SlideShare una empresa de Scribd logo

Iso 27001

1 de 30
Descargar para leer sin conexión
ISO 27001 - 2012
Contenidos

• EuroHelp.
• ¿Qué es un SGSI?
• Implantar un SGSI.
• Beneficios ISO 27001.
• Propuesta de Proyecto 2012.




                                2
EUROHELP
Eurohelp

Introducción:

• Presencia Geográfica:

 • Bilbao                 • Zaragoza

 • Donostia               • Santander

 • Madrid
 • Barcelona




                                        4
Eurohelp

Actividad Seguridad
• Consultoría Seguridad de la Información:
   •   LOPD.
   •   ENS.
   •   ISO 27001.
   •   LSSICE-LPI.
• Desarrollo seguro (Security by Design):
   • Productos (HDIV/ hdiv.org, logLOPD, MySIGN etc).




                                                    5
Eurohelp

Otras Actividades

  • Desarrollo de software a medida:
    • Especializada en entornos java web.
    • Otros entornos: NET, PHP, COBOL.

  • Consultoría:
    • Definición de arquitecturas o frameworks.




                                                  6

Recomendados

Más contenido relacionado

La actualidad más candente

ISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxforam74
 
Implementing ISO27001 2013
Implementing ISO27001 2013Implementing ISO27001 2013
Implementing ISO27001 2013scttmcvy
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionCinthia Yessenia Grandos
 
Overview of ISO 27001 ISMS
Overview of ISO 27001 ISMSOverview of ISO 27001 ISMS
Overview of ISO 27001 ISMSAkhil Garg
 
2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdfControlCase
 
Iso 27001 interpretación introducción
Iso 27001   interpretación introducciónIso 27001   interpretación introducción
Iso 27001 interpretación introducciónMaria Jose Buigues
 
isms-presentation.ppt
isms-presentation.pptisms-presentation.ppt
isms-presentation.pptHasnolAhmad2
 
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...PECB
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001 Jose Rafael
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistIvan Piskunov
 
ISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxDr Madhu Aman Sharma
 
Basic introduction to iso27001
Basic introduction to iso27001Basic introduction to iso27001
Basic introduction to iso27001Imran Ahmed
 

La actualidad más candente (20)

ISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptxISO_ 27001:2022 Controls & Clauses.pptx
ISO_ 27001:2022 Controls & Clauses.pptx
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
Implementing ISO27001 2013
Implementing ISO27001 2013Implementing ISO27001 2013
Implementing ISO27001 2013
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 
Overview of ISO 27001 ISMS
Overview of ISO 27001 ISMSOverview of ISO 27001 ISMS
Overview of ISO 27001 ISMS
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf2022 Webinar - ISO 27001 Certification.pdf
2022 Webinar - ISO 27001 Certification.pdf
 
Iso 27001 interpretación introducción
Iso 27001   interpretación introducciónIso 27001   interpretación introducción
Iso 27001 interpretación introducción
 
isms-presentation.ppt
isms-presentation.pptisms-presentation.ppt
isms-presentation.ppt
 
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
George, Tony, Michael - PECB Webinar 27701 Data Protection Risk Management V1...
 
Iso 27001 awareness
Iso 27001 awarenessIso 27001 awareness
Iso 27001 awareness
 
Norma iso 27001
Norma iso 27001 Norma iso 27001
Norma iso 27001
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
 
Helping Utilities with Cybersecurity Preparedness: The C2M2
Helping Utilities with Cybersecurity Preparedness: The C2M2Helping Utilities with Cybersecurity Preparedness: The C2M2
Helping Utilities with Cybersecurity Preparedness: The C2M2
 
ISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptxISO 27001 Awareness/TRansition.pptx
ISO 27001 Awareness/TRansition.pptx
 
CISA Training - Chapter 5 - 2016
CISA Training - Chapter 5 - 2016CISA Training - Chapter 5 - 2016
CISA Training - Chapter 5 - 2016
 
Basic introduction to iso27001
Basic introduction to iso27001Basic introduction to iso27001
Basic introduction to iso27001
 

Destacado

La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioJavier Cao Avellaneda
 
Contenidos curso sgsi
Contenidos curso sgsiContenidos curso sgsi
Contenidos curso sgsijennycala
 
Iso 27001
Iso 27001Iso 27001
Iso 27001mar778
 
Formación básica en SGSI
Formación básica en SGSIFormación básica en SGSI
Formación básica en SGSIRamiro Cid
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsiSusana Tan
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001U.N.S.C
 
Auditoria informática: conceptualización Actividad semana 2
Auditoria informática: conceptualización Actividad semana 2Auditoria informática: conceptualización Actividad semana 2
Auditoria informática: conceptualización Actividad semana 2Carlos Andres Perez Cabrales
 
Planeación Didáctica de la asignatura Auditoria de Sistemas Informáticos
Planeación Didáctica de la asignatura Auditoria de Sistemas InformáticosPlaneación Didáctica de la asignatura Auditoria de Sistemas Informáticos
Planeación Didáctica de la asignatura Auditoria de Sistemas InformáticosMarco
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información ESET Latinoamérica
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionGabriel Gonzales
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001.. ..
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 

Destacado (19)

NTC ISO/IEC 27001
NTC ISO/IEC 27001 NTC ISO/IEC 27001
NTC ISO/IEC 27001
 
ISO 27001 DANIEL MARTINEZ
ISO 27001 DANIEL MARTINEZISO 27001 DANIEL MARTINEZ
ISO 27001 DANIEL MARTINEZ
 
La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocio
 
Contenidos curso sgsi
Contenidos curso sgsiContenidos curso sgsi
Contenidos curso sgsi
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Formación básica en SGSI
Formación básica en SGSIFormación básica en SGSI
Formación básica en SGSI
 
Guia apoyo sgsi
Guia apoyo sgsiGuia apoyo sgsi
Guia apoyo sgsi
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 
Auditoria informática: conceptualización Actividad semana 2
Auditoria informática: conceptualización Actividad semana 2Auditoria informática: conceptualización Actividad semana 2
Auditoria informática: conceptualización Actividad semana 2
 
Planeación Didáctica de la asignatura Auditoria de Sistemas Informáticos
Planeación Didáctica de la asignatura Auditoria de Sistemas InformáticosPlaneación Didáctica de la asignatura Auditoria de Sistemas Informáticos
Planeación Didáctica de la asignatura Auditoria de Sistemas Informáticos
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
 
Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información Sistemas de Gestión de Seguridad de la Información
Sistemas de Gestión de Seguridad de la Información
 
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacionIso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
Iso 27001-y-27002-para-la-gestion-de-seguridad-de-la-informacion
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001Norma. ntc iso-iec 27001
Norma. ntc iso-iec 27001
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
 

Similar a Iso 27001

Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Informaciónferd3116
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Cein
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001Samary Páez
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Cein
 
InnoSIB Seguridad de la informacion. Consultoría
InnoSIB Seguridad de la informacion. ConsultoríaInnoSIB Seguridad de la informacion. Consultoría
InnoSIB Seguridad de la informacion. ConsultoríaInnoSIB
 
Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02vazquezdavid
 
Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02luciarias
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Reynaldo Quintero
 
Implementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por  Roberto PuyóImplementando SGSI en Instituciones Estatales, por  Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto PuyóForo Global Crossing
 
Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
Caso: Implementando CGSI en Instituciones Estatales, por Roberto PuyóCaso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
Caso: Implementando CGSI en Instituciones Estatales, por Roberto PuyóForo Global Crossing
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptxAreaTIC1
 
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...AGESTIC - Asociación Gallega Empresas TIC
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoriaJohan Retos
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionDarwin Calix
 

Similar a Iso 27001 (20)

Seguridad De La Información
Seguridad De La InformaciónSeguridad De La Información
Seguridad De La Información
 
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...Proyecto para la definición de un sistema de gestión de la seguridad de la in...
Proyecto para la definición de un sistema de gestión de la seguridad de la in...
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
La norma ISO 27001
La norma ISO 27001La norma ISO 27001
La norma ISO 27001
 
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
Proyecto para la definicion de un sistema de gestion de la seguridad de la in...
 
Sgsi
SgsiSgsi
Sgsi
 
InnoSIB Seguridad de la informacion. Consultoría
InnoSIB Seguridad de la informacion. ConsultoríaInnoSIB Seguridad de la informacion. Consultoría
InnoSIB Seguridad de la informacion. Consultoría
 
Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02
 
GESConsultor
GESConsultorGESConsultor
GESConsultor
 
Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02Gesconsultor 110624070009 Phpapp02
Gesconsultor 110624070009 Phpapp02
 
Normas leyes-familia iso-27000
Normas leyes-familia iso-27000Normas leyes-familia iso-27000
Normas leyes-familia iso-27000
 
SGSI
SGSISGSI
SGSI
 
SGSI ISO 27001
SGSI ISO 27001SGSI ISO 27001
SGSI ISO 27001
 
Implementando SGSI en Instituciones Estatales, por Roberto Puyó
Implementando SGSI en Instituciones Estatales, por  Roberto PuyóImplementando SGSI en Instituciones Estatales, por  Roberto Puyó
Implementando SGSI en Instituciones Estatales, por Roberto Puyó
 
Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
Caso: Implementando CGSI en Instituciones Estatales, por Roberto PuyóCaso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
Caso: Implementando CGSI en Instituciones Estatales, por Roberto Puyó
 
iso_27001.pptx
iso_27001.pptxiso_27001.pptx
iso_27001.pptx
 
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
ISO 27001, ISO 20000 e ISO 15504, tres certificaciones imprescindibles en el ...
 
Seguridad-auditoria
Seguridad-auditoriaSeguridad-auditoria
Seguridad-auditoria
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Sistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacionSistema de gestión de la seguridad de la informacion
Sistema de gestión de la seguridad de la informacion
 

Iso 27001

  • 1. ISO 27001 - 2012
  • 2. Contenidos • EuroHelp. • ¿Qué es un SGSI? • Implantar un SGSI. • Beneficios ISO 27001. • Propuesta de Proyecto 2012. 2
  • 4. Eurohelp Introducción: • Presencia Geográfica: • Bilbao • Zaragoza • Donostia • Santander • Madrid • Barcelona 4
  • 5. Eurohelp Actividad Seguridad • Consultoría Seguridad de la Información: • LOPD. • ENS. • ISO 27001. • LSSICE-LPI. • Desarrollo seguro (Security by Design): • Productos (HDIV/ hdiv.org, logLOPD, MySIGN etc). 5
  • 6. Eurohelp Otras Actividades • Desarrollo de software a medida: • Especializada en entornos java web. • Otros entornos: NET, PHP, COBOL. • Consultoría: • Definición de arquitecturas o frameworks. 6
  • 7. ¿QUÉ ES UN SGSI?
  • 8. ¿Qué es un SGSI? Un SGSI es un Sistema de Gestión  Fundamentado en UNE-ISO/IEC 27001:2007 (certificable).  ISO, basada en el ciclo de mejora continua PDCA.  Para Gestionar Riesgos de Seguridad.  Un SGSI basado en ISO 27001 se puede integrar con SGC (ISO 9001) y SGMA (ISO 14001).  Se suma ISO 27002 (no certificable), conjunto de controles de seguridad de la información. 8
  • 9. ¿Qué es un SGSI? Seguridad Informática # Seguridad de la Información De manera errónea se utilizan estos dos conceptos indistintamente, pero son totalmente diferentes: La Seguridad Informática está orientado principalmente hacia los sistemas de TI, es decir, intenta solventar aspectos técnicos. La Seguridad de la Información no se limita únicamente a los sistemas de TI, sino que también engloba la seguridad física, operacional y organizacional del sistema de información. 9
  • 10. ¿Qué es un SGSI? Además del Sistema de Gestión, incorpora controles La norma ISO 27002 desarrolla una serie de controles que se pueden aplicar para mitigar los riesgos y que se agrupan en 11 objetivos de control: 10
  • 11. ¿Qué es un SGSI? Información no es sinónimo de Datos Personales • Implantar un SGSI no es lo mismo que implantar la LOPD. • Los cumplimientos legales (LOPD entre otros) forman parte de los objetivos de control de la norma: 11
  • 13. Implantar un SGSI Comprender la norma aplicable  ISO/IEC 27001 - Requisitos implantación del SGSI. La más importante (certificale).  ISO/IEC 27002 - Código de buenas prácticas (no certificable).  ISO/IEC 27003 - Directrices para un SGSI.  ISO/IEC 27004 - Métricas para un SGSI.  ISO/IEC 27005 - Gestión de Riesgos.  GUÍAS. Ejemplo ISO/IEC 27799:2008 - Guía para implementar ISO/IEC 27002 en la industria de la salud. 13
  • 14. Implantar un SGSI Determinar el alcance Procesos externos a la empresa (servicios contratados) Procesos de la empresa fuera del alcance Alcance del SGSI Proceso de apoyo Acuerdo de Acuerdo de Servicio Servicio Colaboración externo 14
  • 15. Implantar un SGSI Planificar el proyecto Análisis de Software de Vulnerabilidades gestión Técnicas Análisis de Plan de Implantación Riesgos Tratamiento SGSI y Auditoría de Riesgos Controles Cumplimiento de la LOPD 15
  • 16. Implantar un SGSI Elementos básicos del SGSI Confidencialidad Amenazas Activos ISO 27005  Metodología  Integridad Vulnerabilidades Análisis de Riesgos Disponibilidad Controles ISO 27001  Sistema de Gestión ISO 27002  Controles de Seguridad 16
  • 17. Implantar un SGSI Analizar y Gestionar los Riesgos Confidencialidad Amenazas ISO 27005  Metodología  Activos Integridad Vulnerabilidades Análisis de Riesgos Disponibilidad Controles  Metodología sencilla, resultados comparables y reproducibles, revisar el Análisis de Riesgos (AR) anualmente.  Trazabilidad entre resultados del AR y los controles aplicados mitigando riesgos.  Implicar a la Dirección de la organización en la valoración de sus activos.  Ayudarse de alguna herramienta informática que ayude en la revisión del AR. 17
  • 18. Implantar un SGSI Analizar y Gestionar los Riesgos  Activos:  Clasificar (físicos, información, software, personas, servicios).  Establecer dependencias.  Establecer criterios de agrupación.  Ajustar valoraciones.  Valoración C-I-D por propietarios. 18
  • 19. Implantar un SGSI Analizar y Gestionar los Riesgos  Amenazas y vulnerabilidades.  Establecer las relaciones entre los tipos de activos, las amenazas que les afectan, las vulnerabilidades que pueden hacer presentes a las amenazas y los controles que mitigan dichas amenazas. 19
  • 20. Implantar un SGSI Analizar y Gestionar los Riesgos  Amenazas y vulnerabilidades: para cada activo o grupo de activos.  Valorar la probabilidad de existencia de la amenaza.  Valorar cada vulnerabilidad frente a dicha amenaza.  Tener en cuenta la existencia de controles ya implantados (formalmente, documentados, sistemáticos, auditados o no). 20
  • 21. Implantar un SGSI Analizar y Gestionar los Riesgos  Si existen otros sistemas de gestión ya implantados (ISO 9001, ISO 14001), prever la integración de desde un principio.  Evitar duplicidades.  Integrar la documentación.  Establecer mecánicas de gestión de la documentación (workflow de aprobación de documentos).  Si es posible, ayudarse de alguna herramienta informática que ayude al registro y análisis de los aspectos básicos de gestión (menos papel = mayor efectividad). 21
  • 22. Implantar un SGSI Integrar Sistemas de Gestión y la Documentación  Definir la estructura documental del sistema de gestión integrado.  Establecer workflow de revisión y aprobación de documentos.  Procurar trazabilidad de los documentos del sistema. 22
  • 23. Implantar un SGSI Implantar Controles  Los controles de la norma se aplican para dar respuesta a los riesgos detectados.  Es importante la trazabilidad.  Es importante el seguimiento mediante indicadores.  Los controles (la norma) son los mismos para una Gran empresa que para una PYME: hay que adaptarlos a la realidad de la empresa.  Todos los controles son aplicables, en general. Las excepciones se justifican y documentan.  Muchas cosas ya se hacen en la empresa, pero no son sistemáticas, no se documentan o no se auditan. 23
  • 24. Implantar un SGSI Implantar Controles  Conocer los controles, su finalidad, las recomendaciones de implantación.  Conocer la relación entre control, vulnerabilidad, amenaza y tipo de activo (trazabilidad).  Aplicar los controles según los resultados del AR (Plan de Tratamiento, Declaración de Aplicabilidad). 24
  • 25. Implantar un SGSI Implicación, dedicación, mejora continua  La implantación del SGSI requiere la implicación de la Dirección.  No es “cosa de los de TI”.  Autorizar recursos y dedicaciones.  Aprobaciones.  La implantación, si se hace con una consultora, puede requerir una persona con dedicación media de un 10% durante 6-12 meses.  Todos los años se requiere dedicación: es un sistema de mejora continua.  El objetivo no debe ser obtener el certificado, aunque tiene su interés estratégico para la empresa. 25
  • 27. Beneficios ISO 27001 ¿Por qué ISO 27001? 1. Para mejorar la seguridad de la información en la empresa, garantizando su continuidad, la confidencialidad y las mejores prácticas de los empleados. 2. Para proyectar a mis clientes la seguridad de trabajar con un proveedor que dispone de sistemas certificados por un tercero de confianza. 3. Para alcanzar el nivel exigido en los pliegos de la Administración relativos a servicios TIC, ya que está en relación directa con el Esquema Nacional de Seguridad que las Administraciones obligatoriamente deben cumplir. 4. Por los beneficios en la gestión de la empresa que genera, estableciendo procesos y optimizando recursos a través del control de riesgos. 27
  • 29. Propuesta de Proyecto 2012 Eurohelp & Aidcon Consulting  Con EUROHELP & AIDCON CONSULTING como consultoras:  45 empresas implantadas y certificadas, 8 más en proceso (2012).  Software AGGIL® de análisis de riesgos e implantación del SGSI.  Participación de empresas, interesadas en implantar y certificar un SGSI ISO 27001 porque trabajan con la Administración Pública o porque desean destacar y ser entidades más competitivas .  Proyecto realizado con una aplicación para la gestión del SGSI de la entidad (Aggil). 29
  • 30. ¡Gracias! Jon Turrillas Sabalza Auditor Líder Seguridad de la Información jturrillas@euro-help.es / 943 433018 / 650 103 706