SlideShare ist ein Scribd-Unternehmen logo

Iso 27k abril 2013

Als PPTX, PDF herunterladen
Marvin Zumbado
Marvin Zumbado
1 von 24
Normas ISO 27001 y 27002 MARVIN ZUMBADO FLORES
Agenda  ISO y sus estándares  Objetivos de ISO 27000  Diferencias entre ISO 27001 e ISO 27002.  Dominios de ISO 27001.  Implementación de ISO 27001.  Fases del Proceso de Certificación  Conclusiones.
ISO y sus estándares  Organización Internacional para la Estandarización (International Organization for Standardization)  Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas a nivel internacional.  La ISO 27000, es la norma que explica cómo implantar un Sistema de Gestión de Seguridad de la Información en una empresa.  La implantación de una ISO 27000 en una organización permite proteger la información de ésta de la forma más fiable posible
Objetivos ISO 27000 Una empresa que tenga establecida la ISO 27000 garantiza, tanto de manera interna como al resto de las empresas, que los riesgos de la seguridad de la información son controlados por la organización de una forma eficiente.  Objetivos:  Preservar la confidencialidad de los datos de la empresa  Conservar la integridad de estos datos  Hacer que la información protegida se encuentre disponible
ISO 27000, 27001, 27002  ISO/IEC 27000  Define el vocabulario estándar, términos y conceptos empleados en la familia 27000.  ISO/IEC 27001  Define los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000.  Define un SGSI, su gestiona y las responsabilidades de los participantes.  Sigue un modelo PDCA (Plan-Do-Check-Act).  Tiene como punto clave la gestión de riesgos unida con la mejora continua.  ISO/IEC 27002  Define las buenas prácticas para la gestión de la seguridad.  Medidas a tomar para asegurar los sistemas de información de una organización  Se identifica los objetivos de control y los controles recomendados a implantar.  Antes ISO 17799, basado en estándar BS 7799.
Diferencias entre ISO 27001 e ISO 27002  La ISO 27002 es mucho más detallada y mucho más precisa  Los controles de la norma ISO 27002 tienen la misma denominación que los indicados en el Anexo A de la ISO 27001, la diferencia se presenta en el nivel de detalle.  La ISO 27002 explica un control en forma extensa, en contraste con la ISO 27001 que sólo define una oración a cada uno.  No es posible obtener la certificación ISO 27002 porque no es una norma de gestión, la certificación en ISO 27001 sí es posible.  La ISO 27002 define cómo ejecutar un sistema y la ISO 27001 define el sistema de gestión de seguridad de la información (SGSI).
Diferencias entre ISO 27001 e ISO 27002 (Cont.)  Se establece en la ISO 27001 que el sistema de gestión significa que la seguridad de la información debe ser planificada, implementada, supervisada, revisada y mejorada, que la gestión tiene sus responsabilidades específicas, que se deben establecer, medir y revisar objetivos, que se deben realizar auditorías internas, etc. Esto no está establecido en la ISO 27002.  La ISO 27002 no distingue entre los controles que son aplicables a una organización específica y los que no lo son, en contraste la ISO 27001 exige la realización de una evaluación de riesgos sobre cada control para identificar si es necesario disminuir los riesgos y hasta qué punto se deben aplicar.  Se usa la ISO 27001 para crear la estructura de la seguridad de la información en la organización, se usa la ISO 27002 para implementar controles.
Diferencias entre ISO 27001 e ISO 27002 (Cont.)  Lo ideal es utilizar la ISO 2001 y la ISO 2002 en conjunto, ya que sin la descripción proporcionada por la ISO 27002, los controles definidos en el Anexo A de la ISO 27001 no se podrían implementar, sin el marco de gestión de la ISO 27001, la ISO 27002 es un esfuerzo aislado por la seguridad de la información, sin la aceptación de la alta dirección y sin efectos reales sobre la organización.
Otros ISO/IECs de la misma familia  ISO/IEC 27000 overview & vocabulary  ISO/IEC 27001 formal ISMS specification  ISO/IEC 27002 infosec controls guideline  ISO/IEC 27003 implementation guidance  ISO/IEC 27004 infosec metrics  ISO/IEC 27005 infosec risk management  ISO/IEC 27006 ISMS certification guide  ISO/IEC 27007 MS auditing guide  ISO/IEC TR 27008 technical auditing  ISO/IEC 27010 for inter- org comms  ISO/IEC 27011 ISO27k for telecomms  ISO/IEC 27013 for ISMS+service mgmt  ISO/IEC TR 27015 for financial services  ISO/IEC 27031 business continuity  ISO/IEC 27032 cybersecurity  ISO/IEC 27033 network security (parts)  ISO/IEC 27034 application security (part)  ISO/IEC 27035 incident management  ISO/IEC 27037 digital evidence  ISO 27799 ISO27k for healthcare industry
ISO/IEC 27001  El objetivo principal se adopta al modelo Plan-Do-Check- Act (PDCA o ciclo de Deming) para todos los procesos de la organización. Imagen 1. Ciclo Deming.
Fases ciclo Deming  Fase Planificación (Plan):  Establecer la política, objetivos, procesos y procedimientos relativos a la gestión del riesgo y mejorar la seguridad de la información de la organización para ofrecer resultados de acuerdo con las políticas y objetivos generales de la organización.  Fase Ejecución (Do):  Implementar y gestionar el SGSI de acuerdo a su política, controles, procesos y procedimientos.  Fase Seguimiento (Check):  Medir y revisar las prestaciones de los procesos del SGSI.  Fase Mejora (Act):  Adoptar acciones correctivas y preventivas basadas en auditorías y revisiones internas o en otra información relevante a fin de alcanzar la mejora continua del SGSI.
Dominios ISO 27001
Seguridad de la Información  Se definen la seguridad de la información como el logro, gestión y mantenimiento de tres características elementales:  Confidencialidad. La información sólo debe ser vista por aquellos que tienen permiso para ello.  Integridad. La información podrá ser modificada solo por aquellos con derecho a cambiarla.  Disponibilidad. La información deberá estar disponible en el momento en que los usuarios autorizados requieren acceder a ella.
Sistema de Gestión de la Seguridad de Información  Es un sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, procesos y los recursos necesarios para implementar la gestión de la seguridad de la información. Es la herramienta de la que dispone la Dirección de las organizaciones para llevar a cabo las políticas y objetivos de seguridad.  Sistema de Gestión de Seguridad de la Información, es el punto central de la norma 2700.
Sistema de Gestión de la Seguridad de Información (Cont.)
ISO/IEC 27002  Política de seguridad.  Aspectos organizativos para la seguridad.  Clasificación y control de activos.  Seguridad ligada al personal.  Seguridad física y del entorno.  Gestión de comunicaciones y operaciones.  Control de accesos.  Desarrollo y mantenimiento de sistemas.  Gestión de incidentes de seguridad de la información.  Gestión de continuidad de negocio.  Conformidad.  “Conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de Información.”  Secciones:
Dominios ISO 27002
Implementación  Inteco Costa Rica:  http://www.inteco.or.cr/esp/  Herramientas y buenas prácticas:  https://iso27002.wiki.zoho.com/  Plantillas
Dominios relacionados con la Administración de Proyectos Informáticos Dominios ISO 27001 Relación Políticas de Seguridad Compromiso e Involucramiento de las partes. Organización de la Seguridad Roles y Responsabilidades Administración de Activos La necesidad de hacer las cosas a la medida justa Administración de las Comunicaciones y Operaciones El Gobierno de TI Control de Acceso Procesos y Controles claves Adquisición, desarrollo y mantenimiento de Sistemas de Información. Procesos y Controles claves Plan de Continuidad del Negocio Su desarrollo, Roles y Responsabilidades Cumplimiento de Leyes y Regulaciones Impacto Real, Roles y Responsabilidades
FASES DEL PROCESO DE CERTIFICACIÓN
Conclusiones  Una vez que el Sistema de Gestión de la Seguridad de la Información ha sido implementado en una organización, se puede optar por su certificación, siguiendo el estándar ISO 27001, ante un Organismo Internacional de Acreditación.  El propósito de una certificación le demuestra al mercado que la organización tiene un adecuado Sistema de Gestión que da Seguridad de la Información.  La existencia del certificado no implica que la empresa este libre de riesgos, sino que la empresa ha implantado un adecuado sistema de gestión de dichos riesgos y un proceso de mejora continua.
Bibliografía  Benjumea, O. ¿Sabes diferenciar la ISO 27001 y la ISO 27002? Recuperado el 15/4/2013, de http://www.redseguridad.com/opinion/articulos/sabes-diferenciar-la- iso-27001-y-la-iso-27002  Enjuto, J. (2007). Diferencias entre ISO 27001 e ISO 27002. Recuperado el 15/4/2013, de http://secugest.blogspot.com/2007/09/diferencias-entre- iso-27001-e-iso-27002.html  Estándares y Normas de Seguridad. Recuperado el 11/4/2013, de http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf  ISO 27002. Recuperado el 11/4/2013, de http://www.iso27000.es/download/ControlesISO27002-2005.pdf  Rodríguez, J. Gestión de la Seguridad. Recuperado el 11/4/2013, de http://www.fundaciondedalo.org/archivos/ACTIVIDADES/SSI07/Gestion DeLaSeguridad.pdf

Empfohlen

Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
ISO 27000
ISO 27000ISO 27000
ISO 27000indeson12
 
Iso 27001
Iso 27001Iso 27001
Iso 27001ascêndia reingeniería + consultoría
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copiaYadi De La Cruz
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandarMaria Villalba
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)Benet Oliver Noguera
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 

Empfohlen

Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
ISO 27000
ISO 27000ISO 27000
ISO 27000indeson12
 
Iso 27001
Iso 27001Iso 27001
Iso 27001ascêndia reingeniería + consultoría
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copiaYadi De La Cruz
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandarMaria Villalba
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)Benet Oliver Noguera
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Juan Fernando Jaramillo
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001 George Gaviria
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Yesith Valencia
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000Haroll Suarez
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Brayan A. Sanchez
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005Melvin Jáquez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000plackard
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Normas ISO
Normas ISONormas ISO
Normas ISOJen Bravo
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 
Iso 27001
Iso 27001Iso 27001
Iso 27001navidisey
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Manuel Garcia Ramos
 
Iso 27001
Iso 27001Iso 27001
Iso 27001Eurohelp Consulting
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinezBernaMartinez
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativoJuan Carlos Gonzalez
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSIJosé María Apellidos
 
Guía práctica de implantación de un sistema de gestión ambiental en el Sistem...
Guía práctica de implantación de un sistema de gestión ambiental en el Sistem...Guía práctica de implantación de un sistema de gestión ambiental en el Sistem...
Guía práctica de implantación de un sistema de gestión ambiental en el Sistem...testgrupocomex
 
Norma UNE ISO 21500
Norma UNE ISO 21500Norma UNE ISO 21500
Norma UNE ISO 21500Judith Lisset Garcia Condori
 

Weitere ähnliche Inhalte

Was ist angesagt?

Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Yesith Valencia
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005Melvin Jáquez
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinezBernaMartinez
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 

Was ist angesagt? (20)

Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001Introducción a la Norma ISO 27001
Introducción a la Norma ISO 27001
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Normas ISO
Normas ISONormas ISO
Normas ISO
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 

Andere mochten auch

Guía práctica de implantación de un sistema de gestión ambiental en el Sistem...
Guía práctica de implantación de un sistema de gestión ambiental en el Sistem...Guía práctica de implantación de un sistema de gestión ambiental en el Sistem...
Guía práctica de implantación de un sistema de gestión ambiental en el Sistem...testgrupocomex
 
Sesion general 09 mario ureña iso22301
Sesion general 09 mario ureña iso22301Sesion general 09 mario ureña iso22301
Sesion general 09 mario ureña iso22301Mario Ureña
 
Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Maricarmen García de Ureña
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
 
Assessing the impact of a disruption: Building an effective business impact a...
Assessing the impact of a disruption: Building an effective business impact a...Assessing the impact of a disruption: Building an effective business impact a...
Assessing the impact of a disruption: Building an effective business impact a...Bryghtpath LLC
 
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario Ureña
 
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocioGuia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocioCesar Espinoza
 
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...Mario Ureña
 
Indicadores gestion
Indicadores gestionIndicadores gestion
Indicadores gestiondelosaga72
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaAuditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaMaricarmen García de Ureña
 
Bsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocioBsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocioMaricarmen García de Ureña
 
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...Ricardo Cañizares Sales
 
Seguridad en la cadena de suministro
Seguridad en la cadena de suministro Seguridad en la cadena de suministro
Seguridad en la cadena de suministro Gabriela_gvm
 
BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...
BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...
BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...Mario Ureña
 

Andere mochten auch (20)

Guía práctica de implantación de un sistema de gestión ambiental en el Sistem...
Guía práctica de implantación de un sistema de gestión ambiental en el Sistem...Guía práctica de implantación de un sistema de gestión ambiental en el Sistem...
Guía práctica de implantación de un sistema de gestión ambiental en el Sistem...
 
Norma UNE ISO 21500
Norma UNE ISO 21500Norma UNE ISO 21500
Norma UNE ISO 21500
 
Sesion general 09 mario ureña iso22301
Sesion general 09 mario ureña iso22301Sesion general 09 mario ureña iso22301
Sesion general 09 mario ureña iso22301
 
La experiencia de certificación según iso 30301
La experiencia de certificación según iso 30301La experiencia de certificación según iso 30301
La experiencia de certificación según iso 30301
 
Virus informáticos
Virus informáticosVirus informáticos
Virus informáticos
 
Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013
 
Continuidad de negocio usando Software libre
Continuidad de negocio usando Software libreContinuidad de negocio usando Software libre
Continuidad de negocio usando Software libre
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
 
Assessing the impact of a disruption: Building an effective business impact a...
Assessing the impact of a disruption: Building an effective business impact a...Assessing the impact of a disruption: Building an effective business impact a...
Assessing the impact of a disruption: Building an effective business impact a...
 
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
Mario ureña gestión de continuidad de las tic con iso 27031 bs 25777
 
Guia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocioGuia desarrolloplancontinuidadnegocio
Guia desarrolloplancontinuidadnegocio
 
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...
Latin CACS 133 Mario Ureña - Sistema de Gestión de Continuidad del Negocio ...
 
Indicadores gestion
Indicadores gestionIndicadores gestion
Indicadores gestion
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaAuditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
 
Bsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocioBsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocio
 
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...
III Jornada sobre Protección de Infraestructuras Criticas - EULEN Seguridad -...
 
SISTEMAS DE GETION DE CONTINUIDAD DEL NEGOCIO ISO 22301
SISTEMAS DE GETION DE CONTINUIDAD DEL NEGOCIO ISO 22301SISTEMAS DE GETION DE CONTINUIDAD DEL NEGOCIO ISO 22301
SISTEMAS DE GETION DE CONTINUIDAD DEL NEGOCIO ISO 22301
 
Seguridad en la cadena de suministro
Seguridad en la cadena de suministro Seguridad en la cadena de suministro
Seguridad en la cadena de suministro
 
BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...
BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...
BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...
 

Ähnlich wie Iso 27k abril 2013

Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdfControlCase
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Iso 27000
Iso 27000Iso 27000
Iso 27000osbui
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptxAreaTIC1
 
realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000martincillo1234321
 

Ähnlich wie Iso 27k abril 2013 (20)

Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
Auditoria
AuditoriaAuditoria
Auditoria
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso27001
Iso27001Iso27001
Iso27001
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
NORMAS ISO 27001
NORMAS ISO 27001NORMAS ISO 27001
NORMAS ISO 27001
 
14. iso 27001
14. iso 2700114. iso 27001
14. iso 27001
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptx
 
realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000
 

Mehr von Marvin Zumbado

Administración de equipos de proyectos rp ma-mz-lp (1)
Administración de equipos de proyectos rp ma-mz-lp (1)Administración de equipos de proyectos rp ma-mz-lp (1)
Administración de equipos de proyectos rp ma-mz-lp (1)Marvin Zumbado
 
Implementacion del departamento de help desk marvin zumbado
Implementacion del departamento de help desk marvin zumbadoImplementacion del departamento de help desk marvin zumbado
Implementacion del departamento de help desk marvin zumbadoMarvin Zumbado
 
Uml lenguaje unificado de modelado
Uml lenguaje unificado de modeladoUml lenguaje unificado de modelado
Uml lenguaje unificado de modeladoMarvin Zumbado
 
Sistemas información geográfica
Sistemas información geográficaSistemas información geográfica
Sistemas información geográficaMarvin Zumbado
 
Project management institute
Project management instituteProject management institute
Project management instituteMarvin Zumbado
 
Desarrollo basado en patrones
Desarrollo basado en patronesDesarrollo basado en patrones
Desarrollo basado en patronesMarvin Zumbado
 
Análisis de seguridad de la información para betmaker
Análisis de seguridad de la información para betmakerAnálisis de seguridad de la información para betmaker
Análisis de seguridad de la información para betmakerMarvin Zumbado
 

Mehr von Marvin Zumbado (13)

Administración de equipos de proyectos rp ma-mz-lp (1)
Administración de equipos de proyectos rp ma-mz-lp (1)Administración de equipos de proyectos rp ma-mz-lp (1)
Administración de equipos de proyectos rp ma-mz-lp (1)
 
Implementacion del departamento de help desk marvin zumbado
Implementacion del departamento de help desk marvin zumbadoImplementacion del departamento de help desk marvin zumbado
Implementacion del departamento de help desk marvin zumbado
 
Feng shui
Feng shui Feng shui
Feng shui
 
Uml lenguaje unificado de modelado
Uml lenguaje unificado de modeladoUml lenguaje unificado de modelado
Uml lenguaje unificado de modelado
 
Tienda virtual
Tienda virtual Tienda virtual
Tienda virtual
 
Sistemas información geográfica
Sistemas información geográficaSistemas información geográfica
Sistemas información geográfica
 
Rei
ReiRei
Rei
 
Project management institute
Project management instituteProject management institute
Project management institute
 
Oracle
Oracle Oracle
Oracle
 
Desarrollo basado en patrones
Desarrollo basado en patronesDesarrollo basado en patrones
Desarrollo basado en patrones
 
Crystal
CrystalCrystal
Crystal
 
Análisis de seguridad de la información para betmaker
Análisis de seguridad de la información para betmakerAnálisis de seguridad de la información para betmaker
Análisis de seguridad de la información para betmaker
 
Val it
Val itVal it
Val it
 

Iso 27k abril 2013

  • 1. Normas ISO 27001 y 27002 MARVIN ZUMBADO FLORES
  • 2. Agenda  ISO y sus estándares  Objetivos de ISO 27000  Diferencias entre ISO 27001 e ISO 27002.  Dominios de ISO 27001.  Implementación de ISO 27001.  Fases del Proceso de Certificación  Conclusiones.
  • 3. ISO y sus estándares  Organización Internacional para la Estandarización (International Organization for Standardization)  Su función principal es la de buscar la estandarización de normas de productos y seguridad para las empresas a nivel internacional.  La ISO 27000, es la norma que explica cómo implantar un Sistema de Gestión de Seguridad de la Información en una empresa.  La implantación de una ISO 27000 en una organización permite proteger la información de ésta de la forma más fiable posible
  • 4. Objetivos ISO 27000 Una empresa que tenga establecida la ISO 27000 garantiza, tanto de manera interna como al resto de las empresas, que los riesgos de la seguridad de la información son controlados por la organización de una forma eficiente.  Objetivos:  Preservar la confidencialidad de los datos de la empresa  Conservar la integridad de estos datos  Hacer que la información protegida se encuentre disponible
  • 5.
  • 6. ISO 27000, 27001, 27002  ISO/IEC 27000  Define el vocabulario estándar, términos y conceptos empleados en la familia 27000.  ISO/IEC 27001  Define los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000.  Define un SGSI, su gestiona y las responsabilidades de los participantes.  Sigue un modelo PDCA (Plan-Do-Check-Act).  Tiene como punto clave la gestión de riesgos unida con la mejora continua.  ISO/IEC 27002  Define las buenas prácticas para la gestión de la seguridad.  Medidas a tomar para asegurar los sistemas de información de una organización  Se identifica los objetivos de control y los controles recomendados a implantar.  Antes ISO 17799, basado en estándar BS 7799.
  • 7. Diferencias entre ISO 27001 e ISO 27002  La ISO 27002 es mucho más detallada y mucho más precisa  Los controles de la norma ISO 27002 tienen la misma denominación que los indicados en el Anexo A de la ISO 27001, la diferencia se presenta en el nivel de detalle.  La ISO 27002 explica un control en forma extensa, en contraste con la ISO 27001 que sólo define una oración a cada uno.  No es posible obtener la certificación ISO 27002 porque no es una norma de gestión, la certificación en ISO 27001 sí es posible.  La ISO 27002 define cómo ejecutar un sistema y la ISO 27001 define el sistema de gestión de seguridad de la información (SGSI).
  • 8. Diferencias entre ISO 27001 e ISO 27002 (Cont.)  Se establece en la ISO 27001 que el sistema de gestión significa que la seguridad de la información debe ser planificada, implementada, supervisada, revisada y mejorada, que la gestión tiene sus responsabilidades específicas, que se deben establecer, medir y revisar objetivos, que se deben realizar auditorías internas, etc. Esto no está establecido en la ISO 27002.  La ISO 27002 no distingue entre los controles que son aplicables a una organización específica y los que no lo son, en contraste la ISO 27001 exige la realización de una evaluación de riesgos sobre cada control para identificar si es necesario disminuir los riesgos y hasta qué punto se deben aplicar.  Se usa la ISO 27001 para crear la estructura de la seguridad de la información en la organización, se usa la ISO 27002 para implementar controles.
  • 9. Diferencias entre ISO 27001 e ISO 27002 (Cont.)  Lo ideal es utilizar la ISO 2001 y la ISO 2002 en conjunto, ya que sin la descripción proporcionada por la ISO 27002, los controles definidos en el Anexo A de la ISO 27001 no se podrían implementar, sin el marco de gestión de la ISO 27001, la ISO 27002 es un esfuerzo aislado por la seguridad de la información, sin la aceptación de la alta dirección y sin efectos reales sobre la organización.
  • 10. Otros ISO/IECs de la misma familia  ISO/IEC 27000 overview & vocabulary  ISO/IEC 27001 formal ISMS specification  ISO/IEC 27002 infosec controls guideline  ISO/IEC 27003 implementation guidance  ISO/IEC 27004 infosec metrics  ISO/IEC 27005 infosec risk management  ISO/IEC 27006 ISMS certification guide  ISO/IEC 27007 MS auditing guide  ISO/IEC TR 27008 technical auditing  ISO/IEC 27010 for inter- org comms  ISO/IEC 27011 ISO27k for telecomms  ISO/IEC 27013 for ISMS+service mgmt  ISO/IEC TR 27015 for financial services  ISO/IEC 27031 business continuity  ISO/IEC 27032 cybersecurity  ISO/IEC 27033 network security (parts)  ISO/IEC 27034 application security (part)  ISO/IEC 27035 incident management  ISO/IEC 27037 digital evidence  ISO 27799 ISO27k for healthcare industry
  • 11. ISO/IEC 27001  El objetivo principal se adopta al modelo Plan-Do-Check- Act (PDCA o ciclo de Deming) para todos los procesos de la organización. Imagen 1. Ciclo Deming.
  • 12. Fases ciclo Deming  Fase Planificación (Plan):  Establecer la política, objetivos, procesos y procedimientos relativos a la gestión del riesgo y mejorar la seguridad de la información de la organización para ofrecer resultados de acuerdo con las políticas y objetivos generales de la organización.  Fase Ejecución (Do):  Implementar y gestionar el SGSI de acuerdo a su política, controles, procesos y procedimientos.  Fase Seguimiento (Check):  Medir y revisar las prestaciones de los procesos del SGSI.  Fase Mejora (Act):  Adoptar acciones correctivas y preventivas basadas en auditorías y revisiones internas o en otra información relevante a fin de alcanzar la mejora continua del SGSI.
  • 14. Seguridad de la Información  Se definen la seguridad de la información como el logro, gestión y mantenimiento de tres características elementales:  Confidencialidad. La información sólo debe ser vista por aquellos que tienen permiso para ello.  Integridad. La información podrá ser modificada solo por aquellos con derecho a cambiarla.  Disponibilidad. La información deberá estar disponible en el momento en que los usuarios autorizados requieren acceder a ella.
  • 15. Sistema de Gestión de la Seguridad de Información  Es un sistema de gestión que comprende la política, la estructura organizativa, los procedimientos, procesos y los recursos necesarios para implementar la gestión de la seguridad de la información. Es la herramienta de la que dispone la Dirección de las organizaciones para llevar a cabo las políticas y objetivos de seguridad.  Sistema de Gestión de Seguridad de la Información, es el punto central de la norma 2700.
  • 16. Sistema de Gestión de la Seguridad de Información (Cont.)
  • 17. ISO/IEC 27002  Política de seguridad.  Aspectos organizativos para la seguridad.  Clasificación y control de activos.  Seguridad ligada al personal.  Seguridad física y del entorno.  Gestión de comunicaciones y operaciones.  Control de accesos.  Desarrollo y mantenimiento de sistemas.  Gestión de incidentes de seguridad de la información.  Gestión de continuidad de negocio.  Conformidad.  “Conjunto de recomendaciones sobre qué medidas tomar en la empresa para asegurar los Sistemas de Información.”  Secciones:
  • 19.
  • 20. Implementación  Inteco Costa Rica:  http://www.inteco.or.cr/esp/  Herramientas y buenas prácticas:  https://iso27002.wiki.zoho.com/  Plantillas
  • 21. Dominios relacionados con la Administración de Proyectos Informáticos Dominios ISO 27001 Relación Políticas de Seguridad Compromiso e Involucramiento de las partes. Organización de la Seguridad Roles y Responsabilidades Administración de Activos La necesidad de hacer las cosas a la medida justa Administración de las Comunicaciones y Operaciones El Gobierno de TI Control de Acceso Procesos y Controles claves Adquisición, desarrollo y mantenimiento de Sistemas de Información. Procesos y Controles claves Plan de Continuidad del Negocio Su desarrollo, Roles y Responsabilidades Cumplimiento de Leyes y Regulaciones Impacto Real, Roles y Responsabilidades
  • 22. FASES DEL PROCESO DE CERTIFICACIÓN
  • 23. Conclusiones  Una vez que el Sistema de Gestión de la Seguridad de la Información ha sido implementado en una organización, se puede optar por su certificación, siguiendo el estándar ISO 27001, ante un Organismo Internacional de Acreditación.  El propósito de una certificación le demuestra al mercado que la organización tiene un adecuado Sistema de Gestión que da Seguridad de la Información.  La existencia del certificado no implica que la empresa este libre de riesgos, sino que la empresa ha implantado un adecuado sistema de gestión de dichos riesgos y un proceso de mejora continua.
  • 24. Bibliografía  Benjumea, O. ¿Sabes diferenciar la ISO 27001 y la ISO 27002? Recuperado el 15/4/2013, de http://www.redseguridad.com/opinion/articulos/sabes-diferenciar-la- iso-27001-y-la-iso-27002  Enjuto, J. (2007). Diferencias entre ISO 27001 e ISO 27002. Recuperado el 15/4/2013, de http://secugest.blogspot.com/2007/09/diferencias-entre- iso-27001-e-iso-27002.html  Estándares y Normas de Seguridad. Recuperado el 11/4/2013, de http://ccia.ei.uvigo.es/docencia/SSI/normas-leyes.pdf  ISO 27002. Recuperado el 11/4/2013, de http://www.iso27000.es/download/ControlesISO27002-2005.pdf  Rodríguez, J. Gestión de la Seguridad. Recuperado el 11/4/2013, de http://www.fundaciondedalo.org/archivos/ACTIVIDADES/SSI07/Gestion DeLaSeguridad.pdf