas de crecimiento? ¿Existe orden de posicionar algún producto o servicio en particular? ¿Objetivos Financieros? ¿Mejorar la satisfacción de los clientes? ¿Mejorar el tiempo de solución de problemas internos? ¿Desarrollar un nuevo negocio? Estas respuestas le ayudarán a tener una idea general de los objetivos estratégicos de su organización.

Mapa de Procesos (1/4) Proceso I Proceso D Proceso J Proceso A Estrategicos Proceso E Proceso B Proceso G Proceso K Clave Proceso H Proceso L Proceso F Proceso C De Apoyo

Proceso (Propietario) Mapa de Procesos (2/4) ¿Cambios? Medidas de Mejora Proceso (Propietario) Salidas Entradas Tareas Activos Controles Registros

Proceso (Propietario) Mapa de Procesos (2/4) ¿Cambios? Medidas de Mejora Proceso (Propietario) Salidas Entradas Tareas Activos Controles Registros

Mapa de Procesos (3/4) Clientes Clientes

Mapa de Procesos (4/4) Interrelación de procesos

Establezca Alcance Establezca el alcance de su Sistema de Gestion de Seguridad de Informacion.

Identifique y valorice los activos de información Identifique los activos de información Defina a los roles asociados a cada uno de ellos Clasifique los activos de información de acuerdo a algún criterio preestablecido Redacte guías de uso aceptable de los activos dependiendo su clasificación (Cláusulas 7.1, 7.2 ISO/IEC 17799:2005)

Identificar los activos Caracterice cada uno de los procesos relevantes para los objetivos asociados a su proyecto de Seguridad de Información

Identificar los activos de información Cuales son los activos de información Procesamiento Almacenamiento Otros Definición de Roles Dueño Custodio Usuario

Identificar Riesgos ¿Qué puede suceder? ¿Cómo puede suceder? Tomando en cuenta los resultados de ejercicios anteriores, formule su propia tabla de identificación de riesgos

Análisis de Riesgo (2/2) Realice un análisis de riesgo empleando uno de los métodos mencionados anteriormente.

Evaluación de Riesgo Evalúe los Riesgos empleando uno de los criterios mencionados o defina un criterio propio con su grupo de trabajo.

Establezca el criterios de riesgo Defina la metodología de aproximación a la valoración de riesgo y documéntela. Desarrolle el proceso de análisis y evaluación de riesgos. (Cláusula 4.2.1.c;d;e ISO/IEC 27001:2005)

Escriba una Política de Seguridad de Información Emplee la ficha 8. Defina un protocolo de revisiones de la misma. (Cláusula 5.1, ISO/IEC 17799:2005) (Cláusula 4.2.1b ISO/IEC 27001:2005)

Escriba el Documento de Aplicabilidad Seleccione los Objetivos de Control y Controles. Justifique cualquier exclusión apoyándose en el análisis de riesgos (Cláusula 4.2.1j ISO/IEC 27001:2005)

Documento de Aplicabilidad Escriba su documentos de Aplicabilidad

Definición de Políticas, normas … Estructura Documental Establezca un sistema de gestión de documentos Política General Alcance Documentado Procedimientos de Apoyo a SGSI Descripción Aproximación AR Reporte del Análisis de Riesgos Plan de Tratamiento de Riesgos Procedimientos Documentados Acciones Correctivas Acciones Preventivas Plan de Auditorias Plan de Revisiones Administrativas Registros requeridos Control de Documentos Control de Registros Documento de Aplicabilidad

Complementación de Documentación Es necesario crear una política específica

Procedimiento Mejora Continua Plan de Auditorias Internas Registros de ejecución Plan de Revisiones Administrativas Registros Proc. Manejo No-Conformidades Proc. Acciones Preventivas (Cláusulas 6, 7 y 8 ISO/IEC 27001:2005)

Resumen de Pasos para la Implementación…

Auditoría Define Política de Continuidad y Estrategia Aprueba Depende Controla Auditoría Audita Desarrolla y actualiza Desarrolla, mantiene y realiza seguimiento al SGSI Oficial de Seguridad de la Información (OSI) Define y confecciona Impulsa y coordina Comité de Seguridad Información Aprueba

Conclusiones La Seguridad de la Información es un Proceso La Seguridad de la Información se basa en Personas La Seguridad de la Información debe orientarse al Riesgo No existe la Seguridad Absoluta. El SGSI AYUDA a la gestión. Un proyecto SGSI requiere un equipo de trabajo MULTICONOCIMIENTO

Conclusiones Beneficios de un SGSI Conocer realmente los activos que disponemos Involucrar a la Alta dirección en la Seg. de la Inf. Realizar análisis de Riesgos para el desarrollo del Negocio Disponer de planes de contingencia ante incidentes Disminución de riesgos a Niveles aceptables …..