Professional Documents
Culture Documents
ndice
Captulo I
CANTIDAD DE CERTIFICADOS
25000
19577
Captulo II
20000
17355
15000
10000
9246
7732
Captulo III
5000
0
2007
2008
2009
2010
2011
2012
Evaluacin y
tratamientos
de riesgo
Implementacion
de medidas de
seguridad
Recopilacin
de informacin
Calculo de los
beneficios
Comprender los
requisitos de su negocio
y de la norma de
certificacin.
IMPLEMENTAR LA SOLUCION
Preparacin
de la
organizacin
Formar a su equipo,
asegurarse de que la
organizacin entiende los
principios y revisar la
prctica actual de negocios.
Elaboracin de
un plan de
implantacin a
medida
Comparar su actividad
con los requisitos de ISO
27001, y luego preparar
un informe de anlisis de
carencias.
OBTENER UN CERTIFICADO
Demostracin de
su funcionamiento
Ejecutar el
sistema
Se llevar a cabo un
sistema de evaluacin
de documentacin y una
evaluacin de la eficacia
del sistema
En busca de
oportunidades para la
mejora continua
Celebrar y promover su
certificacin, a
continuacin, revisar los
sistemas y procesos
Captulo II
ENFOQUE DE PROCESOS
Esta Norma Tcnica Peruana promueve la adopcin de una enfoque del
proceso, implementar, operar, monitorear, mantener y mejorar la efectividad de
un ISSMS (Informacin Security Management System) en la organizacin.
Una organizacin debe identificar y administrar varias actividades con el fin de
funcionar efectivamente, Cualquier actividad que administre y use recursos para
lograr la transformacin de entradas en salidas, puede ser considerado un
proceso. Con frecuencia la salida de un proceso se convierte en la entrada del
proceso siguiente.
La aplicacin de un sistema de procesos dentro de una organizacin, junto con
la identificacin e interacciones de estos procesos y su administracin se define
como un enfoque de proceso.
El enfoque de proceso alienta a sus usuarios a enfatizar la importancia de:
a) Entender los requisitos de seguridad de informacin de negocios y la
necesidad de establecer polticas y objetivos para la seguridad de la
informacin.
b) Implementar y operar en el contexto de administrar el riesgo total del
negocio de una organizacin.
c) Monitorear y revisar el desempeo y efectividad del ISSMS
d) Mejoramiento continuo basado en la medicin de objetivos
El Modelo conocido como Planear-Hacer-Verificar-Actuar PDCA (Plan-DoCheck-Act), por sus siglas en ingls, puede aplicarse a todos los procesos ISMS.
La figura 1 ilustra como un ISMS toma como entrada los requisitos y
expectativas de seguridad de la informacin de las partes interesadas a travs
de las acciones y procesos necesarios genera productos de seguridad de la
informacin(es decir: gestin de la seguridad de la informacin) que cumple
estos requisitos y expectativas.
La adopcin de modelo PDCA tambin reflejara los principios como se
establecieron en las pautas de OECD (2002) para la gobernabilidad de los
sistemas y redes de la seguridad de informacin. Esta Norma Tcnica Peruana
provee un modelo para implementar los principios en las pautas que gobiernan
la evaluacin del riesgo, el diseo e implementacin de la seguridad, la gestin
de seguridad y reevaluacin.
EJEMPLO 1
Un requisito pudiera ser aquel que las brecas en la seguridad de la informacin
no causen serios daos financieros y/o daen la imagen de la organizacin.
EJEMPLO 2
Una expectativa podra ser que si ocurriera un incidente serio que afecte el
web site del negocio de una organizacin debe existir personal capacitado en
procedimientos adecuados para minimizar el impacto.
PLANEAR
Establecer el
ISMS
Partes
Interesadas
H
A
C
E
R
Requisito y
expectatias de
seguridad de
informacion
Planear (establecer el
ISMS)
Implementar
y Operar el
ISMS
Ciclo de
desarrollo,
mantenimiento
y mejora
Monitorear y
revisar el ISMS
VERIFICAR
A
C
Mantener y T
mejorar el U
A
ISMS
R
Partes
Interesadas
Gestion de la
Seguridad de la
Informacion
Hacer (implementar y
operar el ISMS)
Verificar (monitorear
y revisar el ISMS)
Actuar (mantener
y mejorar el ISMS)
Seguridad
Mantener la seguridad fsica es una de las claves para un centro de datos
confiable. Conservar los sistemas bajo llave y proporcionar la entrada solo al
personal autorizado va de la mano con la idea de permitir el acceso a servidores,
aplicaciones, datos a travs de la red, etc., solo al mismo personal que tenga
autorizacin. Cabe recalcar que los activos ms valiosos de cualquier empresa
(adems de las personas) se encuentran en el centro de datos.
Un ladrn de poca monta ira tras los ordenadores porttiles o los smartphones;
pero los profesionales se centraran en alcanzar el centro de datos. Y all, las
cerraduras en las puertas pueden ser superadas, por lo que se recomienda
mecanismos de alarmas y de rpida respuesta. Claro est que, si se desea, se
puede dar un paso ms: guardias de seguridad, sistema de seguridad, etc.
Dependiendo de las necesidades de la empresa.
Responsabilidad
Vindolo desde el punto de vista de un administrador de sistemas, es necesario
saber que la mayora de los encargados de las tecnologas son buenos
profesionales y de confianza. An as, es necesaria una rendicin de cuentas de
cualquiera con acceso al centro de datos, para poder realizar un seguimiento de
las interacciones de ste con la gente. Los centros de datos deben registrar
detalles de cada entrada por medio de tarjetas de acceso. Y se recomienda que
estos registros estn en manos de personas fuera de TI (rea de tecnologas de
informacin), tales como del departamento de seguridad. Los visitantes que
ingresen y salgan deben permanecer bajo supervisin en todo momento. Por
ltimo, cada sistema debe contar con un propietario identificado, ya sea un
servidor, un router, un enfriador de centro de datos, o un sistema de alarma.
Polticas
Todos los procesos involucrados con el centro de datos deben tener una poltica
respaldndolos para ayudar a mantener el medio ambiente adecuado y
administrado. Como empresa, necesita polticas para el acceso al sistema y la
utilizacin de ste. Por ejemplo, solo los administradores de bases de datos
tienen un control total al servidor SQL (Lenguaje de consulta estructurado o
Structured Query Language, por sus siglas en ingls). Usted debe contar con
polticas de retencin de datos como: cunto tiempo se almacenan las copias
de seguridad? Los mantiene fuera de sitio? Y si es as, cuntos de stos
caducan?
El mismo concepto se aplica a la instalacin de nuevos sistemas, la
comprobacin de dispositivos obsoletos, y la eliminacin de equipos antiguos.
Por ejemplo, limpiar los discos duros del servidor y donar o reciclar el hardware.
Redundancia
Si usted piensa que tener un neumtico de repuesto es todo lo que necesita su
automvil en una salida al campo, no aplique este concepto a su centro de
datos. ste es, probablemente, mucho ms brillante, caro y valioso, por lo que
necesita ms que un repuesto para asegurarse de que se mantenga saludable.
Por lo menos, necesita dos de todo lo que su empresa requiere para mantenerse
a flote. Y esto se aplica a los servidores de correo electrnico, ISP; enlaces de
fibra de datos o de voz, etc. Aunque tres o ms de cada item no le harn dao.
No solo los repuestos de cada componente son importantes; sino tambin le
hecho de probar y asegurarse que funcionan de forma fiable.
Monitoreo
El seguimiento de todos los sistemas aporta un gran valor proactivo, pero no lo
es todo. Tambin es importante controlar la cantidad de ancho de banda en uso,
as como la energa, el almacenamiento, y todo lo que funcione como un
comodn recibido por su centro de datos.
Adems, existen herramientas gratuitas como Nagios, para el monitoreo de
partes fsicas, o Dranetz, para la medicin de energa.
Escalabilidad
Ya que su empresa necesita 25 servidores hoy en da para una gran variedad de
tareas, incluyendo la virtualizacin, la redundancia, servicios de archivos, correo
electrnico, bases de datos y anlisis, cunto podra necesitar el prximo mes,
el prximo ao o la prxima dcada? Asegrese de tener el centro de datos en
un tamao adecuado con suficiente capacidad de expansin para aumentar la
potencia, la red, el espacio fsico y el almacenamiento. Si sus necesidades de
centros de datos van a crecer (y en caso su empresa sea rentable) es necesario
que inicie la planificacin de este punto.
Organizacin
Mayormente, todos los profesionales de TI han sido presionados por el tiempo.
Puede que haya errores cuando se implanta un nuevo sistema, debido al pnico
que se genera por el incumplimiento de plazos. Y estos errores pueden afectar
el ambiente agradable que se tenga en una empresa.
Una implementacin exitosa del sistema no solo significa enchufar y encender;
sino, incluye la integracin de dispositivos en el centro de datos por medio de
mtodos estandarizados y fundamentados
Documentacin y registro
Los centros de datos son un entorno dinmico y si no se tiene un adecuado
control de la informacin y una apropiada administracin de la infraestructura, se
convertirn en una gran carga y por lo tanto sern un costo oculto.
Bibliografa
http://www.ongei.gob.pe/docs/isoiec27001.pdf
http://www.bsigroup.com/es-ES/Seguridad-de-la-Informacion-ISOIEC27001/Implantacion-de-la-norma-ISO-27001/
http://www.bsigroup.com/LocalFiles/esES/Documentos%20tecnicos/8846_BSI_Product_Flyer_27001.pdf
http://www.datacenterdynamics.es/focus/archive/2012/03/diez-aspectosfundamentales-tener-en-cuenta-para-construir-un-datacenter
http://www.gbs.pe/diez-elementos-clave-para-un-centro-de-datos-eficiente/