Beruflich Dokumente
Kultur Dokumente
Agenda
Recuerda lo que te
dije antesla ISO
27001 sigue el
modelo PHVA.
PHVA significa
Planificar, Hacer,
Verificar-Actuar.
Hola, ha pasado
tiempo. S, he estado
ocupado tratando de
estructurar un camino
para empezar la
implementacin de la
ISO 27001.
Aydame a recordar,
qu era el modelo
PHVA?
Gracias. Me puedes
decir cmo puedo
utilizar el modelo
PHVA para la ISO
27001?
Hola Mike. Se te ve
ocupado.
Parece bastante
trabajo.
En la fase
PLANFICAR usamos
los hallazgos del
Anlisis de Brechas y
damos inicio a la ISO
27001.
Esto involucra la
definicin del alcance
de la implementacin,
la identificacin de los
activos de informacin
crticos y la ejecucin
de un anlisis de
riesgos.
Bueno, no es tan
difcil como podra ser
pero s, la fase
PLANIFICAR es la
ms importante de las
4 fases. Es por eso
que toma ms tiempo
inicialmente.
S, la planificacin
debe ser apropiada.
En la fase HACER
mitigamos los riesgos.
En la fase
VERIFICAR vemos
que tan efectivas han
sido las estrategias de
mitigacin de riesgos.
En la fase ACTUAR
corregimos y
afinamos las
estrategias de
mitigacin.
As es. Djame
contarte acerca de la
fase PLANIFICAR.
Suena interesante.
Eso no lo saba.
Claro. La fase
PLANIFICAR consiste:
1. Identificar el alcance
de la implementacin
del SGSI.
2. Definir el Enfoque de
Tratamiento de
Riesgos.
3. Ejecutar el Anlisis
de Riesgos.
4. Crear el Plan de
Tratamiento de
Riesgos y obtener la
aprobacin de la
Gerencia.
5. Crear el Enunciado
de Aplicabilidad.
As es. Y lo importante,
con el Anlisis de
Brechas que haz hecho
ya haz iniciado el
proceso.
Agenda
Modelo PHVA
1.
2.
3.
4.
5.
SGSI
6.
7.
8.
Qu comunica el Alcance?
10
El alcance ser
impreso en el
certificado ISO 27001
de tu organizacin.
11
12
13
14
15
16
17
18
19
Alcance pictrico
Exclusiones (Qu NO es
parte del alcance?)
Nombre de la
organizacin
20
21
Propsito
Excluir o
Incluir
Motivo
Servicios del
Centro de Datos
Proporcionar almacenamiento y
transferencia de datos.
Incluir
Servicio principal
Recursos
Humanos
Incluir
Servicio esencial
Finanzas y
Contabilidad
Incluir
Servicio esencial
Administracin
Incluir
Servicio esencial
Marketing
Excluir
Actualmente
tercerizado, ser
incluido el siguiente
ao
Ventas
Incluir
Servicio esencial
22
ProSolutions
Servicios TI
Administracin
Recursos
Humanos
Finanzas y
Contabilidad
23
24
25
Importante
26
Propsito
Excluir o
Incluir
Motivo
Desarrollo de
Contenidos
Incluir
Servicio principal
Control de
Calidad
Incluir
Servicio esencial
Finanzas y
Contabilidad
Incluir
Servicio esencial
Alojamiento de
Servidores de
Contenido ELearning
Excluir
Alojado por un
proveedor externo
Marketing
Servicio esencial
27
Control de
Calidad
Finanzas y
Contabilidad
28
29
30
Agenda
31
Modelo PHVA
1.
2.
3.
4.
5.
SGSI
6.
7.
8.
32
Definiciones
Poltica. Plan de accin que gua las decisiones y que logra los
objetivos.
Poltica de Seguridad de la Informacin. Documento que establece
por escrito por qu y cmo una organizacin planea proteger su
informacin y sus activos de informacin
Procedimiento. Instrucciones paso a paso de cmo implementar la
poltica.
Gua. Versiones amigables de un procedimiento que hace fcil para
una persona normal entender e implementar los procedimientos.
Nota. Algunas veces, las personas utilizan los trminos
Procedimiento y Gua de manera intercambiable.
33
Poltica.
Procedimiento.
Gua.
34
35
Estructura Jerrquica
Poltica Principal de
Seguridad de la
Informacin (Manual
del SGSI)
Enunciado de
la Poltica
Polticas especficas al
usuario final
Guas y
procedimientos
Polticas especficas a
la funcin del negocio
Guas y
procedimientos
Polticas tcnicas
Guas y
procedimientos
36
2.
3.
4.
5.
6.
7.
8.
37
Enunciado de la Poltica
38
Polticas Especficas
La Poltica Principal especifica que todos los sistemas sensibles tendrn habilitados
los controles de accesos.
Para apoyar esto, nosotros creamos una Poltica de Control de Accesos.
La Poltica de Control de Accesos cubrir Gestin de Contraseas, Gestin de
Tarjetas de Acceso, Bio-Mtricas, Controles de Acceso Fsico como cerraduras y
llaves, etc.
39
2.
2.
3.
40
Procedimientos y Guas
41
42
Agenda
43
Nota!!!
44
Modelo PHVA
1.
2.
3.
4.
5.
SGSI
6.
7.
8.
45
Definiciones
46
Vulnerabilidad: La
cerradura de la puerta no
funciona apropiadamente
y no hay una alarma
Activo: Automvil
47
Otro ejemplo
Amenaza: Malware
como gusanos,
virus, troyanos
48
El proceso de identificacin de
riesgos utilizando un
enfoque predefinido.
En este caso, utilizaremos un
enfoque predefinido para
identificar los riesgos a la
seguridad de la informacin.
49
Enfoque: Evaluacin
de riesgos basada
en los activos
Ventaja: Lograr un
entendimiento
especfico de los
riesgos que afectan
los activos
individuales.
Personas
Activos de
Informacin
50
5.
6.
7.
51
Plan de Tratamiento de
Riesgos
52
Obtener un entendimiento
global de los riesgos a la
seguridad de la informacin
que impactan a la
organizacin como un todo.
Ejemplo: Terremoto, falla
elctrica, ataque informtico.
Organizacin
53
Organizacin
Personas
Activos de
Informacin
54
Agenda
55
Modelo PHVA
1.
2.
3.
4.
5.
SGSI
6.
7.
8.
56
Riesgo
Amenaza
Activo
Valor del
Activo
Probabilidad
Vulnerabilidad
Impacto
57
RRHH
Administracin
58
59
60
61
El propietario es usualmente:
62
63
Confidencialidad (Confidentiality).
Integridad (Integrity).
Disponibilidad (Availability).
64
Midiendo la Confidencialidad
0 No es vlido o no confidencial.
1 Baja confidencialidad, el activo (de informacin) es accedido por muchas
personas.
2 Mediana confidencialidad, el activo (de informacin) es accedido por un grupo
selecto de personas.
3 Alta confidencialidad, el activo (de informacin) es accedido slo por el
propietario o un conjunto limitado de personas.
65
Pregunta
Respuesta
Calificacin
3 Alta
La informacin es accedida
por todos los visores.
1 Baja
Gerente de
RRHH
2 - Media
Servidor
Email
66
67
Midiendo la Integridad
68
Pregunta
Cuntas personas pueden
modificar el activo?
Respuesta
Calificacin
3 Alta
Gerente de
RRHH
3 - Alta
Cul es el nivel de
honestidad y diligencia
esperado por este activo
mientras se modifica la
informacin?
69
70
Midiendo la Disponibilidad
71
Pregunta
Respuesta
Calificacin
Gerente de
RRHH
S ya que el Gerente de
RRHH es clave para el
reclutamiento y la gestin de
procesos de empleados.
Es necesario un activo
alterno si este activo no est
disponible?
3 - Alta
72
73
74
Destruccin.
Corrupcin.
Bajo rendimiento.
Antigedad.
Indisponibilidad.
75
2da pregunta inteligente que debes hacer: Cul podra ser la razn
de?
76
Categora
Indisponibilidad
Indisponibilidad
Destruccin
Antigedad
Bajo rendimiento
77
78
Tcnicas.
Procedimentales.
Humanas.
Fsicas.
79
Activo:
Amenazas:
Servidor de correo.
Indisponibilidad.
Corrupcin.
Bajo rendimiento.
Vulnerabilidad:
80
81
82
5. Identificar el impacto
83
84
0 Improbable de ocurrir.
1 Ocurre una vez cada 2-3 aos.
2 Ocurre una vez cada ao.
3 Ocurre ms de una vez cada ao.
85
86
7. Calcular el riesgo
87
Calculamos el Riesgo
88
La frmula satisface
el requerimiento?
89
90
Agenda
91
La herramienta
92
93
94
95
96
97
98
99
100
2.
3.
4.
101
102
2.
103
2.
104
105
Agenda
106
La herramienta (1)
107
La herramienta (2)
108
Personas.
Hardware.
Servicios.
Papel.
Electrnicos.
El activo Personas.
109
110
111
Agenda
112
El Enunciado de Aplicabilidad
113
La herramienta (1)
114
La herramienta (2)
115
La herramienta (3)
116
117
Fin de la Presentacin
118