SlideShare ist ein Scribd-Unternehmen logo

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN

Als PPT, PDF herunterladen
V
VICTORIAZM

Este documento describe el estándar ISO 27001 para la gestión de la seguridad de la información. Explica que ISO 27001 especifica los requisitos para establecer, implementar, mantener y mejorar un sistema de gestión de seguridad de la información dentro de una organización. Se basa en un enfoque de gestión de riesgos y un ciclo PDCA de planificar, hacer, verificar y actuar. El objetivo es proteger la confidencialidad, integridad y disponibilidad de la información de una organización.

Technologie
1 von 28
ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos
Qué es Información?  ISO 27001 Es un conjunto de datos acerca de algún suceso, hecho, fenómeno o situación, que organizados en un contexto determinado tienen un significado y que tiene el propósito de reducir la incertidumbre o incrementar el conocimiento de algo.  Information existe en diferentes formatos: − Capital Humano − Impresa o escrita en papel − Dispositivos de almacenamiento (Discos, CDs, etc…) − Oral (teléfono, móvil, etc.) − Video, fotos
La Información en las Empresas ISO 27001 Dentro de una Empresa, la información es considerada un Activo (un recurso) que tiene valor o utilidad para sus operaciones comerciales y su continuidad. Por esta razón, esta información necesita tener protección para asegurar una correcta operación del negocio y una continuidad en sus operaciones.
La Información en las Empresas Estos activos pueden ser clasificados de la siguiente ISO 27001 forma: • Activos de Información (datos, manuales de usuario, etc.) • Documentos en Papel (contratos) • Activos de software (aplicación, software de sistema, etc.) • Activos físicos (computadores, medios magnéticos, etc.) • Personal (clientes, trabajadores) • Imagen y reputación de la organización • Servicios (comunicaciones, etc.)
Qué es seguridad de la ISO 27001 Información? La seguridad de información se caracteriza por la preservación de: Confidencialidad Integridad Disponibilidad de la información
Identificación de Amenazas Tipos de Amenazas ISO 27001 Am cio as les ra az H en na um a pe en an zas O Am as Amenazas a Amenazas Instalaciones Sociales Am óg s Na en ol za s tu aza ica cn ena ra s l es Te Am
Vulnerabilidades Tipos de Vulnerabilidades ISO 27001 Control de Acceso Seguridad de los Seguridad física y recursos humanos ambiental Ge st y c i ón ac Sis o, n de r m e nt om op ió t . fo o d ie un era in oll nim i ca c i o rr te ció ne sa n n s de Ma
ISO 27001 Seguridad de la Información SGSI
¿Seguridad de la Información ? • La información es un activo que como otros activos ISO 27001 importantes tiene valor y requiere en consecuencia una protección adecuada. • La información puede estar: • Impresa o escrita en papel. • Almacenada electrónicamente. • Trasmitida por correo o medios electrónicos • Mostrada en filmes. • Hablada en conversación. • Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene.
Gestión Seguridad Información ISO 27001 ISO-27001:2005. Modelo Preventivo • “La información es un activo que, como otros activos comerciales importantes, tiene valor para la organización y, en consecuencia, necesita ser protegido adecuadamente”. • “Un Sistema de Gestión de Seguridad de Información (SGSI) es un sistema gerencial general basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información”
Gestión Seguridad Información ISO 27001 ISO-27001:2005. Modelo Preventivo 4 1 Requerimientos Actuar Planificar Seguridad de y Expectativas Información de la Seguridad Administrada de Información 3 2 Revisar Hacer
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001 4 Requerimientos Actuar Seguridad de y Expectativas 1 Información de la Seguridad Planificar Administrada de Información 3 2 Revisar Hacer
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001 • Planificar. • Definir el enfoque de evaluación del riesgo de la organización. • Establecer metodología de cálculo del riesgo. • Establecer criterios de aceptación del riesgo y niveles de aceptación del mismo. • Identificar los riesgos asociados al alcance establecido. • Analizar y evaluar los riesgos encontrados.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001 • Planificar. • Identificar y evaluar las opciones de tratamiento de los riesgos. • Aplicar controles. • Aceptarlo de acuerdo a los criterios de aceptación. • Evitarlo. • Transferirlo. • Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen. • Obtener la aprobación de la gerencia para los riesgos residuales e implementar el SGSI. • Preparar el Enunciado de Aplicabilidad.
Gestión Seguridad Información ISO 27001 ISO-27001:2005. Modelo Preventivo 4 1 Requerimientos Actuar Planificar Seguridad de y Expectativas 2 Información de la Seguridad Hacer Administrada de Información 3 Revisar
Gestión Seguridad Información ISO 27001 ISO-27001:2005. Modelo Preventivo • Hacer. • Plan de tratamiento del riesgo. • Implementar el plan de tratamiento del riesgo. • Implementar controles seleccionados. • Definir la medición de la efectividad de los controles a través de indicadores de gestión. • Implementar programas de capacitación. • Manejar las operaciones y recursos del SGSI. • Implementar procedimientos de detección y respuesta a incidentes de seguridad.
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001 4 1 Requerimientos Actuar Planificar Seguridad de y Expectativas 3 Información de la Seguridad Revisar Administrada de Información 2 Hacer
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001 • Revisar. • Procedimientos de monitoreo y revisión para: • Detectar oportunamente los errores. • Identificar los incidentes y violaciones de seguridad. • Determinar la eficacia del SGSI. • Detectar eventos de seguridad antes que se conviertan en incidentes de seguridad. • Determinar efectividad de las acciones correctivas tomadas para resolver una violación de seguridad. • Realizar revisiones periódicas.
Gestión Seguridad Información ISO 27001 ISO-27001:2005. Modelo Preventivo • Revisar. • Medición de la efectividad de los controles. • Revisar las evaluaciones del riesgo periódicamente y revisar el nivel de riesgo residual aceptable. • Realizar auditorías internas al SGSI. • Realizar revisiones gerenciales. • Actualizar los planes de seguridad a partir de resultados del monitoreo. • Registrar las acciones y eventos con impacto sobre el SGSI.
Gestión Seguridad Información ISO 27001 ISO-27001:2005. Modelo Preventivo 1 Requerimientos Planificar Seguridad de y Expectativas 4 Información de la Seguridad Actuar Administrada de Información 3 2 Revisar Hacer
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001 • Actuar. • Implementar las mejoras identificadas en el SGSI. • Aplicar acciones correctivas y preventivas de seguridad al SGSI. • Comunicar los resultados y acciones a las partes interesadas. • Asegurar que las mejoras logren sus objetivos señalados.
ISO 27001 Seguridad de la Información SGSI
Mantenimiento y mejora del SGSI (Act) • Tomar acciones correctivas y preventivas, basadas en los ISO 27001 resultados de la revisión de la dirección, para lograr la mejora continua del SGSI. • Medir el desempeño del SGSI. • Identificar mejoras en el SGSI a fin de implementarlas. • Tomar las apropiadas acciones a implementar en el ciclo en cuestión (preventivas y correctivas). • Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas. • Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.
Estructura de la Documentación Requerida Enfoque de la Gerencia Manual de Política, Alcance, ISO 27001 Nivel I Evaluación Riesgo Seguridad Descripción de procesos, Nivel II Procedimientos Quién hace qué y cuándo Describe tareas Instrucciones de Nivel III específicas y cómo se Trabajo realizan Provee evidencia Nivel IV objetiva de la Registros conformidad con SGSI
Factores Claves de Éxito en la Implementación de un SGSI ISO 27001 • Política de seguridad documentada y alineada con los objetivos del negocio. • Apoyo y participación visible de la alta gerencia. • Entendimiento de los requerimientos de seguridad, evaluación y gestión de los riesgos asociados. • Compatibilidad con la cultura organizacional. • Entrenamiento y educación.
Conclusiones • Hoy en día las organizaciones ISO 27001 dependen en gran medida de su tecnología y sus activos de información. • Por lo anterior, impera una protección adecuada a las informaciones importantes. • Seguridad no es un producto, es un proceso que debe ser administrado.
Conclusiones ISO 27001 • Nada es estático, la seguridad no es la excepción. Mejora continua. • Seguridad total no existe, pero sí existe la garantía de calidad en un proceso de seguridad.
Preguntas y Respuestas ISO 27001

Empfohlen

La Convergencia de la Seguridad
La Convergencia de la SeguridadLa Convergencia de la Seguridad
La Convergencia de la SeguridadRicardo Cañizares Sales
 
Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Carmen Hevia Medina
 
La Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralLa Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralRicardo Cañizares Sales
 
Modelos de seg. de la informacion
Modelos de seg. de la informacionModelos de seg. de la informacion
Modelos de seg. de la informacionluisrobles17
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de VulnerabilidadesPablo Palacios
 
Antonio Jménez Seguridad Informatica
Antonio Jménez Seguridad InformaticaAntonio Jménez Seguridad Informatica
Antonio Jménez Seguridad Informaticacarmelacaballero
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002EXIN
 
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005ascêndia reingeniería + consultoría
 

Empfohlen

La Convergencia de la Seguridad
La Convergencia de la SeguridadLa Convergencia de la Seguridad
La Convergencia de la SeguridadRicardo Cañizares Sales
 
Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Gsi t09c (seguridad, aseguramiento y auditoria si)
Gsi t09c (seguridad, aseguramiento y auditoria si)Carmen Hevia Medina
 
La Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralLa Convergencia de la Seguridad: la seguridad integral
La Convergencia de la Seguridad: la seguridad integralRicardo Cañizares Sales
 
Modelos de seg. de la informacion
Modelos de seg. de la informacionModelos de seg. de la informacion
Modelos de seg. de la informacionluisrobles17
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de VulnerabilidadesPablo Palacios
 
Antonio Jménez Seguridad Informatica
Antonio Jménez Seguridad InformaticaAntonio Jménez Seguridad Informatica
Antonio Jménez Seguridad Informaticacarmelacaballero
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002EXIN
 
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005ascêndia reingeniería + consultoría
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Los 10 mandamientos de la Seguridad de la Información, por Marcela Nuñez
Los 10 mandamientos de la Seguridad de la Información, por Marcela Nuñez Los 10 mandamientos de la Seguridad de la Información, por Marcela Nuñez
Los 10 mandamientos de la Seguridad de la Información, por Marcela Nuñez Foro Global Crossing
 
Curso de Seguridad de la Informacion
Curso de Seguridad de la InformacionCurso de Seguridad de la Informacion
Curso de Seguridad de la Informacioncautio
 
COBIT 5 y la Seguridad de la Información
COBIT 5 y la Seguridad de la InformaciónCOBIT 5 y la Seguridad de la Información
COBIT 5 y la Seguridad de la InformaciónCarlos Francavilla
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información ESET Latinoamérica
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoModernizacion y Gobierno Digital - Gobierno de Chile
 
Control de Cambios de Sistema de Información
Control de Cambios de Sistema de InformaciónControl de Cambios de Sistema de Información
Control de Cambios de Sistema de InformaciónMelvin Jáquez
 
12 recomendaciones para la gestión del cambio en las organizaciones
12 recomendaciones para la gestión del cambio en las organizaciones12 recomendaciones para la gestión del cambio en las organizaciones
12 recomendaciones para la gestión del cambio en las organizacionesRamon Costa i Pujol
 
Medidas de riesgo y de impacto 2015
Medidas de riesgo y de impacto 2015 Medidas de riesgo y de impacto 2015
Medidas de riesgo y de impacto 2015 Gloria Hernandez Gomez
 
Gestion de personas 2011
Gestion de personas 2011Gestion de personas 2011
Gestion de personas 2011daniparra2011
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Cein
 
Software para sistemas de gestión de seguridad de la información ISO/IEC 2700...
Software para sistemas de gestión de seguridad de la información ISO/IEC 2700...Software para sistemas de gestión de seguridad de la información ISO/IEC 2700...
Software para sistemas de gestión de seguridad de la información ISO/IEC 2700...eGAMbpm
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Brayan A. Sanchez
 
Informe de practica AIEP Copeval S.A.
Informe de practica AIEP Copeval S.A.Informe de practica AIEP Copeval S.A.
Informe de practica AIEP Copeval S.A.ctoror
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
El SGSI seguridad informática
El SGSI seguridad informática El SGSI seguridad informática
El SGSI seguridad informática Álvaro Pérez Alborch
 
Formato PowerPoint.pptx
Formato PowerPoint.pptxFormato PowerPoint.pptx
Formato PowerPoint.pptxNicoGreco1
 
Victoria
VictoriaVictoria
VictoriaCECY50
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaCamilo Hernandez
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Curso SGSI Sistemas de Gestión de Seguridad de la Información
Curso SGSI Sistemas de Gestión de Seguridad de la InformaciónCurso SGSI Sistemas de Gestión de Seguridad de la Información
Curso SGSI Sistemas de Gestión de Seguridad de la InformaciónProfesionaldocs.com
 

Weitere ähnliche Inhalte

Andere mochten auch

Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Los 10 mandamientos de la Seguridad de la Información, por Marcela Nuñez
Los 10 mandamientos de la Seguridad de la Información, por Marcela Nuñez Los 10 mandamientos de la Seguridad de la Información, por Marcela Nuñez
Los 10 mandamientos de la Seguridad de la Información, por Marcela Nuñez Foro Global Crossing
 
Curso de Seguridad de la Informacion
Curso de Seguridad de la InformacionCurso de Seguridad de la Informacion
Curso de Seguridad de la Informacioncautio
 
COBIT 5 y la Seguridad de la Información
COBIT 5 y la Seguridad de la InformaciónCOBIT 5 y la Seguridad de la Información
COBIT 5 y la Seguridad de la InformaciónCarlos Francavilla
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información ESET Latinoamérica
 
Control de Cambios de Sistema de Información
Control de Cambios de Sistema de InformaciónControl de Cambios de Sistema de Información
Control de Cambios de Sistema de InformaciónMelvin Jáquez
 
12 recomendaciones para la gestión del cambio en las organizaciones
12 recomendaciones para la gestión del cambio en las organizaciones12 recomendaciones para la gestión del cambio en las organizaciones
12 recomendaciones para la gestión del cambio en las organizacionesRamon Costa i Pujol
 
Gestion de personas 2011
Gestion de personas 2011Gestion de personas 2011
Gestion de personas 2011daniparra2011
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Cein
 
Software para sistemas de gestión de seguridad de la información ISO/IEC 2700...
Software para sistemas de gestión de seguridad de la información ISO/IEC 2700...Software para sistemas de gestión de seguridad de la información ISO/IEC 2700...
Software para sistemas de gestión de seguridad de la información ISO/IEC 2700...eGAMbpm
 
Informe de practica AIEP Copeval S.A.
Informe de practica AIEP Copeval S.A.Informe de practica AIEP Copeval S.A.
Informe de practica AIEP Copeval S.A.ctoror
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 

Andere mochten auch (16)

Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 
Los 10 mandamientos de la Seguridad de la Información, por Marcela Nuñez
Los 10 mandamientos de la Seguridad de la Información, por Marcela Nuñez Los 10 mandamientos de la Seguridad de la Información, por Marcela Nuñez
Los 10 mandamientos de la Seguridad de la Información, por Marcela Nuñez
 
Curso de Seguridad de la Informacion
Curso de Seguridad de la InformacionCurso de Seguridad de la Informacion
Curso de Seguridad de la Informacion
 
COBIT 5 y la Seguridad de la Información
COBIT 5 y la Seguridad de la InformaciónCOBIT 5 y la Seguridad de la Información
COBIT 5 y la Seguridad de la Información
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
Control de Cambios de Sistema de Información
Control de Cambios de Sistema de InformaciónControl de Cambios de Sistema de Información
Control de Cambios de Sistema de Información
 
12 recomendaciones para la gestión del cambio en las organizaciones
12 recomendaciones para la gestión del cambio en las organizaciones12 recomendaciones para la gestión del cambio en las organizaciones
12 recomendaciones para la gestión del cambio en las organizaciones
 
Medidas de riesgo y de impacto 2015
Medidas de riesgo y de impacto 2015 Medidas de riesgo y de impacto 2015
Medidas de riesgo y de impacto 2015
 
Gestion de personas 2011
Gestion de personas 2011Gestion de personas 2011
Gestion de personas 2011
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
 
Software para sistemas de gestión de seguridad de la información ISO/IEC 2700...
Software para sistemas de gestión de seguridad de la información ISO/IEC 2700...Software para sistemas de gestión de seguridad de la información ISO/IEC 2700...
Software para sistemas de gestión de seguridad de la información ISO/IEC 2700...
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001
 
Informe de practica AIEP Copeval S.A.
Informe de practica AIEP Copeval S.A.Informe de practica AIEP Copeval S.A.
Informe de practica AIEP Copeval S.A.
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 

Ähnlich wie SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN

Formato PowerPoint.pptx
Formato PowerPoint.pptxFormato PowerPoint.pptx
Formato PowerPoint.pptxNicoGreco1
 
Victoria
VictoriaVictoria
VictoriaCECY50
 
Curso SGSI Sistemas de Gestión de Seguridad de la Información
Curso SGSI Sistemas de Gestión de Seguridad de la InformaciónCurso SGSI Sistemas de Gestión de Seguridad de la Información
Curso SGSI Sistemas de Gestión de Seguridad de la InformaciónProfesionaldocs.com
 
Tesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbTesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbRicardo Urbina Miranda
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralRicardo Cañizares Sales
 
ISO 27001 Seguridad Para los Datos.pptx
ISO 27001 Seguridad Para los Datos.pptxISO 27001 Seguridad Para los Datos.pptx
ISO 27001 Seguridad Para los Datos.pptxYordanSalazarVillalo
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014Protiviti Peru
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademica07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademicaFernando Sánchez
 

Ähnlich wie SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN (20)

El SGSI seguridad informática
El SGSI seguridad informática El SGSI seguridad informática
El SGSI seguridad informática
 
Formato PowerPoint.pptx
Formato PowerPoint.pptxFormato PowerPoint.pptx
Formato PowerPoint.pptx
 
Victoria
VictoriaVictoria
Victoria
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Curso SGSI Sistemas de Gestión de Seguridad de la Información
Curso SGSI Sistemas de Gestión de Seguridad de la InformaciónCurso SGSI Sistemas de Gestión de Seguridad de la Información
Curso SGSI Sistemas de Gestión de Seguridad de la Información
 
Segurinfo 2011 - Retos de un CISO
Segurinfo 2011 - Retos de un CISOSegurinfo 2011 - Retos de un CISO
Segurinfo 2011 - Retos de un CISO
 
Tesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbTesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pb
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Adquisición e implementación dominio
Adquisición e implementación dominioAdquisición e implementación dominio
Adquisición e implementación dominio
 
La Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integralLa Convergencia de la Seguridad - la seguridad integral
La Convergencia de la Seguridad - la seguridad integral
 
ISO 27001 Seguridad Para los Datos.pptx
ISO 27001 Seguridad Para los Datos.pptxISO 27001 Seguridad Para los Datos.pptx
ISO 27001 Seguridad Para los Datos.pptx
 
Ley 29783 ucv
Ley 29783 ucvLey 29783 ucv
Ley 29783 ucv
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
 
Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014Curso - Taller SGSI_Perú 2014
Curso - Taller SGSI_Perú 2014
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademica07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademica
 
iso 27001.pptx
iso 27001.pptxiso 27001.pptx
iso 27001.pptx
 

Kürzlich hochgeladen

guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilJuanGallardo438714
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxlosdiosesmanzaneros
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 

Kürzlich hochgeladen (15)

guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 

SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN

  • 1. ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos
  • 2. Qué es Información?  ISO 27001 Es un conjunto de datos acerca de algún suceso, hecho, fenómeno o situación, que organizados en un contexto determinado tienen un significado y que tiene el propósito de reducir la incertidumbre o incrementar el conocimiento de algo.  Information existe en diferentes formatos: − Capital Humano − Impresa o escrita en papel − Dispositivos de almacenamiento (Discos, CDs, etc…) − Oral (teléfono, móvil, etc.) − Video, fotos
  • 3. La Información en las Empresas ISO 27001 Dentro de una Empresa, la información es considerada un Activo (un recurso) que tiene valor o utilidad para sus operaciones comerciales y su continuidad. Por esta razón, esta información necesita tener protección para asegurar una correcta operación del negocio y una continuidad en sus operaciones.
  • 4. La Información en las Empresas Estos activos pueden ser clasificados de la siguiente ISO 27001 forma: • Activos de Información (datos, manuales de usuario, etc.) • Documentos en Papel (contratos) • Activos de software (aplicación, software de sistema, etc.) • Activos físicos (computadores, medios magnéticos, etc.) • Personal (clientes, trabajadores) • Imagen y reputación de la organización • Servicios (comunicaciones, etc.)
  • 5. Qué es seguridad de la ISO 27001 Información? La seguridad de información se caracteriza por la preservación de: Confidencialidad Integridad Disponibilidad de la información
  • 6. Identificación de Amenazas Tipos de Amenazas ISO 27001 Am cio as les ra az H en na um a pe en an zas O Am as Amenazas a Amenazas Instalaciones Sociales Am óg s Na en ol za s tu aza ica cn ena ra s l es Te Am
  • 7. Vulnerabilidades Tipos de Vulnerabilidades ISO 27001 Control de Acceso Seguridad de los Seguridad física y recursos humanos ambiental Ge st y c i ón ac Sis o, n de r m e nt om op ió t . fo o d ie un era in oll nim i ca c i o rr te ció ne sa n n s de Ma
  • 8. ISO 27001 Seguridad de la Información SGSI
  • 9. ¿Seguridad de la Información ? • La información es un activo que como otros activos ISO 27001 importantes tiene valor y requiere en consecuencia una protección adecuada. • La información puede estar: • Impresa o escrita en papel. • Almacenada electrónicamente. • Trasmitida por correo o medios electrónicos • Mostrada en filmes. • Hablada en conversación. • Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene.
  • 10. Gestión Seguridad Información ISO 27001 ISO-27001:2005. Modelo Preventivo • “La información es un activo que, como otros activos comerciales importantes, tiene valor para la organización y, en consecuencia, necesita ser protegido adecuadamente”. • “Un Sistema de Gestión de Seguridad de Información (SGSI) es un sistema gerencial general basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información”
  • 11. Gestión Seguridad Información ISO 27001 ISO-27001:2005. Modelo Preventivo 4 1 Requerimientos Actuar Planificar Seguridad de y Expectativas Información de la Seguridad Administrada de Información 3 2 Revisar Hacer
  • 12. Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001 4 Requerimientos Actuar Seguridad de y Expectativas 1 Información de la Seguridad Planificar Administrada de Información 3 2 Revisar Hacer
  • 13. Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001 • Planificar. • Definir el enfoque de evaluación del riesgo de la organización. • Establecer metodología de cálculo del riesgo. • Establecer criterios de aceptación del riesgo y niveles de aceptación del mismo. • Identificar los riesgos asociados al alcance establecido. • Analizar y evaluar los riesgos encontrados.
  • 14. Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001 • Planificar. • Identificar y evaluar las opciones de tratamiento de los riesgos. • Aplicar controles. • Aceptarlo de acuerdo a los criterios de aceptación. • Evitarlo. • Transferirlo. • Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen. • Obtener la aprobación de la gerencia para los riesgos residuales e implementar el SGSI. • Preparar el Enunciado de Aplicabilidad.
  • 15. Gestión Seguridad Información ISO 27001 ISO-27001:2005. Modelo Preventivo 4 1 Requerimientos Actuar Planificar Seguridad de y Expectativas 2 Información de la Seguridad Hacer Administrada de Información 3 Revisar
  • 16. Gestión Seguridad Información ISO 27001 ISO-27001:2005. Modelo Preventivo • Hacer. • Plan de tratamiento del riesgo. • Implementar el plan de tratamiento del riesgo. • Implementar controles seleccionados. • Definir la medición de la efectividad de los controles a través de indicadores de gestión. • Implementar programas de capacitación. • Manejar las operaciones y recursos del SGSI. • Implementar procedimientos de detección y respuesta a incidentes de seguridad.
  • 17. Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001 4 1 Requerimientos Actuar Planificar Seguridad de y Expectativas 3 Información de la Seguridad Revisar Administrada de Información 2 Hacer
  • 18. Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001 • Revisar. • Procedimientos de monitoreo y revisión para: • Detectar oportunamente los errores. • Identificar los incidentes y violaciones de seguridad. • Determinar la eficacia del SGSI. • Detectar eventos de seguridad antes que se conviertan en incidentes de seguridad. • Determinar efectividad de las acciones correctivas tomadas para resolver una violación de seguridad. • Realizar revisiones periódicas.
  • 19. Gestión Seguridad Información ISO 27001 ISO-27001:2005. Modelo Preventivo • Revisar. • Medición de la efectividad de los controles. • Revisar las evaluaciones del riesgo periódicamente y revisar el nivel de riesgo residual aceptable. • Realizar auditorías internas al SGSI. • Realizar revisiones gerenciales. • Actualizar los planes de seguridad a partir de resultados del monitoreo. • Registrar las acciones y eventos con impacto sobre el SGSI.
  • 20. Gestión Seguridad Información ISO 27001 ISO-27001:2005. Modelo Preventivo 1 Requerimientos Planificar Seguridad de y Expectativas 4 Información de la Seguridad Actuar Administrada de Información 3 2 Revisar Hacer
  • 21. Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo ISO 27001 • Actuar. • Implementar las mejoras identificadas en el SGSI. • Aplicar acciones correctivas y preventivas de seguridad al SGSI. • Comunicar los resultados y acciones a las partes interesadas. • Asegurar que las mejoras logren sus objetivos señalados.
  • 22. ISO 27001 Seguridad de la Información SGSI
  • 23. Mantenimiento y mejora del SGSI (Act) • Tomar acciones correctivas y preventivas, basadas en los ISO 27001 resultados de la revisión de la dirección, para lograr la mejora continua del SGSI. • Medir el desempeño del SGSI. • Identificar mejoras en el SGSI a fin de implementarlas. • Tomar las apropiadas acciones a implementar en el ciclo en cuestión (preventivas y correctivas). • Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas. • Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.
  • 24. Estructura de la Documentación Requerida Enfoque de la Gerencia Manual de Política, Alcance, ISO 27001 Nivel I Evaluación Riesgo Seguridad Descripción de procesos, Nivel II Procedimientos Quién hace qué y cuándo Describe tareas Instrucciones de Nivel III específicas y cómo se Trabajo realizan Provee evidencia Nivel IV objetiva de la Registros conformidad con SGSI
  • 25. Factores Claves de Éxito en la Implementación de un SGSI ISO 27001 • Política de seguridad documentada y alineada con los objetivos del negocio. • Apoyo y participación visible de la alta gerencia. • Entendimiento de los requerimientos de seguridad, evaluación y gestión de los riesgos asociados. • Compatibilidad con la cultura organizacional. • Entrenamiento y educación.
  • 26. Conclusiones • Hoy en día las organizaciones ISO 27001 dependen en gran medida de su tecnología y sus activos de información. • Por lo anterior, impera una protección adecuada a las informaciones importantes. • Seguridad no es un producto, es un proceso que debe ser administrado.
  • 27. Conclusiones ISO 27001 • Nada es estático, la seguridad no es la excepción. Mejora continua. • Seguridad total no existe, pero sí existe la garantía de calidad en un proceso de seguridad.

Hinweis der Redaktion

  1. Notes: An asset is anything of value, something to protect or take care of (e.g. records, buildings). A resource is a source to get energy from (e.g knowledge)
  2. While past attacks were designed to destroy data, the attacks are increasingly designed to steal data without doing noticeable damage that would alert a user to the virus’ presence. Symantec cautioned that the malicious code for profit was on the rise. (Symantec annual Internet Security Threat Report)
  3. Information security: to prevent damage to something of value a thing that guards or guarantees includes protection of information with the following aspects: 1. Confidentiality - users only have access to information to which they are authorised. 2. Integrity - protection against unauthorised changes or damage; i. e. safeguarding the accuracy and completeness of the information. 3. Availability - information is available, in the correct context, when required by authorised users. Summary: ISMS breaks into three areas - Confidentiality, Integrity and Availability High Confidentiallity will normally give low Availability and vice versa. Integrity (as per definition): the condition of being whole and undamaged
  4. 3 main sources of security requirements in any organisation: 1. Security risks; that is, threats to assets, vulnerabilities and potential impact on the business of the organisation. Many risks can be effectively countered by using the guidance in the document “BS7799 : 1999, part 1”. A risk assessment can identify the controls that should be selected and implemented to achieve suitable protection. Investigations have found that 80% of all breaches to security in a company come from authorised people doing wrong things. 2. Legal and contractual requirements that an organisation, its trading partners, contractors and service providers have to satisfy. As demands for inter-organisational networking and interoperability increase there is a requirement for compliance with standards. “BS7799 : 1999, part 1”, serves as a consistent reference point. 3. Internal Principles, objectives and requirements for information processing to support business operations. It is important for competitive edge, that the organisation’s information security policy supports these requirements. It is also vital that efficient business operations are not impeded by lack of security because of missing controls in the information infrastructure, or by interruptions caused by the implementation of controls. Incorporation of the right controls and the required degree of flexibility from the start of the information security planning process is critical to the successful outcome of the work.
  5. Notes: An asset is anything of value, something to protect or take care of (e.g. records, buildings). A resource is a source to get energy from (e.g knowledge)