Post on 20-Jul-2015
Imagen o
fotografía
Tecnologías de Información – Técnicas de Seguridad –
Sistema de Gestión de Seguridad - Requerimientos
Estándar Internacional ISO / IEC 27001
Fecha: 19 – 12- 2014
¿Qué es ISO?
International Organization for Standardization
Organización Internacional para la Estandarización
ISO, es una red de estandarización nacional
compuesta por más de 160 países.
Los resultados finales aprobados por la ISO, son
publicados como estándares.
Desde 1947, han sido publicados alrededor de
17.000 estándares.
Familia ISO 27000Seguridad de la Información
ISO 27000
Vocabulario
ISO 27001
Requerimientos
SGSI
ISO 27002
Código de
Prácticas
ISO 27003
Guía de
Implementación
ISO 27004
Métricas
ISO 27005
Gestión de
Riesgos
ISO 27007 -
27008
Guías de Auditoría
Definición de Sistema de Gestión de
Seguridad SGSI
Un SGSI, es un enfoque sistemático para establecer,
implementar, operar, supervisar, revisar, mantener y
mejorar la seguridad de la información en las
organizaciones, para alcanzar los objetivos del negocio.
Está basado en la evaluación de riesgos
Análisis de requerimientos para la protección de activos
críticos de información y la aplicación apropiada de controles,
para asegurar dichos activos.
El SGSI consiste en políticas, procedimientos, guías,
actividades y recursos asociados.
Definición de Seguridad y Políticas de un SGSI
Política de
Seguridad
Política de
Seguridad de la
Información
Política de
Gestión de
Seguridad de la
Información
Política de
Control de
Acceso
Política de
Gestión de
Incidentes
Política de
Continuidad
de Negocio
Política de
Criptografía
Políticas Generales de alto nivel
• Líneas base para la gestión de
actividades de un sector:
contratación y suministro,
recursos humanos, ventas,
marketing, etc.
Políticas Específicas de alto nivel
• Guía específica sobre un tema
Políticas Detalladas
• Especifica los
requerimientos internos de
la política.
• Usualmente cubre una
audiencia específica u
objetivo específico
Acciones para hacer frente a los riesgos y
oportunidades
Determinar los riesgos y las oportunidades a enfrentar.
Establecer y mantener criterios de riesgos sobre la seguridad
de la información (Evaluación de riesgo, Impactos, Aceptación
de riesgo)
Seleccionar información apropiada y opciones de tratamiento
de riesgos de seguridad.
Determinar todos los controles necesarios para implementar el
tratamiento de riesgos de seguridad de la información.
Formular un plan de tratamiento de riesgos de seguridad.
Obtener la aprobación de los dueños de los riesgos sobre el
plan de tratamiento de riesgos de seguridad de la información
.
Activo crítico de información: CTI
Escenari
o de
Riesgo Amenaza Vulnerabilidad Impacto C I D
1
Hackeo por ex-
empleados
Sistema débil de autenticación; Sistema
es accesible vía web; no existe revisión
de privilegios asociados al control de
accesos; data no encriptada
El robo de identidad de un cliente
o de un empleado de la empresa X X
2
Errores de ingreso de
información por los
usuarios
Los campos del formulario no tienen
controles sobre el ingreso de
información
La base de datos contiene datos
corruptos X
3
Usuarios no siguen
procedimiento interno
de backup
Falta de un proceso de copia de
seguridad automatizada
Pérdida de información durante
un incidente de seguridad XX
Ejemplo de análisis de riesgo
Gracias por su atención.