SlideShare uma empresa Scribd logo

Curso ai iso 27001

Transferir como PPTX, PDF
M
marojaspe

Este documento presenta información sobre la interpretación y auditoría de la norma ISO/IEC 27001:2005 de sistemas de gestión de seguridad de la información. Incluye definiciones clave, el proceso de auditoría, y detalles sobre la estructura y requisitos de la norma ISO 27001.

1 de 60
Interpretación y Auditoría ISO / IEC 27001:2005
Bienvenidos
Reglas del juego Buenas prácticas para el taller Evitemos hacer uso de equipos portátiles Evitemos hacer uso de teléfonos, configurémoslos en vibrador. Seamos respetuosos y ordenados al hacer aportaciones Tomemos notas acerca de temas valiosos
Bienvenidos Conozcámonos ¿Expectativas? ¿Necesidades? ¿Intereses?
Su presentador Guillermo Cruz Aguayo • Lic. Sistemas de Cómputo Administrativo • 12+ años de experiencia en Sistemas de Gestión: • Ha lidereado más de 80 auditorías de certificación de SGC con diferentes organismos certificadores. • Cursos Auditor Líder con (EQA, DNV, FS) • Instructor en Seguridad de Información para Triara con el respaldo de Dicta Consulting y Pink Elephant. • • • • • Ha asesorado más de 60 empresas en procesos de certificación de Sistemas de Gestión ISO ISO 9001 BS 7799 ISO 27001 ISO 14001 • Experto Técnico en Tecnologías de Información ante la EMA para : • Factual Services • CIM Certificación • En Armstrong Laboratorios de México: • Jefe de Seguridad de Información, Funcional SAP & Basis.
Recordando el Proceso de Auditoría
Recordando el Proceso de Auditoría
Concepto de competencia Calidad Conocimientos y habilidades específicos de calidad. Educación Conocimientos y habilidades genéricos Experiencia en auditorías Seguridad de Información Conocimientos y habilidades específicos de Seguridad de Información. Formación como auditor Cualidades personales Experiencia laboral
Definiciones Seguridad de Información
Información Definiciones Se puede conceptualizar a la informaciónInformación conjunto como un de datos con un propósito en particular Criterios de decisión Bases de datos Bits y Bytes Dinero
Seguridad de la Información Definiciones • La Seguridad de la información se define como la preservación de las siguientes características: o Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella. o Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. o Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera. Confidencialidad Integridad Disponibilidad
Seguridad de la Información Definiciones • • • • • Seguridad de la Información (SI).- Preservación de la confidencialidad, integridad y disponibilidad de la información; adicionalmente autenticidad, responsabilidad, no repudio y confiabilidad. SGSI.- es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la información. Activo.- Algo que tiene valor para la organización (ISO/IEC 13335-1:2004) Amenaza.- Evento que puede provocar un incidente en la organización produciendo daños o pérdidas materiales y/o inmateriales Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias externas.
Seguridad de la Información Definiciones • • • • El SGSI: Sistema de Gestión de Seguridad de la Información. La Gestión de la Seguridad de la Información ,debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Garantizar un nivel de protección total es imposible incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
Algunas Definiciones Previas.. ¿Por Qué Gestión De Riesgos De La Información? • • • Necesidad de Proteger la Información Sin embargo, esto puede generar: o Crecimiento de cantidad y complejidad de los controles o Pérdida del foco de actividades (Seguridad vs Negocio) Por otra parte, requiere: o Mediciones del impacto producido por los controles en seguridad o Aplicar un criterio de negocios
Cómo Gestionar el Riesgo Principio del Cocodrilo
El principio del cocodrilo • Identifique la Amenaza (Nombre y Apellido)
El principio del cocodrilo • Evalúe el riesgo
El principio del cocodrilo • Elimine el riesgo desde su origen
El principio del cocodrilo • Halle otra alternativa
El principio del cocodrilo • Aisle (contenga) el riesgo
El principio del cocodrilo • Protejase contra el riesgo
El principio del cocodrilo • Si nada funciona, prepárese para salir de ahí.
La desconfianza es madre de la seguridad. Aristófanes.
Conceptos 27001:2005
Seguridad de la Información Propósito fundamental Alto Impacto al negocio Transferir Bajo Aceptar Evitar Nivel de riesgo inaceptable El propósito fundamental de la seguridad es: “Administrar el riesgo al cual la organización se encuentra expuesta con respecto a la información” Nivel de riesgo aceptable Reducir Alto Probabilidad de que se aprovechen las brechas de seguridad
Seguridad de la Información Niveles óptimos de seguridad Costo de Implementar Una Solución de Seguridad Costo Total $ Costo de una pérdida de Información 100% Nivel de seguridad
Seguridad de la Información Realidad actual EL PAPEL DE LA SEGURIDAD Riesgos y cumplimiento Presupuesto limitado Habilitador de negocio
Riesgo La contraparte de la seguridad • Amenaza: un evento o situación que podría generar peligro, heridas o pérdidas. • Probabilidad: la posibilidad de que una amenaza se materialice. • Vulnerabilidad: es el grado de debilidad Amenazas de un elemento frente a una amenaza. • Impacto: el daño ocasionado por una amenaza tras su materialización. El riesgo para una amenaza está en función de la probabilidad, la vulnerabilidad y el impacto R(A) = f(P, V, I) Vulnerabilidades
Control Contraposición a la vulnerabilidad Políticas Prácticas Control Procedimientos Estructuras Organizacionales
Antecedentes ISO/IEC 27001:2005
Antecedentes Ruta histórica 1993 1995 No Certificable Certificable 1989 1998 BS 7799-2 Código de práctica para usuarios 1989 PD0003 Código de prácticas para SGSI 1993 1999 2002 BS 77992:1999 BS 77992:2002 2005 ISO/IEC 27001:2005 BS 7799 1995 1998 1999 2002 2005
Antecedentes Formalización de la norma Aprobada y publicada en 2005. Revisión por parte del International Organization for Standarization y la comisión International Electrotechnical Comission. Refleja los principios de la Organization for Economic Cooperation and Development. Norma Internacional
Antecedentes La familia ISO 27000 ISO/IEC Descripción 27000 Vocabulario y definiciones 27001 Especificación de la estructura metodológica (basada en el BS7799-2:2002) – Norma Certificable 27002 Código de prácticas (basada en ISO17799:2005). 27003 Guía de implementación. 27004 Métricas y medidas. 27005 La Administración del Riesgo (basado BS 7799-3)
Detalle De La Norma ISO/IEC 27001:2005
Introducción ISO/IEC 27001:2005 Generalidades • El estándar ISO/IEC 27001:2005 específica un enfoque en los siguientes temas: 1. 2. 3. 4. 5. 6. 7. Principios y Gestión de Seguridad Responsabilidades de la Gestión de Seguridad Enfoque de “arriba hacia abajo” Gestión de Riesgo Toma de Conciencia de Seguridad Continuidad del Negocio y Gestión de Desastres Cumplimiento Legal
Introducción ISO/IEC 27001:2005 Ciclo PDCA – Mejora Continua Partes interesadas: Clientes Proveedores Usuarios Accionistas Otros Requerimientos y Expectativas de Seguridad de Información Partes interesadas: Establecimiento del SGSI PLAN Implementación del SGSI Mejora del SGSI ACT DO Monitoreo y revisión del SGSI CHECK Clientes Proveedores Usuarios Accionistas Otros Requerimientos y Expectativas de Seguridad de Información
Introducción ISO/IEC 27001:2005 Modelo de Madurez de Seguridad de Información Nivel 5 Sistema Optimizado Procesos inconsistentes Nivel 4 Sistema Administrado Procesos desorganizados Procesos inexistentes Nivel 2 Sistema Intuitivo Nivel 1 Sistema Intermitente Nivel 0 Sistema Inexistente Nivel 3 Sistema Definido Mejores prácticas Procesos medidos y monitoreados Procesos documentados y comunicados
Estructura de la norma ISO/IEC 27001:2005
Estructura ISO/IEC 27001:2005 • • • • • • • • • • 0. Introducción 1. Alcance 2. Referencias Normativas 3. Definiciones y Terminología 4. Sistema de Gestión para la Seguridad de la Información 5. Responsabilidad de la gerencia. 6. Auditorias Internas para el SGSI 7. Revisión Gerencial del SGSI 8. Mejora del SGSI Anexo A: Objetivos y controles Dominio A.5 Política de Seguridad A.6 Organización de la SI A.7 Gestión de activos A.8 Seguridad de los recursos humanos A.9 Seguridad física y ambiental A.10 Gestión de comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición, desarrollo y mantenimiento de sistemas de información A.13 Gestión de incidentes de SI A.14 Gestión de la continuidad A.15 Cumplimiento
Estructura de ISO/IEC 27001:2005 Prólogo normativo • • El estándar ISO/IEC 27001:2005 tiene un total de 46 requerimientos explícitos que deben ser atendidos de forma cabal. Los requerimientos deberán ser revisados y medidos a intervalos planeados para garantizar la efectividad y eficiencia de los controles que proponen. Clausula 4 Clausula 6 Clausula 8 Clausula 5 Clausula 7 17% 44% 13% 17% 9%
Estructura de ISO/IEC 27001:2005 Prólogo normativo 0. Introducción 1. Alcance 2. Referencias Normativas 3. Términos y Definiciones • 0.1 General • 0.2 Enfoque a procesos • 0.3 Compatibilidad con otros Sistemas de Gestión • 1.1 General • 1.2 Aplicación
Estructura de ISO/IEC 27001:2005 Prólogo normativo 4. Sistema de Gestión de Seguridad de Información (Enfoque a Riesgos) 5. Responsabilidad de la Dirección • 4.1 Requerimientos Generales • 4.2 Estableciendo y Administrando el SGSI • 4.2.1 Estableciendo el SGSI • 4.2.2 Implementando y Operando el SGSI • 4.2.3 Monitoreando y Revisando el SGSI • 4.2.4 Manteniendo y Mejorando el SGSI • 4.3 Requerimientos de Documentación • 4.3.1 General • 4.3.2 Control de documentos • 4.3.3 Control de Registros • 5.1 Compromiso de la Dirección • 5.2 Gestión de Recursos • 5.2.1 Provisión de Recursos • 5.2.2 Capacitación, difusión y competencia
Estructura de ISO/IEC 27001:2005 Prólogo normativo 6. Auditorías Internas 7. Revisión Gerencial del SGSI 8. Mejora del SGSI Anexo A • 7.1 General • 7.2 Entradas para la Revisión • 7.3 Salidas de la Revisión • 8.1 Mejora Continua • 8.2 Acciones Correctivas • 8.3 Acciones Preventivas
Estructura de ISO/IEC 27001:2005 Prólogo normativo • La documentación obligatoria de un SGSI de acuerdo a la norma es: o o o o o o o o o Política y objetivos de seguridad Alcance Procedimientos de gestión Metodología de análisis de riesgos Reporte de análisis de riesgos Plan de tratamiento de riesgos Declaración de aplicabilidad Métricas de efectividad Registros de capacitación, compromiso gerencial, auditorías, etc.
Estructura de ISO/IEC 27001:2005 Dinámica • Equipos: Hasta tres personas • Tiempo: 45 minutos de análisis, 15 minutos • por exposición. Actividad: o Analizar un apartado del prólogo normativo, realizar una presentación básica del tema. o Identificar: documentos requeridos, registros requeridos por apartado, actividades a realizar.
Estructura de ISO/IEC 27001:2005 Anexo A • • El estándar ISO/IEC 27001:2005 tiene un total de 133 controles ordenados en 11 dominios de control. Es necesario declarar la aplicabilidad de cada uno de ellos, de acuerdo al alcance del SGSI. A.5 A.9 A.13 4% 4% A.6 A.10 A.14 A.7 A.11 A.15 1% 7% 8% 12% 19% A.8 A.12 4% 7% 10% 24%
Estructura de ISO/IEC 27001:2005 Anexo A.5 Política de la Seguridad de Información 1 Objetivos de Control 2 Controles Objetivo: Proveer la dirección y soporte ejecutivo a la seguridad de información de acuerdo a los requerimientos de negocio, a las regulaciones relevantes y a los requerimientos impuestos.
Estructura de ISO/IEC 27001:2005 Anexo A.6 Organización para la Seguridad Rol 2 2 Objetivos de Control ------------ 11 Controles Empleado 1 Objetivo: Definir el conjunto de responsables en la administración de la seguridad de información, así como las interacciones entre estos responsables, la organización, sus empleados y grupos externos. Rol 1 ------------ Rol 3 ------- -----Empleado 2
Estructura de ISO/IEC 27001:2005 Anexo A.7 Gestión de Activos 2 Objetivos de Control 5 Controles Objetivo: Identificar, resguardar y proteger de manera adecuada los activos de la organización. Activo Clasificación Servidor 1 Confidencial Documento 1 Restringido Computadora 1 Confidencial
Estructura de ISO/IEC 27001:2005 Anexo A.8 Seguridad en Recursos Humanos 3 Objetivos de Control 9 Controles Recursos Humanos Externos Objetivo: Asegurar el cumplimiento de la normativa de Seguridad de Información durante la selección, contratación y termino de empleo o contrato de los aspirantes, colaboradores internos o externos, contratistas o terceras partes que tengan o vayan a tener acceso a los activos organizacionales. Procesos Disciplinarios Responsabilidades Política de Seguridad de Información
Estructura de ISO/IEC 27001:2005 Anexo A.9 Seguridad Física y ambiental 2 Objetivos de Control 13 Controles Objetivo: Estructurar el conjunto de controles de restricción física para salvaguardar la integridad de los activos de información organizacional, sea cual sea su naturaleza.
Estructura de ISO/IEC 27001:2005 Anexo A.10 Gestión de Operaciones 10 Objetivos de Control 32 Controles Objetivo: Generar un conjunto de controles que garanticen la seguridad de información a través de cualquier tipo de flujo que sea parte de la operación diaria de la empresa.
Estructura de ISO/IEC 27001:2005 Anexo A.11 Control de Accesos 7 Objetivos de Control 25 Controles Objetivo: Salvaguardar todos los recursos tecnológicos de la organización de eventos intencionados como el robo o manipulación de la información.
Estructura de ISO/IEC 27001:2005 Anexo A.12 Adquisición y Desarrollo de Aplicaciones ¿Cómo se accede? 6 Objetivos de Control ¿Dónde se ubicarán? 16 Controles Objetivo: Asegurar que las actividades derivadas de la adquisición, desarrollo y mantenimiento de los Sistemas de Información cumple con los requerimientos de Seguridad de Información establecidos por la misma. ¿Qué entidades harán uso de los sistemas? ¿Qué requerimientos Técnicos necesita para la Seguridad?
Estructura de ISO/IEC 27001:2005 Anexo A.13 Gestión de Incidentes Detección de Incidente 2 Objetivos de Control Advertencia Indica la posible ocurrencia de un incidente Indicador Indica que un incidente ocurrió o está ocurriendo 5 Controles Objetivo: Restaurar los servicios y nivel de seguridad requeridos lo más rápido posible, con la finalidad de minimizar el impacto en la organización. EAI Usuarios Herramientas
Estructura de ISO/IEC 27001:2005 Anexo A.14 Gestión de la Continuidad 1 Objetivos de Control 5 Controles Objetivo: Proteger y asegurar la oportuna reanudación de los procesos críticos del negocio en caso de un desastre o falla tecnológica.
Estructura de ISO/IEC 27001:2005 Anexo A.15 Cumplimiento Requerimientos Identificados 3 Objetivos de Control 10 Controles Objetivo: Asegurar el establecimiento de las medidas de control, efectividad, revisión y corrección que permitan garantizar el cumplimiento de las Regulaciones, Leyes, Estándares, Acuerdos Contractuales y Requerimientos de cumplimiento internos de la Organización con respecto a la Seguridad de Información. Ejemplos: • Política de Seguridad de Información • Proceso de Control de Registros • Política de Uso de Información • Controles Criptográficos • Proceso de Auditoría • Controles de Sistemas de Información • Penalizaciones Políticas y Estándares Procesos Controles
Estructura de ISO/IEC 27001:2005 Dinámica • Equipos: Hasta tres personas • Tiempo: 45 minutos de análisis, 10 minutos • de explicación por dominio (considerar A.5 como obligatorio) Actividad: o Revisar caso de riesgo identificado en Patito S.A. de C.V. o Identificar aplicabilidad de controles por anexo asignado.
Conclusiones
Conclusiones • • • • • • • La Seguridad de la Información es un proceso. La Seguridad de la Información se basa en personas. La Seguridad de la Información debe orientarse al riesgo. Un buen SGSI es un sistema rentable para la organización. No existe la seguridad absoluta. El SGSI ayuda a la administración general de una empresa. Hay que definir estrategias de negocio y huir de actuaciones puntuales sin criterios de interconexión. Un proyecto SGSI requiere un equipo de trabajo multidisciplinario.

Recomendados

ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005Melvin Jáquez
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001 George Gaviria
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
ISO 9001 2015 pensamiento basado en riesgos 2018
ISO 9001 2015 pensamiento basado en riesgos 2018ISO 9001 2015 pensamiento basado en riesgos 2018
ISO 9001 2015 pensamiento basado en riesgos 2018Primala Sistema de Gestion
 
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...CRISEL BY AEFOL
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
ISMS Requirements
ISMS RequirementsISMS Requirements
ISMS Requirementshumanus2
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 

Recomendados

ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005Melvin Jáquez
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001 George Gaviria
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
ISO 9001 2015 pensamiento basado en riesgos 2018
ISO 9001 2015 pensamiento basado en riesgos 2018ISO 9001 2015 pensamiento basado en riesgos 2018
ISO 9001 2015 pensamiento basado en riesgos 2018Primala Sistema de Gestion
 
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...CRISEL BY AEFOL
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
ISMS Requirements
ISMS RequirementsISMS Requirements
ISMS Requirementshumanus2
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Iso 27001
Iso 27001Iso 27001
Iso 27001navidisey
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BAGestión de la Calidad de UTN BA
 
TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TAR Security
 
Iso 27001
Iso 27001Iso 27001
Iso 27001ascêndia reingeniería + consultoría
 
ISO/IEC 27032 – Guidelines For Cyber Security
ISO/IEC 27032 – Guidelines For Cyber SecurityISO/IEC 27032 – Guidelines For Cyber Security
ISO/IEC 27032 – Guidelines For Cyber SecurityTharindunuwan9
 
Iso 27000
Iso 27000Iso 27000
Iso 27000plackard
 
Continuidad del negocio
Continuidad del negocioContinuidad del negocio
Continuidad del negocioANNY
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Juan Fernando Jaramillo
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001 Jose Rafael
 
ISO 37001 – Preparing for Certification
ISO 37001 – Preparing for CertificationISO 37001 – Preparing for Certification
ISO 37001 – Preparing for CertificationPECB
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
ISO/IEC 27001:2022 Transition Arragements
ISO/IEC 27001:2022 Transition ArragementsISO/IEC 27001:2022 Transition Arragements
ISO/IEC 27001:2022 Transition ArragementsISONIKELtd
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de NegocioDavid Solis
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
Iso 27001
Iso 27001Iso 27001
Iso 27001Eurohelp Consulting
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 
Taller norma iso 9001 2015, primera parte (4 a 6)
Taller norma iso 9001 2015, primera parte (4 a 6)Taller norma iso 9001 2015, primera parte (4 a 6)
Taller norma iso 9001 2015, primera parte (4 a 6)SistemadeEstudiosMed
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiJhonny Willians Franco Delgado
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandarMaria Villalba
 

Mais conteúdo relacionado

Mais procurados

TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TAR Security
 
ISO/IEC 27032 – Guidelines For Cyber Security
ISO/IEC 27032 – Guidelines For Cyber SecurityISO/IEC 27032 – Guidelines For Cyber Security
ISO/IEC 27032 – Guidelines For Cyber SecurityTharindunuwan9
 
Continuidad del negocio
Continuidad del negocioContinuidad del negocio
Continuidad del negocioANNY
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001 Jose Rafael
 
ISO 37001 – Preparing for Certification
ISO 37001 – Preparing for CertificationISO 37001 – Preparing for Certification
ISO 37001 – Preparing for CertificationPECB
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
ISO/IEC 27001:2022 Transition Arragements
ISO/IEC 27001:2022 Transition ArragementsISO/IEC 27001:2022 Transition Arragements
ISO/IEC 27001:2022 Transition ArragementsISONIKELtd
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de NegocioDavid Solis
 
Taller norma iso 9001 2015, primera parte (4 a 6)
Taller norma iso 9001 2015, primera parte (4 a 6)Taller norma iso 9001 2015, primera parte (4 a 6)
Taller norma iso 9001 2015, primera parte (4 a 6)SistemadeEstudiosMed
 

Mais procurados (20)

Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
 
TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA)
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
ISO/IEC 27032 – Guidelines For Cyber Security
ISO/IEC 27032 – Guidelines For Cyber SecurityISO/IEC 27032 – Guidelines For Cyber Security
ISO/IEC 27032 – Guidelines For Cyber Security
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Continuidad del negocio
Continuidad del negocioContinuidad del negocio
Continuidad del negocio
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
 
ISO 37001 – Preparing for Certification
ISO 37001 – Preparing for CertificationISO 37001 – Preparing for Certification
ISO 37001 – Preparing for Certification
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
ISO/IEC 27001:2022 Transition Arragements
ISO/IEC 27001:2022 Transition ArragementsISO/IEC 27001:2022 Transition Arragements
ISO/IEC 27001:2022 Transition Arragements
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de Negocio
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
Taller norma iso 9001 2015, primera parte (4 a 6)
Taller norma iso 9001 2015, primera parte (4 a 6)Taller norma iso 9001 2015, primera parte (4 a 6)
Taller norma iso 9001 2015, primera parte (4 a 6)
 

Destaque

Norma 27000
Norma 27000Norma 27000
Norma 27000nestor
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001Gladisichau
 
Conceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosConceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosITM Platform
 

Destaque (10)

Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Norma 27000
Norma 27000Norma 27000
Norma 27000
 
NORMA ISO 90003
NORMA ISO 90003NORMA ISO 90003
NORMA ISO 90003
 
MODELOS Y NORMAS DE CALIDAD
MODELOS Y NORMAS DE CALIDAD MODELOS Y NORMAS DE CALIDAD
MODELOS Y NORMAS DE CALIDAD
 
Ciclo de deming
Ciclo de demingCiclo de deming
Ciclo de deming
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
Conceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosConceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgos
 

Semelhante a Curso ai iso 27001

gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfcarlosandres865046
 
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas pocketbox
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Saeta de Dios
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
Nqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionNqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionjulio robles
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811faau09
 
ISO 27001_042104.pptx
ISO 27001_042104.pptxISO 27001_042104.pptx
ISO 27001_042104.pptxRaulMinotta1
 
iso-iec 27001 implementer certified
iso-iec 27001 implementer certifiediso-iec 27001 implementer certified
iso-iec 27001 implementer certifiedCristinaMenesesMonte
 
14a entidad especializada iso 27001
14a entidad especializada iso 2700114a entidad especializada iso 27001
14a entidad especializada iso 27001Activos Concursales
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005ffffffffe23
 

Semelhante a Curso ai iso 27001 (20)

gestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdf
 
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Seguridad
SeguridadSeguridad
Seguridad
 
Nqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacionNqa iso-27001-guia-de-implantacion
Nqa iso-27001-guia-de-implantacion
 
ISO 27001.pdf
ISO 27001.pdfISO 27001.pdf
ISO 27001.pdf
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811
 
ISO 27001_042104.pptx
ISO 27001_042104.pptxISO 27001_042104.pptx
ISO 27001_042104.pptx
 
iso-iec 27001 implementer certified
iso-iec 27001 implementer certifiediso-iec 27001 implementer certified
iso-iec 27001 implementer certified
 
14a entidad especializada iso 27001
14a entidad especializada iso 2700114a entidad especializada iso 27001
14a entidad especializada iso 27001
 
Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Claconsi 2012 bsi-lecciones aprendidas sgsi
Claconsi 2012 bsi-lecciones aprendidas sgsiClaconsi 2012 bsi-lecciones aprendidas sgsi
Claconsi 2012 bsi-lecciones aprendidas sgsi
 
Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005Dumar resumen analitico investigativo sobre el iso 27005
Dumar resumen analitico investigativo sobre el iso 27005
 
Introducción ISO/IEC 27001:2013
Introducción ISO/IEC 27001:2013Introducción ISO/IEC 27001:2013
Introducción ISO/IEC 27001:2013
 

Curso ai iso 27001

  • 3. Reglas del juego Buenas prácticas para el taller Evitemos hacer uso de equipos portátiles Evitemos hacer uso de teléfonos, configurémoslos en vibrador. Seamos respetuosos y ordenados al hacer aportaciones Tomemos notas acerca de temas valiosos
  • 5. Su presentador Guillermo Cruz Aguayo • Lic. Sistemas de Cómputo Administrativo • 12+ años de experiencia en Sistemas de Gestión: • Ha lidereado más de 80 auditorías de certificación de SGC con diferentes organismos certificadores. • Cursos Auditor Líder con (EQA, DNV, FS) • Instructor en Seguridad de Información para Triara con el respaldo de Dicta Consulting y Pink Elephant. • • • • • Ha asesorado más de 60 empresas en procesos de certificación de Sistemas de Gestión ISO ISO 9001 BS 7799 ISO 27001 ISO 14001 • Experto Técnico en Tecnologías de Información ante la EMA para : • Factual Services • CIM Certificación • En Armstrong Laboratorios de México: • Jefe de Seguridad de Información, Funcional SAP & Basis.
  • 6. Recordando el Proceso de Auditoría
  • 7. Recordando el Proceso de Auditoría
  • 8. Concepto de competencia Calidad Conocimientos y habilidades específicos de calidad. Educación Conocimientos y habilidades genéricos Experiencia en auditorías Seguridad de Información Conocimientos y habilidades específicos de Seguridad de Información. Formación como auditor Cualidades personales Experiencia laboral
  • 10. Información Definiciones Se puede conceptualizar a la informaciónInformación conjunto como un de datos con un propósito en particular Criterios de decisión Bases de datos Bits y Bytes Dinero
  • 11. Seguridad de la Información Definiciones • La Seguridad de la información se define como la preservación de las siguientes características: o Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella. o Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. o Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera. Confidencialidad Integridad Disponibilidad
  • 12. Seguridad de la Información Definiciones • • • • • Seguridad de la Información (SI).- Preservación de la confidencialidad, integridad y disponibilidad de la información; adicionalmente autenticidad, responsabilidad, no repudio y confiabilidad. SGSI.- es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para: establecer, implementar, operar, monitorear, mantener y mejorar la seguridad de la información. Activo.- Algo que tiene valor para la organización (ISO/IEC 13335-1:2004) Amenaza.- Evento que puede provocar un incidente en la organización produciendo daños o pérdidas materiales y/o inmateriales Vulnerabilidad.- Susceptibilidad de algo para absorber negativamente incidencias externas.
  • 13. Seguridad de la Información Definiciones • • • • El SGSI: Sistema de Gestión de Seguridad de la Información. La Gestión de la Seguridad de la Información ,debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Garantizar un nivel de protección total es imposible incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un sistema de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información son conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
  • 14. Algunas Definiciones Previas.. ¿Por Qué Gestión De Riesgos De La Información? • • • Necesidad de Proteger la Información Sin embargo, esto puede generar: o Crecimiento de cantidad y complejidad de los controles o Pérdida del foco de actividades (Seguridad vs Negocio) Por otra parte, requiere: o Mediciones del impacto producido por los controles en seguridad o Aplicar un criterio de negocios
  • 15. Cómo Gestionar el Riesgo Principio del Cocodrilo
  • 16. El principio del cocodrilo • Identifique la Amenaza (Nombre y Apellido)
  • 17. El principio del cocodrilo • Evalúe el riesgo
  • 18. El principio del cocodrilo • Elimine el riesgo desde su origen
  • 19. El principio del cocodrilo • Halle otra alternativa
  • 20. El principio del cocodrilo • Aisle (contenga) el riesgo
  • 21. El principio del cocodrilo • Protejase contra el riesgo
  • 22. El principio del cocodrilo • Si nada funciona, prepárese para salir de ahí.
  • 23. La desconfianza es madre de la seguridad. Aristófanes.
  • 25. Seguridad de la Información Propósito fundamental Alto Impacto al negocio Transferir Bajo Aceptar Evitar Nivel de riesgo inaceptable El propósito fundamental de la seguridad es: “Administrar el riesgo al cual la organización se encuentra expuesta con respecto a la información” Nivel de riesgo aceptable Reducir Alto Probabilidad de que se aprovechen las brechas de seguridad
  • 26. Seguridad de la Información Niveles óptimos de seguridad Costo de Implementar Una Solución de Seguridad Costo Total $ Costo de una pérdida de Información 100% Nivel de seguridad
  • 27. Seguridad de la Información Realidad actual EL PAPEL DE LA SEGURIDAD Riesgos y cumplimiento Presupuesto limitado Habilitador de negocio
  • 28. Riesgo La contraparte de la seguridad • Amenaza: un evento o situación que podría generar peligro, heridas o pérdidas. • Probabilidad: la posibilidad de que una amenaza se materialice. • Vulnerabilidad: es el grado de debilidad Amenazas de un elemento frente a una amenaza. • Impacto: el daño ocasionado por una amenaza tras su materialización. El riesgo para una amenaza está en función de la probabilidad, la vulnerabilidad y el impacto R(A) = f(P, V, I) Vulnerabilidades
  • 29. Control Contraposición a la vulnerabilidad Políticas Prácticas Control Procedimientos Estructuras Organizacionales
  • 31. Antecedentes Ruta histórica 1993 1995 No Certificable Certificable 1989 1998 BS 7799-2 Código de práctica para usuarios 1989 PD0003 Código de prácticas para SGSI 1993 1999 2002 BS 77992:1999 BS 77992:2002 2005 ISO/IEC 27001:2005 BS 7799 1995 1998 1999 2002 2005
  • 32. Antecedentes Formalización de la norma Aprobada y publicada en 2005. Revisión por parte del International Organization for Standarization y la comisión International Electrotechnical Comission. Refleja los principios de la Organization for Economic Cooperation and Development. Norma Internacional
  • 33. Antecedentes La familia ISO 27000 ISO/IEC Descripción 27000 Vocabulario y definiciones 27001 Especificación de la estructura metodológica (basada en el BS7799-2:2002) – Norma Certificable 27002 Código de prácticas (basada en ISO17799:2005). 27003 Guía de implementación. 27004 Métricas y medidas. 27005 La Administración del Riesgo (basado BS 7799-3)
  • 34. Detalle De La Norma ISO/IEC 27001:2005
  • 35. Introducción ISO/IEC 27001:2005 Generalidades • El estándar ISO/IEC 27001:2005 específica un enfoque en los siguientes temas: 1. 2. 3. 4. 5. 6. 7. Principios y Gestión de Seguridad Responsabilidades de la Gestión de Seguridad Enfoque de “arriba hacia abajo” Gestión de Riesgo Toma de Conciencia de Seguridad Continuidad del Negocio y Gestión de Desastres Cumplimiento Legal
  • 36. Introducción ISO/IEC 27001:2005 Ciclo PDCA – Mejora Continua Partes interesadas: Clientes Proveedores Usuarios Accionistas Otros Requerimientos y Expectativas de Seguridad de Información Partes interesadas: Establecimiento del SGSI PLAN Implementación del SGSI Mejora del SGSI ACT DO Monitoreo y revisión del SGSI CHECK Clientes Proveedores Usuarios Accionistas Otros Requerimientos y Expectativas de Seguridad de Información
  • 37. Introducción ISO/IEC 27001:2005 Modelo de Madurez de Seguridad de Información Nivel 5 Sistema Optimizado Procesos inconsistentes Nivel 4 Sistema Administrado Procesos desorganizados Procesos inexistentes Nivel 2 Sistema Intuitivo Nivel 1 Sistema Intermitente Nivel 0 Sistema Inexistente Nivel 3 Sistema Definido Mejores prácticas Procesos medidos y monitoreados Procesos documentados y comunicados
  • 38. Estructura de la norma ISO/IEC 27001:2005
  • 39. Estructura ISO/IEC 27001:2005 • • • • • • • • • • 0. Introducción 1. Alcance 2. Referencias Normativas 3. Definiciones y Terminología 4. Sistema de Gestión para la Seguridad de la Información 5. Responsabilidad de la gerencia. 6. Auditorias Internas para el SGSI 7. Revisión Gerencial del SGSI 8. Mejora del SGSI Anexo A: Objetivos y controles Dominio A.5 Política de Seguridad A.6 Organización de la SI A.7 Gestión de activos A.8 Seguridad de los recursos humanos A.9 Seguridad física y ambiental A.10 Gestión de comunicaciones y operaciones A.11 Control de accesos A.12 Adquisición, desarrollo y mantenimiento de sistemas de información A.13 Gestión de incidentes de SI A.14 Gestión de la continuidad A.15 Cumplimiento
  • 40. Estructura de ISO/IEC 27001:2005 Prólogo normativo • • El estándar ISO/IEC 27001:2005 tiene un total de 46 requerimientos explícitos que deben ser atendidos de forma cabal. Los requerimientos deberán ser revisados y medidos a intervalos planeados para garantizar la efectividad y eficiencia de los controles que proponen. Clausula 4 Clausula 6 Clausula 8 Clausula 5 Clausula 7 17% 44% 13% 17% 9%
  • 41. Estructura de ISO/IEC 27001:2005 Prólogo normativo 0. Introducción 1. Alcance 2. Referencias Normativas 3. Términos y Definiciones • 0.1 General • 0.2 Enfoque a procesos • 0.3 Compatibilidad con otros Sistemas de Gestión • 1.1 General • 1.2 Aplicación
  • 42. Estructura de ISO/IEC 27001:2005 Prólogo normativo 4. Sistema de Gestión de Seguridad de Información (Enfoque a Riesgos) 5. Responsabilidad de la Dirección • 4.1 Requerimientos Generales • 4.2 Estableciendo y Administrando el SGSI • 4.2.1 Estableciendo el SGSI • 4.2.2 Implementando y Operando el SGSI • 4.2.3 Monitoreando y Revisando el SGSI • 4.2.4 Manteniendo y Mejorando el SGSI • 4.3 Requerimientos de Documentación • 4.3.1 General • 4.3.2 Control de documentos • 4.3.3 Control de Registros • 5.1 Compromiso de la Dirección • 5.2 Gestión de Recursos • 5.2.1 Provisión de Recursos • 5.2.2 Capacitación, difusión y competencia
  • 43. Estructura de ISO/IEC 27001:2005 Prólogo normativo 6. Auditorías Internas 7. Revisión Gerencial del SGSI 8. Mejora del SGSI Anexo A • 7.1 General • 7.2 Entradas para la Revisión • 7.3 Salidas de la Revisión • 8.1 Mejora Continua • 8.2 Acciones Correctivas • 8.3 Acciones Preventivas
  • 44. Estructura de ISO/IEC 27001:2005 Prólogo normativo • La documentación obligatoria de un SGSI de acuerdo a la norma es: o o o o o o o o o Política y objetivos de seguridad Alcance Procedimientos de gestión Metodología de análisis de riesgos Reporte de análisis de riesgos Plan de tratamiento de riesgos Declaración de aplicabilidad Métricas de efectividad Registros de capacitación, compromiso gerencial, auditorías, etc.
  • 45. Estructura de ISO/IEC 27001:2005 Dinámica • Equipos: Hasta tres personas • Tiempo: 45 minutos de análisis, 15 minutos • por exposición. Actividad: o Analizar un apartado del prólogo normativo, realizar una presentación básica del tema. o Identificar: documentos requeridos, registros requeridos por apartado, actividades a realizar.
  • 46. Estructura de ISO/IEC 27001:2005 Anexo A • • El estándar ISO/IEC 27001:2005 tiene un total de 133 controles ordenados en 11 dominios de control. Es necesario declarar la aplicabilidad de cada uno de ellos, de acuerdo al alcance del SGSI. A.5 A.9 A.13 4% 4% A.6 A.10 A.14 A.7 A.11 A.15 1% 7% 8% 12% 19% A.8 A.12 4% 7% 10% 24%
  • 47. Estructura de ISO/IEC 27001:2005 Anexo A.5 Política de la Seguridad de Información 1 Objetivos de Control 2 Controles Objetivo: Proveer la dirección y soporte ejecutivo a la seguridad de información de acuerdo a los requerimientos de negocio, a las regulaciones relevantes y a los requerimientos impuestos.
  • 48. Estructura de ISO/IEC 27001:2005 Anexo A.6 Organización para la Seguridad Rol 2 2 Objetivos de Control ------------ 11 Controles Empleado 1 Objetivo: Definir el conjunto de responsables en la administración de la seguridad de información, así como las interacciones entre estos responsables, la organización, sus empleados y grupos externos. Rol 1 ------------ Rol 3 ------- -----Empleado 2
  • 49. Estructura de ISO/IEC 27001:2005 Anexo A.7 Gestión de Activos 2 Objetivos de Control 5 Controles Objetivo: Identificar, resguardar y proteger de manera adecuada los activos de la organización. Activo Clasificación Servidor 1 Confidencial Documento 1 Restringido Computadora 1 Confidencial
  • 50. Estructura de ISO/IEC 27001:2005 Anexo A.8 Seguridad en Recursos Humanos 3 Objetivos de Control 9 Controles Recursos Humanos Externos Objetivo: Asegurar el cumplimiento de la normativa de Seguridad de Información durante la selección, contratación y termino de empleo o contrato de los aspirantes, colaboradores internos o externos, contratistas o terceras partes que tengan o vayan a tener acceso a los activos organizacionales. Procesos Disciplinarios Responsabilidades Política de Seguridad de Información
  • 51. Estructura de ISO/IEC 27001:2005 Anexo A.9 Seguridad Física y ambiental 2 Objetivos de Control 13 Controles Objetivo: Estructurar el conjunto de controles de restricción física para salvaguardar la integridad de los activos de información organizacional, sea cual sea su naturaleza.
  • 52. Estructura de ISO/IEC 27001:2005 Anexo A.10 Gestión de Operaciones 10 Objetivos de Control 32 Controles Objetivo: Generar un conjunto de controles que garanticen la seguridad de información a través de cualquier tipo de flujo que sea parte de la operación diaria de la empresa.
  • 53. Estructura de ISO/IEC 27001:2005 Anexo A.11 Control de Accesos 7 Objetivos de Control 25 Controles Objetivo: Salvaguardar todos los recursos tecnológicos de la organización de eventos intencionados como el robo o manipulación de la información.
  • 54. Estructura de ISO/IEC 27001:2005 Anexo A.12 Adquisición y Desarrollo de Aplicaciones ¿Cómo se accede? 6 Objetivos de Control ¿Dónde se ubicarán? 16 Controles Objetivo: Asegurar que las actividades derivadas de la adquisición, desarrollo y mantenimiento de los Sistemas de Información cumple con los requerimientos de Seguridad de Información establecidos por la misma. ¿Qué entidades harán uso de los sistemas? ¿Qué requerimientos Técnicos necesita para la Seguridad?
  • 55. Estructura de ISO/IEC 27001:2005 Anexo A.13 Gestión de Incidentes Detección de Incidente 2 Objetivos de Control Advertencia Indica la posible ocurrencia de un incidente Indicador Indica que un incidente ocurrió o está ocurriendo 5 Controles Objetivo: Restaurar los servicios y nivel de seguridad requeridos lo más rápido posible, con la finalidad de minimizar el impacto en la organización. EAI Usuarios Herramientas
  • 56. Estructura de ISO/IEC 27001:2005 Anexo A.14 Gestión de la Continuidad 1 Objetivos de Control 5 Controles Objetivo: Proteger y asegurar la oportuna reanudación de los procesos críticos del negocio en caso de un desastre o falla tecnológica.
  • 57. Estructura de ISO/IEC 27001:2005 Anexo A.15 Cumplimiento Requerimientos Identificados 3 Objetivos de Control 10 Controles Objetivo: Asegurar el establecimiento de las medidas de control, efectividad, revisión y corrección que permitan garantizar el cumplimiento de las Regulaciones, Leyes, Estándares, Acuerdos Contractuales y Requerimientos de cumplimiento internos de la Organización con respecto a la Seguridad de Información. Ejemplos: • Política de Seguridad de Información • Proceso de Control de Registros • Política de Uso de Información • Controles Criptográficos • Proceso de Auditoría • Controles de Sistemas de Información • Penalizaciones Políticas y Estándares Procesos Controles
  • 58. Estructura de ISO/IEC 27001:2005 Dinámica • Equipos: Hasta tres personas • Tiempo: 45 minutos de análisis, 10 minutos • de explicación por dominio (considerar A.5 como obligatorio) Actividad: o Revisar caso de riesgo identificado en Patito S.A. de C.V. o Identificar aplicabilidad de controles por anexo asignado.
  • 60. Conclusiones • • • • • • • La Seguridad de la Información es un proceso. La Seguridad de la Información se basa en personas. La Seguridad de la Información debe orientarse al riesgo. Un buen SGSI es un sistema rentable para la organización. No existe la seguridad absoluta. El SGSI ayuda a la administración general de una empresa. Hay que definir estrategias de negocio y huir de actuaciones puntuales sin criterios de interconexión. Un proyecto SGSI requiere un equipo de trabajo multidisciplinario.