Grupo Redinfo | Sistema de Gestión de Seguridad de la Información
Implementación Sistema de Gestión de Seguridad de la Información
SGSI ISMS ISO 27000 ISO 27001
16139
page,page-id-16139,page-template-default,ajax_fade,page_not_loaded,,,wpb-js-composer js-comp-ver-4.1.2,vc_responsive
 

IMPLEMENTACION SGSI

IMPLANTACION SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACION (SGSI)

ISO/IEC 27000

Objetivo General del Servicio

La consultoría tiene por objetivo general, realizar las actividades de implementación de un “Sistema de Seguridad de la Información”, utilizando como metodología de implementación la normativa ISO/IEC 27000, y tomando como base la documentación existente dentro de la compañía.

El desarrollo de esta consultoría garantizará a la organización el nivel de madurez requerido para enfrentar el proceso de certificación en la mencionada norma.

DETALLE DE LA ASESORIA

El Sistema de Gestión de Seguridad de la Información (SGSI) permite identificar amenazas y vulnerabilidades que afectan a los activos de información vinculados a cada proceso de la compañía. El énfasis de la consultoría está en desarrollar un plan para el tratamiento de riesgos, cautelando debidamente los siguientes activos de información: Equipos, infraestructura tecnológica, software, bases datos, personas e información propiamente tal en sus múltiples formatos (papel, electrónica, audio, video, etc.).

El objetivo del SGSI es “contar con un sistema de gestión de seguridad de la información que permita lograr niveles adecuados de integridad, confidencialidad y disponibilidad para todos los activos de información del negocio considerados relevantes, de manera tal que se asegure la continuidad operacional de los procesos institucionales y la entrega de productos y servicios a los usuarios / clientes / beneficiarios”.

A través del SGSI, se elaborará un levantamiento pormenorizado de estos activos en dos planes: el Plan de Continuidad del Negocio y el Plan de Recuperación frente a Desastres Tecnológicos. En toda organización moderna, donde un gran porcentaje de sus procesos descansan en TIC, los planes mencionados se transforman en elementos fundamentales para cumplir los objetivos principales de gestión de seguridad de la información (lograr que todos los activos de información institucional estén protegidos desde las perspectivas de Confiabilidad, Integridad y  Disponibilidad).

OBJETIVOS DE LAS ETAPAS DEL SGSI
  • Etapa 1
    • Diagnosticar la situación de seguridad de la información institucional.
    • Identificar todos aquellos aspectos de seguridad de la información que establece la normativa ISO/IEC 27001:2013 y el nivel en que la organización se encuentra con respecto de ellos.
    • Determinar las brechas a ser abordadas en el Plan General de Seguridad de la Información institucional.
  • Etapa 2
    • Definir el Plan General de Seguridad de la Información institucional, para el año en curso y siguientes, considerando los resultados del diagnóstico y brechas detectadas en la Etapa I, y que comprenda la coordinación de todas las unidades vinculadas y los métodos para la implementación de la norma ISO/IEC 27001:2013. Este plan debe estar aprobado por la Autoridad Superior de la organización.
    • Elaborar el Programa de Trabajo Anual para implementar el plan de seguridad de la información definido, señalando el porcentaje de cada uno de los dominios de la norma ISO/IEC 27001:20013 que se alcanzará para el año, hitos, cronograma, plazos y responsables.
    • Plan de mitigación de riesgos, que defina los riesgos asociados al Plan y sus acciones para resolverlos.
    • Difusión/capacitación/sensibilización a todos los funcionarios del plan de seguridad de la información y su programa de trabajo aprobado por la autoridad de la organización.
  • Etapa 3
    • Implementar el programa de trabajo anual definido en la etapa anterior, de acuerdo a lo establecido en el plan general de seguridad de la información y el porcentaje de cumplimiento de la norma ISO/IEC 27001:2013 comprometido.
    • Registrar y controlar los resultados de la implementación del programa de trabajo anual considerando actividades, dificultades, grado de avance en el cierre de las brechas, holguras detectadas, implementación del plan de mitigación de riesgos asociados a cada proyecto o iniciativa, las acciones de difusión/sensibilización/capacitación y las modificaciones realizadas según lo programado.
  • Etapa 4
    • Evaluar los resultados de la implementación del Plan General de Seguridad de la Información y Programa de Trabajo Anual, y formular recomendaciones de mejora.
    • Difundir a los funcionarios los resultados de la evaluación del Plan y Programa de Trabajo Anual.
    • Diseñar el Programa de Seguimiento a partir de las recomendaciones formuladas.
    • Mantener del grado de desarrollo del sistema de acuerdo a cada una de las Etapas.
    • Implementar los compromisos establecidos en el Programa de Seguimiento, considerando plazos y responsables para superar las brechas aún existentes y debilidades detectadas.
AMBITO DE INTERACCION DEL SGSI

El SGSI interactúa estrechamente con diferentes áreas de la organización y sus procesos de negocio.

La entrega de productos, servicios e información institucional y procesos de soporte, considerará la revisión de:

  • La provisión de productos estratégicos a aquellos procesos que hacen factible el cumplimiento de los objetivos estratégicos de la compañia.
  • Los Productos que se proveen a los clientes y/o usuarios internos, directa o indirectamente (a través de empresas u otras instituciones).
  • Los Procesos tecnológicos y manuales que se llevan a cabo en la generación, intercambio, transporte y/o almacenamiento de documentos electrónicos y otros activos de información, cuando éstas tengan lugar utilizando técnicas y medios electrónicos o manuales, o dentro de dichos organismos.
  • Normativa legal vigente, de entidades contraloras (internas y externas) relacionadas con la seguridad de la información.
DESARROLLO DE LA ETAPA DE DIAGNOSTICO - ANALISIS DE BRECHAS

La etapa de diagnóstico es fundamental, ya que entrega los lineamientos para el trabajo a desarrollar en las etapas siguientes.

El diseño de proyectos de implementación de controles de seguridad dentro de la organización, requiere de un adecuado diagnóstico de la situación que se busca intervenir.

En esta etapa, utilizando los dominios de áreas de seguridad de acuerdo a la normativa ISO/IEC 27001:2013, se realizará el diagnóstico de la situación actual de organización, estableciendo los niveles en cada uno de ellos, determinando las brechas que deberán ser abordadas en el Plan de Seguridad, y mitigadas en la etapa de implementación este sistema.

ELABORACION DEL PLAN DE IMPLEMENTACION

En esta etapa se definen los objetivos de la implementación de soluciones o mejoras para resolver cada una de las brechas identificadas en la etapa de Diagnóstico, diseñando un completo programa de trabajo que permite alcanzar dichos objetivos en los plazos establecidos. Además, permite la coordinación de esfuerzos y recursos al interior de la organización garantizando el éxito de las iniciativas.

En esta etapa ya se han tomado las decisiones respecto del diagnóstico elaborado en la etapa anterior, en el cual se establecieron, de forma previa, las prioridades según las necesidades de la organización.

El resultado de la información levantada en la Etapa de Diagnóstico, será la guía para destinar los recursos internos disponibles y establecer los requerimientos adicionales.

En el caso particular del Sistema de Gestión de Seguridad de la Información, los proyectos/actividades que se incluyen en esta etapa adquieren la calidad de compromisos, a los cuales se les realizará un seguimiento que concluye en la etapa de Evaluación.

Para que la organización pueda cumplir tales compromisos se trazará una ruta que organice el trabajo, que incluya elementos de planificación de tareas y funciones, lo que garantizará el éxito de esta etapa.

Posteriormente, se elaborará la Cartera de proyectos e iniciativas priorizadas y calendarizadas. Esta es la definición clara y operativa de los objetivos específicos que se buscan alcanzar para las actividades o proyectos resultantes del diagnóstico inicial, considerando las brechas priorizadas.

DESARROLLO DE LA ETAPA DE IMPLEMENTACION

El “Código de prácticas para gestión de la seguridad de la información”, ISO/IEC 27002:2013, propone una serie de consideraciones como punto de inicio para la implementación, de los cuales se desprenden las orientaciones para esta etapa y dan cumplimiento a lo identificado en la etapa de Diagnóstico y comprometido en el Plan General de Seguridad.

Los controles esenciales a implementar desde el punto de vista legal incluyen:

  • Protección de la data y privacidad de la información personal.
  • Protección de los registros organizacionales.
  • Derechos de propiedad intelectual.

Los controles considerados práctica común para la seguridad de la información incluyen:

  • Documento de la política de seguridad de la información.
  • Asignación de responsabilidades de la seguridad de la información.
  • Conocimiento, educación y capacitación en seguridad de la información.
  • Procesamiento correcto en las aplicaciones.
  • Gestión de la vulnerabilidad técnica.
  • Gestión de la continuidad del negocio.
  • Gestión de los incidentes y mejoras de la seguridad de la información.

Estos controles se aplican como base de implementación y en la mayoría de los escenarios, y aunque son importantes y deben ser considerados, siempre se debe determinar la relevancia de cualquiera de ellos atendiendo los riesgos específicos que enfrenta la organización.

La experiencia nos ha demostrado que los siguientes factores con frecuencia son críticos para una exitosa implementación de la seguridad de la información dentro de una organización.

  • Política, objetivos y actividades de seguridad de información que reflejan los objetivos estratégicos de la compañía.
  • Un enfoque y marco referencial para implementar, mantener, monitorear y mejorar la seguridad de la información que sea consistente con la cultura organizacional.
  • Soporte visible y compromiso de todos los niveles de gestión y entidades contraloras internas
  • Un buen entendimiento de los requerimientos de seguridad de la información, evaluación del riesgo y gestión del riesgo;
  • Sensibilización efectiva en la seguridad de la información con todos los jefes de división, funcionarios y otras partes para lograr conciencia sobre el tema.
  • Distribución de lineamientos sobre la política y los estándares de seguridad de la información para todos los jefes de división, funcionarios y otras partes involucradas.
  • Provisión para el financiamiento de las actividades de gestión de la seguridad de la información.
  • Proveer el conocimiento, capacitación y educación apropiados.
  • Establecer un proceso de gestión de incidentes de seguridad de la información;
  • Implementación de un sistema de medición para evaluar el desempeño en la gestión de la seguridad de la información y retroalimentación de sugerencias para el mejoramiento.
GESTION DE COMITES DE SEGURIDAD DE LA INFORMACION

Esta actividad tiene por objetivo guiar a la organización en la conformación de los comités de seguridad de la información, definiendo sus procedimientos de operación, coordinando y ejecutando sus sesiones, definiendo los contenidos a tratar de acuerdo a los avances en la implementación del proyecto “Sistema de Gestión de Seguridad de la Información”.

Dentro de las actividades a realizar se encuentran las siguientes:

  • Asesorar en la definición de roles funciones y atribuciones de los siguientes comités:
  1. Comité Directivo de Seguridad de la Información (CSI).
  2. Comité Operativo de Seguridad de la Información (COS)
  3. Comité de Incidentes de Seguridad (CIS)
  • Confeccionar procedimientos de operación para comités.
  • Apoyar en la gestión del Encargado de Seguridad.
  • Coordinar y ejecutar las sesiones de las instancias de Comités, conforme a las buenas prácticas establecidas por organismos internacionales expertos en Seguridad y los lineamientos provistos por la normativa ISO/IEC 27001:2013
  • Asesorar al Comité de Seguridad en las estrategias para dar a conocer al personal de la organización las políticas de seguridad de la información.
  • Asesorar al Comité de Seguridad en presentaciones a la Gerencia General sobre el estado de avance del proyecto.
  • Asesorar a las instancias de Comité, en la adecuada respuesta ante desastres y continuidad del negocio.
  • Definir el gobierno corporativo de seguridad de la información.
DESARROLLO DE LA ETAPA DE EVALUACION DE RESULTADOS

La finalidad de esta etapa es llevar a cabo la verificación y validación del Sistema de Seguridad de la Información, tanto en su operación como en los aspectos que aún pudieran estar bajo implementación (plan general de SI). Ésto permitirá retroalimentar dicho Sistema facilitando la corrección de debilidades y su mejora continua efectiva.

Las acciones concretas son:

  • Evaluar los resultados de la implementación del Plan General de Seguridad de la Información y Programa de Trabajo Anual, y formular recomendaciones de mejora.
  • Difundir a los funcionarios los resultados de la evaluación del Plan y Programa de Trabajo Anual.
  • Diseñar el Programa de Seguimiento y mejora continua a partir de las recomendaciones formuladas.
  • Mantener del grado de desarrollo del Sistema de acuerdo a cada una de las etapas.
SISTEMA DE CONTROL Y MEJORA CONTINUA

Dado que esta es la última etapa del SGSI en el marco de la implementación de la normativa ISO/IEC 27001:2013, se establecerán un conjunto de medidas articuladas que permitan sostener y mejorar el Sistema en el tiempo, más allá del proceso de implementación y de la presente consultoría.

Para cubrir tal finalidad se propondrá un sistema de control y mejora continua, que al menos establezca una planificación que considere, a partir del período siguiente, las revisiones regulares del SGSI, que pueden ser las que realiza el CSI, auditorías internas o externas, revisiones por la Gerencia General, estudios o contraloría. También se incluirá la revisión de indicadores y metas, el establecimiento de medidas de mejora a partir de sus resultados y la aprobación de tales medidas por parte del CSI o Gerencia General. Y un tercer aspecto, la actualización del inventario de activos y su incorporación a la gestión de riesgos organizacional.

Este último punto es fundamental, porque el inventario y la gestión de riesgos son elementos dinámicos en el SGSI. La actualización del inventario permitirá ir ampliando el alcance del Sistema y poner al día la caracterización de los activos, que puede cambiar en el tiempo a medida que se toman acciones de protección que mitigan sus riesgos.