SlideShare uma empresa Scribd logo

Implantacion del iso_27001_2005

M
mrg30n301976
Educação
1 de 36
Baixar para ler offline
IMPLANTACIÓN DEL ISO 27001:2005 “SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBCP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors) E-mail: aalexan@pucp.edu.pe www.centrum.pucp.edu.pe/excelncia
¿Su base de datos está protegida de manos criminales? ¿Los activos de su empresa han sido inventariados y tasados? 2
Un reciente reporte del House Banking Committee de Estados Unidos, muestra que el sector financiero perdió 2.4 INFORMACIÓN billones de dólares por ataques computarizados en 1998 EN LA EMPRESA –más del triple que en 1996. No es sorprendente, considerando que por día se transfieren electrónicamente 2 trillones de dólares, mucho de lo cual pasa a través de líneas que según el FBI no son muy seguras. (Fortune 500, 2003). Casi el 80% de los valores intelectuales de las corporaciones son electrónicos, de acuerdo a la Cámara de Comercio estadounidense, y un competidor puede subir hasta las nubes si roba secretos comerciales y listas de clientes. (Sloan Review, 2003). Los hackers son expertos en ingeniería social –consiguiendo personas de dentro de las compañías para sacarles contraseñas y claves de invitados. “Si te levantas a la secretaria ganaste, dice Dill Dog”. (Famoso hacker). 3
El fraude celular no escapa a ninguna compañía telefónica en el mundo. Telcel y Movilnet en el caso de Venezuela INFORMACIÓN afirman que en el año 1997 las pérdidas por concepto de EN LA EMPRESA clonación se ubicaaron en 1,800 millones de dólares, lo que los ha impulsado a mejorar su sistema de gestión de seguridad de información. La clonación ocurre cuando los “clonadores” capturan la transmisión de los números de identificación (ESN: número asignado), bien sea rastreando los datos o sobornando a un empleado de la operadora y la copian en otros equipos no autorizados. (Cielorojo/computación 19/01/04). 4
La información en la empresa es uno de los más importantes activos que se poseen. INFORMACIÓN EN LA Las organizaciones tienen que desarrollar mecanismos que EMPRESA les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la información. La información está sujeta a muchas amenazas, tanto de índole interna como externa. 5
El nuevo estándar internacional, el ISO 27001:2005, está ISO 27001:2005 orientado a establecer un sistema gerencial que permita SISTEMA DE GESTIÓN DE minimizar el riesgo y proteger la información en las SEGURIDAD DE empresas, de amenazas externas o internas. INFORMACIÓN •Grupo de trabajo de la industria se establece en 1993 HISTORIA DEL •Código de práctica - 1993 ESTÁNDAR •British standard - 1995 BS 7799 •BS 7799 parte 2 - 1998 E •BS 7799 parte 1 - 1998 ISO 17799 •BS 7799 parte 1 y parte 2 revisada en 1999 •BS / ISO / IEC – 17799 - 2000 6
ISO 27001:2005- SISTEMA DE ISO / IEC 17799 : 2005 GESTIÓN DE Código de práctica de seguridad en la gestión de la SEGURIDAD DE información – Basado en BS 7799 – 1 : 2000. INFORMACIÓN .Recomendaciones para buenas prácticas No puede ser utilizado para certificación ISO 27001:2005 Especificación para la gestión del sistema de seguridad de información .Es utilizado para la certificación 7
INFORMACIÓN “La información es un activo, que tal como otros importantes activos del negocio, tiene valor para una empresa y consecuentemente requiere ser protegida adecuadamente”. ISO 17799:2005 8
Seguridad de información es mucho más que establecer “firewalls”, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software, o guardar en la ¿QUÉ ES bóveda los “backups”. SEGURIDAD DE INFORMACIÓN? Seguridad de información es determinar qué requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo. La seguridad de información se caracteriza por la preservación de: a) CONFIDENCIALIDAD : La información está protegida de personas no autorizadas. b) INTEGRIDAD : La información está como se pretende, sin modificaciones inapropiadas. c) DISPONIBILIDAD : Los usuarios tienen acceso a la información y a los activos asociados cuando lo requieran. 9
NATURALEZA Y DINÁMICA DEL ISO 27001:2005 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN 10
PLAN ESTABLECER PARTES EL SGSI 4.2 PARTES INTERESADAS INTERESADAS MODELO PDCA APLICADO A REQUERI- IMPLEMENTAR Desarrollar, MANTENER Y SEGURIDAD LOS PROCESOS MIENTOS Y Y OPERAR EL mantener MEJORAR DE EXPECTATI- EL SGSI 4.2.2 y mejorar EL SGSI 4.2.4 DEL SISTEMA VAS DE LA INFORMA- DO el ciclo ACT CIÓN DE GESTIÓN DE SEGURIDAD SEGURIDAD DE MONITOREAR MANEJADA DE INFOR- INFORMACIÓN MACIÓN Y REVISAR EL SGSI 4.2.3 SGSI CHECK 4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6.0 Revisión gerencial 6.4 Auditorias internas 7.0 Mejoramiento del SGSI 7.1 Mejoramiento continuo 7.2 Acción correctiva 7.3 Acción preventiva 11
HOJA DE RUTA PARA CUMPLIR CON EL ACTIVIDADES CLÁUSULAS ISO 27001:2005 ORGANIZACIONALES Establecer el SGSI a) Definir el alcance del SGSI (Sección 4.2.1) b) Definir un sistemático enfoque para evaluación del riesgo c) Identificar el riesgo d) Evaluar el riesgo e) Definir política SGSI f) Identificar y evaluar opciones para el tratamien- to del riesgo g) Seleccionar objetivos de control y controles h) Preparar un enunciado de aplicabilidad i) Obtener aprobación de la gerencia 12
HOJA DE RUTA PARA CUMPLIR CON EL ACTIVIDADES CLÁUSULAS BS 7799-2:2002 ORGANIZACIONALES Implementar y operar a) Formular un plan para tratamiento del riesgo el SGSI b) Implementar el plan de tratamiento del riesgo (Sección 4.2.2) c) Implementar todos los objetivos de control y controles seleccionados d) Implementar programa de entrenamiento y toma de conciencia e) Gestionar operaciones f) Gestionar recursos 13
ACTIVIDADES CLÁUSULAS HOJA DE RUTA ORGANIZACIONALES PARA CUMPLIR Monitorear y revisar el a) Ejecutar procedimientos de monitoreo CON EL SGSI b) Efectuar revisiones regulares de la eficacia del ISO 27001:2005 (Sección 4.2.3) SGSI c) Revisar el nivel del riesgo residual y del riesgo aceptable d) Conducir las auditorias internas del SGSI e) Registrar todos los eventos que tienen un efecto en el desempeño del SGSI Mantener y mejorar el a) Implementar las mejoras identificadas SGSI b) Tomar apropiadas acciones correctivas y (Sección 4.2.4) preventivas c) Comunicar los resultados a todas las partes interesadas d) Asegurar que las mejoras alcancen los objetivos deseados 14
Entendimiento de los requerimientos del modelo (1) CICLO Obtención de la certificación Determinación de METODOLÓ- internacional la brecha GICO PARA LA (8) (2) IMPLANTACIÓN DEL MODELO ISO 27001:2000 Ejecución de auditorias Análisis y evaluación internas del riesgo (7) (3) Redacción del Manual de Elaboración plan de gestión Seguridad de Información de continuidad comercial (6) (4) Desarrollo de competencias organizacionales (5) 15
Taller estratégico con la Definir alcance METODOLOGÍA PASO I gerencia para analizar del modelo DETALLADA Entendimiento requerimientos del PARA IMPLANTAR EL de los modelo ISO 27001:2005 SISTEMA DE requerimientos GESTIÓN DE del modelo SEGURIDAD DE INFORMACIÓN ISO 27001:2005 PASO II Informe a la gerencia Efectuar “Gap Analysis” Determinación de la brecha Determinar la brecha y estimar presupuesto y cronograma 16
Evaluación PASO III del riesgo Efectuar un análisis y Análisis y evaluación del riesgo METODOLOGÍA DETALLADA evaluación del Política PARA riesgo documentada -Amenazas, Política de IMPLANTAR EL SISTEMA DE -Vulnerabilidades seguridad -Impactos GESTIÓN DE SEGURIDAD DE INFORMACIÓN PASO IV Plan de ISO 27001:2005 continuidad Elaboración Plan de continuidad comercial Plan de gestión comercial del negocio documentado de continuidad comercial Plan de trata- Enfoque de la miento del riesgo gerencia para Gerencia del riesgo tratar el riesgo Tabla de Seleccionar controles y controles Utilización de objetivos de control a Anexo A de la norma implantar 17
Enunciado de aplicabilidad Enunciado Elaborar un enunciado documentado METODOLOGÍA de aplicabilidad de aplicabilidad DETALLADA PARA IMPLANTAR EL SISTEMA DE GESTIÓN DE PASO V Entrenamiento en SEGURIDAD DE documentación de INFORMACIÓN Desarrollo de procedimientos, instruc- ISO 27001:2005 competencias ciones de trabajo Procedimiento organizacionales para manejo de Taller estratégico para la acción manejo de la acción correctiva correctiva y preventiva Procedimiento de Taller estratégico para auditoria interna el manejo de la auditoria documentado interna 18
Manual de METODOLOGÍA Seguridad de PASO VI Elaboración del manual Información DETALLADA PARA de seguridad de Documentado Redacción información IMPLANTAR EL del manual de SISTEMA DE GESTIÓN DE Seguridad de SEGURIDAD DE Información INFORMACIÓN Informe de la ISO 27001:2005 PASO VII Efectuar auditoria auditoria interna interna Ejecución de Auditorias Internas Entrega de PASO VIII Auditoria de empresa informe certificadora Obtención de la certificación internacional 19
ENFOQUE DE DEFINIR UNA POLÍTICA DEFINIR EL ALCANCE LAS SEIS DE SEGURIDAD DE DEL MODELO FASES INFORMACIÓN ESENCIALES DEL PROCESO DE IMPLANTACIÓN ISO 27001:2005 EFECTUAR UN ANÁLISIS DEFINIR OPCIONES DE Y EVALUACIÓN DEL TRATAMIENTO DEL RIESGO RIESGO SELECCIONAR PREPARAR UN CONTROLES A ENUNCIADO DE IMPLANTAR APLICABILIDAD 20
CASO PRÁCTICO DE IMPLANTACIÓN DEL ISO 27001:2005 EN UNA ORGANIZACIÓN FINANCIERA ÁREA: AHORROS-CAPTACIONES 21
DEFINICIÓN DEL ALCANCE DEL MODELO EN EL BANCO En la sección 4.2 (a) del estándar, se exige como punto de partida para establecer el SGSI que la empresa: “defina el alcance del SGSI en términos de las características del negocio, la organización, su ubicación, activos y tecnología”. 22
Una vez determinado el alcance del modelo en la IDENTIFICA- empresa, se debe proceder a identificar los CIÓN DE distintos activos de información, los cuales se ACTIVOS DE convierten en el eje principal del modelo. INFORMACIÓN Es importante mencionar que, en el caso del banco, se conformó un grupo multidisciplinario, compuesto por los dueños de los subprocesos que conformaban el proceso escogido en el alcance. También en el grupo se incluyó a los clientes vitales y proveedores internos de ahorros/captaciones. Posteriormente, una vez identificados los activos de información, se incluyeron en el grupo a los dueños de los activos de información. Al grupo multidisciplinario, se le denominó comité gestor. 23
ANÁLISIS Y A los activos de información se les debe efectuar EVALUACIÓN un análisis y evaluación del riesgo, e identificar los DEL RIESGO controles del anexo A del estándar que tendrán que implementarse para mitigar el riesgo. Es importante en este punto, clarificar qué es un activo de información en el contexto del ISO 27001:2005. Según el ISO 17799:2005 (Código de Práctica para la Gestión de Seguridad de Información) un activo de información es: “algo a lo que una organización directamente le asigna un valor y, por lo tanto, la organización debe proteger”. 24
Los activos de información son clasificados por el ANÁLISIS Y EVALUACIÓN ISO 17799:2005 en las siguientes categorías: DEL RIESGO -Activos de información (datos, manuales, usuarios, etc.) -Documentos de papel (contratos) -Activos de software (aplicación, software de sistemas, etc.) -Activos físicos (computadoras, medios magnéticos, etc.) -Personal (clientes, personal) -Imagen de la compañía y reputación -Servicios (comunicaciones, etc.) 25
Al establecer el alcance, en la organización ALCANCE DEL SGSI financiera se determinó que fuera el área de ahorros y captaciones. Para dicho efecto, se utilizó el método de las elipses para determinar los activos de información. 26
AHORROS CAPTACIONES SBS Ministerio BCR Público PER IPLO P Ahorros ST s Tesor Agencia e ría Se red. r Clie vicio . de C Adm n te Au d. I nt . Apertura Aceptación Con Nuevos Operaciones Pagos Emisiones Clientes Clientes tab . -Atenc. Y Cons. -Definición Pro. -Depósitos -Recepción Doc. -Consultas -Inscripción -Requisitos -Retiros -Autrización -Reclamos -Actualización -Condiciones -Transferencias -Entrega Efectivo -Emisión de Ext. -Recepción S/ $ -OT -Registro -Emisión de Cartas -Genera Cta. -Bloq. Y Desbloq. -FSD (ctas. > 10 años) -Lavado de Activos -OP (Entrega y recep) -Anexos SBS -Renovaciones -Serv. Cobranzas -Externos -Habilitaciones Cli Sistem AAS en as te . s . Leg Logística ridad Ases Créditos Segu s nte REN IE Clie C Corresponsales AFP’s
TASACIÓN DE ACTIVOS DE INFORMACIÓN ACTIVOS DE INFORMACIÓN CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD TOTAL - Base de datos ahorros 4 4 4 4 - Base de datos clientes 5 5 4 5 - Equipo de cómputo 2 2 4 2 - Línea dedicada 2 2 5 3 - Internet 2 1 3 2 - Servidor de archivos 5 5 4 5 - Servidor 5 4 4 4 - Copias de backup 5 5 3 4 - Switchers 1 1 5 2 - Router’s 1 1 5 2 - Modem 1 1 5 2 - Líneas telefónicas 4 2 3 3 - Central telefónica 4 2 3 3 - Disco duro 5 5 3 4 - Cámaras de video 1 1 5 2 - Teléfonos 4 1 3 3
DISTRIBUCIÓN DE ACTIVOS Y SUS PROPIETARIOS ACTIVOS DE INFORMACIÓN PROPIETARIOS 1. BASE DE DATOS CLIENTES SERVICIO AL CLIENTE 2. SERVIDOR SISTEMAS 3. JEFE DE AHORROS AHORROS 4. BASE DE DATOS AHORROS SISTEMAS 5. CLAVES AHORROS 6. SERVIDOR DE ARCHIVOS SISTEMAS 7. COPIAS DE BACKUP SISTEMAS 8. DISCO DURO Y GRAB. (Videos) SISTEMAS 9. REGISTROS DE CLIENTES AHORROS 10. FORMATOS AHORROS 11. VOUCHER’S ADM. DE CRÉDITOS 12. FORMATO LAVADO ACTIVOS AHORROS
ANÁLISIS Y EVALUACIÓN DEL RIESGO POSIBILI- POSIBI- VALOR CRITERIO ACTIVOS POSIBI- DAD QUE LIDAD DE PARA OBJETIVOS NIVELES DE DE LIDAD VULNERA- AMENAZA DE OCU- CRITI- CONTRO- AMENAZAS ACTIVOS TOTAL ACEPTAR DE ACEPTACION INFORMA- OCU- BILIDADES PENETRE RRENCIA CIDAD LES DE EL CONTROL DEL RIESGO CIÓN RRENCIA VULNERA- DE AME- RIESGOS RIESGO BILIDAD NAZA 1. BASE DE - Hckers 2 - Falta de 2 - Verificación A.5.1 Promocionar dirección A.5.1.1 semanal de ac- gerencial y apoyo a la S.I. A.5.1.2 DATOS - Deterioro 4 antivirus tualizaciones A.6.1 Seguridad del equipo: A.7.2.4 AHORROS fisico - Libre acce- 5 - El sistema evitar la pérdida, daño o so permite control compromiso de los activos automático y la interrupción de las ac- de incidentes tividades comerciales. A.6.2 Proteger la integridad A.6.2.1 4 4 16 C del software y la informa- ción del daño de software malicioso. A.7.1Mantener la integridad A.7.1.1 y disponibilidad de los ser- A.7.1.2 vicios de procesamiento de información y comunica- ciones. 2. SERVI- - Virus 2 - Software 3 - Parches de A.9.2. Proteger la integridad A.9.2.1 software del software y la informa- DOR - Rayos desactuali- - Verificación ción del daño de software zado 4 semanal de malicioso. 4 - Falta para actualizacio- nes. rayos 4 4 16 C 3. BASE DE - Errores en 4 - Mala progra 2 - Verificación A.9.2 Minimizar el riesgo de A.9.2.1 diaria de ac- fallas en los sistemas. A.9.2.2 DATOS digitación mación tualizaciones A.10.1 Asegurar que se in- A.10.1.1 CLIENTES - Mala valida- 5 - El sistema corpore seguridad en los ción y prue- permite regis- sistemas de información. tro e impresión A.10.2 Evitar la pérdida, mo- A.10.2.1 bas de incidentes dificación o mal uso de la A.10.2.2 - Parches de data del usuario en los sis- A.10.2.3 5 4 20 C software temas de información. A.10.3 Asegurar que los pro A.10.3.1 yectos T.I. y las actividades A.10.3.3 de apoyo se reducen de manera segura.
PLAN ESTABLECER PARTES EL SGSI 4.2 PARTES INTERESADAS INTERESADAS MODELO PDCA APLICADO A REQUERI- IMPLEMENTAR Desarrollar, MANTENER Y SEGURIDAD LOS PROCESOS MIENTOS Y Y OPERAR EL mantener MEJORAR DE EXPECTATI- EL SGSI 4.2.2 y mejorar EL SGSI 4.2.4 DEL SISTEMA VAS DE LA INFORMA- DO el ciclo ACT CIÓN DE GESTIÓN DE SEGURIDAD SEGURIDAD DE MONITOREAR MANEJADA DE INFOR- INFORMACIÓN MACIÓN Y REVISAR EL SGSI 4.2.3 SGSI CHECK 4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6.0 Revisión gerencial 6.4 Auditorias internas 7.0 Mejoramiento del SGSI 7.1 Mejoramiento continuo 7.2 Acción correctiva 7.3 Acción preventiva 31
Entendimiento de los requerimientos del modelo (1) CICLO Obtención de la certificación Determinación de METODOLÓ- internacional la brecha GICO PARA LA (8) (2) IMPLANTACIÓN DEL MODELO ISO 27001:2005 Ejecución de auditorias Análisis y evaluación internas del riesgo (7) (3) Redacción del Manual de Elaboración plan de gestión Seguridad de Información de continuidad comercial (6) (4) Desarrollo de competencias organizacionales (5) 32
-Los ataques de virus continúan como la principal RESULTADOS DEL COMPUTER fuente de grandes pérdidas financieras. CRIME AND -El uso no autorizado de sistemas de computación SECURITY ha incrementado. SURVEY/ FBI 2005 -Los incidentes en los web sites han aumentado dramáticamente. -El outsourcing de actividades de seguridad de información no ha crecido. -87% de los encuestados conducen auditorias de seguridad. -La mayoría de empresas ven el entrenamiento al usuario como algo muy importante. 33
Los 15 requerimientos son una lista de chequeo VISA ACCOUNT para lograr conformidad con el estándar. INFORMATION SECURITY 1. Establecer política para la contratación de STANDARDS personal. 2. Restringir acceso a datos. 3. Asignar al personal un sistema de identificación único para ser validado al acceder a datos. 4. Controlar el acceso a datos. 5. Instalar y mantener un “firewall” network si los datos son accedidos desde la internet. 6. Encriptar datos mantenidos en bases de datos. 7. Encriptar datos enviados a través de redes. 8. Proteger sistemas y datos de virus. 34
9. Mantener al día los parches a software VISA ACCOUNT INFORMATION 10. No utilizar “passwords” para sistemas y otros SECURITY parámetros de seguridad proporcionado por STANDARDS terceros. 11. No dejar desatendidos computadoras, diskettes con datos. 12. De manera segura, destruir datos cuando ya no son necesarios. 13. De manera regular verificar el desempeño de sistemas y procedimientos. 14. Inmediatamente investigar y reportar a VISA cualquier perdida de cuentas o información de las transacciones. 15. Utilizar sólo proveedores de servicios que cumplan estos requisitos 35
IMPLANTACIÓN DEL ISO 27001:2005 “SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBCP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors) E-mail: alexand@terra.com.pe

Recomendados

Ambito 6 - Registros
Ambito 6 - RegistrosAmbito 6 - Registros
Ambito 6 - Registros
gestiondecalidad2011
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2
Upon Software SA
 
Normatecnica
NormatecnicaNormatecnica
Normatecnica
Jhon Egoavil
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informatica
Dubraska Gonzalez
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
jralbornoz
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Rodrigo Salazar Jimenez
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
Juana Rotted
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 

Recomendados

Ambito 6 - Registros
Ambito 6 - RegistrosAmbito 6 - Registros
Ambito 6 - Registros
gestiondecalidad2011
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2
Upon Software SA
 
Normatecnica
NormatecnicaNormatecnica
Normatecnica
Jhon Egoavil
 
Norma iso 27001 seguridad informatica
Norma iso 27001 seguridad informaticaNorma iso 27001 seguridad informatica
Norma iso 27001 seguridad informatica
Dubraska Gonzalez
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
jralbornoz
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Rodrigo Salazar Jimenez
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
Juana Rotted
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
Degova Vargas
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001
uniminuto
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
ITsencial
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
urquia
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Yango Alexander Colmenares
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011
Jorge Pariasca
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas
jgalud
 
Superior
SuperiorSuperior
Superior
juan cutiupala
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
ascêndia reingeniería + consultoría
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
xavier cruz
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
danny yunga
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
Modernizacion y Gobierno Digital - Gobierno de Chile
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
José María Apellidos
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
Juan Fernando Jaramillo
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Jesenia Ocaña Escobar
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
jdrojassi
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
Alexander Calderón
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Gonzalo de la Pedraja
 
Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controles
MarcosPassarello2
 
Equipe escolar
Equipe escolarEquipe escolar
Equipe escolar
silvia marques de souza
 
PRESENT COMPUTACION
PRESENT COMPUTACIONPRESENT COMPUTACION
PRESENT COMPUTACION
NORMAGUASHPA
 

Mais conteúdo relacionado

Mais procurados

Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
Degova Vargas
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001
uniminuto
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas
jgalud
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
jdrojassi
 

Mais procurados (20)

Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Si semana11 iso_27001_v011
Si semana11 iso_27001_v011Si semana11 iso_27001_v011
Si semana11 iso_27001_v011
 
Generando Politicas
Generando Politicas Generando Politicas
Generando Politicas
 
Superior
SuperiorSuperior
Superior
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
Iram iso17799 controles
Iram iso17799 controlesIram iso17799 controles
Iram iso17799 controles
 

Destaque

Harry potter y la orden del fenix carolina barbella
Harry potter y la orden del fenix carolina barbellaHarry potter y la orden del fenix carolina barbella
Harry potter y la orden del fenix carolina barbella
biancazurita
 
Proyecto de un Acubus Cartagena
Proyecto de un Acubus CartagenaProyecto de un Acubus Cartagena
Proyecto de un Acubus Cartagena
clara039
 
Que es un modulo educativo y cual es
Que es un modulo educativo y cual esQue es un modulo educativo y cual es
Que es un modulo educativo y cual es
janeabelle9887
 
Jable peñafielpractica1
Jable peñafielpractica1Jable peñafielpractica1
Jable peñafielpractica1
Alina Jable
 
Atletismo en el power
Atletismo en el powerAtletismo en el power
Atletismo en el power
jorgelinav
 
Lago Azul: La vegetación de ribera
Lago Azul: La vegetación de riberaLago Azul: La vegetación de ribera
Lago Azul: La vegetación de ribera
Day Thomas
 
Encuesta de satisfacción 2011 6
Encuesta de satisfacción 2011 6Encuesta de satisfacción 2011 6
Encuesta de satisfacción 2011 6
comite2011
 
El Lago azul: La vegetación mediterránea
El Lago azul: La vegetación mediterráneaEl Lago azul: La vegetación mediterránea
El Lago azul: La vegetación mediterránea
Day Thomas
 
Como%20funcionava%20a%20sociedade%20no%20tempo%20de%20 jesus%201
Como%20funcionava%20a%20sociedade%20no%20tempo%20de%20 jesus%201Como%20funcionava%20a%20sociedade%20no%20tempo%20de%20 jesus%201
Como%20funcionava%20a%20sociedade%20no%20tempo%20de%20 jesus%201
Sara Silva
 

Destaque (20)

Equipe escolar
Equipe escolarEquipe escolar
Equipe escolar
 
PRESENT COMPUTACION
PRESENT COMPUTACIONPRESENT COMPUTACION
PRESENT COMPUTACION
 
Gtho
GthoGtho
Gtho
 
Harry potter y la orden del fenix carolina barbella
Harry potter y la orden del fenix carolina barbellaHarry potter y la orden del fenix carolina barbella
Harry potter y la orden del fenix carolina barbella
 
Tics 2
Tics 2Tics 2
Tics 2
 
кроніка грамадскага-жыцця-гарадзеншчыны-04.11.11
кроніка грамадскага-жыцця-гарадзеншчыны-04.11.11кроніка грамадскага-жыцця-гарадзеншчыны-04.11.11
кроніка грамадскага-жыцця-гарадзеншчыны-04.11.11
 
Proyecto de un Acubus Cartagena
Proyecto de un Acubus CartagenaProyecto de un Acubus Cartagena
Proyecto de un Acubus Cartagena
 
Technology in history
Technology in historyTechnology in history
Technology in history
 
Que es un modulo educativo y cual es
Que es un modulo educativo y cual esQue es un modulo educativo y cual es
Que es un modulo educativo y cual es
 
Reflexión
ReflexiónReflexión
Reflexión
 
Jable peñafielpractica1
Jable peñafielpractica1Jable peñafielpractica1
Jable peñafielpractica1
 
Atletismo en el power
Atletismo en el powerAtletismo en el power
Atletismo en el power
 
Lago Azul: La vegetación de ribera
Lago Azul: La vegetación de riberaLago Azul: La vegetación de ribera
Lago Azul: La vegetación de ribera
 
Encuesta de satisfacción 2011 6
Encuesta de satisfacción 2011 6Encuesta de satisfacción 2011 6
Encuesta de satisfacción 2011 6
 
Crowdfunding für Musiker (Linzfest 2013)
Crowdfunding für Musiker (Linzfest 2013) Crowdfunding für Musiker (Linzfest 2013)
Crowdfunding für Musiker (Linzfest 2013)
 
Natación.pptx
Natación.pptx Natación.pptx
Natación.pptx
 
SURGAPA (FEDERACION DE ASOCIACIONES DE PADRES DE PONTEVEDRA)
SURGAPA (FEDERACION DE ASOCIACIONES DE PADRES DE PONTEVEDRA)SURGAPA (FEDERACION DE ASOCIACIONES DE PADRES DE PONTEVEDRA)
SURGAPA (FEDERACION DE ASOCIACIONES DE PADRES DE PONTEVEDRA)
 
El Lago azul: La vegetación mediterránea
El Lago azul: La vegetación mediterráneaEl Lago azul: La vegetación mediterránea
El Lago azul: La vegetación mediterránea
 
Redes sociales diapositivas
Redes sociales diapositivasRedes sociales diapositivas
Redes sociales diapositivas
 
Como%20funcionava%20a%20sociedade%20no%20tempo%20de%20 jesus%201
Como%20funcionava%20a%20sociedade%20no%20tempo%20de%20 jesus%201Como%20funcionava%20a%20sociedade%20no%20tempo%20de%20 jesus%201
Como%20funcionava%20a%20sociedade%20no%20tempo%20de%20 jesus%201
 

Semelhante a Implantacion del iso_27001_2005

0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present final
JABERO241
 
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
ascêndia reingeniería + consultoría
 
Presentacion sg tracking
Presentacion sg trackingPresentacion sg tracking
Presentacion sg tracking
sgtracking
 
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
xavazquez
 
Politica de seguridad (2)
Politica de seguridad (2)Politica de seguridad (2)
Politica de seguridad (2)
kgpaucard
 
Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atoland
Gerson1993
 
Isoiec17799
Isoiec17799Isoiec17799
Isoiec17799
Fipy_exe
 
Metodologia del trabajo intelectual
Metodologia del trabajo intelectualMetodologia del trabajo intelectual
Metodologia del trabajo intelectual
plluncor
 

Semelhante a Implantacion del iso_27001_2005 (20)

Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present final
 
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
 
Presentacion sg tracking
Presentacion sg trackingPresentacion sg tracking
Presentacion sg tracking
 
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
Genial 91 pags para elegir puntos en clase 203627167 curso-seguridad-de-la-in...
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002
 
Politica de seguridad (2)
Politica de seguridad (2)Politica de seguridad (2)
Politica de seguridad (2)
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones Estratégicas
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Iso caso de atoland
Iso caso de atolandIso caso de atoland
Iso caso de atoland
 
0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia
 
NTP ISO-IEC 17799.pdf
NTP ISO-IEC 17799.pdfNTP ISO-IEC 17799.pdf
NTP ISO-IEC 17799.pdf
 
Isoiec17799
Isoiec17799Isoiec17799
Isoiec17799
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informatica
 
Políticas de Seguridad
Políticas de SeguridadPolíticas de Seguridad
Políticas de Seguridad
 
Presentacion 2
Presentacion 2Presentacion 2
Presentacion 2
 
Metodologia del trabajo intelectual
Metodologia del trabajo intelectualMetodologia del trabajo intelectual
Metodologia del trabajo intelectual
 

Último

ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
JAVIER SOLIS NOYOLA
 
6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria
Wilian24
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
EliaHernndez7
 

Último (20)

Desarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por ValoresDesarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por Valores
 
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptPINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
 
Ensayo Paes competencia matematicas 2 Preuniversitario
Ensayo Paes competencia matematicas 2 PreuniversitarioEnsayo Paes competencia matematicas 2 Preuniversitario
Ensayo Paes competencia matematicas 2 Preuniversitario
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
 
Factores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdfFactores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdf
 
Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024
 
UNIDAD DIDACTICA nivel inicial EL SUPERMERCADO.docx
UNIDAD DIDACTICA nivel inicial EL SUPERMERCADO.docxUNIDAD DIDACTICA nivel inicial EL SUPERMERCADO.docx
UNIDAD DIDACTICA nivel inicial EL SUPERMERCADO.docx
 
activ4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdfactiv4-bloque4 transversal doctorado.pdf
activ4-bloque4 transversal doctorado.pdf
 
La Evaluacion Formativa SM6 Ccesa007.pdf
La Evaluacion Formativa SM6 Ccesa007.pdfLa Evaluacion Formativa SM6 Ccesa007.pdf
La Evaluacion Formativa SM6 Ccesa007.pdf
 
6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria6°_GRADO_-_MAYO_06 para sexto grado de primaria
6°_GRADO_-_MAYO_06 para sexto grado de primaria
 
AEC 2. Aventura en el Antiguo Egipto.pptx
AEC 2. Aventura en el Antiguo Egipto.pptxAEC 2. Aventura en el Antiguo Egipto.pptx
AEC 2. Aventura en el Antiguo Egipto.pptx
 
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
 
Sesión de clase APC: Los dos testigos.pdf
Sesión de clase APC: Los dos testigos.pdfSesión de clase APC: Los dos testigos.pdf
Sesión de clase APC: Los dos testigos.pdf
 
Usos y desusos de la inteligencia artificial en revistas científicas
Usos y desusos de la inteligencia artificial en revistas científicasUsos y desusos de la inteligencia artificial en revistas científicas
Usos y desusos de la inteligencia artificial en revistas científicas
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
 
UNIDAD DE APRENDIZAJE DE PRIMER GRADO DEL MES DE MAYO PARA TRABAJAR CON ESTUD...
UNIDAD DE APRENDIZAJE DE PRIMER GRADO DEL MES DE MAYO PARA TRABAJAR CON ESTUD...UNIDAD DE APRENDIZAJE DE PRIMER GRADO DEL MES DE MAYO PARA TRABAJAR CON ESTUD...
UNIDAD DE APRENDIZAJE DE PRIMER GRADO DEL MES DE MAYO PARA TRABAJAR CON ESTUD...
 
Lecciones 06 Esc. Sabática. Los dos testigos
Lecciones 06 Esc. Sabática. Los dos testigosLecciones 06 Esc. Sabática. Los dos testigos
Lecciones 06 Esc. Sabática. Los dos testigos
 
prostitución en España: una mirada integral!
prostitución en España: una mirada integral!prostitución en España: una mirada integral!
prostitución en España: una mirada integral!
 

Implantacion del iso_27001_2005

  • 1. IMPLANTACIÓN DEL ISO 27001:2005 “SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBCP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors) E-mail: aalexan@pucp.edu.pe www.centrum.pucp.edu.pe/excelncia
  • 2. ¿Su base de datos está protegida de manos criminales? ¿Los activos de su empresa han sido inventariados y tasados? 2
  • 3. Un reciente reporte del House Banking Committee de Estados Unidos, muestra que el sector financiero perdió 2.4 INFORMACIÓN billones de dólares por ataques computarizados en 1998 EN LA EMPRESA –más del triple que en 1996. No es sorprendente, considerando que por día se transfieren electrónicamente 2 trillones de dólares, mucho de lo cual pasa a través de líneas que según el FBI no son muy seguras. (Fortune 500, 2003). Casi el 80% de los valores intelectuales de las corporaciones son electrónicos, de acuerdo a la Cámara de Comercio estadounidense, y un competidor puede subir hasta las nubes si roba secretos comerciales y listas de clientes. (Sloan Review, 2003). Los hackers son expertos en ingeniería social –consiguiendo personas de dentro de las compañías para sacarles contraseñas y claves de invitados. “Si te levantas a la secretaria ganaste, dice Dill Dog”. (Famoso hacker). 3
  • 4. El fraude celular no escapa a ninguna compañía telefónica en el mundo. Telcel y Movilnet en el caso de Venezuela INFORMACIÓN afirman que en el año 1997 las pérdidas por concepto de EN LA EMPRESA clonación se ubicaaron en 1,800 millones de dólares, lo que los ha impulsado a mejorar su sistema de gestión de seguridad de información. La clonación ocurre cuando los “clonadores” capturan la transmisión de los números de identificación (ESN: número asignado), bien sea rastreando los datos o sobornando a un empleado de la operadora y la copian en otros equipos no autorizados. (Cielorojo/computación 19/01/04). 4
  • 5. La información en la empresa es uno de los más importantes activos que se poseen. INFORMACIÓN EN LA Las organizaciones tienen que desarrollar mecanismos que EMPRESA les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la información. La información está sujeta a muchas amenazas, tanto de índole interna como externa. 5
  • 6. El nuevo estándar internacional, el ISO 27001:2005, está ISO 27001:2005 orientado a establecer un sistema gerencial que permita SISTEMA DE GESTIÓN DE minimizar el riesgo y proteger la información en las SEGURIDAD DE empresas, de amenazas externas o internas. INFORMACIÓN •Grupo de trabajo de la industria se establece en 1993 HISTORIA DEL •Código de práctica - 1993 ESTÁNDAR •British standard - 1995 BS 7799 •BS 7799 parte 2 - 1998 E •BS 7799 parte 1 - 1998 ISO 17799 •BS 7799 parte 1 y parte 2 revisada en 1999 •BS / ISO / IEC – 17799 - 2000 6
  • 7. ISO 27001:2005- SISTEMA DE ISO / IEC 17799 : 2005 GESTIÓN DE Código de práctica de seguridad en la gestión de la SEGURIDAD DE información – Basado en BS 7799 – 1 : 2000. INFORMACIÓN .Recomendaciones para buenas prácticas No puede ser utilizado para certificación ISO 27001:2005 Especificación para la gestión del sistema de seguridad de información .Es utilizado para la certificación 7
  • 8. INFORMACIÓN “La información es un activo, que tal como otros importantes activos del negocio, tiene valor para una empresa y consecuentemente requiere ser protegida adecuadamente”. ISO 17799:2005 8
  • 9. Seguridad de información es mucho más que establecer “firewalls”, aplicar parches para corregir nuevas vulnerabilidades en el sistema de software, o guardar en la ¿QUÉ ES bóveda los “backups”. SEGURIDAD DE INFORMACIÓN? Seguridad de información es determinar qué requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo. La seguridad de información se caracteriza por la preservación de: a) CONFIDENCIALIDAD : La información está protegida de personas no autorizadas. b) INTEGRIDAD : La información está como se pretende, sin modificaciones inapropiadas. c) DISPONIBILIDAD : Los usuarios tienen acceso a la información y a los activos asociados cuando lo requieran. 9
  • 10. NATURALEZA Y DINÁMICA DEL ISO 27001:2005 SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN 10
  • 11. PLAN ESTABLECER PARTES EL SGSI 4.2 PARTES INTERESADAS INTERESADAS MODELO PDCA APLICADO A REQUERI- IMPLEMENTAR Desarrollar, MANTENER Y SEGURIDAD LOS PROCESOS MIENTOS Y Y OPERAR EL mantener MEJORAR DE EXPECTATI- EL SGSI 4.2.2 y mejorar EL SGSI 4.2.4 DEL SISTEMA VAS DE LA INFORMA- DO el ciclo ACT CIÓN DE GESTIÓN DE SEGURIDAD SEGURIDAD DE MONITOREAR MANEJADA DE INFOR- INFORMACIÓN MACIÓN Y REVISAR EL SGSI 4.2.3 SGSI CHECK 4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6.0 Revisión gerencial 6.4 Auditorias internas 7.0 Mejoramiento del SGSI 7.1 Mejoramiento continuo 7.2 Acción correctiva 7.3 Acción preventiva 11
  • 12. HOJA DE RUTA PARA CUMPLIR CON EL ACTIVIDADES CLÁUSULAS ISO 27001:2005 ORGANIZACIONALES Establecer el SGSI a) Definir el alcance del SGSI (Sección 4.2.1) b) Definir un sistemático enfoque para evaluación del riesgo c) Identificar el riesgo d) Evaluar el riesgo e) Definir política SGSI f) Identificar y evaluar opciones para el tratamien- to del riesgo g) Seleccionar objetivos de control y controles h) Preparar un enunciado de aplicabilidad i) Obtener aprobación de la gerencia 12
  • 13. HOJA DE RUTA PARA CUMPLIR CON EL ACTIVIDADES CLÁUSULAS BS 7799-2:2002 ORGANIZACIONALES Implementar y operar a) Formular un plan para tratamiento del riesgo el SGSI b) Implementar el plan de tratamiento del riesgo (Sección 4.2.2) c) Implementar todos los objetivos de control y controles seleccionados d) Implementar programa de entrenamiento y toma de conciencia e) Gestionar operaciones f) Gestionar recursos 13
  • 14. ACTIVIDADES CLÁUSULAS HOJA DE RUTA ORGANIZACIONALES PARA CUMPLIR Monitorear y revisar el a) Ejecutar procedimientos de monitoreo CON EL SGSI b) Efectuar revisiones regulares de la eficacia del ISO 27001:2005 (Sección 4.2.3) SGSI c) Revisar el nivel del riesgo residual y del riesgo aceptable d) Conducir las auditorias internas del SGSI e) Registrar todos los eventos que tienen un efecto en el desempeño del SGSI Mantener y mejorar el a) Implementar las mejoras identificadas SGSI b) Tomar apropiadas acciones correctivas y (Sección 4.2.4) preventivas c) Comunicar los resultados a todas las partes interesadas d) Asegurar que las mejoras alcancen los objetivos deseados 14
  • 15. Entendimiento de los requerimientos del modelo (1) CICLO Obtención de la certificación Determinación de METODOLÓ- internacional la brecha GICO PARA LA (8) (2) IMPLANTACIÓN DEL MODELO ISO 27001:2000 Ejecución de auditorias Análisis y evaluación internas del riesgo (7) (3) Redacción del Manual de Elaboración plan de gestión Seguridad de Información de continuidad comercial (6) (4) Desarrollo de competencias organizacionales (5) 15
  • 16. Taller estratégico con la Definir alcance METODOLOGÍA PASO I gerencia para analizar del modelo DETALLADA Entendimiento requerimientos del PARA IMPLANTAR EL de los modelo ISO 27001:2005 SISTEMA DE requerimientos GESTIÓN DE del modelo SEGURIDAD DE INFORMACIÓN ISO 27001:2005 PASO II Informe a la gerencia Efectuar “Gap Analysis” Determinación de la brecha Determinar la brecha y estimar presupuesto y cronograma 16
  • 17. Evaluación PASO III del riesgo Efectuar un análisis y Análisis y evaluación del riesgo METODOLOGÍA DETALLADA evaluación del Política PARA riesgo documentada -Amenazas, Política de IMPLANTAR EL SISTEMA DE -Vulnerabilidades seguridad -Impactos GESTIÓN DE SEGURIDAD DE INFORMACIÓN PASO IV Plan de ISO 27001:2005 continuidad Elaboración Plan de continuidad comercial Plan de gestión comercial del negocio documentado de continuidad comercial Plan de trata- Enfoque de la miento del riesgo gerencia para Gerencia del riesgo tratar el riesgo Tabla de Seleccionar controles y controles Utilización de objetivos de control a Anexo A de la norma implantar 17
  • 18. Enunciado de aplicabilidad Enunciado Elaborar un enunciado documentado METODOLOGÍA de aplicabilidad de aplicabilidad DETALLADA PARA IMPLANTAR EL SISTEMA DE GESTIÓN DE PASO V Entrenamiento en SEGURIDAD DE documentación de INFORMACIÓN Desarrollo de procedimientos, instruc- ISO 27001:2005 competencias ciones de trabajo Procedimiento organizacionales para manejo de Taller estratégico para la acción manejo de la acción correctiva correctiva y preventiva Procedimiento de Taller estratégico para auditoria interna el manejo de la auditoria documentado interna 18
  • 19. Manual de METODOLOGÍA Seguridad de PASO VI Elaboración del manual Información DETALLADA PARA de seguridad de Documentado Redacción información IMPLANTAR EL del manual de SISTEMA DE GESTIÓN DE Seguridad de SEGURIDAD DE Información INFORMACIÓN Informe de la ISO 27001:2005 PASO VII Efectuar auditoria auditoria interna interna Ejecución de Auditorias Internas Entrega de PASO VIII Auditoria de empresa informe certificadora Obtención de la certificación internacional 19
  • 20. ENFOQUE DE DEFINIR UNA POLÍTICA DEFINIR EL ALCANCE LAS SEIS DE SEGURIDAD DE DEL MODELO FASES INFORMACIÓN ESENCIALES DEL PROCESO DE IMPLANTACIÓN ISO 27001:2005 EFECTUAR UN ANÁLISIS DEFINIR OPCIONES DE Y EVALUACIÓN DEL TRATAMIENTO DEL RIESGO RIESGO SELECCIONAR PREPARAR UN CONTROLES A ENUNCIADO DE IMPLANTAR APLICABILIDAD 20
  • 21. CASO PRÁCTICO DE IMPLANTACIÓN DEL ISO 27001:2005 EN UNA ORGANIZACIÓN FINANCIERA ÁREA: AHORROS-CAPTACIONES 21
  • 22. DEFINICIÓN DEL ALCANCE DEL MODELO EN EL BANCO En la sección 4.2 (a) del estándar, se exige como punto de partida para establecer el SGSI que la empresa: “defina el alcance del SGSI en términos de las características del negocio, la organización, su ubicación, activos y tecnología”. 22
  • 23. Una vez determinado el alcance del modelo en la IDENTIFICA- empresa, se debe proceder a identificar los CIÓN DE distintos activos de información, los cuales se ACTIVOS DE convierten en el eje principal del modelo. INFORMACIÓN Es importante mencionar que, en el caso del banco, se conformó un grupo multidisciplinario, compuesto por los dueños de los subprocesos que conformaban el proceso escogido en el alcance. También en el grupo se incluyó a los clientes vitales y proveedores internos de ahorros/captaciones. Posteriormente, una vez identificados los activos de información, se incluyeron en el grupo a los dueños de los activos de información. Al grupo multidisciplinario, se le denominó comité gestor. 23
  • 24. ANÁLISIS Y A los activos de información se les debe efectuar EVALUACIÓN un análisis y evaluación del riesgo, e identificar los DEL RIESGO controles del anexo A del estándar que tendrán que implementarse para mitigar el riesgo. Es importante en este punto, clarificar qué es un activo de información en el contexto del ISO 27001:2005. Según el ISO 17799:2005 (Código de Práctica para la Gestión de Seguridad de Información) un activo de información es: “algo a lo que una organización directamente le asigna un valor y, por lo tanto, la organización debe proteger”. 24
  • 25. Los activos de información son clasificados por el ANÁLISIS Y EVALUACIÓN ISO 17799:2005 en las siguientes categorías: DEL RIESGO -Activos de información (datos, manuales, usuarios, etc.) -Documentos de papel (contratos) -Activos de software (aplicación, software de sistemas, etc.) -Activos físicos (computadoras, medios magnéticos, etc.) -Personal (clientes, personal) -Imagen de la compañía y reputación -Servicios (comunicaciones, etc.) 25
  • 26. Al establecer el alcance, en la organización ALCANCE DEL SGSI financiera se determinó que fuera el área de ahorros y captaciones. Para dicho efecto, se utilizó el método de las elipses para determinar los activos de información. 26
  • 27. AHORROS CAPTACIONES SBS Ministerio BCR Público PER IPLO P Ahorros ST s Tesor Agencia e ría Se red. r Clie vicio . de C Adm n te Au d. I nt . Apertura Aceptación Con Nuevos Operaciones Pagos Emisiones Clientes Clientes tab . -Atenc. Y Cons. -Definición Pro. -Depósitos -Recepción Doc. -Consultas -Inscripción -Requisitos -Retiros -Autrización -Reclamos -Actualización -Condiciones -Transferencias -Entrega Efectivo -Emisión de Ext. -Recepción S/ $ -OT -Registro -Emisión de Cartas -Genera Cta. -Bloq. Y Desbloq. -FSD (ctas. > 10 años) -Lavado de Activos -OP (Entrega y recep) -Anexos SBS -Renovaciones -Serv. Cobranzas -Externos -Habilitaciones Cli Sistem AAS en as te . s . Leg Logística ridad Ases Créditos Segu s nte REN IE Clie C Corresponsales AFP’s
  • 28. TASACIÓN DE ACTIVOS DE INFORMACIÓN ACTIVOS DE INFORMACIÓN CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD TOTAL - Base de datos ahorros 4 4 4 4 - Base de datos clientes 5 5 4 5 - Equipo de cómputo 2 2 4 2 - Línea dedicada 2 2 5 3 - Internet 2 1 3 2 - Servidor de archivos 5 5 4 5 - Servidor 5 4 4 4 - Copias de backup 5 5 3 4 - Switchers 1 1 5 2 - Router’s 1 1 5 2 - Modem 1 1 5 2 - Líneas telefónicas 4 2 3 3 - Central telefónica 4 2 3 3 - Disco duro 5 5 3 4 - Cámaras de video 1 1 5 2 - Teléfonos 4 1 3 3
  • 29. DISTRIBUCIÓN DE ACTIVOS Y SUS PROPIETARIOS ACTIVOS DE INFORMACIÓN PROPIETARIOS 1. BASE DE DATOS CLIENTES SERVICIO AL CLIENTE 2. SERVIDOR SISTEMAS 3. JEFE DE AHORROS AHORROS 4. BASE DE DATOS AHORROS SISTEMAS 5. CLAVES AHORROS 6. SERVIDOR DE ARCHIVOS SISTEMAS 7. COPIAS DE BACKUP SISTEMAS 8. DISCO DURO Y GRAB. (Videos) SISTEMAS 9. REGISTROS DE CLIENTES AHORROS 10. FORMATOS AHORROS 11. VOUCHER’S ADM. DE CRÉDITOS 12. FORMATO LAVADO ACTIVOS AHORROS
  • 30. ANÁLISIS Y EVALUACIÓN DEL RIESGO POSIBILI- POSIBI- VALOR CRITERIO ACTIVOS POSIBI- DAD QUE LIDAD DE PARA OBJETIVOS NIVELES DE DE LIDAD VULNERA- AMENAZA DE OCU- CRITI- CONTRO- AMENAZAS ACTIVOS TOTAL ACEPTAR DE ACEPTACION INFORMA- OCU- BILIDADES PENETRE RRENCIA CIDAD LES DE EL CONTROL DEL RIESGO CIÓN RRENCIA VULNERA- DE AME- RIESGOS RIESGO BILIDAD NAZA 1. BASE DE - Hckers 2 - Falta de 2 - Verificación A.5.1 Promocionar dirección A.5.1.1 semanal de ac- gerencial y apoyo a la S.I. A.5.1.2 DATOS - Deterioro 4 antivirus tualizaciones A.6.1 Seguridad del equipo: A.7.2.4 AHORROS fisico - Libre acce- 5 - El sistema evitar la pérdida, daño o so permite control compromiso de los activos automático y la interrupción de las ac- de incidentes tividades comerciales. A.6.2 Proteger la integridad A.6.2.1 4 4 16 C del software y la informa- ción del daño de software malicioso. A.7.1Mantener la integridad A.7.1.1 y disponibilidad de los ser- A.7.1.2 vicios de procesamiento de información y comunica- ciones. 2. SERVI- - Virus 2 - Software 3 - Parches de A.9.2. Proteger la integridad A.9.2.1 software del software y la informa- DOR - Rayos desactuali- - Verificación ción del daño de software zado 4 semanal de malicioso. 4 - Falta para actualizacio- nes. rayos 4 4 16 C 3. BASE DE - Errores en 4 - Mala progra 2 - Verificación A.9.2 Minimizar el riesgo de A.9.2.1 diaria de ac- fallas en los sistemas. A.9.2.2 DATOS digitación mación tualizaciones A.10.1 Asegurar que se in- A.10.1.1 CLIENTES - Mala valida- 5 - El sistema corpore seguridad en los ción y prue- permite regis- sistemas de información. tro e impresión A.10.2 Evitar la pérdida, mo- A.10.2.1 bas de incidentes dificación o mal uso de la A.10.2.2 - Parches de data del usuario en los sis- A.10.2.3 5 4 20 C software temas de información. A.10.3 Asegurar que los pro A.10.3.1 yectos T.I. y las actividades A.10.3.3 de apoyo se reducen de manera segura.
  • 31. PLAN ESTABLECER PARTES EL SGSI 4.2 PARTES INTERESADAS INTERESADAS MODELO PDCA APLICADO A REQUERI- IMPLEMENTAR Desarrollar, MANTENER Y SEGURIDAD LOS PROCESOS MIENTOS Y Y OPERAR EL mantener MEJORAR DE EXPECTATI- EL SGSI 4.2.2 y mejorar EL SGSI 4.2.4 DEL SISTEMA VAS DE LA INFORMA- DO el ciclo ACT CIÓN DE GESTIÓN DE SEGURIDAD SEGURIDAD DE MONITOREAR MANEJADA DE INFOR- INFORMACIÓN MACIÓN Y REVISAR EL SGSI 4.2.3 SGSI CHECK 4.3 Requerimientos de documentación 4.3.2 Control de documentos 4.3.3 Control de registros 5.0 Responsabilidad de la gerencia 5.1 Compromiso de la gerencia 5.2 Gestión de recursos 5.2.1 Provisión de recursos 5.2.2 Capacitación, conocimiento y capacidad 6.0 Revisión gerencial 6.4 Auditorias internas 7.0 Mejoramiento del SGSI 7.1 Mejoramiento continuo 7.2 Acción correctiva 7.3 Acción preventiva 31
  • 32. Entendimiento de los requerimientos del modelo (1) CICLO Obtención de la certificación Determinación de METODOLÓ- internacional la brecha GICO PARA LA (8) (2) IMPLANTACIÓN DEL MODELO ISO 27001:2005 Ejecución de auditorias Análisis y evaluación internas del riesgo (7) (3) Redacción del Manual de Elaboración plan de gestión Seguridad de Información de continuidad comercial (6) (4) Desarrollo de competencias organizacionales (5) 32
  • 33. -Los ataques de virus continúan como la principal RESULTADOS DEL COMPUTER fuente de grandes pérdidas financieras. CRIME AND -El uso no autorizado de sistemas de computación SECURITY ha incrementado. SURVEY/ FBI 2005 -Los incidentes en los web sites han aumentado dramáticamente. -El outsourcing de actividades de seguridad de información no ha crecido. -87% de los encuestados conducen auditorias de seguridad. -La mayoría de empresas ven el entrenamiento al usuario como algo muy importante. 33
  • 34. Los 15 requerimientos son una lista de chequeo VISA ACCOUNT para lograr conformidad con el estándar. INFORMATION SECURITY 1. Establecer política para la contratación de STANDARDS personal. 2. Restringir acceso a datos. 3. Asignar al personal un sistema de identificación único para ser validado al acceder a datos. 4. Controlar el acceso a datos. 5. Instalar y mantener un “firewall” network si los datos son accedidos desde la internet. 6. Encriptar datos mantenidos en bases de datos. 7. Encriptar datos enviados a través de redes. 8. Proteger sistemas y datos de virus. 34
  • 35. 9. Mantener al día los parches a software VISA ACCOUNT INFORMATION 10. No utilizar “passwords” para sistemas y otros SECURITY parámetros de seguridad proporcionado por STANDARDS terceros. 11. No dejar desatendidos computadoras, diskettes con datos. 12. De manera segura, destruir datos cuando ya no son necesarios. 13. De manera regular verificar el desempeño de sistemas y procedimientos. 14. Inmediatamente investigar y reportar a VISA cualquier perdida de cuentas o información de las transacciones. 15. Utilizar sólo proveedores de servicios que cumplan estos requisitos 35
  • 36. IMPLANTACIÓN DEL ISO 27001:2005 “SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN” Alberto G. Alexander, Ph.D, CBCP Auditor Sistemas de Gestión de Seguridad de Información Certificado IRCA (International Registered of Certified Auditors) E-mail: alexand@terra.com.pe