1. Claves certificación ISO 27001
Toni Martín-Avila, auditor jefe ISO 27001/ISO 20000Toni Martín-Avila, auditor jefe ISO 27001/ISO 20000
Claves en la
certificación iso
27001

2. Claves certificación ISO 27001

3. Claves certificación ISO 27001

4. Claves certificación ISO 27001
Claves de éxito
1. Enfoque de negocio
2. Gestión por procesos
3. Código 2.0 – Cloud Quality
4. Factor humano. Función diferenciada
5. Satisfacción del cliente
6. Integración y agilidad
7. Cumplimiento legal y normativo
8. Mejora contínua y auditoría
9. ISO 27001 as a project
10.…

5. Claves certificación ISO 27001
1. ENFOQUE NEGOCIO/

6. Claves certificación ISO 27001
El alcance sí importa…

7. Claves certificación ISO 27001
2. GESTIÓN POR PROCESOS/
• En los departamentos de la empresa:
Facturación, RRHH, desarrollo de software,
comercial, marketing
• TRUCO: identificar responsabidades en el
SOA
• En los departamentos de la empresa:
Facturación, RRHH, desarrollo de software,
comercial, marketing
• TRUCO: identificar responsabidades en el
SOA

8. Claves certificación ISO 27001
3. CÓDIGO 2.0-CLOUD Quality/
• Direccionamiento de la seguridad, ser
proactivos.
• Demostrar la seguridad si somos
ENCARGADOS DE TRATAMIENTO.
• Desarrollar una POLÍTICA DE SEGURIDAD DE
LA INFORMACIÓN de mi producto/servicio
• Direccionamiento de la seguridad, ser
proactivos.
• Demostrar la seguridad si somos
ENCARGADOS DE TRATAMIENTO.
• Desarrollar una POLÍTICA DE SEGURIDAD DE
LA INFORMACIÓN de mi producto/servicio

9. Claves certificación ISO 27001
4. FACTOR HUMANO/
• Entregar al usuario LO MÍNIMO.
• Ser 2.0, que aporte riesgos.
• Función diferenciada (seguridad, información,
servicio)
• Tickets y casos (ISO 27001 project)
• Certificaciones personales (ISO 27001
Foundations, ISO 20000 Foundations, EXPERT,
ITIL v3 F-Expert)
• Entregar al usuario LO MÍNIMO.
• Ser 2.0, que aporte riesgos.
• Función diferenciada (seguridad, información,
servicio)
• Tickets y casos (ISO 27001 project)
• Certificaciones personales (ISO 27001
Foundations, ISO 20000 Foundations, EXPERT,
ITIL v3 F-Expert)

10. Claves certificación ISO 27001

11. Claves certificación ISO 27001
5. GESTIÓN DEL RIESGO/
• Pregúntate si sirve de algo el Excel de Magerit?
• AARR basado en identificación de nuevas
VULNERABILIDADES, en Data Mining de
Incidencias, en un proceso de auditoría
constante gestionando los riesgos como si
fueran “tickets”
• Pregúntate si sirve de algo el Excel de Magerit?
• AARR basado en identificación de nuevas
VULNERABILIDADES, en Data Mining de
Incidencias, en un proceso de auditoría
constante gestionando los riesgos como si
fueran “tickets”

12. Claves certificación ISO 27001
La “imagen” de la empresa

13. Claves certificación ISO 27001
Gestión del Riesgo (II)

14. Claves certificación ISO 27001
Gestión del Riesgo (III)

15. Claves certificación ISO 27001
Gestión del Riesgo (IV)
• La “imagen” de una empresa
• Se “muestra” en Internet
• Una indexacion que muestre una falta de
“integridad” puede afectar al negocio.
• “Si hablan mal de la empresa es un problema”
• La “Reputación on line”
• Afecta al SGSI!
• Indexación en Google -> “Derecho al olvido”

16. Claves certificación ISO 27001
Elemento SGSI Definición En nuestro ejemplo
ACTIVO Quién contiene la información,
dónde está…
La Imagen de la empresa
Amenaza Posible causa de un incidente no
deseado, el cual puede ocasionar un
daño a un sistema u organización
Vulnerabilidad Debilidad de un activo o conjunto
de activos que puede ser explotada
por una amenaza
Impacto
Riesgo Mala Reputación on-line de la
empresa que ha ocasionado
pérdida posible de clientes
Salvaguarda
Riesgo residual
Control
Tratamiento del riesgo
OBJETIVO
POLÍTICA
ESTRATEGIA

17. Claves certificación ISO 27001
Gestión del Riesgo (VI)
• Alerta en Google -> preventivo
• Manejar la indexación -> correctivo/preventivo
– Robots.txt / sitemap.xml
• Ponerse en contacto con el emisor/ISP ->
correctivo
• El SEO -> preventivo

18. Claves certificación ISO 27001
Google Alert

19. Claves certificación ISO 27001
Robots.txt

20. Claves certificación ISO 27001
sitemap.xml

21. Claves certificación ISO 27001
6. INTEGRACIÓN y AGILIDAD/
• Procedimiento cuando se “necesiten”
•En el formato adecuado para su correcta
modificación y transmisión (evolucionar desde
entorno ofimática hacia entornos HTML)
• Integrarse con herramientas Opensource
como JIRA, OTRS, REDMINE, GLPi, ISOCRUNCH,
OCS Inventory.
• Todos necesitamos tener un “php”
man/woman en casa…
• Procedimiento cuando se “necesiten”
•En el formato adecuado para su correcta
modificación y transmisión (evolucionar desde
entorno ofimática hacia entornos HTML)
• Integrarse con herramientas Opensource
como JIRA, OTRS, REDMINE, GLPi, ISOCRUNCH,
OCS Inventory.
• Todos necesitamos tener un “php”
man/woman en casa…

22. Claves certificación ISO 27001

23. Claves certificación ISO 27001

24. Claves certificación ISO 27001
BodyShoping TIC (SoA)
Medida de seguridad RD 1720/2007 Control ISO 27001
Relación de recursos y sistemas de
información que tratan y
gestionan el fichero
Art. 88 A.7.1.1
Documento de seguridad Art. 88 A.5.1.1
Funciones y obligaciones del
personal
Art. 89 A.8.1.1
Copias de seguridad (semanales) Art. 94,102 A.10.5.1
Soportes extraibles Art. 92 A.10.7.1
Identificación requisitos legales LOPD/RD 1720 A.15.1.4
Clasificación de la información Niveles seguridad A.7.2.1

25. Claves certificación ISO 27001
BodyShoping TIC (SoA)
A.15.1.4
control Aplicabilidad
A.15.1.4 Protección de datos y
privacidad de la
información de carácter
personal
Debe garantizarse la protección y la
privacidad de los datos según se
requiera en la legislación y la
reglamentación aplicables y, en su caso,
las claúsulas contractuales pertinentes
Sobre los activos del fichero
BODYSHOPPING:
• LOPD Art. 12 (Encargado de
Tratamiento)
• RD 1720 /2007 (TIC). Art, 88, 89, 92,
94, 102

26. Claves certificación ISO 27001
7. CUMPLIMIENTO LEGAL y NORMATIVO/
• La importancia de la POLÍTICA DE SEGURIDAD
DE LA INFORMACIÓN y su OBLIGADA REVISIÓN.
• Objetivos respecto a la política
• La importancia de la POLITICA A USUARIOS ->
NORMATIVA DE USO DE SISTEMAS DE
INFORMACIÓN
• La política a PROVEEDORES (ISO 27001:2013)
• Demostrar la política
• La importancia de la POLÍTICA DE SEGURIDAD
DE LA INFORMACIÓN y su OBLIGADA REVISIÓN.
• Objetivos respecto a la política
• La importancia de la POLITICA A USUARIOS ->
NORMATIVA DE USO DE SISTEMAS DE
INFORMACIÓN
• La política a PROVEEDORES (ISO 27001:2013)
• Demostrar la política

27. Claves certificación ISO 27001

28. Claves certificación ISO 27001
8. MEJORA CONTÍNUA y AUDITORÍA/

29. Claves certificación ISO 27001

30. Claves certificación ISO 27001

31. Claves certificación ISO 27001
9. ISO 27001 AS PROJECT/
• Entorno de gestión (personas, procesos,
tareas, procedimientos de trabajo).
• gestionar las acciones de los requerimientos
de la norma como si fueran tickets
• Presupuesto de seguridad
•Seguimiento de objetivos
• Obtener indicadores de forma automática
• Entorno de gestión (personas, procesos,
tareas, procedimientos de trabajo).
• gestionar las acciones de los requerimientos
de la norma como si fueran tickets
• Presupuesto de seguridad
•Seguimiento de objetivos
• Obtener indicadores de forma automática

32. Claves certificación ISO 27001

33. Claves certificación ISO 27001
10. DIMELA TÚ …

34. Claves certificación ISO 27001
GRACIAS
POR TU TIEMPO