SlideShare una empresa de Scribd logo

Iso 27001

Eurohelp Consulting
Eurohelp Consulting
1 de 30
Descargar para leer sin conexión
ISO 27001 - 2012
Contenidos • EuroHelp. • ¿Qué es un SGSI? • Implantar un SGSI. • Beneficios ISO 27001. • Propuesta de Proyecto 2012. 2
EUROHELP
Eurohelp Introducción: • Presencia Geográfica: • Bilbao • Zaragoza • Donostia • Santander • Madrid • Barcelona 4
Eurohelp Actividad Seguridad • Consultoría Seguridad de la Información: • LOPD. • ENS. • ISO 27001. • LSSICE-LPI. • Desarrollo seguro (Security by Design): • Productos (HDIV/ hdiv.org, logLOPD, MySIGN etc). 5
Eurohelp Otras Actividades • Desarrollo de software a medida: • Especializada en entornos java web. • Otros entornos: NET, PHP, COBOL. • Consultoría: • Definición de arquitecturas o frameworks. 6
¿QUÉ ES UN SGSI?
¿Qué es un SGSI? Un SGSI es un Sistema de Gestión  Fundamentado en UNE-ISO/IEC 27001:2007 (certificable).  ISO, basada en el ciclo de mejora continua PDCA.  Para Gestionar Riesgos de Seguridad.  Un SGSI basado en ISO 27001 se puede integrar con SGC (ISO 9001) y SGMA (ISO 14001).  Se suma ISO 27002 (no certificable), conjunto de controles de seguridad de la información. 8
¿Qué es un SGSI? Seguridad Informática # Seguridad de la Información De manera errónea se utilizan estos dos conceptos indistintamente, pero son totalmente diferentes: La Seguridad Informática está orientado principalmente hacia los sistemas de TI, es decir, intenta solventar aspectos técnicos. La Seguridad de la Información no se limita únicamente a los sistemas de TI, sino que también engloba la seguridad física, operacional y organizacional del sistema de información. 9
¿Qué es un SGSI? Además del Sistema de Gestión, incorpora controles La norma ISO 27002 desarrolla una serie de controles que se pueden aplicar para mitigar los riesgos y que se agrupan en 11 objetivos de control: 10
¿Qué es un SGSI? Información no es sinónimo de Datos Personales • Implantar un SGSI no es lo mismo que implantar la LOPD. • Los cumplimientos legales (LOPD entre otros) forman parte de los objetivos de control de la norma: 11
IMPLANTAR UN SGSI
Implantar un SGSI Comprender la norma aplicable  ISO/IEC 27001 - Requisitos implantación del SGSI. La más importante (certificale).  ISO/IEC 27002 - Código de buenas prácticas (no certificable).  ISO/IEC 27003 - Directrices para un SGSI.  ISO/IEC 27004 - Métricas para un SGSI.  ISO/IEC 27005 - Gestión de Riesgos.  GUÍAS. Ejemplo ISO/IEC 27799:2008 - Guía para implementar ISO/IEC 27002 en la industria de la salud. 13
Implantar un SGSI Determinar el alcance Procesos externos a la empresa (servicios contratados) Procesos de la empresa fuera del alcance Alcance del SGSI Proceso de apoyo Acuerdo de Acuerdo de Servicio Servicio Colaboración externo 14
Implantar un SGSI Planificar el proyecto Análisis de Software de Vulnerabilidades gestión Técnicas Análisis de Plan de Implantación Riesgos Tratamiento SGSI y Auditoría de Riesgos Controles Cumplimiento de la LOPD 15
Implantar un SGSI Elementos básicos del SGSI Confidencialidad Amenazas Activos ISO 27005  Metodología  Integridad Vulnerabilidades Análisis de Riesgos Disponibilidad Controles ISO 27001  Sistema de Gestión ISO 27002  Controles de Seguridad 16
Implantar un SGSI Analizar y Gestionar los Riesgos Confidencialidad Amenazas ISO 27005  Metodología  Activos Integridad Vulnerabilidades Análisis de Riesgos Disponibilidad Controles  Metodología sencilla, resultados comparables y reproducibles, revisar el Análisis de Riesgos (AR) anualmente.  Trazabilidad entre resultados del AR y los controles aplicados mitigando riesgos.  Implicar a la Dirección de la organización en la valoración de sus activos.  Ayudarse de alguna herramienta informática que ayude en la revisión del AR. 17
Implantar un SGSI Analizar y Gestionar los Riesgos  Activos:  Clasificar (físicos, información, software, personas, servicios).  Establecer dependencias.  Establecer criterios de agrupación.  Ajustar valoraciones.  Valoración C-I-D por propietarios. 18
Implantar un SGSI Analizar y Gestionar los Riesgos  Amenazas y vulnerabilidades.  Establecer las relaciones entre los tipos de activos, las amenazas que les afectan, las vulnerabilidades que pueden hacer presentes a las amenazas y los controles que mitigan dichas amenazas. 19
Implantar un SGSI Analizar y Gestionar los Riesgos  Amenazas y vulnerabilidades: para cada activo o grupo de activos.  Valorar la probabilidad de existencia de la amenaza.  Valorar cada vulnerabilidad frente a dicha amenaza.  Tener en cuenta la existencia de controles ya implantados (formalmente, documentados, sistemáticos, auditados o no). 20
Implantar un SGSI Analizar y Gestionar los Riesgos  Si existen otros sistemas de gestión ya implantados (ISO 9001, ISO 14001), prever la integración de desde un principio.  Evitar duplicidades.  Integrar la documentación.  Establecer mecánicas de gestión de la documentación (workflow de aprobación de documentos).  Si es posible, ayudarse de alguna herramienta informática que ayude al registro y análisis de los aspectos básicos de gestión (menos papel = mayor efectividad). 21
Implantar un SGSI Integrar Sistemas de Gestión y la Documentación  Definir la estructura documental del sistema de gestión integrado.  Establecer workflow de revisión y aprobación de documentos.  Procurar trazabilidad de los documentos del sistema. 22
Implantar un SGSI Implantar Controles  Los controles de la norma se aplican para dar respuesta a los riesgos detectados.  Es importante la trazabilidad.  Es importante el seguimiento mediante indicadores.  Los controles (la norma) son los mismos para una Gran empresa que para una PYME: hay que adaptarlos a la realidad de la empresa.  Todos los controles son aplicables, en general. Las excepciones se justifican y documentan.  Muchas cosas ya se hacen en la empresa, pero no son sistemáticas, no se documentan o no se auditan. 23
Implantar un SGSI Implantar Controles  Conocer los controles, su finalidad, las recomendaciones de implantación.  Conocer la relación entre control, vulnerabilidad, amenaza y tipo de activo (trazabilidad).  Aplicar los controles según los resultados del AR (Plan de Tratamiento, Declaración de Aplicabilidad). 24
Implantar un SGSI Implicación, dedicación, mejora continua  La implantación del SGSI requiere la implicación de la Dirección.  No es “cosa de los de TI”.  Autorizar recursos y dedicaciones.  Aprobaciones.  La implantación, si se hace con una consultora, puede requerir una persona con dedicación media de un 10% durante 6-12 meses.  Todos los años se requiere dedicación: es un sistema de mejora continua.  El objetivo no debe ser obtener el certificado, aunque tiene su interés estratégico para la empresa. 25
BENEFICIOS ISO 27001
Beneficios ISO 27001 ¿Por qué ISO 27001? 1. Para mejorar la seguridad de la información en la empresa, garantizando su continuidad, la confidencialidad y las mejores prácticas de los empleados. 2. Para proyectar a mis clientes la seguridad de trabajar con un proveedor que dispone de sistemas certificados por un tercero de confianza. 3. Para alcanzar el nivel exigido en los pliegos de la Administración relativos a servicios TIC, ya que está en relación directa con el Esquema Nacional de Seguridad que las Administraciones obligatoriamente deben cumplir. 4. Por los beneficios en la gestión de la empresa que genera, estableciendo procesos y optimizando recursos a través del control de riesgos. 27
PROPUESTA DE PROYECTO - 2012
Propuesta de Proyecto 2012 Eurohelp & Aidcon Consulting  Con EUROHELP & AIDCON CONSULTING como consultoras:  45 empresas implantadas y certificadas, 8 más en proceso (2012).  Software AGGIL® de análisis de riesgos e implantación del SGSI.  Participación de empresas, interesadas en implantar y certificar un SGSI ISO 27001 porque trabajan con la Administración Pública o porque desean destacar y ser entidades más competitivas .  Proyecto realizado con una aplicación para la gestión del SGSI de la entidad (Aggil). 29
¡Gracias! Jon Turrillas Sabalza Auditor Líder Seguridad de la Información jturrillas@euro-help.es / 943 433018 / 650 103 706

Recomendados

27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
 
What is ISO20000
What is ISO20000What is ISO20000
What is ISO20000Ben Kalland
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSIJosé María Apellidos
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 

Recomendados

27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001Cecilia Hernandez
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
 
What is ISO20000
What is ISO20000What is ISO20000
What is ISO20000Ben Kalland
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSIJosé María Apellidos
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001Johanna Pazmiño
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013Jaime Andrés Bello Vieda
 
ISO 27014 et 38500
ISO 27014 et 38500ISO 27014 et 38500
ISO 27014 et 38500Antoine Vigneron
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My OrganisationVigilant Software
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Presentación ISO 27001.pptx
Presentación ISO 27001.pptxPresentación ISO 27001.pptx
Presentación ISO 27001.pptxerwinmalinowski
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases kyaalena
 
Isms awareness presentation
Isms awareness presentationIsms awareness presentation
Isms awareness presentationPranay Kumar
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSIGLORIA VIVEROS
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Ricardo Urbina Miranda
 
NQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation GuideNQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation GuideNQA
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
Iso 27000
Iso 27000Iso 27000
Iso 27000julianabh
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoModernizacion y Gobierno Digital - Gobierno de Chile
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Juan Fernando Jaramillo
 
ISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxDr Madhu Aman Sharma
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copiaYadi De La Cruz
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001 George Gaviria
 
IT Audit For Non-IT Auditors
IT Audit For Non-IT AuditorsIT Audit For Non-IT Auditors
IT Audit For Non-IT AuditorsEd Tobias
 
ISO 27001 DANIEL MARTINEZ
ISO 27001 DANIEL MARTINEZISO 27001 DANIEL MARTINEZ
ISO 27001 DANIEL MARTINEZDaniel Martínez
 
La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioJavier Cao Avellaneda
 

Más contenido relacionado

La actualidad más candente

Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My OrganisationVigilant Software
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000UPTAEB
 
Presentación ISO 27001.pptx
Presentación ISO 27001.pptxPresentación ISO 27001.pptx
Presentación ISO 27001.pptxerwinmalinowski
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases kyaalena
 
Isms awareness presentation
Isms awareness presentationIsms awareness presentation
Isms awareness presentationPranay Kumar
 
NQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation GuideNQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation GuideNQA
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...Luis Fernando Aguas Bucheli
 
ISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxDr Madhu Aman Sharma
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónedithua
 
IT Audit For Non-IT Auditors
IT Audit For Non-IT AuditorsIT Audit For Non-IT Auditors
IT Audit For Non-IT AuditorsEd Tobias
 

La actualidad más candente (20)

ISO 27014 et 38500
ISO 27014 et 38500ISO 27014 et 38500
ISO 27014 et 38500
 
Why ISO27001 For My Organisation
Why ISO27001 For My OrganisationWhy ISO27001 For My Organisation
Why ISO27001 For My Organisation
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
 
Presentación ISO 27001.pptx
Presentación ISO 27001.pptxPresentación ISO 27001.pptx
Presentación ISO 27001.pptx
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 
Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases Auditoria informatica metodologias y fases
Auditoria informatica metodologias y fases
 
Isms awareness presentation
Isms awareness presentationIsms awareness presentation
Isms awareness presentation
 
Presentacion SGSI
Presentacion SGSIPresentacion SGSI
Presentacion SGSI
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
 
NQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation GuideNQA ISO 27001 Implementation Guide
NQA ISO 27001 Implementation Guide
 
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
9-Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.1 ISO 2...
 
Iso 27000
Iso 27000Iso 27000
Iso 27000
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
ISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptx
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Iso 27000 nueva copia
Iso 27000 nueva copiaIso 27000 nueva copia
Iso 27000 nueva copia
 
Clase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de informaciónClase 1 control interno y auditoría de sistemas de información
Clase 1 control interno y auditoría de sistemas de información
 
NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
IT Audit For Non-IT Auditors
IT Audit For Non-IT AuditorsIT Audit For Non-IT Auditors
IT Audit For Non-IT Auditors
 

Destacado

La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioJavier Cao Avellaneda
 
Contenidos curso sgsi
Contenidos curso sgsiContenidos curso sgsi
Contenidos curso sgsijennycala
 
Iso 27001
Iso 27001Iso 27001
Iso 27001mar778
 
Formación básica en SGSI
Formación básica en SGSIFormación básica en SGSI
Formación básica en SGSIRamiro Cid
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsiSusana Tan
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001U.N.S.C
 
Auditoria informática: conceptualización Actividad semana 2
Auditoria informática: conceptualización Actividad semana 2Auditoria informática: conceptualización Actividad semana 2
Auditoria informática: conceptualización Actividad semana 2Carlos Andres Perez Cabrales
 
Planeación Didáctica de la asignatura Auditoria de Sistemas Informáticos
Planeación Didáctica de la asignatura Auditoria de Sistemas InformáticosPlaneación Didáctica de la asignatura Auditoria de Sistemas Informáticos
Planeación Didáctica de la asignatura Auditoria de Sistemas InformáticosMarco
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información ESET Latinoamérica
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducciónMaria Jose Buigues
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001.. ..
 

Destacado (17)

ISO 27001 DANIEL MARTINEZ
ISO 27001 DANIEL MARTINEZISO 27001 DANIEL MARTINEZ
ISO 27001 DANIEL MARTINEZ
 
La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocio
 
Contenidos curso sgsi
Contenidos curso sgsiContenidos curso sgsi
Contenidos curso sgsi
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Formación básica en SGSI
Formación básica en SGSIFormación básica en SGSI
Formación básica en SGSI
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 
Auditoria informática: conceptualización Actividad semana 2
Auditoria informática: conceptualización Actividad semana 2Auditoria informática: conceptualización Actividad semana 2
Auditoria informática: conceptualización Actividad semana 2
 
Planeación Didáctica de la asignatura Auditoria de Sistemas Informáticos
Planeación Didáctica de la asignatura Auditoria de Sistemas InformáticosPlaneación Didáctica de la asignatura Auditoria de Sistemas Informáticos
Planeación Didáctica de la asignatura Auditoria de Sistemas Informáticos
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
 
Iso 27001 interpretación introducción
Iso 27001 interpretación introducciónIso 27001 interpretación introducción
Iso 27001 interpretación introducción
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
 

Similar a Iso 27001

Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Informaciónferd3116
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Cein
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001Samary Páez
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Cein
 
InnoSIB Seguridad de la informacion. Consultoría
InnoSIB Seguridad de la informacion. ConsultoríaInnoSIB Seguridad de la informacion. Consultoría
InnoSIB Seguridad de la informacion. ConsultoríaInnoSIB
 
Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02vazquezdavid
 
Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02luciarias
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Implementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto PuyóImplementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto PuyóForo Global Crossing
 
Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
Caso: Implementando CGSI en Instituciones Estatales, por Roberto PuyóCaso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
Caso: Implementando CGSI en Instituciones Estatales, por Roberto PuyóForo Global Crossing
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptxAreaTIC1
 
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...AGESTIC - Asociación Gallega Empresas TIC
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 

Similar a Iso 27001 (20)

Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
 
Sgsi
SgsiSgsi
Sgsi
 
InnoSIB Seguridad de la informacion. Consultoría
InnoSIB Seguridad de la informacion. ConsultoríaInnoSIB Seguridad de la informacion. Consultoría
InnoSIB Seguridad de la informacion. Consultoría
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02
 
GESConsultor
GESConsultorGESConsultor
GESConsultor
 
Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
SGSI
SGSISGSI
SGSI
 
SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001
 
Implementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto PuyóImplementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto Puyó
 
Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
Caso: Implementando CGSI en Instituciones Estatales, por Roberto PuyóCaso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptx
 
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 

Iso 27001

  • 1. ISO 27001 - 2012
  • 2. Contenidos • EuroHelp. • ¿Qué es un SGSI? • Implantar un SGSI. • Beneficios ISO 27001. • Propuesta de Proyecto 2012. 2
  • 4. Eurohelp Introducción: • Presencia Geográfica: • Bilbao • Zaragoza • Donostia • Santander • Madrid • Barcelona 4
  • 5. Eurohelp Actividad Seguridad • Consultoría Seguridad de la Información: • LOPD. • ENS. • ISO 27001. • LSSICE-LPI. • Desarrollo seguro (Security by Design): • Productos (HDIV/ hdiv.org, logLOPD, MySIGN etc). 5
  • 6. Eurohelp Otras Actividades • Desarrollo de software a medida: • Especializada en entornos java web. • Otros entornos: NET, PHP, COBOL. • Consultoría: • Definición de arquitecturas o frameworks. 6
  • 7. ¿QUÉ ES UN SGSI?
  • 8. ¿Qué es un SGSI? Un SGSI es un Sistema de Gestión  Fundamentado en UNE-ISO/IEC 27001:2007 (certificable).  ISO, basada en el ciclo de mejora continua PDCA.  Para Gestionar Riesgos de Seguridad.  Un SGSI basado en ISO 27001 se puede integrar con SGC (ISO 9001) y SGMA (ISO 14001).  Se suma ISO 27002 (no certificable), conjunto de controles de seguridad de la información. 8
  • 9. ¿Qué es un SGSI? Seguridad Informática # Seguridad de la Información De manera errónea se utilizan estos dos conceptos indistintamente, pero son totalmente diferentes: La Seguridad Informática está orientado principalmente hacia los sistemas de TI, es decir, intenta solventar aspectos técnicos. La Seguridad de la Información no se limita únicamente a los sistemas de TI, sino que también engloba la seguridad física, operacional y organizacional del sistema de información. 9
  • 10. ¿Qué es un SGSI? Además del Sistema de Gestión, incorpora controles La norma ISO 27002 desarrolla una serie de controles que se pueden aplicar para mitigar los riesgos y que se agrupan en 11 objetivos de control: 10
  • 11. ¿Qué es un SGSI? Información no es sinónimo de Datos Personales • Implantar un SGSI no es lo mismo que implantar la LOPD. • Los cumplimientos legales (LOPD entre otros) forman parte de los objetivos de control de la norma: 11
  • 13. Implantar un SGSI Comprender la norma aplicable  ISO/IEC 27001 - Requisitos implantación del SGSI. La más importante (certificale).  ISO/IEC 27002 - Código de buenas prácticas (no certificable).  ISO/IEC 27003 - Directrices para un SGSI.  ISO/IEC 27004 - Métricas para un SGSI.  ISO/IEC 27005 - Gestión de Riesgos.  GUÍAS. Ejemplo ISO/IEC 27799:2008 - Guía para implementar ISO/IEC 27002 en la industria de la salud. 13
  • 14. Implantar un SGSI Determinar el alcance Procesos externos a la empresa (servicios contratados) Procesos de la empresa fuera del alcance Alcance del SGSI Proceso de apoyo Acuerdo de Acuerdo de Servicio Servicio Colaboración externo 14
  • 15. Implantar un SGSI Planificar el proyecto Análisis de Software de Vulnerabilidades gestión Técnicas Análisis de Plan de Implantación Riesgos Tratamiento SGSI y Auditoría de Riesgos Controles Cumplimiento de la LOPD 15
  • 16. Implantar un SGSI Elementos básicos del SGSI Confidencialidad Amenazas Activos ISO 27005  Metodología  Integridad Vulnerabilidades Análisis de Riesgos Disponibilidad Controles ISO 27001  Sistema de Gestión ISO 27002  Controles de Seguridad 16
  • 17. Implantar un SGSI Analizar y Gestionar los Riesgos Confidencialidad Amenazas ISO 27005  Metodología  Activos Integridad Vulnerabilidades Análisis de Riesgos Disponibilidad Controles  Metodología sencilla, resultados comparables y reproducibles, revisar el Análisis de Riesgos (AR) anualmente.  Trazabilidad entre resultados del AR y los controles aplicados mitigando riesgos.  Implicar a la Dirección de la organización en la valoración de sus activos.  Ayudarse de alguna herramienta informática que ayude en la revisión del AR. 17
  • 18. Implantar un SGSI Analizar y Gestionar los Riesgos  Activos:  Clasificar (físicos, información, software, personas, servicios).  Establecer dependencias.  Establecer criterios de agrupación.  Ajustar valoraciones.  Valoración C-I-D por propietarios. 18
  • 19. Implantar un SGSI Analizar y Gestionar los Riesgos  Amenazas y vulnerabilidades.  Establecer las relaciones entre los tipos de activos, las amenazas que les afectan, las vulnerabilidades que pueden hacer presentes a las amenazas y los controles que mitigan dichas amenazas. 19
  • 20. Implantar un SGSI Analizar y Gestionar los Riesgos  Amenazas y vulnerabilidades: para cada activo o grupo de activos.  Valorar la probabilidad de existencia de la amenaza.  Valorar cada vulnerabilidad frente a dicha amenaza.  Tener en cuenta la existencia de controles ya implantados (formalmente, documentados, sistemáticos, auditados o no). 20
  • 21. Implantar un SGSI Analizar y Gestionar los Riesgos  Si existen otros sistemas de gestión ya implantados (ISO 9001, ISO 14001), prever la integración de desde un principio.  Evitar duplicidades.  Integrar la documentación.  Establecer mecánicas de gestión de la documentación (workflow de aprobación de documentos).  Si es posible, ayudarse de alguna herramienta informática que ayude al registro y análisis de los aspectos básicos de gestión (menos papel = mayor efectividad). 21
  • 22. Implantar un SGSI Integrar Sistemas de Gestión y la Documentación  Definir la estructura documental del sistema de gestión integrado.  Establecer workflow de revisión y aprobación de documentos.  Procurar trazabilidad de los documentos del sistema. 22
  • 23. Implantar un SGSI Implantar Controles  Los controles de la norma se aplican para dar respuesta a los riesgos detectados.  Es importante la trazabilidad.  Es importante el seguimiento mediante indicadores.  Los controles (la norma) son los mismos para una Gran empresa que para una PYME: hay que adaptarlos a la realidad de la empresa.  Todos los controles son aplicables, en general. Las excepciones se justifican y documentan.  Muchas cosas ya se hacen en la empresa, pero no son sistemáticas, no se documentan o no se auditan. 23
  • 24. Implantar un SGSI Implantar Controles  Conocer los controles, su finalidad, las recomendaciones de implantación.  Conocer la relación entre control, vulnerabilidad, amenaza y tipo de activo (trazabilidad).  Aplicar los controles según los resultados del AR (Plan de Tratamiento, Declaración de Aplicabilidad). 24
  • 25. Implantar un SGSI Implicación, dedicación, mejora continua  La implantación del SGSI requiere la implicación de la Dirección.  No es “cosa de los de TI”.  Autorizar recursos y dedicaciones.  Aprobaciones.  La implantación, si se hace con una consultora, puede requerir una persona con dedicación media de un 10% durante 6-12 meses.  Todos los años se requiere dedicación: es un sistema de mejora continua.  El objetivo no debe ser obtener el certificado, aunque tiene su interés estratégico para la empresa. 25
  • 27. Beneficios ISO 27001 ¿Por qué ISO 27001? 1. Para mejorar la seguridad de la información en la empresa, garantizando su continuidad, la confidencialidad y las mejores prácticas de los empleados. 2. Para proyectar a mis clientes la seguridad de trabajar con un proveedor que dispone de sistemas certificados por un tercero de confianza. 3. Para alcanzar el nivel exigido en los pliegos de la Administración relativos a servicios TIC, ya que está en relación directa con el Esquema Nacional de Seguridad que las Administraciones obligatoriamente deben cumplir. 4. Por los beneficios en la gestión de la empresa que genera, estableciendo procesos y optimizando recursos a través del control de riesgos. 27
  • 29. Propuesta de Proyecto 2012 Eurohelp & Aidcon Consulting  Con EUROHELP & AIDCON CONSULTING como consultoras:  45 empresas implantadas y certificadas, 8 más en proceso (2012).  Software AGGIL® de análisis de riesgos e implantación del SGSI.  Participación de empresas, interesadas en implantar y certificar un SGSI ISO 27001 porque trabajan con la Administración Pública o porque desean destacar y ser entidades más competitivas .  Proyecto realizado con una aplicación para la gestión del SGSI de la entidad (Aggil). 29
  • 30. ¡Gracias! Jon Turrillas Sabalza Auditor Líder Seguridad de la Información jturrillas@euro-help.es / 943 433018 / 650 103 706