1. FACULTAD DE ADMINISTRACION
EE:
ADMINISTRACIÓN DE LAS TECNOLOGÍAS DE
INFORMACIÓN
ALUMNO:
CARRIÓN MENDIOLA ALINA LETICIA
MONTALVO SACRAMENTO AMAYRANI S.
PRIETO SANTOS ANA KAREN
SISTEMAS COMPUTACIONALES ADMINISTRATIVOS
NORMA ISO 27001
25 OCTUBRE DEL 2010
2. NORMA, “especificaciones técnicas basadas en la experiencia y
en el desarrollo tecnológico, voluntarias, accesibles al publico,
tanto durante su elaboración, pues se producen en órganos de
trabajos abiertos a la industria…”
Primera version de ISO/IEC 17799 “Tecnologia de la Informacion.
Codigo de buenas practicas de la gestion de la seguridad de la
Informacion”, 2000.
3. Durante el tiempo de esta norma coexistieron también la norma inglesa
BS7799-2 que tomo como origen de su parte 1 la norma ISO/IEC, así como
la norma española UNE 71502 “Especificaciones de los Sistemas de
Gestión de la Seguridad de la Información” 2004.
Estas normas han sido los referentes para las certificaciones
de SGSI y su uso ha puesto de manifiesto el comienzo de
preocupación y concienciación de la proteccion de la
información.
Enmarca las normas aplicables a la gestión de
los sistemas de seguridad de la información y
ofrece una serie de normas que abarquen
diversos aspectos de la seguridad de los
sistemas.
4. MERCADO
• Favorecer su desarrollo
• Afianza la posición de la organización
• Potencia la imagen de marca
• Constituye un factor competitivo respecto a la competencia
• Permite superar barreras técnicas
CLIENTES
• Fidelización y captación de nuevos clientes gracias a la garantía que se ofrece en la
prestación de servicios que satisfacen sus necesidades y expectativas
• Se mejora la comunicación con el cliente
• Mayor confianza al cliente
• Aumento de la satisfacción del cliente
GESTIÓN DE LA
ORGANIZACIÓN
• Conocimiento y depuración de los procesos internos
• Mejora de los procesos y servicios prestados
• Ahorro de tiempo y recursos necesarios
• Mejor gestión de los recursos
• Estímulo para entrar en un proceso de mejora continúa
5. Esta norma internacional especifica los requisitos para establecer,
implantar, poner en funcionamiento, controlar, revisar,
mantener y mejorar un SGSI documentado dentro del contexto
global de los riesgos del negocio de la organización.
La adopción de un SGSI deberá constituir una decisión estratégica para la
organización. Su diseño e implantación en una organización depende de
sus necesidades y objetivos, de sus requisitos de seguridad, de los
procesos y del tamaño y estructura de la organización.
6. Para poder estructurar los procesos de SGSI esta norma adopta el modelo
PDCA.
Implantar el plan de
gestión de riesgos
Implantar el SGSI
Implantar los controles
Revisar internamente
el SGSI
Realizar auditorias
internas del SGSI
Adoptar las acciones
correctivas
Adoptar las acciones
preventivas
Definir política de
seguridad
Establecer el alcance del
SGSI
Realizar análisis de
riesgos
Seleccionar los controles
ISO/IEC
17799:2005
P D
CA
7. ALCANCE DEL SISTEMA DE
GESTIÓN
A que partes de la organización
aplica. Con sus límites físicos y
lógicos.
POLÍTICA DEL SGSI
Marco para el establecimiento de
los objetivos y los principios para
proteger la información.
METODOLOGÍA PARA LA
VALIDACIÓN DEL RIESGO
Actividades relacionadas con los
riesgos a los que se someta la
información. Con resultados
medibles y comparables.
IDENTIFICACIÓN DE LOS
RIESGOS
A activo, amenazas,
vulnerabilidad, impacto se
refiere, para la posterior
elaboración de:
* Análisis y valoración de
dichos riesgos
* Como tratar estos riesgos
* Selección de controles
8. En este punto se requiere un PLAN DE TRATAMIENTO DE RIESGO.
Cuando este plan se encuentre implantado, una labor
importante es poder medir la eficacia de dichos controles y
obtener de estos resultados comparables y reproducibles.
Creación de programas de formación y concienciación
en todas las acciones para el personal de la
organización. Posibilitando la cultura de seguridad en
las actividades cotidianas del trabajador.
9. Al cerrar la empresa con las fases anteriores, se dice que ya cumple
con un núcleo del SGSI, pero obtendrá beneficios después de
implantar una serie de procedimientos para el control y la revisión
de lo realizado.
Se realizan revisiones regulares sobre
eficacia de SGSI, partiendo de resultados
de las auditorias de seguridad y de las
mediciones de los requisitos de
seguridad.
De lo anterior se descubren defectos y mejoras del SGSI, tomando medidas
correctivas y preventivas.