Este documento describe varios estándares relacionados con la seguridad de la información como ISO 27000, ISO 27001, ISO 27002 y BS 17799. Estos estándares proporcionan marcos y mejores prácticas para el establecimiento de sistemas de gestión de seguridad de la información que ayudan a organizaciones a reducir riesgos, cumplir con la legislación y mejorar la confianza de clientes.
Estrategia de prompts, primeras ideas para su construcción
ISO 27000 seguridad informática
1. Estándares de seguridad
informática…
Conalep “Gustavo Baz”
Alumnos: Grupo: M303I
Flores Bermúdez Diego Brandon Profa. Nelly Aurora López González
Ramírez Rojo Zury Gabriela Modulo: Aplicación de la seguridad informática “ASIN”
Cruz Aurelio Camila Yaileth Resultado de Aprendizaje 1.2
Gallegos Rangel María Guadalupe
Cruz López Luis
2. ISO 27000
ISO/IEC 27000 es un conjunto de estándares desarrollados por ISO (International
Organization for Standardization) e IEC (International Electrotechnical Commission),
que proporcionan un marco de gestión de la seguridad de la información utilizable
por cualquier tipo de organización, pública o privada, grande o pequeña.
3. El ISO-27000 se basa en la segunda parte del estándar británico BS7799 (BS7799:2). Está compuesta a
grandes rasgos por:
ISMS (Information Security Management System).
Valoración de Riesgo.
Controles.
Beneficios
• Establecimiento de una metodología de gestión de la seguridad clara y estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de información.
• Los clientes tienen acceso a la información a través medidas de seguridad.
• Los riesgos y sus controles son continuamente revisados.
• Confianza de clientes y socios estratégicos por la garantía de calidad y confidencialidad comercial.
• Las auditorías externas ayudan cíclicamente a identificar las debilidades del sistema y las áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001L).
• Continuidad de las operaciones necesarias de negocio tras incidentes de gravedad.
• Conformidad con la legislación vigente sobre información personal, propiedad intelectual y otras.
• Imagen de empresa a nivel internacional y elemento diferenciador de la competencia.
• Confianza y reglas claras para las personas de la organización.
• Reducción de costes y mejora de los procesos y servicio.
• Aumento de la motivación y satisfacción del personal.
• Aumento de la seguridad en base a la gestión de procesos en vez de en la compra sistemática de productos y
tecnologías.
4. ISO27001
ISO/IEC 27001 Es un estándar para la seguridad de la información (Information technology - Security techniques
- Information security management systems - Requirements) aprobado y publicado como estándar
internacional en octubre de 2005 por International Organization for Standardization y por la comisión
International Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la
seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do,
Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC
27002, anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002, desarrollada
por la entidad de normalización británica, la British Standards Institution (BSI).
5. Cubre a todo tipo de organizaciones (por ej. empresas comerciales, agencias,
gubernamentales, organizaciones sin ánimo de lucro) e independientemente de su
tamaño (pequeña, mediana o gran empresa), tipo o naturaleza.
Este portal colaborativo, promovido por los autores de ISO27000, está organizado en
base a los 11 dominios, 39 objetivos de control y 133 controles de ISO/IEC 27002:2005.
6. IS027002
Es un estándar para la seguridad de la información publicado por la International Organization for
Standardization y la Comisión Electrotécnica Internacional.
Proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la
información a todos los interesados y responsables en iniciar, implantar o mantener sistemas de
gestión de la seguridad de la información. La seguridad de la información se define en el estándar
como "la preservación de la confidencialidad (asegurando que sólo quienes estén autorizados
pueden acceder a la información), integridad (asegurando que la información y sus métodos de
proceso son exactos y completos) y disponibilidad (asegurando que los usuarios autorizados tienen
acceso a la información y a sus activos asociados cuando lo requieran)".
7. La versión de 2013 del estándar describe los siguientes catorce dominios principales:
Organización de la Seguridad de la Información.
Seguridad de los Recursos Humanos.
Gestión de los Activos.
Control de Accesos.
Criptografía
8. BS 17799
La BS 17799 es una guía de buenas prácticas de seguridad informática que presenta una
extensa serie de controles de seguridad. Es la única norma que no sólo cubre la problemática
de la IT sino que hace una aproximación holística a la seguridad de la información abarcando
todas las funcionalidades de una organización en cuanto a que puedan ser afectadas por la
seguridad informática.
Se basa en las mejores prácticas de seguridad de la información, esto define un proceso para
evaluar, implementar, mantener y administrar la seguridad de la información.
Características
BS 17799 se basa en BS 7799-1 de control consta de 11 secciones, 39 objetivos de control y
controles de 134
9. Alcance
-Aumento de la seguridad efectiva de los Sistemas de información.
- Correcta planificación y gestión de la seguridad.
- Garantías de continuidad del negocio.
-Mejora continua a través del proceso de auditoría interna.
- Incremento de los niveles de confianza de los clientes y socios de negocios.
- Aumento del valor comercial y mejora de la imagen de la organización.
10. Enfoque
* Responsabilidad de la dirección
* Enfoque al cliente en las organizaciones educativas
* La política de calidad en las organizaciones educativas
* Planificación: Definir los objetivos de calidad y las actividades y recursos necesarios para alcanzar los
objetivos
* Responsabilidad, autoridad y comunicación
* Provisión y gestión de los recursos
* Recursos humanos competentes
* Infraestructura y ambiente de trabajo de conformidad con los requisitos del proceso educativo
* Planificación y realización del producto
* Diseño y desarrollo
• Proceso de compras
• * Control de los dispositivos de seguimiento y medición
• * Satisfacción del cliente
• * Auditoria Interna ISO
• * Revisión y disposición de las no conformidades
• * Análisis de datos
• * Proceso de mejora...