SGSI
Sistema de gestión de seguridad de la Información
Proceso de Implementación
Índice
1. Diseño e Implementación
1.1. La implementación del proyecto SGSI se realizará en 5 fases
1.1.1. Obtener la aprobación de la alta dirección
1.1.2. Definir el alcance del SGSI
1.1.3. Conducir el análisis de los requerimientos de seguridad de la información
1.1.4.Conducir el análisis y plan de tratamiento de riesgos
1.1.5. Diseñar el SGSI
2. Proceso de implementación del SGSI
3. Proyecto de Implementación del Sistema de Gestión de Seguridad de la Información
1. Diseño e Implementación
Un SGSI, permitirá a la organización analizar y ordenar la estructura de los sistemas de información, facilitando la definición de procedimientos de trabajo para mantener su seguridad.
Estas acciones van a proteger a la organización frente a amenazas y riesgos que puedan poner en peligro la continuidad de los niveles de competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos del negocio.
1.1. La implementación del proyecto SGSI se realizará en 5 fases
La implementación del proyecto SGSI se realizará en 5 fases:
-
Obtener la aprobación de la alta dirección
-
Definir el alcance y límites del SGSI
-
Conducir el análisis de los requerimientos de seguridad de la información
-
Conducir el análisis y plan de tratamiento de riesgos
-
Diseñar el SGSI
.
2010 - present
2010 - present
1.1.1. Obtener la aprobación de la alta dirección
La aprobación de la gerencia para iniciar el proyecto SGSI como un entregable representa la aprobación preliminar y el compromiso de la gerencia para desarrollar las actividades de implementación del SGSI. Es importante para esta aprobación que la organización presente el caso de negocio en el que se incluya las prioridades y objetivos para implementar un SGSI.
Aprobación de la gerencia para iniciar el proyecto SGSI. Este entregable representa la aprobación preliminar y el compromiso de la gerencia para desarrollar las actividades de implementación del SGSI. Es importante para esta aprobación que la organización presente el caso de negocio en el que se incluya las prioridades y objetivos para implementar un SGSI.
Aprobación de la gerencia para iniciar el proyecto SGSI. Este entregable representa la aprobación preliminar y el compromiso de la gerencia para desarrollar las actividades de implementación del SGSI. Es importante para esta aprobación que la organización presente el caso de negocio en el que se incluya las prioridades y objetivos para implementar un SGSI.
1.1.2. Definir el alcance del SGSI
Alcance y límites del SGSI:
Documento que incluye los procesos priorizados, activos, sistemas de información dentro del alcance del SGSI.
Políticas del SGSI:
Las políticas del SGSI se establecen en base a los objetivos definidos por los requerimientos de la organización (legales, regulatorios y obligaciones contractuales relacionadas a la seguridad de la información).
Alcance y límites del SGSI. Políticas del SGSI
Alcance y límites del SGSI. Políticas del SGSI
1.1.3. Conducir el análisis de los requerimientos de seguridad de la información
Requerimientos del SI:
Se identifica los requerimientos de seguridad de la información a través de los procesos que se encuentran definidos dentro del alcance y las áreas de la organización involucradas.
Lista de activos de información:
Lista que describe la identificación de los activos dentro del alcance SGSI.
Resultados de la evaluación de seguridad:
Tiene como propósito fundamental proveer información que apoye en el sistema de gestión en forma de políticas y directrices.
Requerimientos del SI Lista de activos de información Resultados de la evaluación de seguridad
Requerimientos del SI Lista de activos de información Resultados de la evaluación de seguridad
1.1.4. Conducir el análisis y plan de tratamiento de riesgos
Plan de tratamiento de riesgos:
El Plan de tratamiento de riesgos incluye:
a. Preparación de material para evaluación del riesgo
b. Pre-evaluación de riesgos por equipo consultor
c. Talleres de evaluación de los riesgos de los activos de información
d. Determinación del grado de exposición al riesgo de la organización
e. Análisis y evaluación de resultados
También se define la estrategia y los controles por implementar necesarios para dar respuesta a los riesgos identificados en la etapa de análisis de riesgos.
a) Se establecen responsabilidades, fechas comprometidas para el tratamiento de riesgos y se definen los parámetros de aceptación de riesgos.
b) Selección de otros controles de seguridad si fuera necesario
Enunciado de aplicabilidad
Conocido como SOA (por sus siglas en inglés) identifica los objetivos de control y los controles de la ISO 27002.
Aceptación de la dirección de la implementación del SGSI
La aceptación de la dirección para implementar el SGSI deberá incluir el documento de aceptación de los riesgos residuales.
Plan de tratamiento de riesgos Enunciado de aplicabilidad Aceptación de la dirección de la implementación del SGSI
Plan de tratamiento de riesgos Enunciado de aplicabilidad Aceptación de la dirección de la implementación del SGSI
1.1.5. Diseñar el SGSI
Plan de implementación del proyecto SGSI
El plan debe ser desarrollado para asegurar la participación y el compromiso de la dirección en la revisión y el mejoramiento continuo, ya que el diseño del SGSI podría tener un impacto en el diseño del proceso de la organización.
Plan de implementación del proyecto SGSI
Plan de implementación del proyecto SGSI
2. Proceso de implementación del SGSI
Proceso de implementación del SGSI Fuente: Elaboración propia (Referencia: ISO/IEC 27003)
Proceso de implementación del SGSI Fuente: Elaboración propia (Referencia: ISO/IEC 27003)
3. Proyecto de Implementación del Sistema de Gestión de Seguridad de la Información
El proyecto de implementación del SGSI en una organización suele tener una duración entre 6 y 12 meses, dependiendo la complejidad y el alcance del negocio de la organización.
Se recomienda que el equipo del proyecto esté formado por los representantes de las áreas o unidades organizativas que se encuentren dentro del alcance. Así como, un continuo asesoramiento de consultores externos a lo largo del proyecto.
Es esencial el liderazgo de la alta dirección para que el proyecto sea exitoso. En este proyecto de tesis, se describirán las recomendaciones a seguir en cada fase del proyecto, y se anexarán ejemplos de documentos aplicados a LA EMPRESA.
Se recomienda seguir la siguiente Estructura de Desglose de Trabajo para la implementación del proyecto SGSI:
Proyecto Implementación del Sistema de Gestión de Seguridad de la Información Fuente: Elaboración propia (Referencia: ISO/IEC 27003)
Proyecto Implementación del Sistema de Gestión de Seguridad de la Información Fuente: Elaboración propia (Referencia: ISO/IEC 27003)
En donde la fase “0. Gerencia del proyecto” se utilizará para una adecuada gestión del proyecto a lo largo de su despliegue trabajándose de forma alineada al PMBOK Guide.