Presentación de PowerPoint

GUÍA DE PROCESOS PARA IMPLEMENTACIÓN DE UN
SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN (SGSI)
 LA NORMA ISO 27001: 2005
ESTABLECE QUE LA IMPLANTACIÓN
DE PROCESOS PARA LA GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN
SE ESTRUCTURE EN LAS CUATRO ETAPAS
IDENTIFICADAS CON LAS SIGLAS PDCA.
 EL CICLO PDCA REPRESENTA UNA FORMA DE ORGANIZAR LOS
CAMBIOS O LAS ACCIONES DE MEJORA EN LAS ORGANIZACIONES.
 NOS RECUERDA QUE ADEMÁS DE PLANIFICAR E IMPLEMENTAR LOS
CAMBIOS, HAY QUE COMPROBAR EL ÉXITO DE LAS ACCIONES Y SI
HAY ALGO QUE CORREGIR O PREVENIR, SE DEBE ACTUAR PARA
SUBSANARLO.
LAS CLAVES PARA ALCANZAR
EL
PROCESOS
ÉXITO
EN
UNA
IMPLEMENTACIÓN DEL SGSI
ES TENER SIEMPRE EN
CUENTA LAS TRES ÁREAS
BÁSICAS PARA EL CAMBIO
CULTURAL
Y
ORGANIZACIONAL:
PLAN
DO
SGSI
LOS
PROCESOS,
HERRAMIENTAS QUE
ACT
SOPORTAN Y LAS PERSONAS.
CHECK
HERRAMIENTAS
LAS
LOS
PERSONAS
LA
DEFINICIÓN DE NUEVAS FORMAS DE
HACER MÁS EFICIENTES, ESTRUCTURANDO
LOS TRABAJOS PRIMERO EN PROCESOS,
ESTOS EN SUBPROCESOS, ACTIVIDADES Y
EN
PROCEDIMIENTOS
DETALLADOS,
FORMARÁ PARTE DEL CONOCIMIENTO Y
CULTURA DE LA EMPRESA Y SE
INCORPORARÁ CON RIGOR AL SGSI.
LA PLANIFICACIÓN DE LA DEFINICIÓN DE LOS PROCESOS SE REALIZA EN
FASE PLAN Y SU PROPIA DEFINICIÓN SE REALIZA EN LA FASE DO.
LA
 LAS
HERRAMIENTAS DE GESTIÓN
TI
SON ESENCIALES PARA PROPORCIONAR LA
AGILIDAD NECESARIA EN LA ORGANIZACIÓN PARA GARANTIZAR QUE SE SIGUEN
LAS FORMAS DE HACER DEFINIDAS Y PARA ALMACENAR Y RETENER EL
CONOCIMIENTO.
ADEMÁS,
MEDICIÓN Y MEJORA.

PERMITEN EL SEGUIMIENTO DE LOS PROCESOS, SU
LA SELECCIÓN DE HERRAMIENTAS
VENDRÁ MARCADA POR LOS REQUISITOS QUE
IMPONGAN LOS PROCESOS YA DEFINIDOS.
CON
FRECUENCIA CONSTITUYE UN
PROYECTO EN SÍ MISMO.

HAY
UN PRIMER GRUPO DE HERRAMIENTAS QUE POSIBILITAN LA ACTIVIDAD DE
IMPLANTACIÓN DE LAS NORMAS, POR LO QUE DEBEN SER LAS PRIMERAS QUE
SE SELECCIONEN E IMPLEMENTEN:
•
•
•
EL SOPORTE DOCUMENTAL DEL SISTEMA DE GESTIÓN.
LA HERRAMIENTA DE DISEÑO DE PROCESOS.
HERRAMIENTA DE GESTIÓN DE PROYECTOS Y BITÁCORA.

NO
HAY QUE OLVIDAR QUE UNA EXCELENTE DEFINICIÓN DE PROCESOS NO ES
SUFICIENTE.
NI
SIQUIERA LAS MEJORES HERRAMIENTAS DE SOPORTE, PUES
GRAN PARTE DEL TRABAJO REQUIERE DE LA INTERVENCIÓN DE LAS PERSONAS
QUE FORMAN PARTE DEL EQUIPO DE TI.

LO ANTERIOR RATIFICA QUE EL OLVIDADO FACTOR HUMANO RESULTA SER CLAVE
EN EL ÉXITO DE LA IMPLANTACIÓN Y POR ENDE, CLAVE PARA LA SUPERVIVENCIA
DE LA EMPRESA.
LA IMPLEMENTACIÓN DE LA NORMA REQUIERE DE COMENZAR POR UNA
EVALUACIÓN DE LA SITUACIÓN ACTUAL DE PARTIDA QUE DEBE CONTENER:
 DESCRIPCIÓN DE LA PROBLEMÁTICA PRINCIPAL ACTUAL DE LA
ORGANIZACIÓN.
 MISIÓN, SERVICIOS, INFRAESTRUCTURA, PERSONAL, VOLÚMENES DE
ACTIVIDAD, HERRAMIENTAS DE GESTIÓN, ETC.
 ANÁLISIS DE MADUREZ INICIAL DE LA ACTIVIDAD DE LA ORGANIZACIÓN.
 MATRIZ FODA.
 ANÁLISIS DE RATIOS O INDICADORES GENERALES DE LA ORGANIZACIÓN Y
SU COMPARACIÓN CON EL MERCADO.
 CONCLUSIONES Y ACCIONES A EMPRENDER, ESTABLECIENDO FASES
PARA ELLAS.
PROCESOS
HERRAMIENTAS
PERSONAS
PRELIMINAR
• FORMACIÓN A LÍDERES.
• CREACIÓN DE EQUIPO DE IMPLEMENTACIÓN.
• EVALUACIÓN O ASSESSENT
• OBJETIVOS.
• PLAN DE IMPLEMENTACIÓN.
• PRESENTACIONES INTERNAS.
• COMUNICACIÓN INICIAL.
•
•
•
•
•
DEFINICIÓN DE LOS PRIMEROS ESTÁNDARES.
DEFINICIÓN DE LOS PRIMEROS PROCESOS.
DEFINICIÓN DE LOS PROCEDIMIENTOS.
DEFINICIÓN DELOS ROLES.
DEFINICIÓN DE INDICADORES.
•
•
•
•
•
REQUISITOS DE HERRAMIENTAS.
SELECCIÓN Y COMPRA DE SW Y HW.
PARAMETRIZACIÓN DE HERRAMIENTAS.
IMPLANTACIÓN DE HERRAMIENTAS.
CARGA DE DATOS.
•
•
•
•
•
•
FORMACIÓN DE PROFESIONALES.
PLAN DE COMUNICACIÓN.
CAMBIO ORGANIZATIVO.
ENTRENAMIENTO DEL PERSONAL.
DESPLIEGUE DE HERRAMIENTAS.
CAMBIO DE FORMAS DE TRABAJO.
OBJETIVO: PLANIFICAR
LA IMPLEMENTACIÓN
DEL
SGSI. COMO
MÍNIMO EL PLAN
DEBE DEFINIR LO SIGUIENTE:
EL ALCANCE.
LOS OBJETIVOS Y REQUISITOS.
LOS PROCESOS QUE SE VAN A EJECUTAR.
LOS ROLES Y RESPONSABILIDADES.
LAS FASES ENTRE LOS PROCESOS.
EL ENFOQUE, EVALUACIÓN, LA GESTIÓN DE ACTIVIDADES Y DE LOS RIESGOS PARA LA
CONSECUCIÓN DE OBJETIVOS DEFINIDOS.
 LOS RECURSOS, EL EQUIPAMIENTO Y LOS PRESUPUESTOS NECESARIOS PARA ALCANZAR
LOS OBJETIVOS DEFINIDOS.
 HERRAMIENTAS ADECUADAS PARA DAR SOPORTE A PROCESOS.
 COMO SE VA A GESTIONAR, AUDITAR Y MEJORAR EL SGSI.






DEBEN ESTAR CLARAMENTE DEFINIDAS TANTO LA ORIENTACIÓN DE LA GESTIÓN COMO
LAS RESPONSABILIDADES DOCUMENTADAS PARA REVISAR, AUTORIZAR, COMUNICAR E
IMPLEMENTAR Y MANTENER LOS PLANES.
BÚSQUEDA DE ÉXITOS RÁPIDOS – QUICK WINS
EN LA PLANIFICACIÓN DE LA IMPLEMENTACIÓN HAY QUE TENER EN CUENTA LA BÚSQUEDA DE
ÉXITOS RÁPIDOS, CONOCIDOS COMO LOS QUICK-WINS. DADO QUE EL PROCESO DE
TRANSFORMACIÓN ES PROLONGADO, RESULTA ESENCIAL ACOMPAÑAR TODO EL CAMINO CON
ÉXITOS RÁPIDOS QUE INFUNDAN MORAL Y CONFIANZA AL PROYECTO, TANTO A LA DIRECCIÓN,
COMO AL RESTO DEL PERSONAL.
UN ÉXITO RÁPIDO ES UNA ACTUACIÓN SENCILLA DE IMPLEMENTAR QUE APORTA RESULTADOS
TANGIBLES DE FORMA INMEDIATA. EJ.:
 CREACIÓN DE UN COMITÉ DE CAMBIOS QUE DE FORMA INMEDIATA PONGA ORDEN EN LAS
IMPLANTACIONES.
 MEJORAR LA ATENCIÓN DE INCIDENCIAS, CENTRÁNDOSE EN UN SISTEMA CRÍTICO.
 DOCUMENTAR LA CONFIGURACIÓN DE LOS SISTEMAS CRÍTICOS.
 RESOLVER ALGUNOS DE LOS PROBLEMAS QUE GENERAN MUCHOS INCIDENTES Y
CONSOLIDAR LA INFORMACIÓN DE INCIDENTES EN UNA ÚNICA BASE DE DATOS.
 REALIZACIÓN DE UN INFORME SOBRE EL ESTADO DE TI QUE PERMITA INVOLUCRAR A LA
DIRECCIÓN DEL PROYECTO.
OBJETIVO: IMPLEMENTACIÓN DEL SGSI. INCLUYE:
 ASIGNACIÓN DE PRESUPUESTOS Y FONDOS.
 ASIGNACIÓN DE ROLES Y RESPONSABILIDADES.
 DOCUMENTACIÓN Y MANTENIMIENTO DE POLÍTICAS,
PROCEDIMIENTOS
Y
DEFINICIONES PARA CADA PROCESO O CONJUNTO DE PROCESOS.
 IDENTIFICACIÓN Y GESTIÓN DE RIESGOS
 GESTIÓN DE EQUIPOS DE TRABAJO, EJ:
CONTRATACIÓN Y DESARROLLO DEL
PERSONAL ADECUADO Y LA GESTIÓN DE CONTINUIDAD DEL PERSONAL.
 GESTIÓN DE EQUIPAMIENTO Y EL PRESUPUESTO.
 INFORMAR DEL PROGRESO EN COMPARACIÓN CON LOS PLANES.
 COORDINACIÓN DE LOS PROCESO DE GESTIÓN DE SEGURIDAD
INFORMACIÓN.
DE LA
 SE REQUIERE UNA FUERTE IMPLICACIÓN DE LA ALTA DIRECCIÓN Y LA NECESIDAD
DE UN RESPONSABLE DE ALTO NIVEL EN LA ORGANIZACIÓN EL CUAL DEBE CONTAR
CON PERSONAL DE APOYO EN SU LABOR.
 PARA
LA ETAPA DE PLANIFICACIÓN E IMPLANTACIÓN DE ESTA NORMA SE DEBE
CONSTITUIR UN EQUIPO DE TRABAJO ESPECÍFICO O GRUPO DE IMPLANTACIÓN
QUE ESTARÁ ACTIVO DESDE LAS PRIMERAS FASES DE DEFINICIÓN HASTA
CONCLUIR LA IMPLANTACIÓN FINAL.
 ES
COMPLICADO
ABORDAR
LA
TRANSFORMACIÓN
INTERNA
CONTANDO
ÚNICAMENTE CON EL PERSONAL DE LA EMPRESA, PUES CON FRECUENCIA SE
CARECE DE LOS CONOCIMIENTOS, LOS PERFILES O LA EXPERIENCIA ADECUADOS.
 LO
RECOMENDABLE ES CONTAR CON APOYO EXTERNO, EN FORMA DE
CONSULTORÍA, PARA LOS TRES ASPECTOS: DEFINICIÓN DE PROCESOS Y
PROCEDIMIENTOS, IMPLANTACIÓN DE HERRAMIENTAS Y FORMACIÓN DE CAMBIO
CULTURAL.
OBJETIVO:
DETERMINAR EL GRADO DE EFECTIVIDAD DE LA
IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN. PARA ELLO SE DEBE MONITORIZAR, MEDIR Y REVISAR EL
GRADO DE CONSECUCIÓN DE LOS OBJETIVOS ALCANZADOS.
SE DEBE REVISAR SI LOS REQUISITOS
DE GESTIÓN :
 SON CONFORMES CON EL PLAN DE
GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN Y LOS REQUISITOS DE LA NORMA.
 SE IMPLEMENTAN Y MANTIENEN DE MANERA EFICAZ.
 SE
DEBE PLANIFICAR UN PROGRAMA DE AUDITORÍAS, TENIENDO EN CUENTA EL
ESTADO Y LA IMPORTANCIA DE LOS PROCESOS Y LAS ÁREAS A AUDITAR ASÍ
COMO, LOS RESULTADOS DE LAS AUDITORIAS ANTERIORES.
 SE
DEBEN DEFINIR EN UN PROCEDIMIENTO LOS CRITERIOS, EL ALCANCE, LA
FRECUENCIA Y LOS MÉTODOS DE AUDITORÍA.
 EL OBJETIVO DE LAS REVISIONES Y AUDITORÍAS DE UN SISTEMA DE GESTIÓN DE
SEGURIDAD DE LA INFORMACIÓN SE DEBE REGISTRAR JUNTO CON LAS
CONCLUSIONES DE DICHAS AUDITORÍAS, SUS REVISIONES Y LAS ACCIONES
CORRECTIVAS QUE SE HAYAN IDENTIFICADO. SE DEBE COMUNICAR A LAS PARTES
CORRESPONDIENTES DE LA EXISTENCIA DE CUALQUIER ÁREA SIGNIFICATIVA CON
ALGUNA NO CONFORMIDAD U OTRA DISCREPANCIA.
OBJETIVO: MEJORAR LA EFICACIA Y LA EFICIENCIA DEL SGSI.
 DEBE HABER UNA POLÍTICA PUBLICADA SOBRE LA MEJORA DEL SGSI.
 SE DEBE CORREGIR CUALQUIER NO CONFORMIDAD CON LA NORMA O CON LOS PLANES DE
GESTIÓN.
 SE DEBEN DEFINIR CLARAMENTE LOS ROLES Y LAS RESPONSABILIDAD PARA LAS
ACTIVIDADES DE MEJORA DEL SISTEMA.
 SE DEBEN EVALUAR, REGISTRAR, PRIORIZAR Y AUTORIZAR TODAS LAS PROPUESTAS DE
MEJORAS DEL SISTEMA. SE DEBE UTILIZAR UN PLAN PARA CONTROLAR LA ACTIVIDAD.
 ESTABLECER OBJETIVOS DE MEJORA EN CUANTO A LA CALIDAD, LOS COSTOS Y LA
UTILIZACIÓN DE RECURSOS.
 TENER EN CUENTA LAS APORTACIONES IMPORTANTES, REFERENTES A LAS MEJORAS QUE
SE REALICEN.
 MEDIR, INFORMAR Y COMUNICAR LAS MEJORAS EN EL SGSI
 REVISAR LAS POLÍTICAS, PLANES Y PROCEDIMIENTOS DE LA SI SIEMPRE QUE SEA

NECESARIO
ASEGURAR QUE TODAS LAS ACCIONES APROBADAS SE LLEVAN A CABO Y QUE SE
ALCANZAN LOS OBJETIVOS DESEADOS.
LAS
ACCIONES DE MEJORAS PUEDEN ABARCAR TODO TIPO DE
ACTIVIDAD NECESARIA; MEJORAS TECNOLÓGICAS, INCORPORACIÓN DE
HERRAMIENTAS, FORMACIÓN DE INVOLUCRADOS, COMUNICACIÓN,
MEJORA DE DOCUMENTACIÓN, ETC.
LAS
PROPUESTAS DE MEJORAS QUE PUEDEN EMANAR DE DIVERSAS
FUENTES, SE AGRUPAN PARA ORGANIZAR EN UN PLAN CONSOLIDADO.
ASÍ, LA MEJORA CONTINUA DE LA GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN SE REALIZA DE UNA FORMA COORDINADA POR UN
RESPONSABLE ÚNICO DE ESTA ACTIVIDAD.
LA IMPLANTACIÓN DE UN SISTEMA DE GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN SIGUIENDO EL CICLO PDCA Y LOS REQUISITOS
ESPECIFICADOS Y RECOMENDADOS EN LA NORMA ISO 27001,
APORTARÁN, ENTRE OTROS, LOS SIGUIENTES BENEFICIOS:
 PERMITIRÁ
QUE TODAS LAS ACTIVIDADES DE TRANSFORMACIÓN DE LA
ORGANIZACIÓN SE LLEVEN A CABO DE UNA FORMA CONTROLADA Y ORGANIZADA.
 LOS
OBJETIVOS SE FIJAN EN FUNCIÓN A LA SITUACIÓN DE PARTIDA, OBTENIDA
MEDIANTE EVALUACIÓN INICIAL.




LOS PROYECTOS DE IMPLEMENTACIÓN TIENEN OBJETIVOS FIJADOS.
SE MONITORIZAN Y MIDEN RESULTADOS DE LOS PROYECTOS.
SE ESTABLECE UN PLAN DE MEJORA CONTINUA.
SE APROVECHA LA EXPERIENCIA DE OTRAS ORGANIZACIONES QUE
ANTES EL CAMINO.
INICIARON