Definición e implementación (PLAN)
Plan: Establecer el SGSI
Definir el alcance del SGSI en términos del negocio, la organización, su localización, activos y tecnologías, incluyendo detalles y justificación de cualquier exclusión.
Definir una política de seguridad que:
- Incluya el marco general y los objetivos de seguridad de la información de la organización.
- Considere requerimientos legales o contractuales relativos a la seguridad de la información.
- Esté alineada con el contexto estratégico de gestión de riesgos de la organización en el que se establecerá y mantendrá el SGSI.
- Establezca los criterios con los que se va a evaluar el riesgo.
- Esté aprobada por la dirección.
Definir una metodología de evaluación del riesgo apropiada para el SGSI y los requerimientos del negocio que especifique los niveles de riesgo aceptables y unos criterios de aceptación de los riesgos.
Lo primordial de esta metodología es que los resultados obtenidos sean comparables y reproducibles.
Identificar los riesgos:
- Identificar los activos que están dentro del alcance del SGSI y a sus responsables directos, denominados propietarios.
- Identificar las amenazas en relación a los activos.
- Identificar las vulnerabilidades que puedan ser aprovechadas por dichas amenazas.
- Identificar los impactos en la confidencialidad, disponibilidad e integridad de los activos.
Analizar y evaluar los riesgos:
- Evaluar el impacto en el negocio de la organización de un fallo de seguridad que suponga la pérdida de confidencialidad, disponibilidad o integridad de un activo de información.
- Evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estén implementados.
- Estimar los niveles de riesgo.
- Determinar, según los criterios de aceptación de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado.
Identificar y evaluar las distintas opciones de tratamiento de los riesgos para:
- Aplicar controles adecuados.
- Aceptar el riesgo, siempre y cuando se siga cumpliendo con las políticas y criterios establecidos para la aceptación de los riesgos.
- Evitar el riesgo, por ej. Mediante el cese de las actividades que lo originan.
- Transferir el riesgosa terceros, por ej. Aseguradoras o proveedores.
Seleccionar los objetivos de control y los controles del Anexo A de la norma ISO 27001 para el tratamiento del riesgo y que cumplan con los requerimientos identificados en el proceso de evaluación y tratamiento del riesgo.
Aprobar por parte de la dirección tanto los riesgos residuales como la implantación y uso del SGSI.
Definir una declaración de aplicabilidad que incluya:
- Los objetivos de control y controles seleccionados y los motivos para su elección.
- Los objetivos de control y controles que actualmente ya están implantados.
- Los objetivos de control y controles del Anexo A de la norma ISO 27001 excluidos y los motivos para su exclusión. Este es un mecanismo que permite, además, detectar posibles omisiones involuntarias.
Resumen:
- Alcance
- Objetivos
- Compromiso
- Clasificación
- Análisis y gestión de riesgos
- Elementos y agentes involucrados
Ejemplo:
Política de uso de medios por parte de usuarios
- Cada usuario debe ser responsable de su usuario y contraseña, manteniéndola actualizada.
- Está prohibido el uso de software ajeno a la empresa.
Política de Restricción
- Se restringirá las IP de redes sociales a través de proxy
Política de uso de Software
- Se filtrarán palabras que la dirección considere inadecuadas para el trabajo que se realiza en el puesto correspondiente.
Política de uso de Hardware
- Sólo se podrá entrar al contenido compartido a través de la intranet restringiendo cualquier IP ajena a la estructura de red establecida.
- No se podrá usar Smartphone, Tablets o cualquier dispositivo personal en la sala de reuniones.
Política de uso
- Código de conducta (que procedimiento debe seguir el usuario)