SlideShare una empresa de Scribd logo

Iso 27001 2013

Yango Alexander Colmenares
Yango Alexander Colmenares

Este documento presenta una comparación entre las versiones ISO 27001:2005 e ISO 27001:2013. Explica los cambios de estructura y conceptos clave, incluyendo 11 dominios de seguridad en 2005 versus 14 en 2013. También describe 21 controles eliminados e introduce 14 nuevos. Resalta que 2013 fortalece el concepto de seguridad de la información y el sistema de gestión de seguridad de la información.

Tecnología
1 de 20
Descargar para leer sin conexión
ISO 27001:2013 Ing.Yango AlexanderColmenares| Instituto Politécnico Nacional -Maestría en Ingeniería en Seguridad yTecnologías de la Información - México 2014
Objetivos de la Sesión •Entender las diferencias claves de la versión ISO 27001:2005 a la versión 2013 •Indicar los nuevos requerimientos de la versión 2013 •Mostrar los nuevos Controles y Dominios Agregados en la ISO 27001:2013 2
Lo recuerdas? Es una federación mundial de organismos nacionales de normalización alrededor de 160 países, trabajan a nivel de ComitésTécnicos. (Source: iso.org) 3
Necesidad del Proyecto ISO 27001:2013  Causas: Los estándares ISO se revisan cada 4 o 5 años. Los controles de la ISO 27002 muchos son obsoletos. La necesidad de integrar los sistemas de gestión (Anexo SL, PAS 99).  El proyecto nace con la aprobación de un articulo en el NewWork Item (NWI) el 19 de mayo 2009.  Los primeros 3 borradores de trabajo conservan la estructura de 1ra edición.  La estructura común y el texto básico actual aplican al draft 4 en oposición de varios organismos nacionales.  El 15 de Febrero del 2012, el Consejo de GestiónTécnica de ISO (TMB) decidió que la norma ISO 27001 tiene que seguir la nueva estructura, unificado, pero que las desviaciones justificadas se admiten.  La alianza para dejar caer la Declaración de aplicabilidad falló.  Los intentos para terminar el proyecto hasta el final fracasaron. 4
Revisión por: • NCC (Centro Nacional de Computación) • Consorcio usuarios 1993 Estándar nacional británico 1995 Estándar Internacional (Fast Track) 1999 2000 Revisión periódica (5 años) 2005 Nuevo estándar nacional certificable Estándar Internacional 1998 2002 Revisión conjunta de las partes 1 y 2 Revisión y acercamiento a: • ISO 9001 • ISO 14001 • OCDE 1999 2005 Centro de Seguridad de Informática Comercial del Reino Unido (CCSC/DTI) 1989 Revisión conjunta de las partes 1 y 2 ■Certificable Código de prácticas para usuarios ■ PD0003 Código de prácticas para la gestión de la seguridad de la información ■ BS 7799 ■ BS 7799-1 :1999 ■ ISO/IEC 17799 :2000 ■ ISO/IEC 17799 :2005 ■ BS 7799-2 :2002 ■ BS 7799-2 ■ BS 7799-2 :1999 ■ ISO/IEC 27001 :2005 ■ Historia de ISO 27001e ISO 17799 ■No certificable 2013 ISO/IEC 27001 :2013 ■ 2013
Cambios de Estructura en las Normas  1. Introducción  2.Objeto  3. Referencias Normativas  4. Contexto de laOrganización  5. Liderazgo  6. Planificación  7. Soporte  8. Operación  9. Evaluación del desempeño  10. Mejora  1.Introducción  2. Objeto  3. Referencias Normativas  4. Sistema de Gestión de la Seguridad de la Información  4.1 General 4.2 SGSI 4.2.1 Establecer 4.2.2 Implementar y Operar 4.2.3 Monitorear y Revisar 4.2.4 Mantener y Mejorar 4.3 Documentar  5. Responsabilidad de la Dirección  6. Auditoría Interna  7. Revisión de la Dirección  8. Mejora VERSIÓN ISO 27001: 2005 VERSIÓN ISO 27001: 2013 6
Entregas 9. Evaluación del desempeño VERSIÓN 2005 VERSIÓN 2013  ANEXOA Objetivos de control y Controles  ANEXO B OECD Principios y estándares Internacionales  ANEXOC Correspondencia entre ISO:9001:2000, ISO 14001:2004 y la este estándar internacional.  ANEXOA Objetivos de control y Controles 7
Nuevos conceptos ISO 27002:2013 Clausula 8.1 Activos relacionados con las instalaciones de procesamiento de información deben ser identificados y un inventario de los activos deberá estar documentado y actualizado. Activo Activo Primario Información Procesos Activo de Soporte Infraestructura, Hardware y Software 8
Nuevos Conceptos 6.Planeacíon 8.Operación 6.1 Actions to address risks and opportunities  ISO 27001:2013Clausulas 6.1.2 y 8.2 Evaluación de los riesgos de la seguridad de la información. (Source: Isaca) 8.2The organization shall retain documented information of the results of the information security risk assessments. ISO 31000:2009 CRISC-Isaca 9
Nuevos Conceptos: 5.Liderazgo La alta dirección debe asegurarse de que las responsabilidades y las funciones pertinentes a la seguridad de información se asignen y se comuniquen.  Tareas/actividades  Procedimientos  Herramientas/tecnología  Procesos de control de cambios del proyecto Roles de la Organización responsabilidades y autoridades 5.3 Note:Top management may also assign responsibilities and authorities for reporting performance of the information security management system within the organization. 10
ISO 27002:2005Vs ISO 27002:2013  5. Política de Seguridad de la Información  6. Organización de la Seguridad de la Información  7. Seguridad de los Recursos Humanos  8. Gestión de activos  9. Control de acceso  10. Criptografía Política y Gestión de Clave  11. Seguridad física y del entorno  12. Seguridad en la operaciones  13. Seguridad de las comunicaciones  14. Adquisición, desarrollo y mantenimiento de los sistemas  15. Relación con los proveedores  16. Gestión de incidentes de S.I.  17. Los aspectos de la S.I. en la G.C.N.  18. Cumplimiento 5. Política de Seguridad de la Información 6. Organización de la Seguridad de la Información 7. Gestión de activos 8. Seguridad de los Recursos Humanos 11. Control de acceso 10. Gestión de comunicaciones y operaciones 12. Adquisición, desarrollo y mantenimiento en sistemas de información 13. Gestión de incidentes de S.I. 14. Gestión de continuidad de negocio 15. Cumplimiento 9. Seguridad física y del entorno ISO 27002:2005 ISO 27002:2013 11
En resumen: ISO 27002:2005 ISO 27002:2013 11 Dominiosde seguridad de la información. 14 Dominios de seguridad de la información. 39 Objetivos de Control 35 Objetivos de Control 133 Controles 111 Controles 21 Controles Borrados 14 Nuevos Controles No poseía el concepto de seguridad de la Información Revisión y fusión de Controles SGSI (ISMS) Establecer, Implementar, Operar, Revisar, Mantener, Hacer Seguimiento y Mejorar la seguridad de la información. Fortalece el concepto de la seguridad de la información (SI) en la preservación de las 3 Propiedades de la información. 12
Controles Eliminados: ISO 27002:2005 ISO 27002:2005 A.6.1.1 Compromiso de la Gerencia con la seguridad de la información A 11.4.2 Autenticación del usuario para conexiones externas A.6.1.2Cordinación de la seguridad de la información A 11.4.3 Identificación del equipo en red A 6.1.4 Proceso de autorización para los medios de procesamiento A 11.4.4 Protección del puerto de diagnostico remoto A 6.2.1 Identificación de Riesgos relacionados con entidades externas A 11.4.6 Control conexión de redes A 6.2.2Tratamiento de la seguridad cuando se trabaja con clientes A 11.4.7 Control de 'routing' de redes A 10.2.1 Entrega de servicio A 10.8.5 Sistemas de información comercial A 10.7.4 Seguridad de documentación del sistema A 11.6.2 Aislamiento del sistema sensible A 10.10.2 Uso del sistema de monitoreo A 12.2.4 Validación de data de output A 10.10.5 Registro de fallas (faulth logging) A 15.3.2 Protección de las herramientas de auditoria de los sistemas de información 13
Nuevos Controles : ISO 27002:2013 ISO 27002:2013 A.6.1.5 Seguridad de la información en la administración de proyectos A 16.1.5 Respuesta a incidentes de seguridad de la información A.12.6.2 Restricciones en la instalación de software A 17.2.1 Disponibilidad de instalaciones del procesamiento de la información A 14.2.1 Políticas de desarrollo seguro A 14.2.5 Principios de ingeniería para sistemas seguros A 14.2.6 Entorno para desarrollo seguro A 14.2.8 Pruebas de seguridad en los sistemas (testing) A 15.1.1 Política de seguridad de la información para las relaciones con proveedores A 15.1.3Tecnologías de la información en la cadena de suministros A 16.1.4 Evaluación y decisión sobre los eventos de la seguridad de la información. 14
Países con mayores Certificados en IS0 27001:2005 (Source: iso.org) 15
Países con Certificados en IS0 27001:2005 0 € 1.000 € 2.000 € 3.000 € 4.000 € 5.000 € 6.000 € 7.000 € 8.000 € Japón India China España Alemania Usa México Colombia Certificados obtenidos al 2012 (Source: iso.org) 16
Países Latinos con Certificados en IS0 27001:2005 México Colombia Brasil Argentina Chile Peru Ecuador Certificados Obtenidos 75 58 53 33 23 7 3 0 € 10 € 20 € 30 € 40 € 50 € 60 € 70 € 80 € NúmerodeCertificados Certificados Obtenidos (Source: iso.org) 17
Conclusiones  Los conceptos que debemos reforzar: Partes interesadas, Liderazgo, Sensibilización, Comunicación,Capacidades, Propietario del riesgo,Activos, Gestión de Riesgos y Oportunidades.  La ISO 27002:2013 tiene menos controles en cantidad y en método hay menos controles tecnológicos, adicionalmente se cuentan con políticas de control mas claras.  ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROLY 114 CONTROLES  Los Requisitos de evaluación de riesgos deben alinearse con la norma ISO 31000 18
Referencias y Bibliografía.  Information technology — Security techniques — Information security management systems — Requirements ISO/IEC 27001:2013  SurveyWorld distribution of ISO/IEC 27001 certificates in 2012  ISACA.Org  ISO 27001:2005  Procesos de control ISO tools.org  Msi. Ing. Darío Medina Ramírez, Cátedra- Análisis de Riesgos 19
Gracias por su atención… Desarrollado por: Ing.YangoAlexander Colmenares Auditor Interno Certificado ISO 27001 20

Recomendados

AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Brayan A. Sanchez
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSIJosé María Apellidos
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BAGestión de la Calidad de UTN BA
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIAlexander Calderón
 
Iso 27001
Iso 27001Iso 27001
Iso 27001Eurohelp Consulting
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 

Recomendados

AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Normal de ISO/IEC 27001
Normal de ISO/IEC 27001Brayan A. Sanchez
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSIJosé María Apellidos
 
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BAGestión de la Calidad de UTN BA
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIAlexander Calderón
 
Iso 27001
Iso 27001Iso 27001
Iso 27001Eurohelp Consulting
 
Iso 27001 Jonathan Blas
Iso 27001 Jonathan BlasIso 27001 Jonathan Blas
Iso 27001 Jonathan BlasJonathanBlas
 
Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1jonnyceballos
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013Marvin Zumbado
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001 George Gaviria
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiJhonny Willians Franco Delgado
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copiaYadi De La Cruz
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001uniminuto
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Juan Fernando Jaramillo
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Jack Daniel Cáceres Meza
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Iso 27001
Iso 27001Iso 27001
Iso 27001ascêndia reingeniería + consultoría
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-seguritySecurinf.com Seguridad Informatica - Tecnoweb2.com
 
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...CRISEL BY AEFOL
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000Haroll Suarez
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present finalJABERO241
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 

Más contenido relacionado

La actualidad más candente

Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1jonnyceballos
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001marojaspe
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Ramiro Cid
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001uniminuto
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Jack Daniel Cáceres Meza
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...CRISEL BY AEFOL
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001jerssondqz
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present finalJABERO241
 

La actualidad más candente (20)

Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1Presentacion manuel collazos_-_1
Presentacion manuel collazos_-_1
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
 
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...
Certificación de Sistemas de Gestión de Seguridad de la Información según ISO...
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
0405 iso 27000present final
0405 iso 27000present final0405 iso 27000present final
0405 iso 27000present final
 

Destacado

ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017
Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017
Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017NVIDIA
 
Top 5 Deep Learning and AI Stories - October 6, 2017
Top 5 Deep Learning and AI Stories - October 6, 2017Top 5 Deep Learning and AI Stories - October 6, 2017
Top 5 Deep Learning and AI Stories - October 6, 2017NVIDIA
 

Destacado (7)

ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 
Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017
Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017
Revolutionizing Radiology with Deep Learning: The Road to RSNA 2017
 
Top 5 Deep Learning and AI Stories - October 6, 2017
Top 5 Deep Learning and AI Stories - October 6, 2017Top 5 Deep Learning and AI Stories - October 6, 2017
Top 5 Deep Learning and AI Stories - October 6, 2017
 

Similar a Iso 27001 2013

ISO y el Registro Nacional de bases de datos
ISO y el Registro Nacional de bases de datosISO y el Registro Nacional de bases de datos
ISO y el Registro Nacional de bases de datosSergio Pinzón Amaya
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Informaciónferd3116
 
Iso 27001-2005-espanol
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanolDaniel Arevalo
 
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logoCAELUM-CMMI
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Isocarloscv
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesjhovanyfernando
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesjhovanyfernando
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informaticaGabriela2409
 
Controles de ISO 27001
Controles de ISO 27001Controles de ISO 27001
Controles de ISO 27001itService ®
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 

Similar a Iso 27001 2013 (20)

ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
Implantacion del iso_27001_2005
Implantacion del iso_27001_2005Implantacion del iso_27001_2005
Implantacion del iso_27001_2005
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
Auditoria
AuditoriaAuditoria
Auditoria
 
ISO y el Registro Nacional de bases de datos
ISO y el Registro Nacional de bases de datosISO y el Registro Nacional de bases de datos
ISO y el Registro Nacional de bases de datos
 
Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
 
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
IV Jornadas de Ciberseguridad en Andalucía: Modelo de Gobierno y Gestión de l...
 
ii
iiii
ii
 
Iso 27001-2005-espanol
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanol
 
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
01 aenor-cy13-semana cm-mi-nov2013_vfinal_logo
 
Iso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova DiegoIso 27001 - Cueva Córdova Diego
Iso 27001 - Cueva Córdova Diego
 
Estandares Iso
Estandares IsoEstandares Iso
Estandares Iso
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redes
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redes
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informatica
 
Controles de ISO 27001
Controles de ISO 27001Controles de ISO 27001
Controles de ISO 27001
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 

Más de Yango Alexander Colmenares

Codigo entropía criptográfica (yango colmenares)
Codigo entropía criptográfica (yango colmenares)Codigo entropía criptográfica (yango colmenares)
Codigo entropía criptográfica (yango colmenares)Yango Alexander Colmenares
 
Actividad #7 codigo detección de errores (yango colmenares)
Actividad #7 codigo detección de errores (yango colmenares)Actividad #7 codigo detección de errores (yango colmenares)
Actividad #7 codigo detección de errores (yango colmenares)Yango Alexander Colmenares
 
código detección de errores (yango colmenares)
código detección de errores (yango colmenares)código detección de errores (yango colmenares)
código detección de errores (yango colmenares)Yango Alexander Colmenares
 
Codigo rsa manejo de llaves publicas y privadas (yango colmenares)
Codigo rsa manejo de llaves publicas y privadas (yango colmenares)Codigo rsa manejo de llaves publicas y privadas (yango colmenares)
Codigo rsa manejo de llaves publicas y privadas (yango colmenares)Yango Alexander Colmenares
 
Codigo detección y corrección de errores (yango colmenares)
Codigo detección y corrección de errores (yango colmenares)Codigo detección y corrección de errores (yango colmenares)
Codigo detección y corrección de errores (yango colmenares)Yango Alexander Colmenares
 

Más de Yango Alexander Colmenares (17)

Ingeniero Véndete en el Mercado Global
Ingeniero Véndete en el Mercado GlobalIngeniero Véndete en el Mercado Global
Ingeniero Véndete en el Mercado Global
 
Algoritmo comprensión dct(yango colmenares)
Algoritmo comprensión dct(yango colmenares)Algoritmo comprensión dct(yango colmenares)
Algoritmo comprensión dct(yango colmenares)
 
Algoritmo comprensión lsb(yango colmenares)
Algoritmo comprensión lsb(yango colmenares)Algoritmo comprensión lsb(yango colmenares)
Algoritmo comprensión lsb(yango colmenares)
 
Algoritmo comprensión lzw(yango colmenares)
Algoritmo comprensión lzw(yango colmenares)Algoritmo comprensión lzw(yango colmenares)
Algoritmo comprensión lzw(yango colmenares)
 
codigo comprensión(yango colmenares)
codigo comprensión(yango colmenares)codigo comprensión(yango colmenares)
codigo comprensión(yango colmenares)
 
Codigo huffman (yango colmenares)
Codigo huffman (yango colmenares)Codigo huffman (yango colmenares)
Codigo huffman (yango colmenares)
 
Codigo entropía criptográfica (yango colmenares)
Codigo entropía criptográfica (yango colmenares)Codigo entropía criptográfica (yango colmenares)
Codigo entropía criptográfica (yango colmenares)
 
Actividad #7 codigo detección de errores (yango colmenares)
Actividad #7 codigo detección de errores (yango colmenares)Actividad #7 codigo detección de errores (yango colmenares)
Actividad #7 codigo detección de errores (yango colmenares)
 
código detección de errores (yango colmenares)
código detección de errores (yango colmenares)código detección de errores (yango colmenares)
código detección de errores (yango colmenares)
 
Codigo rsa manejo de llaves publicas y privadas (yango colmenares)
Codigo rsa manejo de llaves publicas y privadas (yango colmenares)Codigo rsa manejo de llaves publicas y privadas (yango colmenares)
Codigo rsa manejo de llaves publicas y privadas (yango colmenares)
 
Codigo detección y corrección de errores (yango colmenares)
Codigo detección y corrección de errores (yango colmenares)Codigo detección y corrección de errores (yango colmenares)
Codigo detección y corrección de errores (yango colmenares)
 
Codigo hill claves (yango colmenares)
Codigo hill claves (yango colmenares)Codigo hill claves (yango colmenares)
Codigo hill claves (yango colmenares)
 
Criterios de Excelencia en Redes de Internet
Criterios de Excelencia en Redes de InternetCriterios de Excelencia en Redes de Internet
Criterios de Excelencia en Redes de Internet
 
Itil v3 & 27001
Itil v3 & 27001Itil v3 & 27001
Itil v3 & 27001
 
Valores corporativos
Valores corporativosValores corporativos
Valores corporativos
 
Andragogia
AndragogiaAndragogia
Andragogia
 
Equidad y genero
Equidad y generoEquidad y genero
Equidad y genero
 

Último

Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointValerioIvanDePazLoja
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...Marketing BRANDING
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar24roberto21
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptxHugoGutierrez99
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfcristianrb0324
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxhasbleidit
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024u20211198540
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDAVIDROBERTOGALLEGOS
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadob7fwtwtfxf
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfKarinaCambero3
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 

Último (20)

Trabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power PointTrabajando con Formasy Smart art en power Point
Trabajando con Formasy Smart art en power Point
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
Agencia Marketing Branding Google Workspace Deployment Services Credential Fe...
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Actividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolarActividades de computación para alumnos de preescolar
Actividades de computación para alumnos de preescolar
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdf
 
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docxPLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
PLANEACION DE CLASES TEMA TIPOS DE FAMILIA.docx
 
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
Inteligencia Artificial. Matheo Hernandez Serrano USCO 2024
 
El camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVPEl camino a convertirse en Microsoft MVP
El camino a convertirse en Microsoft MVP
 
David_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptxDavid_Gallegos - tarea de la sesión 11.pptx
David_Gallegos - tarea de la sesión 11.pptx
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Viguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armadoViguetas Pretensadas en concreto armado
Viguetas Pretensadas en concreto armado
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
Herramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdfHerramientas que posibilitan la información y la investigación.pdf
Herramientas que posibilitan la información y la investigación.pdf
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 

Iso 27001 2013

  • 1. ISO 27001:2013 Ing.Yango AlexanderColmenares| Instituto Politécnico Nacional -Maestría en Ingeniería en Seguridad yTecnologías de la Información - México 2014
  • 2. Objetivos de la Sesión •Entender las diferencias claves de la versión ISO 27001:2005 a la versión 2013 •Indicar los nuevos requerimientos de la versión 2013 •Mostrar los nuevos Controles y Dominios Agregados en la ISO 27001:2013 2
  • 3. Lo recuerdas? Es una federación mundial de organismos nacionales de normalización alrededor de 160 países, trabajan a nivel de ComitésTécnicos. (Source: iso.org) 3
  • 4. Necesidad del Proyecto ISO 27001:2013  Causas: Los estándares ISO se revisan cada 4 o 5 años. Los controles de la ISO 27002 muchos son obsoletos. La necesidad de integrar los sistemas de gestión (Anexo SL, PAS 99).  El proyecto nace con la aprobación de un articulo en el NewWork Item (NWI) el 19 de mayo 2009.  Los primeros 3 borradores de trabajo conservan la estructura de 1ra edición.  La estructura común y el texto básico actual aplican al draft 4 en oposición de varios organismos nacionales.  El 15 de Febrero del 2012, el Consejo de GestiónTécnica de ISO (TMB) decidió que la norma ISO 27001 tiene que seguir la nueva estructura, unificado, pero que las desviaciones justificadas se admiten.  La alianza para dejar caer la Declaración de aplicabilidad falló.  Los intentos para terminar el proyecto hasta el final fracasaron. 4
  • 5. Revisión por: • NCC (Centro Nacional de Computación) • Consorcio usuarios 1993 Estándar nacional británico 1995 Estándar Internacional (Fast Track) 1999 2000 Revisión periódica (5 años) 2005 Nuevo estándar nacional certificable Estándar Internacional 1998 2002 Revisión conjunta de las partes 1 y 2 Revisión y acercamiento a: • ISO 9001 • ISO 14001 • OCDE 1999 2005 Centro de Seguridad de Informática Comercial del Reino Unido (CCSC/DTI) 1989 Revisión conjunta de las partes 1 y 2 ■Certificable Código de prácticas para usuarios ■ PD0003 Código de prácticas para la gestión de la seguridad de la información ■ BS 7799 ■ BS 7799-1 :1999 ■ ISO/IEC 17799 :2000 ■ ISO/IEC 17799 :2005 ■ BS 7799-2 :2002 ■ BS 7799-2 ■ BS 7799-2 :1999 ■ ISO/IEC 27001 :2005 ■ Historia de ISO 27001e ISO 17799 ■No certificable 2013 ISO/IEC 27001 :2013 ■ 2013
  • 6. Cambios de Estructura en las Normas  1. Introducción  2.Objeto  3. Referencias Normativas  4. Contexto de laOrganización  5. Liderazgo  6. Planificación  7. Soporte  8. Operación  9. Evaluación del desempeño  10. Mejora  1.Introducción  2. Objeto  3. Referencias Normativas  4. Sistema de Gestión de la Seguridad de la Información  4.1 General 4.2 SGSI 4.2.1 Establecer 4.2.2 Implementar y Operar 4.2.3 Monitorear y Revisar 4.2.4 Mantener y Mejorar 4.3 Documentar  5. Responsabilidad de la Dirección  6. Auditoría Interna  7. Revisión de la Dirección  8. Mejora VERSIÓN ISO 27001: 2005 VERSIÓN ISO 27001: 2013 6
  • 7. Entregas 9. Evaluación del desempeño VERSIÓN 2005 VERSIÓN 2013  ANEXOA Objetivos de control y Controles  ANEXO B OECD Principios y estándares Internacionales  ANEXOC Correspondencia entre ISO:9001:2000, ISO 14001:2004 y la este estándar internacional.  ANEXOA Objetivos de control y Controles 7
  • 8. Nuevos conceptos ISO 27002:2013 Clausula 8.1 Activos relacionados con las instalaciones de procesamiento de información deben ser identificados y un inventario de los activos deberá estar documentado y actualizado. Activo Activo Primario Información Procesos Activo de Soporte Infraestructura, Hardware y Software 8
  • 9. Nuevos Conceptos 6.Planeacíon 8.Operación 6.1 Actions to address risks and opportunities  ISO 27001:2013Clausulas 6.1.2 y 8.2 Evaluación de los riesgos de la seguridad de la información. (Source: Isaca) 8.2The organization shall retain documented information of the results of the information security risk assessments. ISO 31000:2009 CRISC-Isaca 9
  • 10. Nuevos Conceptos: 5.Liderazgo La alta dirección debe asegurarse de que las responsabilidades y las funciones pertinentes a la seguridad de información se asignen y se comuniquen.  Tareas/actividades  Procedimientos  Herramientas/tecnología  Procesos de control de cambios del proyecto Roles de la Organización responsabilidades y autoridades 5.3 Note:Top management may also assign responsibilities and authorities for reporting performance of the information security management system within the organization. 10
  • 11. ISO 27002:2005Vs ISO 27002:2013  5. Política de Seguridad de la Información  6. Organización de la Seguridad de la Información  7. Seguridad de los Recursos Humanos  8. Gestión de activos  9. Control de acceso  10. Criptografía Política y Gestión de Clave  11. Seguridad física y del entorno  12. Seguridad en la operaciones  13. Seguridad de las comunicaciones  14. Adquisición, desarrollo y mantenimiento de los sistemas  15. Relación con los proveedores  16. Gestión de incidentes de S.I.  17. Los aspectos de la S.I. en la G.C.N.  18. Cumplimiento 5. Política de Seguridad de la Información 6. Organización de la Seguridad de la Información 7. Gestión de activos 8. Seguridad de los Recursos Humanos 11. Control de acceso 10. Gestión de comunicaciones y operaciones 12. Adquisición, desarrollo y mantenimiento en sistemas de información 13. Gestión de incidentes de S.I. 14. Gestión de continuidad de negocio 15. Cumplimiento 9. Seguridad física y del entorno ISO 27002:2005 ISO 27002:2013 11
  • 12. En resumen: ISO 27002:2005 ISO 27002:2013 11 Dominiosde seguridad de la información. 14 Dominios de seguridad de la información. 39 Objetivos de Control 35 Objetivos de Control 133 Controles 111 Controles 21 Controles Borrados 14 Nuevos Controles No poseía el concepto de seguridad de la Información Revisión y fusión de Controles SGSI (ISMS) Establecer, Implementar, Operar, Revisar, Mantener, Hacer Seguimiento y Mejorar la seguridad de la información. Fortalece el concepto de la seguridad de la información (SI) en la preservación de las 3 Propiedades de la información. 12
  • 13. Controles Eliminados: ISO 27002:2005 ISO 27002:2005 A.6.1.1 Compromiso de la Gerencia con la seguridad de la información A 11.4.2 Autenticación del usuario para conexiones externas A.6.1.2Cordinación de la seguridad de la información A 11.4.3 Identificación del equipo en red A 6.1.4 Proceso de autorización para los medios de procesamiento A 11.4.4 Protección del puerto de diagnostico remoto A 6.2.1 Identificación de Riesgos relacionados con entidades externas A 11.4.6 Control conexión de redes A 6.2.2Tratamiento de la seguridad cuando se trabaja con clientes A 11.4.7 Control de 'routing' de redes A 10.2.1 Entrega de servicio A 10.8.5 Sistemas de información comercial A 10.7.4 Seguridad de documentación del sistema A 11.6.2 Aislamiento del sistema sensible A 10.10.2 Uso del sistema de monitoreo A 12.2.4 Validación de data de output A 10.10.5 Registro de fallas (faulth logging) A 15.3.2 Protección de las herramientas de auditoria de los sistemas de información 13
  • 14. Nuevos Controles : ISO 27002:2013 ISO 27002:2013 A.6.1.5 Seguridad de la información en la administración de proyectos A 16.1.5 Respuesta a incidentes de seguridad de la información A.12.6.2 Restricciones en la instalación de software A 17.2.1 Disponibilidad de instalaciones del procesamiento de la información A 14.2.1 Políticas de desarrollo seguro A 14.2.5 Principios de ingeniería para sistemas seguros A 14.2.6 Entorno para desarrollo seguro A 14.2.8 Pruebas de seguridad en los sistemas (testing) A 15.1.1 Política de seguridad de la información para las relaciones con proveedores A 15.1.3Tecnologías de la información en la cadena de suministros A 16.1.4 Evaluación y decisión sobre los eventos de la seguridad de la información. 14
  • 15. Países con mayores Certificados en IS0 27001:2005 (Source: iso.org) 15
  • 16. Países con Certificados en IS0 27001:2005 0 € 1.000 € 2.000 € 3.000 € 4.000 € 5.000 € 6.000 € 7.000 € 8.000 € Japón India China España Alemania Usa México Colombia Certificados obtenidos al 2012 (Source: iso.org) 16
  • 17. Países Latinos con Certificados en IS0 27001:2005 México Colombia Brasil Argentina Chile Peru Ecuador Certificados Obtenidos 75 58 53 33 23 7 3 0 € 10 € 20 € 30 € 40 € 50 € 60 € 70 € 80 € NúmerodeCertificados Certificados Obtenidos (Source: iso.org) 17
  • 18. Conclusiones  Los conceptos que debemos reforzar: Partes interesadas, Liderazgo, Sensibilización, Comunicación,Capacidades, Propietario del riesgo,Activos, Gestión de Riesgos y Oportunidades.  La ISO 27002:2013 tiene menos controles en cantidad y en método hay menos controles tecnológicos, adicionalmente se cuentan con políticas de control mas claras.  ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROLY 114 CONTROLES  Los Requisitos de evaluación de riesgos deben alinearse con la norma ISO 31000 18
  • 19. Referencias y Bibliografía.  Information technology — Security techniques — Information security management systems — Requirements ISO/IEC 27001:2013  SurveyWorld distribution of ISO/IEC 27001 certificates in 2012  ISACA.Org  ISO 27001:2005  Procesos de control ISO tools.org  Msi. Ing. Darío Medina Ramírez, Cátedra- Análisis de Riesgos 19
  • 20. Gracias por su atención… Desarrollado por: Ing.YangoAlexander Colmenares Auditor Interno Certificado ISO 27001 20