Professional Documents
Culture Documents
Objetivo
Compartir con ustedes nuestra experiencia de implantacin y certificacin del Sistema de Gestin de la Seguridad de la Informacin (SGSI) de SONDA Uruguay bajo la norma ISO/IEC 27001
2
SONDA
Agenda
Aspectos sobre la norma ISO/IEC 27001 Proceso de implantacin y certificacin del SGSI Conclusiones, preguntas y respuestas
3
SONDA
4
SONDA
Qu es gestin de la seguridad?
El Sistema de Gestin de la Seguridad de la Informacin (SGSI) es la parte del sistema de gestin global basada en un enfoque de riesgos del negocio, para: Implementar, operar, monitorear, mantener y mejorar la seguridad de la informacin.
5
SONDA
Conceptos Fundamentales
Amenazas
Protegen contra Explotan
Vulnerabilidades
Exponen
Aumentan
Aumentan
Controles
Determinan Eficacia
Cubiertos por
Reducen
Riesgos
Activos
Tienen
Indican
Aumentan
Mtricas
Requerimientos
Valor
Planificar
Actuar
PHVA
Hacer Verificar
Revisar la eficacia de los controles Realizar auditoras internas del SGSI Revisiones del SGSI por parte de la Direccin
Implantar el SGSI
Modelo P-H-V-A
7
SONDA
5
6 7 8 9 10 11
Poltica de Seguridad
Organizacin de la seguridad Gestin de activos Seguridad de los Recursos Humanos Seguridad fsica y del entorno Gestin de comunicaciones y operaciones Control de acceso
1
2 2 3 2 10 7
2
11 5 9 13 32 25
12
13 14 15
6
2 1 3
16
5 5 10
Totales
39
133
8
SONDA
9
SONDA
Introduccin SONDA
SONDA es la principal empresa latinoamericana de Servicios TI e Integracin de Sistemas
Ingresos 2008 > US$ 671 millones Utilidades US$ 80 millones Empleados > 10.000
Introduccin SONDA
Mxico Costa Rica Colombia Ecuador Per
Brasil
Uruguay
Argentina Chile
11
SONDA
Soporte infraestructura
Service Desk
Aplicaciones
Consultora
Servicios Residentes
Centros de cmputos
Calidad
PMO
12
SONDA
Introduccin Historia
Objetivo corporativo Creacin de proyecto para la consecucin del objetivo
13
SONDA
Proyecto
Apoyo de la PMO Entregables
E1: Acuerdos de confidencialidad E2: Informe de anlisis de riesgo E3: Procesos implantados
Capacitacin al personal Indicadores del SGSI Auditora interna realizada
Presupuesto
Previsiones del sector para mejoras y nuevos controles Estimacin de RRHH en base a dimensin de proyecto/cliente
14
SONDA
Proyecto de implantacin
Etapa 1
Actividad principal:
Anlisis de riesgo
Etapa 2
Actividad principal:
Implementacin de controles
15
16
SONDA
17
SONDA
18
SONDA
organizacin dentro de la
empresa
19
SONDA
Seguridad de la Informacin.
Cumplimiento de requisitos legales en materia de seguridad. Realizar Anlisis de riesgo
20
SONDA
Mtrica
Meta
Obtencin o mantenimien to del certificado
Responsable
Frecue ncia
Certificado
Comit de Seguridad
Anual
Porcentaje de los funcionarios con al menos dos capacitaciones sobre la norma ISO/IEC 27001
100%
Comit de Seguridad
Anual
Dic-08
Comit de Seguridad
Anual
Dic-08
21
SONDA
22
SONDA
1. Identificacin
valoracin
de
activos
Descripcin
Existe una gran probabilidad de que ocurra, por lo menos una vez. Podra ocurrir con alguna probabilidad. Es un fenmeno que ocurre rara vez en el ao.
24
Media
Baja
SONDA
Situacin No hay Vulnerabilidad S hay controles y son suficientes Hay algunos controles
25
SONDA
MedioAlto
En la hoja Inventario de Activos, para el grupo Base de Datos Comn, se encuentra la siguiente valoracin:
Disponibilidad Medio Integridad Alto Confidencialidad Medio-Alto
26
SONDA
Baja
Media
Alta
Muy bajo
Bajo
Medio
Media
Bajo
Medio.
Alto
Alta
Medio
Alto
Muy alto
27
SONDA
28
SONDA
Descripcin Impacto muy bajo - No requiere accin. Impacto bajo - No requiere accin. Efectos menores en el negocio - No requiere accin. Algn efecto negativo - No se considera necesario tomar accin. Efecto negativo en el negocio. Estos riesgos son considerados aceptables.
29
SONDA
Descripcin Tendran serios efectos negativos en el negocio. Tendran efectos negativos mayores en el negocio, y deberan ser reducidos en todas las circunstancias. Tendran efectos desastrosos en el negocio, y deberan ser reducidos en todas las circunstancias.
30
SONDA
31
SONDA
9. Monitoreo y revisin
Se realizan revisiones peridicas y cuando se producen cambios significativos a los procesos del negocio.
32
SONDA
Detalle
I S m e Justificacin p l l
del
33
SONDA
Por uso no autorizado de medios de almacenamiento porttiles (Tel. Celulares, USB Tokens, Cmaras, Ipods, etc.)
34
SONDA
35
SONDA
37
SONDA
38
SONDA
39
SONDA
15
40
SONDA
41
SONDA
Generador de mejoras
En los procesos del negocio Concientizacin del personal y la organizacin
Consultas?
paulo.delmonte@uy.sonda.com
44
SONDA