Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los...
Transcript of Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los...
![Page 1: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/1.jpg)
ESTANDARIZACIÓN DE LOS REQUISITOS DE CIBERSEGURIDAD
JulioCésarMiguelCEOdeGrupoCFI
12denoviembrede2020
![Page 2: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/2.jpg)
www.grupocfi.es
Algunas noticias recientes…
![Page 3: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/3.jpg)
www.grupocfi.es
![Page 4: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/4.jpg)
www.grupocfi.es
![Page 5: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/5.jpg)
www.grupocfi.es
![Page 6: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/6.jpg)
www.grupocfi.es
![Page 7: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/7.jpg)
www.grupocfi.es
![Page 8: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/8.jpg)
www.grupocfi.es
Ciberataques más frecuentes
![Page 9: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/9.jpg)
www.grupocfi.es
1. Estafas por correo electrónico
Gracias a la ingeniería social los ciberdelincuentes pueden robar credenciales que les permiten
enviar emails a empleados desde cuentas legítimas solicitando el pago de impuestos o de facturas
pendientes
![Page 10: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/10.jpg)
www.grupocfi.es
![Page 11: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/11.jpg)
www.grupocfi.es
2. Mala configuración del Cloud
La mala configuración y uso de los entornos cloud (por ejemplo,
el almacenamiento de archivos en la nube) es la causa principal de
las brechas de datos en las organizaciones
![Page 12: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/12.jpg)
www.grupocfi.es
![Page 13: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/13.jpg)
www.grupocfi.es
![Page 14: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/14.jpg)
www.grupocfi.es
3. Ataques de ransomware
Incremento de los ataques ransomware dirigidos a
organizaciones específicas
España es el 4º país del mundo con más incidentes
![Page 15: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/15.jpg)
www.grupocfi.es
La primera respuesta de las víctimas…
![Page 16: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/16.jpg)
www.grupocfi.es
Pero si yo tengo antivirus…
¡¡Un antivirus no sirve para estos ataques!!
Gestionar la ciberseguridad es mucho más complejo que simplemente
instalar un antivirus en los equipos
![Page 17: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/17.jpg)
www.grupocfi.es
La gestión de la ciberseguridad
![Page 18: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/18.jpg)
www.grupocfi.es
La gestión de la ciberseguridadPara gestionar correctamente la ciberseguridad se han de contemplar los siguientes ámbitos:
• Roles y responsabilidades
• Recursos humanos
• Gestión de los activos
• Normas de uso de dispositivos
![Page 19: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/19.jpg)
www.grupocfi.es
La gestión de la ciberseguridad• Gestión de soportes físicos
• Clasificar la información
• Control de acceso
• Cifrado de la información
• Seguridad física
• Seguridad de los equipos
• Gestión de los cambios
![Page 20: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/20.jpg)
www.grupocfi.es
La gestión de la ciberseguridad• Protección contra el malware
• Copias de seguridad
• Registro de la actividad
• Formación y concienciación
• Control del software instalado
• Gestión de vulnerabilidades técnicas
![Page 21: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/21.jpg)
www.grupocfi.es
La gestión de la ciberseguridad• Seguridad de las comunicaciones
• Desarrollo seguro de software
• Relaciones con los proveedores
• Protección de dispositivos móviles
• Teletrabajo
• Gestión de los incidentes
• Continuidad TIC
![Page 22: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/22.jpg)
www.grupocfi.es
La gestión de la ciberseguridad• Cumplimiento legal
• Propiedad intelectual (DPI)
• Protección de datos personales
• Legislación aplicable
• Revisión de la seguridad
• Políticas y procedimientos
• Cumplimiento técnico
![Page 23: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/23.jpg)
www.grupocfi.es
NORMAS QUE NOS AYUDAN
![Page 24: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/24.jpg)
www.grupocfi.es
ISO 27001 y 27002
![Page 25: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/25.jpg)
www.grupocfi.es
La Norma UNE-EN ISO/IEC 27001
La norma ISO/IEC 27001 especifica los requisitos para establecer,
implantar, documentar y evaluar un Sistema de Gestión de la Seguridad
de la Información (SGSI)
![Page 26: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/26.jpg)
www.grupocfi.es
Ciclo de Deming (PDCA)
ISO/IEC 27001
![Page 27: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/27.jpg)
www.grupocfi.es
La Norma UNE-EN ISO/IEC 27001Los pasos para implantar la ISO 27001 son los siguientes:
1. Realizar un análisis y gestión de los riesgos
2. Seleccionar controles de la ISO 27002 para tratar los riesgos y cumplir requisitos
3. Desarrollar e implantar los protocolos, procedimientos y medidas de seguridad
![Page 28: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/28.jpg)
www.grupocfi.es
La Norma UNE-EN ISO/IEC 27002La Norma ISO 27002 es un código de buenas prácticas para controles de seguridad de la información, y consta de:• 14 capítulos de controles de
seguridad• 35 categorías principales de
seguridad • 114 controles de seguridad
![Page 29: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/29.jpg)
www.grupocfi.es
Otras normas útiles
![Page 30: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/30.jpg)
www.grupocfi.es
ISO/IEC 27017Tecnologías de la información.
Técnicas de seguridad. Código de práctica para los controles de
seguridad de la información basado en la Norma ISO/IEC 27002 para servicios
en la nube (cloud services).Proporciona controles y guía de
implementación para servicios en la nube
![Page 31: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/31.jpg)
www.grupocfi.es
ISO/IEC 27032
Tecnologías de la información - Técnicas de seguridad -
Directrices para la Ciberseguridad
Ofrece unas líneas generales de orientación para fortalecer el estado de
la ciberseguridad en una empresa
![Page 32: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/32.jpg)
www.grupocfi.es
ISO/IEC 27033Tecnologías de la información
- Técnicas de seguridad - Seguridad en las redes
Conjunto de 6 normas que ofrecen una guía detallada de seguridad de la
administración, operación y uso de las redes
![Page 33: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/33.jpg)
www.grupocfi.es
ISO/IEC 27701Técnicas de seguridad
— Ampliación a la norma ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la
información sobre privacidad — Requisitos y directrices.
Establece controles adicionales a la ISO 27002 para gestionar también la
privacidad (SGSIP)
![Page 34: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/34.jpg)
www.grupocfi.es
ISO/IEC 22301Seguridad y resiliencia.
Sistema de Gestión de la Continuidad del Negocio. Requisitos.
Establece los requisitos para la planificación, el establecimiento, la implantación y la operación de un
Sistema de Gestión de la Continuidad del Negocio
![Page 35: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/35.jpg)
www.grupocfi.es
Conclusiones
![Page 36: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/36.jpg)
www.grupocfi.es
Conclusiones1. Digitalización y ciberseguridad van
de la mano2. Los incidentes de ciberseguridad
generan pérdidas financieras, de imagen y cuantiosas sanciones
3. Las Normas nos ayudan a acometer el proceso de forma metódica, consistente y reconocida
![Page 37: Estandarización de los requisitos de ciberseguridad...Los pasos para implantar la ISO 27001 son los siguientes: 1.Realizar un análisis y gestión de los riesgos 2.Seleccionar controles](https://reader034.fdocuments.co/reader034/viewer/2022052321/609e7a31e11d360978700034/html5/thumbnails/37.jpg)
www.grupocfi.es
¡MUCHAS GRACIAS!
Contacto:• Julio César Miguel Pérez• Email: [email protected]• Twitter: @juliocesarlopd• LinkedIn:
es.linkedin.com/in/juliocesarlopd