SlideShare ist ein Scribd-Unternehmen logo

Presentacion manuel collazos_-_1

J
jonnyceballos

Peru Iso 27001

Wirtschaft & Finanzen
1 von 27
Downloaden Sie, um offline zu lesen
Ing. Manuel Collazos Balaguer 1 PRIME PROFESIONAL Auspicia:
Ing. Manuel Collazos Balaguer 2 PRIME PROFESIONAL
AGENDA Ing. Manuel Collazos Balaguer 3 PRIME PROFESIONAL I. ¿Qué es la ISO? II. La nueva estructura ISO 27001:2013. III. Nuevos conceptos. IV. La ISO 27002:2013. V. Conclusiones
I. ¿Qué es la ISO? Ing. Manuel Collazos Balaguer 4 PRIME PROFESIONAL
La ISO y sus principios de gestión Ing. Manuel Collazos Balaguer 5 PRIME PROFESIONAL Es una federación mundial de organismos nacionales de normalización alrededor de 160 países, trabajan a nivel de Comités Técnicos, tienen al menos 19,000 estándares publicados desde 1947 (creación), 1951 (publicación). Trabaja en función a 8 principios de gestión: 1. Orientación al cliente. 2. Liderazgo. 3. Participación del personal. 4. Enfoque de procesos. 5. Enfoque de sistemas de gestión. 6. Mejora Continua. 7. Enfoque de mejora continua. 8. Relación mutuamente beneficiosa con el proveedor.
La ISO y sus estándares Ing. Manuel Collazos Balaguer 6 PRIME PROFESIONAL Incremento de la demanda en las empresas por implementar sistema de gestión estandares (ISO 9001, ISO 27001, ISO 22301, ISO 20000 otras). Los estandares ISO son aplicables a cualquier tipo y tamaño de empresa. (Source: iso.org)
La ISO y como nace la ISO 27001:2013 Ing. Manuel Collazos Balaguer 7 PRIME PROFESIONAL Causas: Los estandres ISO se revisan cada 4 o 5 años. Los controles de la ISO 27002 muchos son obsoletos. La necesidad de integrar los sistemas de gestión (Anexo SL, PAS 99). Historia:  El proyecto nace con la aprobación de un articulo en el New Work Item (NWI) el 19 de mayo 2009.  Lo primeros 3 borradores de trabajo conservan la estructura de 1ra edición.  La estructura común y el texto básico actual aplican al draft 4 en oposición de varios organismos nacionales.  El 2012-02-15 el Consejo de Gestión Técnica de ISO (TMB) decidió que la norma ISO 27001 tiene que seguir la nueva estructura, unificado, pero que las desviaciones justificadas se admiten.  La alianza para elevar el nivel de abstracción se logró  La alianza para dejar caer la Declaración de aplicabilidad falló.  Los intentos para matar el proyecto hasta el final fracasaron.
II. La nueva estructura de la ISO 27001:2013 Ing. Manuel Collazos Balaguer 8 PRIME PROFESIONAL BS 7779-21998 BS-7799-12002 ISO/IEC 27001:20052005 ISO/IEC 27001:20132013
ANEXO SL Ing. Manuel Collazos Balaguer 9 PRIME PROFESIONAL INTEGRAR LAS NORMAS Y TERMINOS COMUNES •ISO 30301:2011, Información y documentación - Sistemas de gestión de documentos - Requisitos (armonizado con el anexo SL) •ISO 22301:2012, la seguridad societaria - Los sistemas de gestión de continuidad de negocio - Requisitos (armonizado con el anexo SL) •ISO 20121:2012, sistemas de gestión de la sostenibilidad de eventos - Requisitos con orientación para su uso (armonizado con el anexo SL •ISO 27001:2013, sistemas de gestión de la seguridad de la información. Fuente Anexo SL
ISO 27001:2005 Y LA 27001:2013 Ing. Manuel Collazos Balaguer 10 PRIME PROFESIONAL 1. Introducción 2. Objeto 3. Referencias Normativas 4. Contexto de la Organización 5. Liderazgo 6. Planificación 7. Soporte 8. Operación 9. Evaluación del desempeño 10. Mejora 1. Introducción 2. Objeto 3. Referencias Normativas 4. Sistema de Gestión de la Seguridad de la Información 4.1 General 4.2 SGSI 4.2.1 Establecer 4.2.2 Implementar y Operar 4.2.3 Monitorear y Revisar 4.2.4 Mantener y Mejorar 4.3 Documentar 5. Responsabilidad de la Dirección 6. Auditoría Interna 7. Revisión de la Dirección 8. Mejora
VENTAJAS Y DESVENTAJAS Ing. Manuel Collazos Balaguer 11 PRIME PROFESIONAL VENTAJAS DESVENTAJAS Facilita la integración de los sistemas de gestión, debido a que es una estructura de alto nivel, donde los términos y definiciones ayudan a implementar. Es una abstracción y es un nivel alto, no es tan detallado. Todas las definiciones vienen del estándar ISO 27000 y las inconsistencias se han removido. Los requisitos son un tanto mas difícil para interpretar, debido a los nuevos conceptos. Los riesgos en la seguridad de la información en su conjunto deben ser abordados. No se menciona el enfoque PDCA. Los documentos requeridos están claramente establecidos, hace referencia al tamaño y complejidad. No se menciona las políticas del SGSI. Menciona que las acciones preventivas no van. No hay una descripción detallada de la identificación del riesgo.
ALGUNOS DATOS Ing. Manuel Collazos Balaguer 12 PRIME PROFESIONAL ISO 27001:2013 ISO 27001:2005 7 CLAUSULAS: La mas resaltante es el contexto de la organización. 5 CLAUSULAS: 154 requerimiento 178 requerimientos 32 nuevos requerimientos El anexo A tiene 14 categorías de control (del 5 al 18) El anexo A tiene 11 categorías de control (del 5 al 15) Menciona a la ISO 31000 en la clausula 6.1 Acciones para la dirección de riesgos y oportunidades No menciona la ISO 31000 u otro estándar.
NUEVOS REQUERIMIENTOS Ing. Manuel Collazos Balaguer 13 PRIME PROFESIONAL 4.2 Entendiendo las necesidades y expectativas de las partes interesadas. 4.3 Determinar los objetivos del SGSI. 5.1 Liderazgo y compromiso. 6.1 Acciones para direccionar los riesgos y las oportunidades. 6.2 Los objetivos de seguridad de la información y la planificación para alcanzarlos. 7.3 Sensibilización. 7.4 Comunicación. 7.5 Información documentada. 8.1 Planificación y control operativo. 9.1 Seguimiento, medición, análisis y evaluación. 9.3 Revisión de la Dirección. 10.1 No-conformidades y acciones correctivas.
III. Nuevos conceptos Ing. Manuel Collazos Balaguer 14 PRIME PROFESIONAL
La información es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. Para sus actividades diarias, operaciones de su trabajo, para cumplir con sus funciones, el cual puede equivocarse o no, o hacer el bien o el mal. La información tienen estructura que modificará las sucesivas interacciones del ente que posee dicha información con su entorno. Ing. Manuel Collazos Balaguer 15 PRIME PROFESIONAL Las cuentas bancarias, estados de cuenta, deuda tributaria, resultados de análisis clínicos, configuración de un equipo de red, códigos de un sistema, tipo de cambio, la propuesta técnica y económica, estado financiero, el CV, la compra de una empresa, las imágenes de una cámara, los sueldos, correos, grabación de un teléfono, logs de auditoría, contratos, examen de admisión, identificación, resultados electorales, la comunicación telefónica, … ¿Qué es Información?
La información es un recurso que, como el resto de los activos, tiene valor para una organización y por consiguiente debe ser debidamente protegida. La seguridad de la información protege ésta de una amplia gama de amenazas, a fin de garantizar la continuidad del negocio, minimizar el daño al mismo y maximizar el retorno sobre las inversiones y las oportunidades. La información puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por un medio electrónico, presentada en imágenes, o expuesta en una conversación. Cualquiera sea la forma que adquiere la información, o los medios por los cuales se distribuye o almacena, siempre debe ser protegida en forma adecuada. Ing. Manuel Collazos Balaguer 16 PRIME PROFESIONAL ¿Qué es Seguridad de la Información?
ACTIVOS Ing. Manuel Collazos Balaguer 17 PRIME PROFESIONAL ISO 27002:2013 Clausula 8.1 Activos relacionados con las instalaciones de procesamiento de información y la información deben ser identificados y un inventario de los activos deberá estar redactado y mantenido. Activo Activo Primario Información Procesos Activo de Soporte Hardware, Software, Redes, Personal, Sitio, Servicios
PARTES INTERESADAS Ing. Manuel Collazos Balaguer 18 PRIME PROFESIONAL ISO 27001:2013 Clausula 4.2 Entendiendo las necesidades y expectativas de las partes interesadas a) las partes interesadas que son relevantes para el sistema de gestión de seguridad de la información, y b) los requisitos de estas partes interesadas pertinentes a la seguridad de la información. Mis contribuyentes requieren que les brinde buenos servicios en el municipio Los servicios de limpieza publica, infraestructura urbana, parque y jardines y seguridad ciudadana tienen que ser de calidad Los procesos que soportan esos servicios deben ser mejorados La información de esos procesos debe ser confiable, integra y disponible para las tomas de decisiones
RIESGOS Ing. Manuel Collazos Balaguer 19 PRIME PROFESIONAL ISO 27001:2013 Clausula 6.1.2 Evaluación de los riesgos de la seguridad de la información. c) identifica los riesgos de seguridad de la información: 1) aplicar el proceso de evaluación de riesgos de seguridad de información para identificar los riesgos asociados a la pérdida de la confidencialidad, integridad y disponibilidad de la información en el ámbito del sistema de gestión de la seguridad de información, y 2) identificar a los propietarios de los riesgos;
LIDERAZGO Ing. Manuel Collazos Balaguer 20 PRIME PROFESIONAL ISO 27001:2013 Clausula 5.3 Roles de organización, responsabilidades y autoridades La alta dirección debe asegurarse de que las responsabilidades y autoridades para las funciones pertinentes a la seguridad de información se asignen y se comuniquen.
IV. La ISO 27002:2013 Ing. Manuel Collazos Balaguer 21 PRIME PROFESIONAL
ISO 27002:2005 Y LA ISO 27002:2013 Ing. Manuel Collazos Balaguer 22 PRIME PROFESIONAL 5. Política de Seguridad de la Información 6. Organización de la Seguridad de la Información 7. Gestión de activos 8. Seguridad de los Recursos Humanos 9. Seguridad física y del entorno 10. Gestión de comunicaciones y operaciones 11. Control de acceso 12. Adquisición, desarrollo y mantenimiento en sistemas de información 13. Gestión de incidentes de S.I. 14. Gestión de continuidad de negocio 15. Cumplimiento 5. Política de Seguridad de la Información 6. Organización de la Seguridad de la Información 7. Seguridad de los Recursos Humanos 8. Gestión de activos 9. Control de acceso 10. Criptografía 11. Seguridad física y del entorno 12. Seguridad en la operaciones 13. Seguridad de las comunicaciones 14. Adquisición, desarrollo y mantenimiento de los sistemas 15. Relación con los proveedores 16. Gestión de incidentes de S.I. 17. Los aspectos de la S.I. en la G.C.N. 18. Cumplimiento
ISO 27002:2005 Y LA ISO 27002:2013 Ing. Manuel Collazos Balaguer 23 PRIME PROFESIONAL ISO 27002:2005 ISO 27002:2013 11 Clausulas de controles de seguridad de la información 14 Clausulas de controles de seguridad de la información 39 Categorías de control 35 Categorías de control 133 controles 111 controles 21 controles borrados 14 nuevos controles Cerca de 20 controles fuertemente revisados Mas de 30 controles actualizados Varios controles fusionados
ISO 27002:2005 Y LA ISO 27002:2013 Ing. Manuel Collazos Balaguer 24 PRIME PROFESIONAL Controles eliminados Controles nuevos 6 .1.2 Coordinador de seguridad de la información 6.1.5 Seguridad de la información en la gestión de proyectos 10.4.2 Control de código móvil 12.6.2 Restricciones en la instalación de software 11.4.2 Autenticación de usuarios en las conexiones externas 14.2.5 Principios en Ingeniería de seguridad de los sistemas 11.4.4 Diagnostico remoto y protección de la configuración de los puertos 14.2.8 Prueba de la seguridad de los sistemas 11.4.6 Control de las conexiones de las redes 17.1.2 Implementar la continuidad de la seguridad de la información 12.2.2 Control en el procesamiento interno 15.1.3 Tecnología de información y comunicación en la cadena de suministro
V. Conclusiones Ing. Manuel Collazos Balaguer 25 PRIME PROFESIONAL
CONCLUSIONES Ing. Manuel Collazos Balaguer 26 PRIME PROFESIONAL Se nos viene un gran reto en la gestión de la seguridad de la información con la nueva ISO 27001:2013 Los conceptos que debemos reforzar: Partes interesadas, Liderazgo, Sensibilización, Comunicación, Capacidades, Propietario del riesgo, Activos, Gestión de Riesgos y Oportunidades, entre otros. Se tiene un año para las empresas certificadas en adaptar este nueva versión de la ISO 27001:2013 La ISO 27003, 27004 y 27005 deben asumir nuevos roles bajo la óptica de la ISO 27001:2013 La ISO 27002:2013 tiene menos controles en cantidad y en método hay menos controles tecnológicos, adicionalmente se cuentan con políticas de control mas claras. Las empresas que han realizado el esfuerzo de implementar la ISO 27001:2005, deben tomar estrategias para alinear su implementación a la ISO 27001:2013
27 Muchas Gracias por su atención! Ing. Manuel Collazos Balaguer MASTER IMPLEMENTADOR Y AUDITOR LIDER ISO 27001, AUDITOR LIDER BS 25999 IMPLEMENTADOR LIDER ISO 22301 manuel.collazos@prime.pe Calles Las Begonias 52839 Lince. Lima – Perú. Central: (511) 222-1249 Directo: (511) 222-1249 Fax: (511) 273-2501 Celular: (511) 998-117-438 www.prime.pe www.capacitacionprime.pe

Empfohlen

Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
Marvin Zumbado
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Yango Alexander Colmenares
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
George Gaviria
 
ISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools Chile
ISOTools Chile
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001
Brayan A. Sanchez
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor
 
Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002
Silvia Nevarez
 

Empfohlen

Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
Marvin Zumbado
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Yango Alexander Colmenares
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
George Gaviria
 
ISO 27001 ISOTools Chile
ISO 27001 ISOTools ChileISO 27001 ISOTools Chile
ISO 27001 ISOTools Chile
ISOTools Chile
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001
Brayan A. Sanchez
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor
 
Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002
Silvia Nevarez
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
Pedro Garcia Repetto
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013
Maricarmen García de Ureña
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Gestión de la Calidad de UTN BA
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
Jhonny Willians Franco Delgado
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
JonathanBlas
 
Primer Dominio ISO 27002
Primer Dominio ISO 27002Primer Dominio ISO 27002
Primer Dominio ISO 27002
Alex Díaz
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
U.N.S.C
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
José María Apellidos
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
Alexander Calderón
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
Eurohelp Consulting
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present final
JABERO241
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
krn kdna cadena
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
jdrojassi
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014
Ricardo Urbina Miranda
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
ascêndia reingeniería + consultoría
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Manuel Garcia Ramos
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
Yadi De La Cruz
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
Melvin Jáquez
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaAuditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Maricarmen García de Ureña
 

Weitere ähnliche Inhalte

Was ist angesagt?

Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013
Maricarmen García de Ureña
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
JonathanBlas
 
Primer Dominio ISO 27002
Primer Dominio ISO 27002Primer Dominio ISO 27002
Primer Dominio ISO 27002
Alex Díaz
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present final
JABERO241
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
jdrojassi
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014
Ricardo Urbina Miranda
 

Was ist angesagt? (20)

AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
 
Primer Dominio ISO 27002
Primer Dominio ISO 27002Primer Dominio ISO 27002
Primer Dominio ISO 27002
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present final
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 

Andere mochten auch

Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaAuditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Maricarmen García de Ureña
 
Reglamento a la ley general de aduanas 17 nov. 2011
Reglamento a la ley general de aduanas 17 nov. 2011Reglamento a la ley general de aduanas 17 nov. 2011
Reglamento a la ley general de aduanas 17 nov. 2011
Fede1963
 
Ley general de aduanas sept. 2011
Ley general de aduanas sept. 2011Ley general de aduanas sept. 2011
Ley general de aduanas sept. 2011
Fede1963
 

Andere mochten auch (20)

ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaAuditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
 
SISTEMAS DE GETION DE CONTINUIDAD DEL NEGOCIO ISO 22301
SISTEMAS DE GETION DE CONTINUIDAD DEL NEGOCIO ISO 22301SISTEMAS DE GETION DE CONTINUIDAD DEL NEGOCIO ISO 22301
SISTEMAS DE GETION DE CONTINUIDAD DEL NEGOCIO ISO 22301
 
BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...
BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...
BSI Mario Ureña ISO22301 Mejores Prácticas de Continuidad del Negocio - Sem...
 
PECB Webinar: Estructura de la norma ISO 22301:2012. Un enfoque estratégico.
PECB Webinar: Estructura de la norma ISO 22301:2012. Un enfoque estratégico.PECB Webinar: Estructura de la norma ISO 22301:2012. Un enfoque estratégico.
PECB Webinar: Estructura de la norma ISO 22301:2012. Un enfoque estratégico.
 
Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...
Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...
Latin CACS 2013 - Caso práctico para la ejecución de un análisis de impacto a...
 
ISO 22301 Seguridad de las sociedades- Continuidad del negocio
ISO 22301 Seguridad de las sociedades- Continuidad del negocioISO 22301 Seguridad de las sociedades- Continuidad del negocio
ISO 22301 Seguridad de las sociedades- Continuidad del negocio
 
Iso 27001 actualización versión 2013
Iso 27001 actualización versión 2013Iso 27001 actualización versión 2013
Iso 27001 actualización versión 2013
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
 
Presentación Corporativa 2014 AUDEA SEGURIDAD DE LA INFORMACION
Presentación Corporativa 2014 AUDEA SEGURIDAD DE LA INFORMACIONPresentación Corporativa 2014 AUDEA SEGURIDAD DE LA INFORMACION
Presentación Corporativa 2014 AUDEA SEGURIDAD DE LA INFORMACION
 
Iso 14001 2015 estructura de alto nivel
Iso 14001 2015 estructura de alto nivelIso 14001 2015 estructura de alto nivel
Iso 14001 2015 estructura de alto nivel
 
Reglamento a la ley general de aduanas 17 nov. 2011
Reglamento a la ley general de aduanas 17 nov. 2011Reglamento a la ley general de aduanas 17 nov. 2011
Reglamento a la ley general de aduanas 17 nov. 2011
 
Ley general de aduanas sept. 2011
Ley general de aduanas sept. 2011Ley general de aduanas sept. 2011
Ley general de aduanas sept. 2011
 
Ficha informativa - ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la ...
Ficha informativa - ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la ...Ficha informativa - ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la ...
Ficha informativa - ISO/IEC 27001:2013 Sistema de Gestión de Seguridad de la ...
 
Iso 27000 evolución oct2015
Iso 27000 evolución oct2015Iso 27000 evolución oct2015
Iso 27000 evolución oct2015
 
Tema 1-introduccion-pl
Tema 1-introduccion-plTema 1-introduccion-pl
Tema 1-introduccion-pl
 
Virus informáticos
Virus informáticosVirus informáticos
Virus informáticos
 
Sesion general 09 mario ureña iso22301
Sesion general 09 mario ureña iso22301Sesion general 09 mario ureña iso22301
Sesion general 09 mario ureña iso22301
 
La experiencia de certificación según iso 30301
La experiencia de certificación según iso 30301La experiencia de certificación según iso 30301
La experiencia de certificación según iso 30301
 
Continuidad de negocio usando Software libre
Continuidad de negocio usando Software libreContinuidad de negocio usando Software libre
Continuidad de negocio usando Software libre
 

Ähnlich wie Presentacion manuel collazos_-_1

01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
CAELUM-CMMI
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocio
Fabián Descalzo
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031
Maricarmen García de Ureña
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)
Xiva Sandoval
 

Ähnlich wie Presentacion manuel collazos_-_1 (20)

I foro de gestión pymes software - Aenor
I foro de gestión pymes software - AenorI foro de gestión pymes software - Aenor
I foro de gestión pymes software - Aenor
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
ii
iiii
ii
 
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
 
Auditoria
AuditoriaAuditoria
Auditoria
 
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
2016davidbenitez.pdf
2016davidbenitez.pdf2016davidbenitez.pdf
2016davidbenitez.pdf
 
Is
IsIs
Is
 
Aplicaciones_informaticas_para_la_consulta.pdf
Aplicaciones_informaticas_para_la_consulta.pdfAplicaciones_informaticas_para_la_consulta.pdf
Aplicaciones_informaticas_para_la_consulta.pdf
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocio
 
WEBINAR: ISO 37001 - ¿PROGRAMA DE INTEGRIDAD O SISTEMA DE GESTIÓN ANTISOBORNO?
WEBINAR: ISO 37001 - ¿PROGRAMA DE INTEGRIDAD O SISTEMA DE GESTIÓN ANTISOBORNO?WEBINAR: ISO 37001 - ¿PROGRAMA DE INTEGRIDAD O SISTEMA DE GESTIÓN ANTISOBORNO?
WEBINAR: ISO 37001 - ¿PROGRAMA DE INTEGRIDAD O SISTEMA DE GESTIÓN ANTISOBORNO?
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsEl modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICs
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031
 
Pack Formativo Calidad TIC
Pack Formativo Calidad TICPack Formativo Calidad TIC
Pack Formativo Calidad TIC
 
Trabajo final isos
Trabajo final isosTrabajo final isos
Trabajo final isos
 
Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)Resumen de estandares (sistemas de calidad en ti)
Resumen de estandares (sistemas de calidad en ti)
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 

Kürzlich hochgeladen

Encuesta Expectativas - Informe Mayo 2024.pdf
Encuesta Expectativas - Informe Mayo 2024.pdfEncuesta Expectativas - Informe Mayo 2024.pdf
Encuesta Expectativas - Informe Mayo 2024.pdf
EXANTE
 
Presentación Seccion 5 -Estado de Resultado Integral y Estado de Resultados.pptx
Presentación Seccion 5 -Estado de Resultado Integral y Estado de Resultados.pptxPresentación Seccion 5 -Estado de Resultado Integral y Estado de Resultados.pptx
Presentación Seccion 5 -Estado de Resultado Integral y Estado de Resultados.pptx
JulissaValderramos
 
Fichas de Letras para nivel primario buenísimo
Fichas de Letras para nivel primario buenísimoFichas de Letras para nivel primario buenísimo
Fichas de Letras para nivel primario buenísimo
ValentinaMolero
 
tad22.pdf sggwhqhqt1vbwju2u2u1jwy2jjqy1j2jqu
tad22.pdf sggwhqhqt1vbwju2u2u1jwy2jjqy1j2jqutad22.pdf sggwhqhqt1vbwju2u2u1jwy2jjqy1j2jqu
tad22.pdf sggwhqhqt1vbwju2u2u1jwy2jjqy1j2jqu
iceokey158
 
Doctrina y Filosofía contable - Epistemología contable, fundamentos, conceptu...
Doctrina y Filosofía contable - Epistemología contable, fundamentos, conceptu...Doctrina y Filosofía contable - Epistemología contable, fundamentos, conceptu...
Doctrina y Filosofía contable - Epistemología contable, fundamentos, conceptu...
lucerito39
 
PARADIGMA 1.docx paradicma g vmjhhhhhhhhhhhhhhhhhhhhhhh
PARADIGMA 1.docx paradicma g vmjhhhhhhhhhhhhhhhhhhhhhhhPARADIGMA 1.docx paradicma g vmjhhhhhhhhhhhhhhhhhhhhhhh
PARADIGMA 1.docx paradicma g vmjhhhhhhhhhhhhhhhhhhhhhhh
angelorihuela4
 

Kürzlich hochgeladen (20)

Seguridad Ciudadana.pptx situación actual del país
Seguridad Ciudadana.pptx situación actual del paísSeguridad Ciudadana.pptx situación actual del país
Seguridad Ciudadana.pptx situación actual del país
 
Que son y los tipos de costos predeterminados
Que son y los tipos de costos predeterminadosQue son y los tipos de costos predeterminados
Que son y los tipos de costos predeterminados
 
AUDITORÍA FINANCIERAS AL ELEMENTO 5 DEL PCGE
AUDITORÍA FINANCIERAS AL ELEMENTO 5 DEL PCGEAUDITORÍA FINANCIERAS AL ELEMENTO 5 DEL PCGE
AUDITORÍA FINANCIERAS AL ELEMENTO 5 DEL PCGE
 
CHARLA SOBRE CONTROL INTERNO - COSO III.pptx
CHARLA SOBRE CONTROL INTERNO - COSO III.pptxCHARLA SOBRE CONTROL INTERNO - COSO III.pptx
CHARLA SOBRE CONTROL INTERNO - COSO III.pptx
 
Tema 1 de la asignatura Sistema Fiscal Español I
Tema 1 de la asignatura Sistema Fiscal Español ITema 1 de la asignatura Sistema Fiscal Español I
Tema 1 de la asignatura Sistema Fiscal Español I
 
Encuesta Expectativas - Informe Mayo 2024.pdf
Encuesta Expectativas - Informe Mayo 2024.pdfEncuesta Expectativas - Informe Mayo 2024.pdf
Encuesta Expectativas - Informe Mayo 2024.pdf
 
Presentación Seccion 5 -Estado de Resultado Integral y Estado de Resultados.pptx
Presentación Seccion 5 -Estado de Resultado Integral y Estado de Resultados.pptxPresentación Seccion 5 -Estado de Resultado Integral y Estado de Resultados.pptx
Presentación Seccion 5 -Estado de Resultado Integral y Estado de Resultados.pptx
 
Fichas de Letras para nivel primario buenísimo
Fichas de Letras para nivel primario buenísimoFichas de Letras para nivel primario buenísimo
Fichas de Letras para nivel primario buenísimo
 
Cuadro Comparativo selección proveedores
Cuadro Comparativo selección proveedoresCuadro Comparativo selección proveedores
Cuadro Comparativo selección proveedores
 
Guia appto bancor para creditos inmobiliarios en Cordoba
Guia appto bancor para creditos inmobiliarios en CordobaGuia appto bancor para creditos inmobiliarios en Cordoba
Guia appto bancor para creditos inmobiliarios en Cordoba
 
tad22.pdf sggwhqhqt1vbwju2u2u1jwy2jjqy1j2jqu
tad22.pdf sggwhqhqt1vbwju2u2u1jwy2jjqy1j2jqutad22.pdf sggwhqhqt1vbwju2u2u1jwy2jjqy1j2jqu
tad22.pdf sggwhqhqt1vbwju2u2u1jwy2jjqy1j2jqu
 
Procedimientos Concursales y Disoluciones
Procedimientos Concursales y DisolucionesProcedimientos Concursales y Disoluciones
Procedimientos Concursales y Disoluciones
 
Tratados de libre comercio de Ecuador con México
Tratados de libre comercio de Ecuador con MéxicoTratados de libre comercio de Ecuador con México
Tratados de libre comercio de Ecuador con México
 
Presentación Seccion 6 - Estado de cambios en el patrimonio y estado de resul...
Presentación Seccion 6 - Estado de cambios en el patrimonio y estado de resul...Presentación Seccion 6 - Estado de cambios en el patrimonio y estado de resul...
Presentación Seccion 6 - Estado de cambios en el patrimonio y estado de resul...
 
COMPRENSION HISTORICA DEL IMPACTO DEL CAPITALISMO EN LA ECONOMIA DE VENEZUELA...
COMPRENSION HISTORICA DEL IMPACTO DEL CAPITALISMO EN LA ECONOMIA DE VENEZUELA...COMPRENSION HISTORICA DEL IMPACTO DEL CAPITALISMO EN LA ECONOMIA DE VENEZUELA...
COMPRENSION HISTORICA DEL IMPACTO DEL CAPITALISMO EN LA ECONOMIA DE VENEZUELA...
 
Doctrina y Filosofía contable - Epistemología contable, fundamentos, conceptu...
Doctrina y Filosofía contable - Epistemología contable, fundamentos, conceptu...Doctrina y Filosofía contable - Epistemología contable, fundamentos, conceptu...
Doctrina y Filosofía contable - Epistemología contable, fundamentos, conceptu...
 
GESTIÓN DE LOS RECURSOS DEL PROYECTO.pdf
GESTIÓN DE LOS RECURSOS DEL PROYECTO.pdfGESTIÓN DE LOS RECURSOS DEL PROYECTO.pdf
GESTIÓN DE LOS RECURSOS DEL PROYECTO.pdf
 
Marco conceptual para la información financiera.pdf
Marco conceptual para la información financiera.pdfMarco conceptual para la información financiera.pdf
Marco conceptual para la información financiera.pdf
 
PARADIGMA 1.docx paradicma g vmjhhhhhhhhhhhhhhhhhhhhhhh
PARADIGMA 1.docx paradicma g vmjhhhhhhhhhhhhhhhhhhhhhhhPARADIGMA 1.docx paradicma g vmjhhhhhhhhhhhhhhhhhhhhhhh
PARADIGMA 1.docx paradicma g vmjhhhhhhhhhhhhhhhhhhhhhhh
 
TEMA: LA DEMANDA , LA OFERTA Y EL PUNTO DE EQUILIBRIO.pdf
TEMA: LA DEMANDA , LA OFERTA Y EL PUNTO DE EQUILIBRIO.pdfTEMA: LA DEMANDA , LA OFERTA Y EL PUNTO DE EQUILIBRIO.pdf
TEMA: LA DEMANDA , LA OFERTA Y EL PUNTO DE EQUILIBRIO.pdf
 

Presentacion manuel collazos_-_1

  • 1. Ing. Manuel Collazos Balaguer 1 PRIME PROFESIONAL Auspicia:
  • 2. Ing. Manuel Collazos Balaguer 2 PRIME PROFESIONAL
  • 3. AGENDA Ing. Manuel Collazos Balaguer 3 PRIME PROFESIONAL I. ¿Qué es la ISO? II. La nueva estructura ISO 27001:2013. III. Nuevos conceptos. IV. La ISO 27002:2013. V. Conclusiones
  • 4. I. ¿Qué es la ISO? Ing. Manuel Collazos Balaguer 4 PRIME PROFESIONAL
  • 5. La ISO y sus principios de gestión Ing. Manuel Collazos Balaguer 5 PRIME PROFESIONAL Es una federación mundial de organismos nacionales de normalización alrededor de 160 países, trabajan a nivel de Comités Técnicos, tienen al menos 19,000 estándares publicados desde 1947 (creación), 1951 (publicación). Trabaja en función a 8 principios de gestión: 1. Orientación al cliente. 2. Liderazgo. 3. Participación del personal. 4. Enfoque de procesos. 5. Enfoque de sistemas de gestión. 6. Mejora Continua. 7. Enfoque de mejora continua. 8. Relación mutuamente beneficiosa con el proveedor.
  • 6. La ISO y sus estándares Ing. Manuel Collazos Balaguer 6 PRIME PROFESIONAL Incremento de la demanda en las empresas por implementar sistema de gestión estandares (ISO 9001, ISO 27001, ISO 22301, ISO 20000 otras). Los estandares ISO son aplicables a cualquier tipo y tamaño de empresa. (Source: iso.org)
  • 7. La ISO y como nace la ISO 27001:2013 Ing. Manuel Collazos Balaguer 7 PRIME PROFESIONAL Causas: Los estandres ISO se revisan cada 4 o 5 años. Los controles de la ISO 27002 muchos son obsoletos. La necesidad de integrar los sistemas de gestión (Anexo SL, PAS 99). Historia:  El proyecto nace con la aprobación de un articulo en el New Work Item (NWI) el 19 de mayo 2009.  Lo primeros 3 borradores de trabajo conservan la estructura de 1ra edición.  La estructura común y el texto básico actual aplican al draft 4 en oposición de varios organismos nacionales.  El 2012-02-15 el Consejo de Gestión Técnica de ISO (TMB) decidió que la norma ISO 27001 tiene que seguir la nueva estructura, unificado, pero que las desviaciones justificadas se admiten.  La alianza para elevar el nivel de abstracción se logró  La alianza para dejar caer la Declaración de aplicabilidad falló.  Los intentos para matar el proyecto hasta el final fracasaron.
  • 8. II. La nueva estructura de la ISO 27001:2013 Ing. Manuel Collazos Balaguer 8 PRIME PROFESIONAL BS 7779-21998 BS-7799-12002 ISO/IEC 27001:20052005 ISO/IEC 27001:20132013
  • 9. ANEXO SL Ing. Manuel Collazos Balaguer 9 PRIME PROFESIONAL INTEGRAR LAS NORMAS Y TERMINOS COMUNES •ISO 30301:2011, Información y documentación - Sistemas de gestión de documentos - Requisitos (armonizado con el anexo SL) •ISO 22301:2012, la seguridad societaria - Los sistemas de gestión de continuidad de negocio - Requisitos (armonizado con el anexo SL) •ISO 20121:2012, sistemas de gestión de la sostenibilidad de eventos - Requisitos con orientación para su uso (armonizado con el anexo SL •ISO 27001:2013, sistemas de gestión de la seguridad de la información. Fuente Anexo SL
  • 10. ISO 27001:2005 Y LA 27001:2013 Ing. Manuel Collazos Balaguer 10 PRIME PROFESIONAL 1. Introducción 2. Objeto 3. Referencias Normativas 4. Contexto de la Organización 5. Liderazgo 6. Planificación 7. Soporte 8. Operación 9. Evaluación del desempeño 10. Mejora 1. Introducción 2. Objeto 3. Referencias Normativas 4. Sistema de Gestión de la Seguridad de la Información 4.1 General 4.2 SGSI 4.2.1 Establecer 4.2.2 Implementar y Operar 4.2.3 Monitorear y Revisar 4.2.4 Mantener y Mejorar 4.3 Documentar 5. Responsabilidad de la Dirección 6. Auditoría Interna 7. Revisión de la Dirección 8. Mejora
  • 11. VENTAJAS Y DESVENTAJAS Ing. Manuel Collazos Balaguer 11 PRIME PROFESIONAL VENTAJAS DESVENTAJAS Facilita la integración de los sistemas de gestión, debido a que es una estructura de alto nivel, donde los términos y definiciones ayudan a implementar. Es una abstracción y es un nivel alto, no es tan detallado. Todas las definiciones vienen del estándar ISO 27000 y las inconsistencias se han removido. Los requisitos son un tanto mas difícil para interpretar, debido a los nuevos conceptos. Los riesgos en la seguridad de la información en su conjunto deben ser abordados. No se menciona el enfoque PDCA. Los documentos requeridos están claramente establecidos, hace referencia al tamaño y complejidad. No se menciona las políticas del SGSI. Menciona que las acciones preventivas no van. No hay una descripción detallada de la identificación del riesgo.
  • 12. ALGUNOS DATOS Ing. Manuel Collazos Balaguer 12 PRIME PROFESIONAL ISO 27001:2013 ISO 27001:2005 7 CLAUSULAS: La mas resaltante es el contexto de la organización. 5 CLAUSULAS: 154 requerimiento 178 requerimientos 32 nuevos requerimientos El anexo A tiene 14 categorías de control (del 5 al 18) El anexo A tiene 11 categorías de control (del 5 al 15) Menciona a la ISO 31000 en la clausula 6.1 Acciones para la dirección de riesgos y oportunidades No menciona la ISO 31000 u otro estándar.
  • 13. NUEVOS REQUERIMIENTOS Ing. Manuel Collazos Balaguer 13 PRIME PROFESIONAL 4.2 Entendiendo las necesidades y expectativas de las partes interesadas. 4.3 Determinar los objetivos del SGSI. 5.1 Liderazgo y compromiso. 6.1 Acciones para direccionar los riesgos y las oportunidades. 6.2 Los objetivos de seguridad de la información y la planificación para alcanzarlos. 7.3 Sensibilización. 7.4 Comunicación. 7.5 Información documentada. 8.1 Planificación y control operativo. 9.1 Seguimiento, medición, análisis y evaluación. 9.3 Revisión de la Dirección. 10.1 No-conformidades y acciones correctivas.
  • 14. III. Nuevos conceptos Ing. Manuel Collazos Balaguer 14 PRIME PROFESIONAL
  • 15. La información es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. Para sus actividades diarias, operaciones de su trabajo, para cumplir con sus funciones, el cual puede equivocarse o no, o hacer el bien o el mal. La información tienen estructura que modificará las sucesivas interacciones del ente que posee dicha información con su entorno. Ing. Manuel Collazos Balaguer 15 PRIME PROFESIONAL Las cuentas bancarias, estados de cuenta, deuda tributaria, resultados de análisis clínicos, configuración de un equipo de red, códigos de un sistema, tipo de cambio, la propuesta técnica y económica, estado financiero, el CV, la compra de una empresa, las imágenes de una cámara, los sueldos, correos, grabación de un teléfono, logs de auditoría, contratos, examen de admisión, identificación, resultados electorales, la comunicación telefónica, … ¿Qué es Información?
  • 16. La información es un recurso que, como el resto de los activos, tiene valor para una organización y por consiguiente debe ser debidamente protegida. La seguridad de la información protege ésta de una amplia gama de amenazas, a fin de garantizar la continuidad del negocio, minimizar el daño al mismo y maximizar el retorno sobre las inversiones y las oportunidades. La información puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por un medio electrónico, presentada en imágenes, o expuesta en una conversación. Cualquiera sea la forma que adquiere la información, o los medios por los cuales se distribuye o almacena, siempre debe ser protegida en forma adecuada. Ing. Manuel Collazos Balaguer 16 PRIME PROFESIONAL ¿Qué es Seguridad de la Información?
  • 17. ACTIVOS Ing. Manuel Collazos Balaguer 17 PRIME PROFESIONAL ISO 27002:2013 Clausula 8.1 Activos relacionados con las instalaciones de procesamiento de información y la información deben ser identificados y un inventario de los activos deberá estar redactado y mantenido. Activo Activo Primario Información Procesos Activo de Soporte Hardware, Software, Redes, Personal, Sitio, Servicios
  • 18. PARTES INTERESADAS Ing. Manuel Collazos Balaguer 18 PRIME PROFESIONAL ISO 27001:2013 Clausula 4.2 Entendiendo las necesidades y expectativas de las partes interesadas a) las partes interesadas que son relevantes para el sistema de gestión de seguridad de la información, y b) los requisitos de estas partes interesadas pertinentes a la seguridad de la información. Mis contribuyentes requieren que les brinde buenos servicios en el municipio Los servicios de limpieza publica, infraestructura urbana, parque y jardines y seguridad ciudadana tienen que ser de calidad Los procesos que soportan esos servicios deben ser mejorados La información de esos procesos debe ser confiable, integra y disponible para las tomas de decisiones
  • 19. RIESGOS Ing. Manuel Collazos Balaguer 19 PRIME PROFESIONAL ISO 27001:2013 Clausula 6.1.2 Evaluación de los riesgos de la seguridad de la información. c) identifica los riesgos de seguridad de la información: 1) aplicar el proceso de evaluación de riesgos de seguridad de información para identificar los riesgos asociados a la pérdida de la confidencialidad, integridad y disponibilidad de la información en el ámbito del sistema de gestión de la seguridad de información, y 2) identificar a los propietarios de los riesgos;
  • 20. LIDERAZGO Ing. Manuel Collazos Balaguer 20 PRIME PROFESIONAL ISO 27001:2013 Clausula 5.3 Roles de organización, responsabilidades y autoridades La alta dirección debe asegurarse de que las responsabilidades y autoridades para las funciones pertinentes a la seguridad de información se asignen y se comuniquen.
  • 21. IV. La ISO 27002:2013 Ing. Manuel Collazos Balaguer 21 PRIME PROFESIONAL
  • 22. ISO 27002:2005 Y LA ISO 27002:2013 Ing. Manuel Collazos Balaguer 22 PRIME PROFESIONAL 5. Política de Seguridad de la Información 6. Organización de la Seguridad de la Información 7. Gestión de activos 8. Seguridad de los Recursos Humanos 9. Seguridad física y del entorno 10. Gestión de comunicaciones y operaciones 11. Control de acceso 12. Adquisición, desarrollo y mantenimiento en sistemas de información 13. Gestión de incidentes de S.I. 14. Gestión de continuidad de negocio 15. Cumplimiento 5. Política de Seguridad de la Información 6. Organización de la Seguridad de la Información 7. Seguridad de los Recursos Humanos 8. Gestión de activos 9. Control de acceso 10. Criptografía 11. Seguridad física y del entorno 12. Seguridad en la operaciones 13. Seguridad de las comunicaciones 14. Adquisición, desarrollo y mantenimiento de los sistemas 15. Relación con los proveedores 16. Gestión de incidentes de S.I. 17. Los aspectos de la S.I. en la G.C.N. 18. Cumplimiento
  • 23. ISO 27002:2005 Y LA ISO 27002:2013 Ing. Manuel Collazos Balaguer 23 PRIME PROFESIONAL ISO 27002:2005 ISO 27002:2013 11 Clausulas de controles de seguridad de la información 14 Clausulas de controles de seguridad de la información 39 Categorías de control 35 Categorías de control 133 controles 111 controles 21 controles borrados 14 nuevos controles Cerca de 20 controles fuertemente revisados Mas de 30 controles actualizados Varios controles fusionados
  • 24. ISO 27002:2005 Y LA ISO 27002:2013 Ing. Manuel Collazos Balaguer 24 PRIME PROFESIONAL Controles eliminados Controles nuevos 6 .1.2 Coordinador de seguridad de la información 6.1.5 Seguridad de la información en la gestión de proyectos 10.4.2 Control de código móvil 12.6.2 Restricciones en la instalación de software 11.4.2 Autenticación de usuarios en las conexiones externas 14.2.5 Principios en Ingeniería de seguridad de los sistemas 11.4.4 Diagnostico remoto y protección de la configuración de los puertos 14.2.8 Prueba de la seguridad de los sistemas 11.4.6 Control de las conexiones de las redes 17.1.2 Implementar la continuidad de la seguridad de la información 12.2.2 Control en el procesamiento interno 15.1.3 Tecnología de información y comunicación en la cadena de suministro
  • 25. V. Conclusiones Ing. Manuel Collazos Balaguer 25 PRIME PROFESIONAL
  • 26. CONCLUSIONES Ing. Manuel Collazos Balaguer 26 PRIME PROFESIONAL Se nos viene un gran reto en la gestión de la seguridad de la información con la nueva ISO 27001:2013 Los conceptos que debemos reforzar: Partes interesadas, Liderazgo, Sensibilización, Comunicación, Capacidades, Propietario del riesgo, Activos, Gestión de Riesgos y Oportunidades, entre otros. Se tiene un año para las empresas certificadas en adaptar este nueva versión de la ISO 27001:2013 La ISO 27003, 27004 y 27005 deben asumir nuevos roles bajo la óptica de la ISO 27001:2013 La ISO 27002:2013 tiene menos controles en cantidad y en método hay menos controles tecnológicos, adicionalmente se cuentan con políticas de control mas claras. Las empresas que han realizado el esfuerzo de implementar la ISO 27001:2005, deben tomar estrategias para alinear su implementación a la ISO 27001:2013
  • 27. 27 Muchas Gracias por su atención! Ing. Manuel Collazos Balaguer MASTER IMPLEMENTADOR Y AUDITOR LIDER ISO 27001, AUDITOR LIDER BS 25999 IMPLEMENTADOR LIDER ISO 22301 manuel.collazos@prime.pe Calles Las Begonias 52839 Lince. Lima – Perú. Central: (511) 222-1249 Directo: (511) 222-1249 Fax: (511) 273-2501 Celular: (511) 998-117-438 www.prime.pe www.capacitacionprime.pe