Iso 27001

ascêndia reingeniería + consultoría
ascêndia reingeniería + consultoríaConsultoría y Mejora de la Competitividad en ascêndia reingeniería + consultoría
www.ascendiarc.com
VENTAJAS COMPETITIVAS DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SEGÚN LA NORMA ISO / IEC 27001:2005 www.ascendiarc.com www.ascendiarc.com
ÍNDICE >INTRODUCCIÓN > SEGURIDAD DE LA INFORMACIÓN > OBJETIVOS DEL SGSI > ESTRUCTURA DE LA NORMA ISO 27001 > ESTRUCTURA DE LA NORMA ISO 27002 > FASES DE LA IMPLANTACIÓN DE UN SGSI www.ascendiarc.com
INTRODUCCIÓN ¿Qué es un Sistema de Gestión? SIMIL: ORQUESTA DE MÚSICA gestionar = dirigir ¿eficientemente? = ¿suena bien? conseguir los objetivos = alcanzar el éxito La orquesta suena bien si todos: Saben tocar bien Pueden tocar bien Quieren tocar bien Se alcanza el éxito www.ascendiarc.com
INTRODUCCIÓN La información es un activo vital para la continuidad y desarrollo de cualquier organización. Sin embargo no siempre se establecen las medidas oportunas para proteger información esencial. ¿Qué es un Sistema de Gestión de la Seguridad de la Información? • Conjunto de procesos, recursos, organización, formación e información que permiten alcanzar los objetivos planteados por la organización, minimizando el esfuerzo económico, desgaste personal, tiempos, etc. • Un sistema que permita salvaguardar la información y los sistemas de información y comunicación de la empresa. Un SGSI es el modo más eficaz de conseguir minimizar los riesgos y asegurar la continuidad de las actividades de la entidad. www.ascendiarc.com
ALCANCE DEL SGSI ¿Por qué escoger la norma ISO 27001:2005? De cara al exterior, mejora la imagen de rigor Único modelo internacionalmente reconocido para implantación de un SGSI Dotar al sistema de niveles aceptables de: Confidencialidad Integridad Disponibilidad www.ascendiarc.com
BENEFICIOS DEL SGSI Necesidad del implantación de un Sistema de Gestión Por la gran cantidad de datos generados Por la propia estructura organizativa del sistema (varios participantes) Por las ventajas derivadas de la ordenación y documentación de acciones y procesos Averías o cualquier imprevisto Cambios de personal Resultados tras la implantación Reducción de los riesgos a un nivel aceptable Garantizar la confidencialidad, integridad, disponibilidad y privacidad de la información Cumplir con las leyes y reglamentaciones previstas www.ascendiarc.com
SEGURIDAD DE LA INFORMACIÓN No hay que confundir SEGURIDAD INFORMÁTICA con SEGURIDAD DE LA INFORMACIÓN SEGURIDAD INFORMÁTICA Establece medidas encaminadas a proteger hardware, software y comunicaciones de los equipos informáticos. NO GESTIONA. Controla los aspectos: > físicos (instalaciones) > telecomunicaciones (protocolos seguros, encriptación, cortafuegos) > de acceso al sistema > copias de respaldo y recuperación > etc. www.ascendiarc.com
SEGURIDAD DE LA INFORMACIÓN No hay que confundir SEGURIDAD INFORMÁTICA con SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN Establece medidas encaminadas a proteger la información, independientemente del soporte en que se encuentre, contra cualquier amenaza. De este modo, estaremos en condiciones de asegurar la continuidad de la actividad de la entidad, minimizar el perjuicio que pudiera causar y maximizar el rendimiento del capital invertido. Se caracteriza por preservar las tres propiedades de la información: > CONFIDENCIALIDAD > INTEGRIDAD > DISPONIBILIDAD www.ascendiarc.com
DOMINIOS DE LA INFORMACIÓN CONFIDENCIALIDAD: Asegurar que la información es accesible sólo para aquellos autorizados a tener acceso. DISPONIBILIDAD: Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. INTEGRIDAD: Garantizar la exactitud y completitud de la información y los métodos de su proceso. www.ascendiarc.com
OBJETO DE LAS ISO 27001 Y 27002 Tienen por objeto “proporcionar una base común para la elaboración de las normas de seguridad en las organizaciones, un método de gestión eficaz de la seguridad y establecer informes de confianza en las transacciones y las relaciones entre empresas”. El hecho de poseer un certificado ISO 27001 no prueba que la organización sea 100 % segura. La seguridad completa no existe a menos de una inactividad total. www.ascendiarc.com
ISO 27001: ESTRUCTURA 1. OBJETO Y CAMPO DE APLICACIÓN ISO 27001 abarca todo tipo de organizaciones, y especifica los requisitos para la creación, implementación, operación, supervisión, revisión, mantenimiento y mejora de un SGSI. El SGSI se diseña con el fin de asegurar la selección de controles de seguridad, adecuados y proporcionados, que protejan los activos de información. 2. REFERENCIAS NORMATIVAS Es indispensable la utilización de la norma ISO / IEC 27002:2007 3. TÉRMINOS Y DEFINICIONES www.ascendiarc.com
ISO 27001: ESTRUCTURA 4. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Cubre todos los aspectos que necesita un SGSI para su funcionamiento diario. El proceso utilizado se basa en el ciclo PDCA. REQUISITOS GENERALES.- obligación de creación de un sistema de gestión documentado con los procedimientos clave de la organización y los riesgos a que se enfrentan. ESTABLECIMIENTO Y ADMINISTRACIÓN DEL SGSI.- detalla las obligaciones de la organización para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI. REQUISITOS DE DOCUMENTACIÓN.- para asegurar que cualquier acción siempre es derivada de decisiones de la Dirección; los resultados registrados deben ser reproducibles. www.ascendiarc.com
ISO 27001: ESTRUCTURA 5. RESPONSABILIDAD DE LA DIRECCIÓN Debe garantizarse por parte de la dirección que el compromiso con el SGSI el total. 6. AUDITORÍAS INTERNAS La organización realizará auditorías a intervalos planificados. 7. REVISIÓN DEL SGSI POR LA DIRECCIÓN Debe existir una revisión del SGSI por parte de la Dirección, al menos una vez al año, enfocada a asegurar que sigue siendo apropiado, adecuado y efectivo. 8. MEJORA DEL SGSI La organización mejora continuamente la efectividad. ANEXO A Objetivos de control y controles => ISO 27002:2007 www.ascendiarc.com
ISO 27002 Es una guía de recomendaciones estructuradas, reconocida internacionalmente y dedicada a la SEGURIDAD DE LA INFORMACIÓN. Proporciona equilibrio entre la seguridad física, técnica, procedimientos y la seguridad ligada al personal que participa en la gestión de la información. Contiene un conjunto de controles dónde se identifican las mejores prácticas para la gestión de la seguridad de la información. No es un sistema que permite una certificación de la seguridad. Sólo 27001 (y sus derivados nacionales) ofrecen un esquema de certificación. www.ascendiarc.com
ISO 27002: ESTRUCTURA Es un CÓDIGO DE BUENAS PRÁCTICAS y RECOMENDACIONES Se estructura en: > 11 dominios. > 39 objetivos de control -> resultados que se espera alcanzar mediante la implementación de los controles. > 133 controles -> prácticas, procedimientos o mecanismos que reducen el nivel de riesgo. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.5 POLÍTICA DE SEGURIDAD Dirigir y dar soporte a la gestión de la seguridad de la información > La Dirección debe definir una política que refleje las líneas directrices de la organización en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la organización. > La política se constituye en la base de todo el sistema de gestión de la seguridad de la información. > La Dirección debe apoyar visiblemente la seguridad de la información en la compañía. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.6 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN Gestionar la seguridad de la información dentro de la organización. Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que son accedidos por terceros > Debe diseñarse una estructura organizativa dentro de la compañía que defina las responsabilidades que en materia de seguridad tienen cada usuario o área de trabajo relacionada con los sistemas de información de cualquier forma. > Identificar los riesgos que están relacionados con terceros. > Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de seguridad no son exclusivamente técnicos. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.7 GESTIÓN DE ACTIVOS Mantener una protección adecuada sobre los activos de la organización. Asegurar un nivel de protección adecuado a los activos de información. > Debe definirse una clasificación de los activos relacionados con los sistemas de información, manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada activo el nivel de protección adecuado a su criticidad en la organización. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.8 SEGURIDAD LIGADA AL PERSONAL Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios. Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo. > Garantizar la seguridad de la información antes del empleo, durante el empleo, y a la terminación o cambio de empleo. > Las implicaciones del factor humano en la seguridad de la información son muy elevadas. > Todo el personal, tanto interno como externo a la organización, debe conocer tanto las líneas generales de la política de seguridad corporativa como las implicaciones de su trabajo en el mantenimiento de la seguridad global. > Diferentes relaciones con los sistemas de información: operador, guardia de seguridad, personal de servicios, etc. > Procesos de notificación de incidencias claros, ágiles y conocidos por todos. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.9 SEGURIDAD FÍSICA Y DEL ENTORNO Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización. Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización. Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información. > Las áreas de trabajo de la organización y sus activos deben ser clasificadas y protegidas en función de su criticidad, siempre de una forma adecuada y frente a cualquier riesgo factible de índole física (robo, inundación, incendio, etc.). www.ascendiarc.com
ISO 27002: ESTRUCTURA A.10 GESTIÓN DE COMUNICACIONES Y OPERACIONES Asegurar el funcionamiento correcto y seguro de los recursos de procesamiento de la información. Implantar y mantener el nivel apropiado de seguridad de la información en la provisión del servicio, en consonancia con los acuerdos de provisión de servicios por terceros. Proteger la integridad del software y de la información. Mantener la integridad y disponibilidad e la información y de los recursos de tratamiento de la información. Asegurar la protección de la información en las redes y protección de la infraestructura de soporte. Evitar la revelación, modificación, retirada o destrucción no autorizada de los activos, y la interrupción de las actividades de la organización. Mantener la seguridad de la información y del software intercambiados dentro de una organización y con un tercero. Garantizar la seguridad de los servicios de comercio electrónico, y el uso seguro de los mismos. Detectar las actividades de procesamiento de la información no autorizadas. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.11 CONTROL DE ACCESO Controlar los accesos a la información. Evitar accesos no autorizados a los sistemas de información. Evitar el acceso de usuarios no autorizados. Evitar acceso no autorizados a información contenida en las aplicaciones. Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y teletrabajo. > Se deben establecer los controles de acceso adecuados para proteger los sistemas de información críticos para el negocio, a diferentes niveles: sistema operativo, aplicaciones, redes, etc. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN Garantizar que la seguridad está integrada en los sistemas de información. Evitar errores, pérdidas, modificaciones no autorizadas o usos indebidos de la información en las aplicaciones. Proteger la confidencialidad, la autenticidad o la integridad de la información por medios criptográficos. Garantizar la seguridad en los archivos del sistema. Mantener la seguridad del software y de la información de las aplicaciones. Reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas. > Debe contemplarse la seguridad de la información en todas las etapas del ciclo de vida del software en una organización: especificación de requisitos, desarrollo, explotación, mantenimiento, etc. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Asegurar que los eventos y debilidades de la seguridad de la información asociadas con los sistemas de información sean comunicados de tal manera que se tomen las acciones correctivas oportunamente. Verificar que se aplique un enfoque uniforme y efectivo a la gestión de la seguridad. > Los incidentes de seguridad deben reportarse a la Dirección tan pronto como sea posible. > Deben establecerse responsabilidades y procedimientos de gestión para asegurar una respuesta rápida, efectiva y ordenada a los incidentes. > Debe recogerse, retenerse y presentarse evidencias de conformidad con las reglas de prueba establecidas con la legislación pertinente en acciones de seguimiento contra una persona u organización. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades de negocio y proteger los procesos críticos de fallos o desastres mayores y asegurar su oportuna reanudación. > Hay que desarrollar y mantener un proceso gestionado de continuidad de negocio en toda la organización. > Deben identificarse los eventos que pueden causar interrupciones a los procesos de negocio, junto con la probabilidad e impacto de tales interrupciones. > Sólo debe existir un marco de plan de continuidad de negocios para asegurar que todos los planes sean concordantes, para enfocar de modo uniforme los requerimientos y prevén criticar prioridades. > Los planes deberán probarse y actualizarse regularmente. www.ascendiarc.com
ISO 27002: ESTRUCTURA A.15 CONFORMIDAD Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requerimiento de seguridad. Garantizar la alineación de los sistemas con la política de seguridad de la organización y con la normativa derivada de la misma. Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría de sistemas > Se debe identificar convenientemente la legislación aplicable a los sistemas de información corporativos, integrándola en el sistema de gestión de seguridad de la información de la entidad y garantizando su cumplimiento. >Se debe definir un plan de auditoría interna y ser ejecutado convenientemente, para garantizar la detección de desviaciones con respecto a la política de seguridad de la información. www.ascendiarc.com
IMPLANTACIÓN DE UN SGSI BENEFICIOS DERIVADOS DE LA IMPLANTACIÓN DE UN SGSI > Competitividad > Confianza de terceros > Cumplimiento legal > Mejora de la Imagen > Reducción de riesgos > Demostración del uso de prácticas apropiadas : · empresas y organizaciones · cliente final · auditores · tribunales www.ascendiarc.com
gracias por su atención www.ascendiarc.com www.ascendiarc.com
1 de 29

Iso 27001

Descargar para leer sin conexión
Educación
ascêndia reingeniería + consultoría
ascêndia reingeniería + consultoríaConsultoría y Mejora de la Competitividad en ascêndia reingeniería + consultoría

Recomendados

Iso 27000 estandarIso 27000 estandar
Iso 27000 estandarMaria Villalba
15.4K vistas41 diapositivas
Presentacion SGSIPresentacion SGSI
Presentacion SGSIGLORIA VIVEROS
1.4K vistas13 diapositivas
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013Marvin Zumbado
2.7K vistas24 diapositivas
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
13.4K vistas9 diapositivas
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
5.6K vistas147 diapositivas
Iso 27005-espanolIso 27005-espanol
Iso 27005-espanolDaniel Arevalo
7.5K vistas96 diapositivas

Más contenido relacionado

La actualidad más candente

Iso 27001Iso 27001
Iso 27001Eurohelp Consulting
1.9K vistas30 diapositivas
Sgsi presentacionSgsi presentacion
Sgsi presentacionDenis Rauda
155 vistas16 diapositivas

La actualidad más candente(20)

Norma iso 17799Norma iso 17799
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento9.8K vistas
Iso 27001Iso 27001
Iso 27001
Eurohelp Consulting1.9K vistas
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
Jaime Andrés Bello Vieda10.7K vistas
Sgsi presentacionSgsi presentacion
Sgsi presentacion
Denis Rauda155 vistas
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
Iestp Instituto Superior 20.3K vistas
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
Luis Fernando Aguas Bucheli718 vistas
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos
Carlos Guerrero2.1K vistas
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
marojaspe3.2K vistas
Iso 27000Iso 27000
Iso 27000
julianabh24.9K vistas
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez7.5K vistas
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor9.2K vistas
Iso 17799 (2)Iso 17799 (2)
Iso 17799 (2)
Yadi De La Cruz2K vistas
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
Maria Jose Buigues3.7K vistas
Iso27000 bernardo martinezIso27000 bernardo martinez
Iso27000 bernardo martinez
BernaMartinez912 vistas
NistNist
Nist
Yessica B. Leyva Avalos7.9K vistas
gestion-de-riesgos-iso-27005-completo_compress.pdfgestion-de-riesgos-iso-27005-completo_compress.pdf
gestion-de-riesgos-iso-27005-completo_compress.pdf
carlosandres865046265 vistas
ISO 27000ISO 27000
ISO 27000
Luis R Castellanos14.5K vistas
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informática
personal19.9K vistas
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BASeminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Seminario ISO 27001 - 09 Septiembre 2014 en UTN BA
Gestión de la Calidad de UTN BA3.2K vistas
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
Isaias Rubina Miranda1.1K vistas

Destacado

Curso SGSICurso SGSI
Curso SGSIJosé María Apellidos
7.2K vistas84 diapositivas
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Yango Alexander Colmenares
8.1K vistas20 diapositivas

Destacado(20)

Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
Alexander Calderón9.7K vistas
Curso SGSICurso SGSI
Curso SGSI
José María Apellidos7.2K vistas
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Yango Alexander Colmenares8.1K vistas
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Gonzalo de la Pedraja4.4K vistas
Estándares internacionales de seguridad informática Estándares internacionales de seguridad informática
Estándares internacionales de seguridad informática
Jöse Manüel635 vistas
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
IT360.es La Auditoria de certificación ISO 27001 - Toni Martín Ávila
Toni Martin Avila2.8K vistas
Iso 27001-2005-espanolIso 27001-2005-espanol
Iso 27001-2005-espanol
BartOc31.1K vistas
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurity
Securinf.com Seguridad Informatica - Tecnoweb2.com2.5K vistas
Guia iso 27001Guia iso 27001
Guia iso 27001
José María Apellidos1.2K vistas
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002
ITsencial1.2K vistas
Certificacion iso17799 iso 27001 1Certificacion iso17799 iso 27001 1
Certificacion iso17799 iso 27001 1
Securinf.com Seguridad Informatica - Tecnoweb2.com1.3K vistas
Protección de Activos CríticosProtección de Activos Críticos
Protección de Activos Críticos
Guillermo García Granda1.3K vistas
Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...
Dr. Diego Navarro Bonilla - Gestión de Información para la Seguridad y Defens...
ARGENACO576 vistas
La importancia de los procesos de seguridad de la información: ventajas y efi...La importancia de los procesos de seguridad de la información: ventajas y efi...
La importancia de los procesos de seguridad de la información: ventajas y efi...
Foro Global Crossing3.7K vistas
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
Angel Ricardo Marchan Collazos2.8K vistas
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
seguinfo20122.4K vistas
Gestión de la Seguridad con la ISO/IEC 27001Gestión de la Seguridad con la ISO/IEC 27001
Gestión de la Seguridad con la ISO/IEC 27001
Ramiro Cid9.8K vistas
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
Horacio Veramendi3.1K vistas
Caso: Implementando CGSI en Instituciones Estatales, por Roberto PuyóCaso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
Foro Global Crossing2K vistas
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Jack Daniel Cáceres Meza720 vistas

Similar a Iso 27001

ISO 27001 - IngertecISO 27001 - Ingertec
ISO 27001 - IngertecGrupo Ingertec
38 vistas10 diapositivas

Similar a Iso 27001(20)

Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redes
jhovanyfernando324 vistas
Ciclo de vida de laseguridad en las redesCiclo de vida de laseguridad en las redes
Ciclo de vida de laseguridad en las redes
jhovanyfernando390 vistas
Estándares Internacionales de seguridad informáticaEstándares Internacionales de seguridad informática
Estándares Internacionales de seguridad informática
Pedro Cobarrubias311 vistas
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
Pedro Cobarrubias22.9K vistas
ISO 27001 - IngertecISO 27001 - Ingertec
ISO 27001 - Ingertec
Grupo Ingertec 38 vistas
Intituto tecnologico superior particularIntituto tecnologico superior particular
Intituto tecnologico superior particular
xavier cruz33 vistas
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
Johan Retos373 vistas
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
Yadi De La Cruz867 vistas
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSIISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
ISO BASADOS EN SISTEMAS INFORMÁTICOS Y SGSI
UCC18.2K vistas
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine212 vistas
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine304 vistas
Normas iso 27001 27002 paola enríquez 9 c1Normas iso 27001 27002 paola enríquez 9 c1
Normas iso 27001 27002 paola enríquez 9 c1
paokatherine378 vistas
NORMAS ISO NORMAS ISO
NORMAS ISO
paokatherine485 vistas
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informatica
Gabriela24092.9K vistas
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
danny yunga37 vistas
Iso 27001Iso 27001
Iso 27001
karen figueroa hrderera619 vistas
Iso 27001Iso 27001
Iso 27001
karen figueroa hrderera267 vistas
I S O 27001I S O 27001
I S O 27001
karen figueroa hrderera453 vistas
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
Sistema de Gestión de la Seguridad de la Información. ISO/IEC 27001:2005
ascêndia reingeniería + consultoría2.7K vistas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
Seguridad de la Información ISO 27000, LOPD y su integración con otras normas
pocketbox1.2K vistas

Más de ascêndia reingeniería + consultoría

Más de ascêndia reingeniería + consultoría(20)

Ayudas para la elaboración de protocolos familiaresAyudas para la elaboración de protocolos familiares
Ayudas para la elaboración de protocolos familiares
ascêndia reingeniería + consultoría857 vistas
El protocolo familiar como herramienta estratégica en la empresa familiarEl protocolo familiar como herramienta estratégica en la empresa familiar
El protocolo familiar como herramienta estratégica en la empresa familiar
ascêndia reingeniería + consultoría2.6K vistas
Crisis y empresa familiar ¿cómo enfrentar la evoluciónCrisis y empresa familiar ¿cómo enfrentar la evolución
Crisis y empresa familiar ¿cómo enfrentar la evolución
ascêndia reingeniería + consultoría676 vistas
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
ascêndia reingeniería + consultoría13K vistas
Gestión de fondos de archivos en empresasGestión de fondos de archivos en empresas
Gestión de fondos de archivos en empresas
ascêndia reingeniería + consultoría581 vistas
Lopd iso 27001 como elementos de valorLopd iso 27001 como elementos de valor
Lopd iso 27001 como elementos de valor
ascêndia reingeniería + consultoría636 vistas
La Protección de Datos en las Escuelas de IdiomasLa Protección de Datos en las Escuelas de Idiomas
La Protección de Datos en las Escuelas de Idiomas
ascêndia reingeniería + consultoría622 vistas
ISO 20000. GESTIÓN DE SERVICIOS TIISO 20000. GESTIÓN DE SERVICIOS TI
ISO 20000. GESTIÓN DE SERVICIOS TI
ascêndia reingeniería + consultoría3K vistas
Primer caso de éxito en Andalucía de Implantación de la norma UNE 158301Primer caso de éxito en Andalucía de Implantación de la norma UNE 158301
Primer caso de éxito en Andalucía de Implantación de la norma UNE 158301
ascêndia reingeniería + consultoría444 vistas
Presentación sad 2 de diciembrePresentación sad 2 de diciembre
Presentación sad 2 de diciembre
ascêndia reingeniería + consultoría396 vistas
Bonificaciones en las cuotas de la Seguridad Social para el personal investig...Bonificaciones en las cuotas de la Seguridad Social para el personal investig...
Bonificaciones en las cuotas de la Seguridad Social para el personal investig...
ascêndia reingeniería + consultoría3 vistas
Bonificaciones en las cuotas de la Seguridad Social para el personal investig...Bonificaciones en las cuotas de la Seguridad Social para el personal investig...
Bonificaciones en las cuotas de la Seguridad Social para el personal investig...
ascêndia reingeniería + consultoría604 vistas
Deducciones fiscalesDeducciones fiscales
Deducciones fiscales
ascêndia reingeniería + consultoría438 vistas
gestigesti
gesti
ascêndia reingeniería + consultoría489 vistas
ISO/IEC 20000ISO/IEC 20000
ISO/IEC 20000
ascêndia reingeniería + consultoría4.2K vistas
CMMICMMI
CMMI
ascêndia reingeniería + consultoría2.9K vistas
Dossier empresa ascêndia reingeniería + consultoríaDossier empresa ascêndia reingeniería + consultoría
Dossier empresa ascêndia reingeniería + consultoría
ascêndia reingeniería + consultoría1.5K vistas
Planes estratégicosPlanes estratégicos
Planes estratégicos
ascêndia reingeniería + consultoría520 vistas
Ahorro de costesAhorro de costes
Ahorro de costes
ascêndia reingeniería + consultoría2K vistas
Planes de igualdadPlanes de igualdad
Planes de igualdad
ascêndia reingeniería + consultoría999 vistas

Último

Semana 3.pdfSemana 3.pdf
Semana 3.pdfValdezsalvadorMayleM
53 vistas7 diapositivas

Último(20)

Semana 3.pdfSemana 3.pdf
Semana 3.pdf
ValdezsalvadorMayleM53 vistas
Misión en favor de los necesitados.pdfMisión en favor de los necesitados.pdf
Misión en favor de los necesitados.pdf
Alejandrino Halire Ccahuana56 vistas
Teoria y Practica de Mercado 2023.docxTeoria y Practica de Mercado 2023.docx
Teoria y Practica de Mercado 2023.docx
Maribel Cordero45 vistas
PRUEBAS LIBRES CC2 Y 3.pdfPRUEBAS LIBRES CC2 Y 3.pdf
PRUEBAS LIBRES CC2 Y 3.pdf
itedaepanavalvillard47 vistas
Contenidos y PDA 1°.docxContenidos y PDA 1°.docx
Contenidos y PDA 1°.docx
Norberto Millán Muñoz47 vistas
Misión en favor de los necesitadosMisión en favor de los necesitados
Misión en favor de los necesitados
https://gramadal.wordpress.com/213 vistas
Contrato de aprendizaje y evaluación Contrato de aprendizaje y evaluación
Contrato de aprendizaje y evaluación
LauraJuarez8731 vistas
2023 - Cuarto Encuentro - Sociedad y Videojuegos 2023 - Cuarto Encuentro - Sociedad y Videojuegos
2023 - Cuarto Encuentro - Sociedad y Videojuegos
Maestría en Comunicación Digital Interactiva - UNR84 vistas
Norma de Evaluacion de Educacion Secundaria LSB-2023 Ccesa007.pdfNorma de Evaluacion de Educacion Secundaria LSB-2023 Ccesa007.pdf
Norma de Evaluacion de Educacion Secundaria LSB-2023 Ccesa007.pdf
Demetrio Ccesa Rayme236 vistas
CCESA-Informe de Sistematizacion del Monitoreo de Secundaria MAP1 Ccesa007.pdfCCESA-Informe de Sistematizacion del Monitoreo de Secundaria MAP1 Ccesa007.pdf
CCESA-Informe de Sistematizacion del Monitoreo de Secundaria MAP1 Ccesa007.pdf
Demetrio Ccesa Rayme233 vistas
semana 2semana 2
semana 2
ValdezsalvadorMayleM62 vistas
Recreos musicales.pdfRecreos musicales.pdf
Recreos musicales.pdf
arribaletur108 vistas
Tema 7. Riesgos internos (1a parte).pdfTema 7. Riesgos internos (1a parte).pdf
Tema 7. Riesgos internos (1a parte).pdf
IES Vicent Andres Estelles48 vistas
Narrar historias a través de mapas digitales: Story Maps. El proyecto BIOMAPSNarrar historias a través de mapas digitales: Story Maps. El proyecto BIOMAPS
Narrar historias a través de mapas digitales: Story Maps. El proyecto BIOMAPS
Isaac Buzo173 vistas
Sistemas Microcontrolados-Unidad1-Tema1.pdfSistemas Microcontrolados-Unidad1-Tema1.pdf
Sistemas Microcontrolados-Unidad1-Tema1.pdf
MarianaAucancela31 vistas
semana 2 .pdfsemana 2 .pdf
semana 2 .pdf
ValdezsalvadorMayleM40 vistas
DESERCIÓN ESCOLAR.pptxDESERCIÓN ESCOLAR.pptx
DESERCIÓN ESCOLAR.pptx
recwebleta27 vistas
Infografia María Fuenmayor S _20231126_070624_0000.pdfInfografia María Fuenmayor S _20231126_070624_0000.pdf
Infografia María Fuenmayor S _20231126_070624_0000.pdf
mariafuenmayor2025 vistas
Infografia Planificación didactica por Maria Marquez .pdfInfografia Planificación didactica por Maria Marquez .pdf
Infografia Planificación didactica por Maria Marquez .pdf
marialauramarquez325 vistas
Listado de Inscriptos al Curso de Nivelación de Lengua Castellana - Nov. Dici...Listado de Inscriptos al Curso de Nivelación de Lengua Castellana - Nov. Dici...
Listado de Inscriptos al Curso de Nivelación de Lengua Castellana - Nov. Dici...
decoed2.2K vistas

Iso 27001

  • 2. VENTAJAS COMPETITIVAS DE UN SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN SEGÚN LA NORMA ISO / IEC 27001:2005 www.ascendiarc.com www.ascendiarc.com
  • 3. ÍNDICE >INTRODUCCIÓN > SEGURIDAD DE LA INFORMACIÓN > OBJETIVOS DEL SGSI > ESTRUCTURA DE LA NORMA ISO 27001 > ESTRUCTURA DE LA NORMA ISO 27002 > FASES DE LA IMPLANTACIÓN DE UN SGSI www.ascendiarc.com
  • 4. INTRODUCCIÓN ¿Qué es un Sistema de Gestión? SIMIL: ORQUESTA DE MÚSICA gestionar = dirigir ¿eficientemente? = ¿suena bien? conseguir los objetivos = alcanzar el éxito La orquesta suena bien si todos: Saben tocar bien Pueden tocar bien Quieren tocar bien Se alcanza el éxito www.ascendiarc.com
  • 5. INTRODUCCIÓN La información es un activo vital para la continuidad y desarrollo de cualquier organización. Sin embargo no siempre se establecen las medidas oportunas para proteger información esencial. ¿Qué es un Sistema de Gestión de la Seguridad de la Información? • Conjunto de procesos, recursos, organización, formación e información que permiten alcanzar los objetivos planteados por la organización, minimizando el esfuerzo económico, desgaste personal, tiempos, etc. • Un sistema que permita salvaguardar la información y los sistemas de información y comunicación de la empresa. Un SGSI es el modo más eficaz de conseguir minimizar los riesgos y asegurar la continuidad de las actividades de la entidad. www.ascendiarc.com
  • 6. ALCANCE DEL SGSI ¿Por qué escoger la norma ISO 27001:2005? De cara al exterior, mejora la imagen de rigor Único modelo internacionalmente reconocido para implantación de un SGSI Dotar al sistema de niveles aceptables de: Confidencialidad Integridad Disponibilidad www.ascendiarc.com
  • 7. BENEFICIOS DEL SGSI Necesidad del implantación de un Sistema de Gestión Por la gran cantidad de datos generados Por la propia estructura organizativa del sistema (varios participantes) Por las ventajas derivadas de la ordenación y documentación de acciones y procesos Averías o cualquier imprevisto Cambios de personal Resultados tras la implantación Reducción de los riesgos a un nivel aceptable Garantizar la confidencialidad, integridad, disponibilidad y privacidad de la información Cumplir con las leyes y reglamentaciones previstas www.ascendiarc.com
  • 8. SEGURIDAD DE LA INFORMACIÓN No hay que confundir SEGURIDAD INFORMÁTICA con SEGURIDAD DE LA INFORMACIÓN SEGURIDAD INFORMÁTICA Establece medidas encaminadas a proteger hardware, software y comunicaciones de los equipos informáticos. NO GESTIONA. Controla los aspectos: > físicos (instalaciones) > telecomunicaciones (protocolos seguros, encriptación, cortafuegos) > de acceso al sistema > copias de respaldo y recuperación > etc. www.ascendiarc.com
  • 9. SEGURIDAD DE LA INFORMACIÓN No hay que confundir SEGURIDAD INFORMÁTICA con SEGURIDAD DE LA INFORMACIÓN SEGURIDAD DE LA INFORMACIÓN Establece medidas encaminadas a proteger la información, independientemente del soporte en que se encuentre, contra cualquier amenaza. De este modo, estaremos en condiciones de asegurar la continuidad de la actividad de la entidad, minimizar el perjuicio que pudiera causar y maximizar el rendimiento del capital invertido. Se caracteriza por preservar las tres propiedades de la información: > CONFIDENCIALIDAD > INTEGRIDAD > DISPONIBILIDAD www.ascendiarc.com
  • 10. DOMINIOS DE LA INFORMACIÓN CONFIDENCIALIDAD: Asegurar que la información es accesible sólo para aquellos autorizados a tener acceso. DISPONIBILIDAD: Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. INTEGRIDAD: Garantizar la exactitud y completitud de la información y los métodos de su proceso. www.ascendiarc.com
  • 11. OBJETO DE LAS ISO 27001 Y 27002 Tienen por objeto “proporcionar una base común para la elaboración de las normas de seguridad en las organizaciones, un método de gestión eficaz de la seguridad y establecer informes de confianza en las transacciones y las relaciones entre empresas”. El hecho de poseer un certificado ISO 27001 no prueba que la organización sea 100 % segura. La seguridad completa no existe a menos de una inactividad total. www.ascendiarc.com
  • 12. ISO 27001: ESTRUCTURA 1. OBJETO Y CAMPO DE APLICACIÓN ISO 27001 abarca todo tipo de organizaciones, y especifica los requisitos para la creación, implementación, operación, supervisión, revisión, mantenimiento y mejora de un SGSI. El SGSI se diseña con el fin de asegurar la selección de controles de seguridad, adecuados y proporcionados, que protejan los activos de información. 2. REFERENCIAS NORMATIVAS Es indispensable la utilización de la norma ISO / IEC 27002:2007 3. TÉRMINOS Y DEFINICIONES www.ascendiarc.com
  • 13. ISO 27001: ESTRUCTURA 4. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Cubre todos los aspectos que necesita un SGSI para su funcionamiento diario. El proceso utilizado se basa en el ciclo PDCA. REQUISITOS GENERALES.- obligación de creación de un sistema de gestión documentado con los procedimientos clave de la organización y los riesgos a que se enfrentan. ESTABLECIMIENTO Y ADMINISTRACIÓN DEL SGSI.- detalla las obligaciones de la organización para establecer, implementar, operar, monitorizar, revisar, mantener y mejorar el SGSI. REQUISITOS DE DOCUMENTACIÓN.- para asegurar que cualquier acción siempre es derivada de decisiones de la Dirección; los resultados registrados deben ser reproducibles. www.ascendiarc.com
  • 14. ISO 27001: ESTRUCTURA 5. RESPONSABILIDAD DE LA DIRECCIÓN Debe garantizarse por parte de la dirección que el compromiso con el SGSI el total. 6. AUDITORÍAS INTERNAS La organización realizará auditorías a intervalos planificados. 7. REVISIÓN DEL SGSI POR LA DIRECCIÓN Debe existir una revisión del SGSI por parte de la Dirección, al menos una vez al año, enfocada a asegurar que sigue siendo apropiado, adecuado y efectivo. 8. MEJORA DEL SGSI La organización mejora continuamente la efectividad. ANEXO A Objetivos de control y controles => ISO 27002:2007 www.ascendiarc.com
  • 15. ISO 27002 Es una guía de recomendaciones estructuradas, reconocida internacionalmente y dedicada a la SEGURIDAD DE LA INFORMACIÓN. Proporciona equilibrio entre la seguridad física, técnica, procedimientos y la seguridad ligada al personal que participa en la gestión de la información. Contiene un conjunto de controles dónde se identifican las mejores prácticas para la gestión de la seguridad de la información. No es un sistema que permite una certificación de la seguridad. Sólo 27001 (y sus derivados nacionales) ofrecen un esquema de certificación. www.ascendiarc.com
  • 16. ISO 27002: ESTRUCTURA Es un CÓDIGO DE BUENAS PRÁCTICAS y RECOMENDACIONES Se estructura en: > 11 dominios. > 39 objetivos de control -> resultados que se espera alcanzar mediante la implementación de los controles. > 133 controles -> prácticas, procedimientos o mecanismos que reducen el nivel de riesgo. www.ascendiarc.com
  • 17. ISO 27002: ESTRUCTURA A.5 POLÍTICA DE SEGURIDAD Dirigir y dar soporte a la gestión de la seguridad de la información > La Dirección debe definir una política que refleje las líneas directrices de la organización en materia de seguridad, aprobarla y publicitarla de la forma adecuada a todo el personal implicado en la seguridad de la organización. > La política se constituye en la base de todo el sistema de gestión de la seguridad de la información. > La Dirección debe apoyar visiblemente la seguridad de la información en la compañía. www.ascendiarc.com
  • 18. ISO 27002: ESTRUCTURA A.6 ASPECTOS ORGANIZATIVOS DE LA SEGURIDAD DE LA INFORMACIÓN Gestionar la seguridad de la información dentro de la organización. Mantener la seguridad de los recursos de tratamiento de la información y de los activos de información de la organización que son accedidos por terceros > Debe diseñarse una estructura organizativa dentro de la compañía que defina las responsabilidades que en materia de seguridad tienen cada usuario o área de trabajo relacionada con los sistemas de información de cualquier forma. > Identificar los riesgos que están relacionados con terceros. > Dicha estructura debe poseer un enfoque multidisciplinar: los problemas de seguridad no son exclusivamente técnicos. www.ascendiarc.com
  • 19. ISO 27002: ESTRUCTURA A.7 GESTIÓN DE ACTIVOS Mantener una protección adecuada sobre los activos de la organización. Asegurar un nivel de protección adecuado a los activos de información. > Debe definirse una clasificación de los activos relacionados con los sistemas de información, manteniendo un inventario actualizado que registre estos datos, y proporcionando a cada activo el nivel de protección adecuado a su criticidad en la organización. www.ascendiarc.com
  • 20. ISO 27002: ESTRUCTURA A.8 SEGURIDAD LIGADA AL PERSONAL Reducir los riesgos de errores humanos, robos, fraudes o mal uso de las instalaciones y los servicios. Asegurar que los usuarios son conscientes de las amenazas y riesgos en el ámbito de la seguridad de la información, y que están preparados para sostener la política de seguridad de la organización en el curso normal de su trabajo. > Garantizar la seguridad de la información antes del empleo, durante el empleo, y a la terminación o cambio de empleo. > Las implicaciones del factor humano en la seguridad de la información son muy elevadas. > Todo el personal, tanto interno como externo a la organización, debe conocer tanto las líneas generales de la política de seguridad corporativa como las implicaciones de su trabajo en el mantenimiento de la seguridad global. > Diferentes relaciones con los sistemas de información: operador, guardia de seguridad, personal de servicios, etc. > Procesos de notificación de incidencias claros, ágiles y conocidos por todos. www.ascendiarc.com
  • 21. ISO 27002: ESTRUCTURA A.9 SEGURIDAD FÍSICA Y DEL ENTORNO Evitar accesos no autorizados, daños e interferencias contra los locales y la información de la organización. Evitar pérdidas, daños o comprometer los activos así como la interrupción de las actividades de la organización. Prevenir las exposiciones a riesgo o robos de información y de recursos de tratamiento de información. > Las áreas de trabajo de la organización y sus activos deben ser clasificadas y protegidas en función de su criticidad, siempre de una forma adecuada y frente a cualquier riesgo factible de índole física (robo, inundación, incendio, etc.). www.ascendiarc.com
  • 22. ISO 27002: ESTRUCTURA A.10 GESTIÓN DE COMUNICACIONES Y OPERACIONES Asegurar el funcionamiento correcto y seguro de los recursos de procesamiento de la información. Implantar y mantener el nivel apropiado de seguridad de la información en la provisión del servicio, en consonancia con los acuerdos de provisión de servicios por terceros. Proteger la integridad del software y de la información. Mantener la integridad y disponibilidad e la información y de los recursos de tratamiento de la información. Asegurar la protección de la información en las redes y protección de la infraestructura de soporte. Evitar la revelación, modificación, retirada o destrucción no autorizada de los activos, y la interrupción de las actividades de la organización. Mantener la seguridad de la información y del software intercambiados dentro de una organización y con un tercero. Garantizar la seguridad de los servicios de comercio electrónico, y el uso seguro de los mismos. Detectar las actividades de procesamiento de la información no autorizadas. www.ascendiarc.com
  • 23. ISO 27002: ESTRUCTURA A.11 CONTROL DE ACCESO Controlar los accesos a la información. Evitar accesos no autorizados a los sistemas de información. Evitar el acceso de usuarios no autorizados. Evitar acceso no autorizados a información contenida en las aplicaciones. Garantizar la seguridad de la información cuando se usan dispositivos de informática móvil y teletrabajo. > Se deben establecer los controles de acceso adecuados para proteger los sistemas de información críticos para el negocio, a diferentes niveles: sistema operativo, aplicaciones, redes, etc. www.ascendiarc.com
  • 24. ISO 27002: ESTRUCTURA A.12 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACIÓN Garantizar que la seguridad está integrada en los sistemas de información. Evitar errores, pérdidas, modificaciones no autorizadas o usos indebidos de la información en las aplicaciones. Proteger la confidencialidad, la autenticidad o la integridad de la información por medios criptográficos. Garantizar la seguridad en los archivos del sistema. Mantener la seguridad del software y de la información de las aplicaciones. Reducir los riesgos resultantes de la explotación de las vulnerabilidades técnicas publicadas. > Debe contemplarse la seguridad de la información en todas las etapas del ciclo de vida del software en una organización: especificación de requisitos, desarrollo, explotación, mantenimiento, etc. www.ascendiarc.com
  • 25. ISO 27002: ESTRUCTURA A.13 GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN Asegurar que los eventos y debilidades de la seguridad de la información asociadas con los sistemas de información sean comunicados de tal manera que se tomen las acciones correctivas oportunamente. Verificar que se aplique un enfoque uniforme y efectivo a la gestión de la seguridad. > Los incidentes de seguridad deben reportarse a la Dirección tan pronto como sea posible. > Deben establecerse responsabilidades y procedimientos de gestión para asegurar una respuesta rápida, efectiva y ordenada a los incidentes. > Debe recogerse, retenerse y presentarse evidencias de conformidad con las reglas de prueba establecidas con la legislación pertinente en acciones de seguimiento contra una persona u organización. www.ascendiarc.com
  • 26. ISO 27002: ESTRUCTURA A.14 GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Contrarrestar las interrupciones de las actividades de negocio y proteger los procesos críticos de fallos o desastres mayores y asegurar su oportuna reanudación. > Hay que desarrollar y mantener un proceso gestionado de continuidad de negocio en toda la organización. > Deben identificarse los eventos que pueden causar interrupciones a los procesos de negocio, junto con la probabilidad e impacto de tales interrupciones. > Sólo debe existir un marco de plan de continuidad de negocios para asegurar que todos los planes sean concordantes, para enfocar de modo uniforme los requerimientos y prevén criticar prioridades. > Los planes deberán probarse y actualizarse regularmente. www.ascendiarc.com
  • 27. ISO 27002: ESTRUCTURA A.15 CONFORMIDAD Evitar el incumplimiento de cualquier ley, estatuto, regulación u obligación contractual y de cualquier requerimiento de seguridad. Garantizar la alineación de los sistemas con la política de seguridad de la organización y con la normativa derivada de la misma. Maximizar la efectividad y minimizar la interferencia de o desde el proceso de auditoría de sistemas > Se debe identificar convenientemente la legislación aplicable a los sistemas de información corporativos, integrándola en el sistema de gestión de seguridad de la información de la entidad y garantizando su cumplimiento. >Se debe definir un plan de auditoría interna y ser ejecutado convenientemente, para garantizar la detección de desviaciones con respecto a la política de seguridad de la información. www.ascendiarc.com
  • 28. IMPLANTACIÓN DE UN SGSI BENEFICIOS DERIVADOS DE LA IMPLANTACIÓN DE UN SGSI > Competitividad > Confianza de terceros > Cumplimiento legal > Mejora de la Imagen > Reducción de riesgos > Demostración del uso de prácticas apropiadas : · empresas y organizaciones · cliente final · auditores · tribunales www.ascendiarc.com
  • 29. gracias por su atención www.ascendiarc.com www.ascendiarc.com