SlideShare uma empresa Scribd logo

0405 iso 27000present final

Transferir como PPTX, PDF
J
JABERO241
1 de 33
ISO 27000 SISTEMA DE GESTIÓN DE INFORMACIÓN Jaquelyn Graciela Alarcón Ramírez Rolando Roberto Aguilar Marroquín Ángel Marcelo Reyes Canales Nora Alicia Rodríguez Guardado Gabriel Enrique Ramírez Menjívar
 La ISO 27000 es realmente una serie de estándares desarrollados, por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) e indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001.  Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044. Serie 27000
 Este estándar a sido preparado para proporcionar y promover un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar in Sistema de Gestión de Seguridad de Información. Serie 27000
Serie 27000 BS ISO/IEC 27000 – Fundamentos y Vocabulario Noviembre de 2008 BS ISO/IEC 27001 – Sistema de Gestión de Seguridad de la Información – Requisitos Publicado en Octubre 2005 BS ISO/IEC 27002 – Código de práctica para la Gestión de la Seguridad de la información Anteriormente ISO/IEC 17799:2005 Cambio a 27002 en el 2007 (solo se fue un cambio de número) BS ISO/IEC 27003 – Guía de Implementación Mayo de 2009 BS ISO/IEC 27004 – Métricas y Medidas Noviembre de 2008 BS ISO/IEC 27005 – Gestión de Riesgos en Seguridad de la Información 2008/2009. Actualmente BS 7799-3, Publicada Marzo 2006 BS ISO/IEC 27006 – Acreditación de Estándares de Auditoria 13 de Febrero de 2007 27007…...27011 Reservados para futuros desarrollos (productos manejados por BSI y potencialmente ISO TC)
BS ISO/IEC 27031 – Guía de Continuidad de Negocio de TI En desarrollo BS ISO/IEC 27032 – Guía relativa a la Ciberseguridad En desarrollo BS ISO/IEC 27033 – consta de 7 partes: Gestión de Seguridad de Redes, Arquitectura de Seguridad, escenarios de redes de referencia, Aseguramiento de las comunicaciones entre redes mediante gateways, Acceso remoto, Aseguramiento de Comunicaciones mediante VPNs y diseño e implementación de seguridad de redes. 2010/ 2011 BS ISO/IEC 27034 – Guía de Seguridad de Aplicaciones Febrero de 2009 BS ISO/IEC 27099 – Gestión de seguridad de la información en el sector sanitario 12 de junio de 2008
¿Qué es ISO 27001? Es enfoque de procesos para la gestión de la seguridad de la información. ISO 27001
Facilita a los administradores tener una visión y control sobre:  entender los requerimientos de seguridad de la información de una organización y la necesidad de establecer una política y objetivos para la seguridad de la información.  implementar y operar controles para manejar los riesgos de la seguridad de la información.  monitorear y revisar el desempeño y la efectividad del SGSI; y  mejoramiento continúo en base a la medición del objetivo. ISO 27001
Beneficios:  Abarca a todos los tipos de organizaciones (comerciales, gubernamentales, organizaciones sin fines de lucro, etc.).  Adopta el modelo del proceso Planear-Hacer- Chequear-Actuar (PDCA), el cual se puede aplicar a todos los proceso SGSI.  Da lineamientos acerca la importancia del mejoramiento del SGSI atreves de el mejoramiento continuo, Acción correctiva, Acción Preventiva.  Proporciona una guía importante de los objetivos de control y controles, enfocados a política de seguridad de información. ISO 27001
Arranque del Proyecto
Planificación
Implementación
Seguimiento
Mejora Continua
Enfoque del Proceso
Fuentes para establecer los requerimientos de seguridad:  evaluar los riesgos para la organización, tomando en cuenta la estrategia general y los objetivos de la organización  Requerimientos legales, reguladores, estatutarios y contractuales  Conjunto particular de principios, objetivos y requerimientos comerciales para el procesamiento de la información ISO 27002
Estructura del Estándar a) Política de Seguridad b) Organización de la Seguridad de la Información; c) Gestión de Activos; d) Seguridad de Recursos Humanos; e) Seguridad Física y Ambiental; f) Gestión de Comunicaciones y Operaciones; g) Control de Acceso; h) Adquisición, Desarrollo y Mantenimiento de Sistemas de Información; i) Gestión de Incidentes de Seguridad de la Información; j) Gestión de la Continuidad Comercial; k) Conformidad. ISO 27002
¿Por qué? Reconocer los Riesgos y su Impacto en los Negocios ISO 27002
INTERNET Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundo Apenas 150 “spammers” norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico. 11:22 | EL GUSANO Un nuevo virus se esconde en tarjetas navideñas Un virus informático, que se esconde en una tarjeta electrónica de felicitación, comenzó a circular por la red, informó Panda Software. La compañía advirtió a los usuarios que extremen las medidas de seguridad durante estas fiestas. ESTAFAS EN INTERNET El “phishing” ya pesca en todo América Detectaron casos que afectaron a numerosas empresas y a los clientes de bancos estadounidenses y del resto de América. ISO 27002
12:50 | A TRAVES DE MAIL Utilizan las siglas del FBI para propagar un virus La famosa policía federal estadounidense advirtió sobre la difusión de falsos correos electrónicos que llevan su nombre. La pregunta secreta del caso "Paris Hilton" ------------------------------ Hace apenas unos días saltó la noticia de que los contenidos del teléfono móvil de Paris Hilton habían sido publicados en Internet. En un principio se barajó la posibilidad de que hubieran accedido a la tarjeta SIM, o de que se tratara de una intrusión a los servidores de T-Mobile aprovechando inyecciones SQL. Al final parece ser que el método empleado fue mucho más sencillo, bastaba con contestar a la pregunta "¿cuál es el nombre de su mascota favorita?". ISO 27002
ISO 27002
Captura de PC desde el exterior Violación de e-mails Violación de contraseñas Interrupción de los servicios Intercepción y modificación de e- mails Virus Fraudes informáticos Incumplimiento de leyes y regulaciones Robo o extravío de notebooks Robo de información Destrucción de soportes documentales Acceso clandestino a redes Intercepción de comunicaciones Destrucción de equipamiento Programas “bomba” Acceso indebido a documentos impresos Software ilegal Agujeros de seguridad de redes conectadas Falsificación de información para terceros Indisponibilidad de información clave Spamming Violación de la privacidad de los empleados Ingeniería social Propiedad de la Información Mails “anónimos” con información crítica o con agresiones
Políticas de seguridad La gerencia deberá establecer claramente la dirección de la política en línea con los objetivos comerciales y demostrar su apoyo, y su compromiso con, la seguridad de la información, a través de la emisión y mantenimiento de una política de seguridad de la información en toda la organización. ISO 27002
Garantizar Verificación de la compatibilidad técnica Cumplimiento de la política de seguridad sistemas de información, proveedores de sistemas, propietarios de información y de recursos de información, usuarios, gerentes. revisión de los sistemas operacionales, puede comprender pruebas de penetración, realizadas por personas competentes y autorizadas. Objetivo de la política
Seguridad Física Control  Las áreas seguras debieran protegerse mediante controles de ingreso apropiados para asegurar que sólo se le permita el acceso al personal autorizado. ISO 27002
Control del acceso Se debiera controlar el acceso a la información, medios de procesamiento de la información y procesos comerciales sobre la base de los requerimientos comerciales y de seguridad. Las reglas de control del acceso debieran tomar en cuenta las políticas para la divulgación y autorización de la información. ISO 27002
Política de control del acceso Se deberá tomar en cuenta lo siguiente: a) los requerimientos de seguridad de las aplicaciones comerciales individuales; b) identificación de toda la información relacionada con las aplicaciones comerciales y los riesgos que enfrenta la información; c) las políticas para la divulgación y autorización de la información; d) los perfiles de acceso de usuario estándar para puestos de trabajo comunes en la organización; e) segregación de roles del control del acceso; ISO 27002
 Caso practico: La empresa “ABC, S. A. de C. V.” Se dedica a la venta electrodomésticos en general, operando en toda la región Centroamericana, actualmente posee un sistema de información, dados ciertos eventos, en los que se involucran: 1. Pérdida de información 2. Filtro de información 3. Accesos no autorizados a la información 4. Modificación no autorizada de la información, entre otros ISO 27001
 Procedimientos a desarrollar: A. ESTABLECIMIENTO DEL SGSI 1. Alcance 2. Políticas del SGSI 3. Identificación de Riesgos 4. Enfoque de Evaluación de Riesgos 5. Identificación y Evaluación de opciones para el tratamiento de los Riesgos ISO 27001
B. IMPLEMENTAR Y OPERAR EL SGSI IDENTIFICACION DE RIESGOS:  Captura de PC desde el exterior  Violación de e-mails  Robo de información  Violación de contraseñas  Destrucción de equipamiento  Virus  Programas “bomba”  Interrupción de los servicios  Acceso clandestino a redes  Acceso indebido a documentos impresos  Intercepción de comunicaciones  Falsificación de información para terceros ISO 27001
C. USO DE TECNICAS DE CUANTIFICACION DE RIESGOS: ISO 27001
D. MONITOREAR Y REVISAR EL SGSI  Detección de errores en los resultados de procesamiento  Verificar que las actividades planeadas y toda la normativa emitida se están aplicando correctamente  Aplicar indicadores para evaluar el desempeño del SGSI E. MANTENER Y MEJORAR EL SGSI Dado que los resultados del monitoreo determinan que el SGSI continúa siendo útil, deciden mantenerlo y darle seguimiento, bajo la condición de una constante actualización en relación a los cambios experimentados en la normativa y sobre todo en las condiciones de la organización. ISO 27001
GRACIAS POR SU ATENCION

Recomendados

Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Brayan A. Sanchez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000krn kdna cadena
 
ISO 27000
ISO 27000ISO 27000
ISO 27000indeson12
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Normas iso-27000
Normas iso-27000Normas iso-27000
Normas iso-27000Pedhro Acuario
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 

Recomendados

Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Brayan A. Sanchez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000krn kdna cadena
 
ISO 27000
ISO 27000ISO 27000
ISO 27000indeson12
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Normas iso-27000
Normas iso-27000Normas iso-27000
Normas iso-27000Pedhro Acuario
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copiaYadi De La Cruz
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001 George Gaviria
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
ISO 27000
ISO 27000ISO 27000
ISO 27000Luis R Castellanos
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSIJosé María Apellidos
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Yango Alexander Colmenares
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000Haroll Suarez
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Iso 27000 evolución oct2015
Iso 27000 evolución oct2015Iso 27000 evolución oct2015
Iso 27000 evolución oct2015Ricardo Urbina Miranda
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinezBernaMartinez
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
Iso 27000
Iso 27000Iso 27000
Iso 27000osbui
 
Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1jonnyceballos
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013Marvin Zumbado
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)Benet Oliver Noguera
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-seguritySecurinf.com Seguridad Informatica - Tecnoweb2.com
 
expo Isoeic27000
expo Isoeic27000expo Isoeic27000
expo Isoeic27000Wilbert Fernando Alvarez Tirado
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 

Mais conteúdo relacionado

Mais procurados

27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinezBernaMartinez
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
Iso 27000
Iso 27000Iso 27000
Iso 27000osbui
 
Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1jonnyceballos
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 

Mais procurados (19)

Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 27000 evolución oct2015
Iso 27000 evolución oct2015Iso 27000 evolución oct2015
Iso 27000 evolución oct2015
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 

Semelhante a 0405 iso 27000present final

Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atolandGerson1993
 
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónCaso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónmayckoll17
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Seguridad de la Información en Entidades Financieras
Seguridad de la Información en Entidades FinancierasSeguridad de la Información en Entidades Financieras
Seguridad de la Información en Entidades Financierasmaxalonzohuaman
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005mrg30n301976
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005mrg30n301976
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comVanessaCobaxin
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabián Descalzo
 

Semelhante a 0405 iso 27000present final (20)

Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
 
expo Isoeic27000
expo Isoeic27000expo Isoeic27000
expo Isoeic27000
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
 
Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1
 
Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atoland
 
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la informaciónCaso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
Caso ATOLAND C.A. y Estandares sobre gestion de la seguridad de la información
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Seguridad de la Información en Entidades Financieras
Seguridad de la Información en Entidades FinancierasSeguridad de la Información en Entidades Financieras
Seguridad de la Información en Entidades Financieras
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005
 
I
II
I
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
cobaxinvanessa@gmail.com
cobaxinvanessa@gmail.comcobaxinvanessa@gmail.com
cobaxinvanessa@gmail.com
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 
NORMAS ISO 27001
NORMAS ISO 27001NORMAS ISO 27001
NORMAS ISO 27001
 
Fabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocioFabian Descalzo - Taller ISO 27001 y negocio
Fabian Descalzo - Taller ISO 27001 y negocio
 
Is
IsIs
Is
 

Mais de JABERO241

Capacitacion Auditores SGC
Capacitacion Auditores SGCCapacitacion Auditores SGC
Capacitacion Auditores SGCJABERO241
 
Cuestionario_auditoria
Cuestionario_auditoriaCuestionario_auditoria
Cuestionario_auditoriaJABERO241
 
Actualizacion Aduitor de calidad
Actualizacion Aduitor de calidad Actualizacion Aduitor de calidad
Actualizacion Aduitor de calidad JABERO241
 
Manuel del usuario
Manuel del usuarioManuel del usuario
Manuel del usuarioJABERO241
 
Teclado iverney
Teclado iverneyTeclado iverney
Teclado iverneyJABERO241
 
Teclado iverney
Teclado iverneyTeclado iverney
Teclado iverneyJABERO241
 
Proyecto de vida
Proyecto de vidaProyecto de vida
Proyecto de vidaJABERO241
 
Taller de base de datos
Taller de base de datosTaller de base de datos
Taller de base de datosJABERO241
 
Folleto curso cobit foundations 5 comfenalco ibagué 20131022 v2
Folleto curso cobit foundations 5 comfenalco ibagué 20131022 v2Folleto curso cobit foundations 5 comfenalco ibagué 20131022 v2
Folleto curso cobit foundations 5 comfenalco ibagué 20131022 v2JABERO241
 
RESULTADOS PRUEBAS
RESULTADOS PRUEBASRESULTADOS PRUEBAS
RESULTADOS PRUEBASJABERO241
 
Cierre de no conformidades
Cierre de no conformidadesCierre de no conformidades
Cierre de no conformidadesJABERO241
 
Informe de auditoria control interno
Informe de auditoria control internoInforme de auditoria control interno
Informe de auditoria control internoJABERO241
 
Manual combinar-correspondencia
Manual combinar-correspondenciaManual combinar-correspondencia
Manual combinar-correspondenciaJABERO241
 
Bases de datos    introducción
Bases de datos    introducciónBases de datos    introducción
Bases de datos    introducciónJABERO241
 
Manual de HTML Basico
Manual de HTML BasicoManual de HTML Basico
Manual de HTML BasicoJABERO241
 
Un buen entrevistador
Un buen entrevistadorUn buen entrevistador
Un buen entrevistadorJABERO241
 
Programa de auditoria_basado_en_riesgos
Programa de auditoria_basado_en_riesgosPrograma de auditoria_basado_en_riesgos
Programa de auditoria_basado_en_riesgosJABERO241
 
Administracion Riesgos DGSM
Administracion Riesgos DGSMAdministracion Riesgos DGSM
Administracion Riesgos DGSMJABERO241
 
Desayuno celestial
Desayuno celestialDesayuno celestial
Desayuno celestialJABERO241
 

Mais de JABERO241 (20)

Capacitacion Auditores SGC
Capacitacion Auditores SGCCapacitacion Auditores SGC
Capacitacion Auditores SGC
 
Cuestionario_auditoria
Cuestionario_auditoriaCuestionario_auditoria
Cuestionario_auditoria
 
Actualizacion Aduitor de calidad
Actualizacion Aduitor de calidad Actualizacion Aduitor de calidad
Actualizacion Aduitor de calidad
 
Manuel del usuario
Manuel del usuarioManuel del usuario
Manuel del usuario
 
Teclado iverney
Teclado iverneyTeclado iverney
Teclado iverney
 
Teclado iverney
Teclado iverneyTeclado iverney
Teclado iverney
 
Proyecto de vida
Proyecto de vidaProyecto de vida
Proyecto de vida
 
Ilver
IlverIlver
Ilver
 
Taller de base de datos
Taller de base de datosTaller de base de datos
Taller de base de datos
 
Folleto curso cobit foundations 5 comfenalco ibagué 20131022 v2
Folleto curso cobit foundations 5 comfenalco ibagué 20131022 v2Folleto curso cobit foundations 5 comfenalco ibagué 20131022 v2
Folleto curso cobit foundations 5 comfenalco ibagué 20131022 v2
 
RESULTADOS PRUEBAS
RESULTADOS PRUEBASRESULTADOS PRUEBAS
RESULTADOS PRUEBAS
 
Cierre de no conformidades
Cierre de no conformidadesCierre de no conformidades
Cierre de no conformidades
 
Informe de auditoria control interno
Informe de auditoria control internoInforme de auditoria control interno
Informe de auditoria control interno
 
Manual combinar-correspondencia
Manual combinar-correspondenciaManual combinar-correspondencia
Manual combinar-correspondencia
 
Bases de datos    introducción
Bases de datos    introducciónBases de datos    introducción
Bases de datos    introducción
 
Manual de HTML Basico
Manual de HTML BasicoManual de HTML Basico
Manual de HTML Basico
 
Un buen entrevistador
Un buen entrevistadorUn buen entrevistador
Un buen entrevistador
 
Programa de auditoria_basado_en_riesgos
Programa de auditoria_basado_en_riesgosPrograma de auditoria_basado_en_riesgos
Programa de auditoria_basado_en_riesgos
 
Administracion Riesgos DGSM
Administracion Riesgos DGSMAdministracion Riesgos DGSM
Administracion Riesgos DGSM
 
Desayuno celestial
Desayuno celestialDesayuno celestial
Desayuno celestial
 

0405 iso 27000present final

  • 1. ISO 27000 SISTEMA DE GESTIÓN DE INFORMACIÓN Jaquelyn Graciela Alarcón Ramírez Rolando Roberto Aguilar Marroquín Ángel Marcelo Reyes Canales Nora Alicia Rodríguez Guardado Gabriel Enrique Ramírez Menjívar
  • 2.  La ISO 27000 es realmente una serie de estándares desarrollados, por ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) e indica cómo puede una organización implantar un sistema de gestión de seguridad de la información (SGSI) basado en ISO 27001.  Los rangos de numeración reservados por ISO van de 27000 a 27019 y de 27030 a 27044. Serie 27000
  • 3.  Este estándar a sido preparado para proporcionar y promover un modelo para establecer, implementar, operar, monitorear, revisar, mantener y mejorar in Sistema de Gestión de Seguridad de Información. Serie 27000
  • 4. Serie 27000 BS ISO/IEC 27000 – Fundamentos y Vocabulario Noviembre de 2008 BS ISO/IEC 27001 – Sistema de Gestión de Seguridad de la Información – Requisitos Publicado en Octubre 2005 BS ISO/IEC 27002 – Código de práctica para la Gestión de la Seguridad de la información Anteriormente ISO/IEC 17799:2005 Cambio a 27002 en el 2007 (solo se fue un cambio de número) BS ISO/IEC 27003 – Guía de Implementación Mayo de 2009 BS ISO/IEC 27004 – Métricas y Medidas Noviembre de 2008 BS ISO/IEC 27005 – Gestión de Riesgos en Seguridad de la Información 2008/2009. Actualmente BS 7799-3, Publicada Marzo 2006 BS ISO/IEC 27006 – Acreditación de Estándares de Auditoria 13 de Febrero de 2007 27007…...27011 Reservados para futuros desarrollos (productos manejados por BSI y potencialmente ISO TC)
  • 5. BS ISO/IEC 27031 – Guía de Continuidad de Negocio de TI En desarrollo BS ISO/IEC 27032 – Guía relativa a la Ciberseguridad En desarrollo BS ISO/IEC 27033 – consta de 7 partes: Gestión de Seguridad de Redes, Arquitectura de Seguridad, escenarios de redes de referencia, Aseguramiento de las comunicaciones entre redes mediante gateways, Acceso remoto, Aseguramiento de Comunicaciones mediante VPNs y diseño e implementación de seguridad de redes. 2010/ 2011 BS ISO/IEC 27034 – Guía de Seguridad de Aplicaciones Febrero de 2009 BS ISO/IEC 27099 – Gestión de seguridad de la información en el sector sanitario 12 de junio de 2008
  • 6. ¿Qué es ISO 27001? Es enfoque de procesos para la gestión de la seguridad de la información. ISO 27001
  • 7. Facilita a los administradores tener una visión y control sobre:  entender los requerimientos de seguridad de la información de una organización y la necesidad de establecer una política y objetivos para la seguridad de la información.  implementar y operar controles para manejar los riesgos de la seguridad de la información.  monitorear y revisar el desempeño y la efectividad del SGSI; y  mejoramiento continúo en base a la medición del objetivo. ISO 27001
  • 8. Beneficios:  Abarca a todos los tipos de organizaciones (comerciales, gubernamentales, organizaciones sin fines de lucro, etc.).  Adopta el modelo del proceso Planear-Hacer- Chequear-Actuar (PDCA), el cual se puede aplicar a todos los proceso SGSI.  Da lineamientos acerca la importancia del mejoramiento del SGSI atreves de el mejoramiento continuo, Acción correctiva, Acción Preventiva.  Proporciona una guía importante de los objetivos de control y controles, enfocados a política de seguridad de información. ISO 27001
  • 15.
  • 16. Fuentes para establecer los requerimientos de seguridad:  evaluar los riesgos para la organización, tomando en cuenta la estrategia general y los objetivos de la organización  Requerimientos legales, reguladores, estatutarios y contractuales  Conjunto particular de principios, objetivos y requerimientos comerciales para el procesamiento de la información ISO 27002
  • 17. Estructura del Estándar a) Política de Seguridad b) Organización de la Seguridad de la Información; c) Gestión de Activos; d) Seguridad de Recursos Humanos; e) Seguridad Física y Ambiental; f) Gestión de Comunicaciones y Operaciones; g) Control de Acceso; h) Adquisición, Desarrollo y Mantenimiento de Sistemas de Información; i) Gestión de Incidentes de Seguridad de la Información; j) Gestión de la Continuidad Comercial; k) Conformidad. ISO 27002
  • 18. ¿Por qué? Reconocer los Riesgos y su Impacto en los Negocios ISO 27002
  • 19. INTERNET Nadie logra controlar la epidemia: el “correo basura” invade las casillas de todo el mundo Apenas 150 “spammers” norteamericanos son los responsables del 90 por ciento de los mensajes no deseados que atestan las computadoras de todo el mundo. Todavía no hay leyes para limitar su impacto económico. 11:22 | EL GUSANO Un nuevo virus se esconde en tarjetas navideñas Un virus informático, que se esconde en una tarjeta electrónica de felicitación, comenzó a circular por la red, informó Panda Software. La compañía advirtió a los usuarios que extremen las medidas de seguridad durante estas fiestas. ESTAFAS EN INTERNET El “phishing” ya pesca en todo América Detectaron casos que afectaron a numerosas empresas y a los clientes de bancos estadounidenses y del resto de América. ISO 27002
  • 20. 12:50 | A TRAVES DE MAIL Utilizan las siglas del FBI para propagar un virus La famosa policía federal estadounidense advirtió sobre la difusión de falsos correos electrónicos que llevan su nombre. La pregunta secreta del caso "Paris Hilton" ------------------------------ Hace apenas unos días saltó la noticia de que los contenidos del teléfono móvil de Paris Hilton habían sido publicados en Internet. En un principio se barajó la posibilidad de que hubieran accedido a la tarjeta SIM, o de que se tratara de una intrusión a los servidores de T-Mobile aprovechando inyecciones SQL. Al final parece ser que el método empleado fue mucho más sencillo, bastaba con contestar a la pregunta "¿cuál es el nombre de su mascota favorita?". ISO 27002
  • 22. Captura de PC desde el exterior Violación de e-mails Violación de contraseñas Interrupción de los servicios Intercepción y modificación de e- mails Virus Fraudes informáticos Incumplimiento de leyes y regulaciones Robo o extravío de notebooks Robo de información Destrucción de soportes documentales Acceso clandestino a redes Intercepción de comunicaciones Destrucción de equipamiento Programas “bomba” Acceso indebido a documentos impresos Software ilegal Agujeros de seguridad de redes conectadas Falsificación de información para terceros Indisponibilidad de información clave Spamming Violación de la privacidad de los empleados Ingeniería social Propiedad de la Información Mails “anónimos” con información crítica o con agresiones
  • 23. Políticas de seguridad La gerencia deberá establecer claramente la dirección de la política en línea con los objetivos comerciales y demostrar su apoyo, y su compromiso con, la seguridad de la información, a través de la emisión y mantenimiento de una política de seguridad de la información en toda la organización. ISO 27002
  • 24. Garantizar Verificación de la compatibilidad técnica Cumplimiento de la política de seguridad sistemas de información, proveedores de sistemas, propietarios de información y de recursos de información, usuarios, gerentes. revisión de los sistemas operacionales, puede comprender pruebas de penetración, realizadas por personas competentes y autorizadas. Objetivo de la política
  • 25. Seguridad Física Control  Las áreas seguras debieran protegerse mediante controles de ingreso apropiados para asegurar que sólo se le permita el acceso al personal autorizado. ISO 27002
  • 26. Control del acceso Se debiera controlar el acceso a la información, medios de procesamiento de la información y procesos comerciales sobre la base de los requerimientos comerciales y de seguridad. Las reglas de control del acceso debieran tomar en cuenta las políticas para la divulgación y autorización de la información. ISO 27002
  • 27. Política de control del acceso Se deberá tomar en cuenta lo siguiente: a) los requerimientos de seguridad de las aplicaciones comerciales individuales; b) identificación de toda la información relacionada con las aplicaciones comerciales y los riesgos que enfrenta la información; c) las políticas para la divulgación y autorización de la información; d) los perfiles de acceso de usuario estándar para puestos de trabajo comunes en la organización; e) segregación de roles del control del acceso; ISO 27002
  • 28.  Caso practico: La empresa “ABC, S. A. de C. V.” Se dedica a la venta electrodomésticos en general, operando en toda la región Centroamericana, actualmente posee un sistema de información, dados ciertos eventos, en los que se involucran: 1. Pérdida de información 2. Filtro de información 3. Accesos no autorizados a la información 4. Modificación no autorizada de la información, entre otros ISO 27001
  • 29.  Procedimientos a desarrollar: A. ESTABLECIMIENTO DEL SGSI 1. Alcance 2. Políticas del SGSI 3. Identificación de Riesgos 4. Enfoque de Evaluación de Riesgos 5. Identificación y Evaluación de opciones para el tratamiento de los Riesgos ISO 27001
  • 30. B. IMPLEMENTAR Y OPERAR EL SGSI IDENTIFICACION DE RIESGOS:  Captura de PC desde el exterior  Violación de e-mails  Robo de información  Violación de contraseñas  Destrucción de equipamiento  Virus  Programas “bomba”  Interrupción de los servicios  Acceso clandestino a redes  Acceso indebido a documentos impresos  Intercepción de comunicaciones  Falsificación de información para terceros ISO 27001
  • 31. C. USO DE TECNICAS DE CUANTIFICACION DE RIESGOS: ISO 27001
  • 32. D. MONITOREAR Y REVISAR EL SGSI  Detección de errores en los resultados de procesamiento  Verificar que las actividades planeadas y toda la normativa emitida se están aplicando correctamente  Aplicar indicadores para evaluar el desempeño del SGSI E. MANTENER Y MEJORAR EL SGSI Dado que los resultados del monitoreo determinan que el SGSI continúa siendo útil, deciden mantenerlo y darle seguimiento, bajo la condición de una constante actualización en relación a los cambios experimentados en la normativa y sobre todo en las condiciones de la organización. ISO 27001