SlideShare ist ein Scribd-Unternehmen logo

Metodología implantación y certificación de PyMEs en ISO-27001

Alejandro Corletti Estrada
Alejandro Corletti Estrada

El documento presenta una metodología en 6 fases para implementar ISO 27001 en PyMEs. La metodología incluye analizar la situación actual, gestionar riesgos, lanzar el sistema de gestión de seguridad de la información, implantar y poner en marcha el sistema, controlar y revisar el sistema, y mantener y mejorar el sistema de manera continua. El objetivo es ayudar a las PyMEs a implementar un verdadero sistema de gestión de seguridad de la información de forma efectiva y sostenible en el tiempo.

Internet
1 von 5
Downloaden Sie, um offline zu lesen
1 Metodología de implantación y certificación en las PyMEs. (Por Alejandro Corletti Estrada: acorletti@darfe.es) Este artículo presenta una primera parte, que es el desarrollo conceptual para llevar adelante la implementación de ISO-27001 en una PyME, y la segunda parte, presenta las fases y metodologías prácticas que implementa NCS, para preparación de PyMEs 1. Desarrollo conceptual. El principal objetivo de este artículo es ofrecer un claro curso de acción para las PyMEs. No está orientado a las grandes empresas, pues cualquiera de ellas está en condiciones de contratar una consultoría externa y desentenderse del tema (....grave error), asumiendo también los grandes costes que ello implica. Por esta razón, es que toda PyME debe hacer una fuerte diferencia entre la “Necesidad de certificar” y el “Negocio de la Certificación”, que es la finalidad última de todo este texto pues, bien entendidas estas posturas es lo que les permitirá implementar a las PyMEs la mayoría de los puntos de este estándar, con gran independencia del “Negocio de la Certificación” que se gesta alrededor de todo estándar certificable. Lo que se trata de reflejar en el cuadro anterior es la decisión que deberá adoptar todo responsable de sistemas en los próximos años, es decir: Tal vez parezca cruel, o poco serio, pero es la cruda realidad (a veces la realidad supera ampliamente a la ficción, y en este tipo de determinaciones puedo asegurarlo con mucha certeza) . Se puede encarar esta ardua tarea, con la intención de aprovechar el esfuerzo o simplemente, para cumplir con un requisito que permita a la empresa seguir fielmente las exigencias del mercado y hacer el mínimo esfuerzo posible, tratando de (fría y crudamente) engañar al auditor…..(Lo que recuerden que, también afirmo y con mucha más contundencia, es que será imposible de mantener esta mentira). Puedo garantizar que será humanamente imposible volver a demostrar, año tras año, que el SGSI sigue rodando (la mentira tiene patas cortas). Es Para serles sinceros, si se poseen los conocimientos y capacidades necesarias, afirmaría que se puede “Dibujar” una certificación ISO 27001 (y lo que acabo de afirmar, es muy, pero muy atrevido….). Lo que también afirmo y con mucha más contundencia, es que será imposible de mantener esta mentira. Evidentemente, necesito certificar ISO 27001 en el corto plazo: ¿Busco sólo el sello? ¿Lo hago como se debe?
2 decir, no merece la pena tratar de encarar una futura certificación ISO 27001 si no se tiene como objetivo fundamental y sincero: “Implementar un VERDADERO SGSI” Esto se desmorona muy rápidamente si se partió de pilares débiles, engañosos o falsos, tratando meramente de obtener el sello de “ISO 27001” como única meta. Por lo tanto, primer “consejo” (si se puede llamar así): No se autoengañen, encaren esta tarea con la sana intención de aprovechar al máximo cada esfuerzo que esta les requiera. Una vez comprendido esto, creo necesario avanzar un poco más aún, pues esto afecta de lleno a las PyMEs y tal vez no tanto a una gran empresa. Todo responsable de implementar ISO 27001 en una PyME, en mayor o menor medida, “SÍ o SÍ” ¡¡ debe MOJARSE !! Una gran empresa, tal vez pueda darse el lujo de externalizar todo el proceso, el mantenimiento y las acciones a futuro……….una PyME seguro que no. A lo sumo, deberá contratar una consultora que le analice, diseñe, planifique e implemente inicialmente desde el vamos, todo el SGSI, pero es casi seguro que no podrá subcontratar el mantenimiento que un SGSI requiere, esta tarea implica poseer un claro entendimiento de lo que se hizo y el funcionamiento de todo el SGSI, por lo tanto, en cualquier caso alguien, responsable de la PyME deberá intervenir en profundidad. Esto no quiere decir que le implicará abandonar el resto de sus tareas, pero se debe ser consciente, que algo de su tiempo le deberá dedicar. El responsable de seguridad de la PyME deberá “Mojarse” desde el inicio. Puede hacerlo, embebiéndose del Estándar, e ir preparando poco a poco su empresa con un mínimo apoyo de algún especialista. Este curso de acción, requiere un mayor esfuerzo de los administradores de informática de la empresa (y de su responsable), pero es el que mayor experiencia les aportará y, los resultados, si se ponen ganas, serán muy buenos y dejarán claros los pasos a futuro para mantener el SGSI funcionando perfectamente. La segunda opción que puede tener el responsable de seguridad de una PyME, es contratar una consultoría para que lo guíe paso a paso en todo el proceso, ¡¡ ojo !!, no estoy diciendo que haga todo el trabajo, sino que vaya guiando a la empresa en cómo hacerlo, pues si lo hace la consultora, se cae en la mentira anteriormente mencionada, pues una vez que se retire el consultor, el SGSI será muy duro de mantener. Por lo tanto lo más importante a reflexionar sobre esta segunda opción es que no es “lavarse las manos”, sino trabajar codo a codo con el consultor, para aprovechar al máximo la experiencia de éste en cada paso, y ser capaz de tener un claro conocimiento de todo lo realizado, para mantenerlo en funcionamiento, se reitera que de esto se trata: “un ciclo de vida continuo”. En cualquiera de los dos casos, es perfectamente posible preparar una PyME para luego solicitar a los auditores acreditados la certificación ISO 27001.
3 ü Análisis y Estudio del Ámbito de Aplicación (Alcance de la Certificación ISO/IEC 27001:2005). ü Identificación de Activos. ü Análisis de Riesgos (orientado a procesos de negocio). ü Declaración de Intenciones de la Dirección. ü Plan de Acción para implementar ISO/IEC 27001:2005. ü Inicio del Rodaje: ü Selección de Hitos (Medibles, demostrables: RODAJE). ü Estándar de Seguridad: ü Relación Documental. ü LOPD y LSSI (conformidades legales). ü Planeamiento y Ejecución de Formación y Concienciación. ü Auditoría Interna (plan, realización, resultados, mejoras). ü Preparación de Presentación del SGSI a auditores. ü Solución de Observaciones y No Conformidades. 2. ¿Cómo Proponemos realizar esta tarea en una PyME? Esta actividad de apoyo a las PyMEs que desean encarar un SGSI, independientemente que su objetivo sea certificarse o no (pues muchas lo lanzan únicamente para mejorar la gestión de su seguridad), desde NCS la hacemos de acuerdo a las siguientes fases: FASE1: Análisis de la Situación Actual y Evaluación de la Seguridad Objetivo: Identificar los objetivos de negocio, ya que el propósito de la certificación es garantizar la gestión de la seguridad sin perder de vista que esta ayuda al desarrollo de las actividades comerciales de la PyME Las tareas a desarrollar son: 1.– Se identifican cuáles son las principales actividades empresariales, reflejándolas en un diagrama de flujo. 2.– Se selecciona un alcance adecuado para el sistema, ya que el esfuerzo a la hora de implementar el SGSI debe ser proporcional al tamaño del sistema a construir 3.– En base a la Norma ISO/IEC 27002:2005, se comprobará qué controles de dicha norma están implantados, y a qué nivel en base a un checklist. Con esto, se consigue determinar el estado de madurez en el que se encuentra la compañía, para poder identificar el esfuerzo que hay que hacer en la implementación. FASE2: Análisis y Gestión de Riesgos Objetivo: Establecer la relación entre la compañía y su entorno, identificando sus puntos fuertes y sus puntos débiles, oportunidades y amenazas. Las tareas a desarrollar son: 1.– Análisis de Riesgos. 2.– Tratamiento de Riesgos.
4 FASE3: Lanzamiento del SGSI Objetivo: Desarrollar los procedimientos necesarios que permitan implantar los controles seleccionados. En cada procedimiento se detallan los objetivos que se pretenden cubrir, cómo se implantan, y las responsabilidades asociadas. Las tareas a desarrollar son: Definición del SGSI: a) Se define la Política de Seguridad que establece de forma clara el enfoque de la política de actuación de la compañía, el alcance y los objetivos globales. b) Se recopilan los documentos relativos a la seguridad, existentes en la compañía. c) Se elaboran y estructuran los procedimientos de gestión y funcionamiento del SGSI, que darán soporte a la Política de seguridad definida para la compañía. d) Se desarrolla una bitácora de actividades en donde se van registrando los hitos alcanzados y las actividades que se están desarrollando a lo largo del tiempo. FASE 4: Implantación y Puesta en Marcha del SGSI Objetivo: Poner en marcha las políticas y procedimientos definidos en las fases previas, tomando previamente en consideración el necesario aprovisionamiento de fondos y la asignación de responsables. Las tareas a desarrollar son: 1.– Formular e implementar un Plan de Tratamiento del Riesgo que identifique las acciones, responsabilidades y prioridades de la Dirección para la gestión de los riesgos de la seguridad. 2.– Implantar Planes de Formación y Concienciación: a) Impartir Planes de Formación sobre los nuevos procedimientos. b) Impartir Planes de Concienciación sobre los beneficios que tiene implantar un SGSI en la compañía.
5 3.– Implantar el SGSI: a) Implantar políticas y procedimientos del SGSI. b) Implantar los controles seleccionados en el documento Declaración de Aplicabilidad. FASE 5: Control y Revisión del SGSI Objetivo: Realizar revisiones sobre la efectividad del SGSI atendiendo al cumplimiento de la política y objetivos del SGSI, los resultados de las auditorías de seguridad, incidentes, resultados de las métricas, y observaciones de las partes interesadas. Las tareas a desarrollar son: 1.– Controlar el SGSI: a) Se detectan los errores en los resultados del tratamiento de riesgos. b) Se identifican y detectan las incidencias de Seguridad. c) Se controla que las actividades de seguridad son realizadas correctamente, tanto por la tecnología implantada, como por las personas en las que se ha delegado la responsabilidad. d) Determinar las acciones para resolver las brechas de seguridad de acuerdo a la prioridad de los negocios. e) Se establecen métricas de seguridad para medir la eficacia y eficiencia del SGSI (ISO 27004). f) Se determina las acciones llevadas a cabo para resolver una incidencia de seguridad son las adecuadas. 2.– Revisar el SGSI: a) Realizar auditorías y revisiones por la Dirección del SGSI: Þ Se revisa la Política de Seguridad y el Alcance del SGSI. Þ Se revisa el Análisis de Riesgos. Þ Se revisan los controles implantados. Þ Se realizan auditorías internas y externas. FASE 6: Mantenimiento y Mejora del SGSI Objetivo: Implementar las mejoras identificadas a partir de los resultados obtenidos en las fases anteriores, asegurando que éstas permitan alcanzar los objetivos del SGSI. 1.– Mantenimiento del SGSI: a) Se comunica a las partes interesadas las acciones y mejoras. b) Se ejecutan las acciones correctivas y preventivas. 2.– Mejora del SGSI: a) Se implantan las mejoras del SGSI que se han identificado.

Empfohlen

Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004dcordova923
 
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)Auditoría, Evaluación, Test de de seguridad (OSSTMM?)
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)Alejandro Corletti Estrada
 
Esquema Nacional de Seguridad
Esquema Nacional de SeguridadEsquema Nacional de Seguridad
Esquema Nacional de SeguridadAlejandro Corletti Estrada
 
Metodologia nessus snort
Metodologia nessus snortMetodologia nessus snort
Metodologia nessus snortAlejandro Corletti Estrada
 
Analisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAnalisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAlex Pin
 
Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actualJaime Restrepo
 
Curso: Control de acceso y seguridad: 03 Análisis de riesgos 2
Curso: Control de acceso y seguridad: 03 Análisis de riesgos 2Curso: Control de acceso y seguridad: 03 Análisis de riesgos 2
Curso: Control de acceso y seguridad: 03 Análisis de riesgos 2Jack Daniel Cáceres Meza
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 

Empfohlen

Iso 27001 E Iso 27004
Iso 27001 E Iso 27004Iso 27001 E Iso 27004
Iso 27001 E Iso 27004dcordova923
 
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)Auditoría, Evaluación, Test de de seguridad (OSSTMM?)
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)Alejandro Corletti Estrada
 
Esquema Nacional de Seguridad
Esquema Nacional de SeguridadEsquema Nacional de Seguridad
Esquema Nacional de SeguridadAlejandro Corletti Estrada
 
Metodologia nessus snort
Metodologia nessus snortMetodologia nessus snort
Metodologia nessus snortAlejandro Corletti Estrada
 
Analisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAnalisis y-modelado-de-amenazas
Analisis y-modelado-de-amenazasAlex Pin
 
Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actualJaime Restrepo
 
Curso: Control de acceso y seguridad: 03 Análisis de riesgos 2
Curso: Control de acceso y seguridad: 03 Análisis de riesgos 2Curso: Control de acceso y seguridad: 03 Análisis de riesgos 2
Curso: Control de acceso y seguridad: 03 Análisis de riesgos 2Jack Daniel Cáceres Meza
 
Development of Secure Applications
Development of Secure ApplicationsDevelopment of Secure Applications
Development of Secure ApplicationsRoger CARHUATOCTO
 
Introducción
IntroducciónIntroducción
IntroducciónFernando Salinas Garcia
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgossgalvan
 
Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativaCristiam Gomez Quijano
 
analisis cauza raiz
analisis cauza raizanalisis cauza raiz
analisis cauza raiznidia14
 
Seguridad informatica avanzada 2013
Seguridad informatica avanzada 2013Seguridad informatica avanzada 2013
Seguridad informatica avanzada 2013Maestros Online
 
Trabajo analisisriesgo22
Trabajo analisisriesgo22Trabajo analisisriesgo22
Trabajo analisisriesgo22Yesslyn Sarmiento
 
Fundamentos de la gestion de riesgos
Fundamentos de la gestion de riesgosFundamentos de la gestion de riesgos
Fundamentos de la gestion de riesgosRafael Mago
 
análisis y gestión del riesgo
análisis y gestión del riesgoanálisis y gestión del riesgo
análisis y gestión del riesgoSindi Santos Cardenas
 
Manual de evaluacion de riesgos
Manual de evaluacion de riesgosManual de evaluacion de riesgos
Manual de evaluacion de riesgosLGagosto34
 
Gestión del riesgo de software
Gestión del riesgo de software Gestión del riesgo de software
Gestión del riesgo de software jose_macias
 
Ppi t4 3
Ppi t4 3Ppi t4 3
Ppi t4 3juanestebancito
 
3.5.1 Tipos-de-riesgos
3.5.1 Tipos-de-riesgos3.5.1 Tipos-de-riesgos
3.5.1 Tipos-de-riesgosKike Lopez
 
Método delphi ADSI2010
Método delphi ADSI2010Método delphi ADSI2010
Método delphi ADSI2010Gigi Ac
 
Guia practica de_gestion_de_riesgos
Guia practica de_gestion_de_riesgosGuia practica de_gestion_de_riesgos
Guia practica de_gestion_de_riesgosMM CO
 
Riesgos
RiesgosRiesgos
RiesgosCésar Augusto Céspedes Cornejo
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
Eq 4 seg- fiis- matriz de riesgos
Eq 4 seg- fiis- matriz de riesgosEq 4 seg- fiis- matriz de riesgos
Eq 4 seg- fiis- matriz de riesgosAlexander Velasque Rimac
 
sesión 14
sesión 14sesión 14
sesión 14guestd696d2
 
IPv6 (parte_03)-encabezado
IPv6 (parte_03)-encabezadoIPv6 (parte_03)-encabezado
IPv6 (parte_03)-encabezadoAlejandro Corletti Estrada
 
Nivel de Inmadurez de los nids
Nivel de Inmadurez de los nidsNivel de Inmadurez de los nids
Nivel de Inmadurez de los nidsAlejandro Corletti Estrada
 
Seguridad WiFi (técnico)
Seguridad WiFi (técnico)Seguridad WiFi (técnico)
Seguridad WiFi (técnico)Alejandro Corletti Estrada
 
Iso 27001 los controles parte I
Iso 27001 los controles parte IIso 27001 los controles parte I
Iso 27001 los controles parte IAlejandro Corletti Estrada
 

Weitere ähnliche Inhalte

Was ist angesagt?

Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgossgalvan
 
analisis cauza raiz
analisis cauza raizanalisis cauza raiz
analisis cauza raiznidia14
 
Seguridad informatica avanzada 2013
Seguridad informatica avanzada 2013Seguridad informatica avanzada 2013
Seguridad informatica avanzada 2013Maestros Online
 
Fundamentos de la gestion de riesgos
Fundamentos de la gestion de riesgosFundamentos de la gestion de riesgos
Fundamentos de la gestion de riesgosRafael Mago
 
Manual de evaluacion de riesgos
Manual de evaluacion de riesgosManual de evaluacion de riesgos
Manual de evaluacion de riesgosLGagosto34
 
Gestión del riesgo de software
Gestión del riesgo de software Gestión del riesgo de software
Gestión del riesgo de software jose_macias
 
3.5.1 Tipos-de-riesgos
3.5.1 Tipos-de-riesgos3.5.1 Tipos-de-riesgos
3.5.1 Tipos-de-riesgosKike Lopez
 
Método delphi ADSI2010
Método delphi ADSI2010Método delphi ADSI2010
Método delphi ADSI2010Gigi Ac
 
Guia practica de_gestion_de_riesgos
Guia practica de_gestion_de_riesgosGuia practica de_gestion_de_riesgos
Guia practica de_gestion_de_riesgosMM CO
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 

Was ist angesagt? (18)

Introducción
IntroducciónIntroducción
Introducción
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgos
 
Paso 9 actividad colaborativa
Paso 9 actividad colaborativaPaso 9 actividad colaborativa
Paso 9 actividad colaborativa
 
analisis cauza raiz
analisis cauza raizanalisis cauza raiz
analisis cauza raiz
 
Seguridad informatica avanzada 2013
Seguridad informatica avanzada 2013Seguridad informatica avanzada 2013
Seguridad informatica avanzada 2013
 
Trabajo analisisriesgo22
Trabajo analisisriesgo22Trabajo analisisriesgo22
Trabajo analisisriesgo22
 
Fundamentos de la gestion de riesgos
Fundamentos de la gestion de riesgosFundamentos de la gestion de riesgos
Fundamentos de la gestion de riesgos
 
análisis y gestión del riesgo
análisis y gestión del riesgoanálisis y gestión del riesgo
análisis y gestión del riesgo
 
Manual de evaluacion de riesgos
Manual de evaluacion de riesgosManual de evaluacion de riesgos
Manual de evaluacion de riesgos
 
Gestión del riesgo de software
Gestión del riesgo de software Gestión del riesgo de software
Gestión del riesgo de software
 
Ppi t4 3
Ppi t4 3Ppi t4 3
Ppi t4 3
 
3.5.1 Tipos-de-riesgos
3.5.1 Tipos-de-riesgos3.5.1 Tipos-de-riesgos
3.5.1 Tipos-de-riesgos
 
Método delphi ADSI2010
Método delphi ADSI2010Método delphi ADSI2010
Método delphi ADSI2010
 
Guia practica de_gestion_de_riesgos
Guia practica de_gestion_de_riesgosGuia practica de_gestion_de_riesgos
Guia practica de_gestion_de_riesgos
 
Riesgos
RiesgosRiesgos
Riesgos
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de Riesgos
 
Eq 4 seg- fiis- matriz de riesgos
Eq 4 seg- fiis- matriz de riesgosEq 4 seg- fiis- matriz de riesgos
Eq 4 seg- fiis- matriz de riesgos
 
sesión 14
sesión 14sesión 14
sesión 14
 

Andere mochten auch

En seguridad hay que HACER y saber vender - Biografia van gogh
En seguridad hay que HACER y saber vender - Biografia van goghEn seguridad hay que HACER y saber vender - Biografia van gogh
En seguridad hay que HACER y saber vender - Biografia van goghAlejandro Corletti Estrada
 
Libro CIBERSEGURIDAD una Estrategia Informático / Militar
Libro CIBERSEGURIDAD una Estrategia Informático / MilitarLibro CIBERSEGURIDAD una Estrategia Informático / Militar
Libro CIBERSEGURIDAD una Estrategia Informático / MilitarAlejandro Corletti Estrada
 

Andere mochten auch (15)

IPv6 (parte_03)-encabezado
IPv6 (parte_03)-encabezadoIPv6 (parte_03)-encabezado
IPv6 (parte_03)-encabezado
 
Nivel de Inmadurez de los nids
Nivel de Inmadurez de los nidsNivel de Inmadurez de los nids
Nivel de Inmadurez de los nids
 
Seguridad WiFi (técnico)
Seguridad WiFi (técnico)Seguridad WiFi (técnico)
Seguridad WiFi (técnico)
 
Iso 27001 los controles parte I
Iso 27001 los controles parte IIso 27001 los controles parte I
Iso 27001 los controles parte I
 
IPv6 (parte_01)-componentes
IPv6 (parte_01)-componentesIPv6 (parte_01)-componentes
IPv6 (parte_01)-componentes
 
Seguridad WiFI (resumen ejecutivo)
Seguridad WiFI (resumen ejecutivo)Seguridad WiFI (resumen ejecutivo)
Seguridad WiFI (resumen ejecutivo)
 
Sentencia de muerte a los firewall
Sentencia de muerte a los firewallSentencia de muerte a los firewall
Sentencia de muerte a los firewall
 
Matriz de estado de seguridad
Matriz de estado de seguridadMatriz de estado de seguridad
Matriz de estado de seguridad
 
IPv6 (parte_02)-direcciones
IPv6 (parte_02)-direccionesIPv6 (parte_02)-direcciones
IPv6 (parte_02)-direcciones
 
En seguridad hay que HACER y saber vender - Biografia van gogh
En seguridad hay que HACER y saber vender - Biografia van goghEn seguridad hay que HACER y saber vender - Biografia van gogh
En seguridad hay que HACER y saber vender - Biografia van gogh
 
Iso 27001 y las PyMEs
Iso 27001 y las PyMEsIso 27001 y las PyMEs
Iso 27001 y las PyMEs
 
Iso 27001 e iso 27004
Iso 27001 e iso 27004Iso 27001 e iso 27004
Iso 27001 e iso 27004
 
Analisis iso 27001
Analisis iso 27001Analisis iso 27001
Analisis iso 27001
 
Iso 27001 los controles parte II
Iso 27001 los controles parte IIIso 27001 los controles parte II
Iso 27001 los controles parte II
 
Libro CIBERSEGURIDAD una Estrategia Informático / Militar
Libro CIBERSEGURIDAD una Estrategia Informático / MilitarLibro CIBERSEGURIDAD una Estrategia Informático / Militar
Libro CIBERSEGURIDAD una Estrategia Informático / Militar
 

Ähnlich wie Metodología implantación y certificación de PyMEs en ISO-27001

ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V Adcordova923
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es 207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-esxavazquez
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.Fer22P
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 
207811194-iso-27001-2013-v final
207811194-iso-27001-2013-v final 207811194-iso-27001-2013-v final
207811194-iso-27001-2013-v finalxavazquez
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptxAreaTIC1
 
Ensayo de Estandares.
Ensayo de Estandares.Ensayo de Estandares.
Ensayo de Estandares.Sole Leraguii
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Informaciónferd3116
 

Ähnlich wie Metodología implantación y certificación de PyMEs en ISO-27001 (20)

ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
Presentacion 27001 V A
Presentacion 27001 V APresentacion 27001 V A
Presentacion 27001 V A
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es 207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
207811194-iso-27001-2013-v final
207811194-iso-27001-2013-v final 207811194-iso-27001-2013-v final
207811194-iso-27001-2013-v final
 
27001
2700127001
27001
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptx
 
Trabajo
TrabajoTrabajo
Trabajo
 
Ensayo
EnsayoEnsayo
Ensayo
 
Ensayo de Estandares.
Ensayo de Estandares.Ensayo de Estandares.
Ensayo de Estandares.
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Presentación sgsi janethpiscoya
Presentación sgsi janethpiscoyaPresentación sgsi janethpiscoya
Presentación sgsi janethpiscoya
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
 
Claconsi 2012 bsi-lecciones aprendidas sgsi
Claconsi 2012 bsi-lecciones aprendidas sgsiClaconsi 2012 bsi-lecciones aprendidas sgsi
Claconsi 2012 bsi-lecciones aprendidas sgsi
 

Kürzlich hochgeladen

NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucioneschorantina325
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señorkkte210207
 

Kürzlich hochgeladen (6)

NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disoluciones
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digital
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
 

Metodología implantación y certificación de PyMEs en ISO-27001

  • 1. 1 Metodología de implantación y certificación en las PyMEs. (Por Alejandro Corletti Estrada: acorletti@darfe.es) Este artículo presenta una primera parte, que es el desarrollo conceptual para llevar adelante la implementación de ISO-27001 en una PyME, y la segunda parte, presenta las fases y metodologías prácticas que implementa NCS, para preparación de PyMEs 1. Desarrollo conceptual. El principal objetivo de este artículo es ofrecer un claro curso de acción para las PyMEs. No está orientado a las grandes empresas, pues cualquiera de ellas está en condiciones de contratar una consultoría externa y desentenderse del tema (....grave error), asumiendo también los grandes costes que ello implica. Por esta razón, es que toda PyME debe hacer una fuerte diferencia entre la “Necesidad de certificar” y el “Negocio de la Certificación”, que es la finalidad última de todo este texto pues, bien entendidas estas posturas es lo que les permitirá implementar a las PyMEs la mayoría de los puntos de este estándar, con gran independencia del “Negocio de la Certificación” que se gesta alrededor de todo estándar certificable. Lo que se trata de reflejar en el cuadro anterior es la decisión que deberá adoptar todo responsable de sistemas en los próximos años, es decir: Tal vez parezca cruel, o poco serio, pero es la cruda realidad (a veces la realidad supera ampliamente a la ficción, y en este tipo de determinaciones puedo asegurarlo con mucha certeza) . Se puede encarar esta ardua tarea, con la intención de aprovechar el esfuerzo o simplemente, para cumplir con un requisito que permita a la empresa seguir fielmente las exigencias del mercado y hacer el mínimo esfuerzo posible, tratando de (fría y crudamente) engañar al auditor…..(Lo que recuerden que, también afirmo y con mucha más contundencia, es que será imposible de mantener esta mentira). Puedo garantizar que será humanamente imposible volver a demostrar, año tras año, que el SGSI sigue rodando (la mentira tiene patas cortas). Es Para serles sinceros, si se poseen los conocimientos y capacidades necesarias, afirmaría que se puede “Dibujar” una certificación ISO 27001 (y lo que acabo de afirmar, es muy, pero muy atrevido….). Lo que también afirmo y con mucha más contundencia, es que será imposible de mantener esta mentira. Evidentemente, necesito certificar ISO 27001 en el corto plazo: ¿Busco sólo el sello? ¿Lo hago como se debe?
  • 2. 2 decir, no merece la pena tratar de encarar una futura certificación ISO 27001 si no se tiene como objetivo fundamental y sincero: “Implementar un VERDADERO SGSI” Esto se desmorona muy rápidamente si se partió de pilares débiles, engañosos o falsos, tratando meramente de obtener el sello de “ISO 27001” como única meta. Por lo tanto, primer “consejo” (si se puede llamar así): No se autoengañen, encaren esta tarea con la sana intención de aprovechar al máximo cada esfuerzo que esta les requiera. Una vez comprendido esto, creo necesario avanzar un poco más aún, pues esto afecta de lleno a las PyMEs y tal vez no tanto a una gran empresa. Todo responsable de implementar ISO 27001 en una PyME, en mayor o menor medida, “SÍ o SÍ” ¡¡ debe MOJARSE !! Una gran empresa, tal vez pueda darse el lujo de externalizar todo el proceso, el mantenimiento y las acciones a futuro……….una PyME seguro que no. A lo sumo, deberá contratar una consultora que le analice, diseñe, planifique e implemente inicialmente desde el vamos, todo el SGSI, pero es casi seguro que no podrá subcontratar el mantenimiento que un SGSI requiere, esta tarea implica poseer un claro entendimiento de lo que se hizo y el funcionamiento de todo el SGSI, por lo tanto, en cualquier caso alguien, responsable de la PyME deberá intervenir en profundidad. Esto no quiere decir que le implicará abandonar el resto de sus tareas, pero se debe ser consciente, que algo de su tiempo le deberá dedicar. El responsable de seguridad de la PyME deberá “Mojarse” desde el inicio. Puede hacerlo, embebiéndose del Estándar, e ir preparando poco a poco su empresa con un mínimo apoyo de algún especialista. Este curso de acción, requiere un mayor esfuerzo de los administradores de informática de la empresa (y de su responsable), pero es el que mayor experiencia les aportará y, los resultados, si se ponen ganas, serán muy buenos y dejarán claros los pasos a futuro para mantener el SGSI funcionando perfectamente. La segunda opción que puede tener el responsable de seguridad de una PyME, es contratar una consultoría para que lo guíe paso a paso en todo el proceso, ¡¡ ojo !!, no estoy diciendo que haga todo el trabajo, sino que vaya guiando a la empresa en cómo hacerlo, pues si lo hace la consultora, se cae en la mentira anteriormente mencionada, pues una vez que se retire el consultor, el SGSI será muy duro de mantener. Por lo tanto lo más importante a reflexionar sobre esta segunda opción es que no es “lavarse las manos”, sino trabajar codo a codo con el consultor, para aprovechar al máximo la experiencia de éste en cada paso, y ser capaz de tener un claro conocimiento de todo lo realizado, para mantenerlo en funcionamiento, se reitera que de esto se trata: “un ciclo de vida continuo”. En cualquiera de los dos casos, es perfectamente posible preparar una PyME para luego solicitar a los auditores acreditados la certificación ISO 27001.
  • 3. 3 ü Análisis y Estudio del Ámbito de Aplicación (Alcance de la Certificación ISO/IEC 27001:2005). ü Identificación de Activos. ü Análisis de Riesgos (orientado a procesos de negocio). ü Declaración de Intenciones de la Dirección. ü Plan de Acción para implementar ISO/IEC 27001:2005. ü Inicio del Rodaje: ü Selección de Hitos (Medibles, demostrables: RODAJE). ü Estándar de Seguridad: ü Relación Documental. ü LOPD y LSSI (conformidades legales). ü Planeamiento y Ejecución de Formación y Concienciación. ü Auditoría Interna (plan, realización, resultados, mejoras). ü Preparación de Presentación del SGSI a auditores. ü Solución de Observaciones y No Conformidades. 2. ¿Cómo Proponemos realizar esta tarea en una PyME? Esta actividad de apoyo a las PyMEs que desean encarar un SGSI, independientemente que su objetivo sea certificarse o no (pues muchas lo lanzan únicamente para mejorar la gestión de su seguridad), desde NCS la hacemos de acuerdo a las siguientes fases: FASE1: Análisis de la Situación Actual y Evaluación de la Seguridad Objetivo: Identificar los objetivos de negocio, ya que el propósito de la certificación es garantizar la gestión de la seguridad sin perder de vista que esta ayuda al desarrollo de las actividades comerciales de la PyME Las tareas a desarrollar son: 1.– Se identifican cuáles son las principales actividades empresariales, reflejándolas en un diagrama de flujo. 2.– Se selecciona un alcance adecuado para el sistema, ya que el esfuerzo a la hora de implementar el SGSI debe ser proporcional al tamaño del sistema a construir 3.– En base a la Norma ISO/IEC 27002:2005, se comprobará qué controles de dicha norma están implantados, y a qué nivel en base a un checklist. Con esto, se consigue determinar el estado de madurez en el que se encuentra la compañía, para poder identificar el esfuerzo que hay que hacer en la implementación. FASE2: Análisis y Gestión de Riesgos Objetivo: Establecer la relación entre la compañía y su entorno, identificando sus puntos fuertes y sus puntos débiles, oportunidades y amenazas. Las tareas a desarrollar son: 1.– Análisis de Riesgos. 2.– Tratamiento de Riesgos.
  • 4. 4 FASE3: Lanzamiento del SGSI Objetivo: Desarrollar los procedimientos necesarios que permitan implantar los controles seleccionados. En cada procedimiento se detallan los objetivos que se pretenden cubrir, cómo se implantan, y las responsabilidades asociadas. Las tareas a desarrollar son: Definición del SGSI: a) Se define la Política de Seguridad que establece de forma clara el enfoque de la política de actuación de la compañía, el alcance y los objetivos globales. b) Se recopilan los documentos relativos a la seguridad, existentes en la compañía. c) Se elaboran y estructuran los procedimientos de gestión y funcionamiento del SGSI, que darán soporte a la Política de seguridad definida para la compañía. d) Se desarrolla una bitácora de actividades en donde se van registrando los hitos alcanzados y las actividades que se están desarrollando a lo largo del tiempo. FASE 4: Implantación y Puesta en Marcha del SGSI Objetivo: Poner en marcha las políticas y procedimientos definidos en las fases previas, tomando previamente en consideración el necesario aprovisionamiento de fondos y la asignación de responsables. Las tareas a desarrollar son: 1.– Formular e implementar un Plan de Tratamiento del Riesgo que identifique las acciones, responsabilidades y prioridades de la Dirección para la gestión de los riesgos de la seguridad. 2.– Implantar Planes de Formación y Concienciación: a) Impartir Planes de Formación sobre los nuevos procedimientos. b) Impartir Planes de Concienciación sobre los beneficios que tiene implantar un SGSI en la compañía.
  • 5. 5 3.– Implantar el SGSI: a) Implantar políticas y procedimientos del SGSI. b) Implantar los controles seleccionados en el documento Declaración de Aplicabilidad. FASE 5: Control y Revisión del SGSI Objetivo: Realizar revisiones sobre la efectividad del SGSI atendiendo al cumplimiento de la política y objetivos del SGSI, los resultados de las auditorías de seguridad, incidentes, resultados de las métricas, y observaciones de las partes interesadas. Las tareas a desarrollar son: 1.– Controlar el SGSI: a) Se detectan los errores en los resultados del tratamiento de riesgos. b) Se identifican y detectan las incidencias de Seguridad. c) Se controla que las actividades de seguridad son realizadas correctamente, tanto por la tecnología implantada, como por las personas en las que se ha delegado la responsabilidad. d) Determinar las acciones para resolver las brechas de seguridad de acuerdo a la prioridad de los negocios. e) Se establecen métricas de seguridad para medir la eficacia y eficiencia del SGSI (ISO 27004). f) Se determina las acciones llevadas a cabo para resolver una incidencia de seguridad son las adecuadas. 2.– Revisar el SGSI: a) Realizar auditorías y revisiones por la Dirección del SGSI: Þ Se revisa la Política de Seguridad y el Alcance del SGSI. Þ Se revisa el Análisis de Riesgos. Þ Se revisan los controles implantados. Þ Se realizan auditorías internas y externas. FASE 6: Mantenimiento y Mejora del SGSI Objetivo: Implementar las mejoras identificadas a partir de los resultados obtenidos en las fases anteriores, asegurando que éstas permitan alcanzar los objetivos del SGSI. 1.– Mantenimiento del SGSI: a) Se comunica a las partes interesadas las acciones y mejoras. b) Se ejecutan las acciones correctivas y preventivas. 2.– Mejora del SGSI: a) Se implantan las mejoras del SGSI que se han identificado.