La Fase Planificar

Fundamentos de la Norma ISO
27001 para la Gestin de la

Seguridad de la Informacin
Mdulo 5 La fase Planificar
Expositor: Vctor Reyna Vargas
Ingeniero de Sistemas
vreynav@gmail.com
2012 VRV (Contacto: vreynav@gmail.com)

Todos los derechos reservados. Prohibida su reproduccin total o parcial o su uso comercial sin permiso del autor.
Agenda
Mike conoce la fase Planificar.

Alcance del SGSI.
Poltica del SGSI.
Enfoque de Evaluacin de Riesgos.
Evaluacin de Riesgos.
Anlisis de Riesgos de nivel MACRO.
Anlisis de Riesgos de nivel MICRO.
Enunciado de Aplicabilidad.

Mike est preparndose para una reunin

Hola Mike. Se te ve
ocupado.
Recuerda lo que te
dije antesla ISO
27001 sigue el
modelo PHVA.
PHVA significa
Planificar, Hacer,
Verificar-Actuar.
Hola, ha pasado
tiempo. S, he estado
ocupado tratando de
estructurar un camino
para empezar la
implementacin de la
ISO 27001.
Aydame a recordar,
qu era el modelo
PHVA?
Gracias. Me puedes
decir cmo puedo
utilizar el modelo
PHVA para la ISO
27001?

Recordando la ISO 27001 y el modelo PHVA(1)

Djame explicarte el
modelo PHVA.
Hola Mike. Se te ve
ocupado.
Parece bastante
trabajo.
En la fase
PLANFICAR usamos
los hallazgos del
Anlisis de Brechas y
damos inicio a la ISO
27001.
Esto involucra la
definicin del alcance
de la implementacin,
la identificacin de los
activos de informacin
crticos y la ejecucin
de un anlisis de
riesgos.
Bueno, no es tan
difcil como podra ser
pero s, la fase
PLANIFICAR es la
ms importante de las
4 fases. Es por eso
que toma ms tiempo
inicialmente.
S, la planificacin
debe ser apropiada.

Recordando la ISO 27001 y el modelo PHVA(2)
Ok. Suena lgico y

tiene un flujo
apropiado.
En la fase HACER
mitigamos los riesgos.
En la fase
VERIFICAR vemos
que tan efectivas han
sido las estrategias de
mitigacin de riesgos.
En la fase ACTUAR
corregimos y
afinamos las
estrategias de
mitigacin.
As es. Djame
contarte acerca de la
fase PLANIFICAR.

Mike y la fase PLANIFICAR

Gracias. Ahora tengo
una idea global. Me
puedes explicar la
fase PLANIFICAR en
detalle?
Suena interesante.
Eso no lo saba.
Claro. La fase
PLANIFICAR consiste:
1. Identificar el alcance
de la implementacin
del SGSI.
2. Definir el Enfoque de
Tratamiento de
Riesgos.
3. Ejecutar el Anlisis
de Riesgos.
4. Crear el Plan de
Tratamiento de
Riesgos y obtener la
aprobacin de la
Gerencia.
5. Crear el Enunciado
de Aplicabilidad.
As es. Y lo importante,
con el Anlisis de
Brechas que haz hecho
ya haz iniciado el
proceso.

Agenda

Alcance del SGSI.
Poltica del SGSI.

Modelo PHVA
1.
2.
3.
4.
5.
SGSI
6.
7.
8.
Definir el Alcance del SGSI.

Definir la Poltica del SGSI.
Definir el Enfoque de Evaluacin
de Riesgos de la organizacin.
Identificar los riesgos.
Analizar las opciones para tratar
los riesgos.
Seleccionar los controles y los
objetivos de control para el
tratamiento de los riesgos.
Obtener de la Alta Gerencia la
aprobacin y la autorizacin para
el tratamiento de riesgos y
riesgos residuales.
Preparar la Declaracin de
Aplicabilidad.

Primera GRAN decisin en la implementacin de un SGSI
El alcance determina exactamente lo que se va a proteger.

El enunciado del alcance es un documento pblico, es decir, es
visible a tus clientes, tus socios, tus empleados, el Gobierno y otras
partes interesadas.
Asegrate de definir el alcance con cuidado.

Qu comunica el Alcance?
Cules son las funciones del

negocio que son importantes
para tu organizacin.
Cules son los sistemas de
informacin e informacin que
van a ser protegidas para
ejecutar estas funciones del
negocio.
Las ubicaciones geogrficas
donde se aplica el alcance.
Las exclusiones (cules son los
sistemas de informacin que no
sern protegidos).

10
El Alcance es MUY importante
El alcance ser
impreso en el
certificado ISO 27001
de tu organizacin.

11
Caractersticas de un buen alcance (1)
Considera la naturaleza del

negocio de la organizacin.
Protege los procesos ms
estratgicos del negocio.
Por ejemplo:
Una agencia de publicidad podra

escoger proteger sus diseos
creativos y los datos de los clientes.
Un BPO podra escoger proteger la
TI y los Sistemas de Informacin
asociados.

12
Las ubicaciones especficas que

estn cubiertas por el alcance.
Por ejemplo, si la organizacin
tiene 10 sucursales y una oficina
principal, el alcance debera
mencionar claramente si:
Slo la oficina principal ser cubierta.

La oficina principal y todas las
sucursales sern cubiertas.
La oficina principal y algunas sucursales
sern cubiertas.
Slo algunas sucursales sern
cubiertas.
Etc

13
Los procesos del negocio y los

sistemas de informacin asociados
que no estarn cubiertos.
El motivo por el que estn
excluidos.
Nota. No es obligatorio mencionar
las exclusiones en el enunciado del
alcance pero debe estar
documentado en algn lugar para
mostrarlas a los auditores o partes
interesadas.

14
Cmo decidir qu incluir o excluir?
Puedes incluir una funcin del negocio si es

muy importante.
Puedes excluir una funcin del negocio si no es

importante o si tienes una razn vlida (falta de
recursos, tiempo, recin inaugurada, etc.)

15
Ejemplo Enunciado del Alcance 1

Nombre de la organizacin ACME Inc., New Delhi, India
Tipo de negocio Fabricacin y venta de televisores
El Enunciado del Alcance

El Sistema de Gestin de la Seguridad de la Informacin se
despliega para proteger la informacin del negocio utilizada
para la fabricacin y venta de televisores. Esta informacin
es utilizada por las divisiones de Finanzas, Recursos
Humanos, Investigacin y Desarrollo, Ventas y Marketing de
ACME Inc., #1, North Block, Race Course Drive, New Delhi,
India.

16

Nombre de la organizacin ProSolutions, Ho Chi Minh City,
Vietnam
Tipo de negocio Empresa de Servicios TI

Para la proteccin de la informacin y los sistemas de
informacin utilizados para el procesamiento de datos,
almacenamiento de datos, administracin de redes y
sistemas para la entrega de los servicios de TI de
ProSolutions, Ho Chi Minh City, Vietnam.

17

Nombre de la organizacin Creative Media, Boston, USA
Tipo de negocio Empresa de Consultora en Publicidad

Creative Media ha desplegado el Sistema de Gestin de la
Seguridad de la Informacin para proteger la informacin
licenciada y con derechos de autor utilizada por el
departamento de Diseo & Productos para la creacin de
publicidad para nuestros clientes. El Sistema de Gestin de
la Seguridad de la Informacin est en Creative Media, New
Drive, Boston, USA.

18

Nombre de la organizacin City Hospital, London, UK
Tipo de negocio Hospital Mdico

City Hospital, London, UK ha desplegado el Sistema de
Gestin de la Seguridad de la Informacin para proteger los
registros de salud de los paciones de la divulgacin y
modificacin no autorizada.

19
Alcance pictrico
Exclusiones (Qu NO es
parte del alcance?)
Inclusiones (Qu es parte

del alcance?)
Nombre de la
organizacin

20
Ventajas de un Alcance pictrico
Ayuda a visualizar el alcance antes de colocarlo en palabras.

Explica claramente las Exclusiones y las Inclusiones.
Fcil de explicar a la Alta Gerencia, Clientes y Auditores.

21
Caso de Estudio 1: Escribiendo el alcance de un SGSI

para una organizacin de Servicios de TI (1)
Paso 1 Identificar las principales funciones del negocio y decir qu

excluir y qu incluir.
Funcin del
Negocio
Propsito
Excluir o
Incluir
Motivo
Servicios del
Centro de Datos
Proporcionar almacenamiento y
transferencia de datos.
Incluir
Servicio principal
Recursos
Humanos
Contratar y gestionar al personal necesario

para operar los servicios.
Incluir
Servicio esencial
Finanzas y
Contabilidad
Facturar a los clientes, gestionar el flujo de

fondos, pagar facturas y salarios, etc.
Incluir
Servicio esencial
Administracin
Mantener y dar mantenimiento a las

instalaciones.
Incluir
Servicio esencial
Marketing
Proporcionar informacin acerca de los

servicios.
Excluir
Actualmente
tercerizado, ser
incluido el siguiente
ao
Ventas
Vender servicios principales.
Incluir
Servicio esencial

22

Paso 2 Dibujar el alcance pictrico basndose en los datos

recolectados en el Paso 1.
Exclusiones
Marketing
Inclusiones
Servicios del
Centro de Datos
Ventas
ProSolutions
Servicios TI
Administracin
Recursos
Humanos
Finanzas y
Contabilidad

23

Paso 3 Escribir el Alcance.
ProSolutions Servicios TI ha diseado e implementado el

Sistema de Gestin de la Seguridad de la Informacin para
proteger la informacin utilizada para proporcionar servicios
de TI esenciales. El SGSI se aplica a la oficina principal de
ProSolutions Servicios TI en #1, South Drive, New Jersey,
USA.

24

Paso 4 Explicar claramente las exclusiones.
La funcin del negocio de Marketing ha sido tercerizada a

M-outsourcing Inc.. ProSolutions Servicios TI actualmente
est en el proceso de explicar y entrenar a M-outsourcing
Inc. en las polticas de seguridad de la informacin a seguir
por ProSolutions. Una vez que este se complete, Moutsourcing Inc. tendr un perodo de 6 meses para
cumplir con las polticas de seguridad de la informacin de
ProSolutions. Luego de esto, la funcin del negocio de
Marketing ser adicionada al Alcance del SGSI.

25
Importante
Cuando excluyes algo del

alcance, no te olvidas de esto
sino que haces todo lo posible
para protegerlo lo mejor posible.
No es necesario que las
Exclusiones tengan que ser
publicadas.
Pero deberan estar
documentadas y explicadas in
caso de consultas de los
gerentes, clientes, auditores y/u
otras partes interesadas.

26

para una organizacin e-Learning (1)
Paso 1 Identificar las principales funciones del negocio y decir qu

excluir y qu incluir.
Funcin del
Negocio
Propsito
Excluir o
Incluir
Motivo
Desarrollo de
Contenidos
Generar contenido e-Learning.
Incluir
Servicio principal
Control de
Calidad
Revisar que el contenido sea exacto,

utilizable, etc.
Incluir
Servicio esencial
Finanzas y
Contabilidad
Gestionar el sistema en-lnea de facturacin

y pagos.
Incluir
Servicio esencial
Alojamiento de
Servidores de
Contenido ELearning
Dar mantenimiento a los servidores eLearning.
Excluir
Alojado por un
proveedor externo
Marketing
Crear folletos, brochures y videos acerca del Incluir

contenido.
Servicio esencial

27

Paso 1 Dibujar el alcance pictrico basndose en los datos

recolectados en el Paso 1.
Exclusiones
Alojamiento de Servidores de
Contenido E-Learning
Inclusiones
Desarrollo de
Contenidos
Marketing
Genesis eLearning Inc.
Control de
Calidad
Finanzas y
Contabilidad

28

Paso 3 Escribir el Alcance.
Para proteger la informacin y los activos de informacin

que se utilizan para crear, entregar y gestionar los servicios
e-Learning de Genesis e-Learning Inc., North-West Drive,
Michigan, USA.

29

Paso 4 Explicar claramente las exclusiones.
La funcin del negocio Alojamiento de Contenido ha sido

tercerizada a Excellent Hosting Services. Genesis eLearning Inc. tiene control limitado sobre la infraestructura
de seguridad de la informacin de Excellent Hosting
Services. A pesar de esto, Genesis ha tomado las
siguientes medidas en los servidores que alojan el
contenido e-Learning. Estas medidas son: endurecer el
servidor, alojar un firewall interno en el servidor, conducir
pruebas de penetracin mensual, parchar y actualizar
regularmente. Adems de esto, Genesis ha firmado un
AND (Acuerdo de No Divulgacin) con Excellent Hosting
Services.

30
Agenda

Alcance del SGSI.
Poltica del SGSI.

31
Modelo PHVA
1.
2.
3.
4.
5.
SGSI
6.
7.
8.

los riesgos.
riesgos residuales.
Aplicabilidad.

32
Definiciones
Poltica. Plan de accin que gua las decisiones y que logra los
objetivos.
Poltica de Seguridad de la Informacin. Documento que establece
por escrito por qu y cmo una organizacin planea proteger su
informacin y sus activos de informacin
Procedimiento. Instrucciones paso a paso de cmo implementar la
poltica.
Gua. Versiones amigables de un procedimiento que hace fcil para
una persona normal entender e implementar los procedimientos.
Nota. Algunas veces, las personas utilizan los trminos
Procedimiento y Gua de manera intercambiable.

33
Colocando todo junto
Poltica.
Procedimiento.
Te dice que hacer.

Ejemplo: Los sistemas del negocio contienen informacin sensible. Todos los
sistemas sensibles tendrn controles de acceso adecuados.
Te dice cmo hacerlo.
Ejemplo: El control de acceso por defecto deber ser contrasea con un mnimo de
8 caracteres alfa numricos.
Gua.
Proporciona instrucciones amigables para ejecutar el procedimiento.

Ejemplo: Consejos y trucos para escoger una contrasea fuerte utilizando 8
caracteres alfa numricos.

34
Importancia de la Poltica del SGSI
La poltica del SGSI es la ventana a travs de la cual el mundo ve tu

SGSI.
La poltica del SGSI demuestra la visin y el compromiso de la
organizacin hacia la proteccin de la informacin y los activos de
informacin.
La poltica del SGSI establece el ritmo a seguir por el resto de la
organizacin para proteger la informacin y los activos de informacin
del negocio.

35
Estructura Jerrquica
Poltica Principal de
Seguridad de la
Informacin (Manual
del SGSI)
Enunciado de
la Poltica
Polticas especficas al
usuario final
Guas y
procedimientos
Polticas especficas a
la funcin del negocio
Guas y
procedimientos
Polticas tcnicas
Guas y
procedimientos

36
Poltica Principal o Manual del SGSI

1.
2.
3.
4.
5.
6.
7.
8.
Introduccin. Explica por qu la organizacin implementa un SGSI y

el compromiso hacia el SGSI.
Razn para la adopcin de la ISO 27001 como estndar del SGSI.
El Enunciado del Alcance.
El Equipo de Gestin de la Seguridad de la Informacin (o el FGSI).
El modelo de implementacin del SGSI (el enfoque PHVA).
La lista de poltica y procedimientos especficos para apoyar el
SGSI.
Frecuencia de la revisin de la poltica.
Resumen.

37
Enunciado de la Poltica
Un enunciado de la Poltica es una versin breve y resumida de la

poltica de Seguridad de la Informacin.
El enunciado de la Poltica se utiliza usualmente para publicarla en el
sitio web de la organizacin, mostrarla en ubicaciones estratgicas
como el saln de recepcin de visitantes o la publicidad de la
empresa.
El enunciado de la Poltica es firmada usualmente por el Gerente
General de la organizacin.
El enunciado de la Poltica es una buena herramienta de marketing
as como de construccin de confianza.

38
Polticas Especficas
Las polticas especficas son un sub-conjunto de la Poltica Principal.

Existen para apoyar la Poltica Principal.
Por ejemplo:
La Poltica Principal especifica que todos los sistemas sensibles tendrn habilitados
los controles de accesos.
Para apoyar esto, nosotros creamos una Poltica de Control de Accesos.
La Poltica de Control de Accesos cubrir Gestin de Contraseas, Gestin de
Tarjetas de Acceso, Bio-Mtricas, Controles de Acceso Fsico como cerraduras y
llaves, etc.

39
Ejemplo Estructura de una Poltica de Control de Acceso

1.
2.
Seccin 1. Objetivo de la poltica Para asegurar que todos los

sistemas sensibles se protejan de accesos no autorizados.
Seccin 2. Polticas Especficas.
1.
2.
3.
Poltica de Contraseas Explica el propsito de utilizar y proteger las

contraseas para el acceso a los sistemas de computacin.
Poltica de Tarjetas de Acceso Explica el propsito de utilizar y proteger las
tarjetas de acceso electrnicas para ingresar a las instalaciones.
Controles de Acceso Fsico Explica el propsito de utilizar y proteger las
cerraduras y llaves utilizadas para cerrar las cabinas y cuartos.

40
Procedimientos y Guas
Explica al usuario de una manera amigable cmo lograr los objetivos

establecidos por una determinada poltica.
Ejemplo:
Procedimientos y guas para escoger contraseas fuertes.

Procedimientos y guas para proteger las tarjetas de acceso electrnico de un mal
uso.
Procedimientos y guas para proteger las dispositivos de computacin mviles.

41
Taller 04: Alcance del SGSI

42
Agenda

Alcance del SGSI.
Poltica del SGSI.

43
Nota!!!
Utilizaremos los trminos

Evaluacin de Riesgos y Anlisis
de Riesgos de manera
intercambiable. Ambos significan lo
mismo en el contexto de este curso.

44
Modelo PHVA
1.
2.
3.
4.
5.
SGSI
6.
7.
8.

Definir el Enfoque de
Evaluacin de Riesgos de la
organizacin.
los riesgos.
riesgos residuales.
Aplicabilidad.

45
Definiciones
Activo (de Informacin). Informacin de valor que es poseda y/o

utilizada por una organizacin (Nota. Utilizaremos el trmino Activo
en el resto de este curso).
Vulnerabilidad. Una debilidad en el activo que puede ser explotada.
Amenaza. Un agente o evento que puede explotar la vulnerabilidad.
Impacto. La consecuencia (dao) si la amenaza explota la
vulnerabilidad.
Probabilidad de ocurrencia. La posible cantidad de veces que la
amenaza puede explotar la vulnerabilidad en un perodo de tiempo.
Riesgo. El impacto final expresado en trminos matemticos que
combina:
El valor del activo.

La probabilidad de ocurrencia (amenaza explotando la vulnerabilidad).
El impacto de la amenaza explotando la vulnerabilidad.

46
Las definiciones en trminos prcticos

Amenaza: Un ladrn
en el vecindario
Vulnerabilidad: La
cerradura de la puerta no
funciona apropiadamente
y no hay una alarma
Activo: Automvil
Impacto: Prdida financiera, tensin mental,

prdida de tiempo
Probabilidad de ocurrencia: Una vez en 5 aos
Riesgo: Valor del Activo * Impacto * Probabilidad de Ocurrencia

47
Otro ejemplo
Amenaza: Malware
como gusanos,
virus, troyanos
Vulnerabilidad: El antivirus no se actualiza

constantemente
Activo: Computadora que

almacena informacin del
negocio
Impacto: Prdida de datos, prdida financiera,

tensin mental, prdida de tiempo
Probabilidad de ocurrencia: Una vez en 2 aos
Riesgo: Valor del Activo * Impacto * Probabilidad de Ocurrencia

48
Definicin de la Evaluacin de Riesgos
El proceso de identificacin de
riesgos utilizando un
enfoque predefinido.
En este caso, utilizaremos un
enfoque predefinido para
identificar los riesgos a la
seguridad de la informacin.

49
El Enfoque de Evaluacin de Riesgos

Evaluar los riesgos de los activos de informacin en
cada departamento dentro del alcance.
Enfoque: Evaluacin
de riesgos basada
en los activos
Ventaja: Lograr un
entendimiento
especfico de los
riesgos que afectan
los activos
individuales.
Funciones del Negocio: Ventas, RRHH,

Soporte, Control de Calidad, etc.
Personas
Activos de
Informacin

50
Cmo hacer la Evaluacin de Riesgos basada en los

Activos?
1.
2.
3.
4.
5.
6.
7.
Identificar las funciones del negocio dentro del alcance.

Listar e identificar el valor de los activos en cada funcin del negocio.
Identificar las amenazas que pueden afectar al activo.
Identificar las vulnerabilidades que puede ser explotadas por las
amenazas.
Identificar el impacto.
Identificar la probabilidad de ocurrencia.
Calcular el riesgo.

51
El enlace entre del Anlisis de Brechas, el Anlisis de

Riesgos y el Tratamiento de Riesgos
Informe del Anlisis

de Brechas
Informe del Anlisis

de Riesgos
Plan de Tratamiento de
Riesgos

52
Ventaja del Anlisis de Brechas
Obtener un entendimiento
global de los riesgos a la
seguridad de la informacin
que impactan a la
organizacin como un todo.
Ejemplo: Terremoto, falla
elctrica, ataque informtico.
Organizacin

53
El Anlisis de Brechas y el Anlisis de Riesgos
Funciones del Negocio: Ventas, RRHH,

Soporte, Control de Calidad, etc.
Organizacin
Personas
Activos de
Informacin
La combinacin Anlisis de Brechas + Anlisis de Riesgos nos da

un saludable anlisis de riesgos.
54
Agenda

Alcance del SGSI.
Poltica del SGSI.

55
Modelo PHVA
1.
2.
3.
4.
5.
SGSI
6.
7.
8.

los riesgos.
riesgos residuales.
Aplicabilidad.

56
La herramienta: Una hoja de clculo para el Anlisis de

Riesgos
Componentes
Riesgo
Amenaza
Activo
Valor del
Activo
Probabilidad
Vulnerabilidad
Impacto

57
1. Identificar las funciones del negocio dentro del alcance

El Sistema de Gestin de la
Seguridad de la Informacin se
despliega para proteger la
informacin del negocio
utilizada para proporcionar los
servicios de alojamiento web
de We Host Inc., Drive #1,
North Heights, Illinois, USA
Funciones del Negocio

dentro del alcance
TI
RRHH
Administracin

58
Creamos una hoja de clculo para estas funciones del

negocio

59
2. Listar e identificar el valor de los activos en cada

funcin del negocio
Un Activo en el contexto de la ISO 27001 puede ser definido como:
Algo que almacena informacin (disco duro / cinta de la copia de seguridad).

Algo que procesa informacin (computadora).
Algo que transmite informacin (ancho de banda).
Algo que muestra informacin (monitor / impresora).
Por facilidad, se puede utilizar la siguiente clasificacin:
Hardware: servidores, laptops, computadoras, switches, routers.

Software / Aplicacin: sistemas operativos, cliente e-mail, anti-virus, firewall.
Papel: Memos, notas, manuales de instalacin, acuerdos legales.
Electrnico: Fax, telfono, etc.
Servicio: Ancho de banda, servicio de actualizacin de anti-virus, servicio de
alojamiento web.
Personas: Gerente General, Jefe de TI, Gerencia de RRHH, etc.
Activos Fsicos: cabina de almacenamiento de informacin, gabetas, etc.

60
As listamos los activos

61
Identificar el propietario del activo
El propietario es usualmente:
Tambin puedes utilizar el trmino Guardin pero no es obligatorio.

Propietario vs. Guardin:
La persona directamente responsable del activo.

La persona quien usa el activo casi todo el tiempo.
El propietario es el nico responsable de un activo. Por ejemplo: el Jefe de TI.

El propietario asigna el activo a un guardin para su uso. Por ejemplo: el Jefe de TI
asigna una computadora a un ejecutivo del negocio.
Nota: Cuando se trata de activos humanos o empleados, el

propietario es usualmente la persona a quien reportan.

62
As listamos a los propietarios

63
Determinar el valor del activo
Un Activo es valorado utilizando 3 criterios:
Confidencialidad (Confidentiality).
Integridad (Integrity).
Disponibilidad (Availability).
Confidencialidad. Asegura que la informacin es accedida slo por

aquellos quienes tienen acceso autorizado.
Integridad. Asegura que la informacin es modificada slo por
Disponibilidad. Asegura que la informacin es accedida y utilizada por
La proteccin de la informacin esencialmente significa la proteccin
de la Confidencialidad, Integridad y Disponibilidad de la Informacin.
A este se le llama la Trada CIA.
Calculamos el valor del activo (de informacin) utilizando los
principios de Confidencialidad, Integridad y Disponibilidad.
64
Midiendo la Confidencialidad
Primero, medir la Confidencialidad del activo (de informacin).

Calificamos la Confidencialidad en una escala de 0 a 3.
0 No es vlido o no confidencial.
1 Baja confidencialidad, el activo (de informacin) es accedido por muchas
personas.
2 Mediana confidencialidad, el activo (de informacin) es accedido por un grupo
selecto de personas.
3 Alta confidencialidad, el activo (de informacin) es accedido slo por el
propietario o un conjunto limitado de personas.
Consejos. Pregntate lo siguiente:
Cuntas personas deben tener acceso a este activo?

A cuntas personas este activo debe relevar informacin?
Cun secreta es la informacin almacenada y procesada por este activo?

65
Ejemplo: Midiendo la Confidencialidad

Activo
Pregunta
Respuesta
Calificacin
Todos los empleados pero

nadie ms. Almacena
informacin sensible del
negocio.
3 Alta
Sitio web de Cun secreta es la

la empresa informacin almacenada y
procesada por este activo?
La informacin es accedida
por todos los visores.
1 Baja
Gerente de
RRHH
Almacena y procesa los

registros de los empleados y
la informacin salarial que
tiene algunas
preocupaciones de
privacidad.
2 - Media
Servidor
Email
Cuntas personas debe

tener acceso al servidor?
A cuntas personas este

activo debe relevar
informacin?
(o)
Cun secreta es la
informacin almacenada y
procesada por este activo?

66
El valor de la Confidencialidad se captura en la hoja

67
Midiendo la Integridad
Segundo, medir la Integridad del activo (de informacin).

Calificamos la Integridad en una escala de 0 a 3.
0 No es vlido o la informacin es modificada por todos.

1 Baja integridad, la informacin es modificada por muchas personas.
2 Mediana integridad, la informacin es modificada por un grupo selecto de
personas.
3 Alta integridad, la informacin es modificada slo por el propietario o un
conjunto limitado de personas.
Cuntas personas pueden modificar este activo?

Cun modificable es la informacin utilizada por este activo?
Cul es el nivel de honestidad y diligencia esperado por este activo mientras se
modifica la informacin?

68
Ejemplo: Midiendo la Integridad

Activo
Servidor
Email
Pregunta
Cuntas personas pueden
modificar el activo?
Respuesta
Calificacin
Nadie. Una vez que se enva 3 Alta

un e-mail, este no debera
ser modificado.
Sitio web de Cun modificable es la

Modificable solo por el
la empresa informacin utilizada por este administrador y nadie ms.
activo?
El administrador puede
hacer modificaciones solo
despus de la aprobacin.
3 Alta
Gerente de
RRHH
3 - Alta
Cul es el nivel de
honestidad y diligencia
esperado por este activo
mientras se modifica la
informacin?
Muy alto ya que el Gerente

de RRHH maneja la
informacin personal y
salarial de los empleados.

69
El valor de la Integridad se captura en la hoja

70
Midiendo la Disponibilidad
Tercero, medir la Disponibilidad del activo (de informacin).

Calificamos la Disponibilidad en una escala de 0 a 3.
0 No existen requerimientos para una disponibilidad continua.

1 Baja disponibilidad, largos perodos de indisponibilidad son tolerables.
2 Mediana disponibilidad, cortos perodos de indisponibilidad son tolerables, el
activo debe estar disponible la mayor parte del tiempo.
3 Alta disponibilidad, la informacin debe estar disponible el mayor grado posible
(cerca a 99.99%).
Cul es el %de tiempo que el activo debe estar disponible?

Cun tolerable es el tiempo de inactividad para este activo?
Es necesario un activo alterno si este activo no est disponible?

71
Ejemplo: Midiendo la Disponibilidad

Activo
Servidor
Email
Pregunta
Respuesta
Calificacin
Cul es el %de tiempo que el La mayor parte del tiempo ya 3 Alta

activo debe estar disponible? que mucha de la
comunicacin del negocio se
realiza a travs del email.
Sitio web de Cun tolerable es el tiempo

la empresa de inactividad para este
activo?
Ligeramente tolerable ya que 2 Media

el sitio web de la empresa es
para un propsito
informativo. Pero un tiempo
de inactividad afecta la
imagen de la empresa.
Gerente de
RRHH
S ya que el Gerente de
RRHH es clave para el
reclutamiento y la gestin de
procesos de empleados.
Es necesario un activo
alterno si este activo no est
disponible?
3 - Alta

72
El valor de la Disponibilidad se captura en la hoja

73
Finalmente, calculamos el Valor Neto del activo
Valor neto del activo C + I + A

74
3. Identificar las amenazas que pueden afectar al activo
Amenaza: Un agente o un evento que puede explotar una

vulnerabilidad.
Consejo: Mantener una lista simple y clara de amenazas:
Destruccin.
Corrupcin.
Bajo rendimiento.
Antigedad.
Indisponibilidad.
Por qu una lista de amenazas tan simple?
Para tener una hoja de Evaluacin de Riesgos ORDENADA y SIMPLE.

Para permitir CLARIDAD de pensamiento.
Para evaluar ms efectivamente las vulnerabilidades.

75
Cmo aplicamos las categoras de amenazas a un activo?
1ra pregunta inteligente que debes hacer: Existe una amenaza

de?
2da pregunta inteligente que debes hacer: Cul podra ser la razn
de?
Destruccin, corrupcin, bajo rendimiento, antigedad, indisponibilidad?
Destruccin? (Accidente Fsico).

Corrupcin? (Cada del disco duro).
Bajo rendimiento? (Mal funcionamiento).
Antigedad? (Pobre mantenimiento).
Indisponibilidad? (Robo).
En lugar de llegar la hoja de clculo con mucha informacin, la

mantienes simple.

76
Ejemplo: Amenazas simples

Descripcin de la amenaza
Categora
Brote de influenza, los empleados estn indispuestos.
Indisponibilidad
Cada del disco duro en el servidor, algunos datos se han

perdido, el servidor no est disponible por un tiempo.
Indisponibilidad
Eliminacin accidental de datos por un empleado.
Destruccin
Los documentos de gestin de la configuracin no estn

actualizados.
Antigedad
Pobre ancho de banda.
Bajo rendimiento

77
Esta es una lista simple de amenazas

78
4. Identificar las vulnerabilidades que pueden ser

explotadas por las amenazas
Amenaza: Una debilidad en un activo que puede ser explotada por

una amenaza.
Cmo identificar vulnerabilidades?
Paso 1: Tomar la lista de Activos y Amenazas.

Paso 2: Pregntate cules son las vulnerabilidades que pueden ser explotadas por
las amenazas?
Consejo: Por facilidad, puedes dividir las vulnerabilidades en 4

categoras.
Tcnicas.
Procedimentales.
Humanas.
Fsicas.

79
Ejemplo de los 4 tipos de vulnerabilidad
Activo:
Amenazas:
Servidor de correo.
Indisponibilidad.
Corrupcin.
Bajo rendimiento.
Vulnerabilidad:
Falla en el disco duro (tcnica).

Eliminacin accidental por el administrador (humana).
Mantenimiento inapropiado (procedimental).
Ausencia de un extinguidor de fuego (fsica).

80
Capturamos la Vulnerabilidad en la hoja

81
Pero, cmo hacemos que las personas entiendan?

82
5. Identificar el impacto
Impacto: Es la severidad del dao causado cuando la amenaza

explota la vulnerabilidad.
Escala de medicin del impacto:
0 Insignificante, no hay impacto.

1 Menor, apagado temporal del activo, pequeo esfuerzo adicional requerido
para restaurar el activo.
2 Mayor, apagado extendido del activo, considerable esfuerzo y recursos (tiempo,
dinero, personas) requeridos para restaurar el activo.
3 Severo, apagado casi total del activo, significativo esfuerzo y recursos (tiempo,
dinero, personas) requeridos para restaurar el activo.
Determina el impacto utilizando tu juicio!
Paso 1 Considerar el valor del activo.

Paso 2 Considerar la severidad de la amenaza y vulnerabilidad.
Paso 3 Utilizar tu juicio para calificar el impacto.

83
Capturamos el Impacto en la hoja

84
6. Identificar la probabilidad de ocurrencia
Probabilidad de Ocurrencia. La cantidad de veces que un evento

puede ocurrir en un intervalo de tiempo.
En este caso, el evento es la amenaza explotando la
vulnerabilidad.
Escala de medicin de la probabilidad:
0 Improbable de ocurrir.
1 Ocurre una vez cada 2-3 aos.
2 Ocurre una vez cada ao.
3 Ocurre ms de una vez cada ao.
Nota: La escala de probabilidad puede ser personalizada por

requerimientos especficos de la organizacin.
Determina la probabilidad de ocurrencia.
Cun frecuentemente la amenaza explotar la vulnerabilidad?

Ejemplo: cun frecuentemente puede caerse el disco duro del servidor de correos
debido a un pobre mantenimiento?

85
Capturamos la Probabilidad en la hoja

86
7. Calcular el riesgo
Riesgo: El impacto final, expresado en trminos matemticos que

combina:
El valor del activo.

La probabilidad de ocurrencia (amenaza explotando la vulnerabilidad).
El impacto de la amenaza explotando la vulnerabilidad.
Existen numerosas definiciones de riesgo. Para nuestro propsito, la

definicin actual ser suficiente porque:
1.
2.
3.
4.
Estamos considerando el valor del activo.

Estamos considerando las amenazas y vulnerabilidades y el subsecuente impacto.
Estamos considerando la probabilidad de ocurrencia.
La frmula del anlisis de riesgo final utiliza los datos de los puntos 1, 2 y 3.

87
Calculamos el Riesgo
Riesgo = Valor del activo * Impacto * Probabilidad de ocurrencia

88
Puedes crear tu propia frmula
Pero debes asegurarte que satisface requerimientos lgicos bsicos.

Enfrentemos nuestra frmula actual versus los requerimientos
bsicos:
Riesgo = Valor del activo * Probabilidad * Impacto
Requerimiento lgico
La frmula satisface
el requerimiento?
Si el valor del activo se incrementa, el riesgo debe incrementarse.
Si la probabilidad se incrementa, el riesgo debe incrementarse.
Si el impacto se incrementa, el riesgo debe incrementarse.
Revisa tu frmula con los criterios mencionados antes de usarla.

89
Taller 05: Anlisis de Riesgos

90
Agenda

Alcance del SGSI.
Poltica del SGSI.

91
La herramienta
Puede ser utilizada para realizar el anlisis de riesgo de nivel macro o

una evaluacin inicial de brechas.
Proporciona una visin global de donde nos encontramos en trminos
de la implementacin y la gestin del SGSI.
Hay 4 hojas de clculos en esta herramienta y las hojas 2, 3 y 4 son
automticas, es decir, existe un clculo sencillo utilizado desde la
hoja 1 para generar valores en las siguientes hojas.
Las hojas 2 y 3 muestran el nivel de conformidad basado en los
objetivos de control y cada dominio respectivamente de acuerdo a lo
mencionado en el estndar ISO27001.

92
Hoja de clculo 1 Lista de verificacin de conformidad (1)

93
Hoja de clculo 1 Lista de verificacin de conformidad (2)
Esta hoja lista los 133 controles en el estndar ISO27001.

Sirva para averiguar el nivel de conformidad para cada control.
Si no deseas implementar un control lo puedes ignorar.
Esta es la nica hoja en la que necesitas trabajar. El resto se
completar automticamente.

94
Hoja de clculo 2 Conformidad por objetivo de control (1)

95
Hoja de clculo 2 Conformidad por objetivo de control (2)
Cada control se agrupa bajo un objetivo de control

Por ejemplo:
Bajo el dominio Human Resources Security existen 3 objetivos de control.

Bajo el objetivo de control Prior to Employment existen 3 controles.
Aqu podemos obtener el porcentaje de la implementacin del SGSI

basado en los objetivos de control.

96
Hoja de clculo 3 Conformidad por dominio (1)

97
Hoja de clculo 3 Conformidad por dominio (2)
Existen 11 dominios en el estndar ISO27001 y esta hoja mostrara la

conformidad por dominio.
Ayuda a entender las reas dbiles y a mejorar o acelerar la
implementacin del SGSI en dichas reas.

98
Hoja de clculo 4 Representacin grfica (1)

99
Hoja de clculo 4 Representacin grfica (2)
Muestra una ilustracin grfica de la conformidad por dominio.

Este hoja junto con la hoja 3 (Conformidad por dominio) son las que
la alta gerencia quisiera ver y entender.
Estas dos juntos pueden ser utilizadas en el anlisis de riesgos de
nivel macro o el informe de anlisis de brechas que enviaras a los
interesados relacionados.

100
Cmo usar la hoja 1? (1)
La evaluacin de cada uno de los controles se basa en 4 parmetros.

Para algunos controles podran no ser requeridos todos ellos.
1.
2.
3.
4.
Polticas y procedimientos. Si el control tiene una poltica documentada o un

procedimiento para manejarlo (en algunos casos ambos). Se ha definido esta
poltica o procedimiento apropiadamente y s es lo suficientemente detallada y
bien documentado.
Implementacin. Segn la poltica o procedimiento documentado. Debes evaluar
este control revisando que tan bien el control trabajo, recolectando algunas
pruebas de muestra o informes de prueba o cualquier otro medio apropiado.
Monitoreo. Una vez que el control ha sido implementado, necesitamos revisar si
existe algn mecanismo de monitoreo para revisar y asegurar que el control est
trabajando apropiadamente y logra los resultados deseados.
Auditora. Lo que significa que el control debera tener algunas evidencias
generados que puedan mostrar a los auditores que el control ha sido
implementado, es monitoreado peridicamente y est saludable.

101
Cmo usar la hoja 1? (2)
Tomando como referencia estos 4 puntos de evaluacin, podemos

distribuir un mximo de 25% de conformidad para cada parmetro y si
todos ellos se cumplen entonces ese control ser 100% conforme.
Adems de los parmetros antes mencionados, proporcionamos
algunas preguntas que podras hacerte o utilizarlas en tu evaluacin
para llegar a un valor de la implementacin.

102
Veamos un ejemplo (1)
Tomemos el primer dominio y el primer control como ejemplo.
Veamos lo que el control nos exige hacer segn la ISO27001:
Un documento de poltica de seguridad de la informacin deber ser aprobado por

la gerencia y publicado y comunicado a todos los empleados y las partes externas
interesadas.
Si ves las preguntas, establecen claramente el estado de este control.

1.
2.
Dominio: Poltica de Seguridad.

Objetivo de control: Poltica de seguridad de la informacin.
Control: Documentos de poltica de seguridad de la informacin.
Existe una poltica de seguridad de la informacin, la cual es aprobada por la

gerencia, publicada y comunicada a todos los empleados.
La poltica establece el compromiso de la gerencia y el enfoque organizacional para
gestionar la seguridad de la informacin.
La pregunta 1 cubre la adecuacin definida de la poltica y la

implementacin de dicha poltica. Si tu respuesta es S proporciona
50% de conformidad.
103
Consideremos los parmetros que hemos discutido antes y

determinemos el nivel de conformidad. Necesitamos encontrar si lo
mismo es monitoreado y auditable.
Para esto podemos hacer lo siguiente:
1.
2.
Revisar cmo el documento Poltica de Seguridad de la Informacin ha sido

circulado a la organizacin, si hay un mecanismo para revisar si todos los
empleados han ledo y entendido la poltica. Esto cubrir la parte de monitoreo.
Si la evidencia, como la firma del usuario en el documento Poltica de Seguridad
de la Informacin o un test para medir el nivel de conciencia de la Poltica de
Seguridad de la Informacin de la organizacin, cubrir tu parmetro de auditora.
Ahora, viendo el escenario digamos que el control est implementado

y monitoreado pero no existe evidencia para que se lleven a cabo
auditoras. En este caso colocaramos un 75% de conformidad y
adicionamos una observacin indicando lo que es requiere para
lograr el 100% de conformidad.

104
Observa la segunda pregunta, es un escenario Si o No. Para esta

pregunta no tenemos que evaluar los 4 parmetros. Si tu respuesta
es Si se indica 100% de conformidad. Si es No se indica 0% de
conformidad.
Conforme te muevas a las otras hojas, se te mostrar una ilustracin
de la conformidad por objetivo de control y por dominio. Una vez que
hayas poblado todos los controles, tendrs una visin ms realista de
donde est tu organizacin en trminos de la implementacin de
controles de Seguridad de la Informacin con respecto a la
ISO27001y qu acciones se debe llevar a cabo para lograr la
conformidad a un nivel aceptable.

105
Agenda

Alcance del SGSI.
Poltica del SGSI.

106
La herramienta (1)
Ayuda a determinar el CIA y valores de riesgo as como la captura de

riesgos y pasos para mitigarlos.
Se usa una hoja diferente para departamentos o reas diferentes
considerados en el Anlisis de Riesgos.
Un Anlisis de Riesgos se puede llevar a cabo de diferentes formas,
puede estar basado en activos o en procesos.
El Anlisis de Riesgos basado en Activos se basa en suposiciones y
vara de caso en caso.

107
La herramienta (2)

108
Los activos se listan de acuerdo a su categorizacin.
Personas.
Hardware.
Servicios.
Papel.
Electrnicos.
El activo Personas.
El activo identificado es el Gerente de Informacin y el propietario sera la persona

a quien reporta y ese sera el Gerente General.
Los valores C-I-A se valoraron en 3-3-2. Esto debido a que el Gerente de
Informacin tendr la informacin de todas las actividades relacionadas a TI,
incluyendo las estrategias organizacionales, informacin relacionada a
presupuestos, la cual es crtica a la organizacin y es altamente confidencial. La
disponibilidad (A) del Gerente de Informacin ha sido valorado en 2 porque no
requerimos que est disponible todo el tiempo. El valor neto es de 8.
Como puedes ver, la disponibilidad del Jefe de TI est valorada en 3 y el valor del
activo en 9. Esto significa que las operaciones diarias son ms criticas para la
organizacin y por ese se le requiere ms.
109
Considerando la amenaza como Indisponibilidad y la vulnerabilidad como

Ausencia del trabajo (debido a enfermedad), el impacto de no disponibilidad del
Gerente de Informacin se valora en 3 y la probabilidad de ocurrencia es baja y se
valora en 1.
Habiendo determinado estos valores, el valor total del riesgo es de 24.
Basndose en el apetito de riesgos de tu organizacin, puedes aceptar, transferir
y/o mitigar los riesgos. En este caso, se ha decidido tratar el riesgo.
Se ha mencionado que el Gerente de Finanzas manejar temporalmente sus
responsabilidades. Esto significa que durante la ausencia del Gerente de
Informacin, el Gerente de Finanzas asumir y llevar a cabo las tareas
requeridas. Para ello, tambin hay que revisar lo que viene a continuacin.
1. Existen Polticas y Procedimientos relevantes para llevar a cabo el rol del
Gerente de Informacin.
2. Se han llevado a cabo entrenamientos Cruzados Internos entre los dos roles.
3. Las responsabilidades del Gerente de Informacin han sido definidas, las cuales
pueden ser referidas al Gerente de Finanzas.
4. Las responsabilidades del Gerente de Finanzas han sido definidas, las que
tambin establecen que el Gerente de Finanzas actuar como contingencia del
Gerente de Informacin en su ausencia.
110

Se ha llevado a cabo cualquier entrenamiento externo requerido para llevar a
cabo el rol del Gerente de Informacin.
El control ISO27001 relacionado ser A.8.1.1 Roles y Responsabilidades de la
Seguridad de la Informacin.
Necesitamos saber qu nivel del riesgo se mitiga por el reemplazo del Gerente de
Informacin con el Gerente de Finanzas. Debido a que el Gerente de Finanzas
tiene sus propias responsabilidades, el rol de Gerente de Informacin es un
adicional. Por lo tanto el grado de aseguramiento de que ese riesgo sea mitigado
ser solo de 50%, lo que nos dice que el riesgo no se elimina completamente y
existe una cantidad de riesgo, a lo cual se le denomina riesgo residual.
La decisin de la gerencia de bien aprobar o rechazar la implementacin del control
sugerido puede ser mencionada en la herramienta. En este caso es aprobar.
5.

111
Agenda

Alcance del SGSI.
Poltica del SGSI.

112
El Enunciado de Aplicabilidad
Es el primer documento de referencia para cualquier persona que

desee ver la implementacin del SGSI en tu organizacin.
Lista todos los controles bajo el estndar ISO27001 y resalta la
cantidad de controles que se han implementado en tu organizacin.
A pesar del nmero de controles implementados esto no significa que
tu organizacin es efectiva o que tan segura es, pero es el primer
nivel de proyeccin para una verificacin de la implementacin del
SGSI.
Tambin es un documento que se puede compartir con otras
personas que lo requieran.

113
La herramienta (1)

114
La herramienta (2)
La hoja de clculo tiene solo tres columnas:
Si alguno de esos controles no han sido implementados o

considerados para su implementacin en tu organizacin, se te
requerir que proporciones una justificacin adecuada para su no
consideracin.
El nmero del control ISO27001.

Si un control particular ha sido implementado (S o No).
La referencia para satisfacer el control.
Por ejemplo, en algunas organizaciones podra no existir el control de teletrabajo o

la instalacin de teletrabajo. Entonces el control 1.A.11.7.2 Teleworking no aplicar
porque la organizacin no utiliza teletrabajo para sus empleados.
O por ejemplo el control 2.A.12.5.5 Outsourced software development no se ha
implementado ya sea porque no se hacen actividades de desarrollo de software en
tu organizacin O las actividades de desarrollo de software no se han tercerizados.
Tambin se puede proporcionar referencias que satisfacen los

controles.
115
La herramienta (3)
No es obligatorio que todos los controles necesiten ser manejados

con una poltica individual. Un documento simple que diga Manual
del SGSI tambin puede considerar todas las polticas que
satisfagan los controles. En este caso se puede mencionar a dicho
manual como documento de referencia.
Tambin, para algunos controles se pueden mencionar directamente
las herramientas que se han utilizado junto con la referencia de la
poltica.
Por ejemplo:
Control 1.A.10.4.1 Control against malicious code. Junto con la referencia a la

poltica tambin podemos mencionar la referencia a tecnologa (McAfee antivirus
edicin empresarial).
Control 2.A.10.8.4 Electronic Messaging. Junto con la poltica de intercambio de
informacin tambin podemos mencionar Las transmisiones de e-mail se encriptan
utilizando PGP.
Control 3.A.11.4.2 User authentication for external connections. Tambin se puede
mencionar la tecnologa implementada diciendo Conectividad Checkpoint VPN.
116
Taller 06: Anlisis de Brechas

117
Fin de la Presentacin

118

La Fase Planificar

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

La Fase Planificar

Hochgeladen von

Copyright:

Verfügbare Formate

Fundamentos de la Norma ISO

27001 para la Gestin de la

2012 VRV (Contacto: vreynav@gmail.com)

Mike conoce la fase Planificar.

2012 VRV (Contacto: vreynav@gmail.com)

Mike est preparndose para una reunin

2012 VRV (Contacto: vreynav@gmail.com)

Recordando la ISO 27001 y el modelo PHVA(1)

2012 VRV (Contacto: vreynav@gmail.com)

Recordando la ISO 27001 y el modelo PHVA(2)

Ok. Suena lgico y

2012 VRV (Contacto: vreynav@gmail.com)

Mike y la fase PLANIFICAR

2012 VRV (Contacto: vreynav@gmail.com)

Mike conoce la fase Planificar.

2012 VRV (Contacto: vreynav@gmail.com)

Definir el Alcance del SGSI.

2012 VRV (Contacto: vreynav@gmail.com)

Primera GRAN decisin en la implementacin de un SGSI

El alcance determina exactamente lo que se va a proteger.

2012 VRV (Contacto: vreynav@gmail.com)

Cules son las funciones del

2012 VRV (Contacto: vreynav@gmail.com)

El Alcance es MUY importante

2012 VRV (Contacto: vreynav@gmail.com)

Caractersticas de un buen alcance (1)

Considera la naturaleza del

Una agencia de publicidad podra

2012 VRV (Contacto: vreynav@gmail.com)

Caractersticas de un buen alcance (2)

Las ubicaciones especficas que

Slo la oficina principal ser cubierta.

2012 VRV (Contacto: vreynav@gmail.com)

Caractersticas de un buen alcance (3)

Los procesos del negocio y los

2012 VRV (Contacto: vreynav@gmail.com)

Cmo decidir qu incluir o excluir?

Puedes incluir una funcin del negocio si es

Puedes excluir una funcin del negocio si no es

2012 VRV (Contacto: vreynav@gmail.com)

Ejemplo Enunciado del Alcance 1

El Enunciado del Alcance

2012 VRV (Contacto: vreynav@gmail.com)

Ejemplo Enunciado del Alcance 2

El Enunciado del Alcance

2012 VRV (Contacto: vreynav@gmail.com)

Ejemplo Enunciado del Alcance 3

El Enunciado del Alcance

2012 VRV (Contacto: vreynav@gmail.com)

Ejemplo Enunciado del Alcance 4

El Enunciado del Alcance

2012 VRV (Contacto: vreynav@gmail.com)

Inclusiones (Qu es parte

2012 VRV (Contacto: vreynav@gmail.com)

Ventajas de un Alcance pictrico

Ayuda a visualizar el alcance antes de colocarlo en palabras.

2012 VRV (Contacto: vreynav@gmail.com)

Caso de Estudio 1: Escribiendo el alcance de un SGSI

Paso 1 Identificar las principales funciones del negocio y decir qu

Contratar y gestionar al personal necesario

Facturar a los clientes, gestionar el flujo de

Mantener y dar mantenimiento a las

Proporcionar informacin acerca de los