SlideShare ist ein Scribd-Unternehmen logo

ISO 27001 Guía para implementar un sistema de gestión de seguridad de la información

Als PPTX, PDF herunterladen
O
Orlin Jose Reyes

ISO/IEC 27001 es un estándar internacional para la seguridad de la información que establece los requisitos para un sistema de gestión de seguridad de la información. La norma requiere que una organización documente su sistema, incluyendo políticas, procedimientos, análisis de riesgos e inventario de activos. También requiere auditorías internas, compromiso de la dirección y mejora continua del sistema.

Technologie
1 von 13
ORLIN JOSE REYES DERAS 20142000833 Presentacion sobre 1
ISO/IEC 27001 es un estándar para la seguridad de la información aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Requisitos generales del sistema de gestión de la seguridad Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Estos apartados son las que realmente conforman el cuerpo principal de la norma: • Sistema de gestión de la seguridad de la información. • Responsabilidad de la dirección. • Auditorías internas del SGSI. • Revisión del SGSI por la dirección. • Mejora del SGSI. Lo que la norma reclama es que exista un sistema documentado (política, análisis de riesgos, procedimientos, etc.), donde la dirección colabore activamente y se implique en el desarrollo y gestión del sistema.
El sistema constará de una documentación en varios niveles: • Políticas, que proporcionan las guías generales de actuación en cada caso. • Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas previstas. • Registros, que son las evidencias de que se han llevado a cabo las actuaciones establecidas.
Establecimiento y gestión del SGSI
1.Establecimiento del SGSI: La norma establece una serie de requisitos: Para satisfacerlos, la organización debe buscar los medios más apropiados a sus circunstancias, necesidades y, por supuesto, los recursos disponibles. 2. Definición del alcance del SGSI: Es decir, sobre qué proceso (o procesos) va a actuar, ya que no es necesaria la aplicación de la norma a toda la entidad. 3. Definición de la política de seguridad: Decidir qué criterios se van a seguir, estableciendo las principales líneas de acción que se van a seguir para que la confidencialidad, la integridad y la disponibilidad queden garantizadas. 4. Identificación de los activos de información: Se deben identificar junto con sus responsables. El SGSI va a proteger los activos que queden dentro del alcance definido, por eso es vital listarlos todos, lo cual no significa que haya que detallar cada componente de los sistemas de información y cada documento que se maneje en la empresa, pero sí es indispensable identificar qué activos son los que soportan los procesos de la organización.
5. Definición del enfoque del análisis de riesgos: El análisis de riesgos determinará las amenazas y vulnerabilidades de los activos de información previamente inventariados. 6. Cómo escoger la metodología del análisis de riesgos: Identificar los riesgos que pueden afectar a la organización y a sus activos de información. Hay que saber cuáles son los peligros a los que se enfrenta la empresa, los puntos débiles, para poder solucionar de manera efectiva los problemas, insistiendo con más recursos y esfuerzos en los temas que más lo necesitan. 7. Tratamiento de los riesgos: Obtenidos los niveles de riesgo, hay que decidir si son aceptables o no, según el criterio fijado previamente. Si no lo son, hay que evaluar cómo se van a tratar esos riesgos: • Mitigar el riesgo. Es decir, reducirlo, mediante la implementación de controles que disminuyan el riesgo hasta un nivel aceptable. • Asumir el riesgo. La dirección tolera el riesgo, ya que está por debajo de un valor de riesgo asumible o bien porque no se puede hacer frente razonablemente a ese riesgo, por costoso o por difícil. • Eliminar el riesgo. Aunque no suele ser la opción más viable, ya que puede resultar complicado o costoso.
8. Selección de controles: La selección de controles es un punto crítico del SGSI. A la hora de escoger o rechazar un control se debe considerar hasta qué punto ese control va a ayudar sobre seguridad en sistemas de información para pymes a reducir el riesgo que hay y cuál va a ser el coste de su implementación y mantenimiento. 9. Gestión de riesgos: Una vez seleccionados los controles se repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas de seguridad implementadas y aquellas elegidas para hacerlo. 10. Declaración de aplicabilidad: El siguiente requisito de la norma es la preparación de una declaración de aplicabilidad, que debe incluir: • Los objetivos de control y los controles seleccionados, con las razones de esta selección. • Los objetivos de control y los controles actualmente implementados, con una justificación. • La exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y la justificación para dicha exclusión. 11. Implementación y puesta en marcha del SGSI: Para poner en marcha el SGSI la dirección tiene que aprobar la documentación desarrollada en las actividades detalladas en el punto anterior y proveer los recursos necesarios para ejecutar las actividades.
12. Control y revisión del SGSI: La revisión del SGSI forma parte de la fase del Check (comprobar) del ciclo PDCA. Hay que controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. 13. Mantenimiento y mejora del SGSI: Un sistema de gestión debe mantenerse y mejorarse en lo posible para que resulte efectivo. El mantenimiento incluye el detectar mejoras e implementarlas, aprender de los defectos y errores identificados, y aplicar acciones correctivas y preventivas donde sea apropiado.
Requisitos de documentación
1.Generalidades: El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las políticas y las acciones tomadas. Por ello es necesario tener documentado: • La política y los objetivos del SGSI. • El alcance del SGSI. • Una descripción de la metodología de análisis del riesgo. • El inventario de activos. • Los procedimientos y controles de apoyo al SGSI. • El análisis del riesgo. • El plan de tratamiento del riesgo. • La declaración de aplicabilidad. • Los procedimientos necesarios para la implementación de los controles y para asegurarse de que se cumplan los objetivos. • Los registros requeridos por la norma.
2. Control de documentos: Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.). 3. Control de registros: Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos. Ejemplo de registros son el libro de visitas, los informes de auditorías y los logs de los sistemas. 4. Compromiso de la dirección: Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la dirección, no sólo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de cultura y concienciación que genera el proceso sería imposible de sobrellevar sin el compromiso constante de la dirección.
5. Gestión de los recursos: Ela dirección la que debe gestionar los recursos. Ha de comenzar por proveer de recursos al desarrollo y mantenimiento del SGSI en función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI. 6. Formación: Independientemente de la formación, el personal estará concienciado de la importancia de las actividades de seguridad de la información y en particular de las suyas propias, y de que cómo la aportación de cada uno es fundamental para alcanzar los objetivos de seguridad establecidos, y en consecuencia los de la organización. 7. Auditorías internas: Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año. Esta programación se recogerá en el plan de auditorías. A la hora de desarrollar el plan de auditorías hay que fijarse en: • El estado e importancia de los procesos y las áreas que serán auditadas, de este modo se determinará el tiempo y los recursos que habrá que destinar para efectuar la auditoría. • Los criterios de la auditoría. • El alcance, si va a ser global (va a abarcar toda la empresa) o parcial (sólo una parte). • La frecuencia de realización de las auditorías, sabiendo que cada tres años, al menos, toda la organización debe ser auditada. • Los métodos que se van a utilizar para hacer las auditorías.
8. Revisión por la dirección: La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. Entre estas revisiones tenemos : Entradas a la revisión y Salidas de la revisión 9. Mejora continua: La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo. Realizando: Acción correctiva y Acción preventiva 10. El anexo A: El anexo A contiene los 133 controles considerados como las mejores prácticas en seguridad de la información y que se detallan en la Norma UNE-ISO/IEC 27002. A lo largo de la Norma UNE-ISO/IEC 27001 se referencia este anexo como el punto de partida para la selección de controles.

Empfohlen

Sgsi
SgsiSgsi
SgsiEric Wilson Urraco
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.Fer22P
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001jhony alejandro
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfoAdalinda Turcios
 
Politicas
PoliticasPoliticas
PoliticasJannina Lamber
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y PolíticaGengali
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroHeissel21
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000Carlos Pineda Pinto
 

Empfohlen

Sgsi
SgsiSgsi
SgsiEric Wilson Urraco
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.Fer22P
 
JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001JACHV(UNAH-VS)-COMPRENDER iso 27001
JACHV(UNAH-VS)-COMPRENDER iso 27001jhony alejandro
 
Admon publicaypolitcasinfo
Admon publicaypolitcasinfoAdmon publicaypolitcasinfo
Admon publicaypolitcasinfoAdalinda Turcios
 
Politicas
PoliticasPoliticas
PoliticasJannina Lamber
 
Presentación Administración y Política
Presentación Administración y PolíticaPresentación Administración y Política
Presentación Administración y PolíticaGengali
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroHeissel21
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000Carlos Pineda Pinto
 
SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001Augusto Chevez
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacionDenis Rauda
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín ÁvilaToni Martin Avila
 
Iso27001
Iso27001Iso27001
Iso27001ANDRULANCO2014
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Jennyfer Cribas
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001Marvin Joel Diaz Navarro
 
Norma une,isoice27001
Norma une,isoice27001Norma une,isoice27001
Norma une,isoice27001Mitcheel Matute
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)dcordova923
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionDarwin Calix
 
Iso 27001
Iso 27001Iso 27001
Iso 27001irwin_45
 
Iso 27001 : Resumen
Iso 27001 : ResumenIso 27001 : Resumen
Iso 27001 : ResumenDavid Herrero
 
Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)SENA810561
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlosuniversidad cesar vallejo
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Diego Cueva Córdova
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Proceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaProceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaISOTools Chile
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001Zenia Castro
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo AuditoriaChristopher Ticeran Lopez
 
SGSI
SGSISGSI
SGSIAngelica Lopez
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejiajjm5212
 

Weitere ähnliche Inhalte

Was ist angesagt?

Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacionDenis Rauda
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín ÁvilaToni Martin Avila
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Jennyfer Cribas
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)dcordova923
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionDarwin Calix
 
Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)SENA810561
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Proceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaProceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaISOTools Chile
 

Was ist angesagt? (20)

SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
 
Iso27001
Iso27001Iso27001
Iso27001
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001Implementación de la norma UNE-ISO/IEC 27001
Implementación de la norma UNE-ISO/IEC 27001
 
SGSI 27001
SGSI 27001SGSI 27001
SGSI 27001
 
Norma une,isoice27001
Norma une,isoice27001Norma une,isoice27001
Norma une,isoice27001
 
Estandares ISO 27001 (3)
Estandares ISO 27001 (3)Estandares ISO 27001 (3)
Estandares ISO 27001 (3)
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001 : Resumen
Iso 27001 : ResumenIso 27001 : Resumen
Iso 27001 : Resumen
 
Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)Auditoria de salud y seguridad ocupacional (1)
Auditoria de salud y seguridad ocupacional (1)
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
Proceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresaProceso de implantación de ISO 27001 en la empresa
Proceso de implantación de ISO 27001 en la empresa
 
UNE-ISO/IEC 27001
UNE-ISO/IEC 27001UNE-ISO/IEC 27001
UNE-ISO/IEC 27001
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 

Ähnlich wie ISO 27001 Guía para implementar un sistema de gestión de seguridad de la información

Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejiajjm5212
 
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdfNORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdfssuserd8dfec
 
Auditoriadesistemas
AuditoriadesistemasAuditoriadesistemas
Auditoriadesistemasgrangurusv
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadJhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Jhonny Javier Cantarero
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Jhonny Javier Cantarero
 
Trabajo de sistemas calidad
Trabajo de sistemas calidadTrabajo de sistemas calidad
Trabajo de sistemas calidadOmar Hernandez
 
Auditorias en Seguridad e Higiene Industrial
Auditorias en Seguridad e Higiene IndustrialAuditorias en Seguridad e Higiene Industrial
Auditorias en Seguridad e Higiene IndustrialAlfredo Silva
 
PLANEACION DE AUDITORIA
PLANEACION DE AUDITORIAPLANEACION DE AUDITORIA
PLANEACION DE AUDITORIAp8078c
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12Coatzozon20
 
Planificacion y estrategias de auditoria a uditoria i
Planificacion y estrategias de auditoria a uditoria iPlanificacion y estrategias de auditoria a uditoria i
Planificacion y estrategias de auditoria a uditoria iAndres Anibal Nuñez Cuello
 
Planeacic3b3n de-la-ai-continuacic3b3n
Planeacic3b3n de-la-ai-continuacic3b3nPlaneacic3b3n de-la-ai-continuacic3b3n
Planeacic3b3n de-la-ai-continuacic3b3nAnadolore Tejada
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridadlizbasile
 

Ähnlich wie ISO 27001 Guía para implementar un sistema de gestión de seguridad de la información (20)

SGSI
SGSISGSI
SGSI
 
Presentación politicas juan jose mejia
Presentación politicas juan jose mejiaPresentación politicas juan jose mejia
Presentación politicas juan jose mejia
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdfNORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
NORMAS ISO 19011 Y 27001- GRUPO5 LOS ISHIKAWAS.pdf
 
Auditoriadesistemas
AuditoriadesistemasAuditoriadesistemas
Auditoriadesistemas
 
Introducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridadIntroducción a los sistemas de gestión de seguridad
Introducción a los sistemas de gestión de seguridad
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)Introducción a los sistemas de gestión de seguridad (SGSI)
Introducción a los sistemas de gestión de seguridad (SGSI)
 
Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdf
 
Trabajo de sistemas calidad
Trabajo de sistemas calidadTrabajo de sistemas calidad
Trabajo de sistemas calidad
 
Introduccion iso27001
Introduccion iso27001Introduccion iso27001
Introduccion iso27001
 
Auditorias en Seguridad e Higiene Industrial
Auditorias en Seguridad e Higiene IndustrialAuditorias en Seguridad e Higiene Industrial
Auditorias en Seguridad e Higiene Industrial
 
PLANEACION DE AUDITORIA
PLANEACION DE AUDITORIAPLANEACION DE AUDITORIA
PLANEACION DE AUDITORIA
 
A
AA
A
 
Trabajo Final
Trabajo FinalTrabajo Final
Trabajo Final
 
ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12ATI_EQ5_UN4_RES_CAP12
ATI_EQ5_UN4_RES_CAP12
 
Planificacion y estrategias de auditoria a uditoria i
Planificacion y estrategias de auditoria a uditoria iPlanificacion y estrategias de auditoria a uditoria i
Planificacion y estrategias de auditoria a uditoria i
 
Planeacic3b3n de-la-ai-continuacic3b3n
Planeacic3b3n de-la-ai-continuacic3b3nPlaneacic3b3n de-la-ai-continuacic3b3n
Planeacic3b3n de-la-ai-continuacic3b3n
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridad
 
Balotario de auditoria
Balotario de auditoriaBalotario de auditoria
Balotario de auditoria
 

Kürzlich hochgeladen

CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 

Kürzlich hochgeladen (15)

CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 

ISO 27001 Guía para implementar un sistema de gestión de seguridad de la información

  • 1. ORLIN JOSE REYES DERAS 20142000833 Presentacion sobre 1
  • 2. ISO/IEC 27001 es un estándar para la seguridad de la información aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission. Requisitos generales del sistema de gestión de la seguridad Una organización necesita identificar y administrar cualquier tipo de actividad para funcionar eficientemente. Estos apartados son las que realmente conforman el cuerpo principal de la norma: • Sistema de gestión de la seguridad de la información. • Responsabilidad de la dirección. • Auditorías internas del SGSI. • Revisión del SGSI por la dirección. • Mejora del SGSI. Lo que la norma reclama es que exista un sistema documentado (política, análisis de riesgos, procedimientos, etc.), donde la dirección colabore activamente y se implique en el desarrollo y gestión del sistema.
  • 3. El sistema constará de una documentación en varios niveles: • Políticas, que proporcionan las guías generales de actuación en cada caso. • Procedimientos, que dan las instrucciones para ejecutar cada una de las tareas previstas. • Registros, que son las evidencias de que se han llevado a cabo las actuaciones establecidas.
  • 5. 1.Establecimiento del SGSI: La norma establece una serie de requisitos: Para satisfacerlos, la organización debe buscar los medios más apropiados a sus circunstancias, necesidades y, por supuesto, los recursos disponibles. 2. Definición del alcance del SGSI: Es decir, sobre qué proceso (o procesos) va a actuar, ya que no es necesaria la aplicación de la norma a toda la entidad. 3. Definición de la política de seguridad: Decidir qué criterios se van a seguir, estableciendo las principales líneas de acción que se van a seguir para que la confidencialidad, la integridad y la disponibilidad queden garantizadas. 4. Identificación de los activos de información: Se deben identificar junto con sus responsables. El SGSI va a proteger los activos que queden dentro del alcance definido, por eso es vital listarlos todos, lo cual no significa que haya que detallar cada componente de los sistemas de información y cada documento que se maneje en la empresa, pero sí es indispensable identificar qué activos son los que soportan los procesos de la organización.
  • 6. 5. Definición del enfoque del análisis de riesgos: El análisis de riesgos determinará las amenazas y vulnerabilidades de los activos de información previamente inventariados. 6. Cómo escoger la metodología del análisis de riesgos: Identificar los riesgos que pueden afectar a la organización y a sus activos de información. Hay que saber cuáles son los peligros a los que se enfrenta la empresa, los puntos débiles, para poder solucionar de manera efectiva los problemas, insistiendo con más recursos y esfuerzos en los temas que más lo necesitan. 7. Tratamiento de los riesgos: Obtenidos los niveles de riesgo, hay que decidir si son aceptables o no, según el criterio fijado previamente. Si no lo son, hay que evaluar cómo se van a tratar esos riesgos: • Mitigar el riesgo. Es decir, reducirlo, mediante la implementación de controles que disminuyan el riesgo hasta un nivel aceptable. • Asumir el riesgo. La dirección tolera el riesgo, ya que está por debajo de un valor de riesgo asumible o bien porque no se puede hacer frente razonablemente a ese riesgo, por costoso o por difícil. • Eliminar el riesgo. Aunque no suele ser la opción más viable, ya que puede resultar complicado o costoso.
  • 7. 8. Selección de controles: La selección de controles es un punto crítico del SGSI. A la hora de escoger o rechazar un control se debe considerar hasta qué punto ese control va a ayudar sobre seguridad en sistemas de información para pymes a reducir el riesgo que hay y cuál va a ser el coste de su implementación y mantenimiento. 9. Gestión de riesgos: Una vez seleccionados los controles se repetirá el análisis de riesgos, teniendo en cuenta ya todas las medidas de seguridad implementadas y aquellas elegidas para hacerlo. 10. Declaración de aplicabilidad: El siguiente requisito de la norma es la preparación de una declaración de aplicabilidad, que debe incluir: • Los objetivos de control y los controles seleccionados, con las razones de esta selección. • Los objetivos de control y los controles actualmente implementados, con una justificación. • La exclusión de cualquier control objetivo del control y de cualquier control en el anexo A y la justificación para dicha exclusión. 11. Implementación y puesta en marcha del SGSI: Para poner en marcha el SGSI la dirección tiene que aprobar la documentación desarrollada en las actividades detalladas en el punto anterior y proveer los recursos necesarios para ejecutar las actividades.
  • 8. 12. Control y revisión del SGSI: La revisión del SGSI forma parte de la fase del Check (comprobar) del ciclo PDCA. Hay que controlar y revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. 13. Mantenimiento y mejora del SGSI: Un sistema de gestión debe mantenerse y mejorarse en lo posible para que resulte efectivo. El mantenimiento incluye el detectar mejoras e implementarlas, aprender de los defectos y errores identificados, y aplicar acciones correctivas y preventivas donde sea apropiado.
  • 10. 1.Generalidades: El SGSI debe contar con la documentación necesaria que justifique las decisiones de la dirección, las políticas y las acciones tomadas. Por ello es necesario tener documentado: • La política y los objetivos del SGSI. • El alcance del SGSI. • Una descripción de la metodología de análisis del riesgo. • El inventario de activos. • Los procedimientos y controles de apoyo al SGSI. • El análisis del riesgo. • El plan de tratamiento del riesgo. • La declaración de aplicabilidad. • Los procedimientos necesarios para la implementación de los controles y para asegurarse de que se cumplan los objetivos. • Los registros requeridos por la norma.
  • 11. 2. Control de documentos: Los documentos requeridos por el SGSI deben hallarse protegidos y controlados, por lo que se precisan unos procedimientos de control de documentación, de revisión y de registro (informes, auditorías, cambios, autorizaciones de acceso, permisos temporales, bajas, etc.). 3. Control de registros: Los registros son aquellos documentos que proporcionan evidencia de la realización de actividades del SGSI. Con ellos se puede verificar el cumplimiento de los requisitos. Ejemplo de registros son el libro de visitas, los informes de auditorías y los logs de los sistemas. 4. Compromiso de la dirección: Uno de los requisitos fundamentales para poner en marcha un SGSI es contar con el compromiso de la dirección, no sólo por ser uno de los epígrafes contemplados en la norma, sino porque el cambio de cultura y concienciación que genera el proceso sería imposible de sobrellevar sin el compromiso constante de la dirección.
  • 12. 5. Gestión de los recursos: Ela dirección la que debe gestionar los recursos. Ha de comenzar por proveer de recursos al desarrollo y mantenimiento del SGSI en función de lo que se estime necesario para establecer, implementar, poner en funcionamiento, efectuar el seguimiento, revisar, mantener y mejorar el SGSI. 6. Formación: Independientemente de la formación, el personal estará concienciado de la importancia de las actividades de seguridad de la información y en particular de las suyas propias, y de que cómo la aportación de cada uno es fundamental para alcanzar los objetivos de seguridad establecidos, y en consecuencia los de la organización. 7. Auditorías internas: Estas auditorías deben programarse y prepararse regularmente, normalmente una vez al año. Esta programación se recogerá en el plan de auditorías. A la hora de desarrollar el plan de auditorías hay que fijarse en: • El estado e importancia de los procesos y las áreas que serán auditadas, de este modo se determinará el tiempo y los recursos que habrá que destinar para efectuar la auditoría. • Los criterios de la auditoría. • El alcance, si va a ser global (va a abarcar toda la empresa) o parcial (sólo una parte). • La frecuencia de realización de las auditorías, sabiendo que cada tres años, al menos, toda la organización debe ser auditada. • Los métodos que se van a utilizar para hacer las auditorías.
  • 13. 8. Revisión por la dirección: La dirección debe revisar el SGSI de manera periódica para garantizar la conveniencia, adecuación y eficacia continuas del sistema. Entre estas revisiones tenemos : Entradas a la revisión y Salidas de la revisión 9. Mejora continua: La mejora continua es una actividad recurrente para incrementar la capacidad a la hora de cumplir los requisitos. El proceso mediante el cual se establecen objetivos y se identifican oportunidades de mejora es continuo. Realizando: Acción correctiva y Acción preventiva 10. El anexo A: El anexo A contiene los 133 controles considerados como las mejores prácticas en seguridad de la información y que se detallan en la Norma UNE-ISO/IEC 27002. A lo largo de la Norma UNE-ISO/IEC 27001 se referencia este anexo como el punto de partida para la selección de controles.