SlideShare una empresa de Scribd logo

Gestión seguridad de la información y marco normativo

Descargar como PPTX, PDF
Modernizacion y Gobierno Digital - Gobierno de Chile
Modernizacion y Gobierno Digital - Gobierno de Chile

Presentación de Seminario Seguridad de la Información, organizado por la Unidad de Modernización y Gobierno Electrónico.

Tecnología
1 de 38
Gestión Seguridad de la Información Marco Normativo Unidad de Modernización y Gobierno Electrónico Ministerio Secretaría General de la Presidencia
Amenazas Tecnológicas Social Media Pharming Malware Botnet PHP File Include Virus Spyware Trojan Worm Whaling Phishing XSS DDoS P2P SQL Injection ¿Podemos garantizar su control?
Otras Amenazas • Colusión interna para efectuar delitos • Errores y omisiones involuntarios del personal • RIESGO en el trabajo con terceros
Seguridad de la Información • No es sólo Firewalls o Antivirus...
Seguridad de la Información • No es sólo tecnología...
Seguridad de la Información • Las personas son el eslabón más débil y mayoritario en la cadena de la seguridad
Seguridad de la Información • No se refiere sólo a Disponibilidad...
Seguridad de la Información • No hay que reinventar la rueda … – … ya existen • Mejores prácticas • Modelos de Gestión • ISO y su homologación Chilena NCh ISO
Seguridad de la Información • ENTONCES… – ¡Qué es?
Activos de Información • Tres niveles básicos de Activos de Información – La Información propiamente tal, en sus múltiples formatos (papel, digital, texto, imagen, audio, video, etc.) – Los Equipos/Sistemas/infraestructura que soportan esta información – Las Personas que utilizan la información y que tienen el conocimiento de los procesos institucionales
¿Qué proteger? ACTIVO DE INFORMACIÓN Basado en estándar internacional ISO/IEC 27002:2005
Toda institución requiere hacer Gestión de cómo proteger eficaz y eficientemente la información. Principio de la Gestión de la Seguridad
Objetivo de esta sección • Homogenizar conceptos y metodologías por medio de la cual se realiza la definición, implantación, medición de efectividad y mejora de la Seguridad de la Información al interior de las Instituciones. • Establecer una base y estructura común para la definición de un Marco Normativo de Seguridad de la Información
Temario • Marcos de Referencia – Nch ISO 27002 • Sistema de Gestión de Seguridad (ISMS) – Marco Normativo • Estructura y composición – Indicadores y Medición de la efectividad del ISMS – Administración y revisión. • RoadMap: – Evaluación, Implementación y Certificación
Nch ISO 27002 Marcos de Referencia
Estándares y Regulaciones • Nacionales – NCh ISO 27001 / NCh ISO 27002 • PMG-SSI • Internacionales – ISO/IEC 27001:2005 / ISO/IEC 27002:2005 – CSIRT – PCI / SOX / BASILEA – BS 25999/DRII/BCI/ – CobIT / ITil
Marcos de Referencia • Norma Chilena Oficial NCH-ISO 27002.Of2009: – Listado de Mejores Prácticas – Internacionalmente homologada de ISO/IEC 27002:2005 – Antes Norma Chilena Oficial NCh 2777.Of.2003 • Norma Chilena Oficial NCH-ISO 27001.Of2009: – Sistemas de gestión de la seguridad de la información / SGSI – ISMS – Internacionalmente homologada de ISO/IEC 27001:2005
Áreas de Control (Nch ISO 27002) 5 Políticas de Seguridad 6 Organización para la Seguridad de la Información 7 Gestión de activos 8 Seguridad del Recurso Humano 9 Seguridad Física y Ambiental 10 Administración de comunicaciones y operaciones 11 Control de Acceso 12 Adquisición, desarrollo y mantención de sistemas de información 13 Gestión de Incidentes de Seguridad de la información 14 Administración de la Continuidad del Negocio 15 Cumplimiento
Controles ISO 27002
133 Controles ISO 27002
Estructura Organizacional • Nivel Estratégico – Comité de Seguridad / Comité de Gerentes – Gerencia de Riesgo – CISO / CSO • Nivel Táctico – Oficial de Seguridad – Auditoría Interna • Nivel Operacional – Administradores de Seguridad – Monitores/Líderes de Seguridad de la Información – Usuarios Finales
Cuerpo Normativo • Nivel Estratégico – Política General de Seguridad de la Información • Nivel Táctico – Políticas de Seguridad de Temas Específicos • Uso de recursos tecnológicos • Control de Acceso • Escritorios limpios • … • Nivel Operacional – Procedimientos – Estándares internos – Instructivos – Guías prácticas de seguridad – Tips de seguridad
Base Normativa en Seguridad de la Información Política General de Seguridad de la Información
ISMS / SGSI Sistemas de Gestión de Seguridad de la Información
ISMS • Parte de los sistemas de gestión, que basado en los procesos de la institución y en un enfoque de riesgo de seguridad, permite establecer, implementar, operar, monitorear y revisar, así como mantener y mejorar la Seguridad de la Información
ISMS SGSI Information Sistemas de Security Gestión de Management Seguridad de la Systems Información PMG-SSI
Gestión de Mejora Continua • Modelo DEMING • PDCA
Metodología Pdca • PLAN – Definición de un ISMS – Se identifica las necesidades, recursos, estructura y responsabilidades – En esta etapa se define las políticas de seguridad, los procesos y procedimientos relevantes para la administración del riesgo y mejoras para la seguridad de la información, de acuerdo a las políticas y objetivos de toda la organización
2 Requisitos ISO 27001:2005 9 Mandatorio: 4 Sistema de Gestión de Seguridad de la Información -4.1 – Requisitos Generales -4.2 – Establecer y Administrar el SGSI -- 4.2.1 Creación del SGSI -- 4.2.2 Implementación y operación del SGSI -- 4.2.3 Supervisión y revisión del SGSI -- 4.2.4 Mantenimiento y mejora del SGSI -4.3 – Documentación y Registros 5 Responsabilidad de la Dirección Sentencia de Aplicabilidad -5.1 – Compromiso de la Gerencia (SoA) 4.2.1.j -5.2 – Gestión de los Recursos 6 – Auditorias Internas del SGSI 7 – Revisión por la Gerencia 8 – Mejora del SGSI -8.1 – Mejora Continua -8.2 – Acción Correctiva -8.3 – Acción Preventiva Selección como resultado de la Evaluación de Riesgo: Anexo A – Controles
Metodología pDca • DO – Implementación y Operación de un ISMS – Se refiere a la etapa de puesta en marcha del sistema de gestión, donde se implanta y habilitan las condiciones tecnológicas y organizacionales para operar un ISMS – Considera, entre otros, la implantación de políticas de seguridad, controles, procesos y procedimientos
Metodología pdCa • CHECK – Monitoreo y revisión de un ISMS – Donde se realiza la medición y análisis de la efectividad de los controles implantados, de acuerdo a revisiones de gerencia y auditoría – Considera los procesos ejecutados con relación a la política del ISMS, evaluar objetivos, experiencias e informar los resultados a la administración para su revisión
Metodología pdcA • ACT – Mantención y mejora de un ISMS. – Referido específicamente al tratamiento de acciones correctivas y preventivas, basados en las auditorías internas y revisiones del ISMS o cualquier otra información relevante, para permitir la mejora continua del ISMS
ROADMAP Evaluación GAP Implementación Certificación
RoadMap: Paso 1 - Evaluación GAP • El principal objetivo de la consultoría que permita medir el estado actual de implementación de controles de Seguridad de la Información, existentes , respecto de la definición de controles que posee la norma internacional ISO/IEC 27002:2005, identificando las principales fortalezas y debilidades respecto de los controles definidos en dicha norma. • Identificar la brecha existente entre el modelo de referencia y la situación actual. • Genera Plan de Mitigación o Plan de Seguridad
RoadMap: Paso 2 - Implementación • Habilitación de un ISMS, implementando un Plan de Seguridad acordado • Definición y descripción de los ámbitos de cobertura y alcance del proyecto y del ISMS. • Definir un comité estratégico y equipos de trabajo, roles y responsabilidades • Formalización de las actividades así como los mecanismos para la presentación de avances y control de cambios. • Habilitación de la infraestructura de soporte al proyecto y gestión documental. • Generación de estructuras organizacionales y cuerpo normativo de seguridad • Habilitación de las plataformas tecnológicas necesarias. • Generación de los registros necesarios para las revisiones de cumplimiento.
RoadMap: Paso 3 - Certificación Cuestionario de Pre-Aplicación Alcanzar la Evaluación/verificación/propuesta certificación ISO 27001 otorgada por Aplicación algún organismo Pre-auditoria opcional acreditado. Auditoria Etapa 1 Evaluación/ Tratamiento del Riesgo Declaración de Aplicabilidad Auditoria Etapa 2 Revisión detallada de la implantación y eficacia Certificación Evaluación Continua Ciclo de 3 años Normalmente 2 visitas por año Revisión estratégica / Re-certificación
ETAPAS DE UN PROYECTO ROADMAP Etapa 1: Evaluación GAP ISO 27002: permite identificar brecha respecto a un marco de referencia Etapa 2: Considera el Establecimiento del ISMS, asociado a la Fase Plan del PDCA. Etapa 3: Considera la implementación de la estructura organizacional y la definición de los procedimientos necesarios para la gestión ISMS, así como la implementación de controles esenciales ISO 27002. Etapa 4: Entrega seguimiento a la implementación de los restantes controles de mitigación según la evaluación de riesgos realizada en Etapa 1 y plasmada en un Plan de Seguridad. Etapa 5: Considera la etapa de supervisión y soporte para el proceso de postulación y supervisión para alcanzar la certificación ISMS por una entidad certificadora.
Gracias. Ministerio Secretaría General de la Presidencia Unidad de Modernización y Gobierno Electrónico @modernizacioncl

Recomendados

What is iso 27001 isms
What is iso 27001 ismsWhat is iso 27001 isms
What is iso 27001 isms
Craig Willetts ISO Expert
 
ISMS implementation challenges-KASYS
ISMS implementation challenges-KASYSISMS implementation challenges-KASYS
ISMS implementation challenges-KASYS
Reza Teynia ISMS, ITSM, MSc
 
Iso 27001 awareness
Iso 27001 awarenessIso 27001 awareness
Iso 27001 awareness
Ãsħâr Ãâlâm
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
Maria Villalba
 
Iso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaIso27001- Nashwan Mustafa
Iso27001- Nashwan Mustafa
Fahmi Albaheth
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My Organisation
Vigilant Software
 
27001 awareness Training
27001 awareness Training27001 awareness Training
27001 awareness Training
Dr Madhu Aman Sharma
 
ISO 27001 2013 isms final overview
ISO 27001 2013 isms final overviewISO 27001 2013 isms final overview
ISO 27001 2013 isms final overview
Naresh Rao
 

Recomendados

What is iso 27001 isms
What is iso 27001 ismsWhat is iso 27001 isms
What is iso 27001 isms
Craig Willetts ISO Expert
 
ISMS implementation challenges-KASYS
ISMS implementation challenges-KASYSISMS implementation challenges-KASYS
ISMS implementation challenges-KASYS
Reza Teynia ISMS, ITSM, MSc
 
Iso 27001 awareness
Iso 27001 awarenessIso 27001 awareness
Iso 27001 awareness
Ãsħâr Ãâlâm
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
Maria Villalba
 
Iso27001- Nashwan Mustafa
Iso27001- Nashwan MustafaIso27001- Nashwan Mustafa
Iso27001- Nashwan Mustafa
Fahmi Albaheth
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My Organisation
Vigilant Software
 
27001 awareness Training
27001 awareness Training27001 awareness Training
27001 awareness Training
Dr Madhu Aman Sharma
 
ISO 27001 2013 isms final overview
ISO 27001 2013 isms final overviewISO 27001 2013 isms final overview
ISO 27001 2013 isms final overview
Naresh Rao
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
n|u - The Open Security Community
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security Architecture
Priyanka Aash
 
Information Security Architecture: Building Security Into Your Organziation
Information Security Architecture: Building Security Into Your OrganziationInformation Security Architecture: Building Security Into Your Organziation
Information Security Architecture: Building Security Into Your Organziation
Seccuris Inc.
 
Information Security Management Systems(ISMS) By Dr Wafula
Information Security Management Systems(ISMS) By Dr WafulaInformation Security Management Systems(ISMS) By Dr Wafula
Information Security Management Systems(ISMS) By Dr Wafula
Discover JKUAT
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
Primala Sistema de Gestion
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
ISO 27001 Benefits
ISO 27001 BenefitsISO 27001 Benefits
ISO 27001 Benefits
Dejan Kosutic
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
Daniel Arevalo
 
A to Z of Information Security Management
A to Z of Information Security ManagementA to Z of Information Security Management
A to Z of Information Security Management
Mark Conway
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informatica
Gabriela2409
 
Information Security Management System ISO/IEC 27001:2005
Information Security Management System ISO/IEC 27001:2005Information Security Management System ISO/IEC 27001:2005
Information Security Management System ISO/IEC 27001:2005
ControlCase
 
Reporting about Overview Summery of ISO-27000 Se.(ISMS)
Reporting about Overview Summery of ISO-27000 Se.(ISMS)Reporting about Overview Summery of ISO-27000 Se.(ISMS)
Reporting about Overview Summery of ISO-27000 Se.(ISMS)
AHM Pervej Kabir
 
Basic introduction to iso27001
Basic introduction to iso27001Basic introduction to iso27001
Basic introduction to iso27001
Imran Ahmed
 
Planning for-and implementing ISO 27001
Planning for-and implementing ISO 27001Planning for-and implementing ISO 27001
Planning for-and implementing ISO 27001
Yerlin Sturdivant
 
ISO 27005 Risk Assessment
ISO 27005 Risk AssessmentISO 27005 Risk Assessment
ISO 27005 Risk Assessment
Smart Assessment
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
plackard
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part I
khushboo
 
Steps to iso 27001 implementation
Steps to iso 27001 implementationSteps to iso 27001 implementation
Steps to iso 27001 implementation
Ralf Braga
 
ISO 27001 - information security user awareness training presentation -part 2
ISO 27001 - information security user awareness training presentation -part 2ISO 27001 - information security user awareness training presentation -part 2
ISO 27001 - information security user awareness training presentation -part 2
Tanmay Shinde
 
Marco de referencia ISO 9000
Marco de referencia ISO 9000Marco de referencia ISO 9000
Marco de referencia ISO 9000
jjjeeefff
 
Curso Procesos Avanzados de Seguridad Informática (Contenidos)
Curso Procesos Avanzados de Seguridad Informática (Contenidos)Curso Procesos Avanzados de Seguridad Informática (Contenidos)
Curso Procesos Avanzados de Seguridad Informática (Contenidos)
José Andrés Gallardo Basualdo
 

Más contenido relacionado

La actualidad más candente

Information Security Architecture: Building Security Into Your Organziation
Information Security Architecture: Building Security Into Your OrganziationInformation Security Architecture: Building Security Into Your Organziation
Information Security Architecture: Building Security Into Your Organziation
Seccuris Inc.
 
Information Security Management Systems(ISMS) By Dr Wafula
Information Security Management Systems(ISMS) By Dr WafulaInformation Security Management Systems(ISMS) By Dr Wafula
Information Security Management Systems(ISMS) By Dr Wafula
Discover JKUAT
 
Reporting about Overview Summery of ISO-27000 Se.(ISMS)
Reporting about Overview Summery of ISO-27000 Se.(ISMS)Reporting about Overview Summery of ISO-27000 Se.(ISMS)
Reporting about Overview Summery of ISO-27000 Se.(ISMS)
AHM Pervej Kabir
 

La actualidad más candente (20)

ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Enterprise Security Architecture
Enterprise Security ArchitectureEnterprise Security Architecture
Enterprise Security Architecture
 
Information Security Architecture: Building Security Into Your Organziation
Information Security Architecture: Building Security Into Your OrganziationInformation Security Architecture: Building Security Into Your Organziation
Information Security Architecture: Building Security Into Your Organziation
 
Information Security Management Systems(ISMS) By Dr Wafula
Information Security Management Systems(ISMS) By Dr WafulaInformation Security Management Systems(ISMS) By Dr Wafula
Information Security Management Systems(ISMS) By Dr Wafula
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
ISO 27001 Benefits
ISO 27001 BenefitsISO 27001 Benefits
ISO 27001 Benefits
 
Iso 27005-espanol
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanol
 
A to Z of Information Security Management
A to Z of Information Security ManagementA to Z of Information Security Management
A to Z of Information Security Management
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informatica
 
Information Security Management System ISO/IEC 27001:2005
Information Security Management System ISO/IEC 27001:2005Information Security Management System ISO/IEC 27001:2005
Information Security Management System ISO/IEC 27001:2005
 
Reporting about Overview Summery of ISO-27000 Se.(ISMS)
Reporting about Overview Summery of ISO-27000 Se.(ISMS)Reporting about Overview Summery of ISO-27000 Se.(ISMS)
Reporting about Overview Summery of ISO-27000 Se.(ISMS)
 
Basic introduction to iso27001
Basic introduction to iso27001Basic introduction to iso27001
Basic introduction to iso27001
 
Planning for-and implementing ISO 27001
Planning for-and implementing ISO 27001Planning for-and implementing ISO 27001
Planning for-and implementing ISO 27001
 
ISO 27005 Risk Assessment
ISO 27005 Risk AssessmentISO 27005 Risk Assessment
ISO 27005 Risk Assessment
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part I
 
Steps to iso 27001 implementation
Steps to iso 27001 implementationSteps to iso 27001 implementation
Steps to iso 27001 implementation
 
ISO 27001 - information security user awareness training presentation -part 2
ISO 27001 - information security user awareness training presentation -part 2ISO 27001 - information security user awareness training presentation -part 2
ISO 27001 - information security user awareness training presentation -part 2
 

Destacado

Curso Procesos Avanzados de Seguridad Informática (Contenidos)
Curso Procesos Avanzados de Seguridad Informática (Contenidos)Curso Procesos Avanzados de Seguridad Informática (Contenidos)
Curso Procesos Avanzados de Seguridad Informática (Contenidos)
José Andrés Gallardo Basualdo
 
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...
Marco
 
Plan Estratégico de Capacitacion en Seguridad de la Información
Plan Estratégico de Capacitacion en Seguridad de la InformaciónPlan Estratégico de Capacitacion en Seguridad de la Información
Plan Estratégico de Capacitacion en Seguridad de la Información
mikaasalot
 
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓNSISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
VICTORIAZM
 
Testing as a Service: Desarrollo del mercado en Paraguay - Alfonso Mariano Fe...
Testing as a Service: Desarrollo del mercado en Paraguay - Alfonso Mariano Fe...Testing as a Service: Desarrollo del mercado en Paraguay - Alfonso Mariano Fe...
Testing as a Service: Desarrollo del mercado en Paraguay - Alfonso Mariano Fe...
GeneXus
 
Arquitectura Empresarial - Negocios Digitales
Arquitectura Empresarial - Negocios DigitalesArquitectura Empresarial - Negocios Digitales
Arquitectura Empresarial - Negocios Digitales
Joaquin Rincon
 

Destacado (20)

Marco de referencia ISO 9000
Marco de referencia ISO 9000Marco de referencia ISO 9000
Marco de referencia ISO 9000
 
Curso Procesos Avanzados de Seguridad Informática (Contenidos)
Curso Procesos Avanzados de Seguridad Informática (Contenidos)Curso Procesos Avanzados de Seguridad Informática (Contenidos)
Curso Procesos Avanzados de Seguridad Informática (Contenidos)
 
Curso Procesos de Seguridad Informática (Contenidos)
Curso Procesos de Seguridad Informática (Contenidos)Curso Procesos de Seguridad Informática (Contenidos)
Curso Procesos de Seguridad Informática (Contenidos)
 
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...
Plan Estrategico para mejorar la gestión en la Municipalidad Distrital de San...
 
Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Estándar iso iec 27002 2005
Estándar iso iec 27002 2005
 
Guia de Concientización y capacitación en seguridad de información
Guia de Concientización y capacitación en seguridad de informaciónGuia de Concientización y capacitación en seguridad de información
Guia de Concientización y capacitación en seguridad de información
 
La seguridad de la informacion (viruz)
La seguridad de la informacion (viruz)La seguridad de la informacion (viruz)
La seguridad de la informacion (viruz)
 
Plan Estratégico de Capacitacion en Seguridad de la Información
Plan Estratégico de Capacitacion en Seguridad de la InformaciónPlan Estratégico de Capacitacion en Seguridad de la Información
Plan Estratégico de Capacitacion en Seguridad de la Información
 
Catálogo Normas Chilenas
Catálogo Normas ChilenasCatálogo Normas Chilenas
Catálogo Normas Chilenas
 
ISO 20000
ISO 20000ISO 20000
ISO 20000
 
Educación y sensibilización en seguridad de la información
Educación y sensibilización en seguridad de la informaciónEducación y sensibilización en seguridad de la información
Educación y sensibilización en seguridad de la información
 
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓNSISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
 
Los 10 mandamientos de la Seguridad de la Información, por Marcela Nuñez
Los 10 mandamientos de la Seguridad de la Información, por Marcela Nuñez Los 10 mandamientos de la Seguridad de la Información, por Marcela Nuñez
Los 10 mandamientos de la Seguridad de la Información, por Marcela Nuñez
 
Iso 20000
Iso 20000Iso 20000
Iso 20000
 
Curso: Seguridad de redes e Internet 10: Otras mejores prácticas que apoyan l...
Curso: Seguridad de redes e Internet 10: Otras mejores prácticas que apoyan l...Curso: Seguridad de redes e Internet 10: Otras mejores prácticas que apoyan l...
Curso: Seguridad de redes e Internet 10: Otras mejores prácticas que apoyan l...
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Testing as a Service: Desarrollo del mercado en Paraguay - Alfonso Mariano Fe...
Testing as a Service: Desarrollo del mercado en Paraguay - Alfonso Mariano Fe...Testing as a Service: Desarrollo del mercado en Paraguay - Alfonso Mariano Fe...
Testing as a Service: Desarrollo del mercado en Paraguay - Alfonso Mariano Fe...
 
Arquitectura Empresarial - Negocios Digitales
Arquitectura Empresarial - Negocios DigitalesArquitectura Empresarial - Negocios Digitales
Arquitectura Empresarial - Negocios Digitales
 
Estrategia digital
Estrategia digitalEstrategia digital
Estrategia digital
 
Road Map01
Road Map01Road Map01
Road Map01
 

Similar a Gestión seguridad de la información y marco normativo

Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
JonathanBlas
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Cein
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Cein
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
santosperez
 

Similar a Gestión seguridad de la información y marco normativo (20)

Documento a seguir.pdf
Documento a seguir.pdfDocumento a seguir.pdf
Documento a seguir.pdf
 
Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799Ministerio del Interior - Presentación norma iso 17799
Ministerio del Interior - Presentación norma iso 17799
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan Blas
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
 
Introducción ISO/IEC 27001:2013
Introducción ISO/IEC 27001:2013Introducción ISO/IEC 27001:2013
Introducción ISO/IEC 27001:2013
 
Presentación sgsi janethpiscoya
Presentación sgsi janethpiscoyaPresentación sgsi janethpiscoya
Presentación sgsi janethpiscoya
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Resumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las TsiResumenes Cap. Gobierno De Las Tsi
Resumenes Cap. Gobierno De Las Tsi
 
Iso27001
Iso27001Iso27001
Iso27001
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la InformaciónSistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información
 
Brochure Curso SGSI
Brochure Curso SGSIBrochure Curso SGSI
Brochure Curso SGSI
 
Normas leyes
Normas leyesNormas leyes
Normas leyes
 

Más de Modernizacion y Gobierno Digital - Gobierno de Chile

Más de Modernizacion y Gobierno Digital - Gobierno de Chile (20)

Interoperabilidad en el Estado de Chile
Interoperabilidad en el Estado de ChileInteroperabilidad en el Estado de Chile
Interoperabilidad en el Estado de Chile
 
Infografia gobierno digital usuarios chilenos
Infografia gobierno digital usuarios chilenosInfografia gobierno digital usuarios chilenos
Infografia gobierno digital usuarios chilenos
 
Avances en la Digitalización de Trámites Públicos - Premios Chile sin Papeleo
Avances en la Digitalización de Trámites Públicos - Premios Chile sin PapeleoAvances en la Digitalización de Trámites Públicos - Premios Chile sin Papeleo
Avances en la Digitalización de Trámites Públicos - Premios Chile sin Papeleo
 
Red Multiservicios del Estado, ChileAtiende
Red Multiservicios del Estado, ChileAtiendeRed Multiservicios del Estado, ChileAtiende
Red Multiservicios del Estado, ChileAtiende
 
Going Open Going Social in Chile- OECD
Going Open Going Social in Chile- OECD Going Open Going Social in Chile- OECD
Going Open Going Social in Chile- OECD
 
Avances de Modernización del Estado- Comision Ciencia y Tecnologia
Avances de Modernización del Estado- Comision Ciencia y TecnologiaAvances de Modernización del Estado- Comision Ciencia y Tecnologia
Avances de Modernización del Estado- Comision Ciencia y Tecnologia
 
Presentación ChileAtiende- Comisión Gobierno Interior
Presentación ChileAtiende- Comisión Gobierno InteriorPresentación ChileAtiende- Comisión Gobierno Interior
Presentación ChileAtiende- Comisión Gobierno Interior
 
Presentación Modernización del Estado- Delegación Paraguay
Presentación Modernización del Estado- Delegación Paraguay Presentación Modernización del Estado- Delegación Paraguay
Presentación Modernización del Estado- Delegación Paraguay
 
Iniciativas de E-Government para el beneficio de los ciudadanos en Japón
Iniciativas de E-Government para el beneficio de los ciudadanos en JapónIniciativas de E-Government para el beneficio de los ciudadanos en Japón
Iniciativas de E-Government para el beneficio de los ciudadanos en Japón
 
Plan de Gobierno Digital en México
Plan de Gobierno Digital en MéxicoPlan de Gobierno Digital en México
Plan de Gobierno Digital en México
 
Red Mutiservicios del Estado "ChileAtiende" WorkShop APEC 2013
Red Mutiservicios del Estado "ChileAtiende" WorkShop APEC 2013 Red Mutiservicios del Estado "ChileAtiende" WorkShop APEC 2013
Red Mutiservicios del Estado "ChileAtiende" WorkShop APEC 2013
 
Servicios en línea y Gobierno 3.0 en la República de Corea
Servicios en línea y Gobierno 3.0 en la República de CoreaServicios en línea y Gobierno 3.0 en la República de Corea
Servicios en línea y Gobierno 3.0 en la República de Corea
 
“El Estado cercano a los ciudadanos, el desafío más importante de un gobierno...
“El Estado cercano a los ciudadanos, el desafío más importante de un gobierno...“El Estado cercano a los ciudadanos, el desafío más importante de un gobierno...
“El Estado cercano a los ciudadanos, el desafío más importante de un gobierno...
 
Service Canada. Experiencia en calidad de atención. Las personas como factor ...
Service Canada. Experiencia en calidad de atención. Las personas como factor ...Service Canada. Experiencia en calidad de atención. Las personas como factor ...
Service Canada. Experiencia en calidad de atención. Las personas como factor ...
 
Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013 Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
Seguridad y colaboración en la era digital - Andres Bustamante Segurinfo 2013
 
El Estado del Futuro - Icare Innova
El Estado del Futuro - Icare InnovaEl Estado del Futuro - Icare Innova
El Estado del Futuro - Icare Innova
 
Gobierno 2.0 para una ciudadanía 2.0
Gobierno 2.0 para una ciudadanía 2.0Gobierno 2.0 para una ciudadanía 2.0
Gobierno 2.0 para una ciudadanía 2.0
 
Más allá del Gobierno Digital
Más allá del Gobierno Digital Más allá del Gobierno Digital
Más allá del Gobierno Digital
 
Proyectos ChileAtiende y Chile sin Papeleo
Proyectos ChileAtiende y Chile sin PapeleoProyectos ChileAtiende y Chile sin Papeleo
Proyectos ChileAtiende y Chile sin Papeleo
 
Interoperabilidad Gobierno Digital Chile
Interoperabilidad Gobierno Digital ChileInteroperabilidad Gobierno Digital Chile
Interoperabilidad Gobierno Digital Chile
 

Último

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Último (10)

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Guia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos BasicosGuia Basica para bachillerato de Circuitos Basicos
Guia Basica para bachillerato de Circuitos Basicos
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 

Gestión seguridad de la información y marco normativo

  • 1. Gestión Seguridad de la Información Marco Normativo Unidad de Modernización y Gobierno Electrónico Ministerio Secretaría General de la Presidencia
  • 2. Amenazas Tecnológicas Social Media Pharming Malware Botnet PHP File Include Virus Spyware Trojan Worm Whaling Phishing XSS DDoS P2P SQL Injection ¿Podemos garantizar su control?
  • 3. Otras Amenazas • Colusión interna para efectuar delitos • Errores y omisiones involuntarios del personal • RIESGO en el trabajo con terceros
  • 4. Seguridad de la Información • No es sólo Firewalls o Antivirus...
  • 5. Seguridad de la Información • No es sólo tecnología...
  • 6. Seguridad de la Información • Las personas son el eslabón más débil y mayoritario en la cadena de la seguridad
  • 7. Seguridad de la Información • No se refiere sólo a Disponibilidad...
  • 8. Seguridad de la Información • No hay que reinventar la rueda … – … ya existen • Mejores prácticas • Modelos de Gestión • ISO y su homologación Chilena NCh ISO
  • 9. Seguridad de la Información • ENTONCES… – ¡Qué es?
  • 10. Activos de Información • Tres niveles básicos de Activos de Información – La Información propiamente tal, en sus múltiples formatos (papel, digital, texto, imagen, audio, video, etc.) – Los Equipos/Sistemas/infraestructura que soportan esta información – Las Personas que utilizan la información y que tienen el conocimiento de los procesos institucionales
  • 11. ¿Qué proteger? ACTIVO DE INFORMACIÓN Basado en estándar internacional ISO/IEC 27002:2005
  • 12. Toda institución requiere hacer Gestión de cómo proteger eficaz y eficientemente la información. Principio de la Gestión de la Seguridad
  • 13. Objetivo de esta sección • Homogenizar conceptos y metodologías por medio de la cual se realiza la definición, implantación, medición de efectividad y mejora de la Seguridad de la Información al interior de las Instituciones. • Establecer una base y estructura común para la definición de un Marco Normativo de Seguridad de la Información
  • 14. Temario • Marcos de Referencia – Nch ISO 27002 • Sistema de Gestión de Seguridad (ISMS) – Marco Normativo • Estructura y composición – Indicadores y Medición de la efectividad del ISMS – Administración y revisión. • RoadMap: – Evaluación, Implementación y Certificación
  • 15. Nch ISO 27002 Marcos de Referencia
  • 16. Estándares y Regulaciones • Nacionales – NCh ISO 27001 / NCh ISO 27002 • PMG-SSI • Internacionales – ISO/IEC 27001:2005 / ISO/IEC 27002:2005 – CSIRT – PCI / SOX / BASILEA – BS 25999/DRII/BCI/ – CobIT / ITil
  • 17. Marcos de Referencia • Norma Chilena Oficial NCH-ISO 27002.Of2009: – Listado de Mejores Prácticas – Internacionalmente homologada de ISO/IEC 27002:2005 – Antes Norma Chilena Oficial NCh 2777.Of.2003 • Norma Chilena Oficial NCH-ISO 27001.Of2009: – Sistemas de gestión de la seguridad de la información / SGSI – ISMS – Internacionalmente homologada de ISO/IEC 27001:2005
  • 18. Áreas de Control (Nch ISO 27002) 5 Políticas de Seguridad 6 Organización para la Seguridad de la Información 7 Gestión de activos 8 Seguridad del Recurso Humano 9 Seguridad Física y Ambiental 10 Administración de comunicaciones y operaciones 11 Control de Acceso 12 Adquisición, desarrollo y mantención de sistemas de información 13 Gestión de Incidentes de Seguridad de la información 14 Administración de la Continuidad del Negocio 15 Cumplimiento
  • 21. Estructura Organizacional • Nivel Estratégico – Comité de Seguridad / Comité de Gerentes – Gerencia de Riesgo – CISO / CSO • Nivel Táctico – Oficial de Seguridad – Auditoría Interna • Nivel Operacional – Administradores de Seguridad – Monitores/Líderes de Seguridad de la Información – Usuarios Finales
  • 22. Cuerpo Normativo • Nivel Estratégico – Política General de Seguridad de la Información • Nivel Táctico – Políticas de Seguridad de Temas Específicos • Uso de recursos tecnológicos • Control de Acceso • Escritorios limpios • … • Nivel Operacional – Procedimientos – Estándares internos – Instructivos – Guías prácticas de seguridad – Tips de seguridad
  • 23. Base Normativa en Seguridad de la Información Política General de Seguridad de la Información
  • 24. ISMS / SGSI Sistemas de Gestión de Seguridad de la Información
  • 25. ISMS • Parte de los sistemas de gestión, que basado en los procesos de la institución y en un enfoque de riesgo de seguridad, permite establecer, implementar, operar, monitorear y revisar, así como mantener y mejorar la Seguridad de la Información
  • 26. ISMS SGSI Information Sistemas de Security Gestión de Management Seguridad de la Systems Información PMG-SSI
  • 27. Gestión de Mejora Continua • Modelo DEMING • PDCA
  • 28. Metodología Pdca • PLAN – Definición de un ISMS – Se identifica las necesidades, recursos, estructura y responsabilidades – En esta etapa se define las políticas de seguridad, los procesos y procedimientos relevantes para la administración del riesgo y mejoras para la seguridad de la información, de acuerdo a las políticas y objetivos de toda la organización
  • 29. 2 Requisitos ISO 27001:2005 9 Mandatorio: 4 Sistema de Gestión de Seguridad de la Información -4.1 – Requisitos Generales -4.2 – Establecer y Administrar el SGSI -- 4.2.1 Creación del SGSI -- 4.2.2 Implementación y operación del SGSI -- 4.2.3 Supervisión y revisión del SGSI -- 4.2.4 Mantenimiento y mejora del SGSI -4.3 – Documentación y Registros 5 Responsabilidad de la Dirección Sentencia de Aplicabilidad -5.1 – Compromiso de la Gerencia (SoA) 4.2.1.j -5.2 – Gestión de los Recursos 6 – Auditorias Internas del SGSI 7 – Revisión por la Gerencia 8 – Mejora del SGSI -8.1 – Mejora Continua -8.2 – Acción Correctiva -8.3 – Acción Preventiva Selección como resultado de la Evaluación de Riesgo: Anexo A – Controles
  • 30. Metodología pDca • DO – Implementación y Operación de un ISMS – Se refiere a la etapa de puesta en marcha del sistema de gestión, donde se implanta y habilitan las condiciones tecnológicas y organizacionales para operar un ISMS – Considera, entre otros, la implantación de políticas de seguridad, controles, procesos y procedimientos
  • 31. Metodología pdCa • CHECK – Monitoreo y revisión de un ISMS – Donde se realiza la medición y análisis de la efectividad de los controles implantados, de acuerdo a revisiones de gerencia y auditoría – Considera los procesos ejecutados con relación a la política del ISMS, evaluar objetivos, experiencias e informar los resultados a la administración para su revisión
  • 32. Metodología pdcA • ACT – Mantención y mejora de un ISMS. – Referido específicamente al tratamiento de acciones correctivas y preventivas, basados en las auditorías internas y revisiones del ISMS o cualquier otra información relevante, para permitir la mejora continua del ISMS
  • 34. RoadMap: Paso 1 - Evaluación GAP • El principal objetivo de la consultoría que permita medir el estado actual de implementación de controles de Seguridad de la Información, existentes , respecto de la definición de controles que posee la norma internacional ISO/IEC 27002:2005, identificando las principales fortalezas y debilidades respecto de los controles definidos en dicha norma. • Identificar la brecha existente entre el modelo de referencia y la situación actual. • Genera Plan de Mitigación o Plan de Seguridad
  • 35. RoadMap: Paso 2 - Implementación • Habilitación de un ISMS, implementando un Plan de Seguridad acordado • Definición y descripción de los ámbitos de cobertura y alcance del proyecto y del ISMS. • Definir un comité estratégico y equipos de trabajo, roles y responsabilidades • Formalización de las actividades así como los mecanismos para la presentación de avances y control de cambios. • Habilitación de la infraestructura de soporte al proyecto y gestión documental. • Generación de estructuras organizacionales y cuerpo normativo de seguridad • Habilitación de las plataformas tecnológicas necesarias. • Generación de los registros necesarios para las revisiones de cumplimiento.
  • 36. RoadMap: Paso 3 - Certificación Cuestionario de Pre-Aplicación Alcanzar la Evaluación/verificación/propuesta certificación ISO 27001 otorgada por Aplicación algún organismo Pre-auditoria opcional acreditado. Auditoria Etapa 1 Evaluación/ Tratamiento del Riesgo Declaración de Aplicabilidad Auditoria Etapa 2 Revisión detallada de la implantación y eficacia Certificación Evaluación Continua Ciclo de 3 años Normalmente 2 visitas por año Revisión estratégica / Re-certificación
  • 37. ETAPAS DE UN PROYECTO ROADMAP Etapa 1: Evaluación GAP ISO 27002: permite identificar brecha respecto a un marco de referencia Etapa 2: Considera el Establecimiento del ISMS, asociado a la Fase Plan del PDCA. Etapa 3: Considera la implementación de la estructura organizacional y la definición de los procedimientos necesarios para la gestión ISMS, así como la implementación de controles esenciales ISO 27002. Etapa 4: Entrega seguimiento a la implementación de los restantes controles de mitigación según la evaluación de riesgos realizada en Etapa 1 y plasmada en un Plan de Seguridad. Etapa 5: Considera la etapa de supervisión y soporte para el proceso de postulación y supervisión para alcanzar la certificación ISMS por una entidad certificadora.
  • 38. Gracias. Ministerio Secretaría General de la Presidencia Unidad de Modernización y Gobierno Electrónico @modernizacioncl