Guia Completa per a la Implementació d'un SGSI segons ISO 27001

Construcció d'un Sistema de Gestió de Seguretat de la Informació (SGSI) segons ISO 27001

Cicle de Deming (P-D-C-A):

• Fase Plan - Anàlisi de riscos: es defineixen els fonaments del SGSI. Definició de la política de seguretat: Establiment dels principis generals que guiaran les accions de seguretat. Determinació de l'abast del sistema: Identificació dels actius i processos que estaran sota el paraigua del SGSI. Anàlisi de riscos: Avaluació de les amenaces potencials, vulnerabilitats i els seus possibles impactes en la confidencialitat, integritat i disponibilitat dels actius. Identificar actius. Identificar amenaces, vulnerabilitats i impactes. Estimar els nivells de risc. Presentar els nivells de risc a la Direcció per a la seva avaluació i presa de decisions sobre el seu tractament.
• Fase Plan - Gestió de riscos: es duen a terme accions per gestionar els riscos identificats. Toma de decisions sobre riscos: La direcció determina quins riscos són acceptables i quins necessiten ser tractats. Identificació i valoració d'opcions per al tractament: Avaluació de les possibles respostes als riscos, acceptar-los, reduir-los, evitar-los o transferir-los. Selecció d'objectius de control i controls: Establiment de mesures per mitigar els riscos. Obtenció d'aprovació i autorització: Es presenta el pla de tractament de riscos a la Direcció per a la seva aprovació.
• Fase Do - Fer: En aquesta etapa s'implementen les mesures de seguretat planificades: Ejecució del pla de tractament de riscos: Implementació dels controls de seguretat seleccionats. Definició de criteris de mesura: Establiment d'indicadors per avaluar l'eficàcia dels controls. Programes de formació i capacitació: Capacitat del personal en mesures de seguretat. Establiment de processos de detecció i resposta: Implementació de procediments per identificar i gestionar incidents de seguretat.
• Fase Check - Revisar: es duen a terme seguiment i revisió del SGSI: Monitorització i revisió: Avaluació contínua del rendiment del SGSI. Auditories internes: Revisió periòdica per garantir el compliment dels requisits del SGSI. Avaluació de l'efectivitat dels controls de seguretat. Actualització de plans de seguretat: Modificació de les mesures de seguretat segons sigui necessari. Revisió per la Direcció: Avaluació del funcionament i eficàcia general del SGSI.
• Fase Act - Reaccionar: s'implementen accions correctives i preventives per millorar el SGSI: Resolució de problemes identificats i prevenció de futurs incidents de seguretat. Comunicació de millores: Informació a les parts interessades sobre les accions realitzades. Seguiment d'accions: Monitorització contínua per garantir que les millores planificades s'implementin de manera efectiva i s'assoleixin els objectius establerts.

Reglament General de Protecció de Dades de Caràcter Personal (RGPD-2016) • Ley de Protecció de Dades Personals i Drets Digitals (LOPDGDD-2018) • Ley de Serveis per a la Societat de la Informació i de Comerç Electrònic (LSSICE) • Ley General de Telecomunicacions (LGT) • Ley de Secrets Empresarials (2019) • Ley de Propietat Intel·lectual (LPI) • Ley de Firma Electrònica (LFE)

Gastos materials: equips, software, material d'oficina. Gastos de desplaçament: Toma de dades, vista oral. Gastos d'execució: hores que dedica el perit. Una vegada el perit valora el cas, elabora el pressupost i s'accepten les condicions, es comença el treball de camp. Primer pas una vegada acceptat un peritatge és definir amb el client els objectius de la prova pericial. Actuem com a perit judicial, hem de respondre a les preguntes que el secretari judicial formularà, havent de transformar aquestes en objectius de la prova pericial. Entre la documentació a analitzar ens podem trobar amb: manuals d'instal·lació, llistats de logs, contractes, les pròpies demandes o querelles. Toma de proves: Quan la prova consisteix en l'extracció d'informació d'un ordinador, es recorre a la informàtica forense, que és l'àrea de coneixement especialitzada en aquesta problemàtica.

• Al manejar proves, és de crucial importància seguir els següents principis generals:
• Presència de testimonis en el lloc dels fets;
• Integritat de les dades;
• Registre d'auditoria i traçabilitat de les proves;
• Legalitat i adhesió als principis.

Adquisició d'evidències: Principi de Locard: “Sempre que dos objectes entren en contacte, transfereixen part del material que incorporen a l'altre objecte.” La primera referència en la matèria és del lloc on s'estableixen els mínims del procés de recolecció d'evidències digitals. RFC 3227:2002 | ISO 27037 | ISO 27041 | ISO 27042:2015