SlideShare una empresa de Scribd logo

Normas iso-27000

Descargar como PPTX, PDF
Pedhro Acuario
Pedhro Acuario
1 de 29
COMPUTACION E INFORMATICA MONTALVO GASTELO PEDRO DOCENTE: Ing. BRUNO SARMIENTO JOSE CICLO: IV-2013
NORMA ISO 27000 ¿?  ISO/IEC 27000 es un conjunto de estándares desarrollados en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
ORIGEN  Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution, la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes normas como:  - BS 5750. Publicada en 1979. Origen de ISO 9001  - BS 7750. Publicada en 1992. Origen de ISO 14001  - BS 8800. Publicada en 1996. Origen de OHSAS 18001
 La norma BS 7799 de BSI apareció por primera vez en 1995.  La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no se establecía un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998.  Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.  En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.  En 2005, con más de 1700 empresas certificadas en BS 7799-2, esta norma se publicó por ISO, con algunos cambios, como estándar ISO 27001. Al tiempo se revisó y actualizó ISO 17799.  Esta última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión.
CONTENIDO En esta sección se hace un breve resumen del contenido de las principales normas de la serie 27000 ya publicadas.
ISO/IEC 27000:  Publicada el 1 de Mayo de 2009 y revisada con una segunda edición de 01 de Diciembre de 2012. Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información,
 ISO/IEC 27001:  Publicada el 15 de Octubre de 2005 . Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones.
ISO/IEC 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. ISO/IEC 27003: Publicada el 01 de Febrero de 2010. No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI
ISO/IEC 27004: Publicada el 15 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001. ISO/IEC 27005: Publicada en segunda edición el 1 de Junio de 2011 (primera edición del 15 de Junio de 2008). No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información.
ISO/IEC 27006: Publicada en segunda edición el 1 de Diciembre de 2011 (primera edición del 1 de Marzo de 2007). Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información ISO/IEC 27007: Publicada el 14 de Noviembre de 2011. No certificable. Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011. Es una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI. • ISO/IEC 27010: Publicada el 20 de Octubre de 2012. Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores.
ISO/IEC 27011: Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. • ISO/IEC 27013: Publicada el 15 de Octubre de 2012. Es una guía de implementación integrada de ISO/IEC • ISO/IEC 27014: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de gobierno corporativo de la seguridad de la información.
ISO/IEC TR 27015: Publicada el 23 de Noviembre de 2012. Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002. • ISO/IEC TR 27016: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de valoración de los aspectos financieros de la seguridad de la información. • ISO/IEC TS 27017: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de seguridad para Cloud Computing.
ISO/IEC 27018: En fase de desarrollo, con publicación prevista en 2013. Consistirá en un código de buenas prácticas en controles de protección de datos para servicios de computación en cloud computing. • ISO/IEC TR 27019: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía con referencia a ISO/IEC 27002 para el proceso de control de sistemas específicos al sector de la industria de la energía. • ISO/IEC 27031: Publicada el 01 de Marzo de 2011. No certificable. Es una guía de apoyo para la adecuación de las tecnologías de información y comunicación (TIC) de una organización para la continuidad del negocio. El documento toma como referencia el estándar BS 25777.
ISO/IEC 27032: Publicada el 16 de Julio de 2012. Proporciona orientación para la mejora del estado de seguridad cibernética, extrayendo los aspectos únicos de esa actividad y de sus dependencias en otros dominios de seguridad. Esta norma establece una descripción general de Seguridad Cibernética. • ISO/IEC 27033: Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033- 1, conceptos generales (publicada el 15 de Diciembre de 2009 aseguramiento de las comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista para 2013); 27033-6, convergencia IP (prevista para 2013); 27033-7, redes inalámbricas (prevista para 2013).
ISO/IEC 27034: Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informáticas, consistente en 5 partes: 27034-1. • ISO/IEC 27035: Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la gestión de incidentes de seguridad en la información. En España, no está traducida. • ISO/IEC 27036: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visión general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC; 27036-4, seguridad en outsourcing (externalización de servicios).
ISO/IEC 27037: Publicada el 15 de Octubre de 2012. Es una guía que proporciona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil. • ISO/IEC 27038: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de especificación para seguridad en la redacción digital. • ISO/IEC 27039: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía para la selección, despliegue y operativa de sistemas de detección y prevención de intrusión (IDS/IPS). • ISO/IEC 27040: En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía para la seguridad en medios de almacenamiento. • ISO/IEC 27041: En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía para la garantizar la idoneidad y adecuación de los métodos de investigación.
ISO/IEC 27042: En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía con directrices para el análisis e interpretación de las evidencias digitales. • ISO/IEC 27043: En fase de desarrollo, con publicación prevista no antes de 2014. Desarrollará principios y procesos de investigación. • ISO/IEC 27044: En fase de desarrollo, con publicación prevista no antes de 2014. Gestión de eventos y de la seguridad de la información - Security Information and Event Management (SIEM). • ISO 27799: Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes.
BENEFICIOS • Establecimiento de una metodología de gestión de la seguridad clara y estructurada. • Reducción del riesgo de pérdida, robo o corrupción de información. • Los clientes tienen acceso a la información a través medidas de seguridad. • Los riesgos y sus controles son continuamente revisados. • Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial. • Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar. • Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…). • Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. • Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras. • Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. • Confianza y reglas claras para las personas de la organización. • Reducción de costes y mejora de los procesos y servicio. • Aumento de la motivación y satisfacción del personal. • Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.
COMO ADAPTARSE
ARRANQUE DEL PROYECTO • Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización. • Planificación, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.
ASPECTOS CLAVES Fundamentales • Compromiso y apoyo de la Dirección de la organización. • Definición clara de un alcance apropiado. • Concienciación y formación del personal. • Evaluación de riesgos adecuada a la organización. • Compromiso de mejora continua. • Establecimiento de políticas y normas. • Organización y comunicación. • Gestión adecuada de la continuidad de negocio, de los incidentes de seguridad, del cumplimiento legal y de la externalización. • Integración del SGSI en la organización.
FACTORES DE ÉXITO • La concienciación del empleado por la seguridad. Principal objetivo a conseguir. • Realización de comités a distintos niveles (operativos, de dirección, etc.) • Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados). • La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles. • La seguridad no es un producto, es un proceso. • La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito. • La seguridad debe ser inherente a los procesos de información y del negocio.
RIESGOS • Exceso de tiempos de implantación • Temor ante el cambio • Discrepancias en los comités de dirección. • Delegación de todas las responsabilidades en departamentos técnicos. • No asumir que la seguridad de la información es inherente a los procesos de negocio. • Planes de formación y concienciación inadecuados. • Calendario de revisiones que no se puedan cumplir. • Definición poco clara del alcance. • Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo. • Falta de comunicación de los progresos al personal de la organización.
CONSEJOS BÁSICOS • Mantener la sencillez y restringirse a un alcance manejable y reducido • Comprender en detalle el proceso de implantación • Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados. • La autoridad y compromiso decidido de la Dirección de la empresa . • La certificación como . • No reinventar la rueda. • Servirse de lo ya implementado. • Reservar la dedicación necesaria diaria o semanal. • Registrar evidencias. • Mantenimiento y mejora continua.
PLANIFICACION • Definir alcance del SGSI • Definir política del SGSI • Definir el enfoque de evaluación de riesgos • Inventario de activos • Identificar amenazas y vulnerabilidades • Identificar los impactos • Análisis y evaluación de los riesgos • Identificar y evaluar opciones para el tratamiento del riesgo • Selección de controles • Aprobación por parte de la Dirección del riesgo residual y autorización de implantar el SGSI • Confeccionar una Declaración de Aplicabilidad
IMPLEMENTACION • Definir plan de tratamiento de riesgos • Implantar plan de tratamiento de riesgos • Implementar los controles • Formación y concienciación • Desarrollo del marco normativo necesario • Gestionar las operaciones del SGSI y todos los recursos que se le asignen. • Implantar procedimientos y controles de detección y respuesta a incidentes de seguridad.
seguimiento • Ejecutar procedimientos y controles de monitorización y revisión • Revisar regularmente la eficacia del SGSI. • Revisar regularmente la evaluación de riesgos • Realizar regularmente auditorías internas: • Revisar regularmente el SGSI por parte de la Dirección • Actualizar planes de seguridad: • Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI
MEJORA CONTINUA • Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase anterior. • Acciones correctivas: para solucionar no conformidades detectadas. • Acciones preventivas: para prevenir potenciales no conformidades. • Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle. • Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier acción, medida o cambio debe comprobarse siempre.
BIBLIOGRAFIA  http://www.iso27000.es/iso27000.html#section3f

Recomendados

Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Ricardo Urbina Miranda
 
Iso 27001
Iso 27001Iso 27001
Iso 27001Eurohelp Consulting
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobit2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobitNena Patraca
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 

Recomendados

Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Ricardo Urbina Miranda
 
Iso 27001
Iso 27001Iso 27001
Iso 27001Eurohelp Consulting
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobit2.4 ventajas y desventajas cobit
2.4 ventajas y desventajas cobitNena Patraca
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICARaquel Solano
 
ISO 27000
ISO 27000ISO 27000
ISO 27000Luis R Castellanos
 
Presentación ISO 27001.pptx
Presentación ISO 27001.pptxPresentación ISO 27001.pptx
Presentación ISO 27001.pptxerwinmalinowski
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
Auditoria ITIL
Auditoria ITILAuditoria ITIL
Auditoria ITILOsvaldo Gonzalez Guardia
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasPaola Yèpez
 
Sistema de gestion de calidad
Sistema de gestion de calidad Sistema de gestion de calidad
Sistema de gestion de calidad wendicita2512
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaMonica Gallegos
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000krn kdna cadena
 
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales Jazmín Moreno
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799Laura Miranda Dominguez
 
Gobierno de TI
Gobierno de TIGobierno de TI
Gobierno de TIDoris Suquilanda
 
RESUMEN COBIT
RESUMEN COBITRESUMEN COBIT
RESUMEN COBITluz milagros
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesLiliana Nieto
 
Auditoria operativa
Auditoria operativaAuditoria operativa
Auditoria operativaEdisongilmartinez12
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Iso 27000 evolución oct2015
Iso 27000 evolución oct2015Iso 27000 evolución oct2015
Iso 27000 evolución oct2015Ricardo Urbina Miranda
 
Familias de las iso
Familias de las isoFamilias de las iso
Familias de las isoTensor
 

Más contenido relacionado

La actualidad más candente

DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICARaquel Solano
 
Presentación ISO 27001.pptx
Presentación ISO 27001.pptxPresentación ISO 27001.pptx
Presentación ISO 27001.pptxerwinmalinowski
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasPaola Yèpez
 
Sistema de gestion de calidad
Sistema de gestion de calidad Sistema de gestion de calidad
Sistema de gestion de calidad wendicita2512
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaElvin Hernandez
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales Jazmín Moreno
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesLiliana Nieto
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 

La actualidad más candente (20)

DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS DE ÉTICA
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Presentación ISO 27001.pptx
Presentación ISO 27001.pptxPresentación ISO 27001.pptx
Presentación ISO 27001.pptx
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Auditoria ITIL
Auditoria ITILAuditoria ITIL
Auditoria ITIL
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria Informática
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Sistema de gestion de calidad
Sistema de gestion de calidad Sistema de gestion de calidad
Sistema de gestion de calidad
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Normas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informáticaNormas y estándares aplicables a la auditoria informática
Normas y estándares aplicables a la auditoria informática
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales
 
norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
 
Gobierno de TI
Gobierno de TIGobierno de TI
Gobierno de TI
 
RESUMEN COBIT
RESUMEN COBITRESUMEN COBIT
RESUMEN COBIT
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionales
 
Auditoria operativa
Auditoria operativaAuditoria operativa
Auditoria operativa
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 

Similar a Normas iso-27000

Familias de las iso
Familias de las isoFamilias de las iso
Familias de las isoTensor
 
Doc iso27000 all
Doc iso27000 allDoc iso27000 all
Doc iso27000 allabc000123
 
ISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfIvan Cabrera
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Ricardo Urbina Miranda
 
Iso 27000 evolución_slide_share_ru_ene2018
Iso 27000 evolución_slide_share_ru_ene2018Iso 27000 evolución_slide_share_ru_ene2018
Iso 27000 evolución_slide_share_ru_ene2018Ricardo Urbina Miranda
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Ricardo Urbina Miranda
 
Iso 27000
Iso 27000Iso 27000
Iso 27000osbui
 
Iso 27000
Iso 27000Iso 27000
Iso 27000eliztkm
 
realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000martincillo1234321
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 

Similar a Normas iso-27000 (20)

Iso 27000 evolución oct2015
Iso 27000 evolución oct2015Iso 27000 evolución oct2015
Iso 27000 evolución oct2015
 
Familias de las iso
Familias de las isoFamilias de las iso
Familias de las iso
 
Doc iso27000 all
Doc iso27000 allDoc iso27000 all
Doc iso27000 all
 
ISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdfISO 27000 Seguridad de la Informacion.pdf
ISO 27000 Seguridad de la Informacion.pdf
 
ii
iiii
ii
 
Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014Familia ISO/IEC 27000 evolución a septiembre 2014
Familia ISO/IEC 27000 evolución a septiembre 2014
 
Iso 27000 evolución_slide_share_ru_ene2018
Iso 27000 evolución_slide_share_ru_ene2018Iso 27000 evolución_slide_share_ru_ene2018
Iso 27000 evolución_slide_share_ru_ene2018
 
Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016Evolución Familia ISO 27000 a octubre del 2016
Evolución Familia ISO 27000 a octubre del 2016
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
ISO27000_estado_diciembre_2013
ISO27000_estado_diciembre_2013ISO27000_estado_diciembre_2013
ISO27000_estado_diciembre_2013
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
 
realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000realizcion de un sistema de calidad basado en iso 27000
realizcion de un sistema de calidad basado en iso 27000
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso27001
Iso27001Iso27001
Iso27001
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 

Más de Pedhro Acuario

Proyecto herramientas ofimaticas
Proyecto herramientas ofimaticasProyecto herramientas ofimaticas
Proyecto herramientas ofimaticasPedhro Acuario
 
Proyecto herramientas ofimaticas
Proyecto herramientas ofimaticasProyecto herramientas ofimaticas
Proyecto herramientas ofimaticasPedhro Acuario
 
Metodologiasdedesarrollodesoftware
Metodologiasdedesarrollodesoftware Metodologiasdedesarrollodesoftware
Metodologiasdedesarrollodesoftware Pedhro Acuario
 
Diapositivas de esquemas
Diapositivas de esquemasDiapositivas de esquemas
Diapositivas de esquemasPedhro Acuario
 
Mpc0809 fernandoguerrahernandez legacymicroprocesadores
Mpc0809 fernandoguerrahernandez legacymicroprocesadoresMpc0809 fernandoguerrahernandez legacymicroprocesadores
Mpc0809 fernandoguerrahernandez legacymicroprocesadoresPedhro Acuario
 

Más de Pedhro Acuario (7)

Proyecto herramientas ofimaticas
Proyecto herramientas ofimaticasProyecto herramientas ofimaticas
Proyecto herramientas ofimaticas
 
Proyecto herramientas ofimaticas
Proyecto herramientas ofimaticasProyecto herramientas ofimaticas
Proyecto herramientas ofimaticas
 
Backup, mdf y ldf
Backup, mdf y ldfBackup, mdf y ldf
Backup, mdf y ldf
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Metodologiasdedesarrollodesoftware
Metodologiasdedesarrollodesoftware Metodologiasdedesarrollodesoftware
Metodologiasdedesarrollodesoftware
 
Diapositivas de esquemas
Diapositivas de esquemasDiapositivas de esquemas
Diapositivas de esquemas
 
Mpc0809 fernandoguerrahernandez legacymicroprocesadores
Mpc0809 fernandoguerrahernandez legacymicroprocesadoresMpc0809 fernandoguerrahernandez legacymicroprocesadores
Mpc0809 fernandoguerrahernandez legacymicroprocesadores
 

Normas iso-27000

  • 1. COMPUTACION E INFORMATICA MONTALVO GASTELO PEDRO DOCENTE: Ing. BRUNO SARMIENTO JOSE CICLO: IV-2013
  • 2. NORMA ISO 27000 ¿?  ISO/IEC 27000 es un conjunto de estándares desarrollados en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña.
  • 3. ORIGEN  Desde 1901, y como primera entidad de normalización a nivel mundial, BSI (British Standards Institution, la organización británica equivalente a AENOR en España) es responsable de la publicación de importantes normas como:  - BS 5750. Publicada en 1979. Origen de ISO 9001  - BS 7750. Publicada en 1992. Origen de ISO 14001  - BS 8800. Publicada en 1996. Origen de OHSAS 18001
  • 4.  La norma BS 7799 de BSI apareció por primera vez en 1995.  La primera parte de la norma (BS 7799-1) fue una guía de buenas prácticas, para la que no se establecía un esquema de certificación. Es la segunda parte (BS 7799-2), publicada por primera vez en 1998.  Las dos partes de la norma BS 7799 se revisaron en 1999 y la primera parte se adoptó por ISO, sin cambios sustanciales, como ISO 17799 en el año 2000.  En 2002, se revisó BS 7799-2 para adecuarse a la filosofía de normas ISO de sistemas de gestión.  En 2005, con más de 1700 empresas certificadas en BS 7799-2, esta norma se publicó por ISO, con algunos cambios, como estándar ISO 27001. Al tiempo se revisó y actualizó ISO 17799.  Esta última norma se renombró como ISO 27002:2005 el 1 de Julio de 2007, manteniendo el contenido así como el año de publicación formal de la revisión.
  • 5. CONTENIDO En esta sección se hace un breve resumen del contenido de las principales normas de la serie 27000 ya publicadas.
  • 6. ISO/IEC 27000:  Publicada el 1 de Mayo de 2009 y revisada con una segunda edición de 01 de Diciembre de 2012. Esta norma proporciona una visión general de las normas que componen la serie 27000, una introducción a los Sistemas de Gestión de Seguridad de la Información,
  • 7.  ISO/IEC 27001:  Publicada el 15 de Octubre de 2005 . Es la norma principal de la serie y contiene los requisitos del sistema de gestión de seguridad de la información. Tiene su origen en la BS 7799-2:2002 (que ya quedó anulada) y es la norma con arreglo a la cual se certifican por auditores externos los SGSIs de las organizaciones.
  • 8. ISO/IEC 27002: Desde el 1 de Julio de 2007, es el nuevo nombre de ISO 17799:2005, manteniendo 2005 como año de edición. Es una guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información. ISO/IEC 27003: Publicada el 01 de Febrero de 2010. No certificable. Es una guía que se centra en los aspectos críticos necesarios para el diseño e implementación con éxito de un SGSI
  • 9. ISO/IEC 27004: Publicada el 15 de Diciembre de 2009. No certificable. Es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados según ISO/IEC 27001. ISO/IEC 27005: Publicada en segunda edición el 1 de Junio de 2011 (primera edición del 15 de Junio de 2008). No certificable. Proporciona directrices para la gestión del riesgo en la seguridad de la información.
  • 10. ISO/IEC 27006: Publicada en segunda edición el 1 de Diciembre de 2011 (primera edición del 1 de Marzo de 2007). Especifica los requisitos para la acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información ISO/IEC 27007: Publicada el 14 de Noviembre de 2011. No certificable. Es una guía de auditoría de un SGSI, como complemento a lo especificado en ISO 19011. Es una guía de auditoría de los controles seleccionados en el marco de implantación de un SGSI. • ISO/IEC 27010: Publicada el 20 de Octubre de 2012. Consiste en una guía para la gestión de la seguridad de la información cuando se comparte entre organizaciones o sectores.
  • 11. ISO/IEC 27011: Publicada el 15 de Diciembre de 2008. Es una guía de interpretación de la implementación y gestión de la seguridad de la información en organizaciones del sector de telecomunicaciones basada en ISO/IEC 27002. • ISO/IEC 27013: Publicada el 15 de Octubre de 2012. Es una guía de implementación integrada de ISO/IEC • ISO/IEC 27014: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de gobierno corporativo de la seguridad de la información.
  • 12. ISO/IEC TR 27015: Publicada el 23 de Noviembre de 2012. Es una guía de SGSI orientada a organizaciones del sector financiero y de seguros y como complemento a ISO/IEC 27002. • ISO/IEC TR 27016: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de valoración de los aspectos financieros de la seguridad de la información. • ISO/IEC TS 27017: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de seguridad para Cloud Computing.
  • 13. ISO/IEC 27018: En fase de desarrollo, con publicación prevista en 2013. Consistirá en un código de buenas prácticas en controles de protección de datos para servicios de computación en cloud computing. • ISO/IEC TR 27019: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía con referencia a ISO/IEC 27002 para el proceso de control de sistemas específicos al sector de la industria de la energía. • ISO/IEC 27031: Publicada el 01 de Marzo de 2011. No certificable. Es una guía de apoyo para la adecuación de las tecnologías de información y comunicación (TIC) de una organización para la continuidad del negocio. El documento toma como referencia el estándar BS 25777.
  • 14. ISO/IEC 27032: Publicada el 16 de Julio de 2012. Proporciona orientación para la mejora del estado de seguridad cibernética, extrayendo los aspectos únicos de esa actividad y de sus dependencias en otros dominios de seguridad. Esta norma establece una descripción general de Seguridad Cibernética. • ISO/IEC 27033: Parcialmente desarrollada. Norma dedicada a la seguridad en redes, consistente en 7 partes: 27033- 1, conceptos generales (publicada el 15 de Diciembre de 2009 aseguramiento de las comunicaciones entre redes mediante gateways de seguridad; 27033-5, aseguramiento de comunicaciones mediante VPNs (prevista para 2013); 27033-6, convergencia IP (prevista para 2013); 27033-7, redes inalámbricas (prevista para 2013).
  • 15. ISO/IEC 27034: Parcialmente desarrollada. Norma dedicada la seguridad en aplicaciones informáticas, consistente en 5 partes: 27034-1. • ISO/IEC 27035: Publicada el 17 de Agosto de 2011. Proporciona una guía sobre la gestión de incidentes de seguridad en la información. En España, no está traducida. • ISO/IEC 27036: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía en cuatro partes de seguridad en las relaciones con proveedores: 27036-1, visión general y conceptos; 27036-2, requisitos comunes; 27036-3, seguridad en la cadena de suministro TIC; 27036-4, seguridad en outsourcing (externalización de servicios).
  • 16. ISO/IEC 27037: Publicada el 15 de Octubre de 2012. Es una guía que proporciona directrices para las actividades relacionadas con la identificación, recopilación, consolidación y preservación de evidencias digitales potenciales localizadas en teléfonos móviles, tarjetas de memoria, dispositivos electrónicos personales, sistemas de navegación móvil. • ISO/IEC 27038: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía de especificación para seguridad en la redacción digital. • ISO/IEC 27039: En fase de desarrollo, con publicación prevista en 2013. Consistirá en una guía para la selección, despliegue y operativa de sistemas de detección y prevención de intrusión (IDS/IPS). • ISO/IEC 27040: En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía para la seguridad en medios de almacenamiento. • ISO/IEC 27041: En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía para la garantizar la idoneidad y adecuación de los métodos de investigación.
  • 17. ISO/IEC 27042: En fase de desarrollo, con publicación prevista no antes de 2014. Consistirá en una guía con directrices para el análisis e interpretación de las evidencias digitales. • ISO/IEC 27043: En fase de desarrollo, con publicación prevista no antes de 2014. Desarrollará principios y procesos de investigación. • ISO/IEC 27044: En fase de desarrollo, con publicación prevista no antes de 2014. Gestión de eventos y de la seguridad de la información - Security Information and Event Management (SIEM). • ISO 27799: Publicada el 12 de Junio de 2008. Es una norma que proporciona directrices para apoyar la interpretación y aplicación en el sector sanitario de ISO/IEC 27002, en cuanto a la seguridad de la información sobre los datos de salud de los pacientes.
  • 18. BENEFICIOS • Establecimiento de una metodología de gestión de la seguridad clara y estructurada. • Reducción del riesgo de pérdida, robo o corrupción de información. • Los clientes tienen acceso a la información a través medidas de seguridad. • Los riesgos y sus controles son continuamente revisados. • Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial. • Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar. • Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001…). • Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad. • Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras. • Imagen de empresa a nivel internacional y elemento diferenciador de la competencia. • Confianza y reglas claras para las personas de la organización. • Reducción de costes y mejora de los procesos y servicio. • Aumento de la motivación y satisfacción del personal. • Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y tecnologías.
  • 20. ARRANQUE DEL PROYECTO • Compromiso de la Dirección: una de las bases fundamentales sobre las que iniciar un proyecto de este tipo es el apoyo claro y decidido de la Dirección de la organización. • Planificación, fechas, responsables: como en todo proyecto de envergadura, el tiempo y el esfuerzo invertidos en esta fase multiplican sus efectos positivos sobre el resto de fases.
  • 21. ASPECTOS CLAVES Fundamentales • Compromiso y apoyo de la Dirección de la organización. • Definición clara de un alcance apropiado. • Concienciación y formación del personal. • Evaluación de riesgos adecuada a la organización. • Compromiso de mejora continua. • Establecimiento de políticas y normas. • Organización y comunicación. • Gestión adecuada de la continuidad de negocio, de los incidentes de seguridad, del cumplimiento legal y de la externalización. • Integración del SGSI en la organización.
  • 22. FACTORES DE ÉXITO • La concienciación del empleado por la seguridad. Principal objetivo a conseguir. • Realización de comités a distintos niveles (operativos, de dirección, etc.) • Creación de un sistema de gestión de incidencias que recoja notificaciones continuas por parte de los usuarios (los incidentes de seguridad deben ser reportados y analizados). • La seguridad absoluta no existe, se trata de reducir el riesgo a niveles asumibles. • La seguridad no es un producto, es un proceso. • La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito. • La seguridad debe ser inherente a los procesos de información y del negocio.
  • 23. RIESGOS • Exceso de tiempos de implantación • Temor ante el cambio • Discrepancias en los comités de dirección. • Delegación de todas las responsabilidades en departamentos técnicos. • No asumir que la seguridad de la información es inherente a los procesos de negocio. • Planes de formación y concienciación inadecuados. • Calendario de revisiones que no se puedan cumplir. • Definición poco clara del alcance. • Exceso de medidas técnicas en detrimento de la formación, concienciación y medidas de tipo organizativo. • Falta de comunicación de los progresos al personal de la organización.
  • 24. CONSEJOS BÁSICOS • Mantener la sencillez y restringirse a un alcance manejable y reducido • Comprender en detalle el proceso de implantación • Gestionar el proyecto fijando los diferentes hitos con sus objetivos y resultados. • La autoridad y compromiso decidido de la Dirección de la empresa . • La certificación como . • No reinventar la rueda. • Servirse de lo ya implementado. • Reservar la dedicación necesaria diaria o semanal. • Registrar evidencias. • Mantenimiento y mejora continua.
  • 25. PLANIFICACION • Definir alcance del SGSI • Definir política del SGSI • Definir el enfoque de evaluación de riesgos • Inventario de activos • Identificar amenazas y vulnerabilidades • Identificar los impactos • Análisis y evaluación de los riesgos • Identificar y evaluar opciones para el tratamiento del riesgo • Selección de controles • Aprobación por parte de la Dirección del riesgo residual y autorización de implantar el SGSI • Confeccionar una Declaración de Aplicabilidad
  • 26. IMPLEMENTACION • Definir plan de tratamiento de riesgos • Implantar plan de tratamiento de riesgos • Implementar los controles • Formación y concienciación • Desarrollo del marco normativo necesario • Gestionar las operaciones del SGSI y todos los recursos que se le asignen. • Implantar procedimientos y controles de detección y respuesta a incidentes de seguridad.
  • 27. seguimiento • Ejecutar procedimientos y controles de monitorización y revisión • Revisar regularmente la eficacia del SGSI. • Revisar regularmente la evaluación de riesgos • Realizar regularmente auditorías internas: • Revisar regularmente el SGSI por parte de la Dirección • Actualizar planes de seguridad: • Registrar acciones y eventos que puedan tener impacto en la eficacia o el rendimiento del SGSI
  • 28. MEJORA CONTINUA • Implantar mejoras: poner en marcha todas las mejoras que se hayan propuesto en la fase anterior. • Acciones correctivas: para solucionar no conformidades detectadas. • Acciones preventivas: para prevenir potenciales no conformidades. • Comunicar las acciones y mejoras: a todos los interesados y con el nivel adecuado de detalle. • Asegurarse de que las mejoras alcanzan los objetivos pretendidos: la eficacia de cualquier acción, medida o cambio debe comprobarse siempre.