UNIVERSIDAD AUTNOMA DE SANTO DOMINGO

Fundada el 28 de Octubre de 1538 Primada de Amrica

FACULTAD DE CIENCIAS ESCUELA DE INFORMTICA

Centro Nagua

Maestra en Auditoria y Seguridad Informtica

Sistema de Gestin de Seguridad de la Informacin (SGSI), Normas, Controles, Implantacin y Proceso de Certificacin. (INF-842)
PROFESOR

Lic. Eddy L. Brito P.

TEMA PARTICIPANTES
Licda. Alcelis E. Ozoria Gelabert Lic. Alex Rafael Polanco Bobadilla Licda. Dilannia Yinet Taveras Nez Licda. Eloy Pea Santana Lic. Lus Keylin Hernndez Licda. Mara Eduvigis De Jess Luna Licda. Mara Elena Amaro Medina Ing. Milciades Comas Snchez Licda. Sixta Mara Hernndez Hinojosa Licda. Virtudes Miguel Calcao

IMPLANTACIN DE UN SISTEMA DE GESTIN DE SEGURIDAD DE INFORMACIN BAJO LA PTICA ISO 27001:2005

02 de diciembre de 2012

Las organizaciones gastan millones de dlares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabn ms dbil de la cadena de seguridad: la gente que usa y administra los ordenadores.

Kevin Mitnick

FAMILIA DE NORMAS ISO/IEC 27000

Terminologa

27000 Visin general y vocabulario

Requisitos generales

27001 Requisitos

27006 Requisitos para Organismos Certificadores

Guas generales

27002 Cdigo de Buenas Prcticas 27003 Guas de Implementacin 27004 Mtricas

27007 Guas de Auditora 27005 Gestin de riesgo

27008 Revisin de los Controles

ISO IEC IS 27031:2011 ISO IEC FCD 27033-X ISO IEC FCD 27034 ISO IEC IS 27035:2011

Guias especificas por sector

27011 Organizaciones de Telecomunicaciones Ref.: 27799 Organizaciones de Salud

Normative (Requirements standars)

Informative (Guidelines standars)

Fixed line: supports

MODELO PDCA APLICADO A LOS PROCESOS DE SGSI

PARTES INTERESADAS
REQUERIMIENTOS Y EXPECTATIVAS DE LA SEGURIDAD DE INFORMACIN
PLAN

ESTABLECER EL SGSI 4.2 IMPLEMENTAR Y OPERAR EL SGSI 4.2.2

DO
Desarrollar, mantener y mejorar el ciclo

PARTES INTERESADAS
SEGURIDAD DE INFORMACIN MANEJADA

MANTENER Y MEJORAR EL SGSI 4.2.4

ACT

MONITOREAR Y REVISAR EL SGSI 4.2.3

CHECK

CONTROLES: DOMINIOS
Evaluacin y tratamiento de riesgos

Polticas de Seguridad Organizacin de la seguridad de la informacin

Gestin de activos Control de accesos

Seguridad organizativa Seguridad lgica Seguridad fsica Seguridad legal

Cumplimiento Seguridad fsica y ambiental Gestin de incidentes de seg. de la informacin Gestin de continuidad del negocio Seguridad de recursos humanos Adquisicin, desarrollo y mantenimiento de informacin

Gestin de comunicaciones y operaciones

CICLO METODOLGICO PARA LA IMPLANTAR EL SGSI ISO 27001:2005

Entendimiento de los requerimientos del modelo (1) Obtencin de la Certificacin Internacional (11) Ejecucin de Auditorias Internas (10) Redaccin del Manual de Seguridad de Informacin (9) Desarrollo de competencias organizacionales (8) Mantener y mejorar el SGSI (7) Determinacin del Alcance del modelo (2) Anlisis y evaluacin del riesgo (3) Elaboracin Plan de Gestin de Continuidad Comercial (4) Implementar y operar el SGSI (5) Monitorear y revisar el SGSI (6)

FASE I ENTENDIMIENTO DE LOS REQUERIMIENTOS DEL MODELO

QU ES LA SEGURIDAD DE LA INFORMACIN?

FASE II DETERMINACIN DEL ALCANCE DEL MODELO DE LA EMPRESA

TCNICA DE GRUPO NOMINAL QU PROCESO SELECCIONAR?

EQUIPO ESTRATGICO TCTICO
Micliades Mara e.

PROCESO
Dilannia Alcelis Mara Alex Eloy Luis

1 2 3 4 5 6 7 8 9 10 11 12

Contabilidad Aud. Int. Sistemas Asesora leg. Seguridad Tesorera Crditos Logstica Adm. de Cred. Age. Org. Des. Defen. cli. MAR / ANG

3 4 1 5

2 4 2

2 4 4

4 4 5

3 4 5 5 5

Virtudes

Sixta

17 19

37 1

1 3 4 4 3 3 1 2 5 2 2 5 1 1 2 1 1 2 3 5 1 4 3 2 2 3

14 9 12 5 10 5 8 3

TOTAL

METODOLOGA DE LAS ELIPSES APLICADO AL PROCESO SISTEMAS

SBS Tesorera

Seguridad
-Seg. de archivos -Adm. antivirus e incidentes -Control acceso

Base de datos
-Perfil usuario -Monitoreo y afinamiento -Copias de seguridad -Actualizacin de objetos y cdigo fuente

Soporte tcnico
-Inst. aplicaciones -Actualizaciones -Mantenimiento -Inv. aplicaciones -Clasificacin activos

Redes y telecomunicaciones
-Comunicacin de voz y datos -Adm. y config. de equipos -Manejo de perfiles.

Seguridad

Bancos.

FASE III EFECTUAR UN ANLISIS Y EVALUACIN DEL RIESGO

IDENTIFICACIN DE ACTIVOS
# 1 2 3 4 5 6 7 8 9 10 Infraestructura de red Licencias de software Suministro de energa alternativa Servidor de aplicaciones Sistemas de telecomunicaciones Manuales Gerente de TI IDS / IPS Software de seguridad ACTIVOS Servidor de base de datos

11
12

Hardware
Sistema de backup

TASACIN DE ACTIVOS DE INFORMACIN

ACTIVO Servidor de base de datos Infraestructura de red Servidor de aplicaciones Gerente de TI Hardware CONFIDENCIALIDAD 5 4 4 4 3 INTEGRIDAD 5 5 4 3 5 DISPONIBILIDAD 5 3 4 3 4 TOTAL 5 4 4 3 4

ACTIVOS DE INFORMACIN Y PROPIETARIOS

ACTIVOS DE INFORMACIN
SERVIDOR DE BASE DE DATOS INFRAESTRUCTURA DE RED SERVIDOR DE APLICACIONES GERENTE DE TI

PROPIETARIOS
SISTEMAS SISTEMAS SISTEMAS SISTEMAS SISTEMAS

HARDWARE

IDENTIFICACIN DE LAS AMENAZAS

Activos de informacin
Naturales

A instalaciones

Humanas

Tecnolgicas

Operaciones
Errores de administracin de BD DoS Acceso no autorizado

Sociales

Servidor de base de datos

Inundaciones Terremotos

Cada de energa

Perdida de personal clave

Fallas del manejador de BD

Sabotaje

Infraestructura de red

Factores ambientales

Incendio Cada de energa

Perdida de personal clave

Fallas en la red Perdida de Ancho de seguridad banda Fallas en equipo insuficiente DoS Mal administracin del sistema Aspectos regulatorios Acceso no autorizado

Hacking

Servidor de aplicaciones

Incendio Cada de energa

Perdida de personal clave

Fallas de software

Gerente de TI

Huracanes

Epidemias Enfermedades Desvinculacin del personal

Incendio Cada de energa Mal uso de los equipos Fallas de hardware Falta de mantenimiento

Errores de uso

Delincuencia

Hardware

Inundacin

No apagado del equipo

Robo

PROBABILIDAD DE OCURRENCIA DE AMENAZAS

Activos de informacin

Amenazas
Cada de energa Perdida de personal clave Errores de administracin de BD Acceso no autorizado Inundaciones, Terremotos, Fallas del manejador de BD, DoS, Sabotaje Cada de energa Fallas en la red DoS Hacking Factores ambientales, Incendio, Perdida de personal clave, Ancho de banda insuficiente, Perdida de seguridad, Fallas en equipo Cada de energa Perdida de personal clave Fallas de software Acceso no autorizado Incendio, Mal administracin del sistema, Aspectos regulatorios Epidemias Desvinculacin del personal Errores de uso Delincuencia Huracanes, Enfermedades Perdida de energa Fallas hardware Falta de mantenimiento Robo Inundacin, incendio, mal uso de los equipos, no apagado de los equipos

Probabilidad de ocurrencia
5 2 2 4 3 4 1 3

TOTAL

Servidor de base de datos

Infraestructura de red

Servidor de aplicaciones

3 2 2 1 3 4 2 5 3 2 2 4

Gerente de TI

Hardware

POSIBLE EXPLOTACIN DE VULNERABILIDADES

Activos de informacin
Amenazas

Vulnerabilidad
Enfermedad Empleados desmotivados Renuncia voluntaria Fallecimiento Falta de polticas de acceso Segregacin inapropiada de funciones Password sin modificar Falta de mantenimiento a los equipos de energa alterna Suspensin del servicio elctrico Apagado de los equipos de energa alterna Variaciones de voltajes Falta de entrenamiento en seguridad Carencia de control de copiado Falta de actualizacin

Posibilidad de ser explotada la amenaza

1 1 1 1 1 2 1 1 3 1 2 3 2 1

TOTAL VULN.

Perdida de personal clave

Servidor de base de datos

Acceso no autorizado

Cada de energa

Errores de administracin de base de datos

FASE IV ELABORACIN DEL PLAN DE CONTINUIDAD DEL NEGOCIO

El plan de continuidad del negocio y su metodologa son exigidos por el modelo, mediante el control A.14

FASE V IMPLEMENTAR Y OPERAR EL SGSI

Sixta M. Hernandez H.

Dilannia Y. taveras N.

ACTIVIDADES EN LAS QUE SE DIVIDE LA FASE IMPLEMENTAR Y OPERAR

Elaborar el plan de tratamiento del riesgo.
Determinar la efectividad de los controles y la mtrica.

DEBERES DE LA ORGANIZACIN (ISO/IEC 27001)

Formular un plan de tratamiento de riesgos que identifiquen la accin, recursos, responsabilidades y prioridades de la gerencia para manejar los riesgos de seguridad de la informacin. Implementar el plan de tratamiento de riesgo a fin de alcanzar los objetivos de control identificados, lo cual incluye considerar la financiacin y la asignacin de funciones y responsabilidades. Definir el enfoque de evaluacin de riesgos de la organizacin:
identificar una metodologa de evaluacin de riesgos que sea adecuada para el SGSI y para los requisitos de seguridad de la informacin del negocio, legales y de regulacin identificados. prepara criterios de aceptacin del riesgo e identificar los niveles de riesgos aceptables.

Implementar programas de entrenamiento y concientizacin.

Administrar las operaciones del SGSI. Administrar recursos para el SGSI. Implementar procedimientos y otros controles capaces de permitir la rpida deteccin y respuesta a incidentes de seguridad.

FASE: DO
El diseo e implementacin del SGSI de una organizacin esta influenciado por sus necesidades y objetivos, requisitos de seguridad, los procesos, empleados y estructura de la organizacin.

Se espera que la escala de implementacin de un SGSI se establezca de acuerdo a la organizacin, es decir una situacin sencilla requiere una solucin de SGSI sencilla.

DETERMINAR LA EFECTIVIDAD DE LOS CONTROLES Y LA MTRICA

Definir como medir la eficacia de los controles o grupos de controles seleccionados y especificar como sern utilizadas estas mediciones para evaluar la efectividad del control para producir los resultados comparables y reproducibles. La medicin de eficacia de los controles permite que los gerentes y el personal determinen cuanto bien los controles logran los objetivos de control planificados. La empresa debe definir sus indicadores para poder determinar con evidencias objetivas si los controles seleccionados logran su propsito y poder determinar si el desempeo del SGSI es el adecuado.

4 TIPOS DISTINTOS DE DOCUMENTACIN

Polticas Objetivos Generales

Procedimientos

Desarrollo de los objetivos

Instrucciones

Comandos Tcnicos

Registros

Indicadores, Mtricas

Es en los registros es que se incluyen los indicadores y mtricas de seguridad que permiten evaluar la consecuencia de los objetivos

de seguridad establecidos.

FASE VI - MONITOREAR Y REVISAR EL SGSI

Lic. Lus Keylin Hernndez

Actividades de esta fase: Deteccin de incidentes y eventos de seguridad. La norma ISO 27001:2005 en su Seccin 3 Trminos y Definiciones.

Un evento de seguridad: ocurrencia identificada de una situacin de sistema, servicio o red que indica una posible violacin de la poltica de seguridad de la informacin o falla de salvaguardas, o una situacin previamente desconocida que puede ser relevante para la seguridad.

Un incidente de seguridad: un evento o serie de eventos de seguridad de la informacin indeseables o inesperados que tienen una probabilidad importante de comprometer las operaciones de negocios y amenazar la seguridad de la informacin.

Realizacin de las revisiones peridicas al SGSI. Esta actividad esta complementada con la clausula 7 de la Norma ISO 27001:2005 Revisin del SGSI por la Direccin Generalidades: la gerencia deber revisar el SGSI al menos una vez al ao. (Apropiado, adecuado y efectivo).

Entradas de la revisin: La entrada para una revisin de gerencia deber incluir:

a)los resultados de las auditorias y revisiones del SGSI; b)la retroalimentacin de las partes interesadas; c)las tcnicas, productos o procedimientos, que podran usarse en la organizacin para mejorar el desempeo y efectividad del SGSI; d)situacin de las medidas preventivas y correctivas; e)las vulnerabilidades o amenazas que no se enfocaron adecuadamente en la evaluacin de riesgos previa; f)los resultados de las mediciones de efectividad; g)las medidas de seguimiento de revisiones de gerencia anteriores; h)cualquier cambio que pudiera afectar al SGSI; y i)recomendaciones de mejoras

Salidas de la revisin
El resultado de la revisin de gerencia deber incluir cualquier decisin y accin relativas a lo siguiente:
a) Mejoramiento de la efectividad del SGSI. b) Actualizacin de la evaluacin de riesgos y del plan de tratamiento de riesgos. c) Modificacin de los procedimientos y controles de seguridad de la informacin, segn sea necesario, para responder a eventos internos o externos que puedan impactar el SGSI, incluyendo cambios en:
1.los requerimientos del negocio; 2.los requisitos de seguridad; 3.procesos de negocios que afectan los requerimientos actuales del negocio; 4.requisitos de regulacin o legales; 5.obligaciones contractuales; y 6.criterios de niveles de riesgo y/o de aceptacin de riesgos.

d) Necesidades de recursos. e) Mejoramiento de la medicin de efectividad de los controles.

 Implantar Mejoras Acciones Correctivas Acciones Preventivas

FASE VII MANTENER Y MEJORAR EL SGSI

Lic. Virtudes Miguel Calcao

CMO MEJORAR?
Mediante el uso de polticas de seguridad de la informacin;
Objetivos de seguridad de informacin; Resultados de auditorias;

Anlisis de eventos monitoreados;

Acciones correctivas y preventivas; Revisiones de gerencias.

RELACIN CON LA CLAUSULA 8.2 Y 8.3 DE LA NORMA

Implementar las acciones correctivas y preventivas. Se deben tener procedimientos documentados; Haber generado en la cultura de la organizacin el hbito de que ante un no cumplimiento de requerimiento, se genera acciones correctivas; La empresa debe haber desarrollado el hbito de estar peridicamente revisado estadsticamente, observar tendencia y con base en esa informacin, elaborar acciones preventivas.

8.2 ACCIN CORRECTIVA

La organizacin debe tomar acciones para eliminar la causa de las no conformidades con los requerimientos del SGSI, para prevenir su recurrencias. El procedimiento documentado para las acciones correctivas debe definir los requisitos para:

a)
b) c) d) e) f)

Identificar las no conformidad;

Determinar las causa de las no conformidades; Evaluar la necesidad de acciones, para asegurarse de que las no conformidades no vuelven a ocurrir; Determinar e implementar las acciones correctivas necesarias; Registrar los recursos de la acciones tomadas; Revisar las acciones correctivas tomadas.

8.3 ACCIN PREVENTIVA

La organizacin debe determinar acciones para eliminar las causas de las no conformidades potenciales con los requisitos del SGSI, para prevenir su ocurrencia. Las acciones correctivas deben ser apropiadas a los impactos de los problemas potenciales, el procedimiento documentado para las acciones preventivas debe definir los requisitos para: a) b) Identificar las no conformidades y sus causas; Evaluar las necesidades de actuar para prevenir la ocurrencia de no conformidad;

c)
d) e)

Determinar e implementar la acciones preventivas necesarias;

Registrar los resultados de las acciones tomadas; Revisar las acciones preventivas tomadas.

FASE VIII DESARROLLO DE COMPETENCIAS ORGANIZACIONALES

Ing. Milciades Comas S. Lic. Alcelis E. Ozoria Gelabert

DESARROLLO DE COMPETENCIAS ORGANIZACIONALES

La implementacin del modelo ISO 27001:2005 exige que la empresa tenga ciertas competencias organizacionales, desarrolladas en el personal de la empresa.
En esencias, se requieren tres competencias bsicas, las cuales conforman las tres actividades de esta fase.

1- ENTRENAMIENTO EN DOCUMENTACIN DE UN SGSI

Es de vital importancia que el personal afectado por la implantacin del modelo tenga las destrezas para poder documental procedimientos, polticas, instrucciones de trabajo, y saber identificar registros del Sistema de Seguridad de Informacin.

2- ENTRENAMIENTO EN MANEJO DE LA ACCIN CORRECTIVA Y PREVENTIVA

Ante la ocurrencia de una no conformidad (el no cumplimiento con los requerimientos) se debe iniciar la accin correctiva. La Clusula 8.2 es muy clara al respecto.
Por otro lado, el modelo exige a la empresa que recolecte datos de todas la ocurrencias de incidentes de seguridad significativos del SGSI. Clusula 4.3.3.

El objetivo de este requerimiento es que, con base en evidencias objetivas de ocurrencias, se vean las tendencias y las empresas desarrolle acciones preventivas para evitar que la no conformidad se presente.

3- ENTRENAMIENTO EN MANEJO DE LA AUDITORA

La auditora, tal como lo exige la clusula 6 de la norma, requiere que la empresa se audite a s misma para demostrar que su sistema se mantiene y que busca nuevas oportunidades de mejora. Usualmente las empresas deciden formar a personal interno como auditores internos, para cumplir con el requerimiento de la clusula 5.2.2, "capacitacin, conocimiento y capacidad", el personal que ejecutar la funcin de auditor interno debe cumplir con el requerimiento de tener las competencias. La prctica internacional exige que las personas hayan sido capacitadas por medio de un curso no menor de 16 horas.

5.2.2 ENTRENAMIENTO, CONCIENTIZACIN Y COMPETENCIA

La organizacin deber asegurar que todo el personal al que se le ha asignado responsabilidades definidas en el SGSI sea competente para desempear las tareas requeridas, mediante lo siguiente:
Determinando las competencias necesarias para el personal que ejecuta trabajo relativo al SGSI; Proporcionando entrenamiento o tomando otras medidas (por ejemplo, empleando personal competente) para satisfacer estas necesidades; Evaluando la efectividad de las medidas tomadas; y

5.2.2 ENTRENAMIENTO, CONCIENTIZACIN Y COMPETENCIA

d) Manteniendo registros de la educacin, entrenamiento, especialidades, experiencia y calificaciones. La organizacin tambin deber asegurar que todo el personal pertinente est consciente de la relevancia e importancia de sus actividades de seguridad de la informacin, y cmo contribuyen ellos al logro de los objetivos de SGSI.

FASE IX REDACCIN DEL MANUAL DE SEGURIDAD DE INFORMACIN

Eloy Pea Santana y Mara Elena Amaro

PIRAMIDE DOCUMENTAL

LA REDACCIN DEL MANUAL DE SEGURIDAD

Organiza la Documentacin,

Facilita la Auditoria,

Agrupa la Documentacin, considerada como vital.

4.3 REQUISITOS DE DOCUMENTACION

Incluir los registros de las decisiones de gerencia;
Asegurar que las acciones sean derivadas de las decisiones y polticas de gerencia; Que los resultados sean reproducibles.

LA DOCUMENTACIN DEL SISTEMA DE GESTIN DE SEGURIDAD DEBE INCLUIR

a) Las declaraciones documentadas de la poltica y objetivos del SGSI (ver 4.2.1b);
b) Los alcances del SGSI (ver 4.2.1a)); c) Los procedimientos y controles que apoyan el SGSI; d) La descripcin de la metodologa de evaluacin de los riesgos (ver 4.2.1c);

e) El informe de evaluacin de riesgos (ver 4.2.1c a 4.2.1g);

f) El plan de tratamiento de riesgos (ver 4.2.2b);

g) Procedimientos documentados que la organizacin necesita para asegurar el planeamiento, operacin y control efectivos de sus procesos de seguridad de la informacin y describir cmo medir la efectividad de los controles (ver 4.2.3c);

h) Los registros requeridos por esta Norma Internacional (ver 4.3.3);

i) La Declaracin de Aplicabilidad.

A) POLTICAS Y OBJETIVOS DEL SGSI

Documento de contenido genrico que establece el compromiso de la direccin y el enfoque de la organizacin en la gestin de la seguridad de la informacin.

Para los fines de esta Norma Internacional, la poltica del SGSI es considerada como un superconjunto de la poltica de seguridad de la informacin. Estas polticas pueden describirse en un solo documento.

4.2,1b) Definir una poltica de SGSI en funcin de las caractersticas del negocio, la organizacin, su ubicacin, activos y tecnologa.

B) ALCANCE DEL SGSI

mbito de la organizacin que queda sometido al SGSI. Se debe incluir una identificacin clara de las dependencias, relaciones y limites que existen entre el alcance y aquellas partes que no hayan sido consideradas, prestando especial atencin en aquellos casos en los que el mbito de influencia del SGSI considere una parte menor de la organizacin como delegaciones, divisiones, reas, procesos o tareas concretas

4.2.1a) Definir el alcance y lmites del SGSI en funcin de las caractersticas del negocio, la organizacin, su ubicacin, activos, tecnologa, e incluyendo detalles y justificacin de cualquier exclusin del alcance (ver 1.2).

C) PROCEDIMIENTOS Y MECANISMOS DE CONTROL QUE SOPORTAN AL SGSI:

Son aquellos procedimientos que regulan el propio funcionamiento del SGSI.

D) DESCRIPCIN DE LA METODOLOGA DE EVALUACIN DE LOS RIESGOS.

4.2.1 c: Definir el enfoque de evaluacin de riesgos de la organizacin.

1.- Identificar la metodologa de evaluacin de riesgos que sea adecuada.

2.- Preparar criterios de aceptacin de riesgos e identificar los niveles de riesgos aceptables.

E) INFORME DE EVALUACIN DE RIESGOS

4.2.1. g : Seleccionar objetivos de control y controles para el tratamiento de los riegos.
1.-Los objetivos de control y controles debern seleccionarse y e implementarse para cumplir con los requisitos identificados en el proceso de evaluacin de riesgos. 2.- La seleccin de estos objetivos deber tomar en cuenta los criterios de aceptacin de riesgos (ver 4.2.1 c) as como los requisitos legales, de regulacin y contractuales.

F) PLAN DE TRATAMIENTO DE RIESGOS

4.2.2. b: Implementar el plan de tratamiento de riesgos a fin de alcanzar los objetivos de control identificados, lo cual incluye considerar la financiacin y la asignacin de funciones y responsabilidades.

G) PROCEDIMIENTOS DOCUMENTADOS QUE LA ORGANIZACIN NECESITA PARA ASEGURAR EL PLANEAMIENTO, OPERACIN Y CONTROL EFECTIVOS DE SUS PROCESOS DE SEGURIDAD DE LA INFORMACIN Y DESCRIBIR CMO MEDIR LA EFECTIVIDAD DE LOS CONTROLES.
4.2.3. c: Medir la efectividad de los controles para verificar que los requisitos de seguridad se han cumplido.

H) LOS REQUISITOS REQUERIDOS POR ESTA NORMA INTERNACIONAL

4.3.3 Control de Registros: se deber establecer y mantener registros para proveer evidencias.

Los registros debern permanecer legibles, fcilmente identificables. Se debern documentar e implementar controles para la identificacin, almacenamiento, proteccin, recuperacin, tiempo de retencin y eliminacin de registros.

I) DECLARACIN DE APLICABILIDAD

FASE X EJECUCIN DE AUDITORAS INTERNAS

Licda. Mara E. De Jess Luna

CLAUSULA 6: AUDITORIAS INTERNAS DEL SGSI

Literalmente, Plantea: Las organizacin debe realizar auditoria internas del SGSI a intervalos planeados para determinar si los objetivos, controles, procesos y procedimientos de sus SGSI a) Cumplen con los requerimientos del estndar y la legislacin o regulaciones relevantes; b) Cumplen con los requisitos de seguridad de la informacin identificados; c) Son implementados y mantenidos de manera efectivo;

d) Se desempean como se esperaba.

AUDITORIAS INTERNAS DEL SGSI

Las auditorias deben realizarse cumpliendo con todas las exigencias de la clausula 6 de la norma. Deben utilizarse los lineamientos de la ISO 190011:2002

El auditor debe ser independiente al rea auditada y mantener registros de Auditoria y sus resultados.
La auditoria es un elemento fundamental para asegurar el mantenimiento del sistema e impulsar la mejora continua. La gerencia es responsable del rea siendo auditada, debe accionar para que se eliminen las no-conformidades detectadas y sus causas.

PROCEDIMIENTO GENERAL DE AUDITORIA AL SGSI

Definir un Plan Anual de Auditoria Planificacin de Auditoria Ejecucin de Auditoria Informe de Auditoria

Reunin con DGC

FASE XI OBTENCIN DE LA CERTIFICACIN INTERNACIONAL

Lic. Alex Rafael Polanco Bobadilla

EL CERTIFICADO
Obtener un documento a travs de un tercero de confianza que verifica la correcta implantacin de la norma.
Con ello se certifica la gestin del sistema pero no las medidas implantadas o la seguridad de la empresa. Lo que certifica es que la empresa gestiona adecuadamente la seguridad.

Las empresas certifican sus sistemas:

Para mejorar su imagen; Porque sus clientes lo demandan; Porque creen que es bueno para su gestin interna.

Para poder certificarse un SGSI tiene que:

Estar basado en la norma ISO/IEC 27001; Estar implantado y funcionando; Existir evidencias que lo demuestren; Contar con recursos econmicos y personal de la empresa para atender a las demandas de la entidad de certificacin.

BSQUEDA DE LA EMPRESA CERTIFICADORA

La empresa certificadora debe:
Contar con auditores certificados; Posee la adecuada acreditacin.

Gestin de solicitud de certificacin

Especificando datos relevantes sobre la organizacin y la implantacin del SGSI Alcance; Nmero de empleados; Calculo del precio y el nmero de das de duracin de la auditoria; Nmero de auditores que la llevarn a cabo, etc.

REALIZACIN DE LA AUDITORA POR PARTE DE LA CERTIFICADORA

I.

Auditoria Documental
La poltica de seguridad; El alcance de la certificacin; El anlisis de riesgos; La seleccin de los controles de acuerdo con la declaracin de aplicabilidad; La revisin de la documentacin de los controles seleccionados por la entidad de certificacin.

II. Auditoria de Cumplimiento

EL INFORME
1. 2. Todo correcto; Observaciones sobre el sistema que no tienen excesiva relevancia pero que deben ser tenidas en cuenta en la siguiente fase de la auditoria, bien para ser revisadas in-situ o bien para ser mejoradas en el siguiente ciclo de mejora; No conformidades menores. Estas son incidencias encontradas en la implantacin subsanables mediante la presentacin de un Plan de Acciones Correctivas en el que se identifican la incidencia y la manera de solucionarla;

3.

4.

No conformidades mayores que deben ser subsanadas por la empresa sin su resolucin y en la mayor parte de los casos, la realizacin de una auditoria extraordinaria por parte de la entidad de certificacin, no se obtendra el certificado ya que se trata de incumplimientos graves de la norma. En caso de darse tras la auditoria documental es necesario su resolucin antes de llevar a cabo la auditoria in-situ.

OBTENCIN DE LA CERTIFICACIN
Una vez conseguido el certificado del sistema, ste tiene una validez de tres aos, aunque est sujeto a revisiones anuales. Durante el primer ao se realiza la auditoria inicial. Posteriormente cada tres aos se realiza una auditoria de renovacin. En los dos aos posteriores tanto a la auditoria inicial como a las de renovacin se realizaran auditorias de seguimiento. Una vez conseguido el certificado del sistema, ste tiene una validez de tres aos, aunque est sujeto a revisiones anuales.

CONCLUSIONES

La implantacin del modelo ISO 27001:2005 requiere una participacin completa del nivel estratgico.
Su papel tiene que ser protagnico en la implantacin del modelo. La implantacin del ISO 27001:2005 tiene que contemplarse como un proyecto, el cual tiene:
Tiempos asignados a actividades; Consume recursos; Tiene un gerente que lo controla; Tiene un padrino que lo apoya (alta gerencia).

La correcta implantacin del modelo en una empresa debe seguir pasos metodolgicos comprobados y consistentes, que den resultados comparables y reproducibles.

El Ciclo metodolgico para la implantacin del modelo ISO 27001:2005 consta de 11 fases y de 26 actividades.
El funcionamiento de la metodologa tiene que ir acompaado de habilidades para la documentacin de los documentos exigidos por el ISO 27001:2005. Todos los pasos de la metodologa estn orientados a preparar a una empresa en el menor tiempo posible, para obtener la certificacin internacional del modelo. La duracin en implantar el ISO 27001:2005 depende de:
El alcance del modelo; Los recursos disponibles; La participacin de la gerencia; La prioridad que se le da al proyecto de implantacin.

Usualmente es un estimado adecuado calcular unos doce meses.

Licda. Alcelis E. Ozoria Gelabert Lic. Alex Rafael Polanco Bobadilla Licda. Dilannia Yinet Taveras Nez Licda. Eloy Pea Santana Lic. Lus Keylin Hernndez

Licda. Mara Eduvigis De Jess Luna Licda. Mara Elena Amaro Medina Ing. Milciades Comas Snchez Licda. Sixta Mara Hernndez Hinojosa Licda. Virtudes Miguel Calcao