SlideShare ist ein Scribd-Unternehmen logo
1 von 34
Generando  Políticas de Seguridad Informática,[object Object]
Historia de ISO 17799,[object Object]
¿Qué busca esta Norma?,[object Object],Esta Norma es de uso obligatorio para todas las entidades del sector gobierno que a su vez conforman el Sistema Nacional de Informática.,[object Object],Para esta NTP la informaciónde las organizaciones representa el activo mas Importante, la cual se encuentra en forma impresa, digital, verbal.,[object Object]
Base legal 2004,[object Object],Mediante la Resolución Ministerial Nº 224- 2004-PCM del 23 de julio de 2004 se aprobó el uso obligatorio de la Norma Técnica Peruana “NTP-ISO/IEC 17799:2004 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información, 1º Edición”, en todas las Entidades integrantes del Sistema Nacional de Informática.,[object Object]
Base legal 2007,[object Object],El 22 de Agosto del 2007, se actualiza la presente Norma, bajo RESOLUCIÓN MINISTERIAL Nº 246-2007-PCM Norma Técnica Peruana “NTP-ISO/ IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2a. Edición”  bajo el mismo ámbito de aplicación de la versión anterior.,[object Object]
Las 10 secciones de ISO 17799,[object Object]
NTP 17799,[object Object], DOMINIO(Secciones),[object Object], OBJETIVO,[object Object],CONTROLES,[object Object],Guía de Implementación,[object Object]
Ejemplo de Implementación,[object Object],Dominio de control :,[object Object],Gestión de Comunicaciones y Operación.,[object Object],Objetivo de control :,[object Object],Proteger la integridad del software y de la Información.,[object Object],Control :,[object Object],Controles contra Software malicioso,[object Object],Guía de Implementación :,[object Object],Normativa de uso de Software  Definición, Publicación.,[object Object],Filtrado de contenidos Web,[object Object],Antivirus de Correo,[object Object],Antivirus Personal,[object Object]
Ejemplo MINISTERIO XYZ,[object Object],Evaluación con Norma NTP 17799,[object Object],Elaboración de las Políticas,[object Object]
1   Política de Seguridad,[object Object],Objetivo de Control,[object Object],Dirigir y Dar Soporte a la gestión de la Seguridad de la información.,[object Object],Control :,[object Object],Dirección : Política y Apoyo visible.,[object Object],Política : Sistema de seguridad de la información.,[object Object]
1   Política de Seguridad,[object Object],No se tenía identificado un documento de Política de Seguridad que sea de conocimiento del personal, sin embargo se contaba con dos Directivas aprobadas y dos en proceso de aprobación,[object Object]
Política de Seguridad,[object Object]
2  Organización de la Seguridad,[object Object],Objetivo de Control,[object Object],Gestionar la seguridad de la información dentro de la organización.,[object Object],Control :,[object Object],Mantener la seguridad de los recursos.,[object Object],Mantener la seguridad de la información.,[object Object]
2  Organización de la Seguridad,[object Object],No existe un comité de Gestión de Seguridad de Información, sin embargo se habían establecido algunas responsabilidades en cuanto a seguridad de la información.,[object Object],En Informática se encontró un documento con el contenido de la norma y algunas recomendaciones realizadas en base a esta norma, las cuales no se habían tomado en cuenta.,[object Object],Existía un practicante como encargado de Seguridad de Redes, que no desarrollaba labores netamente de un Oficial de Seguridad porque no tenía la documentación ni los procedimientos formalmente definidos.,[object Object]
3 Clasificación y Control de Activos,[object Object],Objetivo de Control,[object Object],Mantener una protección adecuada sobre los activos de la Organización.,[object Object],Asegurar un nivel adecuado de protección a los activos de Información.,[object Object]
3 Clasificación y Control de Activos,[object Object],Se cuenta con un inventario de activos fijos los que son controlados por el área de Control Patrimonial.,[object Object], Todas las áreas deberían contar con una clasificación de los activos más importantes (información, hardware, software, servicios y otros) de acuerdo a criticidad y/o confiabilidad y el uso de un procedimiento de clasificación de la información.,[object Object]
 4  Seguridad en el Personal,[object Object],Objetivo de Control,[object Object],Reducir los riesgos de errores humanos.,[object Object],Asegurar que los usuarios son conscientes,[object Object],Minimizar los daños.,[object Object]
 4  Seguridad del Personal,[object Object],No se realizan charlas, capacitaciones y entrenamiento en temas de seguridad de información.,[object Object], No se consigna una cláusula de Confidencialidad en los contratos, específicamente lo relacionado con el procesamiento y seguridad de la información, sólo se describe sus Términos de Referencia.,[object Object]
5  Seguridad física y del entorno,[object Object],Objetivo de Control,[object Object],Evitar accesos no autorizados.,[object Object],Evitar pérdidas.,[object Object],Prevenir la exposición a riesgos o pérdida de información.,[object Object]
5  Seguridad física y del entorno,[object Object],Se cuenta con un buen control de ingreso a las  instalaciones como revisión de paquetes, registro de equipos tanto al ingreso como a la salida así como también en el ingreso a las oficinas, pues se cuenta con un vigilante en cada puerta. Sin embargo el tema de la Seguridad física al ingreso y salida de las instalaciones, es realizado por un Service.,[object Object]
6  Gestión Comunicaciones y  Operaciones,[object Object],Objetivo de Control,[object Object],Se debe garantizar la seguridad de las comunicaciones y de la operación de los sistemas críticos del negocio.,[object Object],Asegurar la operación correcta y segura de los recursos de información.,[object Object],Gestión de seguridad en redes, Monitoreo y SLA con terceros.,[object Object],Proteger la integridad del software y de la información, contra software malicioso.,[object Object]
6  Gestión Comunicaciones y  Operaciones,[object Object],Existen algunos manuales y procedimientos de operación pero no están actualizados.,[object Object],Los procedimientos de monitoreo de servicios realizados por terceros no se encuentran formalizados.,[object Object],Adicionalmente se tiene directivas aprobadas sobre el respaldo de información, que se encuentran publicadas en la Web, pero, no son conocidas por los usuarios, falta de difusión a toda la organización.,[object Object],Los Log de auditoría deshabilitados, ante algún problema no se podría obtener las pistas de auditoria para evaluar y deslindar responsabilidades ante falla de los sistemas.,[object Object]
7 Control de Accesos,[object Object],Objetivo de Control,[object Object],Se deben establecer los controles de acceso adecuados para proteger los sistemas de información críticos para el negocio, a diferentes niveles, sistema operativo, aplicaciones, redes, etc.,[object Object],Control :,[object Object],	Los usuarios deberán seguir buenas practicas de seguridad para la selección y uso de sus contraseñas.,[object Object]
7 Control de Accesos,[object Object],Carencia de un procedimiento formal para la gestión de cuentas de usuarios en los diferentes sistemas. No existen los controles adecuados para asegurar que los usuarios sigan las buenas prácticas de seguridad para la selección y uso de sus contraseñas.,[object Object], Falta de una política de escritorio limpio para papeles y medios removibles de almacenamiento, así como una política de pantalla limpia para instalaciones de procesamiento de información.,[object Object]
Uso adecuado de las claves de acceso,[object Object]
8  Adquisición, Desarrollo y Mantenimiento de Sistemas,[object Object],Objetivo de Control,[object Object],Debe contemplarse la seguridad de la información en todas las etapas del ciclo de vida del software.,[object Object]
8  Adquisición, Desarrollo y Mantenimiento de Sistemas,[object Object],Los requerimientos de mantenimiento de sistemas no son comunicados por un canal formal. ,[object Object], No se encontró estándares específicos ni metodologías para la adquisición, desarrollo y mantenimientos de sistemas.,[object Object]
Políticas y Normas para la utilización de software.,[object Object]
9   Gestión de Continuidad del Negocio,[object Object],Objetivo de Control,[object Object],Reaccionar a la interrupción de actividades del negocio y proteger sus procesos críticos frente a a grandes fallos o desastres.,[object Object],Control :,[object Object],Continuidad del negocio y evaluación de riesgos.,[object Object]
9   Gestión de Continuidad del Negocio,[object Object],Se cuenta con un documento de contingencias, no ha sido aprobado, no está alineado a la seguridad de información a nivel de toda la organización.,[object Object],Además no se han realizado pruebas ni actualización del mismo, por consiguiente el personal de la organización, no tiene conocimiento de este dominio.,[object Object], La Organización no tiene un plan de continuidad de negocio,[object Object]
10   Cumplimiento,[object Object],Objetivo de Control,[object Object],Se debe identificar convenientemente la legislación aplicable a los sistemas de información de la organización.,[object Object],Control :,[object Object],Continuidad del negocio y evaluación de riesgos.,[object Object]
10   Cumplimiento,[object Object],Los requerimientos legales (estatuto, norma o contratos) para el uso de sistemas de información y que son relevantes para la organización no están explícitamente definidos, documentados ni difundidos.,[object Object]
CONCLUSIONES,[object Object],Esta Norma Técnica Peruana establece recomendaciones para realizar la gestión de la seguridad de la información que pueden utilizarse por los responsables de iniciar, implantar o mantener la seguridad en una organización. Persigue proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones y ser una práctica eficaz de la gestión de la seguridad, así como proporcionar confianza en las relaciones entre organizaciones.,[object Object]
Generando Politicas

Weitere ähnliche Inhalte

Was ist angesagt?

Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIUCC
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Cuidando mi Automovil
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particularxavier cruz
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002ITsencial
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Eduardo Maradiaga
 

Was ist angesagt? (20)

Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Norma ISO 17799
Norma ISO 17799Norma ISO 17799
Norma ISO 17799
 
Ambito 6 - Registros
Ambito 6 - RegistrosAmbito 6 - Registros
Ambito 6 - Registros
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
 
Superior
SuperiorSuperior
Superior
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática. Sistemas de Gestión de Seguridad Informática.
Sistemas de Gestión de Seguridad Informática.
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Seguridad
SeguridadSeguridad
Seguridad
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Norma iso 17799
Norma iso  17799Norma iso  17799
Norma iso 17799
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 

Ähnlich wie Generando Politicas

Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enriqueJUAN ENRIQUE
 
Los 11-dominios-de-norma-técnica-peruana (1)
Los 11-dominios-de-norma-técnica-peruana (1)Los 11-dominios-de-norma-técnica-peruana (1)
Los 11-dominios-de-norma-técnica-peruana (1)nevado96
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacionGeGuMe
 
Formación en Seguridad IT
Formación en Seguridad ITFormación en Seguridad IT
Formación en Seguridad ITRamiro Cid
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001  27002 paola enríquez 9 c1Normas iso 27001  27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001  27002 paola enríquez 9 c1Normas iso 27001  27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001  27002 paola enríquez 9 c1Normas iso 27001  27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1paokatherine
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02lizardods
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsisantosperez
 

Ähnlich wie Generando Politicas (20)

Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Ensayo normas juan enrique
Ensayo normas juan enriqueEnsayo normas juan enrique
Ensayo normas juan enrique
 
Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controles
 
Los 11-dominios-de-norma-técnica-peruana (1)
Los 11-dominios-de-norma-técnica-peruana (1)Los 11-dominios-de-norma-técnica-peruana (1)
Los 11-dominios-de-norma-técnica-peruana (1)
 
Ai seguridad de_la_informacion
Ai seguridad de_la_informacionAi seguridad de_la_informacion
Ai seguridad de_la_informacion
 
Formación en Seguridad IT
Formación en Seguridad ITFormación en Seguridad IT
Formación en Seguridad IT
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001  27002 paola enríquez 9 c1Normas iso 27001  27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001  27002 paola enríquez 9 c1Normas iso 27001  27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001  27002 paola enríquez 9 c1Normas iso 27001  27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 

Generando Politicas

  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.