guía de implantación de un sgsi basado en la norma une-iso...
TRANSCRIPT
IntroducciónAnálisis
ImplantaciónConclusiones
Agradecimientos
Guía de implantación de un SGSI basado en lanorma UNE-ISO/IEC 27001
Trabajo final de carrera
Manuel Muñoz Martín
Área de Gestión de proyectosUniversitat Oberta de Catalunya
Tutor Ana Cristina Domingo Troncho
Junio, 2015
Manuel Muñoz Martín Guía de implantación de la norma ISO 27001
IntroducciónAnálisis
ImplantaciónConclusiones
Agradecimientos
La norma ISO 27001
Interés y motivación en el desarrollo del trabajo orientado alaprendizaje y formación sobre la norma ISO 27001.La elección de esta norma es debido a que se trata de unestándar internacional en seguridad de la informaciónampliamente reconocida.La norma se basa en el Ciclo de Deming y a partir de estadesarrollaremos la implantación del proyecto.El proyecto se compone de tres partes bien diferenciadas:
AnálisisImplantaciónConclusiones
Manuel Muñoz Martín Guía de implantación de la norma ISO 27001
IntroducciónAnálisis
ImplantaciónConclusiones
Agradecimientos
EmpresaAnálisis diferencialPolíticas de seguridadInventarioAnálisis de riesgosDocumento de aplicabilidad
Parte I. Análisis
Definimos los objetivos de negocio que persigue laimplantación de la norma.Realizamos un análisis de situación de la empresa Treval denuestro trabajo y especificamos claramente el alcance denuestro proyecto.Realizamos un análisis diferencial aunque no sea obligatoriopor parte de la norma.Definimos las políticas de seguridad y el enfoque de análisis deriesgo.Realizamos el inventario y valoración de los activos de nuestraempresa.Especificamos la valoración de los riesgos y redactamos ladeclaración de aplicabilidad de la norma.
Manuel Muñoz Martín Guía de implantación de la norma ISO 27001
IntroducciónAnálisis
ImplantaciónConclusiones
Agradecimientos
EmpresaAnálisis diferencialPolíticas de seguridadInventarioAnálisis de riesgosDocumento de aplicabilidad
Objetivos de negocio
Previamente a las demás tareas se debe realizar un análisis decuáles son los objetivos de negocio que persigue la adopción dela norma.Estos objetivos pueden provenir de diferentes ámbitos de unaempresa y no tienen por qué estar ligados a un áreadeterminada.Cada uno de estos objetivos puede variar dependiendo delsector empresarial o nivel organizativo.
Manuel Muñoz Martín Guía de implantación de la norma ISO 27001
IntroducciónAnálisis
ImplantaciónConclusiones
Agradecimientos
EmpresaAnálisis diferencialPolíticas de seguridadInventarioAnálisis de riesgosDocumento de aplicabilidad
Descripción de la empresa
Realizaremos un análisis de la empresa para saber su situaciónactual y funcionamiento.El análisis organizativo es necesario para poder saber sugestión de procesos interna.El análisis de su infraestructura tecnológica nos ayudará asaber su grado de compromiso con las tecnologías de lainformación.
Manuel Muñoz Martín Guía de implantación de la norma ISO 27001
IntroducciónAnálisis
ImplantaciónConclusiones
Agradecimientos
EmpresaAnálisis diferencialPolíticas de seguridadInventarioAnálisis de riesgosDocumento de aplicabilidad
Alcance de proyecto
Debemos definir en esta fase los límites del proyecto y hastadonde abarcaremos.El alcance puede afectar a una parte o toda una organización.También podemos definirlo a partir de procesos o unidadesorganizativas.Definir de manera errónea o arbitraria el alcance del proyectopuede llevar a un aumento del tiempo o recursos para eldesarrollo del mismo.
Manuel Muñoz Martín Guía de implantación de la norma ISO 27001
IntroducciónAnálisis
ImplantaciónConclusiones
Agradecimientos
EmpresaAnálisis diferencialPolíticas de seguridadInventarioAnálisis de riesgosDocumento de aplicabilidad
Análisis diferencial (Gap Analysis)
Aunque no sea obligatoriopor parte de la normarealizar un análisisdiferencial previo nosrevelará la situación actualde la empresa respecto ala norma ISO 27001.Utilizaremos el documentode aplicabilidad comobase para hacer el estudio.
Manuel Muñoz Martín Guía de implantación de la norma ISO 27001
IntroducciónAnálisis
ImplantaciónConclusiones
Agradecimientos
EmpresaAnálisis diferencialPolíticas de seguridadInventarioAnálisis de riesgosDocumento de aplicabilidad
Políticas de seguridad y enfoque del análisis de riesgos
Debemos definir las políticas de seguridad de la organización.Se basarán en las directrices de la empresa en materia deseguridad.Seleccionaremos la metodología de evaluación de riesgos parael proyecto entre todas las alternativas.Utilizaremos Magerit para realizar el análisis de riesgos creadapor el Consejo Superior de Administración Electrónica.
Manuel Muñoz Martín Guía de implantación de la norma ISO 27001
IntroducciónAnálisis
ImplantaciónConclusiones
Agradecimientos
EmpresaAnálisis diferencialPolíticas de seguridadInventarioAnálisis de riesgosDocumento de aplicabilidad
Inventario de activos
Hacemos una lista contodos los activos definidosen el alcance asignándolesresponsables, categorías yubicaciones.Este documento nosservirá para saber losriesgos expuestos en laorganización.
Manuel Muñoz Martín Guía de implantación de la norma ISO 27001
IntroducciónAnálisis
ImplantaciónConclusiones
Agradecimientos
EmpresaAnálisis diferencialPolíticas de seguridadInventarioAnálisis de riesgosDocumento de aplicabilidad
Valoración de activos
Realizamos una valoraciónde los activos a partir desu confidencialidad,integridad ydisponibilidad.La suma de estos valoresnos dará el valor delactivo en la organizaciónrespecto a la seguridad dela información.
Manuel Muñoz Martín Guía de implantación de la norma ISO 27001
IntroducciónAnálisis
ImplantaciónConclusiones
Agradecimientos
EmpresaAnálisis diferencialPolíticas de seguridadInventarioAnálisis de riesgosDocumento de aplicabilidad
Identificación de amenazas y valoración de riesgos
Identificamos del listadode amenazas de lametodología Mageritaquellas que más afectana nuestros activos.El nivel de riesgo total secalcula a partir demultiplicar los valores deimpacto, amenaza yvulnerabilidad.
Manuel Muñoz Martín Guía de implantación de la norma ISO 27001
IntroducciónAnálisis
ImplantaciónConclusiones
Agradecimientos
EmpresaAnálisis diferencialPolíticas de seguridadInventarioAnálisis de riesgosDocumento de aplicabilidad
Documento de aplicabilidad
Con el análisis de riesgosya podemos saber cuálesson los controles aimplementar en laempresa.El documento deaplicabilidad secorresponde con el anexoA de controles de lanorma.
Manuel Muñoz Martín Guía de implantación de la norma ISO 27001
IntroducciónAnálisis
ImplantaciónConclusiones
Agradecimientos
Tratamiento de riesgosPlan de trabajo
Parte II. Implantación
Crearemos los planes de tratamiento de riesgos.Se asignarán responsables y recursos.Detallaremos las tareas a realizar así como el coste de losplanes.Crearemos el plan de trabajo para la implantación yjustificaremos el coste total del proyecto.
Manuel Muñoz Martín Guía de implantación de la norma ISO 27001
IntroducciónAnálisis
ImplantaciónConclusiones
Agradecimientos
Tratamiento de riesgosPlan de trabajo
Plan de tratamiento de riesgos
Utilizando como referencia el documento de aplicabilidad sedetallarán los planes de tratamiento de cada apartado delanexo que necesite implantar algún control.Se hará una estimación del tiempo necesario para laconsecución de las tareas.Se detallará por cada plan las tareas y responsables encargadosde llevarlas a cabo.Se justificará individualmente el apartado económico de cadatratamiento.
Manuel Muñoz Martín Guía de implantación de la norma ISO 27001
IntroducciónAnálisis
ImplantaciónConclusiones
Agradecimientos
Tratamiento de riesgosPlan de trabajo
Plan de trabajo
Con el plan detratamiento de riesgos detodos los controlespodremos crear el plan detrabajo del proyecto.El gasto total del proyectoquedará justificado.
Manuel Muñoz Martín Guía de implantación de la norma ISO 27001
IntroducciónAnálisis
ImplantaciónConclusiones
Agradecimientos
Parte III. Conclusiones y mejoras
Existen muchas normas y certificaciones pero la ISO 27001 esuna de las más importantes.La parte de análisis del proyecto es una de las más importantesy depende de la visión de quién implante la norma.Como resultado del proyecto el mayor gasto recae en lainversión de infraestructuras de la empresa.Como este trabajo abarca las dos primeras fases del ciclo deDeming convendría implantar las dos últimas que correspondena la evaluación y eficacia de los controles ( Check ) y almantenimiento y mejora del sistema ( Act ).
Manuel Muñoz Martín Guía de implantación de la norma ISO 27001
IntroducciónAnálisis
ImplantaciónConclusiones
Agradecimientos
Gracias por su atención
Autor: Manuel Muñoz Martín
Tutor: Ana Cristina Domingo Troncho
Manuel Muñoz Martín Guía de implantación de la norma ISO 27001