ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.
-
Upload
rolando-sabedra -
Category
Documents
-
view
20 -
download
1
Transcript of ISO 27001 SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN ISO 27001 Base de datos.
ISO 27001
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
ISO 27001ISO 27001
Base de datos
ISO 27001 Es un conjunto de datos acerca de algún suceso,
hecho, fenómeno o situación, que organizados en
un contexto determinado tienen un significado y
que tiene el propósito de reducir la incertidumbre
o incrementar el conocimiento de algo.
Information existe en diferentes formatos: Capital Humano Impresa o escrita en papel Dispositivos de almacenamiento (Discos,
CDs, etc…) Oral (teléfono, móvil, etc.) Video, fotos
Qué es Información?
ISO 27001
La Información en las Empresas
Dentro de una Empresa, la información es considerada un Activo (un recurso) que tiene valor o utilidad para sus operaciones comerciales y su continuidad. Por esta razón, esta información necesita tener protección para asegurar una correcta operación del negocio y una continuidad en sus operaciones.
ISO 27001
La Información en las EmpresasEstos activos pueden ser clasificados de la siguiente forma:
• Activos de Información (datos, manuales de usuario, etc.)
• Documentos en Papel (contratos)
• Activos de software (aplicación, software de sistema, etc.)
• Activos físicos (computadores, medios magnéticos, etc.)
• Personal (clientes, trabajadores)
• Imagen y reputación de la organización• Servicios (comunicaciones, etc.)
ISO 27001
Confidencialidad
Integridad
Disponibilidad de la información
La seguridad de información se caracteriza por la preservación de:
Qué es seguridad de la Información?
ISO 27001
Identificación de AmenazasTipos de Amenazas
Amenazas
Naturales
Amenazas a Instalaciones
Amen
azas
Tecnol
ógica
s
Amenazas Sociales
Amenazas
Humanas
Amen
azas
Ope
raci
onal
es
ISO 27001
VulnerabilidadesTipos de Vulnerabilidades
Gestión operaciones
y comunicación
Seguridad de los recursos humanos
Man
tenim
iento
,
desar
rollo
de S
ist. d
e
info
rmac
ión
Seguridad física y ambiental
Con
trol
de
Acc
eso
ISO 27001
Seguridad de la InformaciónSGSI
ISO 27001
¿Seguridad de la Información ?• La información es un activo que como otros activos
importantes tiene valor y requiere en consecuencia una protección adecuada.
• La información puede estar:
• Impresa o escrita en papel.
• Almacenada electrónicamente.
• Trasmitida por correo o medios electrónicos
• Mostrada en filmes.
• Hablada en conversación.
• Debe protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparte o almacene.
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• “La información es un activo que, como otros activos comerciales importantes, tiene valor para la organización y, en consecuencia, necesita ser protegido adecuadamente”.
• “Un Sistema de Gestión de Seguridad de Información (SGSI) es un sistema gerencial general basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información”
ISO 27001
1Planificar
3Revisar
4Actuar
2Hacer
Seguridad de
Información
Administrada
Requerimientos
y Expectativas
de la Seguridad
de Información
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
ISO 27001
3Revisar
4Actuar
2Hacer
Seguridad de
Información
Administrada
Requerimientos
y Expectativas
de la Seguridad
de Información
1Planificar
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• Planificar.• Definir el enfoque de evaluación del riesgo de
la organización.• Establecer metodología de cálculo del riesgo.
• Establecer criterios de aceptación del riesgo y niveles de aceptación del mismo.
• Identificar los riesgos asociados al alcance establecido.
• Analizar y evaluar los riesgos encontrados.
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• Planificar.
• Identificar y evaluar las opciones de tratamiento de los riesgos.
• Aplicar controles.
• Aceptarlo de acuerdo a los criterios de aceptación.
• Evitarlo.
• Transferirlo.
• Seleccionar objetivos de control y controles sugeridos por la norma y/u otros que apliquen.
• Obtener la aprobación de la gerencia para los riesgos residuales e implementar el SGSI.
• Preparar el Enunciado de Aplicabilidad.
ISO 27001
1Planificar
3Revisar
4Actuar
Seguridad de
Información
Administrada
Requerimientos
y Expectativas
de la Seguridad
de Información
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
2Hacer
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• Hacer.• Plan de tratamiento del riesgo.• Implementar el plan de tratamiento del riesgo.• Implementar controles seleccionados.• Definir la medición de la efectividad de los
controles a través de indicadores de gestión.• Implementar programas de capacitación.• Manejar las operaciones y recursos del SGSI.• Implementar procedimientos de detección y
respuesta a incidentes de seguridad.
ISO 27001
1Planificar
4Actuar
2Hacer
Seguridad de
Información
Administrada
Requerimientos
y Expectativas
de la Seguridad
de Información
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
3Revisar
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• Revisar.• Procedimientos de monitoreo y revisión para:
• Detectar oportunamente los errores.
• Identificar los incidentes y violaciones de seguridad.
• Determinar la eficacia del SGSI.
• Detectar eventos de seguridad antes que se conviertan en incidentes de seguridad.
• Determinar efectividad de las acciones correctivas tomadas para resolver una violación de seguridad.
• Realizar revisiones periódicas.
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• Revisar.• Medición de la efectividad de los controles.
• Revisar las evaluaciones del riesgo periódicamente y revisar el nivel de riesgo residual aceptable.
• Realizar auditorías internas al SGSI.
• Realizar revisiones gerenciales.
• Actualizar los planes de seguridad a partir de resultados del monitoreo.
• Registrar las acciones y eventos con impacto sobre el SGSI.
ISO 27001
1Planificar
3Revisar
2Hacer
Seguridad de
Información
Administrada
Requerimientos
y Expectativas
de la Seguridad
de Información
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
4Actuar
ISO 27001
Gestión Seguridad Información ISO-27001:2005. Modelo Preventivo
• Actuar.• Implementar las mejoras identificadas en el
SGSI.• Aplicar acciones correctivas y preventivas de
seguridad al SGSI.• Comunicar los resultados y acciones a las partes
interesadas.• Asegurar que las mejoras logren sus objetivos
señalados.
ISO 27001
Seguridad de la InformaciónSGSI
ISO 27001
Mantenimiento y mejora del SGSI (Act)
• Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión de la dirección, para lograr la mejora continua del SGSI.
• Medir el desempeño del SGSI.• Identificar mejoras en el SGSI a fin de implementarlas.• Tomar las apropiadas acciones a implementar en el
ciclo en cuestión (preventivas y correctivas).
• Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas.
• Revisar el SGSI donde sea necesario implementando las acciones seleccionadas.
ISO 27001
Estructura de la Documentación Requerida
Nivel IV
Nivel I
Nivel III
Nivel II
Enfoque de la GerenciaPolítica, Alcance, Evaluación Riesgo
Manual de Seguridad
Descripción de procesos,Quién hace qué y cuándo
Procedimientos
Describe tareas específicas y cómo se realizan
Instrucciones de Trabajo
Provee evidencia objetiva de la conformidad con SGSI
Registros
ISO 27001
Factores Claves de Éxito en la Implementación de un SGSI
• Política de seguridad documentada y alineada con los objetivos del negocio.
• Apoyo y participación visible de la alta gerencia.
• Entendimiento de los requerimientos de seguridad, evaluación y gestión de los riesgos asociados.
• Compatibilidad con la cultura organizacional.
• Entrenamiento y educación.
ISO 27001
Conclusiones• Hoy en día las organizaciones
dependen en gran medida de su tecnología y sus activos de información.
• Por lo anterior, impera una protección adecuada a las informaciones importantes.
• Seguridad no es un producto, es un proceso que debe ser administrado.
ISO 27001
Conclusiones
• Nada es estático, la seguridad no es la excepción. Mejora continua.
• Seguridad total no existe, pero sí existe la garantía de calidad en un proceso de seguridad.
ISO 27001
Preguntas y Respuestas