SlideShare uma empresa Scribd logo

Introduccion de ISO 17799

M
mrcosmitos

Este documento presenta los principales conceptos de la norma ISO 17799 sobre seguridad de la información. La norma establece 11 dominios de control que cubren todos los aspectos de la gestión de seguridad de la información, incluyendo la política de seguridad, gestión de activos, seguridad física, control de accesos, gestión de incidentes y continuidad del negocio. La adopción de la norma ISO 17799 ofrece ventajas como el aumento de la seguridad, la mejora de la confianza de clientes y socios, y el

Tecnologia
1 de 30
Baixar para ler offline
Un acercamiento a las mejores prácticas de seguridad de información internacionalmente reconocidas en el estándar ISO 17799:2005 Cómo pueden las organizaciones asegurar y cumplir las regulaciones para preservar la confidencialidad, integridad y disponibilidad de su información Jaime Yory Gerente General Director de Operaciones Internacionales de MVA Bogotá, Colombia Septiembre 7 de 2006
Agenda ƒ Algunos conceptos básicos y terminología ƒ La Seguridad ƒ La seguridad de la información ƒ ¿Qué es la norma ISO 17799? ƒ Estructura de la norma ƒ Dominios & Objetivos de control ƒ Ventajas ƒ Conclusiones ƒ Recomendaciones ƒ Agenda de Presentaciones
Algunos Conceptos Básicos (1) La Información “La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización y requiere en consecuencia una protección adecuada.” ISO/IEC 17799
Algunos Conceptos Básicos (2) Vulnerabilidad ƒ Vulnerabilidad: Una debilidad (o agujero) en la seguridad de la organización ▪ Puntos y control de acceso (lógicos y físicos) ▪ Falta de Mantenimiento ▪ Personal sin conocimiento ▪ Desactualización de los sistemas críticos ▪ Una vulnerabilidad, por sí misma, no produce daños. Es un condicionante para que una amenaza afecte un activo
Algunos Conceptos Básicos (3) Amenaza ƒ Declaración intencionada de hacer un daño (Virus, acceso no autorizado, robo) Eventos naturales que pueden desencadenar daños materiales o pérdidas inmateriales en sus activos. Las amenazas se pueden materializar y transformarse en agresiones Riesgo ƒ Potencial explotación de una vulnerabilidad de un activo de información por una amenaza. Se valora como una función del Impacto, Amenaza, Vulnerabilidad y de la probabilidad de un ataque exitoso Ataque ƒ Acción intencional e injustificada (desde el punto de vista del atacado). Intento por romper la seguridad de un sistema o de un componente del sistema.
Algunos Conceptos Básicos (4) Atacante ƒ Alguien que deliberadamente intenta hacer que un sistema de seguridad falle, encontrando y explotando una vulnerabilidad Externos & Internos Internos: Difíciles de detener porque la organización esta forzada a confiar en ellos. Conocen cómo trabaja el sistema y cuáles son sus debilidades. “Quizás el error mas común de seguridad es gastar considerables recursos combatiendo a los atacantes externos ignorando las amenazas internas” “Hay que conocer los atacantes: Motivaciones, objetivos, expertise, acceso, recursos, aversión al riesgo” Safety & Security • Prevención en contra de actos no intencionales Vs intencionales por parte de terceros
La Seguridad ƒ Es difícil de medir, la mayor parte del tiempo oímos de ella cuando solo cuando falla ƒ La medición de los resultados es clave para justificar la inversión ante la alta gerencia ƒ La Seguridad es una sensación y una realidad. Sentirse seguro no es realmente estar protegido. ƒ El concepto de seguridad es altamente subjetivo, por tanto cada uno determina su nivel de riesgo y lo que está dispuesto a dar por las medidas que tome. ƒ No hay un nivel correcto de seguridad, existe un juicio personal sobre el nivel de riesgo aceptable y lo que constituye una amenaza.
Seguridad de la Información (1) ƒ El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportuni-dades de negocio.
Seguridad de la Información (2) ƒ La seguridad de la información se define como la preservación de: ▪ Confidencialidad. Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso ▪ Integridad. Garantía de la exactitud y totalidad de la información y de los métodos de procesamiento. ▪ Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y a los recursos relacionados. ƒ Todo esto, según el nivel requerido para los objetivos de negocio de la empresa.
Seguridad de la Información (3) Objetivos ƒ Asegurar la continuidad de la empresa. ƒ Mantener la competitividad, la rentabilidad, los recursos generales, el cumplimiento de las leyes y la imagen comercial. ƒ Minimizar el riesgo. ƒ Maximizar las oportunidades del negocio.
Seguridad de la Información (4) Por qué es necesaria ƒ Gran variedad de Riesgos y Amenazas: Fraudes, espionaje, sabotaje, vandalismo, incendio, inundación, Hacking, virus, denegación de servicio, etc. ƒ Provenientes de múltiples fuentes. ƒ Mayor vulnerabilidad a las amenazas por la dependencia de los sistemas y servicios de información interconectados. ƒ La mayoría de los sistemas de información no han sido diseñados para ser seguros.
Seguridad de la Información (5) Qué sucede si falla? ƒ Pérdidas o falsos datos financieros ƒ Pérdida de negocios, clientes y cuota de mercado ƒ Responsabilidad legal – denuncias, litigios, multas, etc. ƒ Daño a la imagen de la empresa ƒ Interrupción de las operaciones ƒ Mayores costos de operación ƒ Costo de recuperación para volver a la situación inicial
Evaluación y Análisis de Riesgos Análisis de riesgos - Es una consideración sistemática: ƒ Se estima el impacto potencial de una falla de seguridad en los negocios y sus posibles consecuencias de pérdida de la confidencialidad, integridad o disponibilidad ƒ Se evalúa la probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas, vulnerabilidades y controles implementados. ƒ Establecimiento de PRIORIDADES y ACCIONES
Selección e Implementación de Controles ƒ Deben tenerse en cuenta en función del costo Vs la reducción de los riesgos a un nivel aceptable y de las pérdidas que podrían producirse ƒ Los controles que se consideran esenciales para una organización, desde el punto de vista legal comprenden: ▪ Protección de datos y confidencialidad de la información personal. ▪ Protección de registros y documentos de la organización ▪ Derechos de propiedad intelectual
Selección e Implementación de Controles ƒ Los controles considerados como práctica recomendada de uso frecuente en la implementación de la seguridad de la información comprenden: ▪ Documentación de la política de seguridad de la información ▪ Asignación de responsabilidades en materia de seguridad de la información ▪ Instrucción y entrenamiento en materia de seguridad de la información ▪ Comunicación de incidentes relativos a la seguridad ▪ Administración de la continuidad de la empresa
¿Qué es la norma ISO 17799? ƒ ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. Existen multitud de estándares aplicables a diferentes niveles pero ISO 17799 como estándar internacional, es el más extendido y aceptado.
Objetivo de la norma ISO 17799 ƒ El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.
Sistema de Gestión de la Seguridad de la Información (SGSI) ƒ La norma ISO 17799 recoge la relación de controles a aplicar (o al menos, a evaluar) para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI) ƒ Conjunto completo de controles que conforman las buenas prácticas de seguridad de la información. ▪ Redactada de forma flexible e independiente de cualquier solución de seguridad concreta ▪ Proporciona buenas prácticas neutrales con respecto a tecnologías o fabricantes específicos. ▪ Aplicable a todo tipo de organizaciones, con independencia de su tamaño u orientación de negocios.
Gestión de la Seguridad de Información La norma ISO 17799:2005 establece once dominios de control que cubren por completo la Gestión de la Seguridad de la Información: 1. Política de seguridad: Dirigir y dar soporte a la Gestión de la seguridad de la información -directrices y recomendaciones- 2. Aspectos organizativos de la seguridad: Gestión dentro de la Organización (recursos, activos, tercerización, etc.) 3. Clasificación y control de activos: Inventario y nivel de protección de los activos. 4. Seguridad ligada al personal: Reducir riesgos de errores humanos, robos, fraudes o mal uso de los recursos
Gestión de la Seguridad de Información Dominios de control (Continuación) 5. Seguridad física y del entorno: Evitar accesos no autorizados, violación, daños o perturbaciones a las instalaciones y a los datos 6. Gestión de comunicaciones y operaciones: Asegurar la operación correcta y segura de los recursos de tratamiento de información 7. Control de accesos: Evitar accesos no autorizados a los sistemas de información (de usuarios, computadores, redes, etc) 8. Desarrollo y mantenimiento de sistemas: Asegurar que la seguridad está incorporada dentro de los sistemas de información. Evitar pérdidas, modificaciones, mal uso.
Gestión de la Seguridad de Información Dominios de control (Continuación) 9. Gestión de incidentes: Gestionar los incidentes que afectan la seguridad de la información 10.Gestión de continuidad del negocio: Reaccionar a la interrupción de las actividades del negocio y proteger sus procesos críticos frente a fallas, ataques o desastres. 11. Conformidad con la legislación: Evitar el incumplimiento de leyes, regulaciones, obligaciones y de otros requerimientos de Seguridad.
Gestión de la Seguridad de Información De estos once dominios se derivan los ƒ Objetivos de control, resultados que se esperan alcanzar mediante la implementación de controles y ƒ Los controles, que son las prácticas, procedimientos y/o mecanismos que reducen el nivel de riesgo.
Ventajas de la adopción de la norma ISO 17799 ƒ Aumento de la seguridad efectiva de los sistemas de información. ƒ Correcta planificación y gestión de la seguridad. ƒ Garantías de continuidad del negocio. ƒ Mejora continua a través del proceso de auditoría interna. ƒ Incremento de los niveles de confianza de los clientes y socios de negocios. ƒ Aumento del valor comercial y mejora de la imagen de la organización.
Orientación de la norma ISO 17799? ƒ La norma ISO 17799 no es una norma tecnológica. ƒ La seguridad de la información es un asunto que compete a la alta gerencia no al área tecnológica, por lo cual es un asunto empresarial. ƒ La gente toma decisiones de seguridad basados en los riesgos percibidos no en los riesgos reales, por lo cual el análisis de riesgos es fundamental para los negocios
Conclusiones ƒ ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información ƒ La norma se estructura en once dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información. ƒ Implantar ISO 17799 puede requerir de un trabajo de consultoría que adapte los requerimientos de la norma a las necesidades de cada organización.
Conclusiones ƒ La adopción de ISO 17799 presenta múltiples ventajas para la organización, entre ellas el primer paso para una certificación ISO 27001, pero ni la adopción de ISO 17799, ni la certificación garantizan la inmunidad de la organización frente a problemas de seguridad. ƒ Hay que hacer análisis periódicos de los Riesgos y monitorear continuamente la situación ƒ La seguridad no es un tema de un día ni un tema exclusivo del departamento de TI ƒ Hay que prepararse para entender la norma y avanzar en el seguimiento de las recomendaciones establecidas.
Bibliografía ƒ Beyond Fear, Bruce Schneier – Copernicus Books ƒ Nueve claves para el éxito, Una visión general de la implementación de la norma NTC-ISO/IEC 27001, Alan Calder ƒ Esquema de la Norma IRAM-ISO IEC 17799, INSTITUTO ARGENTINO DE NORMALIZACIÓN
Programación del evento - Salón Oxford 1. Cómo crear una estrategia efectiva de navegación, filtrado y control de contenido 2. Establecimiento de políticas corporativas, control antispam y educación de los usuarios con el uso del correo electrónico 3. Cómo prevenir y combatir la nueva generación de amenazas: malware, spyware, adware, keyloggers, phishing, spoofing, IM, games, P2P
Programación del evento Victoria 2 1. Cómo detectar, prevenir y responder a los ataques, intrusiones y otras fallas de los Sistemas a través de dispositivos de administración unificada de amenazas (UTM’s) 2. Alta disponibilidad, clustering, replicación de datos y Planes de continuidad de negocios (BCP) 3. Protección contra hackers - Monitoreo y vigilancia no invasiva de vulnerabilidades
Programación del evento – Victoria 3 1. Monitoreo y control de Servidores, Firewalls, routers, Switches, PBX´s y otros elementos activos de red. Consolas centrales de administración. 2. Cómo establecer y controlar las políticas de uso de los dispositivos personales. La Seguridad en los puntos finales de la red. 3. Autenticación & Encripción - más allá de los passwords, para hacer boot, discos duros y dispositivos móviles

Recomendados

norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
Laura Miranda Dominguez
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
Manuel Mujica
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
Isaias Rubina Miranda
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la información
Marcos Harasimowicz
 
ISMS User_Awareness Training.pptx
ISMS User_Awareness Training.pptxISMS User_Awareness Training.pptx
ISMS User_Awareness Training.pptx
Mukesh Pant
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento
 
isms-presentation.ppt
isms-presentation.pptisms-presentation.ppt
isms-presentation.ppt
HasnolAhmad2
 
seguridad física
seguridad física seguridad física
seguridad física
Mario Adolfo Suarez
 

Recomendados

norma iso 17799
norma iso 17799norma iso 17799
norma iso 17799
Laura Miranda Dominguez
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
Manuel Mujica
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
Isaias Rubina Miranda
 
Concientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la informaciónConcientización empresarial en Seguridad de la información
Concientización empresarial en Seguridad de la información
Marcos Harasimowicz
 
ISMS User_Awareness Training.pptx
ISMS User_Awareness Training.pptxISMS User_Awareness Training.pptx
ISMS User_Awareness Training.pptx
Mukesh Pant
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento
 
isms-presentation.ppt
isms-presentation.pptisms-presentation.ppt
isms-presentation.ppt
HasnolAhmad2
 
seguridad física
seguridad física seguridad física
seguridad física
Mario Adolfo Suarez
 
Evento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la InformaciónEvento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la Información
J. Gustavo López
 
1.6 Activos Informáticos
1.6 Activos Informáticos1.6 Activos Informáticos
1.6 Activos Informáticos
Meztli Valeriano Orozco
 
Chapter 11: Information Security Incident Management
Chapter 11: Information Security Incident ManagementChapter 11: Information Security Incident Management
Chapter 11: Information Security Incident Management
Nada G.Youssef
 
Structure of iso 27001
Structure of iso 27001Structure of iso 27001
Structure of iso 27001
CUNIX INDIA
 
ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1
Tanmay Shinde
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
Juana Rotted
 
Domain 4 - Communications and Network Security
Domain 4 - Communications and Network SecurityDomain 4 - Communications and Network Security
Domain 4 - Communications and Network Security
Maganathin Veeraragaloo
 
Cobit ppt
Cobit pptCobit ppt
Cobit ppt
Alexander Velasque Rimac
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
Xavier
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
ROBERTH CHAVEZ
 
Ciberseguridad en la nube
Ciberseguridad en la nubeCiberseguridad en la nube
Ciberseguridad en la nube
Olaf Reitmaier Veracierta
 
SIEM
SIEMSIEM
SIEM
vikasraina
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
Gladisichau
 
Information Security It's All About Compliance
Information Security It's All About ComplianceInformation Security It's All About Compliance
Information Security It's All About Compliance
Dinesh O Bareja
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
Juan Fernando Jaramillo
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
Auditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaAuditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisa
Leidy Andrea Sanchez
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
Fabián Descalzo
 
Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Estándar iso iec 27002 2005
Estándar iso iec 27002 2005
Ciro Bonilla
 
Cartilla Ciencias Políticas
Cartilla Ciencias Políticas Cartilla Ciencias Políticas
Cartilla Ciencias Políticas
cmilis
 

Mais conteúdo relacionado

Mais procurados

Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
ROBERTH CHAVEZ
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
Gladisichau
 
Auditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaAuditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisa
Leidy Andrea Sanchez
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
Fabián Descalzo
 

Mais procurados (20)

Evento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la InformaciónEvento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la Información
 
1.6 Activos Informáticos
1.6 Activos Informáticos1.6 Activos Informáticos
1.6 Activos Informáticos
 
Chapter 11: Information Security Incident Management
Chapter 11: Information Security Incident ManagementChapter 11: Information Security Incident Management
Chapter 11: Information Security Incident Management
 
Structure of iso 27001
Structure of iso 27001Structure of iso 27001
Structure of iso 27001
 
ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Domain 4 - Communications and Network Security
Domain 4 - Communications and Network SecurityDomain 4 - Communications and Network Security
Domain 4 - Communications and Network Security
 
Cobit ppt
Cobit pptCobit ppt
Cobit ppt
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
 
Ciberseguridad en la nube
Ciberseguridad en la nubeCiberseguridad en la nube
Ciberseguridad en la nube
 
SIEM
SIEMSIEM
SIEM
 
Resumen Norma Iso 27001
Resumen Norma Iso 27001Resumen Norma Iso 27001
Resumen Norma Iso 27001
 
Information Security It's All About Compliance
Information Security It's All About ComplianceInformation Security It's All About Compliance
Information Security It's All About Compliance
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Auditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaAuditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisa
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdf
 

Destaque

Cartilla Ciencias Políticas
Cartilla Ciencias Políticas Cartilla Ciencias Políticas
Cartilla Ciencias Políticas
cmilis
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
Degova Vargas
 

Destaque (15)

Estándar iso iec 27002 2005
Estándar iso iec 27002 2005Estándar iso iec 27002 2005
Estándar iso iec 27002 2005
 
Cartilla Ciencias Políticas
Cartilla Ciencias Políticas Cartilla Ciencias Políticas
Cartilla Ciencias Políticas
 
ISO 27002
ISO 27002ISO 27002
ISO 27002
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Gestion ambiental ISO 14001 en obras y proyectos
Gestion ambiental ISO 14001 en obras y proyectosGestion ambiental ISO 14001 en obras y proyectos
Gestion ambiental ISO 14001 en obras y proyectos
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
ISO 9000
ISO 9000ISO 9000
ISO 9000
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 

Semelhante a Introduccion de ISO 17799

Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
johnny. chu
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
johnny. chu
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
Juan MmnVvr Aguila
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
Juan MmnVvr Aguila
 
Seg Inf Sem01
Seg Inf Sem01Seg Inf Sem01
Seg Inf Sem01
lizardods
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811
faau09
 

Semelhante a Introduccion de ISO 17799 (20)

Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Cesar seguridadinformatica
Cesar seguridadinformaticaCesar seguridadinformatica
Cesar seguridadinformatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informacion
Seguridad informacionSeguridad informacion
Seguridad informacion
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
 
Trabajo iso-17799
Trabajo iso-17799Trabajo iso-17799
Trabajo iso-17799
 
Seguridad
SeguridadSeguridad
Seguridad
 
Iso 17799 (2)
Iso 17799 (2)Iso 17799 (2)
Iso 17799 (2)
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
Seg Inf Sem01
Seg Inf Sem01Seg Inf Sem01
Seg Inf Sem01
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811
 

Último

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 

Último (12)

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 

Introduccion de ISO 17799

  • 1. Un acercamiento a las mejores prácticas de seguridad de información internacionalmente reconocidas en el estándar ISO 17799:2005 Cómo pueden las organizaciones asegurar y cumplir las regulaciones para preservar la confidencialidad, integridad y disponibilidad de su información Jaime Yory Gerente General Director de Operaciones Internacionales de MVA Bogotá, Colombia Septiembre 7 de 2006
  • 2. Agenda ƒ Algunos conceptos básicos y terminología ƒ La Seguridad ƒ La seguridad de la información ƒ ¿Qué es la norma ISO 17799? ƒ Estructura de la norma ƒ Dominios & Objetivos de control ƒ Ventajas ƒ Conclusiones ƒ Recomendaciones ƒ Agenda de Presentaciones
  • 3. Algunos Conceptos Básicos (1) La Información “La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización y requiere en consecuencia una protección adecuada.” ISO/IEC 17799
  • 4. Algunos Conceptos Básicos (2) Vulnerabilidad ƒ Vulnerabilidad: Una debilidad (o agujero) en la seguridad de la organización ▪ Puntos y control de acceso (lógicos y físicos) ▪ Falta de Mantenimiento ▪ Personal sin conocimiento ▪ Desactualización de los sistemas críticos ▪ Una vulnerabilidad, por sí misma, no produce daños. Es un condicionante para que una amenaza afecte un activo
  • 5. Algunos Conceptos Básicos (3) Amenaza ƒ Declaración intencionada de hacer un daño (Virus, acceso no autorizado, robo) Eventos naturales que pueden desencadenar daños materiales o pérdidas inmateriales en sus activos. Las amenazas se pueden materializar y transformarse en agresiones Riesgo ƒ Potencial explotación de una vulnerabilidad de un activo de información por una amenaza. Se valora como una función del Impacto, Amenaza, Vulnerabilidad y de la probabilidad de un ataque exitoso Ataque ƒ Acción intencional e injustificada (desde el punto de vista del atacado). Intento por romper la seguridad de un sistema o de un componente del sistema.
  • 6. Algunos Conceptos Básicos (4) Atacante ƒ Alguien que deliberadamente intenta hacer que un sistema de seguridad falle, encontrando y explotando una vulnerabilidad Externos & Internos Internos: Difíciles de detener porque la organización esta forzada a confiar en ellos. Conocen cómo trabaja el sistema y cuáles son sus debilidades. “Quizás el error mas común de seguridad es gastar considerables recursos combatiendo a los atacantes externos ignorando las amenazas internas” “Hay que conocer los atacantes: Motivaciones, objetivos, expertise, acceso, recursos, aversión al riesgo” Safety & Security • Prevención en contra de actos no intencionales Vs intencionales por parte de terceros
  • 7. La Seguridad ƒ Es difícil de medir, la mayor parte del tiempo oímos de ella cuando solo cuando falla ƒ La medición de los resultados es clave para justificar la inversión ante la alta gerencia ƒ La Seguridad es una sensación y una realidad. Sentirse seguro no es realmente estar protegido. ƒ El concepto de seguridad es altamente subjetivo, por tanto cada uno determina su nivel de riesgo y lo que está dispuesto a dar por las medidas que tome. ƒ No hay un nivel correcto de seguridad, existe un juicio personal sobre el nivel de riesgo aceptable y lo que constituye una amenaza.
  • 8. Seguridad de la Información (1) ƒ El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportuni-dades de negocio.
  • 9. Seguridad de la Información (2) ƒ La seguridad de la información se define como la preservación de: ▪ Confidencialidad. Aseguramiento de que la información es accesible sólo para aquellos autorizados a tener acceso ▪ Integridad. Garantía de la exactitud y totalidad de la información y de los métodos de procesamiento. ▪ Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y a los recursos relacionados. ƒ Todo esto, según el nivel requerido para los objetivos de negocio de la empresa.
  • 10. Seguridad de la Información (3) Objetivos ƒ Asegurar la continuidad de la empresa. ƒ Mantener la competitividad, la rentabilidad, los recursos generales, el cumplimiento de las leyes y la imagen comercial. ƒ Minimizar el riesgo. ƒ Maximizar las oportunidades del negocio.
  • 11. Seguridad de la Información (4) Por qué es necesaria ƒ Gran variedad de Riesgos y Amenazas: Fraudes, espionaje, sabotaje, vandalismo, incendio, inundación, Hacking, virus, denegación de servicio, etc. ƒ Provenientes de múltiples fuentes. ƒ Mayor vulnerabilidad a las amenazas por la dependencia de los sistemas y servicios de información interconectados. ƒ La mayoría de los sistemas de información no han sido diseñados para ser seguros.
  • 12. Seguridad de la Información (5) Qué sucede si falla? ƒ Pérdidas o falsos datos financieros ƒ Pérdida de negocios, clientes y cuota de mercado ƒ Responsabilidad legal – denuncias, litigios, multas, etc. ƒ Daño a la imagen de la empresa ƒ Interrupción de las operaciones ƒ Mayores costos de operación ƒ Costo de recuperación para volver a la situación inicial
  • 13. Evaluación y Análisis de Riesgos Análisis de riesgos - Es una consideración sistemática: ƒ Se estima el impacto potencial de una falla de seguridad en los negocios y sus posibles consecuencias de pérdida de la confidencialidad, integridad o disponibilidad ƒ Se evalúa la probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas, vulnerabilidades y controles implementados. ƒ Establecimiento de PRIORIDADES y ACCIONES
  • 14. Selección e Implementación de Controles ƒ Deben tenerse en cuenta en función del costo Vs la reducción de los riesgos a un nivel aceptable y de las pérdidas que podrían producirse ƒ Los controles que se consideran esenciales para una organización, desde el punto de vista legal comprenden: ▪ Protección de datos y confidencialidad de la información personal. ▪ Protección de registros y documentos de la organización ▪ Derechos de propiedad intelectual
  • 15. Selección e Implementación de Controles ƒ Los controles considerados como práctica recomendada de uso frecuente en la implementación de la seguridad de la información comprenden: ▪ Documentación de la política de seguridad de la información ▪ Asignación de responsabilidades en materia de seguridad de la información ▪ Instrucción y entrenamiento en materia de seguridad de la información ▪ Comunicación de incidentes relativos a la seguridad ▪ Administración de la continuidad de la empresa
  • 16. ¿Qué es la norma ISO 17799? ƒ ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información dirigidas a los responsables de iniciar, implantar o mantener la seguridad de una organización. Existen multitud de estándares aplicables a diferentes niveles pero ISO 17799 como estándar internacional, es el más extendido y aceptado.
  • 17. Objetivo de la norma ISO 17799 ƒ El objetivo de la norma ISO 17799 es proporcionar una base común para desarrollar normas de seguridad dentro de las organizaciones, un método de gestión eficaz de la seguridad y para establecer transacciones y relaciones de confianza entre las empresas.
  • 18. Sistema de Gestión de la Seguridad de la Información (SGSI) ƒ La norma ISO 17799 recoge la relación de controles a aplicar (o al menos, a evaluar) para establecer un Sistema de Gestión de la Seguridad de la Información (SGSI) ƒ Conjunto completo de controles que conforman las buenas prácticas de seguridad de la información. ▪ Redactada de forma flexible e independiente de cualquier solución de seguridad concreta ▪ Proporciona buenas prácticas neutrales con respecto a tecnologías o fabricantes específicos. ▪ Aplicable a todo tipo de organizaciones, con independencia de su tamaño u orientación de negocios.
  • 19. Gestión de la Seguridad de Información La norma ISO 17799:2005 establece once dominios de control que cubren por completo la Gestión de la Seguridad de la Información: 1. Política de seguridad: Dirigir y dar soporte a la Gestión de la seguridad de la información -directrices y recomendaciones- 2. Aspectos organizativos de la seguridad: Gestión dentro de la Organización (recursos, activos, tercerización, etc.) 3. Clasificación y control de activos: Inventario y nivel de protección de los activos. 4. Seguridad ligada al personal: Reducir riesgos de errores humanos, robos, fraudes o mal uso de los recursos
  • 20. Gestión de la Seguridad de Información Dominios de control (Continuación) 5. Seguridad física y del entorno: Evitar accesos no autorizados, violación, daños o perturbaciones a las instalaciones y a los datos 6. Gestión de comunicaciones y operaciones: Asegurar la operación correcta y segura de los recursos de tratamiento de información 7. Control de accesos: Evitar accesos no autorizados a los sistemas de información (de usuarios, computadores, redes, etc) 8. Desarrollo y mantenimiento de sistemas: Asegurar que la seguridad está incorporada dentro de los sistemas de información. Evitar pérdidas, modificaciones, mal uso.
  • 21. Gestión de la Seguridad de Información Dominios de control (Continuación) 9. Gestión de incidentes: Gestionar los incidentes que afectan la seguridad de la información 10.Gestión de continuidad del negocio: Reaccionar a la interrupción de las actividades del negocio y proteger sus procesos críticos frente a fallas, ataques o desastres. 11. Conformidad con la legislación: Evitar el incumplimiento de leyes, regulaciones, obligaciones y de otros requerimientos de Seguridad.
  • 22. Gestión de la Seguridad de Información De estos once dominios se derivan los ƒ Objetivos de control, resultados que se esperan alcanzar mediante la implementación de controles y ƒ Los controles, que son las prácticas, procedimientos y/o mecanismos que reducen el nivel de riesgo.
  • 23. Ventajas de la adopción de la norma ISO 17799 ƒ Aumento de la seguridad efectiva de los sistemas de información. ƒ Correcta planificación y gestión de la seguridad. ƒ Garantías de continuidad del negocio. ƒ Mejora continua a través del proceso de auditoría interna. ƒ Incremento de los niveles de confianza de los clientes y socios de negocios. ƒ Aumento del valor comercial y mejora de la imagen de la organización.
  • 24. Orientación de la norma ISO 17799? ƒ La norma ISO 17799 no es una norma tecnológica. ƒ La seguridad de la información es un asunto que compete a la alta gerencia no al área tecnológica, por lo cual es un asunto empresarial. ƒ La gente toma decisiones de seguridad basados en los riesgos percibidos no en los riesgos reales, por lo cual el análisis de riesgos es fundamental para los negocios
  • 25. Conclusiones ƒ ISO 17799 es una norma internacional que ofrece recomendaciones para realizar la gestión de la seguridad de la información ƒ La norma se estructura en once dominios de control que cubren por completo todos los aspectos relativos a la seguridad de la información. ƒ Implantar ISO 17799 puede requerir de un trabajo de consultoría que adapte los requerimientos de la norma a las necesidades de cada organización.
  • 26. Conclusiones ƒ La adopción de ISO 17799 presenta múltiples ventajas para la organización, entre ellas el primer paso para una certificación ISO 27001, pero ni la adopción de ISO 17799, ni la certificación garantizan la inmunidad de la organización frente a problemas de seguridad. ƒ Hay que hacer análisis periódicos de los Riesgos y monitorear continuamente la situación ƒ La seguridad no es un tema de un día ni un tema exclusivo del departamento de TI ƒ Hay que prepararse para entender la norma y avanzar en el seguimiento de las recomendaciones establecidas.
  • 27. Bibliografía ƒ Beyond Fear, Bruce Schneier – Copernicus Books ƒ Nueve claves para el éxito, Una visión general de la implementación de la norma NTC-ISO/IEC 27001, Alan Calder ƒ Esquema de la Norma IRAM-ISO IEC 17799, INSTITUTO ARGENTINO DE NORMALIZACIÓN
  • 28. Programación del evento - Salón Oxford 1. Cómo crear una estrategia efectiva de navegación, filtrado y control de contenido 2. Establecimiento de políticas corporativas, control antispam y educación de los usuarios con el uso del correo electrónico 3. Cómo prevenir y combatir la nueva generación de amenazas: malware, spyware, adware, keyloggers, phishing, spoofing, IM, games, P2P
  • 29. Programación del evento Victoria 2 1. Cómo detectar, prevenir y responder a los ataques, intrusiones y otras fallas de los Sistemas a través de dispositivos de administración unificada de amenazas (UTM’s) 2. Alta disponibilidad, clustering, replicación de datos y Planes de continuidad de negocios (BCP) 3. Protección contra hackers - Monitoreo y vigilancia no invasiva de vulnerabilidades
  • 30. Programación del evento – Victoria 3 1. Monitoreo y control de Servidores, Firewalls, routers, Switches, PBX´s y otros elementos activos de red. Consolas centrales de administración. 2. Cómo establecer y controlar las políticas de uso de los dispositivos personales. La Seguridad en los puntos finales de la red. 3. Autenticación & Encripción - más allá de los passwords, para hacer boot, discos duros y dispositivos móviles