SlideShare ist ein Scribd-Unternehmen logo

9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 27000

Als PPTX, PDF herunterladen
Luis Fernando Aguas Bucheli
Luis Fernando Aguas Bucheli

9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 27000

Ingenieurwesen
1 von 34
Unidad 3: Marcos de Referencia para Seguridad de la Información 3.1 ISO 27000 Seguridad de la Información Modalidad de estudios: Semi Presencial Mg. Luis Fernando Aguas Bucheli +593 984015184 @Aguaszoft Laguas@uisrael.edu.ec Lfabsoft2019@gmail.com
Objetivos del encuentro: 1. Adquirir los conceptos básicos relacionados con la tendencia de SI 2. Reconocer las características de la tendencia de SI Semana Nro. 9
Frase Motivacional “Siempre que ves una persona exitosa percibes sus glorias, y nunca los sacrificios que la llevaron hasta allí” – Vaibhav Shah.
NORMA ISO 27000 Conceptos asociados a ISO 27000 Normas ISO 27000: Familia de estándares de ISO e IEC que proporciona un marco para la gestión de la seguridad de la Información Conjunto de normas que especifican los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI.
¿QUÉ ES LA INFORMACIÓN? La Academia Latinoamericana de Seguridad Informática (2.004) destaca al respecto que “la información es el objeto de mayor valor para las empresas”. Platos Motor Cabeza lectora “La información es un activo que, como otros activos importantes del negocio, tiene valor para una organización y, por lo tanto necesita ser protegido” ISO / IEC 27001:2005
SEGURIDAD DE LA INFORMACIÓN Explica que “la seguridad de la información son las medidas adoptadas para evitar el uso no autorizado, el mal uso, la modificación o denegación del uso de conocimientos, hechos, Datos o capacidades”. Maiwald (2005) Marco Regulatorio Ley Orgánica de Protección de Datos (LOPD) Información de la empresa, los datos de carácter personal. Reglamento de Desarrollo RD1720/2007 Especifica controles técnicos, físicos y organizativos para garantizar la Protección de citados datos.
SEGURIDAD DE LA INFORMACIÓN Site público de laempresa, Publicidad Ofertas comerciales,ERP, contabilidad, planesejecutivos • Los datos de carácter personal son un subconjunto del activo más importante que Maneja una empresa: •Planes estratégicos, salario del personal, operaciones financieras • Empleados,pacientes, clientes
SEGURIDAD DE LA INFORMACIÓN Los objetivos principales de la serie 27000 son la protección de la información en sus diversas dimensiones, garantizando la: 1 Confidencialidad 2 Integridad 3 Disponibilidad La Organización Internacional de Estandarización (ISO), a través de las normas recogidas en ISO/IEC 27000, establece un modelo para la implementación efectiva: ISO 27002 (ISO)17799 Guía de Buenas Prácticas ISO 27000:Términos y Definiciones ISO27001: Requerimientos del SGSI
SEGURIDAD DE LA INFORMACIÓN En las normas ISO 27001, el concepto del sistema de gestión es común estableciendo sinergia y un marco de actuación estructural y documental. Este sistema de gestión está compuesto por: Manual de Calidad y Seguridad Procesos/ Procedimientos Operativos Generales Registros de Calidad y Seguridad Instrucciones de Trabajo Específicas
SEGURIDAD DE LA INFORMACIÓN En las normas ISO 27001, el concepto del sistema de gestión es común estableciendo sinergia y un marco de actuación estructural y documental. Este sistema de gestión está compuesto por: MANUAL DE SEGURIDAD PROCEDIMIENTOS INSTRUCCIONES – CHECKLIST - FORMULARIOS REGISTROS
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN INFORMACIÓN El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001 DATOS
¿PARA QUÉ SIRVE UN SGSI? RIESGOS AMENAZAS CONTROLES REQUERIMIENTOS DE SEGURIDAD Imponen Marcan Disminuyen Aumentan Protegen de VULNERABILIDAD ACTIVOS VALOR DE LOS ACTIVOS Impactan si se materializan Aumentan Tienen Aumentan Exponen Aprovechan
EVOLUCIÓN DE LA NORMATIVA ISO 27000BSI (British Standards Institution): Organización británica responsable de la publicación de importantes normas como: (BS 7799-1): es una guía de buenas prácticas, para laque no se establece un esquema de certificación (BS 7799-2): publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, como ISO 17799 en el año2000 En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión 1979 Publicación BS 5750- ahora ISO 9001 1992 PublicaciónBS 7750 - ahora ISO 14001 1996 PublicaciónBS 8800 - ahora OHSAS 18001 Publica a norma BS 7799 en 1995: conjunto de buenas prácticas para la gestión de la seguridad de su información
EVOLUCIÓN DE LA NORMATIVA ISO 27000 En 2005, con más de 1700 empresas certificadas en BS7799-2, el esquema se publicó por ISO como estándar ISO 27001. 1995 BS 7799 Parte1 Código de Buenas Prácticas 1998 BS 7799 Parte2 Especificación del SGSI 1999 BS 7799-1 1999 BS 7799-2 1999 Revolución de las partes 1 y 2 2000 ISO/IEC 17799:2000 Parte 1 se adopta como ISO 2002 BS 7799-2: 2002 Revisión de la parte 2 Junio 2005 ISO/IEC 17799: 2000 Revisión de ISO 17999 Octubre 2005 ISO/IEC 27001 Parte 2 se adopta como ISO HISTORIA DE ISO 27001
2012 ISO/IEC 27010: 2012 ISO/IEC 27013: 2012 ISO/IEC TR 27015: 2012 2011 ISO/IEC 27035: 2011 ISO/IEC 27031: 2011 ISO/IEC 27005: 2011 ISO/IEC 27006: 2011 ISO/IEC 27007: 2011 ISO/IEC TR 27008:2011 ISO/IEC 27034: 2011 2010 ISO/IEC 27003: 2010 2009 ISO/IEC 27031: 2009 ISO/IEC 27004: 2009 ISO/IEC 27033: 2009 2008 ISO/IEC 27005: 2008 ISO/IEC 27011: 2008 ISO/IEC 27799: 2008 2007 ISO/IEC 27002: 2005 ISO/IEC 27006: 2007 EVOLUCIÓN DE LA NORMATIVA ISO 27000
EVOLUCIÓN DE LA NORMATIVA ISO 27000 ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000 Puntos clave: Gestión de riesgos + Mejora continua Define cómo es el SGSI, cómo se gestiona y cuáles son las responsabilidades de los participantes Sigue un modelo PDCA (Plan-Do-Check-Act) ISO/IEC 27001
EVOLUCIÓN ISO/IEC 27011: guía de ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001 ISO/IEC 27002: código de buenas prácticas para la gestión de la seguridad ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000 ISO/IEC 27032: guía de seguridad en aplicaciones ISO/IEC 27003: guía de implementación de SGSI e información EVOLUCIÓN DE LA NORMATIVA ISO 27000 ISO/IEC 27004: especifica las métricas y las técnicas de medida aplicable para la eficacia el SGSI ISO/IEC 27005: gestiónde riesgos de seguridad de la información ISO/IEC 27032: guía relativa a la ciberseguridad ISO/IEC 27799: guía para implantar ISO/IEC 27002 específica para entornos médicos gestión de seguridad de la información específica para telecomunicaciones ISO/IEC 27031: guía de continuidadde negocio en lo relativo a tecnologías de la información y comunicaciones
EVOLUCIÓN DE LA NORMATIVA ISO 27000 Diagrama de relación de la reorganización de las cláusulas principales de la versión 2005 a la publicada en 2013
Enfoque del análisis del riesgo de l afase de planificación yoperación NUEVA ISO 27001: 2013 NUEVA ISO 27001: 2013
NUEVA ISO 27001: 2013 Estudio de situación actual en aspectos de seguridad Mantenimiento, evaluación y planes de mejora SGSI Comprobarla efectividadde las medidas implantadas Implantaciónde medidas de seguridad
ISO 27001 “Norma que especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas” Se adopta el modelo Plan-Do- Check-Act (PDCA ó ciclo de Deming) para todos los procesos de la organización Objetivo: Mejora continua
PLANIFICAR (Creación del SGSI Definir las políticas, objetivos, procesos y procedimientos del SGSI relevantes para gestionar el riesgo y mejorar la seguridad de la información con el fin de obtener resultados acordes con las políticas y objetivos generales de la organización HACER (Implementación y operación del SGSI Implementar y operar la política, controles, procesos y procedimientos del SGSI VERIFICAR (Supervisión y revisión del SGSI Evaluar y, en su caso, medir el rendimiento del proceso contra la política, los objetivos y la experiencia práctica del SGSI, e informar de los resultados a la dirección para su revisión ACTUAR Mantenimiento y mejora del SGSI preventivas, en función a los resultados de la auditoría interna del SGSI y de la revisión por parte de la dirección, o de otras informaciones relevantes, para lograr la mejora continua del SGSI ISO 27001 ISO 27001 Adoptar medidas correctivas y
VENTAJAS Garantizar la confidencialidad, integridad y disponibilidad de información sensible riesgo con la reducción de Disminuir el consiguiente gastos Reducir la incertidumbre por el conocimiento de los riesgos e impactos Mejorar continuamente la gestión de la seguridad de la información Garantizar la continuidad del negocio Aumentar la competitividad y mejorar la imagen corporativa Incremetar la confianza de los stakeholders Aumentar la rentabilidad derivada del control de los riesgos Cumplir la legislación vigente referente a la seguridad de la linformación Aumentar las oportunidades de negocio
VENTAJAS Mejorar la implicación y participación del personal en la gestión de la seguridad Reducir los costos asociados a los incidentes Posibilidad de integración con otros sistemas de gestión como ISO 9001, ISO14001, OHSAS 18001 entre otros Mejorar los procesosy servicios prestados Aumentar la competitividad por mejora de la imagen corporativa
DISEÑO DEL SGSI La implantación de un SGSI debe comenzar con el correcto diseño Para ello debemos definir cuatro aspectos fundamentales Primero: El alcance del sistema Segundo: Las Políticas de seguridad aseguir Tercero: La organización de la seguridad Cuarto: Programas de concienciación y formación del personal
La implantación de un SGSI debe comenzar con el correcto diseño Primero: definir el alcance del sistema. Qué partes o procesos de la organización que van a ser incluidos La empresa debe determinar cuáles son los procesos críticos para su organización decidiendo qué es lo que se quiere proteger y por donde debe empezar Dentro del alcance debe quedar definidas las actividades de la organización, las ubicaciones físicas que se van a ver involucradas DISEÑO DEL SGSI
La implantación de un SGSI debe comenzar con el correcto diseño Qué tecnología de la empresa se incluirán y qué áreas quedarán excluidas en la implamntación del SGSI Es importante que durante esta fase se estimen los recursos económicos y de personal que se van a dedicar a implantar y mantener el sistema De nada sirve que la organización realice un esfuerzo importante durante la implantación si después no es capaz demantenerlo DISEÑO DEL SGSI
POLÍTICAS DE SEGURIDAD Tras la definición del alcance, el siguiente paso es establecer la Política de Seguridad Recoger las directrices que debe seguir el SGSI de acuerdo a las necesidades y la legislación vigente Se debe establecer las pautas de actuación en el caso de incidentes y definir responsabilidades Las políticas deben delimitar qué se protege, de quién y por qué Determinar qué está permitido y qué no; límite de comportamiento aceptable, y cuál es la respuesta si existe abuso Identificar los riesgos a los que está sometida la organización Para que la política de seguridad sea un documento de utilidad, con lo establecido en la norma ISO/IEC 27001 debe cumplir con ciertos requisitos. Redacción accesible para todo el personal. Corta, precisa y fácil de comprender Debe ser aprobada por la dirección de la organización y publicitada por la misma Debe ser de dominio público dentro de la organización y debe estar disponible para su consulta Debe ser referencia para la resolución de conflictos relativas a la seguridad de la información de la organización
POLÍTICAS DE SEGURIDAD Se debe indicar qué se protege, incluyendo tanto al personal como a la información, la reputación y la continuidad Debe ser personalizada para cada organización Se deben señalar las normas y reglas que va adoptar la organización y las medidas de seguridad necesarias Las política de seguridad debe incluir al menos los siguientes apartados 1 - Definición de la SI, objetivos globales, alcance de la seguridad, importancia y los mecanismos de control. 2- Declaración por parte de la organización donde se apoyan los objetivos y principios de la SI 3 – Breve explicación de las políticas 4- Definir responsabilidades generales y específicas donde se incluirán los roles que se deban cumplir En función a las responsabilidades se decidirá quién está autorizado a acceder a qué tipo de información 5 – Referencia a documentos para sustentar las políticas. Las políticas de SI debe ser un documento actualizado por lo que modificadodebe ser revisado y anualmente
ALCANCES Para determinar el alcance y límites del SGSI se debe especificar las características de la organización, su ubicación, activos, tecnología e incluir detalles de cualquier exclusión dentro del alcance que pudieran considerarse. El alcance, es un aspecto fundamental, ya que delimita las partes de la organización que se ven afectadas, y por tanto, las partes que se deben auditar.
2 3 5 El alcance, con todas las características debe estar documentado. 1 La organización debe determinar los límites y aplicabilidad del sistema de gestión de seguridad de la información La organización debe considerar, en el alcance, los elementos internos y externos para su propósito que puedan afectar a la consecución de los objetivos del SGSI. Se debe considerar, las partes interesadas para el SGSI y los aspectos legales y regulatorios incluir Se debe considerar, las interfaces y dependencias entre las actividades de la organización y las que realizan otras organizaciones (proveedores). Cláusula 4.3 En esta cláusula aparecen 5 especificaciones: 4 ALCANCES
COMPATIBILIDAD "ISO 27001 está diseñada para ser compatible con otras normas de gestión como:
Direccionamiento actividades de aprendizaje Actividades: • Revisar el aula virtual • Realizar las actividades y tareas planteadas. Se recomienda describir por ejemplo: • Tomar apuntes esenciales, revisar el material de clases
GRACIAS

Empfohlen

Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
julianabh
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
Miguel Cabrera
 
Tabla Comparativa ITIL Y COBIT
Tabla Comparativa ITIL Y COBITTabla Comparativa ITIL Y COBIT
Tabla Comparativa ITIL Y COBIT
George Aguilar
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
Reynaldo Quintero
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 

Empfohlen

Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
julianabh
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
Miguel Cabrera
 
Tabla Comparativa ITIL Y COBIT
Tabla Comparativa ITIL Y COBITTabla Comparativa ITIL Y COBIT
Tabla Comparativa ITIL Y COBIT
George Aguilar
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
Reynaldo Quintero
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Ramiro Cid
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
jralbornoz
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
Jaime Andrés Bello Vieda
 
Magerit
MageritMagerit
Magerit
Krolina Agui
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
navidisey
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
krn kdna cadena
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
Pedro Garcia Repetto
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informática
Raúl Díaz
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Haroll Suarez
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Norma ISO 38500
Norma ISO 38500Norma ISO 38500
Norma ISO 38500
arnoldvq16
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016
Ricardo Urbina Miranda
 
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TITaller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
Fabián Descalzo
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
Eurohelp Consulting
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
José María Apellidos
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
Juan Fernando Jaramillo
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
George Gaviria
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
Elvin Hernandez
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
Maria Villalba
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
Yadi De La Cruz
 

Weitere ähnliche Inhalte

Was ist angesagt?

La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 

Was ist angesagt? (20)

La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
Magerit
MageritMagerit
Magerit
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informática
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Norma ISO 38500
Norma ISO 38500Norma ISO 38500
Norma ISO 38500
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016
 
Taller de gobierno y gestión de TI
Taller de gobierno y gestión de TITaller de gobierno y gestión de TI
Taller de gobierno y gestión de TI
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
 

Ähnlich wie 9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 27000

Iso 27000
Iso 27000Iso 27000
Iso 27000
osbui
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Gabriel Gonzales
 

Ähnlich wie 9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 27000 (20)

Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
Monográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOToolsMonográfico ISO 27001 ISOTools
Monográfico ISO 27001 ISOTools
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso27001
Iso27001Iso27001
Iso27001
 
Normas iso-27000
Normas iso-27000Normas iso-27000
Normas iso-27000
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Normas iso andrea
Normas iso andreaNormas iso andrea
Normas iso andrea
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
ii
iiii
ii
 
Curso Iso27001
Curso Iso27001Curso Iso27001
Curso Iso27001
 

Mehr von Luis Fernando Aguas Bucheli

Mehr von Luis Fernando Aguas Bucheli (20)

EFC-ISW-Luis Fernando Aguas.pptx
EFC-ISW-Luis Fernando Aguas.pptxEFC-ISW-Luis Fernando Aguas.pptx
EFC-ISW-Luis Fernando Aguas.pptx
 
P-S2.pptx
P-S2.pptxP-S2.pptx
P-S2.pptx
 
EBTS-S1.pptx
EBTS-S1.pptxEBTS-S1.pptx
EBTS-S1.pptx
 
P-S3.pptx
P-S3.pptxP-S3.pptx
P-S3.pptx
 
EBTS-S4.pptx
EBTS-S4.pptxEBTS-S4.pptx
EBTS-S4.pptx
 
P-S4.pptx
P-S4.pptxP-S4.pptx
P-S4.pptx
 
P-S1.pptx
P-S1.pptxP-S1.pptx
P-S1.pptx
 
EBTS-S3.pptx
EBTS-S3.pptxEBTS-S3.pptx
EBTS-S3.pptx
 
EBTS-S2.pptx
EBTS-S2.pptxEBTS-S2.pptx
EBTS-S2.pptx
 
PDIDTI-S7.pptx
PDIDTI-S7.pptxPDIDTI-S7.pptx
PDIDTI-S7.pptx
 
PDIDTI-S4.pptx
PDIDTI-S4.pptxPDIDTI-S4.pptx
PDIDTI-S4.pptx
 
PDIDTI-S2.pptx
PDIDTI-S2.pptxPDIDTI-S2.pptx
PDIDTI-S2.pptx
 
PDIDTI-S1.pptx
PDIDTI-S1.pptxPDIDTI-S1.pptx
PDIDTI-S1.pptx
 
PDIDTI-S8.pptx
PDIDTI-S8.pptxPDIDTI-S8.pptx
PDIDTI-S8.pptx
 
PDIDTI-S6.pptx
PDIDTI-S6.pptxPDIDTI-S6.pptx
PDIDTI-S6.pptx
 
PDIDTI-S5.pptx
PDIDTI-S5.pptxPDIDTI-S5.pptx
PDIDTI-S5.pptx
 
PDIDTI-S3.pptx
PDIDTI-S3.pptxPDIDTI-S3.pptx
PDIDTI-S3.pptx
 
TIC-S4.pptx
TIC-S4.pptxTIC-S4.pptx
TIC-S4.pptx
 
TIC-S3.pptx
TIC-S3.pptxTIC-S3.pptx
TIC-S3.pptx
 
TIC-S2.pptx
TIC-S2.pptxTIC-S2.pptx
TIC-S2.pptx
 

Kürzlich hochgeladen

Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxProcesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
JuanPablo452634
 
PostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCDPostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCD
Edith Puclla
 
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
gustavoiashalom
 
CLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptxCLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptx
bingoscarlet
 
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdfLA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
bcondort
 
MODIFICADO - CAPITULO II DISEÑO SISMORRESISTENTE DE VIGAS Y COLUMNAS.pdf
MODIFICADO - CAPITULO II DISEÑO SISMORRESISTENTE DE VIGAS Y COLUMNAS.pdfMODIFICADO - CAPITULO II DISEÑO SISMORRESISTENTE DE VIGAS Y COLUMNAS.pdf
MODIFICADO - CAPITULO II DISEÑO SISMORRESISTENTE DE VIGAS Y COLUMNAS.pdf
vladimirpaucarmontes
 

Kürzlich hochgeladen (20)

osciloscopios Mediciones Electricas ingenieria.pdf
osciloscopios Mediciones Electricas ingenieria.pdfosciloscopios Mediciones Electricas ingenieria.pdf
osciloscopios Mediciones Electricas ingenieria.pdf
 
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptxProcesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
Procesos-de-la-Industria-Alimentaria-Envasado-en-la-Produccion-de-Alimentos.pptx
 
CALCULO DE ENGRANAJES RECTOS SB-2024.pptx
CALCULO DE ENGRANAJES RECTOS SB-2024.pptxCALCULO DE ENGRANAJES RECTOS SB-2024.pptx
CALCULO DE ENGRANAJES RECTOS SB-2024.pptx
 
Mapas y cartas topográficas y de suelos.pptx
Mapas y cartas topográficas y de suelos.pptxMapas y cartas topográficas y de suelos.pptx
Mapas y cartas topográficas y de suelos.pptx
 
PostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCDPostgreSQL on Kubernetes Using GitOps and ArgoCD
PostgreSQL on Kubernetes Using GitOps and ArgoCD
 
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
ANALISIS Y DISEÑO POR VIENTO, DE EDIFICIOS ALTOS, SEGUN ASCE-2016, LAURA RAMIREZ
 
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdfReporte de simulación de flujo del agua en un volumen de control MNVA.pdf
Reporte de simulación de flujo del agua en un volumen de control MNVA.pdf
 
tema05 estabilidad en barras mecanicas.pdf
tema05 estabilidad en barras mecanicas.pdftema05 estabilidad en barras mecanicas.pdf
tema05 estabilidad en barras mecanicas.pdf
 
CLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptxCLASe número 4 fotogrametria Y PARALAJE.pptx
CLASe número 4 fotogrametria Y PARALAJE.pptx
 
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERAS
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERASDOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERAS
DOCUMENTO PLAN DE RESPUESTA A EMERGENCIAS MINERAS
 
Principales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards DemingPrincipales aportes de la carrera de William Edwards Deming
Principales aportes de la carrera de William Edwards Deming
 
CARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptx
CARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptxCARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptx
CARGAS VIVAS Y CARGAS MUERTASEXPOCI.pptx
 
ARBOL DE CAUSAS ANA INVESTIGACION DE ACC.ppt
ARBOL DE CAUSAS ANA INVESTIGACION DE ACC.pptARBOL DE CAUSAS ANA INVESTIGACION DE ACC.ppt
ARBOL DE CAUSAS ANA INVESTIGACION DE ACC.ppt
 
Propuesta para la creación de un Centro de Innovación para la Refundación ...
Propuesta para la creación de un Centro de Innovación para la Refundación ...Propuesta para la creación de un Centro de Innovación para la Refundación ...
Propuesta para la creación de un Centro de Innovación para la Refundación ...
 
Tinciones simples en el laboratorio de microbiología
Tinciones simples en el laboratorio de microbiologíaTinciones simples en el laboratorio de microbiología
Tinciones simples en el laboratorio de microbiología
 
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
Voladura Controlada Sobrexcavación (como se lleva a cabo una voladura)
 
clasificasion de vias arteriales , vias locales
clasificasion de vias arteriales , vias localesclasificasion de vias arteriales , vias locales
clasificasion de vias arteriales , vias locales
 
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdfLA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
LA APLICACIÓN DE LAS PROPIEDADES TEXTUALES A LOS TEXTOS.pdf
 
MODIFICADO - CAPITULO II DISEÑO SISMORRESISTENTE DE VIGAS Y COLUMNAS.pdf
MODIFICADO - CAPITULO II DISEÑO SISMORRESISTENTE DE VIGAS Y COLUMNAS.pdfMODIFICADO - CAPITULO II DISEÑO SISMORRESISTENTE DE VIGAS Y COLUMNAS.pdf
MODIFICADO - CAPITULO II DISEÑO SISMORRESISTENTE DE VIGAS Y COLUMNAS.pdf
 
nomenclatura de equipo electrico en subestaciones
nomenclatura de equipo electrico en subestacionesnomenclatura de equipo electrico en subestaciones
nomenclatura de equipo electrico en subestaciones
 

9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 27000

  • 1. Unidad 3: Marcos de Referencia para Seguridad de la Información 3.1 ISO 27000 Seguridad de la Información Modalidad de estudios: Semi Presencial Mg. Luis Fernando Aguas Bucheli +593 984015184 @Aguaszoft Laguas@uisrael.edu.ec Lfabsoft2019@gmail.com
  • 2. Objetivos del encuentro: 1. Adquirir los conceptos básicos relacionados con la tendencia de SI 2. Reconocer las características de la tendencia de SI Semana Nro. 9
  • 3. Frase Motivacional “Siempre que ves una persona exitosa percibes sus glorias, y nunca los sacrificios que la llevaron hasta allí” – Vaibhav Shah.
  • 4. NORMA ISO 27000 Conceptos asociados a ISO 27000 Normas ISO 27000: Familia de estándares de ISO e IEC que proporciona un marco para la gestión de la seguridad de la Información Conjunto de normas que especifican los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI.
  • 5. ¿QUÉ ES LA INFORMACIÓN? La Academia Latinoamericana de Seguridad Informática (2.004) destaca al respecto que “la información es el objeto de mayor valor para las empresas”. Platos Motor Cabeza lectora “La información es un activo que, como otros activos importantes del negocio, tiene valor para una organización y, por lo tanto necesita ser protegido” ISO / IEC 27001:2005
  • 6. SEGURIDAD DE LA INFORMACIÓN Explica que “la seguridad de la información son las medidas adoptadas para evitar el uso no autorizado, el mal uso, la modificación o denegación del uso de conocimientos, hechos, Datos o capacidades”. Maiwald (2005) Marco Regulatorio Ley Orgánica de Protección de Datos (LOPD) Información de la empresa, los datos de carácter personal. Reglamento de Desarrollo RD1720/2007 Especifica controles técnicos, físicos y organizativos para garantizar la Protección de citados datos.
  • 7. SEGURIDAD DE LA INFORMACIÓN Site público de laempresa, Publicidad Ofertas comerciales,ERP, contabilidad, planesejecutivos • Los datos de carácter personal son un subconjunto del activo más importante que Maneja una empresa: •Planes estratégicos, salario del personal, operaciones financieras • Empleados,pacientes, clientes
  • 8. SEGURIDAD DE LA INFORMACIÓN Los objetivos principales de la serie 27000 son la protección de la información en sus diversas dimensiones, garantizando la: 1 Confidencialidad 2 Integridad 3 Disponibilidad La Organización Internacional de Estandarización (ISO), a través de las normas recogidas en ISO/IEC 27000, establece un modelo para la implementación efectiva: ISO 27002 (ISO)17799 Guía de Buenas Prácticas ISO 27000:Términos y Definiciones ISO27001: Requerimientos del SGSI
  • 9. SEGURIDAD DE LA INFORMACIÓN En las normas ISO 27001, el concepto del sistema de gestión es común estableciendo sinergia y un marco de actuación estructural y documental. Este sistema de gestión está compuesto por: Manual de Calidad y Seguridad Procesos/ Procedimientos Operativos Generales Registros de Calidad y Seguridad Instrucciones de Trabajo Específicas
  • 10. SEGURIDAD DE LA INFORMACIÓN En las normas ISO 27001, el concepto del sistema de gestión es común estableciendo sinergia y un marco de actuación estructural y documental. Este sistema de gestión está compuesto por: MANUAL DE SEGURIDAD PROCEDIMIENTOS INSTRUCCIONES – CHECKLIST - FORMULARIOS REGISTROS
  • 11. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN INFORMACIÓN El SGSI (Sistema de Gestión de Seguridad de la Información) es el concepto central sobre el que se construye ISO 27001 DATOS
  • 12. ¿PARA QUÉ SIRVE UN SGSI? RIESGOS AMENAZAS CONTROLES REQUERIMIENTOS DE SEGURIDAD Imponen Marcan Disminuyen Aumentan Protegen de VULNERABILIDAD ACTIVOS VALOR DE LOS ACTIVOS Impactan si se materializan Aumentan Tienen Aumentan Exponen Aprovechan
  • 13. EVOLUCIÓN DE LA NORMATIVA ISO 27000BSI (British Standards Institution): Organización británica responsable de la publicación de importantes normas como: (BS 7799-1): es una guía de buenas prácticas, para laque no se establece un esquema de certificación (BS 7799-2): publicada por primera vez en 1998, la que establece los requisitos de un sistema de seguridad de la información (SGSI) para ser certificable por una entidad independiente Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, como ISO 17799 en el año2000 En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión 1979 Publicación BS 5750- ahora ISO 9001 1992 PublicaciónBS 7750 - ahora ISO 14001 1996 PublicaciónBS 8800 - ahora OHSAS 18001 Publica a norma BS 7799 en 1995: conjunto de buenas prácticas para la gestión de la seguridad de su información
  • 14. EVOLUCIÓN DE LA NORMATIVA ISO 27000 En 2005, con más de 1700 empresas certificadas en BS7799-2, el esquema se publicó por ISO como estándar ISO 27001. 1995 BS 7799 Parte1 Código de Buenas Prácticas 1998 BS 7799 Parte2 Especificación del SGSI 1999 BS 7799-1 1999 BS 7799-2 1999 Revolución de las partes 1 y 2 2000 ISO/IEC 17799:2000 Parte 1 se adopta como ISO 2002 BS 7799-2: 2002 Revisión de la parte 2 Junio 2005 ISO/IEC 17799: 2000 Revisión de ISO 17999 Octubre 2005 ISO/IEC 27001 Parte 2 se adopta como ISO HISTORIA DE ISO 27001
  • 15. 2012 ISO/IEC 27010: 2012 ISO/IEC 27013: 2012 ISO/IEC TR 27015: 2012 2011 ISO/IEC 27035: 2011 ISO/IEC 27031: 2011 ISO/IEC 27005: 2011 ISO/IEC 27006: 2011 ISO/IEC 27007: 2011 ISO/IEC TR 27008:2011 ISO/IEC 27034: 2011 2010 ISO/IEC 27003: 2010 2009 ISO/IEC 27031: 2009 ISO/IEC 27004: 2009 ISO/IEC 27033: 2009 2008 ISO/IEC 27005: 2008 ISO/IEC 27011: 2008 ISO/IEC 27799: 2008 2007 ISO/IEC 27002: 2005 ISO/IEC 27006: 2007 EVOLUCIÓN DE LA NORMATIVA ISO 27000
  • 16. EVOLUCIÓN DE LA NORMATIVA ISO 27000 ISO/IEC 27001: especifica los requisitos a cumplir para implantar un SGSI certificable conforme a las normas 27000 Puntos clave: Gestión de riesgos + Mejora continua Define cómo es el SGSI, cómo se gestiona y cuáles son las responsabilidades de los participantes Sigue un modelo PDCA (Plan-Do-Check-Act) ISO/IEC 27001
  • 17. EVOLUCIÓN ISO/IEC 27011: guía de ISO/IEC 27006: requisitos a cumplir por las organizaciones encargadas de emitir certificaciones ISO/IEC 27001 ISO/IEC 27002: código de buenas prácticas para la gestión de la seguridad ISO/IEC 27007: guía de actuación para auditar los SGSI conforme a las normas 27000 ISO/IEC 27032: guía de seguridad en aplicaciones ISO/IEC 27003: guía de implementación de SGSI e información EVOLUCIÓN DE LA NORMATIVA ISO 27000 ISO/IEC 27004: especifica las métricas y las técnicas de medida aplicable para la eficacia el SGSI ISO/IEC 27005: gestiónde riesgos de seguridad de la información ISO/IEC 27032: guía relativa a la ciberseguridad ISO/IEC 27799: guía para implantar ISO/IEC 27002 específica para entornos médicos gestión de seguridad de la información específica para telecomunicaciones ISO/IEC 27031: guía de continuidadde negocio en lo relativo a tecnologías de la información y comunicaciones
  • 18. EVOLUCIÓN DE LA NORMATIVA ISO 27000 Diagrama de relación de la reorganización de las cláusulas principales de la versión 2005 a la publicada en 2013
  • 19. Enfoque del análisis del riesgo de l afase de planificación yoperación NUEVA ISO 27001: 2013 NUEVA ISO 27001: 2013
  • 20. NUEVA ISO 27001: 2013 Estudio de situación actual en aspectos de seguridad Mantenimiento, evaluación y planes de mejora SGSI Comprobarla efectividadde las medidas implantadas Implantaciónde medidas de seguridad
  • 21. ISO 27001 “Norma que especifica los requisitos para establecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las mismas” Se adopta el modelo Plan-Do- Check-Act (PDCA ó ciclo de Deming) para todos los procesos de la organización Objetivo: Mejora continua
  • 22. PLANIFICAR (Creación del SGSI Definir las políticas, objetivos, procesos y procedimientos del SGSI relevantes para gestionar el riesgo y mejorar la seguridad de la información con el fin de obtener resultados acordes con las políticas y objetivos generales de la organización HACER (Implementación y operación del SGSI Implementar y operar la política, controles, procesos y procedimientos del SGSI VERIFICAR (Supervisión y revisión del SGSI Evaluar y, en su caso, medir el rendimiento del proceso contra la política, los objetivos y la experiencia práctica del SGSI, e informar de los resultados a la dirección para su revisión ACTUAR Mantenimiento y mejora del SGSI preventivas, en función a los resultados de la auditoría interna del SGSI y de la revisión por parte de la dirección, o de otras informaciones relevantes, para lograr la mejora continua del SGSI ISO 27001 ISO 27001 Adoptar medidas correctivas y
  • 23. VENTAJAS Garantizar la confidencialidad, integridad y disponibilidad de información sensible riesgo con la reducción de Disminuir el consiguiente gastos Reducir la incertidumbre por el conocimiento de los riesgos e impactos Mejorar continuamente la gestión de la seguridad de la información Garantizar la continuidad del negocio Aumentar la competitividad y mejorar la imagen corporativa Incremetar la confianza de los stakeholders Aumentar la rentabilidad derivada del control de los riesgos Cumplir la legislación vigente referente a la seguridad de la linformación Aumentar las oportunidades de negocio
  • 24. VENTAJAS Mejorar la implicación y participación del personal en la gestión de la seguridad Reducir los costos asociados a los incidentes Posibilidad de integración con otros sistemas de gestión como ISO 9001, ISO14001, OHSAS 18001 entre otros Mejorar los procesosy servicios prestados Aumentar la competitividad por mejora de la imagen corporativa
  • 25. DISEÑO DEL SGSI La implantación de un SGSI debe comenzar con el correcto diseño Para ello debemos definir cuatro aspectos fundamentales Primero: El alcance del sistema Segundo: Las Políticas de seguridad aseguir Tercero: La organización de la seguridad Cuarto: Programas de concienciación y formación del personal
  • 26. La implantación de un SGSI debe comenzar con el correcto diseño Primero: definir el alcance del sistema. Qué partes o procesos de la organización que van a ser incluidos La empresa debe determinar cuáles son los procesos críticos para su organización decidiendo qué es lo que se quiere proteger y por donde debe empezar Dentro del alcance debe quedar definidas las actividades de la organización, las ubicaciones físicas que se van a ver involucradas DISEÑO DEL SGSI
  • 27. La implantación de un SGSI debe comenzar con el correcto diseño Qué tecnología de la empresa se incluirán y qué áreas quedarán excluidas en la implamntación del SGSI Es importante que durante esta fase se estimen los recursos económicos y de personal que se van a dedicar a implantar y mantener el sistema De nada sirve que la organización realice un esfuerzo importante durante la implantación si después no es capaz demantenerlo DISEÑO DEL SGSI
  • 28. POLÍTICAS DE SEGURIDAD Tras la definición del alcance, el siguiente paso es establecer la Política de Seguridad Recoger las directrices que debe seguir el SGSI de acuerdo a las necesidades y la legislación vigente Se debe establecer las pautas de actuación en el caso de incidentes y definir responsabilidades Las políticas deben delimitar qué se protege, de quién y por qué Determinar qué está permitido y qué no; límite de comportamiento aceptable, y cuál es la respuesta si existe abuso Identificar los riesgos a los que está sometida la organización Para que la política de seguridad sea un documento de utilidad, con lo establecido en la norma ISO/IEC 27001 debe cumplir con ciertos requisitos. Redacción accesible para todo el personal. Corta, precisa y fácil de comprender Debe ser aprobada por la dirección de la organización y publicitada por la misma Debe ser de dominio público dentro de la organización y debe estar disponible para su consulta Debe ser referencia para la resolución de conflictos relativas a la seguridad de la información de la organización
  • 29. POLÍTICAS DE SEGURIDAD Se debe indicar qué se protege, incluyendo tanto al personal como a la información, la reputación y la continuidad Debe ser personalizada para cada organización Se deben señalar las normas y reglas que va adoptar la organización y las medidas de seguridad necesarias Las política de seguridad debe incluir al menos los siguientes apartados 1 - Definición de la SI, objetivos globales, alcance de la seguridad, importancia y los mecanismos de control. 2- Declaración por parte de la organización donde se apoyan los objetivos y principios de la SI 3 – Breve explicación de las políticas 4- Definir responsabilidades generales y específicas donde se incluirán los roles que se deban cumplir En función a las responsabilidades se decidirá quién está autorizado a acceder a qué tipo de información 5 – Referencia a documentos para sustentar las políticas. Las políticas de SI debe ser un documento actualizado por lo que modificadodebe ser revisado y anualmente
  • 30. ALCANCES Para determinar el alcance y límites del SGSI se debe especificar las características de la organización, su ubicación, activos, tecnología e incluir detalles de cualquier exclusión dentro del alcance que pudieran considerarse. El alcance, es un aspecto fundamental, ya que delimita las partes de la organización que se ven afectadas, y por tanto, las partes que se deben auditar.
  • 31. 2 3 5 El alcance, con todas las características debe estar documentado. 1 La organización debe determinar los límites y aplicabilidad del sistema de gestión de seguridad de la información La organización debe considerar, en el alcance, los elementos internos y externos para su propósito que puedan afectar a la consecución de los objetivos del SGSI. Se debe considerar, las partes interesadas para el SGSI y los aspectos legales y regulatorios incluir Se debe considerar, las interfaces y dependencias entre las actividades de la organización y las que realizan otras organizaciones (proveedores). Cláusula 4.3 En esta cláusula aparecen 5 especificaciones: 4 ALCANCES
  • 32. COMPATIBILIDAD "ISO 27001 está diseñada para ser compatible con otras normas de gestión como:
  • 33. Direccionamiento actividades de aprendizaje Actividades: • Revisar el aula virtual • Realizar las actividades y tareas planteadas. Se recomienda describir por ejemplo: • Tomar apuntes esenciales, revisar el material de clases