SlideShare una empresa de Scribd logo

Iso 27001

ascêndia reingeniería + consultoría
ascêndia reingeniería + consultoría

Este documento describe las ventajas de implementar un Sistema de Gestión de la Seguridad de la Información (SGSI) según la norma ISO/IEC 27001. Explica que un SGSI ayuda a proteger la información mediante controles sobre la confidencialidad, integridad y disponibilidad. También resume la estructura y los objetivos de las normas ISO 27001 y 27002, las cuales proveen una base para establecer y certificar un SGSI efectivo.

Educación
1 de 29
Descargar para leer sin conexión
www.ascendiarc.com
VENTAJAS COMPETITIVAS DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SEGÚN LA NORMA ISO / IEC 27001:2005 www.ascendiarc.com www.ascendiarc.com
ÍNDICE >INTRODUCCIÓN > SEGURIDAD DE LA INFORMACIÓN > OBJETIVOS DEL SGSI > ESTRUCTURA DE LA NORMA ISO 27001 > ESTRUCTURA DE LA NORMA ISO 27002 > FASES DE LA IMPLANTACIÓN DE UN SGSI www.ascendiarc.com
INTRODUCCIÓN ¿Qué es un Sistema de Gestión? SIMIL: ORQUESTA DE MÚSICA gestionar = dirigir ¿eficientemente? = ¿suena bien? conseguir los objetivos = alcanzar el éxito La orquesta suena bien si todos: Saben tocar bien Pueden tocar bien Quieren tocar bien Se alcanza el éxito www.ascendiarc.com
INTRODUCCIÓN La información es un activo vital para la continuidad y desarrollo de cualquier organización. Sin embargo no siempre se establecen las medidas oportunas para proteger información esencial. ¿Qué es un Sistema de Gestión de la Seguridad de la Información? • Conjunto de procesos, recursos, organización, formación e información que permiten alcanzar los objetivos planteados por la organización, minimizando el esfuerzo económico, desgaste personal, tiempos, etc. • Un sistema que permita salvaguardar la información y los sistemas de información y comunicación de la empresa. Un SGSI es el modo más eficaz de conseguir minimizar los riesgos y asegurar la continuidad de las actividades de la entidad. www.ascendiarc.com
ALCANCE DEL SGSI ¿Por qué escoger la norma ISO 27001:2005? De cara al exterior, mejora la imagen de rigor Único modelo internacionalmente reconocido para implantación de un SGSI Dotar al sistema de niveles aceptables de: Confidencialidad Integridad Disponibilidad www.ascendiarc.com
BENEFICIOS DEL SGSI Necesidad del implantación de un Sistema de Gestión Por la gran cantidad de datos generados Por la propia estructura organizativa del sistema (varios participantes) Por las ventajas derivadas de la ordenación y documentación de acciones y procesos Averías o cualquier imprevisto Cambios de personal Resultados tras la implantación Reducción de los riesgos a un nivel aceptable Garantizar la confidencialidad, integridad, disponibilidad y privacidad de la información Cumplir con las leyes y reglamentaciones previstas www.ascendiarc.com
SEGURIDAD DE LA INFORMACIÓN No hay que confundir SEGURIDAD INFORMÁTICA con SEGURIDAD DE LA INFORMACIÓN SEGURIDAD INFORMÁTICA Establece medidas encaminadas a proteger hardware, software y comunicaciones de los equipos informáticos. NO GESTIONA. Controla los aspectos: > físicos (instalaciones) > telecomunicaciones (protocolos seguros, encriptación, cortafuegos) > de acceso al sistema > copias de respaldo y recuperación > etc. www.ascendiarc.com
SEGURIDAD DE LA INFORMACIÓN No hay que confundir SEGURIDAD INFORMÁTICA con SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN Establece medidas encaminadas a proteger la información, independientemente del soporte en que se encuentre, contra cualquier amenaza. De este modo, estaremos en condiciones de asegurar la continuidad de la actividad de la entidad, minimizar el perjuicio que pudiera causar y maximizar el rendimiento del capital invertido. Se caracteriza por preservar las tres propiedades de la información: > CONFIDENCIALIDAD > INTEGRIDAD > DISPONIBILIDAD www.ascendiarc.com
DOMINIOS DE LA INFORMACIÓN CONFIDENCIALIDAD: Asegurar que la información es accesible sólo para aquellos autorizados a tener acceso. DISPONIBILIDAD: Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. INTEGRIDAD: Garantizar la exactitud y completitud de la información y los métodos de su proceso. www.ascendiarc.com
OBJETO DE LAS ISO 27001 Y 27002 Tienen por objeto “proporcionar una base común para la elaboración de las normas de seguridad en las organizaciones, un método de gestión eficaz de la seguridad y establecer informes de confianza en las transacciones y las relaciones entre empresas”. El hecho de poseer un certificado ISO 27001 no prueba que la organización sea 100 % segura. La seguridad completa no existe a menos de una inactividad total. www.ascendiarc.com
ISO 27001: ESTRUCTURA 1. OBJETO Y CAMPO DE APLICACIÓN ISO 27001 abarca todo tipo de organizaciones, y especifica los requisitos para la creación, implementación, operación, supervisión, revisión, mantenimiento y mejora de un SGSI. El SGSI se diseña con el fin de asegurar la selección de controles de seguridad, adecuados y proporcionados, que protejan los activos de información. 2. REFERENCIAS NORMATIVAS Es indispensable la utilización de la norma ISO / IEC 27002:2007 3. TÉRMINOS Y DEFINICIONES www.ascendiarc.com
ISO 27001: ESTRUCTURA 4. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Cubre todos los aspectos que necesita un SGSI para su funcionamiento diario. El proceso utilizado se basa en el ciclo PDCA. REQUISITOS GENERALES.- obligación de creación de un sistema de gestión documentado con los procedimientos clave de la organización y los riesgos a que se enfrentan. ESTABLECIMIENTO Y ADMINISTRACIÓN DEL SGSI.- detalla las obligaciones de la organización para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI. REQUISITOS DE DOCUMENTACIÓN.- para asegurar que cualquier acción siempre es derivada de decisiones de la Dirección; los resultados registrados deben ser reproducibles. www.ascendiarc.com
ISO 27001: ESTRUCTURA 5. RESPONSABILIDAD DE LA DIRECCIÓN Debe garantizarse por parte de la dirección que el compromiso con el SGSI el total. 6. AUDITORÍAS INTERNAS La organización realizará auditorías a intervalos planificados. 7. REVISIÓN DEL SGSI POR LA DIRECCIÓN Debe existir una revisión del SGSI por parte de la Dirección, al menos una vez al año, enfocada a asegurar que sigue siendo apropiado, adecuado y efectivo. 8. MEJORA DEL SGSI La organización mejora continuamente la efectividad. ANEXO A Objetivos de control y controles => ISO 27002:2007 www.ascendiarc.com
ISO 27002 Es una guía de recomendaciones estructuradas, reconocida internacionalmente y dedicada a la SEGURIDAD DE LA INFORMACIÓN. Proporciona equilibrio entre la seguridad física, técnica, procedimientos y la seguridad ligada al personal que participa en la gestión de la información. Contiene un conjunto de controles dónde se identifican las mejores prácticas para la gestión de la seguridad de la información. No es un sistema que permite una certificación de la seguridad. Sólo 27001 (y sus derivados nacionales) ofrecen un esquema de certificación. www.ascendiarc.com
ISO 27002: ESTRUCTURA Es un CÓDIGO DE BUENAS PRÁCTICAS y RECOMENDACIONES Se estructura en: > 11 dominios. > 39 objetivos de control -> resultados que se espera alcanzar mediante la implementación de los controles. > 133 controles -> prácticas, procedimientos o mecanismos que reducen el nivel de riesgo. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.5 POLÍTICA DE SEGURIDAD Dirigir y dar soporte a la gestión de la seguridad de la información > La Dirección debe definir una política que refleje las líneas directrices de la organización en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la organización. > La política se constituye en la base de todo el sistema de gestión de la seguridad de la información. > La Dirección debe apoyar visiblemente la seguridad de la información en la compañía. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.6 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN Gestionar la seguridad de la información dentro de la organización. Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que son accedidos por terceros > Debe diseñarse una estructura organizativa dentro de la compañía que defina las responsabilidades que en materia de seguridad tienen cada usuario o área de trabajo relacionada con los sistemas de información de cualquier forma. > Identificar los riesgos que están relacionados con terceros. > Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de seguridad no son exclusivamente técnicos. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.7 GESTIÓN DE ACTIVOS Mantener una protección adecuada sobre los activos de la organización. Asegurar un nivel de protección adecuado a los activos de información. > Debe definirse una clasificación de los activos relacionados con los sistemas de información, manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada activo el nivel de protección adecuado a su criticidad en la organización. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.8 SEGURIDAD LIGADA AL PERSONAL Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios. Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo. > Garantizar la seguridad de la información antes del empleo, durante el empleo, y a la terminación o cambio de empleo. > Las implicaciones del factor humano en la seguridad de la información son muy elevadas. > Todo el personal, tanto interno como externo a la organización, debe conocer tanto las líneas generales de la política de seguridad corporativa como las implicaciones de su trabajo en el mantenimiento de la seguridad global. > Diferentes relaciones con los sistemas de información: operador, guardia de seguridad, personal de servicios, etc. > Procesos de notificación de incidencias claros, ágiles y conocidos por todos. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.9 SEGURIDAD FÍSICA Y DEL ENTORNO Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización. Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización. Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información. > Las áreas de trabajo de la organización y sus activos deben ser clasificadas y protegidas en función de su criticidad, siempre de una forma adecuada y frente a cualquier riesgo factible de índole física (robo, inundación, incendio, etc.). www.ascendiarc.com
ISO 27002: ESTRUCTURA A.10 GESTIÓN DE COMUNICACIONES Y OPERACIONES Asegurar el funcionamiento correcto y seguro de los recursos de procesamiento de la información. Implantar y mantener el nivel apropiado de seguridad de la información en la provisión del servicio, en consonancia con los acuerdos de provisión de servicios por terceros. Proteger la integridad del software y de la información. Mantener la integridad y disponibilidad e la información y de los recursos de tratamiento de la información. Asegurar la protección de la información en las redes y protección de la infraestructura de soporte. Evitar la revelación, modificación, retirada o destrucción no autorizada de los activos, y la interrupción de las actividades de la organización. Mantener la seguridad de la información y del software intercambiados dentro de una organización y con un tercero. Garantizar la seguridad de los servicios de comercio electrónico, y el uso seguro de los mismos. Detectar las actividades de procesamiento de la información no autorizadas. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.11 CONTROL DE ACCESO Controlar los accesos a la información. Evitar accesos no autorizados a los sistemas de información. Evitar el acceso de usuarios no autorizados. Evitar acceso no autorizados a información contenida en las aplicaciones. Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y teletrabajo. > Se deben establecer los controles de acceso adecuados para proteger los sistemas de información críticos para el negocio, a diferentes niveles: sistema operativo, aplicaciones, redes, etc. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN Garantizar que la seguridad está integrada en los sistemas de información. Evitar errores, pérdidas, modificaciones no autorizadas o usos indebidos de la información en las aplicaciones. Proteger la confidencialidad, la autenticidad o la integridad de la información por medios criptográficos. Garantizar la seguridad en los archivos del sistema. Mantener la seguridad del software y de la información de las aplicaciones. Reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas. > Debe contemplarse la seguridad de la información en todas las etapas del ciclo de vida del software en una organización: especificación de requisitos, desarrollo, explotación, mantenimiento, etc. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Asegurar que los eventos y debilidades de la seguridad de la información asociadas con los sistemas de información sean comunicados de tal manera que se tomen las acciones correctivas oportunamente. Verificar que se aplique un enfoque uniforme y efectivo a la gestión de la seguridad. > Los incidentes de seguridad deben reportarse a la Dirección tan pronto como sea posible. > Deben establecerse responsabilidades y procedimientos de gestión para asegurar una respuesta rápida, efectiva y ordenada a los incidentes. > Debe recogerse, retenerse y presentarse evidencias de conformidad con las reglas de prueba establecidas con la legislación pertinente en acciones de seguimiento contra una persona u organización. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades de negocio y proteger los procesos críticos de fallos o desastres mayores y asegurar su oportuna reanudación. > Hay que desarrollar y mantener un proceso gestionado de continuidad de negocio en toda la organización. > Deben identificarse los eventos que pueden causar interrupciones a los procesos de negocio, junto con la probabilidad e impacto de tales interrupciones. > Sólo debe existir un marco de plan de continuidad de negocios para asegurar que todos los planes sean concordantes, para enfocar de modo uniforme los requerimientos y prevén criticar prioridades. > Los planes deberán probarse y actualizarse regularmente. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.15 CONFORMIDAD Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requerimiento de seguridad. Garantizar la alineación de los sistemas con la política de seguridad de la organización y con la normativa derivada de la misma. Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría de sistemas > Se debe identificar convenientemente la legislación aplicable a los sistemas de información corporativos, integrándola en el sistema de gestión de seguridad de la información de la entidad y garantizando su cumplimiento. >Se debe definir un plan de auditoría interna y ser ejecutado convenientemente, para garantizar la detección de desviaciones con respecto a la política de seguridad de la información. www.ascendiarc.com
IMPLANTACIÓN DE UN SGSI BENEFICIOS DERIVADOS DE LA IMPLANTACIÓN DE UN SGSI > Competitividad > Confianza de terceros > Cumplimiento legal > Mejora de la Imagen > Reducción de riesgos > Demostración del uso de prácticas apropiadas : · empresas y organizaciones · cliente final · auditores · tribunales www.ascendiarc.com
gracias por su atención www.ascendiarc.com www.ascendiarc.com

Recomendados

Iso 27001
Iso 27001Iso 27001
Iso 27001
Eurohelp Consulting
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
BernaMartinez
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
Maria Jose Buigues
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
Juana Rotted
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
julianabh
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
Marvin Zumbado
 

Recomendados

Iso 27001
Iso 27001Iso 27001
Iso 27001
Eurohelp Consulting
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
Johanna Pazmiño
 
Iso27000 bernardo martinez
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
BernaMartinez
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
Maria Jose Buigues
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
Juana Rotted
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
julianabh
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
Marvin Zumbado
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
Fabián Descalzo
 
PRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptxPRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptx
PedroMarquez78
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
Benet Oliver Noguera
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
Reynaldo Quintero
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
Juan Fernando Jaramillo
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
Luis R Castellanos
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
Jose Rafael
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
jerssondqz
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Ramiro Cid
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
Yadi De La Cruz
 
Iso 31000 2009 risk management
Iso 31000 2009 risk managementIso 31000 2009 risk management
Iso 31000 2009 risk management
Alexander Velasque Rimac
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
Haroll Suarez
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
navidisey
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
José María Apellidos
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Manuel Garcia Ramos
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
krn kdna cadena
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
Maria Villalba
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
Alexander Calderón
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Yango Alexander Colmenares
 

Más contenido relacionado

La actualidad más candente

Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
Reynaldo Quintero
 

La actualidad más candente (20)

Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
PRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptxPRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptx
 
Iso 27000(2)
Iso 27000(2)Iso 27000(2)
Iso 27000(2)
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
ISO 27000
ISO 27000ISO 27000
ISO 27000
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
 
Iso 31000 2009 risk management
Iso 31000 2009 risk managementIso 31000 2009 risk management
Iso 31000 2009 risk management
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Iso 27000 estandar
Iso 27000 estandarIso 27000 estandar
Iso 27000 estandar
 

Destacado

Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...
Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...
Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...
ARGENACO
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
Horacio Veramendi
 

Destacado (20)

Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
Estándares internacionales de seguridad informática
Estándares internacionales de seguridad informática Estándares internacionales de seguridad informática
Estándares internacionales de seguridad informática
 
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
 
Iso 27001-2005-espanol
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanol
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
 
Guia iso 27001
Guia iso 27001Guia iso 27001
Guia iso 27001
 
Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
 
Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1
 
Protección de Activos Críticos
Protección de Activos CríticosProtección de Activos Críticos
Protección de Activos Críticos
 
Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...
Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...
Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...
 
La importancia de los procesos de seguridad de la información: ventajas y efi...
La importancia de los procesos de seguridad de la información: ventajas y efi...La importancia de los procesos de seguridad de la información: ventajas y efi...
La importancia de los procesos de seguridad de la información: ventajas y efi...
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 
Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
Caso: Implementando CGSI en Instituciones Estatales, por Roberto PuyóCaso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
Virus informático
Virus informáticoVirus informático
Virus informático
 

Similar a Iso 27001

Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redes
jhovanyfernando
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redes
jhovanyfernando
 
Estándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaEstándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informática
Pedro Cobarrubias
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
Pedro Cobarrubias
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine
 
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
ascêndia reingeniería + consultoría
 
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
pocketbox
 
Presentacion sg tracking
Presentacion sg trackingPresentacion sg tracking
Presentacion sg tracking
sgtracking
 

Similar a Iso 27001 (20)

Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redes
 
Ciclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redes
 
Estándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informáticaEstándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informática
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
 
ISO 27001 - Ingertec
ISO 27001 - IngertecISO 27001 - Ingertec
ISO 27001 - Ingertec
 
Intituto tecnologico superior particular
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
NORMAS ISO
NORMAS ISO NORMAS ISO
NORMAS ISO
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informatica
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
 
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
 
Presentacion sg tracking
Presentacion sg trackingPresentacion sg tracking
Presentacion sg tracking
 

Más de ascêndia reingeniería + consultoría

El protocolo familiar como herramienta estratégica en la empresa familiar
El protocolo familiar como herramienta estratégica en la empresa familiarEl protocolo familiar como herramienta estratégica en la empresa familiar
El protocolo familiar como herramienta estratégica en la empresa familiar
ascêndia reingeniería + consultoría
 
Primer caso de éxito en Andalucía de Implantación de la norma UNE 158301
Primer caso de éxito en Andalucía de Implantación de la norma UNE 158301Primer caso de éxito en Andalucía de Implantación de la norma UNE 158301
Primer caso de éxito en Andalucía de Implantación de la norma UNE 158301
ascêndia reingeniería + consultoría
 
Bonificaciones en las cuotas de la Seguridad Social para el personal investig...
Bonificaciones en las cuotas de la Seguridad Social para el personal investig...Bonificaciones en las cuotas de la Seguridad Social para el personal investig...
Bonificaciones en las cuotas de la Seguridad Social para el personal investig...
ascêndia reingeniería + consultoría
 
Bonificaciones en las cuotas de la Seguridad Social para el personal investig...
Bonificaciones en las cuotas de la Seguridad Social para el personal investig...Bonificaciones en las cuotas de la Seguridad Social para el personal investig...
Bonificaciones en las cuotas de la Seguridad Social para el personal investig...
ascêndia reingeniería + consultoría
 

Más de ascêndia reingeniería + consultoría (20)

Ayudas para la elaboración de protocolos familiares
Ayudas para la elaboración de protocolos familiaresAyudas para la elaboración de protocolos familiares
Ayudas para la elaboración de protocolos familiares
 
El protocolo familiar como herramienta estratégica en la empresa familiar
El protocolo familiar como herramienta estratégica en la empresa familiarEl protocolo familiar como herramienta estratégica en la empresa familiar
El protocolo familiar como herramienta estratégica en la empresa familiar
 
Crisis y empresa familiar ¿cómo enfrentar la evolución
Crisis y empresa familiar ¿cómo enfrentar la evoluciónCrisis y empresa familiar ¿cómo enfrentar la evolución
Crisis y empresa familiar ¿cómo enfrentar la evolución
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 
Gestión de fondos de archivos en empresas
Gestión de fondos de archivos en empresasGestión de fondos de archivos en empresas
Gestión de fondos de archivos en empresas
 
Lopd iso 27001 como elementos de valor
Lopd iso 27001 como elementos de valorLopd iso 27001 como elementos de valor
Lopd iso 27001 como elementos de valor
 
La Protección de Datos en las Escuelas de Idiomas
La Protección de Datos en las Escuelas de IdiomasLa Protección de Datos en las Escuelas de Idiomas
La Protección de Datos en las Escuelas de Idiomas
 
ISO 20000. GESTIÓN DE SERVICIOS TI
ISO 20000. GESTIÓN DE SERVICIOS TIISO 20000. GESTIÓN DE SERVICIOS TI
ISO 20000. GESTIÓN DE SERVICIOS TI
 
Primer caso de éxito en Andalucía de Implantación de la norma UNE 158301
Primer caso de éxito en Andalucía de Implantación de la norma UNE 158301Primer caso de éxito en Andalucía de Implantación de la norma UNE 158301
Primer caso de éxito en Andalucía de Implantación de la norma UNE 158301
 
Presentación sad 2 de diciembre
Presentación sad 2 de diciembrePresentación sad 2 de diciembre
Presentación sad 2 de diciembre
 
Bonificaciones en las cuotas de la Seguridad Social para el personal investig...
Bonificaciones en las cuotas de la Seguridad Social para el personal investig...Bonificaciones en las cuotas de la Seguridad Social para el personal investig...
Bonificaciones en las cuotas de la Seguridad Social para el personal investig...
 
Bonificaciones en las cuotas de la Seguridad Social para el personal investig...
Bonificaciones en las cuotas de la Seguridad Social para el personal investig...Bonificaciones en las cuotas de la Seguridad Social para el personal investig...
Bonificaciones en las cuotas de la Seguridad Social para el personal investig...
 
Deducciones fiscales
Deducciones fiscalesDeducciones fiscales
Deducciones fiscales
 
gesti
gestigesti
gesti
 
ISO/IEC 20000
ISO/IEC 20000ISO/IEC 20000
ISO/IEC 20000
 
CMMI
CMMICMMI
CMMI
 
Dossier empresa ascêndia reingeniería + consultoría
Dossier empresa ascêndia reingeniería + consultoríaDossier empresa ascêndia reingeniería + consultoría
Dossier empresa ascêndia reingeniería + consultoría
 
Planes estratégicos
Planes estratégicosPlanes estratégicos
Planes estratégicos
 
Ahorro de costes
Ahorro de costesAhorro de costes
Ahorro de costes
 
Planes de igualdad
Planes de igualdadPlanes de igualdad
Planes de igualdad
 

Último

NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdfNUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
UPTAIDELTACHIRA
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Francisco158360
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
JAVIER SOLIS NOYOLA
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
MiNeyi1
 
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
RigoTito
 

Último (20)

ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
 
Abril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdfAbril 2024 - Maestra Jardinera Ediba.pdf
Abril 2024 - Maestra Jardinera Ediba.pdf
 
ACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJO
ACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJOACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJO
ACTIVIDAD DIA DE LA MADRE FICHA DE TRABAJO
 
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdfNUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
NUEVAS DIAPOSITIVAS POSGRADO Gestion Publica.pdf
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
 
Unidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la InvestigaciónUnidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la Investigación
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
 
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptxSEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
SEXTO SEGUNDO PERIODO EMPRENDIMIENTO.pptx
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativa
 
Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
 
PIAR v 015. 2024 Plan Individual de ajustes razonables
PIAR v 015. 2024 Plan Individual de ajustes razonablesPIAR v 015. 2024 Plan Individual de ajustes razonables
PIAR v 015. 2024 Plan Individual de ajustes razonables
 
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
2 REGLAMENTO RM 0912-2024 DE MODALIDADES DE GRADUACIÓN_.pptx
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 4ºESO
 
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESOPrueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
Prueba de evaluación Geografía e Historia Comunidad de Madrid 2º de la ESO
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).pptPINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
PINTURA DEL RENACIMIENTO EN ESPAÑA (SIGLO XVI).ppt
 

Iso 27001

  • 2. VENTAJAS COMPETITIVAS DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SEGÚN LA NORMA ISO / IEC 27001:2005 www.ascendiarc.com www.ascendiarc.com
  • 3. ÍNDICE >INTRODUCCIÓN > SEGURIDAD DE LA INFORMACIÓN > OBJETIVOS DEL SGSI > ESTRUCTURA DE LA NORMA ISO 27001 > ESTRUCTURA DE LA NORMA ISO 27002 > FASES DE LA IMPLANTACIÓN DE UN SGSI www.ascendiarc.com
  • 4. INTRODUCCIÓN ¿Qué es un Sistema de Gestión? SIMIL: ORQUESTA DE MÚSICA gestionar = dirigir ¿eficientemente? = ¿suena bien? conseguir los objetivos = alcanzar el éxito La orquesta suena bien si todos: Saben tocar bien Pueden tocar bien Quieren tocar bien Se alcanza el éxito www.ascendiarc.com
  • 5. INTRODUCCIÓN La información es un activo vital para la continuidad y desarrollo de cualquier organización. Sin embargo no siempre se establecen las medidas oportunas para proteger información esencial. ¿Qué es un Sistema de Gestión de la Seguridad de la Información? • Conjunto de procesos, recursos, organización, formación e información que permiten alcanzar los objetivos planteados por la organización, minimizando el esfuerzo económico, desgaste personal, tiempos, etc. • Un sistema que permita salvaguardar la información y los sistemas de información y comunicación de la empresa. Un SGSI es el modo más eficaz de conseguir minimizar los riesgos y asegurar la continuidad de las actividades de la entidad. www.ascendiarc.com
  • 6. ALCANCE DEL SGSI ¿Por qué escoger la norma ISO 27001:2005? De cara al exterior, mejora la imagen de rigor Único modelo internacionalmente reconocido para implantación de un SGSI Dotar al sistema de niveles aceptables de: Confidencialidad Integridad Disponibilidad www.ascendiarc.com
  • 7. BENEFICIOS DEL SGSI Necesidad del implantación de un Sistema de Gestión Por la gran cantidad de datos generados Por la propia estructura organizativa del sistema (varios participantes) Por las ventajas derivadas de la ordenación y documentación de acciones y procesos Averías o cualquier imprevisto Cambios de personal Resultados tras la implantación Reducción de los riesgos a un nivel aceptable Garantizar la confidencialidad, integridad, disponibilidad y privacidad de la información Cumplir con las leyes y reglamentaciones previstas www.ascendiarc.com
  • 8. SEGURIDAD DE LA INFORMACIÓN No hay que confundir SEGURIDAD INFORMÁTICA con SEGURIDAD DE LA INFORMACIÓN SEGURIDAD INFORMÁTICA Establece medidas encaminadas a proteger hardware, software y comunicaciones de los equipos informáticos. NO GESTIONA. Controla los aspectos: > físicos (instalaciones) > telecomunicaciones (protocolos seguros, encriptación, cortafuegos) > de acceso al sistema > copias de respaldo y recuperación > etc. www.ascendiarc.com
  • 9. SEGURIDAD DE LA INFORMACIÓN No hay que confundir SEGURIDAD INFORMÁTICA con SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN Establece medidas encaminadas a proteger la información, independientemente del soporte en que se encuentre, contra cualquier amenaza. De este modo, estaremos en condiciones de asegurar la continuidad de la actividad de la entidad, minimizar el perjuicio que pudiera causar y maximizar el rendimiento del capital invertido. Se caracteriza por preservar las tres propiedades de la información: > CONFIDENCIALIDAD > INTEGRIDAD > DISPONIBILIDAD www.ascendiarc.com
  • 10. DOMINIOS DE LA INFORMACIÓN CONFIDENCIALIDAD: Asegurar que la información es accesible sólo para aquellos autorizados a tener acceso. DISPONIBILIDAD: Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. INTEGRIDAD: Garantizar la exactitud y completitud de la información y los métodos de su proceso. www.ascendiarc.com
  • 11. OBJETO DE LAS ISO 27001 Y 27002 Tienen por objeto “proporcionar una base común para la elaboración de las normas de seguridad en las organizaciones, un método de gestión eficaz de la seguridad y establecer informes de confianza en las transacciones y las relaciones entre empresas”. El hecho de poseer un certificado ISO 27001 no prueba que la organización sea 100 % segura. La seguridad completa no existe a menos de una inactividad total. www.ascendiarc.com
  • 12. ISO 27001: ESTRUCTURA 1. OBJETO Y CAMPO DE APLICACIÓN ISO 27001 abarca todo tipo de organizaciones, y especifica los requisitos para la creación, implementación, operación, supervisión, revisión, mantenimiento y mejora de un SGSI. El SGSI se diseña con el fin de asegurar la selección de controles de seguridad, adecuados y proporcionados, que protejan los activos de información. 2. REFERENCIAS NORMATIVAS Es indispensable la utilización de la norma ISO / IEC 27002:2007 3. TÉRMINOS Y DEFINICIONES www.ascendiarc.com
  • 13. ISO 27001: ESTRUCTURA 4. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Cubre todos los aspectos que necesita un SGSI para su funcionamiento diario. El proceso utilizado se basa en el ciclo PDCA. REQUISITOS GENERALES.- obligación de creación de un sistema de gestión documentado con los procedimientos clave de la organización y los riesgos a que se enfrentan. ESTABLECIMIENTO Y ADMINISTRACIÓN DEL SGSI.- detalla las obligaciones de la organización para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI. REQUISITOS DE DOCUMENTACIÓN.- para asegurar que cualquier acción siempre es derivada de decisiones de la Dirección; los resultados registrados deben ser reproducibles. www.ascendiarc.com
  • 14. ISO 27001: ESTRUCTURA 5. RESPONSABILIDAD DE LA DIRECCIÓN Debe garantizarse por parte de la dirección que el compromiso con el SGSI el total. 6. AUDITORÍAS INTERNAS La organización realizará auditorías a intervalos planificados. 7. REVISIÓN DEL SGSI POR LA DIRECCIÓN Debe existir una revisión del SGSI por parte de la Dirección, al menos una vez al año, enfocada a asegurar que sigue siendo apropiado, adecuado y efectivo. 8. MEJORA DEL SGSI La organización mejora continuamente la efectividad. ANEXO A Objetivos de control y controles => ISO 27002:2007 www.ascendiarc.com
  • 15. ISO 27002 Es una guía de recomendaciones estructuradas, reconocida internacionalmente y dedicada a la SEGURIDAD DE LA INFORMACIÓN. Proporciona equilibrio entre la seguridad física, técnica, procedimientos y la seguridad ligada al personal que participa en la gestión de la información. Contiene un conjunto de controles dónde se identifican las mejores prácticas para la gestión de la seguridad de la información. No es un sistema que permite una certificación de la seguridad. Sólo 27001 (y sus derivados nacionales) ofrecen un esquema de certificación. www.ascendiarc.com
  • 16. ISO 27002: ESTRUCTURA Es un CÓDIGO DE BUENAS PRÁCTICAS y RECOMENDACIONES Se estructura en: > 11 dominios. > 39 objetivos de control -> resultados que se espera alcanzar mediante la implementación de los controles. > 133 controles -> prácticas, procedimientos o mecanismos que reducen el nivel de riesgo. www.ascendiarc.com
  • 17. ISO 27002: ESTRUCTURA A.5 POLÍTICA DE SEGURIDAD Dirigir y dar soporte a la gestión de la seguridad de la información > La Dirección debe definir una política que refleje las líneas directrices de la organización en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la organización. > La política se constituye en la base de todo el sistema de gestión de la seguridad de la información. > La Dirección debe apoyar visiblemente la seguridad de la información en la compañía. www.ascendiarc.com
  • 18. ISO 27002: ESTRUCTURA A.6 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN Gestionar la seguridad de la información dentro de la organización. Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que son accedidos por terceros > Debe diseñarse una estructura organizativa dentro de la compañía que defina las responsabilidades que en materia de seguridad tienen cada usuario o área de trabajo relacionada con los sistemas de información de cualquier forma. > Identificar los riesgos que están relacionados con terceros. > Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de seguridad no son exclusivamente técnicos. www.ascendiarc.com
  • 19. ISO 27002: ESTRUCTURA A.7 GESTIÓN DE ACTIVOS Mantener una protección adecuada sobre los activos de la organización. Asegurar un nivel de protección adecuado a los activos de información. > Debe definirse una clasificación de los activos relacionados con los sistemas de información, manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada activo el nivel de protección adecuado a su criticidad en la organización. www.ascendiarc.com
  • 20. ISO 27002: ESTRUCTURA A.8 SEGURIDAD LIGADA AL PERSONAL Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios. Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo. > Garantizar la seguridad de la información antes del empleo, durante el empleo, y a la terminación o cambio de empleo. > Las implicaciones del factor humano en la seguridad de la información son muy elevadas. > Todo el personal, tanto interno como externo a la organización, debe conocer tanto las líneas generales de la política de seguridad corporativa como las implicaciones de su trabajo en el mantenimiento de la seguridad global. > Diferentes relaciones con los sistemas de información: operador, guardia de seguridad, personal de servicios, etc. > Procesos de notificación de incidencias claros, ágiles y conocidos por todos. www.ascendiarc.com
  • 21. ISO 27002: ESTRUCTURA A.9 SEGURIDAD FÍSICA Y DEL ENTORNO Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización. Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización. Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información. > Las áreas de trabajo de la organización y sus activos deben ser clasificadas y protegidas en función de su criticidad, siempre de una forma adecuada y frente a cualquier riesgo factible de índole física (robo, inundación, incendio, etc.). www.ascendiarc.com
  • 22. ISO 27002: ESTRUCTURA A.10 GESTIÓN DE COMUNICACIONES Y OPERACIONES Asegurar el funcionamiento correcto y seguro de los recursos de procesamiento de la información. Implantar y mantener el nivel apropiado de seguridad de la información en la provisión del servicio, en consonancia con los acuerdos de provisión de servicios por terceros. Proteger la integridad del software y de la información. Mantener la integridad y disponibilidad e la información y de los recursos de tratamiento de la información. Asegurar la protección de la información en las redes y protección de la infraestructura de soporte. Evitar la revelación, modificación, retirada o destrucción no autorizada de los activos, y la interrupción de las actividades de la organización. Mantener la seguridad de la información y del software intercambiados dentro de una organización y con un tercero. Garantizar la seguridad de los servicios de comercio electrónico, y el uso seguro de los mismos. Detectar las actividades de procesamiento de la información no autorizadas. www.ascendiarc.com
  • 23. ISO 27002: ESTRUCTURA A.11 CONTROL DE ACCESO Controlar los accesos a la información. Evitar accesos no autorizados a los sistemas de información. Evitar el acceso de usuarios no autorizados. Evitar acceso no autorizados a información contenida en las aplicaciones. Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y teletrabajo. > Se deben establecer los controles de acceso adecuados para proteger los sistemas de información críticos para el negocio, a diferentes niveles: sistema operativo, aplicaciones, redes, etc. www.ascendiarc.com
  • 24. ISO 27002: ESTRUCTURA A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN Garantizar que la seguridad está integrada en los sistemas de información. Evitar errores, pérdidas, modificaciones no autorizadas o usos indebidos de la información en las aplicaciones. Proteger la confidencialidad, la autenticidad o la integridad de la información por medios criptográficos. Garantizar la seguridad en los archivos del sistema. Mantener la seguridad del software y de la información de las aplicaciones. Reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas. > Debe contemplarse la seguridad de la información en todas las etapas del ciclo de vida del software en una organización: especificación de requisitos, desarrollo, explotación, mantenimiento, etc. www.ascendiarc.com
  • 25. ISO 27002: ESTRUCTURA A.13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Asegurar que los eventos y debilidades de la seguridad de la información asociadas con los sistemas de información sean comunicados de tal manera que se tomen las acciones correctivas oportunamente. Verificar que se aplique un enfoque uniforme y efectivo a la gestión de la seguridad. > Los incidentes de seguridad deben reportarse a la Dirección tan pronto como sea posible. > Deben establecerse responsabilidades y procedimientos de gestión para asegurar una respuesta rápida, efectiva y ordenada a los incidentes. > Debe recogerse, retenerse y presentarse evidencias de conformidad con las reglas de prueba establecidas con la legislación pertinente en acciones de seguimiento contra una persona u organización. www.ascendiarc.com
  • 26. ISO 27002: ESTRUCTURA A.14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades de negocio y proteger los procesos críticos de fallos o desastres mayores y asegurar su oportuna reanudación. > Hay que desarrollar y mantener un proceso gestionado de continuidad de negocio en toda la organización. > Deben identificarse los eventos que pueden causar interrupciones a los procesos de negocio, junto con la probabilidad e impacto de tales interrupciones. > Sólo debe existir un marco de plan de continuidad de negocios para asegurar que todos los planes sean concordantes, para enfocar de modo uniforme los requerimientos y prevén criticar prioridades. > Los planes deberán probarse y actualizarse regularmente. www.ascendiarc.com
  • 27. ISO 27002: ESTRUCTURA A.15 CONFORMIDAD Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requerimiento de seguridad. Garantizar la alineación de los sistemas con la política de seguridad de la organización y con la normativa derivada de la misma. Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría de sistemas > Se debe identificar convenientemente la legislación aplicable a los sistemas de información corporativos, integrándola en el sistema de gestión de seguridad de la información de la entidad y garantizando su cumplimiento. >Se debe definir un plan de auditoría interna y ser ejecutado convenientemente, para garantizar la detección de desviaciones con respecto a la política de seguridad de la información. www.ascendiarc.com
  • 28. IMPLANTACIÓN DE UN SGSI BENEFICIOS DERIVADOS DE LA IMPLANTACIÓN DE UN SGSI > Competitividad > Confianza de terceros > Cumplimiento legal > Mejora de la Imagen > Reducción de riesgos > Demostración del uso de prácticas apropiadas : · empresas y organizaciones · cliente final · auditores · tribunales www.ascendiarc.com
  • 29. gracias por su atención www.ascendiarc.com www.ascendiarc.com