SlideShare una empresa de Scribd logo

Gestión de la Seguridad de la Información con ISO27002

EXIN
EXIN

El objetivo de este Webinar es mostrar la Gestión de la seguridad en el paradigma actual, y los beneficios de la ISO27000 Hoy en día no se usan solo las infraestructuras proporcionadas por las compañías, cada vez es mas frecuente que el usuario use sus propios dispositivos para acceder a información de la compañía… ¿como puede ayudarnos la ISO27000?

1 de 46
Descargar para leer sin conexión
1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing #EXINWebinarsEnCastellano GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CON LA ISO27002 Organizaciones invitadas: Con la colaboración de: 16/11/2012 N
Con la colaboración de ... 0051 6373513 | 0051 6373514 coordinacion@peru.pmconsultant.es Calle José Chariarse Nro. 880, Oficina 302 Miraflores, Lima - Perú JuanMa Espinoza • Profesional Reconocido a nivel internacional de la Gestión de Servicios y Proyectos IT. • Dispone de los certificados oficiales como: Auditor ISO27001 e ISO20000, ISO27002, ITIL v2 y v3, Cobit v4.1, Prince2, MOF, Cloud Computing e ITIL Practitioner para Strategy, Design and Operations; es entrenador acreditado y reconocido internacionalmente para ITIL, ISO20K y Cloud Computing (entre otras certificaciones); y PMI Member ID No.:1219853. • Vicepresidente y Director de Relaciones Internacionales del itSMF Perú. • Coordinador para Perú en la iniciativa europea IBERCLOUD. • Cocoordinador del GT "Cloud Computing y su impacto en los procesos ITSM" del itSMF España. • Recientemente ha recibido el reconocimiento internacional de EXIN, por ser el Primer Accredited Trainer de Latinoamérica en EXIN Cloud Computing, así como por ser el Primer Profesional Certificado de todo Latinoamérica.
INFORMATION SECURITY FOUNDATION BASED ON ISO/IEC 27002 LA INFORMACION Y SU TRATAMIENTO 3
¿QUÉ ES ISO/IEC 27002? • ISO: International Organization for Standardization • IEC: International Electro-technical Commission • ISO/IEC 27002:2005 Information Technology — Security Techniques — (Código de Prácticas para la Gestión de la Seguridad de la Información (anteriormente conocida como la ISO/IEC 17799) • Apartados: 0. Introducción 9. Seguridad Ambiental y Física 1. Alcance 10. Gestión de Operaciones y 2. Términos y Definiciones Comunicaciones 3. Estructura de la Norma 11. Control de Acceso 4. Evaluación del Riesgo 12. Adquisición de Sistemas de Información, Mantenimiento y 5. Política de la Seguridad Desarrollo 6. Organización de Seguridad de la 13. Gestión de Incidencias de Seguridad Información de la Información 7. Gestión de Activos 14. Gestión de la Continuidad del 8. Seguridad de los Recursos Humanos Negocio 15. Conformidad 4
DATOS E INFORMACIÓN BEST according to Foundations of PRACTICE Information Security • Los datos pueden ser procesados por la Tecnología de la Información, pero estos se convierten en Información solo cuando adquieren un significado determinado. • La infomación puede extraer el texto pero también la palabra pronunciada y las imágenes de video. Data: 02-04-09 Information: 02-04-09 mm-dd-yy • Ejemplos de Medios de Almacenamiento – Hoja – Microficha – Magnetico – Ejemplo: Cintas – Óptica – Ejemplo: CD’s 5
DIKW: Data, Information, Knowledge, Wisdom BEST according to Contexto PRACTICE ITIL® Version 3 Sabiduría ¿Por qué? Conocimiento ¿Como? Información ¿Quién, Qué, Cuando, Donde?) Datos Comprensión 6
Datos e Información BEST according to PRACTICE ITIL® Version 3 • La información es la comprensión de la relación entre las piezas de los datos • La información responde 4 preguntas: – Quién? – Qué? – Cuando? – Donde? 7
¿Qué es la Seguridad de la Información? La conservación de la Confidencialidad, Disponibilidad e Integración de la información; adicionalmente, otras propiedades, como la autenticidad, el rendir cuentas, NON- REPUDIATION, y la fiabilidad también pueden estar involucrados. Note: Repudiation is another word for negation, disclaimer 8
¿Qué es la Seguridad de la Información? BEST according to Foundations of PRACTICE Information Security La seguridad de la Información consiste en la definición, implementación, mantenimiento y evaluación de un sistema métrico coherente que asegure la disponibilidad, confidencialidad e integridad de la información brindada (computarizada y manual). 9
Sistema y Tecnología de la Información BEST according to Foundations of Information Security and PRACTICE ITIL® Version 3 Information System Information Technology • El procesamiento y transferencia de la • Implica el uso de la tecnología para el información se dá a través del Sistema de almacenamiento, comunicación y Información procesamiento de la información • Todo sistema que tenga el propósito de • Normalmente, la tecnología incluye transferir información es un Sistema de computadoras, telecomunicaciones, Información aplicaciones y otros software. • Ejemplos de Sistemas de Información son: • La información puede incluir datos los archivos guardados en carpetas, empresariales, de voz, imágenes, videos, etc. teléfonos e impresoras • La Tecnología de la Información es usada • Dentro del contexto de Seguridad de la para apoyar los Procesos Empresariales a Información, el Sistema de Información es la través de Servicios IT. combinación de medios, procedimientos, normas y personas que aseguran la transferencia de información en un proceso operativo 10
Valor de la Información BEST according to Foundations of PRACTICE Information Security EL VALOR DE LA INFORMACIÓN ES DETERMINADA A TRAVÉS DEL VALOR QUE EL RECEPTOR OTORGA A LA MISMA • 6.2.1: Para la identificación de riesgos relacionados al acceso externo se debe tener en cuenta: la sensibilidad y el valor de la información en juego ya que es crítica para las operaciones del negocio • 7.2.1: La información debe ser clasificada de acuerdo al valor que posee ya sean requisitos legales, sensibilidad, o de importancia para la empresa • 12.1.1: Los controles y requisitos de Seguridad deben reflejar el valor empresarial de la información implicada. Asi como el daño potencial comercial que podría resultar de un fallo o ausencia de seguridad 11
La Información como Factor de Producción BEST according to Foundations of PRACTICE Information Security • Los factores comunes de producción de una compañia u organización son: –Capital –Materia prima y Trabajo • En la Tecnología de la Información, también es común considerar la información como un factor de producción –Sin información no existen los negocios –Aquel almacén que pierde información bursátil y clientes no es capaz de realizar operaciones –Inclusive, aquellos negocios como las oficinas de contadores, bancos y/o compañías de seguro ofrecen Información como su único Producto/Servicio 12
El Valor del Negocio BEST according to PRACTICE ITIL® Version 3 La Seguridad de la Información otorga al Proceso de Negocio seguridad aplicando los Controles de Seguridad en todas las áreas de IT y a través de la gestión de Riesgo IT en línea con el Proceso de Gestión de Riesgo Corporativo y Comercial; y Directrices. 13
Fiabilidad de la Información BEST according to Foundations of PRACTICE Information Security La fiabilidad de la información consta de 3 aspectos: – Confidentiality (Confidencialidad) – Integrity (Integridad) – Availability (Disponibilidad) 14
Confidencialidad BEST according to Foundations of PRACTICE Information Security La confidencialidad es el grado en el cual el acceso a la información es restringida y solo un grupo determinado tiene autorización para acceder a ella. Asimismo, esto incluye medidas que protegen su privacidad. 15
Integridad BEST according to Foundations of PRACTICE Information Security • La integridad es el grado en el que la información se encuentra sin errores y actualizada • Las características son: – La exactitud de la información – La integridad de la información 16
Disponibilidad BEST according to Foundations of PRACTICE Information Security • El grado de disponibilidad es cuando la información se encuentra disponible tanto para el usuario como para el Sistema de Información. Este se encuentra operativo en el momento que la organización lo requiera • Las características de Disponibilidad son :  Línea del tiempo: El Sistema de Información se encuentra disponible cuando sea necesario.  Continuidad: El personal es capaz de continuar trabajando, en el caso que ocurra algún fallo.  Fuerza : Hay suficiente capacidad la cual permita que todos trabajen al mismo tiempo en el sistema. 17
Arquitectura de la Información BEST according to Foundations of PRACTICE Information Security • La Seguridad de la Información casi se podría relacionar con la Arquitectura de la Información • La arquitectura de información es el proceso que se centra en poner a disposición la información dentro de una organización • La Seguridad de la Información puede ayudar a garantizar el suministro de información requerida realizada en la Aquitectura de Información • La Arquitectura Informática se centra principalmente en la Organización de la Información. De acuerdo a la necesidad y la manera en la que ésta se lleve a cabo. La Seguridad Informática apoya el proceso mediante la función de garantizar la Confidencialidad, Integridad y Disponibilidad de la INFORMACIÓN 18
Información y Proceso Operativo BEST according to Foundations of PRACTICE Information Security • Un proceso operativo es aquel que se ubica en el núcleo del negocio • En el Proceso Operativo, el personal desarrolla un servicio o producto para el cliente. • El Proceso Operativo se compone principalmente de Actividades de entrada y salida • Existen diferentes tipos de Procesos Operativos Proceso Primario • E.g. Administración del capital – Proceso Guía • E.g. Planeación de estrategia de la compañia – Proceso de apoyo • E.g. Compras, ventas o recursos humanos 19
Análisis de la información BEST according to Foundations of PRACTICE Information Security • El analisis de Información brinda una imagen más clara de cómo la compañia maneja la información – cómo es que la información “fluye” a través de la misma. Por ejemplo: – Un huésped se registra en un hotel a través del sitio web – Esta información es enviada directamente al departamento de administración, el cual se encarga de asignarle una habitación. – El área de recepción tiene presente que el huésped llegará el día de hoy – El área de servicio tiene conocimiento de que la habitación debe estar lista y limpia para la llegada del huésped • Durante este proceso es importante que la información sea completamente fiable • Los resultados del Análisis de Información pueden ser utilizados para el diseño de un Sistema Informático 20
Gestión de la Información BEST according to Foundations of PRACTICE Information Security • La Gestión de la Información dirige y define la Política relacionada al suministro de información de una organización. • Dentro de este sistema, un administrador de información puede hacer uso de la Arquitectura de la Información y un Análisis de la Información. • La Gestión de la información implica mucho más que un proceso de información automatizado, el cual es llevado a cabo por una organización. • En muchos casos, la comunicación interna y externa forman parte de la estrategia de Gestión de la información. 21
Informática BEST according to Foundations of PRACTICE Information Security • Los términos de la infomática se relacionan con uso lógico de la estructura para el desarrollo de los sistemas y la información • Por otro lado, es importante comprender que la informática puede ser utilizada para el desarrollo de programas 22
INFORMATION SECURITY FOUNDATION BASED ON ISO/IEC 27002 RIESGOS Y AMENAZAS 23
¿Qué es una amenaza? La causa potencial de un incidente no deseado, el cual podría dañar a la Organización o el Sistema 24
Métricas de Seguridad y Amenazas BEST according to Foundations of PRACTICE Information Security • Durante el proceso de Seguridad de la Información, los efectos no deseados (amenazas) se tratan de solucionar lo mejor posible • Para evitar este tipo de efectos se determinan estrategias dentro de la Seguridad de la Información • La Seguridad de la Información determina las Medidas de Seguridad que deben emplearse para evitar estos efectos. 25
Riesgos BEST according to Foundations of PRACTICE Information Security Riesgo: La combinación de probabilidad entre un acontecimiento y la consecuencia del mismo Riesgo • Posible daño o perdida de la información • El riesgo se determina por el número de factores. Estos son la amenaza o la posibilidad de que una amenaza se intesifique y por consiguiente las consecuencias 26
Análisis del Riesgo BEST according to Foundations of PRACTICE Information Security Utilización sistemática de la información para identificar las fuentes y la estimación del riesgo Análisis del Riesgo • La metodología nos ayuda a tener una idea de aquello que nos afecta y de lo que nos estamos protegiendo. • Existen diversas maneras de Analizar el Riesgo • Un análisis de riesgo se utiliza para describir los riesgos a los que se enfrenta la empresa 27
Análisis del Riesgo, Riesgos y Amenazas BEST according to PRACTICE ITIL ® Version 2, 3 and CRAMM Bienes Amenazas Vulnerabilidades Análisis del Riesgo Riesgos Gestión del Contramedidas Riesgo Cuando una amenaza se materializa, nace un riesgo para la organización. Asimismo, tanto la evaluación de la gestión y la magnitud del riesgo determinan si las medidas se deben ejecutar con la finalidad de minimizar el 28 riesgo y lo que pueda suceder.
Evaluación del Riesgo BEST according to PRACTICE ITIL ® Version 2, 3 and CRAMM • La evaluación de riesgos deberá incluir el enfoque sistemático para estimar la magnitud de los mismos (Análisis del Riesgo) y el proceso de comparar los riesgos estimados contra los criterios de riesgo; y así determinar la importancia de estos (Evaluación de los Riesgo). • La Evaluación de los Riesgos es la suma total de … – Valoración y Evaluación de los Bienes – Valoración y Evaluación de las Amenazas – Evaluación de la vulnerabilidad 29
Desastres e Incidencias BEST according to Foundations of PRACTICE Information Security Incidencia • La amenaza logra manifestarse Ejemplo: – Cuando un hacker realiza operaciones necesarias para tener acceso a la red de la empresa Desastre • Sucede un gran incidente que atenta con la continuidad de la empresa Ejemplo: – Un corte de energía , causada por un helicóptero que dañó algún cable de alta tensión 30
Gestión del Riesgo BEST according to Foundations of PRACTICE Information Security Gestión del Riesgo: Proceso desde Amenazas Hacia Riesgo Hasta Métricas de Seguridad • Herramienta que clarifica la visión sobre cuales son las amenazas más relevantes en el Proceso Operativo e identificar los riesgos asociados. Inclusive, el nivel de seguridad apropiado podría ser determinando junto con las Medidas de Seguridad correspondientes. 31
Análisis del Riesgo BEST according to Foundations of PRACTICE Information Security Objetivos 1.Identificar el valor y los bienes 2.Determinar amenzas y la vulnerabilidad 3.Para determinar el Riesgo de que las amenazas podrían convertirse en realidad e interrumpan el Proceso Operativo 4.Determina el balance entre los costos de enfrentar algún tipo de Incidencia y de las Métricas de Seguridad Las Métricas de Seguridad son Métricas de Seguridad son rentables, efectivas y Métricas de Seguridad no muy estrictas OPORTUNAS son efectivas 32
Análisis de Costos/Beneficios BEST according to Foundations of PRACTICE Information Security Análisis de Costos/Beneficios • Pertenece al Proceso de Análisis del Riesgo • Pregunta: – Un servicio cuesta $100,000) – Las Métricas de Seguridad para este servicio cuesta $150,000 – Conclusión: Las Métricas de Seguridad son realmente caras … – es una correcta o incorrecta conclusión? 33
Tipos de Análisis de Riesgo BEST according to Foundations of PRACTICE Information Security Análisis Cuantitativo del Riesgo • El objetivo es calcular el Valor del Riesgo basado en el nivel de las pérdidas económicas y la probabilidad de que una amenaza se convierta en un incidente • El Valor de cada elemento es determinado durante todo el Proceso Operativo • Estos valores se pueden componer de los costos de las Métricas de Seguridad, así como del valor de la propiedad en sí, incluyendo el impacto en edificios, hardware, software, información y en los negocios • El tiempo se extiende antes de que una amenaza aparezca , la eficacia de las Métricas de Seguridad y el Riesgo de que existe algún tipo de Vulnerabilidad; también son elementos que deben considerarse • Un análisis de riesgos puramente cuantitativa es prácticamente imposible 34
Tipos de Análisis de Riesgo BEST according to Foundations of PRACTICE Information Security Análisis Cualitativo del Riesgo • Basado en situaciones y escenarios • Las posibilidades de que una amenaza se desarrolle son examinadas bajo una percepción personal • El análisis examina el Proceso Operativo, el cual se relaciona con la amenaza y las Métricas de Seguridad que se han tomado ante la situación • Todo esto conduce a una visión subjetiva de las posibles amenazas • Posteriormente , las Métricas son tomadas para lograr minizar el Riesgo • El mejor resultado se consigue a través del análisis en una sesión de grupo, ya que se intercambiarían ideas entre el personal. Evitando considerar el punto de vista de una sola persona o departamento que logre dominar dicho análisis 35
Tipos de Amenazas BEST according to Foundations of PRACTICE Information Security Amenazas Humanas – Intencionales • Piratería , Dañar la propiedad de la compañía, destruir e-mails después de haber sido despedido sin razón e intencionalmente confirmar la acción de eliminar con un “OK” – Ingeniería Social • Engañar a la gente voluntariamente ofreciéndoles información confidencial: el phishing Amenazas NO humanas – Tormentas – Incendios – Inundaciones – Huracanes – Tornados – Etc. 36
Tipos de Daño BEST according to Foundations of PRACTICE Information Security Daño Directo – Robo Daño Indirecto – Una pérdida en consecuencia a algo que ocurrió. • E.g.: Si hay una inundación en el centro de datos, esto evitará que el Servicio de IT proporcione ayuda; ocasionando pérdidas en el negocio. Expectativas de Pérdida Anual (ALE) – La amplitud del daño - expresado en términos monetarios - puede ser el resultado de un incidente en un año • E.g.: Un promedio de 10 computadoras portátiles son robados cada año de alguna empresa. Expectativa de Pérdida Simple – El daño causado por un único (one-off) Incidente 37
Tipos de Estrategias del Riesgo BEST according to Foundations of PRACTICE Information Security Amortigüando el Riesgo • Algunos riesgos son aceptados • Métricas de Seguridad muy costosas • Métricas de Seguridad superan los posibles daños • Métricas de Seguridad que se toman son por naturaleza represivas Riesgo Neutral • Los resultados de las Métricas de Seguridad son aceptadas • La amenaza ya no se produce • El daño se reduce al mínimo • Métricas de Seguridad adoptadas son una combinación de Prevención, Detección y Represión Evitando el Riesgo •Las Métricas de Seguridad adoptadas son tales que la amenaza se neutraliza hasta el punto en que evita que se convierta en un incidente. •Por ejemplo: La instalación de un nuevo software logra que los errores en el software antigüo dejen de ser una amenaza. 38
Soluciones de los Riesgos de la Seguridad Posibles soluciones incluídas dentro del tratamiento de Riesgo: a)Aplicando las reglas apropiadas para la reducción del Riesgo b)Aceptando de manera objetiva y a sabiendas el Riesgo, otorgando así una clara satisfacción c)Política de Organización y criterios de aceptación del Riesgo d)Evitando que el riesgo se desarrolle y pueda provocar algún daño e)Transfiriendo a terceros Riesgos asociados, por ejemplo, aseguradores y/o proveedores. 39
INFORMATION SECURITY FOUNDATION BASED ON ISO/IEC 27002 LEGISLACIÓN Y REGLAMENTOS 40
Conformidad Objetivo • Evitar el incumplimiento de cualquier ley, estatuto, las obligaciones reglamentarias o contractuales, y sobre los requisitos de seguridad. El diseño, operación, uso y gestión de la información de sistemas puede estar sujeto a la seguridad legal, reglamentaria, y requerimientos contractuales. Asesoramiento sobre requisitos legales específicos se debería pedir a los asesores legales de la organización, o profesionales de la justicia debidamente calificados. Los requisitos legales varían de un país a otro y pueden variar la información creada en un país que se transmite a otro país (es decir, el flujo transfronterizo de datos). 41
Secciones de Cumplimiento • Cumplimiento de Requisitos Legales – Identificación de la legislación aplicable – Derechos de propiedad intelectual – Protección de los registros de la organización – Protección de Datos y Privacidad de la Información Personal –Prevención del uso indebido de las instalaciones de procesamiento de información – Reglamento de los controles criptográficos • Cumplimiento con las normas y estándares de seguridad y cumplimiento técnico – Cumplimiento con las normas y estándares de seguridad – Comprobación del cumplimiento técnico • Información de sistema de Consideraciones de auditoría – Información de Control de Sistemas de Auditoría – Protección de las herramientas de auditoría de sistemas de información 42
¿Por qué la legislacion y reglamentos son importantes? BEST according to Foundations of PRACTICE Information Security • Para observar las prescripciones legales • Para observar el cumplimiento • Para abarcar los derechos de propiedad intelectual • Para proteger los documentos de los negocios • Para proteger los datos y la confidencialidad de datos personales ej: Ley de Protección de Datos de Carácter Personal: la protección de los datos personales y la intimidad • Para prevenir el abuso de las instalaciones de IT • Para observar la política de seguridad y normas de seguridad • Para supervisar las medidas de seguridad • Para llevar a cabo auditorías de información del sistema • Para proteger los medios utilizados para los sistemas de información de auditoría 43
Información de la legislación sobre seguridad BEST according to Foundations of PRACTICE Information Security Ejemplos • Legislación que implica la Privacidad, Impuestos y Finanzas y el Reglamento para los bancos y las empresas (por ejemplo, Sarbanes Oxley) • Legislaciones Locales, Estatales y Nacionales • Política propia de una empresa respecto a la legislación interna. • Legislación de un país extranjero cuando se hacen negocios internacionales. • Legislación que implica Privacidad 44
Con la colaboración de ... 0051 6373513 | 0051 6373514 coordinacion@peru.pmconsultant.es Calle José Chariarse Nro. 880, Oficina 302 Miraflores, Lima - Perú ¡Gracias por su atención! JuanMa Espinoza
1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing @EXIN_ES ( Hash Tag: #EXINWebinarsEnCastellano ) Obtén este y otros Webinars en nuestro canal Youtube Coporativo http://www.youtube.com/user/ExinExams Organizaciones invitadas: Con la colaboración de:

Recomendados

Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002ITsencial
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2Upon Software SA
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-seguritySecurinf.com Seguridad Informatica - Tecnoweb2.com
 

Recomendados

Curso formacion_iso27002
Curso formacion_iso27002Curso formacion_iso27002
Curso formacion_iso27002ITsencial
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishedu25
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002Tensor
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
 
ISO 27002 Grupo 2
ISO 27002 Grupo 2ISO 27002 Grupo 2
ISO 27002 Grupo 2Upon Software SA
 
Curso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosCurso ISO 27001:2013. Introducción a la ciberseguridad. Recursos
Curso ISO 27001:2013. Introducción a la ciberseguridad. RecursosGonzalo de la Pedraja
 
Certificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-segurityCertificacion Iso 27001 isec-segurity
Certificacion Iso 27001 isec-seguritySecurinf.com Seguridad Informatica - Tecnoweb2.com
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001Pedro Garcia Repetto
 
Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002Silvia Nevarez
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiJhonny Willians Franco Delgado
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001ascêndia reingeniería + consultoría
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSIJosé María Apellidos
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Jack Daniel Cáceres Meza
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIAlexander Calderón
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informaticaGabriela2409
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001Juana Rotted
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013Marvin Zumbado
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
Iso 27001
Iso 27001Iso 27001
Iso 27001ascêndia reingeniería + consultoría
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001uniminuto
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la InformaciónJherdy Sotelo Marticorena
 
Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoFernando Palma
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 

Más contenido relacionado

La actualidad más candente

Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002Silvia Nevarez
 
Iso 27001
Iso 27001Iso 27001
Iso 27001urquia
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Jack Daniel Cáceres Meza
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informaticaGabriela2409
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDegova Vargas
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...Manuel Mujica
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001jdrojassi
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001uniminuto
 

La actualidad más candente (20)

Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informática
 
AI04 ISO/IEC 27001
AI04 ISO/IEC 27001AI04 ISO/IEC 27001
AI04 ISO/IEC 27001
 
Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002Xpertis Brochure Curso ISO 27002
Xpertis Brochure Curso ISO 27002
 
Iso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion SgsiIso27001 Norma E Implantacion Sgsi
Iso27001 Norma E Implantacion Sgsi
 
Caso práctico implantación iso 27001
Caso práctico implantación iso 27001Caso práctico implantación iso 27001
Caso práctico implantación iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Curso SGSI
Curso SGSICurso SGSI
Curso SGSI
 
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
Curso: Control de acceso y seguridad: 06 Familia de normas ISO/IEC 27000
 
Introduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSIIntroduccion ISO 27001 SGSI
Introduccion ISO 27001 SGSI
 
Estandares de seguridad informatica
Estandares de seguridad informaticaEstandares de seguridad informatica
Estandares de seguridad informatica
 
Diapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De InformacionDiapositivas Seguridad En Los Sitemas De Informacion
Diapositivas Seguridad En Los Sitemas De Informacion
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 
Norma Iso 27001
Norma Iso 27001Norma Iso 27001
Norma Iso 27001
 
Iso 27k abril 2013
Iso 27k abril 2013Iso 27k abril 2013
Iso 27k abril 2013
 
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
SISTEMA DE GESTIÓN PARA LA SEGURIDAD DE LA INFORMACIÓN CASO: CENTRO DE TECNOL...
 
Ley Iso27001
Ley Iso27001Ley Iso27001
Ley Iso27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
La norma iso 27001
La norma iso 27001La norma iso 27001
La norma iso 27001
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
 

Destacado

Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoFernando Palma
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001Andre Verdugal
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationAdriano Martins Antonio
 
Pack Formativo Calidad TIC
Pack Formativo Calidad TICPack Formativo Calidad TIC
Pack Formativo Calidad TICITsencial
 
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓNSISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓNVICTORIAZM
 
Curso online sgsi y lopd
Curso online sgsi y lopdCurso online sgsi y lopd
Curso online sgsi y lopdSetival SCV
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de VulnerabilidadesPablo Palacios
 
Aramirezcas tfm0514memoria
Aramirezcas tfm0514memoriaAramirezcas tfm0514memoria
Aramirezcas tfm0514memoriakinny32
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Iso 27001 actualización versión 2013
Iso 27001 actualización versión 2013Iso 27001 actualización versión 2013
Iso 27001 actualización versión 2013Maria Jose Buigues
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationCompanyWeb
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4jcfarit
 

Destacado (15)

Simulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da InformaçãoSimulado ISO 27002 exin 01 - Segurança da Informação
Simulado ISO 27002 exin 01 - Segurança da Informação
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Curso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundationCurso oficial iso 27002 versão 2013 foundation
Curso oficial iso 27002 versão 2013 foundation
 
Pack Formativo Calidad TIC
Pack Formativo Calidad TICPack Formativo Calidad TIC
Pack Formativo Calidad TIC
 
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓNSISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
SISTEMA DE GESTIÓN DE LA SEGURIDAD DE INFORMACIÓN
 
Curso online sgsi y lopd
Curso online sgsi y lopdCurso online sgsi y lopd
Curso online sgsi y lopd
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
 
Aramirezcas tfm0514memoria
Aramirezcas tfm0514memoriaAramirezcas tfm0514memoria
Aramirezcas tfm0514memoria
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Iso 27001 actualización versión 2013
Iso 27001 actualización versión 2013Iso 27001 actualización versión 2013
Iso 27001 actualización versión 2013
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
 
ISO 27001 4
ISO 27001 4ISO 27001 4
ISO 27001 4
 
Norma iso 27000
Norma iso 27000Norma iso 27000
Norma iso 27000
 

Similar a Gestión de la Seguridad de la Información con ISO27002

Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001dcordova923
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacionhvillas
 
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdfArturoLazarteVilcama
 
Metodologia del trabajo intelectual
Metodologia del trabajo intelectualMetodologia del trabajo intelectual
Metodologia del trabajo intelectualplluncor
 
0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta GerenciaFabián Descalzo
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4mCarmen32
 
1. introduccion a la seguridad de la informacion
1. introduccion a la seguridad de la informacion1. introduccion a la seguridad de la informacion
1. introduccion a la seguridad de la informacionBenito González Rocha
 
Articles 9337 recurso-1
Articles 9337 recurso-1Articles 9337 recurso-1
Articles 9337 recurso-1iedsanfernando
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Cap. 1 - Generalidades sobre seguridad de información (2).pdf
Cap. 1 - Generalidades sobre seguridad de información (2).pdfCap. 1 - Generalidades sobre seguridad de información (2).pdf
Cap. 1 - Generalidades sobre seguridad de información (2).pdfALDAIRALEXANDERUBILL
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionEduardo Rojas R
 
PRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptxPRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptxPedroMarquez78
 
CONIET 2007: El avance y las soluciones del software libre
CONIET 2007: El avance y las soluciones del software libreCONIET 2007: El avance y las soluciones del software libre
CONIET 2007: El avance y las soluciones del software libreJack Daniel Cáceres Meza
 
Presentacion sg tracking
Presentacion sg trackingPresentacion sg tracking
Presentacion sg trackingsgtracking
 

Similar a Gestión de la Seguridad de la Información con ISO27002 (20)

Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001Curso Seguridad Estandares ISO 27001
Curso Seguridad Estandares ISO 27001
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacion
 
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
[UD2] Manual Aspectos básicos de Ciberseguridad.pdf
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Metodologia del trabajo intelectual
Metodologia del trabajo intelectualMetodologia del trabajo intelectual
Metodologia del trabajo intelectual
 
0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia0 Fd 27001 Directores Y Alta Gerencia
0 Fd 27001 Directores Y Alta Gerencia
 
Ensayo unidad4
Ensayo unidad4Ensayo unidad4
Ensayo unidad4
 
1. introduccion a la seguridad de la informacion
1. introduccion a la seguridad de la informacion1. introduccion a la seguridad de la informacion
1. introduccion a la seguridad de la informacion
 
Trabajo de crisbel
Trabajo de crisbelTrabajo de crisbel
Trabajo de crisbel
 
Data masking
Data maskingData masking
Data masking
 
Articles 9337 recurso-1
Articles 9337 recurso-1Articles 9337 recurso-1
Articles 9337 recurso-1
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 
Cap. 1 - Generalidades sobre seguridad de información (2).pdf
Cap. 1 - Generalidades sobre seguridad de información (2).pdfCap. 1 - Generalidades sobre seguridad de información (2).pdf
Cap. 1 - Generalidades sobre seguridad de información (2).pdf
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
información Segura
información Segurainformación Segura
información Segura
 
PRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptxPRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptx
 
CONIET 2007: El avance y las soluciones del software libre
CONIET 2007: El avance y las soluciones del software libreCONIET 2007: El avance y las soluciones del software libre
CONIET 2007: El avance y las soluciones del software libre
 
ISO Danny Yunga
ISO Danny YungaISO Danny Yunga
ISO Danny Yunga
 
Conferencia
ConferenciaConferencia
Conferencia
 
Presentacion sg tracking
Presentacion sg trackingPresentacion sg tracking
Presentacion sg tracking
 

Más de EXIN

2º Webinar EXIN en Castellano: EXIN BCS SIAM certification: Benefits of Servi...
2º Webinar EXIN en Castellano: EXIN BCS SIAM certification: Benefits of Servi...2º Webinar EXIN en Castellano: EXIN BCS SIAM certification: Benefits of Servi...
2º Webinar EXIN en Castellano: EXIN BCS SIAM certification: Benefits of Servi...EXIN
 
1º Webinar EXIN en Castellano: EXIN DevOps Master certification: where Agile ...
1º Webinar EXIN en Castellano: EXIN DevOps Master certification: where Agile ...1º Webinar EXIN en Castellano: EXIN DevOps Master certification: where Agile ...
1º Webinar EXIN en Castellano: EXIN DevOps Master certification: where Agile ...EXIN
 
Webinar EXIN "Gestión de continuidad de negocio"
Webinar EXIN "Gestión de continuidad de negocio"Webinar EXIN "Gestión de continuidad de negocio"
Webinar EXIN "Gestión de continuidad de negocio"EXIN
 
7º Webinar - 3ª Ed. EXIN en Castellano: 6 maneras de crear valor con Lean IT
7º Webinar - 3ª Ed. EXIN en Castellano: 6 maneras de crear valor con Lean IT7º Webinar - 3ª Ed. EXIN en Castellano: 6 maneras de crear valor con Lean IT
7º Webinar - 3ª Ed. EXIN en Castellano: 6 maneras de crear valor con Lean ITEXIN
 
6º Webinar - 3ª Ed. EXIN en Castellano: Aplicaciones de Scrum más allá del ám...
6º Webinar - 3ª Ed. EXIN en Castellano: Aplicaciones de Scrum más allá del ám...6º Webinar - 3ª Ed. EXIN en Castellano: Aplicaciones de Scrum más allá del ám...
6º Webinar - 3ª Ed. EXIN en Castellano: Aplicaciones de Scrum más allá del ám...EXIN
 
5º Webinar - 3ª Ed. EXIN en Castellano: Capacidad, continuidad, disponibilida...
5º Webinar - 3ª Ed. EXIN en Castellano: Capacidad, continuidad, disponibilida...5º Webinar - 3ª Ed. EXIN en Castellano: Capacidad, continuidad, disponibilida...
5º Webinar - 3ª Ed. EXIN en Castellano: Capacidad, continuidad, disponibilida...EXIN
 
4º Webinar - 3ª Ed. EXIN en Castellano: Profesionalización de los Data Center...
4º Webinar - 3ª Ed. EXIN en Castellano: Profesionalización de los Data Center...4º Webinar - 3ª Ed. EXIN en Castellano: Profesionalización de los Data Center...
4º Webinar - 3ª Ed. EXIN en Castellano: Profesionalización de los Data Center...EXIN
 
Workshop Lean IT - Sube de nivel: descubre el Lean IT Kaizen
Workshop Lean IT - Sube de nivel: descubre el Lean IT KaizenWorkshop Lean IT - Sube de nivel: descubre el Lean IT Kaizen
Workshop Lean IT - Sube de nivel: descubre el Lean IT KaizenEXIN
 
3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la informac...
3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la informac...3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la informac...
3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la informac...EXIN
 
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud ComputingEXIN
 
Cómo mejorar los procesos de Operaciones y Desarrollo con Lean IT y DevOps
Cómo mejorar los procesos de Operaciones y Desarrollo con Lean IT y DevOpsCómo mejorar los procesos de Operaciones y Desarrollo con Lean IT y DevOps
Cómo mejorar los procesos de Operaciones y Desarrollo con Lean IT y DevOpsEXIN
 
21º Webinar - 2ª Ed. EXIN en Castellano: 10 consejos para aumentar el valor d...
21º Webinar - 2ª Ed. EXIN en Castellano: 10 consejos para aumentar el valor d...21º Webinar - 2ª Ed. EXIN en Castellano: 10 consejos para aumentar el valor d...
21º Webinar - 2ª Ed. EXIN en Castellano: 10 consejos para aumentar el valor d...EXIN
 
Identificación de Talento ITSM Excepcional antes que los demás
Identificación de Talento ITSM Excepcional antes que los demásIdentificación de Talento ITSM Excepcional antes que los demás
Identificación de Talento ITSM Excepcional antes que los demásEXIN
 
19º Webinar - 2ª Ed. EXIN en Castellano: La guía PMBOK vs PRINCE2
19º Webinar - 2ª Ed. EXIN en Castellano: La guía PMBOK vs PRINCE219º Webinar - 2ª Ed. EXIN en Castellano: La guía PMBOK vs PRINCE2
19º Webinar - 2ª Ed. EXIN en Castellano: La guía PMBOK vs PRINCE2EXIN
 
Webinar iso20000 iso27000
Webinar iso20000 iso27000Webinar iso20000 iso27000
Webinar iso20000 iso27000EXIN
 
17º Webinar - 2ª Ed. EXIN en Castellano: Cómo aplicar el Modelo P3M3 de madur...
17º Webinar - 2ª Ed. EXIN en Castellano: Cómo aplicar el Modelo P3M3 de madur...17º Webinar - 2ª Ed. EXIN en Castellano: Cómo aplicar el Modelo P3M3 de madur...
17º Webinar - 2ª Ed. EXIN en Castellano: Cómo aplicar el Modelo P3M3 de madur...EXIN
 
16º Webinar - 2ª Ed. EXIN en Castellano: Caso aplicado de un cuadro de mandos...
16º Webinar - 2ª Ed. EXIN en Castellano: Caso aplicado de un cuadro de mandos...16º Webinar - 2ª Ed. EXIN en Castellano: Caso aplicado de un cuadro de mandos...
16º Webinar - 2ª Ed. EXIN en Castellano: Caso aplicado de un cuadro de mandos...EXIN
 
15º Webinar - 2ª Ed. EXIN en Castellano: Caminos para llegar a ser un ITIL Ex...
15º Webinar - 2ª Ed. EXIN en Castellano: Caminos para llegar a ser un ITIL Ex...15º Webinar - 2ª Ed. EXIN en Castellano: Caminos para llegar a ser un ITIL Ex...
15º Webinar - 2ª Ed. EXIN en Castellano: Caminos para llegar a ser un ITIL Ex...EXIN
 
14º Webinar - 2ª Ed. EXIN en Castellano: Lecciones aprendidas en la gestión d...
14º Webinar - 2ª Ed. EXIN en Castellano: Lecciones aprendidas en la gestión d...14º Webinar - 2ª Ed. EXIN en Castellano: Lecciones aprendidas en la gestión d...
14º Webinar - 2ª Ed. EXIN en Castellano: Lecciones aprendidas en la gestión d...EXIN
 
13º Webinar - 2ª Ed. EXIN en Castellano: Cloud Computing, seguridad y BYOD
13º Webinar - 2ª Ed. EXIN en Castellano: Cloud Computing, seguridad y BYOD13º Webinar - 2ª Ed. EXIN en Castellano: Cloud Computing, seguridad y BYOD
13º Webinar - 2ª Ed. EXIN en Castellano: Cloud Computing, seguridad y BYODEXIN
 

Más de EXIN (20)

2º Webinar EXIN en Castellano: EXIN BCS SIAM certification: Benefits of Servi...
2º Webinar EXIN en Castellano: EXIN BCS SIAM certification: Benefits of Servi...2º Webinar EXIN en Castellano: EXIN BCS SIAM certification: Benefits of Servi...
2º Webinar EXIN en Castellano: EXIN BCS SIAM certification: Benefits of Servi...
 
1º Webinar EXIN en Castellano: EXIN DevOps Master certification: where Agile ...
1º Webinar EXIN en Castellano: EXIN DevOps Master certification: where Agile ...1º Webinar EXIN en Castellano: EXIN DevOps Master certification: where Agile ...
1º Webinar EXIN en Castellano: EXIN DevOps Master certification: where Agile ...
 
Webinar EXIN "Gestión de continuidad de negocio"
Webinar EXIN "Gestión de continuidad de negocio"Webinar EXIN "Gestión de continuidad de negocio"
Webinar EXIN "Gestión de continuidad de negocio"
 
7º Webinar - 3ª Ed. EXIN en Castellano: 6 maneras de crear valor con Lean IT
7º Webinar - 3ª Ed. EXIN en Castellano: 6 maneras de crear valor con Lean IT7º Webinar - 3ª Ed. EXIN en Castellano: 6 maneras de crear valor con Lean IT
7º Webinar - 3ª Ed. EXIN en Castellano: 6 maneras de crear valor con Lean IT
 
6º Webinar - 3ª Ed. EXIN en Castellano: Aplicaciones de Scrum más allá del ám...
6º Webinar - 3ª Ed. EXIN en Castellano: Aplicaciones de Scrum más allá del ám...6º Webinar - 3ª Ed. EXIN en Castellano: Aplicaciones de Scrum más allá del ám...
6º Webinar - 3ª Ed. EXIN en Castellano: Aplicaciones de Scrum más allá del ám...
 
5º Webinar - 3ª Ed. EXIN en Castellano: Capacidad, continuidad, disponibilida...
5º Webinar - 3ª Ed. EXIN en Castellano: Capacidad, continuidad, disponibilida...5º Webinar - 3ª Ed. EXIN en Castellano: Capacidad, continuidad, disponibilida...
5º Webinar - 3ª Ed. EXIN en Castellano: Capacidad, continuidad, disponibilida...
 
4º Webinar - 3ª Ed. EXIN en Castellano: Profesionalización de los Data Center...
4º Webinar - 3ª Ed. EXIN en Castellano: Profesionalización de los Data Center...4º Webinar - 3ª Ed. EXIN en Castellano: Profesionalización de los Data Center...
4º Webinar - 3ª Ed. EXIN en Castellano: Profesionalización de los Data Center...
 
Workshop Lean IT - Sube de nivel: descubre el Lean IT Kaizen
Workshop Lean IT - Sube de nivel: descubre el Lean IT KaizenWorkshop Lean IT - Sube de nivel: descubre el Lean IT Kaizen
Workshop Lean IT - Sube de nivel: descubre el Lean IT Kaizen
 
3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la informac...
3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la informac...3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la informac...
3º Webinar - 3ª Ed. EXIN en Castellano: Adaptando la seguridad de la informac...
 
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
2º Webinar - 3ª Ed. EXIN en Castellano: Luces y Sombras del Cloud Computing
 
Cómo mejorar los procesos de Operaciones y Desarrollo con Lean IT y DevOps
Cómo mejorar los procesos de Operaciones y Desarrollo con Lean IT y DevOpsCómo mejorar los procesos de Operaciones y Desarrollo con Lean IT y DevOps
Cómo mejorar los procesos de Operaciones y Desarrollo con Lean IT y DevOps
 
21º Webinar - 2ª Ed. EXIN en Castellano: 10 consejos para aumentar el valor d...
21º Webinar - 2ª Ed. EXIN en Castellano: 10 consejos para aumentar el valor d...21º Webinar - 2ª Ed. EXIN en Castellano: 10 consejos para aumentar el valor d...
21º Webinar - 2ª Ed. EXIN en Castellano: 10 consejos para aumentar el valor d...
 
Identificación de Talento ITSM Excepcional antes que los demás
Identificación de Talento ITSM Excepcional antes que los demásIdentificación de Talento ITSM Excepcional antes que los demás
Identificación de Talento ITSM Excepcional antes que los demás
 
19º Webinar - 2ª Ed. EXIN en Castellano: La guía PMBOK vs PRINCE2
19º Webinar - 2ª Ed. EXIN en Castellano: La guía PMBOK vs PRINCE219º Webinar - 2ª Ed. EXIN en Castellano: La guía PMBOK vs PRINCE2
19º Webinar - 2ª Ed. EXIN en Castellano: La guía PMBOK vs PRINCE2
 
Webinar iso20000 iso27000
Webinar iso20000 iso27000Webinar iso20000 iso27000
Webinar iso20000 iso27000
 
17º Webinar - 2ª Ed. EXIN en Castellano: Cómo aplicar el Modelo P3M3 de madur...
17º Webinar - 2ª Ed. EXIN en Castellano: Cómo aplicar el Modelo P3M3 de madur...17º Webinar - 2ª Ed. EXIN en Castellano: Cómo aplicar el Modelo P3M3 de madur...
17º Webinar - 2ª Ed. EXIN en Castellano: Cómo aplicar el Modelo P3M3 de madur...
 
16º Webinar - 2ª Ed. EXIN en Castellano: Caso aplicado de un cuadro de mandos...
16º Webinar - 2ª Ed. EXIN en Castellano: Caso aplicado de un cuadro de mandos...16º Webinar - 2ª Ed. EXIN en Castellano: Caso aplicado de un cuadro de mandos...
16º Webinar - 2ª Ed. EXIN en Castellano: Caso aplicado de un cuadro de mandos...
 
15º Webinar - 2ª Ed. EXIN en Castellano: Caminos para llegar a ser un ITIL Ex...
15º Webinar - 2ª Ed. EXIN en Castellano: Caminos para llegar a ser un ITIL Ex...15º Webinar - 2ª Ed. EXIN en Castellano: Caminos para llegar a ser un ITIL Ex...
15º Webinar - 2ª Ed. EXIN en Castellano: Caminos para llegar a ser un ITIL Ex...
 
14º Webinar - 2ª Ed. EXIN en Castellano: Lecciones aprendidas en la gestión d...
14º Webinar - 2ª Ed. EXIN en Castellano: Lecciones aprendidas en la gestión d...14º Webinar - 2ª Ed. EXIN en Castellano: Lecciones aprendidas en la gestión d...
14º Webinar - 2ª Ed. EXIN en Castellano: Lecciones aprendidas en la gestión d...
 
13º Webinar - 2ª Ed. EXIN en Castellano: Cloud Computing, seguridad y BYOD
13º Webinar - 2ª Ed. EXIN en Castellano: Cloud Computing, seguridad y BYOD13º Webinar - 2ª Ed. EXIN en Castellano: Cloud Computing, seguridad y BYOD
13º Webinar - 2ª Ed. EXIN en Castellano: Cloud Computing, seguridad y BYOD
 

Gestión de la Seguridad de la Información con ISO27002

  • 1. 1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing #EXINWebinarsEnCastellano GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN CON LA ISO27002 Organizaciones invitadas: Con la colaboración de: 16/11/2012 N
  • 2. Con la colaboración de ... 0051 6373513 | 0051 6373514 coordinacion@peru.pmconsultant.es Calle José Chariarse Nro. 880, Oficina 302 Miraflores, Lima - Perú JuanMa Espinoza • Profesional Reconocido a nivel internacional de la Gestión de Servicios y Proyectos IT. • Dispone de los certificados oficiales como: Auditor ISO27001 e ISO20000, ISO27002, ITIL v2 y v3, Cobit v4.1, Prince2, MOF, Cloud Computing e ITIL Practitioner para Strategy, Design and Operations; es entrenador acreditado y reconocido internacionalmente para ITIL, ISO20K y Cloud Computing (entre otras certificaciones); y PMI Member ID No.:1219853. • Vicepresidente y Director de Relaciones Internacionales del itSMF Perú. • Coordinador para Perú en la iniciativa europea IBERCLOUD. • Cocoordinador del GT "Cloud Computing y su impacto en los procesos ITSM" del itSMF España. • Recientemente ha recibido el reconocimiento internacional de EXIN, por ser el Primer Accredited Trainer de Latinoamérica en EXIN Cloud Computing, así como por ser el Primer Profesional Certificado de todo Latinoamérica.
  • 3. INFORMATION SECURITY FOUNDATION BASED ON ISO/IEC 27002 LA INFORMACION Y SU TRATAMIENTO 3
  • 4. ¿QUÉ ES ISO/IEC 27002? • ISO: International Organization for Standardization • IEC: International Electro-technical Commission • ISO/IEC 27002:2005 Information Technology — Security Techniques — (Código de Prácticas para la Gestión de la Seguridad de la Información (anteriormente conocida como la ISO/IEC 17799) • Apartados: 0. Introducción 9. Seguridad Ambiental y Física 1. Alcance 10. Gestión de Operaciones y 2. Términos y Definiciones Comunicaciones 3. Estructura de la Norma 11. Control de Acceso 4. Evaluación del Riesgo 12. Adquisición de Sistemas de Información, Mantenimiento y 5. Política de la Seguridad Desarrollo 6. Organización de Seguridad de la 13. Gestión de Incidencias de Seguridad Información de la Información 7. Gestión de Activos 14. Gestión de la Continuidad del 8. Seguridad de los Recursos Humanos Negocio 15. Conformidad 4
  • 5. DATOS E INFORMACIÓN BEST according to Foundations of PRACTICE Information Security • Los datos pueden ser procesados por la Tecnología de la Información, pero estos se convierten en Información solo cuando adquieren un significado determinado. • La infomación puede extraer el texto pero también la palabra pronunciada y las imágenes de video. Data: 02-04-09 Information: 02-04-09 mm-dd-yy • Ejemplos de Medios de Almacenamiento – Hoja – Microficha – Magnetico – Ejemplo: Cintas – Óptica – Ejemplo: CD’s 5
  • 6. DIKW: Data, Information, Knowledge, Wisdom BEST according to Contexto PRACTICE ITIL® Version 3 Sabiduría ¿Por qué? Conocimiento ¿Como? Información ¿Quién, Qué, Cuando, Donde?) Datos Comprensión 6
  • 7. Datos e Información BEST according to PRACTICE ITIL® Version 3 • La información es la comprensión de la relación entre las piezas de los datos • La información responde 4 preguntas: – Quién? – Qué? – Cuando? – Donde? 7
  • 8. ¿Qué es la Seguridad de la Información? La conservación de la Confidencialidad, Disponibilidad e Integración de la información; adicionalmente, otras propiedades, como la autenticidad, el rendir cuentas, NON- REPUDIATION, y la fiabilidad también pueden estar involucrados. Note: Repudiation is another word for negation, disclaimer 8
  • 9. ¿Qué es la Seguridad de la Información? BEST according to Foundations of PRACTICE Information Security La seguridad de la Información consiste en la definición, implementación, mantenimiento y evaluación de un sistema métrico coherente que asegure la disponibilidad, confidencialidad e integridad de la información brindada (computarizada y manual). 9
  • 10. Sistema y Tecnología de la Información BEST according to Foundations of Information Security and PRACTICE ITIL® Version 3 Information System Information Technology • El procesamiento y transferencia de la • Implica el uso de la tecnología para el información se dá a través del Sistema de almacenamiento, comunicación y Información procesamiento de la información • Todo sistema que tenga el propósito de • Normalmente, la tecnología incluye transferir información es un Sistema de computadoras, telecomunicaciones, Información aplicaciones y otros software. • Ejemplos de Sistemas de Información son: • La información puede incluir datos los archivos guardados en carpetas, empresariales, de voz, imágenes, videos, etc. teléfonos e impresoras • La Tecnología de la Información es usada • Dentro del contexto de Seguridad de la para apoyar los Procesos Empresariales a Información, el Sistema de Información es la través de Servicios IT. combinación de medios, procedimientos, normas y personas que aseguran la transferencia de información en un proceso operativo 10
  • 11. Valor de la Información BEST according to Foundations of PRACTICE Information Security EL VALOR DE LA INFORMACIÓN ES DETERMINADA A TRAVÉS DEL VALOR QUE EL RECEPTOR OTORGA A LA MISMA • 6.2.1: Para la identificación de riesgos relacionados al acceso externo se debe tener en cuenta: la sensibilidad y el valor de la información en juego ya que es crítica para las operaciones del negocio • 7.2.1: La información debe ser clasificada de acuerdo al valor que posee ya sean requisitos legales, sensibilidad, o de importancia para la empresa • 12.1.1: Los controles y requisitos de Seguridad deben reflejar el valor empresarial de la información implicada. Asi como el daño potencial comercial que podría resultar de un fallo o ausencia de seguridad 11
  • 12. La Información como Factor de Producción BEST according to Foundations of PRACTICE Information Security • Los factores comunes de producción de una compañia u organización son: –Capital –Materia prima y Trabajo • En la Tecnología de la Información, también es común considerar la información como un factor de producción –Sin información no existen los negocios –Aquel almacén que pierde información bursátil y clientes no es capaz de realizar operaciones –Inclusive, aquellos negocios como las oficinas de contadores, bancos y/o compañías de seguro ofrecen Información como su único Producto/Servicio 12
  • 13. El Valor del Negocio BEST according to PRACTICE ITIL® Version 3 La Seguridad de la Información otorga al Proceso de Negocio seguridad aplicando los Controles de Seguridad en todas las áreas de IT y a través de la gestión de Riesgo IT en línea con el Proceso de Gestión de Riesgo Corporativo y Comercial; y Directrices. 13
  • 14. Fiabilidad de la Información BEST according to Foundations of PRACTICE Information Security La fiabilidad de la información consta de 3 aspectos: – Confidentiality (Confidencialidad) – Integrity (Integridad) – Availability (Disponibilidad) 14
  • 15. Confidencialidad BEST according to Foundations of PRACTICE Information Security La confidencialidad es el grado en el cual el acceso a la información es restringida y solo un grupo determinado tiene autorización para acceder a ella. Asimismo, esto incluye medidas que protegen su privacidad. 15
  • 16. Integridad BEST according to Foundations of PRACTICE Information Security • La integridad es el grado en el que la información se encuentra sin errores y actualizada • Las características son: – La exactitud de la información – La integridad de la información 16
  • 17. Disponibilidad BEST according to Foundations of PRACTICE Information Security • El grado de disponibilidad es cuando la información se encuentra disponible tanto para el usuario como para el Sistema de Información. Este se encuentra operativo en el momento que la organización lo requiera • Las características de Disponibilidad son :  Línea del tiempo: El Sistema de Información se encuentra disponible cuando sea necesario.  Continuidad: El personal es capaz de continuar trabajando, en el caso que ocurra algún fallo.  Fuerza : Hay suficiente capacidad la cual permita que todos trabajen al mismo tiempo en el sistema. 17
  • 18. Arquitectura de la Información BEST according to Foundations of PRACTICE Information Security • La Seguridad de la Información casi se podría relacionar con la Arquitectura de la Información • La arquitectura de información es el proceso que se centra en poner a disposición la información dentro de una organización • La Seguridad de la Información puede ayudar a garantizar el suministro de información requerida realizada en la Aquitectura de Información • La Arquitectura Informática se centra principalmente en la Organización de la Información. De acuerdo a la necesidad y la manera en la que ésta se lleve a cabo. La Seguridad Informática apoya el proceso mediante la función de garantizar la Confidencialidad, Integridad y Disponibilidad de la INFORMACIÓN 18
  • 19. Información y Proceso Operativo BEST according to Foundations of PRACTICE Information Security • Un proceso operativo es aquel que se ubica en el núcleo del negocio • En el Proceso Operativo, el personal desarrolla un servicio o producto para el cliente. • El Proceso Operativo se compone principalmente de Actividades de entrada y salida • Existen diferentes tipos de Procesos Operativos Proceso Primario • E.g. Administración del capital – Proceso Guía • E.g. Planeación de estrategia de la compañia – Proceso de apoyo • E.g. Compras, ventas o recursos humanos 19
  • 20. Análisis de la información BEST according to Foundations of PRACTICE Information Security • El analisis de Información brinda una imagen más clara de cómo la compañia maneja la información – cómo es que la información “fluye” a través de la misma. Por ejemplo: – Un huésped se registra en un hotel a través del sitio web – Esta información es enviada directamente al departamento de administración, el cual se encarga de asignarle una habitación. – El área de recepción tiene presente que el huésped llegará el día de hoy – El área de servicio tiene conocimiento de que la habitación debe estar lista y limpia para la llegada del huésped • Durante este proceso es importante que la información sea completamente fiable • Los resultados del Análisis de Información pueden ser utilizados para el diseño de un Sistema Informático 20
  • 21. Gestión de la Información BEST according to Foundations of PRACTICE Information Security • La Gestión de la Información dirige y define la Política relacionada al suministro de información de una organización. • Dentro de este sistema, un administrador de información puede hacer uso de la Arquitectura de la Información y un Análisis de la Información. • La Gestión de la información implica mucho más que un proceso de información automatizado, el cual es llevado a cabo por una organización. • En muchos casos, la comunicación interna y externa forman parte de la estrategia de Gestión de la información. 21
  • 22. Informática BEST according to Foundations of PRACTICE Information Security • Los términos de la infomática se relacionan con uso lógico de la estructura para el desarrollo de los sistemas y la información • Por otro lado, es importante comprender que la informática puede ser utilizada para el desarrollo de programas 22
  • 23. INFORMATION SECURITY FOUNDATION BASED ON ISO/IEC 27002 RIESGOS Y AMENAZAS 23
  • 24. ¿Qué es una amenaza? La causa potencial de un incidente no deseado, el cual podría dañar a la Organización o el Sistema 24
  • 25. Métricas de Seguridad y Amenazas BEST according to Foundations of PRACTICE Information Security • Durante el proceso de Seguridad de la Información, los efectos no deseados (amenazas) se tratan de solucionar lo mejor posible • Para evitar este tipo de efectos se determinan estrategias dentro de la Seguridad de la Información • La Seguridad de la Información determina las Medidas de Seguridad que deben emplearse para evitar estos efectos. 25
  • 26. Riesgos BEST according to Foundations of PRACTICE Information Security Riesgo: La combinación de probabilidad entre un acontecimiento y la consecuencia del mismo Riesgo • Posible daño o perdida de la información • El riesgo se determina por el número de factores. Estos son la amenaza o la posibilidad de que una amenaza se intesifique y por consiguiente las consecuencias 26
  • 27. Análisis del Riesgo BEST according to Foundations of PRACTICE Information Security Utilización sistemática de la información para identificar las fuentes y la estimación del riesgo Análisis del Riesgo • La metodología nos ayuda a tener una idea de aquello que nos afecta y de lo que nos estamos protegiendo. • Existen diversas maneras de Analizar el Riesgo • Un análisis de riesgo se utiliza para describir los riesgos a los que se enfrenta la empresa 27
  • 28. Análisis del Riesgo, Riesgos y Amenazas BEST according to PRACTICE ITIL ® Version 2, 3 and CRAMM Bienes Amenazas Vulnerabilidades Análisis del Riesgo Riesgos Gestión del Contramedidas Riesgo Cuando una amenaza se materializa, nace un riesgo para la organización. Asimismo, tanto la evaluación de la gestión y la magnitud del riesgo determinan si las medidas se deben ejecutar con la finalidad de minimizar el 28 riesgo y lo que pueda suceder.
  • 29. Evaluación del Riesgo BEST according to PRACTICE ITIL ® Version 2, 3 and CRAMM • La evaluación de riesgos deberá incluir el enfoque sistemático para estimar la magnitud de los mismos (Análisis del Riesgo) y el proceso de comparar los riesgos estimados contra los criterios de riesgo; y así determinar la importancia de estos (Evaluación de los Riesgo). • La Evaluación de los Riesgos es la suma total de … – Valoración y Evaluación de los Bienes – Valoración y Evaluación de las Amenazas – Evaluación de la vulnerabilidad 29
  • 30. Desastres e Incidencias BEST according to Foundations of PRACTICE Information Security Incidencia • La amenaza logra manifestarse Ejemplo: – Cuando un hacker realiza operaciones necesarias para tener acceso a la red de la empresa Desastre • Sucede un gran incidente que atenta con la continuidad de la empresa Ejemplo: – Un corte de energía , causada por un helicóptero que dañó algún cable de alta tensión 30
  • 31. Gestión del Riesgo BEST according to Foundations of PRACTICE Information Security Gestión del Riesgo: Proceso desde Amenazas Hacia Riesgo Hasta Métricas de Seguridad • Herramienta que clarifica la visión sobre cuales son las amenazas más relevantes en el Proceso Operativo e identificar los riesgos asociados. Inclusive, el nivel de seguridad apropiado podría ser determinando junto con las Medidas de Seguridad correspondientes. 31
  • 32. Análisis del Riesgo BEST according to Foundations of PRACTICE Information Security Objetivos 1.Identificar el valor y los bienes 2.Determinar amenzas y la vulnerabilidad 3.Para determinar el Riesgo de que las amenazas podrían convertirse en realidad e interrumpan el Proceso Operativo 4.Determina el balance entre los costos de enfrentar algún tipo de Incidencia y de las Métricas de Seguridad Las Métricas de Seguridad son Métricas de Seguridad son rentables, efectivas y Métricas de Seguridad no muy estrictas OPORTUNAS son efectivas 32
  • 33. Análisis de Costos/Beneficios BEST according to Foundations of PRACTICE Information Security Análisis de Costos/Beneficios • Pertenece al Proceso de Análisis del Riesgo • Pregunta: – Un servicio cuesta $100,000) – Las Métricas de Seguridad para este servicio cuesta $150,000 – Conclusión: Las Métricas de Seguridad son realmente caras … – es una correcta o incorrecta conclusión? 33
  • 34. Tipos de Análisis de Riesgo BEST according to Foundations of PRACTICE Information Security Análisis Cuantitativo del Riesgo • El objetivo es calcular el Valor del Riesgo basado en el nivel de las pérdidas económicas y la probabilidad de que una amenaza se convierta en un incidente • El Valor de cada elemento es determinado durante todo el Proceso Operativo • Estos valores se pueden componer de los costos de las Métricas de Seguridad, así como del valor de la propiedad en sí, incluyendo el impacto en edificios, hardware, software, información y en los negocios • El tiempo se extiende antes de que una amenaza aparezca , la eficacia de las Métricas de Seguridad y el Riesgo de que existe algún tipo de Vulnerabilidad; también son elementos que deben considerarse • Un análisis de riesgos puramente cuantitativa es prácticamente imposible 34
  • 35. Tipos de Análisis de Riesgo BEST according to Foundations of PRACTICE Information Security Análisis Cualitativo del Riesgo • Basado en situaciones y escenarios • Las posibilidades de que una amenaza se desarrolle son examinadas bajo una percepción personal • El análisis examina el Proceso Operativo, el cual se relaciona con la amenaza y las Métricas de Seguridad que se han tomado ante la situación • Todo esto conduce a una visión subjetiva de las posibles amenazas • Posteriormente , las Métricas son tomadas para lograr minizar el Riesgo • El mejor resultado se consigue a través del análisis en una sesión de grupo, ya que se intercambiarían ideas entre el personal. Evitando considerar el punto de vista de una sola persona o departamento que logre dominar dicho análisis 35
  • 36. Tipos de Amenazas BEST according to Foundations of PRACTICE Information Security Amenazas Humanas – Intencionales • Piratería , Dañar la propiedad de la compañía, destruir e-mails después de haber sido despedido sin razón e intencionalmente confirmar la acción de eliminar con un “OK” – Ingeniería Social • Engañar a la gente voluntariamente ofreciéndoles información confidencial: el phishing Amenazas NO humanas – Tormentas – Incendios – Inundaciones – Huracanes – Tornados – Etc. 36
  • 37. Tipos de Daño BEST according to Foundations of PRACTICE Information Security Daño Directo – Robo Daño Indirecto – Una pérdida en consecuencia a algo que ocurrió. • E.g.: Si hay una inundación en el centro de datos, esto evitará que el Servicio de IT proporcione ayuda; ocasionando pérdidas en el negocio. Expectativas de Pérdida Anual (ALE) – La amplitud del daño - expresado en términos monetarios - puede ser el resultado de un incidente en un año • E.g.: Un promedio de 10 computadoras portátiles son robados cada año de alguna empresa. Expectativa de Pérdida Simple – El daño causado por un único (one-off) Incidente 37
  • 38. Tipos de Estrategias del Riesgo BEST according to Foundations of PRACTICE Information Security Amortigüando el Riesgo • Algunos riesgos son aceptados • Métricas de Seguridad muy costosas • Métricas de Seguridad superan los posibles daños • Métricas de Seguridad que se toman son por naturaleza represivas Riesgo Neutral • Los resultados de las Métricas de Seguridad son aceptadas • La amenaza ya no se produce • El daño se reduce al mínimo • Métricas de Seguridad adoptadas son una combinación de Prevención, Detección y Represión Evitando el Riesgo •Las Métricas de Seguridad adoptadas son tales que la amenaza se neutraliza hasta el punto en que evita que se convierta en un incidente. •Por ejemplo: La instalación de un nuevo software logra que los errores en el software antigüo dejen de ser una amenaza. 38
  • 39. Soluciones de los Riesgos de la Seguridad Posibles soluciones incluídas dentro del tratamiento de Riesgo: a)Aplicando las reglas apropiadas para la reducción del Riesgo b)Aceptando de manera objetiva y a sabiendas el Riesgo, otorgando así una clara satisfacción c)Política de Organización y criterios de aceptación del Riesgo d)Evitando que el riesgo se desarrolle y pueda provocar algún daño e)Transfiriendo a terceros Riesgos asociados, por ejemplo, aseguradores y/o proveedores. 39
  • 40. INFORMATION SECURITY FOUNDATION BASED ON ISO/IEC 27002 LEGISLACIÓN Y REGLAMENTOS 40
  • 41. Conformidad Objetivo • Evitar el incumplimiento de cualquier ley, estatuto, las obligaciones reglamentarias o contractuales, y sobre los requisitos de seguridad. El diseño, operación, uso y gestión de la información de sistemas puede estar sujeto a la seguridad legal, reglamentaria, y requerimientos contractuales. Asesoramiento sobre requisitos legales específicos se debería pedir a los asesores legales de la organización, o profesionales de la justicia debidamente calificados. Los requisitos legales varían de un país a otro y pueden variar la información creada en un país que se transmite a otro país (es decir, el flujo transfronterizo de datos). 41
  • 42. Secciones de Cumplimiento • Cumplimiento de Requisitos Legales – Identificación de la legislación aplicable – Derechos de propiedad intelectual – Protección de los registros de la organización – Protección de Datos y Privacidad de la Información Personal –Prevención del uso indebido de las instalaciones de procesamiento de información – Reglamento de los controles criptográficos • Cumplimiento con las normas y estándares de seguridad y cumplimiento técnico – Cumplimiento con las normas y estándares de seguridad – Comprobación del cumplimiento técnico • Información de sistema de Consideraciones de auditoría – Información de Control de Sistemas de Auditoría – Protección de las herramientas de auditoría de sistemas de información 42
  • 43. ¿Por qué la legislacion y reglamentos son importantes? BEST according to Foundations of PRACTICE Information Security • Para observar las prescripciones legales • Para observar el cumplimiento • Para abarcar los derechos de propiedad intelectual • Para proteger los documentos de los negocios • Para proteger los datos y la confidencialidad de datos personales ej: Ley de Protección de Datos de Carácter Personal: la protección de los datos personales y la intimidad • Para prevenir el abuso de las instalaciones de IT • Para observar la política de seguridad y normas de seguridad • Para supervisar las medidas de seguridad • Para llevar a cabo auditorías de información del sistema • Para proteger los medios utilizados para los sistemas de información de auditoría 43
  • 44. Información de la legislación sobre seguridad BEST according to Foundations of PRACTICE Information Security Ejemplos • Legislación que implica la Privacidad, Impuestos y Finanzas y el Reglamento para los bancos y las empresas (por ejemplo, Sarbanes Oxley) • Legislaciones Locales, Estatales y Nacionales • Política propia de una empresa respecto a la legislación interna. • Legislación de un país extranjero cuando se hacen negocios internacionales. • Legislación que implica Privacidad 44
  • 45. Con la colaboración de ... 0051 6373513 | 0051 6373514 coordinacion@peru.pmconsultant.es Calle José Chariarse Nro. 880, Oficina 302 Miraflores, Lima - Perú ¡Gracias por su atención! JuanMa Espinoza
  • 46. 1ª Serie de WEBINARS EXIN en Castellano Gestión de servicio de TI - Seguridad de la información – Cloud Computing @EXIN_ES ( Hash Tag: #EXINWebinarsEnCastellano ) Obtén este y otros Webinars en nuestro canal Youtube Coporativo http://www.youtube.com/user/ExinExams Organizaciones invitadas: Con la colaboración de: