El documento presenta lecciones aprendidas de empresas que han implementado sistemas de gestión de seguridad de la información bajo el estándar ISO 27001. Entre las lecciones se encuentran: 1) No considerar solo los controles de seguridad sino también los elementos clave del sistema, 2) Seleccionar adecuadamente el método de análisis de riesgos, 3) Cumplir con la normativa aplicable además de la certificación.
u1_s4_gt_la demanda y la oferta global_b27t9rulx9 (1).pptx
Lecciones SGSI ISO27001
1. Octubre, 2009
Expositor: Maricarmen García
Risk Product Manager
BSI Group México
Lecciones aprendidas en la
Implementación de Sistemas de Gestión
de Seguridad de la Información bajo el
estándar ISO 27001
2. • Introducción
• Lecciones aprendidas por empresas que han
implementado y certificado
• Reflexiones
Agenda:
4. Introducción
Un Sistema de Gestión de Seguridad de la
Información, protege a los activos de
información más valiosos de las empresas
mediante la gestión adecuada de riesgos de
seguridad de la información, con el objeto de
implementar controles que garanticen la
adecuada protección de los mismos.
6. Introducción
Una vez contemplado el alcance, límites y objetivos de
un SGSI, los elementos clave, como punto de partida
de una implementación adecuada son
principalmente:
1. Identificación de Activos
2. Análisis y Evaluación de Riesgos
(vulnerabilidades, amenazas, impactos, posibilidad)
1. Tratamiento de Riesgos
(Decisión del riesgo = Aceptar, Evitar, Transferir, Controlar)
7. Introducción
4. Declaración de aplicabilidad - SoA
(Selección de controles del Anexo A, para riesgos que se han decidido
controlar)
4. Implementación de Controles declarados en el SoA
5. Política del SGSI
6. Documentación y registros específicos del SGSI
8. Introducción
8. Procesos y políticas del SGSI
9. Procedimientos de Auditorías Internas
10. Procedimientos de acciones preventivas y
correctivas
11. Revisiones de la dirección
10. Lecciones aprendidas por empresas
que han implementado y certificado
• Lección 1.
Creer que la implementación de controles
de seguridad es “el todo” sin considerar
los elementos clave de un SGSI.
11. Lecciones aprendidas por empresas
que han implementado y certificado
• Lección 2.
Una buena selección de un método de
análisis de riesgos asegura el
cumplimiento de una adecuada
implementación de un SGSI.
12. Lecciones aprendidas por empresas
que han implementado y certificado
• Lección 3.
Un SGSI adecuadamente implementado o
certificado, no exime a las organizaciones
del cumplimiento legal o regulatorio
aplicable a las mismas.
13. Lecciones aprendidas por empresas
que han implementado y certificado
• Lección 4.
Es un error considerar que mientras un
SGSI cuente con la mayor parte de los
133 controles señalados en el ISO
27001, se garantiza una mejor seguridad
de la información.
14. Lecciones aprendidas por empresas
que han implementado y certificado
• Lección 5.
Sin el apoyo formal real de la Alta
Dirección en las empresas, es imposible
demostrar el logro del cumplimiento de
una implementación
15. Lecciones aprendidas por empresas
que han implementado y certificado
• Lección 6.
La concientización en seguridad de la
información es un proceso continuo que
mediante un programa de formación
permite formar una cultura en seguridad
de la información en el activo más
valioso de información (gente) de las
empresas.
16. Lecciones aprendidas por empresas
que han implementado y certificado
• Lección 7.
Un SGSI debe operarse día a día,
incorporando una adecuada a la gestión
de riesgos e incidentes del día a día en la
empresa.
17. Lecciones aprendidas por empresas
que han implementado y certificado
• Lección 8.
Lograr un certificado de registro por una
entidad certificadora es “sencillo”
siempre y cuando se cumplan los
criterios definidos en el estándar. Lo
“difícil” es mantener el cumplimiento
mediante auditorías de mantenimiento
al SGSI.
18. Lecciones aprendidas por empresas
que han implementado y certificado
• Lección 9.
Un SGSI debe de garantizar la continuidad de los
procesos definidos en su alcance, por lo que la
planeación de la continuidad debe de
alinearse a ello y demostrar que en caso de un
incidente se pueda seguir operando
considerando los temas de seguridad que le
corresponda tratar.
20. Reflexiones
¿Si la información de nuestra organización
es de interés público, debe darse a
conocer?
Al dar a conocer el logro de una
implementación o la obtención de un
certificado de registro de un SGSI ¿qué
implicaciones tiene?
22. BSI
Líder Global
• Certificador global líder con más de 68,000 localidades y
clientes certificados en más de 120 países
• Líder en auditorías y certificaciones de:
Continuidad del Negocio – BS 25999
Seguridad de la Información – ISO/IEC 27001
Gestión de Servicios TI – ISO/IEC 20000
Calidad – ISO 9001
Gestión Ambiental – ISO 14001
Automotriz – ISO/TS 16949
Aeroespacial – AS9100
Salud y Seguridad – OHSAS 18001
Alimentos – ISO 22000
23. Contáctenos
Oficina Ciudad de México
Torre Mayor
Paseo de la Reforma No.505 Piso 41
Suite C
México, Distrito Federal
+52 (55) 5241 1370
+52 (55) 5241 1371
23
Oficina Monterrey, Nuevo León
Torre Capitel
Av. Lázaro Cárdenas No.1810 Piso 9
Suite 908
Monterrey, NL
+52 (81) 8155 6100
+52 (81) 8155 6105
informacion.msmexico@bsigroup.com
www.bsigroup.com.mx