“Certificación ISO 27001 - Preparación”
Transcript of “Certificación ISO 27001 - Preparación”
“Certificación ISO 27001 -Preparación”
Lic. RaLic. Raúúl Castellanosl CastellanosCISM, PCICISM, PCI--QSA, QSA, LeadLead Auditor ISOAuditor ISO--2700127001
rcastellanosrcastellanos@@ccybsec.comybsec.com
2
Certificación ISO 27001 - Preparación© 2009
¿ Qué es la ISO 27001 ?¿ Qué es la ISO 27001 ?
Es un modelo para:
•Establecer•Implementar•Operar•Monitorear•Revisar•Mantener•Mejorar
Un Sistema de Gestión de Seguridad de la InformaciónUn Sistema de Gestión de Seguridad de la Información
3
Certificación ISO 27001 - Preparación© 2009
El Standard SGSI – Vista Histórica
BS 7799-1Parte 1 - Febrero 1995
BS 7799-2Parte 2 - Febrero 1998
ISO 17799:2000
BS 7799-2:2002
ISO/IEC 17799:2005
ISO/IEC 27001:2005ISO/IEC 27001:2005
ISO/IEC 27002:2005
Implementación Certificación
UNE 71502:2004 UNEUNE
4
Certificación ISO 27001 - Preparación© 2009
Auditoría deCertificación
Etapas de CertificaciónEtapas de Certificación
Preparación
Remediación
CertificaciónCumple?
Si
No
5
Certificación ISO 27001 - Preparación© 2009
Como es el SGSI ??Como es el SGSI ??
6
Certificación ISO 27001 - Preparación© 2009
Política de Seguridad alineada al negocio
Organización de la seguridad
Control de activos asociados a la información
Seguridad de los RR HH
Seguridad Física y Ambiental
Gestión de las comunicaciones y operaciones
Control de acceso
Adquisición, desarrollo y mantenimiento de los sistemas
Gestión de incidentes de seguridad
Gestión de la continuidad del negocio
Cumplimiento legislativo y normativo
Componentes del SGSIComponentes del SGSI
7
Certificación ISO 27001 - Preparación© 2009
Política de Seguridad alineada al negocio
Componentes del SGSIComponentes del SGSI
Documento y registro de revisiones
Organización de la seguridad
Organigrama del área de S.I.Misión y Visión de S.I.Descripción de responsabilidades, roles y funcionesAcuerdos de confidencialidadCláusulas de seguridad en contratos de terceros
8
Certificación ISO 27001 - Preparación© 2009
Componentes del SGSIComponentes del SGSI
Control de activos asociados a la información
Inventarios de hardware, software, aplicaciones y DBMSNorma de uso aceptable de los activos Designación de los “propietarios de activos”Norma de clasificación de la información
Seguridad de los recursos humanos
Procedimiento de chequeo de postulantes a empleoCláusulas de seguridad en los contratos de tercerosCapacitación/concientización según necesidades de la posiciónControles al término del empleo
9
Certificación ISO 27001 - Preparación© 2009
Componentes del SGSIComponentes del SGSI
Seguridad física y ambiental
Controles de acceso físicoDetección de humo e intrusiónSuministro continuo de energíaDisponibilidad de mantenimiento de Hw y SwSeguridad de los dispositivos móviles
10
Certificación ISO 27001 - Preparación© 2009
Componentes del SGSIComponentes del SGSI
Gestión de comunicaciones y operaciones
Procedimientos operativosProcedimientos de control de cambios y separación de ambientesCapacity PlanningAntivirus/AntispywareProcedimiento de back up/restoreDiseño seguro de los servicios de redProcedimientos de gestión de medios removiblesProcedimiento de manejo de informaciónSeguridad en comercio electrónicoGestión de logs
11
Certificación ISO 27001 - Preparación© 2009
Componentes del SGSIComponentes del SGSI
Control de acceso
Política de control de accesosProcedimiento de administración de usuariosUso de claves y cuidado del equipamientoPolítica de acceso a las redes (local y remoto)Identificación y registro de usuariosPolítica de tele-trabajo
Desarrollo y mantenimiento de los sistemas
Seguridad en el ciclo de vida de los sistemasControles criptográficosProcedimientos de prueba
12
Certificación ISO 27001 - Preparación© 2009
Componentes del SGSIComponentes del SGSI
Gestión de incidentes
Procedimiento de manejo de incidentesIntegración de los incidentes al proceso de mejora continua
Gestión de la continuidad comercial
Evaluación del riesgo de los activos de informaciónPlan de continuidad del negocio
Cumplimiento
Procedimientos de uso de propiedad intelectualCumplimiento Ley 25.326 – Habeas Data y normativa aplicacbleRegistro de auditorías de sistemas de información
13
Certificación ISO 27001 - Preparación© 2009
¿ Cómo nos preparamos ?¿ Cómo nos preparamos ?
1° Paso:
Definir alcancede la certificación 2° Paso:
Gap Analysis de las 11 dimensionesDef. RecursosPriorización
3° Paso:Definición y ejecución del Plan
14
Certificación ISO 27001 - Preparación© 2009
El SGSI no necesariamente debe abarcar toda la Organización
Puede acotarse a:
Una Unidad de Negocios
Un sector de la Organización
Un Centro de Procesamiento
Alcance de la CertificaciónAlcance de la Certificación
15
Certificación ISO 27001 - Preparación© 2009
Gap AnalysisGap Analysis
Se identifican áreas de incumplimiento
Se categorizan según criticidad
Se definen acciones de remediación
16
Certificación ISO 27001 - Preparación© 2009
Se identifican recursos humanos y materiales
PreparaciónPreparación
Se arma y ejecuta un Plan de trabajo
Se hace una revisión previa a la auditoría
17
Certificación ISO 27001 - Preparación© 2009
PREGUNTAS
Contacto: [email protected] S.A Security Systems
www.cybsec.com
18
Certificación ISO 27001 - Preparación© 2009
MUCHAS GRACIAS!!!