Unlock the full potential of your projects.
Mostra mappa intera
Copia ed edita mappa Copia

ISO IEC 27001

Design
Diego Nicolas Castro Becerra

ciberseguridad

Iniziamo. È gratuito!
o registrati con il tuo indirizzo email
Mappe mentali simili Schema mappa mentale
ISO IEC 27001 da Mind Map: ISO IEC 27001

1. FASES PHVA

1.1. - Planear

1.1.1. En esta etapa se enmarca todo el proceso de análisis de la situación en que actualmente se encuentra la empresa respecto a los mecanismos de seguridad implementados y la normativa ISO/IEC 27001.

1.1.1.1. Fases

1.1.1.1.1. Establecer el compromiso con los directivos de la empresa para el inicio, proceso y ejecución.

1.1.1.1.2. Definir el alcance del SGSI.

1.1.1.1.3. Definir las políticas de seguridad.

1.1.1.1.4. Selección y aplicación de una metodología de análisis y evaluación de riesgos.

1.1.1.1.5. Fase de análisis de información de la organización.

1.1.1.1.6. Fase de evaluación del riesgo.

1.2. - Hacer

1.2.1. Se hace la implementación de los controles que se definen de acuerdo al plan de tratamiento de riesgos definidos una vez construida la matriz de riesgos.

1.2.1.1. Actividades Relevantes

1.2.1.1.1. Definir el plan de tratamiento de riesgos.

1.2.1.1.2. Implantar el plan de tratamiento de riesgos.

1.2.1.1.3. Selección e implementación de controles.

1.2.1.1.4. Formación y concientización.

1.3. - Verificar

1.3.1. Se hace una revisión y evaluación del desempeño de los controles implementados buscan medir la eficacia y eficiencia de los controles seleccionados e implementados.

1.3.1.1. Etapas

1.3.1.1.1. Revisión del Sistema de Gestión de Gestión de seguridad.

1.3.1.1.2. Medir la eficacia de los controles seleccionados e implementados.

1.3.1.1.3. Se miden y revisan si existen riesgos residuales.

1.3.1.1.4. Realización de auditorías internas al Sistema de gestión de seguridad de la información.

1.3.1.1.5. Registro de todas las acciones y eventos generados durante las pruebas y validaciones.

1.4. - Actuar

1.4.1. Se busca actualizar o realizar los cambios a los controles identificados en la fase anterior que no están cumpliendo con la eficacia y eficiencia requerida.

1.4.1.1. Etapas

1.4.1.1.1. Implantar mejoras al SGSI.

1.4.1.1.2. Definición y aplicaciones de acciones preventivas y correctivas.

1.4.1.1.3. Verificación de la eficiencia de las acciones ejecutadas.

2. DISEÑO DEL SGSI

2.1. El diseño del SGSI, abarca todos los aspectos de planeación y trazado de la ruta a seguir para la implantación del SGSI en la organización.

3. POLITICAS DE SEGURIDAD

3.1. Es el primer documento que se debe contemplar, por cuanto es donde se especifica toda la normativa interna de la institución con el objetivo de que los funcionarios conozcan y cumplan sobre el sistema de gestión de la seguridad informática (SGSI) implantado.

3.1.1. Contempla

3.1.1.1. - Compromiso planteado por la dirección.

3.1.1.2. - Contempla todos los aspectos orientados al acceso a la información.

3.1.1.3. - Utilización de los activos físicos y lógicos de la organización.

3.1.1.4. - El comportamiento que debe hacer en caso de que ocurra un incidente de seguridad.

4. ¿Que es?

4.1. Es el estándar internacional que define los requerimientos necesarios para establecer, implementar, mantener y actualizar los sistemas de gestión de seguridad de la información.

5. CONSIDERACIONES PARA LA IMPLEMENTACION DE UN SGSI

5.1. ¿Cuándo y porqué implantar un SGSI en una organización?

5.1.1. Implantar un SGSI en una empresa no es precisamente cuando se le haya presentado un incidente de seguridad sobre su información, sino, cuando ésta desea tener un crecimiento y posicionamiento ante un mercado exigente y global teniendo en cuenta que, para ello, requerirá del uso de la Tecnología de la información y las comunicaciones para lograrlo.

5.2. ¿Qué aspectos se deben considerar al implantar un SGSI?

5.2.1. Es un compromiso de todos en una organización. Aunque esto sea claro para muchos empleados de una empresa, para otras no lo es, es por ello que uno de los aspectos relevantes a la hora de implementar un SGSI, es concientizar a las directivas y demás empleados, la importancia y responsabilidad de proteger la información como el activo más preciado que posee que la pérdida de ella podría causar el declive parcial o total de la empresa con una afectación económica, de identidad, de marca y por ende disminución de empleados.

5.3. ¿Cuánto tiempo se requiere para implantar un SGSI?

5.3.1. Dado que existen organizaciones que tienen por lo menos implementada algunas medidas de seguridad sobre sus activos y éstas a la vez cumplen con la normativa ISO/IEC 27001, la implantación del SGSI llevaría alrededor de 6 meses. Pero si la empresa posee medianamente o por lo menos unas técnicas seguras de sus activos, además de la concientización de las directivas, esta podría tardar alrededor de un año.

5.4. ¿Cuánto puede costar la implantación de un SGSI?

5.4.1. El costo de la implantación de un SGSI, depende de múltiples variables. Una de las variables es cuando la empresa la implementa, pero a través de la contratación de terceros o entes externos que realizan todo el proceso. Otra variable es que dentro de la empresa existan empleados que poseen el conocimiento o en su defecto la organización los capacite para que posteriormente realicen la implantación.

6. AUDITORIA AL SGSI

6.1. Es el proceso mediante el cual la organización evalúa el cumplimiento de la implantación del Sistema de Gestión de la Seguridad de la información en una empresa bajo la normativa ISO/IEC 27001.

6.1.1. Aspectos importantes en una auditoria

6.1.1.1. - Las auditorías internas deben estar bien planificadas (plan auditor) y aprobadas por la dirección.

6.1.1.2. - El equipo auditor deben ser profesionales idóneos con experiencia y diferentes a los encargados de la implantación del SGSI en la organización.

6.1.1.3. - Se debe estipular un coordinador del equipo auditor.

6.1.1.4. - Las auditorías se deben orientar hacia la correcta implantación de los 14 dominios, 35 objetivos de control y 114 controles de seguridad implementados.

6.1.1.5. - Toda la organización debe conocer el alcance y la agenda estipulada para la auditoría interna.

6.1.1.6. - Los informes y resultados deberán ser conocidos por todo el personal de la organización involucrado dentro del alcance del SGSI.

6.1.1.7. - De acuerdo al informe y/o resultados presentados en la auditoría interna, la organización debe estipular los planes para mejorar la eficacia del SGSI y realizar el procedimiento documentado de las acciones correctivas y preventivas.

7. PLAN DE GESTION DE UN SGSI

7.1. Es un sistema de gestión que comprende la política, estructura organizativa, los procedimientos, los procesos y los recursos necesarios para implantar la gestión de la seguridad de la información.

7.1.1. Caracteristicas

7.1.1.1. - Integridad

7.1.1.2. - Confidencialidad

7.1.1.3. - Disponibilidad

7.1.1.4. - Asignacion de responsabilidad

7.1.1.5. - Autenticacion

8. DEFINIR EL ALCANCE DEL SGSI

8.1. Definir el alcance para la implementación del sistema en una organización es uno de los primeros aspectos que se debe considerar.

8.1.1. Tener en cuenta

8.1.1.1. - Número de empleados

8.1.1.2. - Volumen de información manejada

8.1.1.3. - Número de clientes

8.1.1.4. - Volúmenes de activos físicos y lógicos

8.1.1.5. - Número de sedes u oficinas