SlideShare una empresa de Scribd logo

Lecciones SGSI ISO27001

Descargar como PPT, PDF
Maricarmen García de Ureña
Maricarmen García de Ureña

El documento presenta lecciones aprendidas de empresas que han implementado sistemas de gestión de seguridad de la información bajo el estándar ISO 27001. Entre las lecciones se encuentran: 1) No considerar solo los controles de seguridad sino también los elementos clave del sistema, 2) Seleccionar adecuadamente el método de análisis de riesgos, 3) Cumplir con la normativa aplicable además de la certificación.

Empresariales
1 de 23
Octubre, 2009 Expositor: Maricarmen García Risk Product Manager BSI Group México Lecciones aprendidas en la Implementación de Sistemas de Gestión de Seguridad de la Información bajo el estándar ISO 27001
• Introducción • Lecciones aprendidas por empresas que han implementado y certificado • Reflexiones Agenda:
Introducción
Introducción Un Sistema de Gestión de Seguridad de la Información, protege a los activos de información más valiosos de las empresas mediante la gestión adecuada de riesgos de seguridad de la información, con el objeto de implementar controles que garanticen la adecuada protección de los mismos.
Introducción Un SGSI cuenta con una estructura específica y constituido con ciertos elementos claves.
Introducción Una vez contemplado el alcance, límites y objetivos de un SGSI, los elementos clave, como punto de partida de una implementación adecuada son principalmente: 1. Identificación de Activos 2. Análisis y Evaluación de Riesgos (vulnerabilidades, amenazas, impactos, posibilidad) 1. Tratamiento de Riesgos (Decisión del riesgo = Aceptar, Evitar, Transferir, Controlar)
Introducción 4. Declaración de aplicabilidad - SoA (Selección de controles del Anexo A, para riesgos que se han decidido controlar) 4. Implementación de Controles declarados en el SoA 5. Política del SGSI 6. Documentación y registros específicos del SGSI
Introducción 8. Procesos y políticas del SGSI 9. Procedimientos de Auditorías Internas 10. Procedimientos de acciones preventivas y correctivas 11. Revisiones de la dirección
Lecciones aprendidas
Lecciones aprendidas por empresas que han implementado y certificado • Lección 1. Creer que la implementación de controles de seguridad es “el todo” sin considerar los elementos clave de un SGSI.
Lecciones aprendidas por empresas que han implementado y certificado • Lección 2. Una buena selección de un método de análisis de riesgos asegura el cumplimiento de una adecuada implementación de un SGSI.
Lecciones aprendidas por empresas que han implementado y certificado • Lección 3. Un SGSI adecuadamente implementado o certificado, no exime a las organizaciones del cumplimiento legal o regulatorio aplicable a las mismas.
Lecciones aprendidas por empresas que han implementado y certificado • Lección 4. Es un error considerar que mientras un SGSI cuente con la mayor parte de los 133 controles señalados en el ISO 27001, se garantiza una mejor seguridad de la información.
Lecciones aprendidas por empresas que han implementado y certificado • Lección 5. Sin el apoyo formal real de la Alta Dirección en las empresas, es imposible demostrar el logro del cumplimiento de una implementación
Lecciones aprendidas por empresas que han implementado y certificado • Lección 6. La concientización en seguridad de la información es un proceso continuo que mediante un programa de formación permite formar una cultura en seguridad de la información en el activo más valioso de información (gente) de las empresas.
Lecciones aprendidas por empresas que han implementado y certificado • Lección 7. Un SGSI debe operarse día a día, incorporando una adecuada a la gestión de riesgos e incidentes del día a día en la empresa.
Lecciones aprendidas por empresas que han implementado y certificado • Lección 8. Lograr un certificado de registro por una entidad certificadora es “sencillo” siempre y cuando se cumplan los criterios definidos en el estándar. Lo “difícil” es mantener el cumplimiento mediante auditorías de mantenimiento al SGSI.
Lecciones aprendidas por empresas que han implementado y certificado • Lección 9. Un SGSI debe de garantizar la continuidad de los procesos definidos en su alcance, por lo que la planeación de la continuidad debe de alinearse a ello y demostrar que en caso de un incidente se pueda seguir operando considerando los temas de seguridad que le corresponda tratar.
Reflexiones
Reflexiones ¿Si la información de nuestra organización es de interés público, debe darse a conocer? Al dar a conocer el logro de una implementación o la obtención de un certificado de registro de un SGSI ¿qué implicaciones tiene?
Gracias
BSI Líder Global • Certificador global líder con más de 68,000 localidades y clientes certificados en más de 120 países • Líder en auditorías y certificaciones de:  Continuidad del Negocio – BS 25999  Seguridad de la Información – ISO/IEC 27001  Gestión de Servicios TI – ISO/IEC 20000  Calidad – ISO 9001  Gestión Ambiental – ISO 14001  Automotriz – ISO/TS 16949  Aeroespacial – AS9100  Salud y Seguridad – OHSAS 18001  Alimentos – ISO 22000
Contáctenos Oficina Ciudad de México Torre Mayor Paseo de la Reforma No.505 Piso 41 Suite C México, Distrito Federal +52 (55) 5241 1370 +52 (55) 5241 1371 23 Oficina Monterrey, Nuevo León Torre Capitel Av. Lázaro Cárdenas No.1810 Piso 9 Suite 908 Monterrey, NL +52 (81) 8155 6100 +52 (81) 8155 6105 informacion.msmexico@bsigroup.com www.bsigroup.com.mx

Recomendados

Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
BI - Uso e Benefícios ( Business Intelligence )
BI - Uso e Benefícios ( Business Intelligence )BI - Uso e Benefícios ( Business Intelligence )
BI - Uso e Benefícios ( Business Intelligence )Marco Garcia
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Ammar Sassi
 
PECB Webinar: Rethinking Business Continuity: Applying ISO 22301 to improve r...
PECB Webinar: Rethinking Business Continuity: Applying ISO 22301 to improve r...PECB Webinar: Rethinking Business Continuity: Applying ISO 22301 to improve r...
PECB Webinar: Rethinking Business Continuity: Applying ISO 22301 to improve r...PECB
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 prontoAngélica Mancini
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfControlCase
 

Recomendados

Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001William Martins
 
BI - Uso e Benefícios ( Business Intelligence )
BI - Uso e Benefícios ( Business Intelligence )BI - Uso e Benefícios ( Business Intelligence )
BI - Uso e Benefícios ( Business Intelligence )Marco Garcia
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Ammar Sassi
 
PECB Webinar: Rethinking Business Continuity: Applying ISO 22301 to improve r...
PECB Webinar: Rethinking Business Continuity: Applying ISO 22301 to improve r...PECB Webinar: Rethinking Business Continuity: Applying ISO 22301 to improve r...
PECB Webinar: Rethinking Business Continuity: Applying ISO 22301 to improve r...PECB
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 prontoAngélica Mancini
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
ISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfISO 27001 2002 Update Webinar.pdf
ISO 27001 2002 Update Webinar.pdfControlCase
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BAGestión de la Calidad de UTN BA
 
27001 awareness Training
27001 awareness Training27001 awareness Training
27001 awareness TrainingDr Madhu Aman Sharma
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdfControlCase
 
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiBTYÖN Danışmanlık
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Sistema de conhecimento do trabalho
Sistema de conhecimento do trabalhoSistema de conhecimento do trabalho
Sistema de conhecimento do trabalhoDenilson Sousa
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Manuel Garcia Ramos
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaESET Brasil
 
Presentation on iso 27001-2013, Internal Auditing and BCM
Presentation on iso 27001-2013, Internal Auditing and BCMPresentation on iso 27001-2013, Internal Auditing and BCM
Presentation on iso 27001-2013, Internal Auditing and BCMShantanu Rai
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part Ikhushboo
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
Entendo Business Intelligence
Entendo Business IntelligenceEntendo Business Intelligence
Entendo Business IntelligenceDouglas Scheibler
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Sie
SieSie
SieLillian Alessandra
 
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018Schellman & Company
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxAmorFranois
 
SGSI - Seguridad Informatica
SGSI - Seguridad InformaticaSGSI - Seguridad Informatica
SGSI - Seguridad InformaticaRamón Segura Garijo
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 

Más contenido relacionado

La actualidad más candente

Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000Fernando Palma
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdfControlCase
 
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiBTYÖN Danışmanlık
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Sistema de conhecimento do trabalho
Sistema de conhecimento do trabalhoSistema de conhecimento do trabalho
Sistema de conhecimento do trabalhoDenilson Sousa
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaESET Brasil
 
Presentation on iso 27001-2013, Internal Auditing and BCM
Presentation on iso 27001-2013, Internal Auditing and BCMPresentation on iso 27001-2013, Internal Auditing and BCM
Presentation on iso 27001-2013, Internal Auditing and BCMShantanu Rai
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part Ikhushboo
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Cleber Fonseca
 
Entendo Business Intelligence
Entendo Business IntelligenceEntendo Business Intelligence
Entendo Business IntelligenceDouglas Scheibler
 
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018Schellman & Company
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxAmorFranois
 

La actualidad más candente (20)

Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
 
Normas da família ISO 27000
Normas da família ISO 27000Normas da família ISO 27000
Normas da família ISO 27000
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
 
27001 awareness Training
27001 awareness Training27001 awareness Training
27001 awareness Training
 
2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf2022-Q2-Webinar-ISO_Spanish_Final.pdf
2022-Q2-Webinar-ISO_Spanish_Final.pdf
 
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi EğitimiISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
ISO/IEC 27005 Bilgi Güvenliği Risk Yönetimi Eğitimi
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Sistema de conhecimento do trabalho
Sistema de conhecimento do trabalhoSistema de conhecimento do trabalho
Sistema de conhecimento do trabalho
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
 
Presentation on iso 27001-2013, Internal Auditing and BCM
Presentation on iso 27001-2013, Internal Auditing and BCMPresentation on iso 27001-2013, Internal Auditing and BCM
Presentation on iso 27001-2013, Internal Auditing and BCM
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part I
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
Entendo Business Intelligence
Entendo Business IntelligenceEntendo Business Intelligence
Entendo Business Intelligence
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Sie
SieSie
Sie
 
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
Locking Up Your Cloud Environment: An Introduction to ISO/IEC 27017 and 27018
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
 

Similar a Lecciones SGSI ISO27001

Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Informaciónferd3116
 
Estándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaEstándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaPedro Cobarrubias
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroHeissel21
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas pocketbox
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionDarwin Calix
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Nqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionNqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionjulio robles
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.Fer22P
 
Present. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaPresent. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaIsis Licona
 

Similar a Lecciones SGSI ISO27001 (20)

SGSI - Seguridad Informatica
SGSI - Seguridad InformaticaSGSI - Seguridad Informatica
SGSI - Seguridad Informatica
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
 
Presentación sgsi janethpiscoya
Presentación sgsi janethpiscoyaPresentación sgsi janethpiscoya
Presentación sgsi janethpiscoya
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Estándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaEstándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informática
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
 
Sistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoroSistema de gestion de la informacion heidy villatoro
Sistema de gestion de la informacion heidy villatoro
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
ISO 27001.pdf
ISO 27001.pdfISO 27001.pdf
ISO 27001.pdf
 
Nqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionNqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacion
 
Resumen de sgsi
Resumen de sgsiResumen de sgsi
Resumen de sgsi
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Auditoria inf.
Auditoria inf.Auditoria inf.
Auditoria inf.
 
Present. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis liconaPresent. int. a los sgsi.... isis licona
Present. int. a los sgsi.... isis licona
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 

Más de Maricarmen García de Ureña

Bsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocioBsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocioMaricarmen García de Ureña
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000Maricarmen García de Ureña
 
ISO 22301 Seguridad de las sociedades- Continuidad del negocio
ISO 22301 Seguridad de las sociedades- Continuidad del negocioISO 22301 Seguridad de las sociedades- Continuidad del negocio
ISO 22301 Seguridad de las sociedades- Continuidad del negocioMaricarmen García de Ureña
 
Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Maricarmen García de Ureña
 
Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnolo...
Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnolo...Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnolo...
Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnolo...Maricarmen García de Ureña
 
Cicon 2008 coordinación con autoridades externas
Cicon 2008 coordinación con autoridades externasCicon 2008 coordinación con autoridades externas
Cicon 2008 coordinación con autoridades externasMaricarmen García de Ureña
 
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso223012.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301Maricarmen García de Ureña
 
Integración de continuidad del negocio con iso27001 v2
Integración de continuidad del negocio con iso27001 v2Integración de continuidad del negocio con iso27001 v2
Integración de continuidad del negocio con iso27001 v2Maricarmen García de Ureña
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaAuditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaMaricarmen García de Ureña
 

Más de Maricarmen García de Ureña (14)

Bsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocioBsi el papel del liderazgo en la continuidad del negocio
Bsi el papel del liderazgo en la continuidad del negocio
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
 
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
Cómo enfrentar riesgos integrales del negocio sin dejar de operar, ISO 31000
 
ISO 22301 Seguridad de las sociedades- Continuidad del negocio
ISO 22301 Seguridad de las sociedades- Continuidad del negocioISO 22301 Seguridad de las sociedades- Continuidad del negocio
ISO 22301 Seguridad de las sociedades- Continuidad del negocio
 
Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013Webinar que puedes esperar de la nueva ISO 27001:2013
Webinar que puedes esperar de la nueva ISO 27001:2013
 
Auditoría del SGCN según ISO 22301
Auditoría del SGCN según ISO 22301Auditoría del SGCN según ISO 22301
Auditoría del SGCN según ISO 22301
 
Interpretación del ISO 27031
Interpretación del ISO 27031Interpretación del ISO 27031
Interpretación del ISO 27031
 
Caso de real -Dir Finannzas CFE
Caso de real -Dir Finannzas CFECaso de real -Dir Finannzas CFE
Caso de real -Dir Finannzas CFE
 
ANUIES 2009. Tendencias en Sistemas de Gestion
ANUIES 2009. Tendencias en Sistemas de GestionANUIES 2009. Tendencias en Sistemas de Gestion
ANUIES 2009. Tendencias en Sistemas de Gestion
 
Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnolo...
Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnolo...Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnolo...
Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnolo...
 
Cicon 2008 coordinación con autoridades externas
Cicon 2008 coordinación con autoridades externasCicon 2008 coordinación con autoridades externas
Cicon 2008 coordinación con autoridades externas
 
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso223012.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
2.maricarmen garcia.riesgosasociadoscontinuidadnegocioiso22301
 
Integración de continuidad del negocio con iso27001 v2
Integración de continuidad del negocio con iso27001 v2Integración de continuidad del negocio con iso27001 v2
Integración de continuidad del negocio con iso27001 v2
 
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de UreñaAuditando un SGCN en ISO 22301 Maricarmen García de Ureña
Auditando un SGCN en ISO 22301 Maricarmen García de Ureña
 

Último

Elección supervisor y comité SST 2020.pptx
Elección supervisor y comité SST 2020.pptxElección supervisor y comité SST 2020.pptx
Elección supervisor y comité SST 2020.pptxDiegoQuispeHuaman
 
Habilidades de un ejecutivo y sus caracteristicas.pptx
Habilidades de un ejecutivo y sus caracteristicas.pptxHabilidades de un ejecutivo y sus caracteristicas.pptx
Habilidades de un ejecutivo y sus caracteristicas.pptxLUISALEJANDROPEREZCA1
 
PRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURA
PRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURAPRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURA
PRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURAgisellgarcia92
 
BLOQUE I HISTOLOGIA segundo año medicina Primer bloque primer parcial
BLOQUE I HISTOLOGIA segundo año medicina Primer bloque primer parcialBLOQUE I HISTOLOGIA segundo año medicina Primer bloque primer parcial
BLOQUE I HISTOLOGIA segundo año medicina Primer bloque primer parcial2811436330101
 
Tema Documentos mercantiles para uso de contabilidad.pdf
Tema Documentos mercantiles para uso de contabilidad.pdfTema Documentos mercantiles para uso de contabilidad.pdf
Tema Documentos mercantiles para uso de contabilidad.pdfmaryisabelpantojavar
 
T.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptx
T.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptxT.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptx
T.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptxLizCarolAmasifuenIba
 
AFILIACION CAJA NACIONAL DE SALUD WOM 1 .pdf
AFILIACION CAJA NACIONAL DE SALUD WOM 1 .pdfAFILIACION CAJA NACIONAL DE SALUD WOM 1 .pdf
AFILIACION CAJA NACIONAL DE SALUD WOM 1 .pdfOdallizLucanaJalja1
 
T.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdf
T.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdfT.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdf
T.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdfLizCarolAmasifuenIba
 
20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf
20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf
20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdfRamon Costa i Pujol
 
Coca cola organigrama de proceso empresariales.pptx
Coca cola organigrama de proceso empresariales.pptxCoca cola organigrama de proceso empresariales.pptx
Coca cola organigrama de proceso empresariales.pptxJesDavidZeta
 
PROCESO PRESUPUESTARIO - .administracion
PROCESO PRESUPUESTARIO - .administracionPROCESO PRESUPUESTARIO - .administracion
PROCESO PRESUPUESTARIO - .administracionDayraCastaedababilon
 
15. NORMATIVA DE SST - LA LEY 29783.pptx
15. NORMATIVA DE SST - LA LEY 29783.pptx15. NORMATIVA DE SST - LA LEY 29783.pptx
15. NORMATIVA DE SST - LA LEY 29783.pptxAndreaAlessandraBoli
 
CADENA DE SUMINISTROS DIAPOSITIVASS.pptx
CADENA DE SUMINISTROS DIAPOSITIVASS.pptxCADENA DE SUMINISTROS DIAPOSITIVASS.pptx
CADENA DE SUMINISTROS DIAPOSITIVASS.pptxYesseniaGuzman7
 
Pensamiento Lógico - Matemático USB Empresas
Pensamiento Lógico - Matemático USB EmpresasPensamiento Lógico - Matemático USB Empresas
Pensamiento Lógico - Matemático USB Empresasanglunal456
 
PPT Empresas IANSA Sobre Recursos Humanos.pdf
PPT Empresas IANSA Sobre Recursos Humanos.pdfPPT Empresas IANSA Sobre Recursos Humanos.pdf
PPT Empresas IANSA Sobre Recursos Humanos.pdfihmorales
 
¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?
¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?
¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?Michael Rada
 
estadistica funcion distribucion normal.ppt
estadistica funcion distribucion normal.pptestadistica funcion distribucion normal.ppt
estadistica funcion distribucion normal.pptMiguelAngel653470
 
La electrónica y electricidad finall.pdf
La electrónica y electricidad finall.pdfLa electrónica y electricidad finall.pdf
La electrónica y electricidad finall.pdfDiegomauricioMedinam
 
Gastos que no forman parte del Valor en Aduana de la mercadería importada
Gastos que no forman parte del Valor en Aduana de la mercadería importadaGastos que no forman parte del Valor en Aduana de la mercadería importada
Gastos que no forman parte del Valor en Aduana de la mercadería importadaInstituto de Capacitacion Aduanera
 
u1_s4_gt_la demanda y la oferta global_b27t9rulx9 (1).pptx
u1_s4_gt_la demanda y la oferta global_b27t9rulx9 (1).pptxu1_s4_gt_la demanda y la oferta global_b27t9rulx9 (1).pptx
u1_s4_gt_la demanda y la oferta global_b27t9rulx9 (1).pptxUrabeSj
 

Último (20)

Elección supervisor y comité SST 2020.pptx
Elección supervisor y comité SST 2020.pptxElección supervisor y comité SST 2020.pptx
Elección supervisor y comité SST 2020.pptx
 
Habilidades de un ejecutivo y sus caracteristicas.pptx
Habilidades de un ejecutivo y sus caracteristicas.pptxHabilidades de un ejecutivo y sus caracteristicas.pptx
Habilidades de un ejecutivo y sus caracteristicas.pptx
 
PRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURA
PRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURAPRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURA
PRESENTACIÓN NOM-009-STPS-2011 TRABAJOS EN ALTURA
 
BLOQUE I HISTOLOGIA segundo año medicina Primer bloque primer parcial
BLOQUE I HISTOLOGIA segundo año medicina Primer bloque primer parcialBLOQUE I HISTOLOGIA segundo año medicina Primer bloque primer parcial
BLOQUE I HISTOLOGIA segundo año medicina Primer bloque primer parcial
 
Tema Documentos mercantiles para uso de contabilidad.pdf
Tema Documentos mercantiles para uso de contabilidad.pdfTema Documentos mercantiles para uso de contabilidad.pdf
Tema Documentos mercantiles para uso de contabilidad.pdf
 
T.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptx
T.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptxT.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptx
T.A CONSTRUCCION DEL PUERTO DE CHANCAY.pptx
 
AFILIACION CAJA NACIONAL DE SALUD WOM 1 .pdf
AFILIACION CAJA NACIONAL DE SALUD WOM 1 .pdfAFILIACION CAJA NACIONAL DE SALUD WOM 1 .pdf
AFILIACION CAJA NACIONAL DE SALUD WOM 1 .pdf
 
T.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdf
T.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdfT.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdf
T.A- CONTRUCCION DEL PUERTO DE CHANCAY.pdf
 
20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf
20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf
20240418-CambraSabadell-SesInf-AdopTecnologica-CasoPractico.pdf
 
Coca cola organigrama de proceso empresariales.pptx
Coca cola organigrama de proceso empresariales.pptxCoca cola organigrama de proceso empresariales.pptx
Coca cola organigrama de proceso empresariales.pptx
 
PROCESO PRESUPUESTARIO - .administracion
PROCESO PRESUPUESTARIO - .administracionPROCESO PRESUPUESTARIO - .administracion
PROCESO PRESUPUESTARIO - .administracion
 
15. NORMATIVA DE SST - LA LEY 29783.pptx
15. NORMATIVA DE SST - LA LEY 29783.pptx15. NORMATIVA DE SST - LA LEY 29783.pptx
15. NORMATIVA DE SST - LA LEY 29783.pptx
 
CADENA DE SUMINISTROS DIAPOSITIVASS.pptx
CADENA DE SUMINISTROS DIAPOSITIVASS.pptxCADENA DE SUMINISTROS DIAPOSITIVASS.pptx
CADENA DE SUMINISTROS DIAPOSITIVASS.pptx
 
Pensamiento Lógico - Matemático USB Empresas
Pensamiento Lógico - Matemático USB EmpresasPensamiento Lógico - Matemático USB Empresas
Pensamiento Lógico - Matemático USB Empresas
 
PPT Empresas IANSA Sobre Recursos Humanos.pdf
PPT Empresas IANSA Sobre Recursos Humanos.pdfPPT Empresas IANSA Sobre Recursos Humanos.pdf
PPT Empresas IANSA Sobre Recursos Humanos.pdf
 
¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?
¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?
¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?
 
estadistica funcion distribucion normal.ppt
estadistica funcion distribucion normal.pptestadistica funcion distribucion normal.ppt
estadistica funcion distribucion normal.ppt
 
La electrónica y electricidad finall.pdf
La electrónica y electricidad finall.pdfLa electrónica y electricidad finall.pdf
La electrónica y electricidad finall.pdf
 
Gastos que no forman parte del Valor en Aduana de la mercadería importada
Gastos que no forman parte del Valor en Aduana de la mercadería importadaGastos que no forman parte del Valor en Aduana de la mercadería importada
Gastos que no forman parte del Valor en Aduana de la mercadería importada
 
u1_s4_gt_la demanda y la oferta global_b27t9rulx9 (1).pptx
u1_s4_gt_la demanda y la oferta global_b27t9rulx9 (1).pptxu1_s4_gt_la demanda y la oferta global_b27t9rulx9 (1).pptx
u1_s4_gt_la demanda y la oferta global_b27t9rulx9 (1).pptx
 

Lecciones SGSI ISO27001

  • 1. Octubre, 2009 Expositor: Maricarmen García Risk Product Manager BSI Group México Lecciones aprendidas en la Implementación de Sistemas de Gestión de Seguridad de la Información bajo el estándar ISO 27001
  • 2. • Introducción • Lecciones aprendidas por empresas que han implementado y certificado • Reflexiones Agenda:
  • 4. Introducción Un Sistema de Gestión de Seguridad de la Información, protege a los activos de información más valiosos de las empresas mediante la gestión adecuada de riesgos de seguridad de la información, con el objeto de implementar controles que garanticen la adecuada protección de los mismos.
  • 5. Introducción Un SGSI cuenta con una estructura específica y constituido con ciertos elementos claves.
  • 6. Introducción Una vez contemplado el alcance, límites y objetivos de un SGSI, los elementos clave, como punto de partida de una implementación adecuada son principalmente: 1. Identificación de Activos 2. Análisis y Evaluación de Riesgos (vulnerabilidades, amenazas, impactos, posibilidad) 1. Tratamiento de Riesgos (Decisión del riesgo = Aceptar, Evitar, Transferir, Controlar)
  • 7. Introducción 4. Declaración de aplicabilidad - SoA (Selección de controles del Anexo A, para riesgos que se han decidido controlar) 4. Implementación de Controles declarados en el SoA 5. Política del SGSI 6. Documentación y registros específicos del SGSI
  • 8. Introducción 8. Procesos y políticas del SGSI 9. Procedimientos de Auditorías Internas 10. Procedimientos de acciones preventivas y correctivas 11. Revisiones de la dirección
  • 10. Lecciones aprendidas por empresas que han implementado y certificado • Lección 1. Creer que la implementación de controles de seguridad es “el todo” sin considerar los elementos clave de un SGSI.
  • 11. Lecciones aprendidas por empresas que han implementado y certificado • Lección 2. Una buena selección de un método de análisis de riesgos asegura el cumplimiento de una adecuada implementación de un SGSI.
  • 12. Lecciones aprendidas por empresas que han implementado y certificado • Lección 3. Un SGSI adecuadamente implementado o certificado, no exime a las organizaciones del cumplimiento legal o regulatorio aplicable a las mismas.
  • 13. Lecciones aprendidas por empresas que han implementado y certificado • Lección 4. Es un error considerar que mientras un SGSI cuente con la mayor parte de los 133 controles señalados en el ISO 27001, se garantiza una mejor seguridad de la información.
  • 14. Lecciones aprendidas por empresas que han implementado y certificado • Lección 5. Sin el apoyo formal real de la Alta Dirección en las empresas, es imposible demostrar el logro del cumplimiento de una implementación
  • 15. Lecciones aprendidas por empresas que han implementado y certificado • Lección 6. La concientización en seguridad de la información es un proceso continuo que mediante un programa de formación permite formar una cultura en seguridad de la información en el activo más valioso de información (gente) de las empresas.
  • 16. Lecciones aprendidas por empresas que han implementado y certificado • Lección 7. Un SGSI debe operarse día a día, incorporando una adecuada a la gestión de riesgos e incidentes del día a día en la empresa.
  • 17. Lecciones aprendidas por empresas que han implementado y certificado • Lección 8. Lograr un certificado de registro por una entidad certificadora es “sencillo” siempre y cuando se cumplan los criterios definidos en el estándar. Lo “difícil” es mantener el cumplimiento mediante auditorías de mantenimiento al SGSI.
  • 18. Lecciones aprendidas por empresas que han implementado y certificado • Lección 9. Un SGSI debe de garantizar la continuidad de los procesos definidos en su alcance, por lo que la planeación de la continuidad debe de alinearse a ello y demostrar que en caso de un incidente se pueda seguir operando considerando los temas de seguridad que le corresponda tratar.
  • 20. Reflexiones ¿Si la información de nuestra organización es de interés público, debe darse a conocer? Al dar a conocer el logro de una implementación o la obtención de un certificado de registro de un SGSI ¿qué implicaciones tiene?
  • 22. BSI Líder Global • Certificador global líder con más de 68,000 localidades y clientes certificados en más de 120 países • Líder en auditorías y certificaciones de:  Continuidad del Negocio – BS 25999  Seguridad de la Información – ISO/IEC 27001  Gestión de Servicios TI – ISO/IEC 20000  Calidad – ISO 9001  Gestión Ambiental – ISO 14001  Automotriz – ISO/TS 16949  Aeroespacial – AS9100  Salud y Seguridad – OHSAS 18001  Alimentos – ISO 22000
  • 23. Contáctenos Oficina Ciudad de México Torre Mayor Paseo de la Reforma No.505 Piso 41 Suite C México, Distrito Federal +52 (55) 5241 1370 +52 (55) 5241 1371 23 Oficina Monterrey, Nuevo León Torre Capitel Av. Lázaro Cárdenas No.1810 Piso 9 Suite 908 Monterrey, NL +52 (81) 8155 6100 +52 (81) 8155 6105 informacion.msmexico@bsigroup.com www.bsigroup.com.mx